使用LDAP的總覽
建議變更
PDF
如果您的環境中使用LDAP來提供名稱服務、您必須與LDAP管理員合作、以判斷需求和適當的儲存系統組態、然後將SVM啟用為LDAP用戶端。
從ONTAP 功能支援的版本為:從功能支援的版本為:LDAP通道繫結、依預設會同時支援Active Directory和名稱服務LDAP連線。僅當啟用Start-TLS或LDAPS並將工作階段安全性設定為簽署或密封時、才能嘗試透過LDAP連線進行通道繫結。ONTAP若要停用或重新啟用與名稱伺服器的 LDAP 通道繫結、請使用 -try-channel-binding 參數 ldap client modify 命令。
如需詳細資訊、請參閱 "2020 LDAP通道繫結和LDAP簽署要求、適用於Windows"。
-
在設定LDAP ONTAP 以供使用之前、您應確認您的站台部署符合LDAP伺服器和用戶端組態的最佳實務做法。尤其必須符合下列條件:
-
LDAP伺服器的網域名稱必須符合LDAP用戶端上的項目。
-
LDAP伺服器支援的LDAP使用者密碼雜湊類型必須包含ONTAP 下列項目:
-
加密(所有類型)和SHA-1(SHa、SSHA)。
-
從ONTAP 《Sf9.8》、《SHA-2雜湊》(SHA-256、SSH-384、SHA-512、SSHA-256、 也支援SSHA-384和SSHA-512)。
-
-
如果LDAP伺服器需要工作階段安全性措施、您必須在LDAP用戶端中進行設定。
下列工作階段安全性選項可供使用:
-
LDAP簽署(提供資料完整性檢查)及LDAP簽署與密封(提供資料完整性檢查與加密)
-
啟動TLS
-
LDAPS(LDAP over TLS或SSL)
-
-
若要啟用已簽署和密封的LDAP查詢、必須設定下列服務:
-
LDAP伺服器必須支援GSPI(Kerberos)SASL機制。
-
LDAP伺服器必須在DNS伺服器上設定DNS A/AAAA記錄和PTr記錄。
-
Kerberos伺服器必須在DNS伺服器上存在SRV.記錄。
-
-
若要啟用Start TLS或LDAPS、應考慮下列事項。
-
使用Start TLS而非LDAPS是NetApp最佳實務做法。
-
如果使用LDAPS、則LDAP伺服器必須在ONTAP 支援TLS或支援SSL的情況下、於支援更新版本的支援更新版本中啟用。不支援SSL。ONTAP
-
必須已在網域中設定憑證伺服器。
-
-
若要啟用LDAP參照追蹤(ONTAP 在更新版本的版本中)、必須滿足下列條件:
-
這兩個網域都應設定下列其中一個信任關係:
-
雙向
-
單向、主要信任參照網域
-
父-子
-
-
DNS必須設定為解析所有參照的伺服器名稱。
-
網域密碼在-bind-as CIFS伺服器設定為true時、應相同進行驗證。
-
LDAP參照追蹤不支援下列組態。
-
所有ONTAP 版本:
-
管理SVM上的LDAP用戶端
-
-
適用於更新版本的支援功能(9.9.1及更新版本均支援)ONTAP :
-
LDAP 簽署與密封(
-session-security選項) -
加密 TLS 連線(
-use-start-tls選項) -
透過 LDAPS 連接埠 636 (
-use-ldaps-for-ad-ldap選項)
-
-
-
在SVM上設定LDAP用戶端時、您必須輸入LDAP架構。
在大多數情況下、預設ONTAP 的架構之一將是適當的。不過、如果您環境中的LDAP架構與這些架構不同、則必須先建立新的LDAP用戶端架構ONTAP 以供使用、才能建立LDAP用戶端。請洽詢您的LDAP管理員、瞭解您環境的需求。
-
不支援使用LDAP進行主機名稱解析。