Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Visão geral do uso do LDAP

Colaboradores

Se o LDAP for usado no ambiente para serviços de nomes, você precisará trabalhar com o administrador LDAP para determinar os requisitos e as configurações do sistema de storage apropriadas e, em seguida, ativar o SVM como cliente LDAP.

A partir do ONTAP 9.10,1, a vinculação de canal LDAP é suportada por padrão para conexões LDAP do ative Directory e serviços de nome. O ONTAP tentará a vinculação de canais com conexões LDAP somente se o Start-TLS ou LDAPS estiver ativado junto com a segurança da sessão definida para assinar ou selar. Para desativar ou reativar a vinculação de canais LDAP com servidores de nomes, use o -try-channel-binding parâmetro com o ldap client modify comando.

  • Antes de configurar o LDAP para ONTAP, você deve verificar se a implantação do site atende às práticas recomendadas para configuração do servidor LDAP e do cliente. Em especial, devem ser satisfeitas as seguintes condições:

    • O nome de domínio do servidor LDAP deve corresponder à entrada no cliente LDAP.

    • Os tipos de hash de senha do usuário LDAP suportados pelo servidor LDAP devem incluir aqueles suportados pelo ONTAP:

      • CRYPT (todos os tipos) e SHA-1 (SHA, SSHA).

      • A partir do ONTAP 9.8, hashes SHA-2 (SHA-256, SSH-384, SHA-512, SSHA-256, SSHA-384 e SSHA-512) também são suportados.

    • Se o servidor LDAP exigir medidas de segurança de sessão, você deve configurá-las no cliente LDAP.

      As seguintes opções de segurança de sessão estão disponíveis:

      • Assinatura LDAP (fornece verificação de integridade de dados) e assinatura e vedação LDAP (fornece verificação e criptografia de integridade de dados)

      • INICIE O TLS

      • LDAPS (LDAP sobre TLS ou SSL)

    • Para ativar consultas LDAP assinadas e seladas, os seguintes serviços devem ser configurados:

      • Os servidores LDAP devem suportar o mecanismo SASL GSSAPI (Kerberos).

      • Os servidores LDAP devem ter Registros DNS A/AAAA, bem como Registros PTR configurados no servidor DNS.

      • Os servidores Kerberos devem ter Registros SRV presentes no servidor DNS.

    • Para ativar o TLS ou LDAPS, os seguintes pontos devem ser considerados.

      • É uma prática recomendada do NetApp usar Iniciar TLS em vez de LDAPS.

      • Se o LDAPS for usado, o servidor LDAP deve estar habilitado para TLS ou SSL no ONTAP 9.5 e posterior. O SSL não é suportado no ONTAP 9.0-9,4.

      • Um servidor de certificados já deve estar configurado no domínio.

    • Para ativar a perseguição de referência LDAP (no ONTAP 9.5 e posterior), as seguintes condições devem ser satisfeitas:

      • Ambos os domínios devem ser configurados com uma das seguintes relações de confiança:

        • Bidirecional

        • One-way, onde o primário confia no domínio de referência

        • Pai-filho

      • O DNS deve ser configurado para resolver todos os nomes de servidor referidos.

      • As senhas de domínio devem ser as mesmas para autenticar quando --bind-as-cifs-server definido como true.

    Observação

    As configurações a seguir não são suportadas com a busca por referência LDAP.

    • Para todas as versões do ONTAP:

      • Clientes LDAP em um SVM admin

    • Para o ONTAP 9.8 e versões anteriores (eles são suportados em 9.9.1 e posteriores):

      • Assinatura e selagem LDAP (a -session-security opção)

      • Conexões TLS criptografadas (a -use-start-tls opção)

      • Comunicações através da porta LDAPS 636 (a -use-ldaps-for-ad-ldap opção)

  • Você deve inserir um esquema LDAP ao configurar o cliente LDAP no SVM.

    Na maioria dos casos, um dos esquemas ONTAP padrão será apropriado. No entanto, se o esquema LDAP em seu ambiente for diferente desses, você deverá criar um novo esquema de cliente LDAP para o ONTAP antes de criar o cliente LDAP. Consulte o administrador LDAP sobre os requisitos para o seu ambiente.

  • O uso do LDAP para resolução de nome de host não é suportado.