使用LDAP快速連結進行Nsswitch驗證
建議變更
PDF
從SURF9.11.1開始ONTAP 、您可以利用LDAP _fast bind_Functionality(也稱為_並行 連結)、以更快、更簡單的用戶端驗證要求。若要使用此功能、LDAP伺服器必須支援快速連結功能。
如果沒有快速連結、ONTAP 則使用LDAP Simple Bind來驗證LDAP伺服器的管理使用者。利用這種驗證方法、ONTAP 將使用者或群組名稱傳送至LDAP伺服器、接收儲存的雜湊密碼、並將伺服器雜湊代碼與本機使用者密碼產生的雜湊密碼進行比較。如果完全相同、ONTAP 則此功能會授予登入權限。
利用快速連結功能、ONTAP 透過安全連線、僅將使用者認證(使用者名稱和密碼)傳送至LDAP伺服器。然後LDAP伺服器會驗證這些認證資料、並指示ONTAP 資訊技術授予登入權限。
快速連結的優點之一是ONTAP 、不需要支援LDAP伺服器所支援的每一種新雜湊演算法、因為密碼雜湊是由LDAP伺服器執行。
您可以使用現有的LDAP用戶端組態進行LDAP快速連結。不過、強烈建議將LDAP用戶端設定為TLS或LDAPS、否則密碼會以純文字透過線路傳送。
若要在ONTAP 整個環境中啟用LDAP快速連結、您必須滿足下列需求:
-
必須在支援快速連結的LDAP伺服器上設定支援使用者的支援。ONTAP
-
必須在名稱服務交換器(nsswitch)資料庫中設定LDAP的支援功能。ONTAP
-
必須使用FAST Bind設定NS交換 器驗證的使用者和群組帳戶。ONTAP
-
請向LDAP管理員確認LDAP伺服器支援LDAP快速連結。
-
確保ONTAP LDAP伺服器上已設定了這個使用者認證資料。
-
確認已針對LDAP快速連結正確設定管理或資料SVM。
-
若要確認LDAP FAST Bind伺服器已列在LDAP用戶端組態中、請輸入:
vserver services name-service ldap client show -
以確認
ldap是 nsswitch 設定的來源之一passwd資料庫、輸入:vserver services name-service ns-switch show
-
-
確保管理使用者正在使用nsswitch進行驗證、且其帳戶中已啟用LDAP快速連結驗證。
-
對於現有使用者、請輸入
security login modify並驗證下列參數設定:-authentication-method nsswitch
-is-ldap-fastbind true-
如需新的管理員使用者、請參閱"啟用LDAP或NIS帳戶存取。"
-