LDAP總覽
建議變更
PDF
LDAP(輕量型目錄存取傳輸協定)伺服器可讓您集中維護使用者資訊。如果您將使用者資料庫儲存在環境中的LDAP伺服器上、您可以設定儲存系統、以便在現有的LDAP資料庫中查詢使用者資訊。
-
在設定LDAP ONTAP 以供使用之前、您應確認您的站台部署符合LDAP伺服器和用戶端組態的最佳實務做法。尤其必須符合下列條件:
-
LDAP伺服器的網域名稱必須符合LDAP用戶端上的項目。
-
LDAP伺服器支援的LDAP使用者密碼雜湊類型必須包含ONTAP 下列項目:
-
加密(所有類型)和SHA-1(SHa、SSHA)。
-
從ONTAP 《Sf9.8》、《SHA-2雜湊》(SHA-256、SSH-384、SHA-512、SSHA-256、 也支援SSHA-384和SSHA-512)。
-
-
如果LDAP伺服器需要工作階段安全性措施、您必須在LDAP用戶端中進行設定。
下列工作階段安全性選項可供使用:
-
LDAP簽署(提供資料完整性檢查)及LDAP簽署與密封(提供資料完整性檢查與加密)
-
啟動TLS
-
LDAPS(LDAP over TLS或SSL)
-
-
若要啟用已簽署和密封的LDAP查詢、必須設定下列服務:
-
LDAP伺服器必須支援GSPI(Kerberos)SASL機制。
-
LDAP伺服器必須在DNS伺服器上設定DNS A/AAAA記錄和PTr記錄。
-
Kerberos伺服器必須在DNS伺服器上存在SRV.記錄。
-
-
若要啟用Start TLS或LDAPS、應考慮下列事項。
-
使用Start TLS而非LDAPS是NetApp最佳實務做法。
-
如果使用LDAPS、則LDAP伺服器必須在ONTAP 支援TLS或支援SSL的情況下、於支援更新版本的支援更新版本中啟用。不支援SSL。ONTAP
-
必須已在網域中設定憑證伺服器。
-
-
若要啟用LDAP參照追蹤(ONTAP 在更新版本的版本中)、必須滿足下列條件:
-
這兩個網域都應設定下列其中一個信任關係:
-
雙向
-
單向、主要信任參照網域
-
父-子
-
-
DNS必須設定為解析所有參照的伺服器名稱。
-
網域密碼應相同、以在何時進行驗證
--bind-as-cifs-server設為 true 。
-
LDAP參照追蹤不支援下列組態。
-
所有ONTAP 版本:
-
管理SVM上的LDAP用戶端
-
適用於更新版本的支援功能(9.9.1及更新版本均支援)ONTAP :
-
LDAP 簽署與密封(
-session-security選項) -
加密 TLS 連線(
-use-start-tls選項) -
透過 LDAPS 連接埠 636 (
-use-ldaps-for-ad-ldap選項)
-
-
從功能性的版本起、您就可以開始使用ONTAP "用於nsswitch驗證的LDAP快速連結。"
-
在SVM上設定LDAP用戶端時、您必須輸入LDAP架構。
在大多數情況下、預設ONTAP 的架構之一將是適當的。不過、如果您環境中的LDAP架構與這些架構不同、則必須先建立新的LDAP用戶端架構ONTAP 以供使用、才能建立LDAP用戶端。請洽詢您的LDAP管理員、瞭解您環境的需求。
-
不支援使用LDAP進行主機名稱解析。
如需其他資訊、請參閱 "NetApp技術報告4835:如何在ONTAP 功能方面設定LDAP"。