LDAP 使用概述
建议更改
PDF
如果在您的环境中使用 LDAP 提供名称服务,则需要与 LDAP 管理员一起确定要求和适当的存储系统配置,然后将 SVM 作为 LDAP 客户端启用。
从 ONTAP 9.10.1 开始,默认情况下, Active Directory 和名称服务 LDAP 连接均支持 LDAP 通道绑定。只有在启用了 Start-TLS 或 LDAPS 且会话安全设置为 sign 或 seal 的情况下, ONTAP 才会尝试使用 LDAP 连接进行通道绑定。要禁用或重新启用与名称服务器的LDAP通道绑定、请使用 -try-channel-binding 参数 ldap client modify 命令:
有关详细信息,请参见 "2020 年 Windows 的 LDAP 通道绑定和 LDAP 签名要求"。
-
在为 ONTAP 配置 LDAP 之前,您应验证站点部署是否符合 LDAP 服务器和客户端配置的最佳实践。具体而言,必须满足以下条件:
-
LDAP 服务器的域名必须与 LDAP 客户端上的条目匹配。
-
LDAP 服务器支持的 LDAP 用户密码哈希类型必须包括 ONTAP 支持的类型:
-
加密(所有类型)和 SHA-1 ( SHA , SSHA )。
-
从 ONTAP 9.8 开始, SHA-2 哈希( SHA-256 , SSH/384 , SHA-512 , SSHA-256 , SSHA-384 和 SSHA-512 )。
-
-
如果 LDAP 服务器需要会话安全措施,则必须在 LDAP 客户端中配置这些措施。
可以使用以下会话安全选项:
-
LDAP 签名(提供数据完整性检查)和 LDAP 签名和签章(提供数据完整性检查和加密)
-
START TLS
-
LDAPS (基于 TLS 或 SSL 的 LDAP )
-
-
要启用签名和签章的 LDAP 查询,必须配置以下服务:
-
LDAP 服务器必须支持 GSSAPI ( Kerberos ) SASL 机制。
-
LDAP 服务器必须在 DNS 服务器上设置 DNS A/AAAA 记录以及 PTR 记录。
-
Kerberos 服务器必须在 DNS 服务器上存在 SRV 记录。
-
-
要启用启动 TLS 或 LDAPS ,应考虑以下几点。
-
NetApp 最佳实践是使用 Start TLS ,而不是 LDAPS 。
-
如果使用 LDAPS ,则必须在 ONTAP 9.5 及更高版本中为 TLS 或 SSL 启用 LDAP 服务器。ONTAP 9.09.4 不支持 SSL 。
-
必须已在域中配置证书服务器。
-
-
要启用 LDAP 转介跟踪(在 ONTAP 9.5 及更高版本中),必须满足以下条件:
-
这两个域都应配置以下信任关系之一:
-
双向
-
单向,主站点信任转介域
-
父 - 子
-
-
必须配置 DNS 以解析所有转介的服务器名称。
-
当 -bind-as-cifs-server 设置为 true 时,域密码应相同以进行身份验证。
-
LDAP 转介跟踪不支持以下配置。
-
对于所有 ONTAP 版本:
-
管理 SVM 上的 LDAP 客户端
-
-
对于 ONTAP 9.8 及更早版本( 9.9.1 及更高版本支持这些功能):
-
LDAP签名和签章(
-session-security选项) -
加密TLS连接(
-use-start-tls选项) -
通过LAPS端口636 (
-use-ldaps-for-ad-ldap选项)
-
-
-
在 SVM 上配置 LDAP 客户端时,必须输入 LDAP 模式。
在大多数情况下,默认 ONTAP 模式之一是合适的。但是,如果环境中的 LDAP 模式与这些模式不同,则必须在创建 LDAP 客户端之前为 ONTAP 创建新的 LDAP 客户端模式。有关您的环境要求,请咨询 LDAP 管理员。
-
不支持使用 LDAP 进行主机名解析。