LDAPディレクトリ検索の設定オプション

環境にとって最も適した方法でLDAPサーバに接続するようにLDAPクライアントを構成することで、ユーザ、グループ、およびネットグループ情報を含め、LDAPディレクトリ検索を最適化することができます。デフォルトのLDAPベースおよびスコープ検索値で十分な状況や、カスタム値のほうが適切な場合に指定すべきパラメータを理解しておく必要があります。

ユーザ、グループ、およびネットグループ情報のLDAPクライアント検索オプションは、LDAPクエリの失敗、ひいてはストレージ システムへのクライアント アクセスの失敗を回避するのに役立ちます。また、クライアントのパフォーマンスに関する問題を回避するために、検索をできるだけ効率的なものにするのにも役立ちます。

デフォルトのベースおよびスコープ検索値

LDAPベースは、LDAPクライアントがLDAPクエリを実行するために使用するデフォルトのベースDNです。ユーザ、グループ、ネットグループの検索を含むすべての検索は、ベースDNを使用して行われます。このオプションは、LDAPディレクトリが比較的小さくてすべての関連エントリが同じDN内にある場合に適しています。

カスタム ベースDNを指定しない場合、デフォルト値はrootです。つまり、各クエリでディレクトリ全体が検索されます。この場合、LDAPクエリが成功する見込みは最大になりますが、非効率的であったり、大きなLDAPディレクトリではパフォーマンスの大幅な低下につながったりする可能性があります。

LDAPベース スコープは、LDAPクライアントがLDAPクエリを実行するために使用するデフォルトのベース スコープです。ユーザ、グループ、ネットグループの検索を含むすべての検索は、ベース スコープを使用して行われます。LDAPクエリによる検索範囲を、名前付きエントリのみ、DNの1レベル下にあるエントリ、またはDNの下にあるサブツリー全体のどれにするかが決定されます。

カスタム ベース スコープを指定しない場合、デフォルト値はsubtreeです。つまり、各クエリでDNの下にあるサブツリー全体が検索されます。この場合、LDAPクエリが成功する見込みは最大になりますが、非効率的であったり、大きなLDAPディレクトリではパフォーマンスの大幅な低下につながったりする可能性があります。

カスタム ベースおよびスコープ検索値

必要に応じて、ユーザ、グループ、およびネットグループ検索で、別々のベースおよびスコープ値を指定できます。クエリの検索ベースおよびクエリをこうした形で制限すると、検索対象がLDAPディレクトリのより小さなサブセクションに制限されるため、パフォーマンスを大幅に向上できます。

カスタム ベースおよびスコープ値を指定した場合、ユーザ、グループ、およびネットグループ検索の全般的なデフォルト検索ベースおよびスコープは無視されます。カスタム ベースおよびスコープ値を指定するパラメータは、advanced権限レベルで使用できます。

LDAPクライアント パラメータ カスタム指定要素
-base-dn すべてのLDAP検索のベースDN

必要に応じて複数の値を入力できます(ONTAP 9.5以降のリリースでLDAPリファーラル追跡を有効にした場合など)。

-base-scope すべてのLDAP検索のベース スコープ
-user-dn すべてのLDAPユーザ検索のベースDN

このパラメータはユーザ名マッピング検索にも適用されます。

-user-scope すべてのLDAPユーザ検索のベース スコープ

このパラメータはユーザ名マッピング検索にも適用されます。

-group-dn すべてのLDAPグループ検索のベースDN
-group-scope すべてのLDAPグループ検索のベース スコープ
-netgroup-dn すべてのLDAPネットグループ検索のベースDN
-netgroup-scope すべてのLDAPネットグループ検索のベース スコープ

複数のカスタム ベースDN値

LDAPディレクトリが複雑な場合は、特定の情報を求めてLDAPディレクトリの複数の部分を検索するために複数のベースDNの指定が必要になる可能性があります。複数のユーザ、グループ、およびネットグループDNパラメータを指定するには、各パラメータをセミコロンで区切り、DN検索リスト全体を二重引用符(")で囲みます。DNにセミコロンが含まれる場合、DNではセミコロンの直前にエスケープ文字(\)を追加する必要があります。

スコープは、対応するパラメータで指定されているDNのリスト全体に適用されることに注意してください。たとえば、3つの異なるユーザDNのリストとサブツリーをユーザ スコープで指定した場合は、LDAPユーザ検索により、指定された3つのDNのそれぞれでサブツリー全体が検索されます。

また、ONTAP 9.5以降では、LDAPリファーラル追跡を指定することで、プライマリLDAPサーバからLDAPリファーラル応答が返された場合に、ONTAP LDAPクライアントがその他のLDAPサーバへのルックアップ要求を参照することができます。クライアントは、このリファーラル データに記載されたサーバからターゲット オブジェクトを取得します。参照されたLDAPサーバにあるオブジェクトを検索するには、参照されたオブジェクトのベースDNをLDAPクライアント設定の一部としてベースDNに追加します。ただし、参照されたオブジェクトがルックアップされるのは、LDAPクライアントの作成時または変更時にリファーラル追跡を(-referral-enabled trueオプションを使用して)有効にした場合のみです。