配置 LDAP 服务器访问权限

必须先配置 LDAP 服务器的 SVM 访问权限，LDAP 帐户才能访问 SVM。可使用 vserver services name-service ldap client create 命令在 SVM 上创建 LDAP 客户端配置。然后可使用 vserver services name-service ldap create 命令将该 LDAP 客户端配置与 SVM 关联。

开始之前

必须已在 SVM 上安装了 CA 签名的服务器数字证书。
请参阅生成和安装 CA 签名的服务器证书。
只有集群或 SVM 管理员才能执行此任务。

关于本任务

大多数 LDAP 服务器可使用 ONTAP 提供的缺省架构：

AD-IDMU（Windows 2008、Windows 2012 和更高版本的 AD 服务器）
AD SFU（Windows 2003 和更低版本的 AD 服务器）
RFC-2307（UNIX LDAP 服务器）

最好使用缺省架构，除非另有要求。如果是这样，可以通过拷贝缺省架构并修改拷贝创建自己的架构。有关详细信息，请参阅《NFS 配置功能指南》。

NFS 配置

在 SVM 上创建 LDAP 客户端配置： vserver services name-service ldap client create -vserver SVM_name -client-config client_configuration -servers LDAP_server_IPs -schema schema -use-start-tls true|false
注
仅支持将 Start TLS 用于访问数据 SVM。不支持用于访问管理员 SVM。
有关完整的命令语法，请参阅工作表配置 LDAP 或 NIS 服务器访问权限。
示例
以下命令在 SVM engData 上创建名称为 corp 的 LDAP 客户端配置。此客户端建立与 IP 地址为 172.160.0.100 和 172.16.0.101 的 LDAP 服务器的匿名绑定。此客户端使用 RFC-2307 架构建立 LDAP 查询。客户端与服务器之间的通信使用 Start TLS 加密。
cluster1::>vserver services name-service ldap client create -vserver engData -client-config corp -servers 172.16.0.100,172.16.0.101 -schema RFC-2307 -use-start-tls true
将 LDAP 客户端配置与 SVM 关联： vserver services name-service ldap create -vserver SVM_name -client-config client_configuration -client-enabled true|false
有关完整的命令语法，请参阅工作表配置 LDAP 或 NIS 服务器访问权限。
示例
以下命令将 LDAP 客户端配置 corp 与 SVM engData 关联，并在 SVM 上启用 LDAP 客户端。
cluster1::>vserver services name-service ldap create -vserver engData -client-config corp -client-enabled true
注
vserver services name-service ldap create 命令执行自动配置验证，并在 ONTAP 无法联系名称服务器时报告错误消息。

通过使用 vserver services name-service ldap check 命令验证名称服务器的状态。

以下命令验证 SVM vs0 上的 LDAP 服务器。

示例

cluster1::> vserver services name-service ldap check -vserver vs0
| Vserver: vs0                                                |
| Client Configuration Name: c1                               |
| LDAP Status: up                                             |
| LDAP Status Details: Successfully connected to LDAP server 
 "10.11.12.13".                                              |

提供反馈