Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用LDAP的總覽

貢獻者
PDF

如果您的環境中使用LDAP來提供名稱服務、您必須與LDAP管理員合作、以判斷需求和適當的儲存系統組態、然後將SVM啟用為LDAP用戶端。

從ONTAP 功能支援的版本為:從功能支援的版本為:LDAP通道繫結、依預設會同時支援Active Directory和名稱服務LDAP連線。僅當啟用Start-TLS或LDAPS並將工作階段安全性設定為簽署或密封時、才能嘗試透過LDAP連線進行通道繫結。ONTAP若要停用或重新啟用與名稱伺服器的 LDAP 通道繫結、請使用 -try-channel-binding 參數 ldap client modify 命令。

如需詳細資訊、請參閱 "2020 LDAP通道繫結和LDAP簽署要求、適用於Windows"

  • 在設定LDAP ONTAP 以供使用之前、您應確認您的站台部署符合LDAP伺服器和用戶端組態的最佳實務做法。尤其必須符合下列條件:

    • LDAP伺服器的網域名稱必須符合LDAP用戶端上的項目。

    • LDAP伺服器支援的LDAP使用者密碼雜湊類型必須包含ONTAP 下列項目:

      • 加密(所有類型)和SHA-1(SHa、SSHA)。

      • 從ONTAP 《Sf9.8》、《SHA-2雜湊》(SHA-256、SSH-384、SHA-512、SSHA-256、 也支援SSHA-384和SSHA-512)。

    • 如果LDAP伺服器需要工作階段安全性措施、您必須在LDAP用戶端中進行設定。

      下列工作階段安全性選項可供使用:

      • LDAP簽署(提供資料完整性檢查)及LDAP簽署與密封(提供資料完整性檢查與加密)

      • 啟動TLS

      • LDAPS(LDAP over TLS或SSL)

    • 若要啟用已簽署和密封的LDAP查詢、必須設定下列服務:

      • LDAP伺服器必須支援GSPI(Kerberos)SASL機制。

      • LDAP伺服器必須在DNS伺服器上設定DNS A/AAAA記錄和PTr記錄。

      • Kerberos伺服器必須在DNS伺服器上存在SRV.記錄。

    • 若要啟用Start TLS或LDAPS、應考慮下列事項。

      • 使用Start TLS而非LDAPS是NetApp最佳實務做法。

      • 如果使用LDAPS、則LDAP伺服器必須在ONTAP 支援TLS或支援SSL的情況下、於支援更新版本的支援更新版本中啟用。不支援SSL。ONTAP

      • 必須已在網域中設定憑證伺服器。

    • 若要啟用LDAP參照追蹤(ONTAP 在更新版本的版本中)、必須滿足下列條件:

      • 這兩個網域都應設定下列其中一個信任關係:

        • 雙向

        • 單向、主要信任參照網域

        • 父-子

      • DNS必須設定為解析所有參照的伺服器名稱。

      • 網域密碼在-bind-as CIFS伺服器設定為true時、應相同進行驗證。

    註

    LDAP參照追蹤不支援下列組態。

    • 所有ONTAP 版本:

      • 管理SVM上的LDAP用戶端

    • 適用於更新版本的支援功能(9.9.1及更新版本均支援)ONTAP :

      • LDAP 簽署與密封( -session-security 選項)

      • 加密 TLS 連線( -use-start-tls 選項)

      • 透過 LDAPS 連接埠 636 ( -use-ldaps-for-ad-ldap 選項)

  • 在SVM上設定LDAP用戶端時、您必須輸入LDAP架構。

    在大多數情況下、預設ONTAP 的架構之一將是適當的。不過、如果您環境中的LDAP架構與這些架構不同、則必須先建立新的LDAP用戶端架構ONTAP 以供使用、才能建立LDAP用戶端。請洽詢您的LDAP管理員、瞭解您環境的需求。

  • 不支援使用LDAP進行主機名稱解析。

以取得更多資訊