跳到主要内容

使用 LDAP

如果您的环境中对名称服务使用 LDAP,则需要与 LDAP 管理员一起确定需求和相应的系统配置,然后将 SVM 作为 LDAP 客户端启用。

  • 为 ONTAP 配置 LDAP 之前,应验证站点部署是否满足 LDAP 服务器和客户端配置的最佳实践。特别是必须满足以下条件:

    • LDAP 服务器的域名必须匹配 LDAP 客户端上的相应条目。

    • LDAP 服务器支持的 LDAP 用户密码哈希类型必须包括 ONTAP 支持的以下类型:
      • CRYPT(所有类型)和 SHA-1(SHA、SSHA)。
      • 从 ONTAP 9.8 开始,还支持 SHA-2 哈希(SHA-256、SSH-384、SHA-512、SSHA-256、SSHA-384 和 SSHA-512)。

    • 如果 LDAP 服务器需要会话安全措施,必须在 LDAP 客户端中配置这些措施。

      提供以下会话安全选项:

      • LDAP 签名(提供数据完整性检查)和 LDAP 签名与密封(提供数据完整性检查和加密)

      • LDAP over TLS(加密)

    • 要启用签名和密封的 LDAP 查询,必须配置以下服务:

      • LDAP 服务器必须支持 GSSAPI(Kerberos)SASL 机制。

      • LDAP 服务器必须在 DNS 服务器上设置 DNS A/AAAA 记录和 PTR 记录。

      • Kerberos 服务器必须在 DNS 服务器上提供 SRV 记录。

    • 要启用 TLS 加密的 LDAP 查询,必须配置以下服务:

      • 必须为 TLS 启用 LDAP 服务器。

        从 ONTAP 9.4 开始不再支持 SSL。

      • 必须已经在域中配置了证书服务器。

    • 要启用 LDAP 转送跟踪(在 ONTAP 9.5 及更高版本中),必须满足以下条件:

      • 两个域都应配置以下信任关系之一:

        • 双向

        • 单向(主域信任转送域)

        • 父子

      • 必须配置 DNS 才能解析所有转送的服务器名称。

      • 当 –bind-as-cifs-server 设置为 true 时,域密码应相同以便通过认证。

      目前,使用 LDAP 转送跟踪时,不支持以下配置:

      对于所有 ONTAP 版本:

      • 管理 SVM 上的 LDAP 客户端

      对于 ONTAP 9.8 及更低版本:

      • LDAP 签名和密封(-session-security 选项)

      • 加密的 TLS 连接(-use-start-tls 选项)

      • LDAPS 端口 636 上的通信(-use-ldaps-for-ad-ldap 选项)

  • SVM 上配置 LDAP 客户端时,必须输入 LDAP 架构。

    大多数情况下,可以使用一种默认 ONTAP 架构。但是,如果您的环境中的 LDAP 架构与这些架构不同,则必须在创建 LDAP 客户端之前先为 ONTAP 创建一个新的 LDAP 客户端架构。有关系统需求,请咨询 LDAP 管理员。

  • 不支持使用 LDAP 进行主机名解析。

  1. 新建 LDAP 客户端架构
    如果您环境中的 LDAP 架构与 ONTAP 的默认架构不同,则在创建 LDAP 客户端配置之前必须先为 ONTAP 创建新的 LDAP 客户端架构。
  2. 将自签名根 CA 证书安装到 SVM 上
    如果绑定到 LDAP 服务器时需要具有 TLS 的 LDAP 认证,必须首先在 SVM 上安装自签名根 CA 证书。
  3. 创建 LDAP 客户端配置
    如果希望 ONTAP 访问环境中的外部 LDAP 服务器,必须首先在存储系统上设置 LDAP 客户端。
  4. 将 LDAP 客户端配置与 SVM 关联
    要在 SVM 上启用 LDAP,必须使用 vserver services name-service ldap create 命令将 LDAP 客户端配置与 SVM 相关联。
  5. 验证名称服务切换表中的 LDAP 资源
    必须验证 SVM 的名称服务切换表中是否正确列出了名称服务的 LDAP 资源。