本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

建立LDAP用戶端組態

01/03/2024 貢獻者

PDF

如果您想要 ONTAP 存取環境中的外部 LDAP 或 Active Directory 服務、則必須先在儲存系統上設定 LDAP 用戶端。

您需要的產品

Active Directory 網域解析清單中前三部伺服器之一必須為正常運作並提供資料。否則、此工作將會失敗。

有多部伺服器、其中有兩部以上的伺服器在任何時間點停機。

步驟

請洽詢您的 LDAP 管理員、以決定的適當組態值 vserver services name-service ldap client create 命令：

指定與LDAP伺服器的網域型或位址型連線。

。 -ad-domain 和 -servers 選項是互斥的。
- 使用 -ad-domain 在 Active Directory 網域中啟用 LDAP 伺服器探索的選項。
  - 您可以使用 -restrict-discovery-to-site 將 LDAP 伺服器探索限制在指定網域的 CIFS 預設網站的選項。如果使用此選項、您也需要使用指定 CIFS 預設站台 -default-site。
- 您可以使用 -preferred-ad-servers 選項可依以逗號分隔的清單中的 IP 位址來指定一或多個偏好的 Active Directory 伺服器。建立用戶端之後、您可以使用修改此清單 vserver services name-service ldap client modify 命令。
- 使用 -servers 選項可依以逗號分隔的清單中的 IP 位址來指定一或多個 LDAP 伺服器（ Active Directory 或 UNIX ）。
  
  。 -servers ONTAP 9.2 中的選項已過時。從 ONTAP 9.2 開始 -ldap-servers 欄位會取代 -servers 欄位。此欄位可取得 LDAP 伺服器的主機名稱或 IP 位址。
指定預設或自訂LDAP架構。

大多數LDAP伺服器都可以使用ONTAP 由功能介紹的預設唯讀架構。除非有其他需求、否則最好使用這些預設架構。如果是、您可以複製預設架構（它們是唯讀的）、然後修改複本、藉此建立自己的架構。

預設架構：
- MS-AD-BIS
  
  根據RFC-2307bis、這是大多數標準Windows 2012及更新版本LDAP部署的慣用LDAP架構。
- AD-IDMU
  
  根據Active Directory Identity Management for UNIX、此架構適用於大多數Windows 2008、Windows 2012及更新的AD伺服器。
- AD-SFU
  
  此架構以Active Directory Services for UNIX為基礎、適用於大多數Windows 2003和舊版AD伺服器。
- RFC-2307
  
  根據RFC-2307（an方法使用LDAP做為網路資訊服務）、此架構適用於大多數UNIX AD伺服器。
選取「連結值」。
- -min-bind-level {anonymous|simple|sasl} 指定最小繫結驗證層級。
  
  預設值為 anonymous。
- -bind-dn LDAP_DN 指定綁定用戶。
  
  對於Active Directory伺服器、您必須在帳戶（網域\使用者）或主體（user@domain.com）表單中指定使用者。否則、您必須以辨別名稱（CN=user,DC=domain,DC=com）格式指定使用者。
- -bind-password password 指定綁定密碼。

如有需要、請選取工作階段安全選項。

如果LDAP伺服器需要、您可以啟用LDAP簽署和密封、或透過TLS啟用LDAP。

--session-security {none|sign|seal}

您可以啟用簽署 (sign、資料完整性）、簽署及密封 (seal`或兩者皆非 `none、無簽署或密封）。預設值為 none。

您也應該設定 -min-bind-level {sasl} 除非您想讓繫結驗證回復為 anonymous 或 simple 如果簽署和密封綁定失敗。
-use-start-tls {true|false}

如果設為 true LDAP 伺服器也支援此功能、 LDAP 用戶端會使用加密的 TLS 連線連線至伺服器。預設值為 false。您必須安裝LDAP伺服器的自我簽署根CA憑證、才能使用此選項。

如果儲存 VM 已將 SMB 伺服器新增至網域、而 LDAP 伺服器是 SMB 伺服器主網域的其中一個網域控制器、則您可以修改 -session-security-for-ad-ldap 選項：使用 vserver cifs security modify 命令。

選取連接埠、查詢和基礎值。

建議使用預設值、但您必須向LDAP管理員確認這些值是否適合您的環境。
- -port port 指定 LDAP 伺服器連接埠。
  
  預設值為 389。
如果您打算使用Start TLS來保護LDAP連線、則必須使用預設連接埠389。啟動TLS會以純文字連線的形式透過LDAP預設連接埠389開始、然後將該連線升級為TLS。如果您變更連接埠、啟動TLS就會失敗。
- -query-timeout integer 指定查詢逾時（以秒為單位）。
  
  允許的範圍為1到10秒。預設值為 3 秒。
- -base-dn LDAP_DN 指定基礎 DN 。
  
  如有需要、可輸入多個值（例如啟用LDAP參照追蹤）。預設值為 "" （根目錄）。
- -base-scope {base|onelevel|subtree} 指定基本搜尋範圍。
  
  預設值為 subtree。
- -referral-enabled {true|false} 指定是否啟用 LDAP 參照追蹤。
  
  從ONTAP 功能介紹9.5開始、ONTAP 如果主要LDAP伺服器傳回LDAP參照回應、表示所需記錄存在於參照的LDAP伺服器上、即可讓功能介紹LDAP用戶端將查詢要求參照到其他LDAP伺服器。預設值為 false。

若要搜尋所參照LDAP伺服器中的記錄、必須將所參照記錄的基礎DN新增至基礎DN、做為LDAP用戶端組態的一部分。

在儲存 VM 上建立 LDAP 用戶端組態：

vserver services name-service ldap client create -vserver vserver_name -client-config client_config_name {-servers LDAP_server_list | -ad-domain ad_domain} -preferred-ad-servers preferred_ad_server_list -restrict-discovery-to-site {true|false} -default-site CIFS_default_site -schema schema -port 389 -query-timeout 3 -min-bind-level {anonymous|simple|sasl} -bind-dn LDAP_DN -bind-password password -base-dn LDAP_DN -base-scope subtree -session-security {none|sign|seal} [-referral-enabled {true|false}]

建立 LDAP 用戶端組態時、您必須提供儲存 VM 名稱。
確認LDAP用戶端組態已成功建立：

vserver services name-service ldap client show -client-config client_config_name

範例

下列命令會建立名為 ldap1 的新 LDAP 用戶端組態、讓儲存 VM VS1 與 Active Directory 伺服器 for LDAP 搭配使用：

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level simple -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100

下列命令會建立名為 ldap1 的新 LDAP 用戶端組態、讓儲存 VM VS1 與需要簽署和密封的 Active Directory 伺服器搭配使用、而 LDAP 伺服器探索則僅限於指定網域的特定站台：

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -restrict-discovery-to-site true -default-site cifsdefaultsite.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100 -session-security seal

下列命令會建立名為 ldap1 的新 LDAP 用戶端組態、讓儲存 VM VS1 與需要 LDAP 參照追蹤的 Active Directory 伺服器搭配使用：

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -base-scope subtree -preferred-ad-servers 172.17.32.100 -referral-enabled true

下列命令會指定基礎 DN 、以修改儲存 VM VS1 的 LDAP 用戶端組態 ldap1 ：

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn CN=Users,DC=addomain,DC=example,DC=com

下列命令可啟用參照追蹤功能、修改儲存 VM VS1 的 LDAP 用戶端組態 ldap1 ：

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com"  -referral-enabled true

建立LDAP用戶端組態

Creating your file...