LDAP 目录搜索的配置选项
您可以通过配置 ONTAP LDAP 客户端以最适合您的环境的方式连接到 LDAP 服务器来优化 LDAP 目录搜索,包括用户,组和网络组信息。您需要了解默认 LDAP 基础和范围搜索值何时足够,以及在自定义值更合适时需要指定哪些参数。
LDAP 客户端的用户,组和网络组信息搜索选项有助于避免 LDAP 查询失败,从而避免客户端无法访问存储系统。它们还有助于确保搜索尽可能高效,以避免客户端性能问题。
默认基础和范围搜索值
LDAP 基础是 LDAP 客户端用于执行 LDAP 查询的默认基础 DN 。所有搜索,包括用户,组和网络组搜索,均使用基础 DN 完成。如果 LDAP 目录相对较小且所有相关条目都位于同一 DN 中,则此选项适用。
如果未指定自定义基础DN、则默认值为 root
。这意味着每个查询都会搜索整个目录。尽管这样可以最大限度地提高 LDAP 查询成功的机会,但它效率低下,并会显著降低大型 LDAP 目录的性能。
LDAP 基础范围是 LDAP 客户端用于执行 LDAP 查询的默认搜索范围。所有搜索,包括用户,组和网络组搜索,均使用基础范围完成。它将确定 LDAP 查询是仅搜索命名条目, DN 下一级的条目还是该 DN 下的整个子树。
如果未指定自定义基础范围、则默认值为 subtree
。这意味着每个查询都会搜索 DN 下的整个子树。尽管这样可以最大限度地提高 LDAP 查询成功的机会,但它效率低下,并会显著降低大型 LDAP 目录的性能。
自定义基础和范围搜索值
您也可以为用户,组和网络组搜索指定单独的基准值和范围值。通过这种方式限制查询的搜索基础和范围可以显著提高性能,因为它会将搜索限制为 LDAP 目录的较小部分。
如果指定自定义基础值和范围值,则这些值将覆盖用户,组和网络组搜索的常规默认搜索基础和范围。用于指定自定义基础值和范围值的参数可在高级权限级别使用。
LDAP 客户端参数 … |
指定自定义 … |
|
所有 LDAP 搜索的基础 DN 如果需要,可以输入多个值(例如,如果在 ONTAP 9.5 及更高版本中启用了 LDAP 转介跟踪)。 |
|
所有 LDAP 搜索的基本范围 |
|
所有 LDAP 用户搜索的基础 DNS 此参数也适用于适用场景用户名映射搜索。 |
|
所有 LDAP 用户搜索的基本范围此参数也适用于适用场景用户名映射搜索。 |
|
所有 LDAP 组搜索的基础 DNS |
|
所有 LDAP 组搜索的基础范围 |
|
所有 LDAP 网络组搜索的基础 DNS |
|
所有 LDAP 网络组搜索的基本范围 |
多个自定义基础 DN 值
如果 LDAP 目录结构更复杂,则可能需要指定多个基础 DNS 来搜索 LDAP 目录的多个部分以查找某些信息。您可以为用户,组和网络组 DN 参数指定多个 DNS ,方法是使用分号(;)将其分隔开,并使用双引号( " )将整个 DN 搜索列表括起来。如果 DN 包含分号,则必须在 DN 中的分号前面添加一个转义字符( \ )。
请注意,范围适用场景是为相应参数指定的整个 DNS 列表。例如,如果为用户范围指定了一个包含三个不同用户 DNS 和子树的列表,则 LDAP 用户搜索将在整个子树中搜索三个指定 DNS 中的每个 DNS 。
从 ONTAP 9.5 开始,您还可以指定 ldap_referral Chasing ,这样,如果主 LDAP 服务器未返回 LDAP 转介响应,则 ONTAP LDAP 客户端可以将查找请求转介给其他 LDAP 服务器。客户端使用该转介数据从转介数据中所述的服务器检索目标对象。要搜索转介 LDAP 服务器中的对象,可以在 LDAP 客户端配置中将转介对象的基础 DN 添加到基础 DN 中。但是、只有在启用转介跟踪(使用)后、才会查找转介对象 -referral-enabled true
选项)。