创建 LDAP 客户端配置

如果希望 ONTAP 访问环境中的外部 LDAP 服务器，必须首先在存储系统上设置 LDAP 客户端。

1. 咨询 LDAP 管理员，确定 vserver services name-service ldap client create 命令的适当配置值：
   1. 指定与 LDAP 服务器的基于域或基于地址的连接。

      -ad-domain 和 -servers 选项是互斥的。

      • 使用 -ad-domain 选项启用在 Active Directory 域中发现 LDAP 服务器。

        可以使用 -preferred-ad-servers 选项，通过逗号分隔列表中的 IP 地址指定一个或多个首选 Active Directory 服务器。创建客户端后，可以使用 vserver services name-service ldap client modify 命令修改此列表。

      • 使用 -ldap-servers 选项，通过逗号分隔列表中的 IP 地址指定一个或多个 LDAP 服务器（AD 或 UNIX）。

   2. 指定默认或自定义 LDAP 架构。

      大多数 LDAP 服务器可使用 ONTAP 提供的默认只读架构。最好使用这些默认架构，除非另有要求。如果另有要求，可以通过拷贝默认架构（它们是只读的）并修改拷贝创建自己的架构。

      默认架构：

      • MS-AD-BIS

        基于 RFC-2307bis，这是大部分标准 Windows 2012 及更高版本 LDAP 部署的首选 LDAP 架构。

      • AD-IDMU

        此架构基于适用于 UNIX 的 Active Directory 标识管理，适合大多数 Windows 2008、Windows 2012 和更高版本的 AD 服务器。

      • AD-SFU

        此架构基于适用于 UNIX 的 Active Directory 服务，适合大多数 Windows 2003 和更低版本的 AD 服务器。

      • RFC-2307

        此架构基于 RFC-2307（使用 LDAP 作为网络信息服务的一种方式），适合大多数 UNIX AD 服务器。

   3. 选择绑定值。
      • -min-bind-level {anonymous|simple|sasl} 指定最低绑定认证级别。

        默认值为 anonymous。

      • -bind-dn LDAP_DN 指定绑定用户。

        对于 Active Directory 服务器，必须以帐户（DOMAIN\user）或主体（user@domain.com）形式指定用户。在其他情况下，必须以可分辨名称（CN=用户,DC=域,DC=com）的形式指定用户。

      • -bind-password password 指定绑定密码。
   4. 根据需要选择会话的安全性选项。

      如果 LDAP 服务器有要求，可以启用 LDAP 签名和密封，或基于 TLS 的 LDAP。

      • --session-security {none|sign|seal}

        可启用签名（sign、数据完整性）、签名和密封（seal、数据完整性和加密）或两者均不启用（none、不签名或不密封）。默认值为none。

        还应设置 -min-bind-level {sasl}，除非希望在签名和密封绑定失败的情况下，绑定认证恢复为 anonymous 或 simple。

      • -use-start-tls {true|false}

        如果设为 true 且 LDAP 服务器也支持这种设置，LDAP 客户端将使用加密 TLS 连接到服务器。默认值为 false。要使用此选项，必须安装 LDAP 服务器的自签名根 CA 证书。

      注

      如果 SVM 的域中添加了 CIFS 服务器，而 LDAP 服务器是 CIFS 服务器主域的域控制器之一，则可使用 vserver cifs security modify 命令修改 -session-security-for-ad-ldap 选项。
   5. 选择端口、查询和基本值。

      建议使用默认值，但您必须与 LDAP 管理员确认，这些值是否适用于您的环境。

      • -port port 指定 LDAP 服务器端口。

        默认值为 389。

        如果计划使用 Start TLS 保护 LDAP 连接，则必须使用默认端口 389。Start TLS 首先通过 LDAP 默认端口 389 进行纯文本连接，此连接随后升级到 TLS。如果更改了端口，Start TLS 无法正常工作。

      • -query-timeout integer 指定查询超时，以秒为单位。

        允许的范围是 1 到 10 秒。默认值为 3 秒。

      • -base-dn LDAP_DN 指定基 DN。

        如果需要，可输入多个值（例如，如果启用了 LDAP 转送跟踪）。默认值为 ""（根）。

      • -base-scope {base|onelevel|subtree} 指定基本搜索范围。

        默认值为 subtree。

      • -referral-enabled {true|false} 指定是否启用 LDAP 转送跟踪。

        从 ONTAP 9.5 开始，如果主 LDAP 服务器返回 LDAP 转送响应，其中指示所转送的 LDAP 服务器上存在所需的记录，则允许 ONTAP LDAP 客户端将查找请求转送到这些 LDAP 服务器。默认值为 false。

        要搜索所转送的 LDAP 服务器中存在的记录，必须将转送记录的 base-dn 作为 LDAP 客户端配置的一部分添加到 base-dn。

2. 在 SVM 上创建 LDAP 客户端配置：vserver services name-service ldap client create -vserver vserver_name -client-config client_config_name {-servers LDAP_server_list | -ad-domain ad_domain -preferred-ad-servers preferred_ad_server_list -schema schema -port 389 -query-timeout 3 -min-bind-level {anonymous|simple|sasl} -bind-dn LDAP_DN -bind-password password -base-dn LDAP_DN -base-scope subtree -session-security {none|sign|seal} [-referral-enabled {true|false}]
   注

   在创建 LDAP 客户端配置时，必须提供 SVM 名称。
3. 验证是否已成功创建 LDAP 客户端配置：vserver services name-service ldap client show -client-config client_config_name

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldap1 –ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level simple -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldap1 –ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100 -session-security seal

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldap1 –ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -base-scope subtree -preferred-ad-servers 172.17.32.100 -referral-enabled true

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn CN=Users,DC=addomain,DC=example,DC=com

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com"  -referral-enabled true