您必须了解有关 ONTAP 如何使用 TLS 保护 LDAP 通信的某些术语和概念。在 Active Directory 集成的 LDAP 服务器或基于 UNIX 的 LDAP 服务器之间,ONTAP 可以使用基于 TLS 的 LDAP 设置经过身份验证的会话。
关于 ONTAP 如何使用基于 SSL 的 LDAP 来保护 LDAP 通信,您应该了解某些术语。
ONTAP 使用 STARTTLS 保护 LDAP 通信,并使用默认 LDAP 端口 (389) 与 LDAP 服务器通信。必须将 LDAP 服务器配置为允许通过 LDAP 端口 389 进行连接;否则,从 Storage Virtual Machine (SVM) 到 LDAP 服务器的 LDAP TLS 连接将失败。
默认情况下,客户端和服务器应用程序之间的 LDAP 通信没有加密。这意味着可以使用网络监控设备或软件并查看 LDAP 客户端和服务器计算机之间的通信。当使用 LDAP 简单绑定时,问题更为严重,因为 LDAP 客户端绑定到 LDAP 服务器所用的凭据(用户名和密码)是通过未加密的网络传递的。
TLS 协议在 TCP/IP 以上和更高级别协议(例如 LDAP)以下运行。它们代表更高级别的协议使用 TCP/IP,并且在此过程中支持启用 TLS 的服务器向启用 TLS 的客户端对自身进行身份验证,并支持两台机器建立加密连接。这些功能解决了有关通过 Internet 和其他 TCP/IP 网络进行通信的基本安全问题。
ONTAP 支持 TLS 服务器身份验证,该身份验证使 SVM LDAP 客户端能够在绑定操作期间确认 LDAP 服务器的身份。启用 TLS 的 LDAP 客户端可以使用公共密钥加密的标准技术来检查服务器的证书和公共 ID 是否有效,并且是否是由客户端的可信 CA 列表中列出的证书颁发机构 (CA) 颁发的。
LDAP 支持 STARTTLS 使用 TLS 加密通信。STARTTLS 以标准 LDAP 端口 (389) 上的纯文本连接开始,然后该连接升级到 TLS。
ONTAP 支持以下内容:
Active Directory 集成的 LDAP 服务器或基于 UNIX 的 LDAP 服务器可用于存储 LDAP 名称映射的信息和其他 UNIX 信息(例如用户、组和网络组)。
使用 Active-Directory 集成的 LDAP 时,在域中安装 Windows Server 证书服务时会生成自签名根证书。使用基于 UNIX 的 LDAP 服务器进行 LDAP 名称映射时,将使用适用于该 LDAP 应用程序的方法生成并保存自签名根证书。
默认情况下,基于 TLS 的 LDAP 处于禁用状态。