基于 TLS 的 LDAP 概念

术语

关于 ONTAP 如何使用基于 SSL 的 LDAP 来保护 LDAP 通信，您应该了解某些术语。

LDAP

（轻型目录访问协议）用于访问和管理信息目录的协议。LDAP 用作存储用户、组和网络组等对象的信息目录。LDAP 还提供管理这些对象并满足 LDAP 客户端的 LDAP 请求的目录服务。

SSL

（安全套接字层）开发用于通过 Internet 安全发送信息的协议。从 ONTAP 9 开始，不再支持 SSL。

TLS

（传输层安全）基于早期的 SSL 规范的 IETF 标准跟踪协议。它是 SSL 的后继协议。

基于 TLS 的 LDAP

（也称为 LDAPS）使用 TLS 保护 LDAP 客户端和 LDAP 服务器之间通信的协议。术语基于 SSL 的 LDAP 和基于 TLS 的 LDAP 有时可互换使用，但 ONTAP 9 及更高版本仅支持 TLS。

起始 TLS

（也称为 start_tls、STARTTLS 和 StartTLS）一种通过使用 TLS 协议提供安全通信的机制。

ONTAP 使用 STARTTLS 保护 LDAP 通信，并使用默认 LDAP 端口 (389) 与 LDAP 服务器通信。必须将 LDAP 服务器配置为允许通过 LDAP 端口 389 进行连接；否则，从 Storage Virtual Machine (SVM) 到 LDAP 服务器的 LDAP TLS 连接将失败。

ONTAP 如何使用基于 TLS 的 LDAP

默认情况下，客户端和服务器应用程序之间的 LDAP 通信没有加密。这意味着可以使用网络监控设备或软件并查看 LDAP 客户端和服务器计算机之间的通信。当使用 LDAP 简单绑定时，问题更为严重，因为 LDAP 客户端绑定到 LDAP 服务器所用的凭据（用户名和密码）是通过未加密的网络传递的。

TLS 协议在 TCP/IP 以上和更高级别协议（例如 LDAP）以下运行。它们代表更高级别的协议使用 TCP/IP，并且在此过程中支持启用 TLS 的服务器向启用 TLS 的客户端对自身进行身份验证，并支持两台机器建立加密连接。这些功能解决了有关通过 Internet 和其他 TCP/IP 网络进行通信的基本安全问题。

ONTAP 支持 TLS 服务器身份验证，该身份验证使 SVM LDAP 客户端能够在绑定操作期间确认 LDAP 服务器的身份。启用 TLS 的 LDAP 客户端可以使用公共密钥加密的标准技术来检查服务器的证书和公共 ID 是否有效，并且是否是由客户端的可信 CA 列表中列出的证书颁发机构 (CA) 颁发的。

LDAP 支持 STARTTLS 使用 TLS 加密通信。STARTTLS 以标准 LDAP 端口 (389) 上的纯文本连接开始，然后该连接升级到 TLS。

ONTAP 支持以下内容：

• 基于 TLS 的 LDAP，用于 Active Directory 集成的 LDAP 服务器和 SVM 之间的 SMB 相关流量
• 基于 TLS 的 LDAP，用于名称映射和其他 UNIX 信息的 LDAP 流量

  Active Directory 集成的 LDAP 服务器或基于 UNIX 的 LDAP 服务器可用于存储 LDAP 名称映射的信息和其他 UNIX 信息（例如用户、组和网络组）。

• 自签名根 CA 证书

  使用 Active-Directory 集成的 LDAP 时，在域中安装 Windows Server 证书服务时会生成自签名根证书。使用基于 UNIX 的 LDAP 服务器进行 LDAP 名称映射时，将使用适用于该 LDAP 应用程序的方法生成并保存自签名根证书。

默认情况下，基于 TLS 的 LDAP 处于禁用状态。