Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

LDAP 사용 개요

기여자

환경에서 LDAP를 네임 서비스로 사용하는 경우 LDAP 관리자와 협력하여 요구사항 및 적절한 스토리지 시스템 구성을 결정한 다음 SVM을 LDAP 클라이언트로 설정해야 합니다.

ONTAP 9.10.1부터 LDAP 채널 바인딩은 Active Directory 및 이름 서비스 LDAP 연결에 대해 기본적으로 지원됩니다. ONTAP는 시작 TLS 또는 LDAPS가 활성화되고 세션 보안이 서명 또는 봉인으로 설정된 경우에만 LDAP 연결을 사용하여 채널 바인딩을 시도합니다. 이름 서버에서 LDAP 채널 바인딩을 비활성화하거나 다시 활성화하려면 LDAP 클라이언트 modify 명령에 '-try-channel-binding' 매개 변수를 사용합니다.

  • ONTAP용 LDAP를 구성하기 전에 사이트 배포가 LDAP 서버 및 클라이언트 구성에 대한 모범 사례를 충족하는지 확인해야 합니다. 특히 다음 조건을 충족해야 합니다.

    • LDAP 서버의 도메인 이름이 LDAP 클라이언트의 항목과 일치해야 합니다.

    • LDAP 서버에서 지원하는 LDAP 사용자 암호 해시 유형에는 ONTAP에서 지원하는 해시 유형이 포함되어야 합니다.

      • 암호화(모든 유형) 및 SHA-1(SHA, SSHA).

      • ONTAP 9.8부터 SHA-2 해시(SHA-256, SSH-384, SHA-512, SSHA-256, SSHA-384, SSHA-512)도 지원됩니다.

    • LDAP 서버에 세션 보안 조치가 필요한 경우 LDAP 클라이언트에서 이를 구성해야 합니다.

      다음 세션 보안 옵션을 사용할 수 있습니다.

      • LDAP 서명(데이터 무결성 검사 제공) 및 LDAP 서명 및 봉인(데이터 무결성 검사 및 암호화 제공)

      • TLS를 시작합니다

      • LDAPS(TLS 또는 SSL을 통한 LDAP)

    • 서명되고 봉인된 LDAP 쿼리를 사용하려면 다음 서비스를 구성해야 합니다.

      • LDAP 서버는 GSSAPI(Kerberos) SASL 메커니즘을 지원해야 합니다.

      • LDAP 서버에는 DNS 서버에 설정된 PTR 레코드와 DNS A/AAAA 레코드가 있어야 합니다.

      • Kerberos 서버는 DNS 서버에 SRV 레코드가 있어야 합니다.

    • 시작 TLS 또는 LDAPS를 활성화하려면 다음 사항을 고려해야 합니다.

      • LDAPS 대신 Start TLS를 사용하는 것이 NetApp 모범 사례입니다.

      • LDAPS를 사용하는 경우 ONTAP 9.5 이상에서 TLS 또는 SSL에 대해 LDAP 서버를 활성화해야 합니다. SSL은 ONTAP 9.0-9.4에서 지원되지 않습니다.

      • 도메인에 인증서 서버가 이미 구성되어 있어야 합니다.

    • ONTAP 9.5 이상에서 LDAP 조회 추적을 활성화하려면 다음 조건을 충족해야 합니다.

      • 두 도메인은 다음 신뢰 관계 중 하나로 구성해야 합니다.

        • 양방향

        • 원웨이 - 프라이머리(primary)가 추천 도메인을 신뢰하는 곳입니다

        • 부모-자식

      • DNS는 참조된 모든 서버 이름을 확인하도록 구성되어야 합니다.

      • 도메인 암호는 -bind-as-cifs-server가 true로 설정된 경우 인증하기 위해 동일해야 합니다.

    참고

    LDAP 조회 추적에는 다음 구성이 지원되지 않습니다.

    • 모든 ONTAP 버전:

      • 관리 SVM의 LDAP 클라이언트

    • ONTAP 9.8 및 이전 버전(9.9.1 이상에서 지원됨):

      • LDAP 서명 및 봉인('-session-security' 옵션)

      • 암호화된 TLS 연결('-use-start-tls' 옵션)

      • LDAPS 포트 636을 통한 통신('-use-ldaps-for-ad-ldap' 옵션)

  • SVM에서 LDAP 클라이언트를 구성할 때 LDAP 스키마를 입력해야 합니다.

    대부분의 경우 기본 ONTAP 스키마 중 하나가 적합합니다. 그러나 사용자 환경의 LDAP 스키마가 이러한 스키마와 다른 경우 LDAP 클라이언트를 생성하기 전에 ONTAP에 대한 새 LDAP 클라이언트 스키마를 만들어야 합니다. 사용자 환경의 요구 사항에 대해서는 LDAP 관리자에게 문의하십시오.

  • 호스트 이름 확인에 LDAP를 사용하는 것은 지원되지 않습니다.