创建 LDAP 客户端配置

如果您希望 ONTAP 能够在您的环境中访问外部 LDAP 服务器,则必须先在存储系统上设置 LDAP 客户端。

开始之前

AD 域解析列表中的前三个服务器之一必须已启动且正在提供数据。否则,此任务将失败。

注:此列表包含多个服务器,在任意时刻会有两个以上的服务器处于关闭状态。

步骤

  1. 要确定适用于 vserver services name-service ldap client create 命令的配置值,请咨询 LDAP 管理员:
    1. 指定基于域或基于地址的 LDAP 服务器连接。
      -ad-domain-servers 选项不能一起使用。
      • 使用 -ad-domain 选项在 Active Directory 域中发现 LDAP 服务器。

        您可以使用 -preferred-ad-servers 选项通过 IP 地址指定一个或多个首选 Active Directory 服务器并以英文逗号分隔。创建客户端后,您可以使用 vserver services name-service ldap client modify 命令来修改此列表。

      • 使用 -servers 选项通过 IP 地址指定一个或多个 LDAP 服务器(AD 或 UNIX)并以英文逗号分隔。
      注:-servers 选项已在 ONTAP 9.2 中弃用。从 ONTAP 9.2 开始,-ldap-servers 字段将取代 -servers 字段。此新字段可以使用 LDAP 服务器的主机名或 IP 地址。
    2. 指定默认或自定义 LDAP 模式。
      大多数 LDAP 服务器都可以使用 ONTAP 提供的默认只读模式。除非另有要求,否则最好使用这些默认模式。如果需要,您可以复制一个默认只读模式并修改其副本来创建自己的模式。

      默认模式:

      • AD-IDMU

        此模式采用适用于 UNIX 的 Active Directory 身份管理,适合大多数 Windows 2008、Windows 2012 及更高版本的 AD 服务器。

      • AD-SFU

        此模式采用适用于 UNIX 的 Active Directory 服务,适合大多数 Windows 2003 及更早版本的 AD 服务器。

      • RFC-2307

        此模式采用 RFC-2307(《使用 LDAP 作为网络信息服务的方法》),适合大多数 UNIX AD 服务器。

    3. 选择绑定值。
      • -min-bind-level {anonymous|simple|sasl} 用于指定最小绑定身份验证级别。

        默认值为 anonymous

      • -bind-dn LDAP_DN 用于指定绑定用户。

        对于 Active Directory 服务器,必须以帐户(域\用户)或主体(用户@域.com)形式指定此用户。否则,必须以可分辨名称(CN=用户,DC=域,DC=com)形式指定此用户。

      • -bind-password password 用于指定绑定密码。
    4. 选择会话安全选项(如果需要)。
      根据 LDAP 服务器的需要,您可以启用 LDAP 签名和签章或基于 TLS 的 LDAP。
      • --session-security {none|sign|seal}

        您可以启用签名(sign,数据完整性)或签名和签章(seal,数据完整性和加密),也可以两者都不启用(none,无签名和签章)。默认值为 none

        此外,您还应设置 -min-bind-level {sasl},除非您希望在签名和签章绑定失败时使绑定身份验证回退到 anonymoussimple

      • -use-start-tls {true|false}

        如果设置为 true,并且 LDAP 服务器支持此设置,则 LDAP 客户端将通过加密 TLS 连接来连接到服务器。默认值为 false。要使用此选项,您必须先安装 LDAP 服务器的自签名根 CA 证书。

      注:如果 SVM 已将某个 CIFS 服务器添加到域中,并且 LDAP 服务器是此 CIFS 服务器的主域的域控制器之一,则可以使用 vserver cifs security modify 命令修改 -session-security-for-ad-ldap 选项。
    5. 选择端口、查询和基本值。
      建议使用默认值,但您必须向 LDAP 管理员确认其适合您的环境。
      • -port port 用于指定 LDAP 服务器端口。

        默认值为 389

        如果您要使用 Start TLS 来保护 LDAP 连接,则必须使用默认端口 389。Start TLS 会先通过 LDAP 默认端口 389 进行纯文本连接,然后将此连接升级为 TLS。如果更改了此端口,Start TLS 将失败。

      • -query-timeout integer 用于指定查询超时(以秒为单位)。

        允许的范围介于 1 到 10 秒之间。默认值为 3 秒。

      • -base-dn LDAP_DN 用于指定基础 DN。

        如果需要,可以输入多个值(例如启用 LDAP 转介跟踪之后)。默认值为 "" (root)。

      • -base-scope {base|onelevel|subtree} 用于指定基本搜索范围。

        默认值为 subtree

      • -referral-enabled {true|false} 用于指定是否启用 LDAP 转介跟踪。

        从 ONTAP 9.5 开始,如果主 ONTAP 服务器返回的 LDAP 转介响应指示其他 LDAP 服务器上存在所需的记录,则可通过此功能使 ONTAP LDAP 客户端将查找请求转介给这些 LDAP 服务器。默认值为 false

        要搜索转介 LDAP 服务器中的记录,必须将此转介记录的基础 DN 添加到 LDAP 客户端配置的基础 DN 中。

  2. SVM 上创建 LDAP 客户端配置:vserver services name-service ldap client create -vserver vserver_name -client-config client_config_name {-servers LDAP_server_list | -ad-domain ad_domain -preferred-ad-servers preferred_ad_server_list -schema schema -port 389 -query-timeout 3 -min-bind-level {anonymous|simple|sasl} -bind-dn LDAP_DN -bind-password password -base-dn LDAP_DN -base-scope subtree -session-security {none|sign|seal} [-referral-enabled {true|false}]
    注:在创建 LDAP 客户端配置时,您必须提供 SVM 名称。
  3. 验证是否已成功创建 LDAP 客户端配置:vserver services name-service ldap client show -client-config client_config_name

示例

以下命令会为 SVM vs1 创建一个新的 LDAP 客户端配置 ldap1,以便使用适用于 LDAP 的 Active Directory 服务器:

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 –ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level simple -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100

以下命令会为 SVM vs1 创建一个新的 LDAP 客户端配置 ldap1,以便使用适用于 LDAP 的 Active Directory 服务器(此服务器需要签名和签章):

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 –ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100 -session-security seal

以下命令会为 SVM vs1 创建一个新的 LDAP 客户端配置 ldap1,以便使用适用于 LDAP 的 Active Directory 服务器(此服务器需要 LDAP 转介跟踪):

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 –ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -base-scope subtree -preferred-ad-servers 172.17.32.100 -referral-enabled true

以下命令会通过指定基础 DN 来修改 SVM vs1 的 LDAP 客户端配置 ldap1:

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn CN=Users,DC=addomain,DC=example,DC=com

以下命令会通过启用转介跟踪来修改 SVM vs1 的 LDAP 客户端配置 ldap1:

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com"  -referral-enabled true