Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

创建 LDAP 客户端配置

贡献者
PDF

如果您希望ONTAP访问您环境中的外部LDAP或Active Directory服务、则需要先在存储系统上设置LDAP客户端。

您需要的内容

Active Directory域解析列表中前三个服务器之一必须已启动并提供数据。否则,此任务将失败。

备注

有多个服务器、其中在任意时间点有两个以上的服务器停机。
步骤

  1. 请咨询LDAP管理员以确定的适当配置值 vserver services name-service ldap client create 命令:

    1. 指定与 LDAP 服务器的基于域或基于地址的连接。

      -ad-domain-servers 选项不能同时使用。

      • 使用 -ad-domain 选项以在Active Directory域中启用LDAP服务器发现。

        • 您可以使用 -restrict-discovery-to-site 用于将LDAP服务器发现限制为指定域的CIFS默认站点的选项。如果使用此选项、则还需要使用指定CIFS默认站点 -default-site

      • 您可以使用 -preferred-ad-servers 此选项可按IP地址在逗号分隔列表中指定一个或多个首选Active Directory服务器。创建客户端后、您可以使用修改此列表 vserver services name-service ldap client modify 命令:

      • 使用 -servers 可选择通过IP地址在逗号分隔列表中指定一个或多个LDAP服务器(Active Directory或UNIX)。

        备注

        -servers 选项在ONTAP 9.2中已弃用。从ONTAP 9.2开始、 -ldap-servers 字段将取代 -servers 字段。此字段可以使用LDAP服务器的主机名或IP地址。

    2. 指定默认或自定义 LDAP 模式。

      大多数 LDAP 服务器都可以使用 ONTAP 提供的默认只读模式。除非另有要求,否则最好使用这些默认模式。如果是,您可以通过复制默认模式(默认模式为只读)并修改副本来创建自己的模式。

      默认模式:

      • MS-AD-BIS

        此模式基于 RFC-2307bis ,是大多数标准 Windows 2012 及更高版本 LDAP 部署的首选 LDAP 模式。

      • AD-IDMU

        此模式基于适用于 UNIX 的 Active Directory 身份管理,适用于大多数 Windows 2008 , Windows 2012 及更高版本的 AD 服务器。

      • AD-SFU

        此模式基于适用于 UNIX 的 Active Directory 服务,适用于大多数 Windows 2003 及更早版本的 AD 服务器。

      • RFC-2307

        根据 RFC-2307 (使用 LDAP 作为网络信息服务的方法 _ ),此模式适用于大多数 UNIX AD 服务器。

    3. 选择绑定值。

      • -min-bind-level {anonymous|simple|sasl} 指定最低绑定身份验证级别。

        默认值为 anonymous

      • -bind-dn LDAP_DN 指定绑定用户。

        对于 Active Directory 服务器,您必须在帐户(域 \ 用户)或主体( user@domain.com )表单中指定用户。否则,您必须以可分辨名称( CN=user , DC=domain , DC=com )形式指定用户。

      • -bind-password password 指定绑定密码。

    4. 如果需要,选择会话安全选项。

      如果 LDAP 服务器需要,您可以启用 LDAP 签名和签章或基于 TLS 的 LDAP 。

      • --session-security {none|sign|seal}

        您可以启用签名 (sign、数据完整性)、签名和签章 (seal`数据完整性和加密)、或者两者都不是 `none,无签名或签章)。默认值为 none

        您还应设置 -min-bind-level {sasl},除非您希望绑定身份验证回退到 anonymoussimple 签名和签章绑定失败时。

      • -use-start-tls {true|false

        如果设置为 true 如果LDAP服务器支持此功能、则LDAP客户端将使用加密TLS连接连接到该服务器。默认值为 false。要使用此选项,您必须安装 LDAP 服务器的自签名根 CA 证书。

      备注

      如果Storage VM已将SMB服务器添加到域中、并且LDAP服务器是SMB服务器主域的域控制器之一、则可以修改 -session-security-for-ad-ldap 选项 vserver cifs security modify 命令:

    5. 选择端口,查询和基本值。

      建议使用默认值,但您必须向 LDAP 管理员确认这些值适合您的环境。

      • -port port 指定LDAP服务器端口。

        默认值为 389

      如果您计划使用 Start TLS 来保护 LDAP 连接,则必须使用默认端口 389 。启动 TLS 以 LDAP 默认端口 389 上的纯文本连接开头,然后该连接升级到 TLS 。如果更改此端口,则启动 TLS 将失败。

      • -query-timeout integer 指定查询超时(以秒为单位)。

        允许的范围为 1 到 10 秒。默认值为 3 秒。

      • -base-dn LDAP_DN 指定基础DN。

        如果需要,可以输入多个值(例如,如果启用了 LDAP 转介跟踪)。默认值为 "" (root)。

      • -base-scope {base|onelevel|subtree}指定基本搜索范围。

        默认值为 subtree

      • -referral-enabled {true|false}指定是否启用LDAP转介跟踪。

        从 ONTAP 9.5 开始,如果主 LDAP 服务器返回 LDAP 转介响应,指示转介的 LDAP 服务器上存在所需记录,则 ONTAP LDAP 客户端可以将查找请求转介给其他 LDAP 服务器。默认值为 false

    要搜索转介 LDAP 服务器中的记录,必须在 LDAP 客户端配置中将转介记录的基础 DN 添加到基础 DN 中。

  2. 在Storage VM上创建LDAP客户端配置:

    vserver services name-service ldap client create -vserver vserver_name -client-config client_config_name {-servers LDAP_server_list | -ad-domain ad_domain} -preferred-ad-servers preferred_ad_server_list -restrict-discovery-to-site {true|false} -default-site CIFS_default_site -schema schema -port 389 -query-timeout 3 -min-bind-level {anonymous|simple|sasl} -bind-dn LDAP_DN -bind-password password -base-dn LDAP_DN -base-scope subtree -session-security {none|sign|seal} [-referral-enabled {true|false}]

    备注

    创建LDAP客户端配置时、必须提供Storage VM名称。

  3. 验证是否已成功创建 LDAP 客户端配置:

    vserver services name-service ldap client show -client-config client_config_name

示例

以下命令将为Storage VM VS1创建一个名为ldap1的新LDAP客户端配置、以便与适用于LDAP的Active Directory服务器配合使用:

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level simple -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100

以下命令将为Storage VM VS1创建一个名为ldap1的新LDAP客户端配置、以便与需要签名和签章的LDAP的Active Directory服务器配合使用、并且LDAP服务器发现仅限于指定域的特定站点:

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -restrict-discovery-to-site true -default-site cifsdefaultsite.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100 -session-security seal

以下命令将为Storage VM VS1创建一个名为ldap1的新LDAP客户端配置、以便与需要LDAP转介跟踪的LDAP Active Directory服务器配合使用:

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -base-scope subtree -preferred-ad-servers 172.17.32.100 -referral-enabled true

以下命令通过指定基础DN来修改Storage VM VS1的LDAP客户端配置ldap1:

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn CN=Users,DC=addomain,DC=example,DC=com

以下命令通过启用转介跟踪来修改Storage VM VS1的LDAP客户端配置ldap1:

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com"  -referral-enabled true