LDAPS概念
您必須瞭ONTAP 解有關如何保護LDAP通訊的某些詞彙與概念。支援使用start TLS或LDAPS、在Active Directory整合式LDAP伺服器或UNIX型LDAP伺服器之間設定驗證工作階段。ONTAP
術語
您應該瞭ONTAP 解某些詞彙、瞭解如何使用LDAPS來保護LDAP通訊安全。
-
* LDAP *
(輕量型目錄存取傳輸協定)一種用於存取和管理資訊目錄的傳輸協定。LDAP是用來儲存使用者、群組和網路群組等物件的資訊目錄。LDAP也提供目錄服務、可管理這些物件並滿足LDAP用戶端的LDAP要求。
-
* SSL *
(安全通訊端層)一種通訊協定、專為透過網際網路安全傳送資訊而開發。ONTAP 9 及更新版本支援 SSL 、但已不再採用 TLS 。
-
* TLS *
(傳輸層安全性)一種根據舊版SSL規格追蹤傳輸協定的IETF標準。這是SSL的後續版本。ONTAP 9.5 及更新版本支援 TLS 。
-
* LDAPS(LDAP over SSL或TLS)*
一種傳輸協定、使用TLS或SSL來保護LDAP用戶端與LDAP伺服器之間的通訊安全。術語 LDAP over SSL 和 LDAP over TLS 有時會互換使用。ONTAP 9.5 及更新版本支援 LDAPS 。
-
在S69.5 - 9.8中ONTAP 、LDAPS只能在連接埠636上啟用。若要這麼做、請使用
-use-ldaps-for-ad-ldap
參數vserver cifs security modify
命令。 -
從ONTAP 推出《支援支援支援支援服務的支援服務:支援服務器支援服務」、從功能支援服務的支援服務開始、您可以在任何連接埠上啟用LDAPS、但連接埠636仍為預設若要這麼做、請設定
-ldaps-enabled
參數至true
並指定所需的-port
參數。如需詳細資訊、請參閱vserver services name-service ldap client create
手冊頁
使用Start TLS而非LDAPS是NetApp最佳實務做法。
-
-
啟動TLS
(也稱為_start_tls_、_startTLs_和_StartTLS)一種機制、可透過TLS傳輸協定提供安全的通訊。
支援使用STARTTLS來保護LDAP通訊安全、並使用預設的LDAP連接埠(389)與LDAP伺服器通訊。ONTAPLDAP伺服器必須設定為允許透過LDAP連接埠389進行連線、否則SVM與LDAP伺服器之間的LDAP TLS連線將會失敗。
如何使用LDAPS ONTAP
支援TLS伺服器驗證、可讓SVM LDAP用戶端在連結作業期間確認LDAP伺服器的身分。ONTAP啟用TLS的LDAP用戶端可使用公開金鑰密碼編譯的標準技術、檢查伺服器的憑證和公開ID是否有效、以及是否已由用戶端信任CA清單中所列的憑證授權單位(CA)核發。
LDAP支援使用TLS加密通訊的ARTTLS。StartTLS會以純文字連線形式透過標準LDAP連接埠(389)開始、然後將該連線升級為TLS。
支援下列項目:ONTAP
-
LDAPS用於Active Directory整合式LDAP伺服器與SVM之間的SMB相關流量
-
LDAP流量的LDAPS、用於名稱對應和其他UNIX資訊
Active Directory整合式LDAP伺服器或UNIX型LDAP伺服器均可用來儲存LDAP名稱對應和其他UNIX資訊的資訊、例如使用者、群組和網路群組。
-
自我簽署的根CA憑證
使用Active Directory整合式LDAP時、會在網域中安裝Windows Server憑證服務時產生自我簽署的根憑證。使用UNIX LDAP伺服器進行LDAP名稱對應時、會使用適合該LDAP應用程式的方法、產生並儲存自我簽署的根憑證。
根據預設、LDAPS會停用。