简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

创建 LDAP 客户端配置

提供者 netapp-thomi

如果您希望 ONTAP 访问环境中的外部 LDAP 服务器,则必须先在存储系统上设置 LDAP 客户端。

AD 域解析列表中的前三个服务器之一必须已启动并提供数据。否则,此任务将失败。

注

有多个服务器,其中有两个以上的服务器在任意时间点关闭。

步骤
  1. 请咨询 LDAP 管理员,以确定 vserver services name-service ldap client create 命令的适当配置值:

    1. 指定与 LDAP 服务器的基于域或基于地址的连接。

      ` -ad-domain` 和 ` -servers` 选项是互斥的。

      • 使用 ` -ad-domain` 选项在 Active Directory 域中启用 LDAP 服务器发现。

        您可以使用 ` -preferred-ad-servers` 选项通过 IP 地址在逗号分隔列表中指定一个或多个首选 Active Directory 服务器。创建客户端后,您可以使用 vserver services name-service ldap client modify 命令修改此列表。

      • 使用 ` -servers` 选项以逗号分隔列表中的 IP 地址指定一个或多个 LDAP 服务器( AD 或 UNIX )。

        注

        在 ONTAP 9.2 中, ` -servers` 选项已弃用。从 ONTAP 9.2 开始, ` -ldap-servers` 字段将取代 ` -servers` 字段。此新字段可以使用 LDAP 服务器的主机名或 IP 地址。

    2. 指定默认或自定义 LDAP 模式。

      大多数 LDAP 服务器都可以使用 ONTAP 提供的默认只读模式。除非另有要求,否则最好使用这些默认模式。如果是,您可以通过复制默认模式(默认模式为只读)并修改副本来创建自己的模式。

      默认模式:

      • MS-AD-BIS

        此模式基于 RFC-2307bis ,是大多数标准 Windows 2012 及更高版本 LDAP 部署的首选 LDAP 模式。

      • AD-IDMU

        此模式基于适用于 UNIX 的 Active Directory 身份管理,适用于大多数 Windows 2008 , Windows 2012 及更高版本的 AD 服务器。

      • AD-SFU

        此模式基于适用于 UNIX 的 Active Directory 服务,适用于大多数 Windows 2003 及更早版本的 AD 服务器。

      • RFC-2307

        根据 RFC-2307 (使用 LDAP 作为网络信息服务的方法 _ ),此模式适用于大多数 UNIX AD 服务器。

    3. 选择绑定值。

      • ` -min-bind-level { anonymous , simple , sasl }` 指定最小绑定身份验证级别。

        默认值为 ` * 匿名 *` 。

      • ` -bind-dn ldap_dn` 指定绑定用户。

        对于 Active Directory 服务器,您必须在帐户(域 \ 用户)或主体( user@domain.com )表单中指定用户。否则,您必须以可分辨名称( CN=user , DC=domain , DC=com )形式指定用户。

      • ` -bind-password password` 指定绑定密码。

    4. 如果需要,选择会话安全选项。

      如果 LDAP 服务器需要,您可以启用 LDAP 签名和签章或基于 TLS 的 LDAP 。

      • ` -session-security { none|sign|seal }`

        您可以启用签名( sign ,数据完整性),签名和密封( seal ,数据完整性和加密)或两者均不启用(none ,无签名或密封)。默认值为 none

        您还应设置 ` -min-bind-level` { sAsl } ,除非您希望在签名和签章绑定失败时绑定身份验证回退到 ` * 匿名 *` 或 ` * 简单 *` 。

      • ` -use-start-tls` {truefalse

        如果设置为 ` * true *` 且 LDAP 服务器支持此设置,则 LDAP 客户端将使用加密的 TLS 连接来连接到服务器。默认值为 ` * false *` 。要使用此选项,您必须安装 LDAP 服务器的自签名根 CA 证书。

      注

      如果 SVM 已将 CIFS 服务器添加到域中,并且 LDAP 服务器是 CIFS 服务器主域的域控制器之一,则可以使用 vserver cifs security modify 命令修改 ` session-security-for-ad-ldap` 选项。

    5. 选择端口,查询和基本值。

      建议使用默认值,但您必须向 LDAP 管理员确认这些值适合您的环境。

      • ` -port port` 指定 LDAP 服务器端口。

        默认值为 389

      如果您计划使用 Start TLS 来保护 LDAP 连接,则必须使用默认端口 389 。启动 TLS 以 LDAP 默认端口 389 上的纯文本连接开头,然后该连接升级到 TLS 。如果更改此端口,则启动 TLS 将失败。

      • ` -query-timeout intege` 指定查询超时(以秒为单位)。

        允许的范围为 1 到 10 秒。默认值为 3 秒。

      • ` -base-dn ldap_dn` 指定基本 DN 。

        如果需要,可以输入多个值(例如,如果启用了 LDAP 转介跟踪)。默认值为 ` ""` ( root )。

      • ` 基础范围` {baseonelevel s subtree } 指定基本搜索范围。

        默认值为 ssubtree

      • ` -referral-enabled` {truefalse } 指定是否已启用 LDAP 转介跟踪。

        从 ONTAP 9.5 开始,如果主 LDAP 服务器返回 LDAP 转介响应,指示转介的 LDAP 服务器上存在所需记录,则 ONTAP LDAP 客户端可以将查找请求转介给其他 LDAP 服务器。默认值为 ` * false *` 。

    要搜索转介 LDAP 服务器中的记录,必须在 LDAP 客户端配置中将转介记录的基础 DN 添加到基础 DN 中。

  2. 在 SVM 上创建 LDAP 客户端配置:

    vserver services name-service ldap client create -vserver vserver_name -client-config client_config_name { -servers ldap_server_list - -ad-domain ad_domain -preferred-ad-servers preferred_ad_server_list -schema schema-port 389 -query-sase-timeout 3 -min-bind bind_password_sport_sl_sfall_sport_sport_sport_sport_sport_sport_snone_snode_sf_sport_snode_sf_sport_sport_snode_sf_snode__sf_sport_sport

    注

    在创建 LDAP 客户端配置时,必须提供 SVM 名称。

  3. 验证是否已成功创建 LDAP 客户端配置:

    vserver services name-service ldap client show -client-config client_config_name

以下命令将为 SVM vs1 创建一个名为 ldap1 的新 LDAP 客户端配置,以便与用于 LDAP 的 Active Directory 服务器配合使用:

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 –ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level simple -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100

以下命令将为 SVM vs1 创建一个名为 ldap1 的新 LDAP 客户端配置,以便与需要签名和签章的 LDAP 的 Active Directory 服务器配合使用:

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 –ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100 -session-security seal

以下命令将为 SVM vs1 创建一个名为 ldap1 的新 LDAP 客户端配置,以便在需要 LDAP 转介跟踪的情况下使用 Active Directory 服务器:

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 –ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -base-scope subtree -preferred-ad-servers 172.17.32.100 -referral-enabled true

以下命令通过指定基本 DN 来修改 SVM vs1 的 LDAP 客户端配置 ldap1 :

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn CN=Users,DC=addomain,DC=example,DC=com

以下命令通过启用转介跟踪来修改 SVM vs1 的 LDAP 客户端配置 ldap1 :

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com"  -referral-enabled true