Visão geral do LDAP
Um servidor LDAP (Lightweight Directory Access Protocol) permite manter centralmente as informações do usuário. Se você armazenar seu banco de dados de usuários em um servidor LDAP em seu ambiente, poderá configurar seu sistema de storage para procurar informações de usuário em seu banco de dados LDAP existente.
-
Antes de configurar o LDAP para ONTAP, você deve verificar se a implantação do site atende às práticas recomendadas para configuração do servidor LDAP e do cliente. Em especial, devem ser satisfeitas as seguintes condições:
-
O nome de domínio do servidor LDAP deve corresponder à entrada no cliente LDAP.
-
Os tipos de hash de senha do usuário LDAP suportados pelo servidor LDAP devem incluir aqueles suportados pelo ONTAP:
-
CRYPT (todos os tipos) e SHA-1 (SHA, SSHA).
-
A partir do ONTAP 9.8, hashes SHA-2 (SHA-256, SSH-384, SHA-512, SSHA-256, SSHA-384 e SSHA-512) também são suportados.
-
-
Se o servidor LDAP exigir medidas de segurança de sessão, você deve configurá-las no cliente LDAP.
As seguintes opções de segurança de sessão estão disponíveis:
-
Assinatura LDAP (fornece verificação de integridade de dados) e assinatura e vedação LDAP (fornece verificação e criptografia de integridade de dados)
-
INICIE O TLS
-
LDAPS (LDAP sobre TLS ou SSL)
-
-
Para ativar consultas LDAP assinadas e seladas, os seguintes serviços devem ser configurados:
-
Os servidores LDAP devem suportar o mecanismo SASL GSSAPI (Kerberos).
-
Os servidores LDAP devem ter Registros DNS A/AAAA, bem como Registros PTR configurados no servidor DNS.
-
Os servidores Kerberos devem ter Registros SRV presentes no servidor DNS.
-
-
Para ativar o TLS ou LDAPS, os seguintes pontos devem ser considerados.
-
É uma prática recomendada do NetApp usar Iniciar TLS em vez de LDAPS.
-
Se o LDAPS for usado, o servidor LDAP deve estar habilitado para TLS ou SSL no ONTAP 9.5 e posterior. O SSL não é suportado no ONTAP 9.0-9,4.
-
Um servidor de certificados já deve estar configurado no domínio.
-
-
Para ativar a perseguição de referência LDAP (no ONTAP 9.5 e posterior), as seguintes condições devem ser satisfeitas:
-
Ambos os domínios devem ser configurados com uma das seguintes relações de confiança:
-
Bidirecional
-
One-way, onde o primário confia no domínio de referência
-
Pai-filho
-
-
O DNS deve ser configurado para resolver todos os nomes de servidor referidos.
-
As senhas de domínio devem ser iguais para autenticar quando
--bind-as-cifs-server
definidas como verdadeiro.
-
As configurações a seguir não são suportadas com a busca por referência LDAP.
-
Para todas as versões do ONTAP:
-
Clientes LDAP em um SVM admin
-
Para o ONTAP 9.8 e versões anteriores (eles são suportados em 9.9.1 e posteriores):
-
Assinatura e selagem LDAP (a
-session-security
opção) -
Conexões TLS criptografadas (a
-use-start-tls
opção) -
Comunicações através da porta LDAPS 636 (a
-use-ldaps-for-ad-ldap
opção)
-
-
Começando com ONTAP 9.11,1, você pode usar "Ligação rápida LDAP para autenticação nsswitch."
-
Você deve inserir um esquema LDAP ao configurar o cliente LDAP no SVM.
Na maioria dos casos, um dos esquemas ONTAP padrão será apropriado. No entanto, se o esquema LDAP em seu ambiente for diferente desses, você deverá criar um novo esquema de cliente LDAP para o ONTAP antes de criar o cliente LDAP. Consulte o administrador LDAP sobre os requisitos para o seu ambiente.
-
O uso do LDAP para resolução de nome de host não é suportado.
Para obter informações adicionais, "Relatório técnico do NetApp 4835: Como configurar o LDAP no ONTAP"consulte .