LDAP 目录搜索的配置选项
可通过将 ONTAP LDAP 客户端配置为以最适合您的环境的方式连接到 LDAP 服务器,优化 LDAP 目录搜索,包括用户、组和 netgroup 信息。需要了解哪种情况下默认的 LDAP 基础搜索值和范围搜索值就足以满足需要,以及更适合使用自定义值时要指定哪些参数。
用户、组和 netgroup 信息的 LDAP 客户端搜索选项可帮助避免 LDAP 查询失败,以及由此导致客户端访问存储系统失败。还有助于尽量确保搜索效率,以免造成客户端性能问题。
默认的基础搜索值和范围搜索值
LDAP 基础是 LDAP 客户端用于执行 LDAP 查询的默认基础 DN。所有搜索(包括用户、组和 netgroup 搜索)都使用基础 DN 进行。此选项适合在 LDAP 目录相对较小且所有相关条目都位于同一个 DN 中时使用。
如果不指定自定义的基础 DN,则默认值为 root。这意味着每次查询都会搜索整个目录。尽管这样做会让 LDAP 查询的成功几率最大,但是却可能在 LDAP 目录较大时导致效率低下和性能显著下降。
LDAP 基础搜索是 LDAP 客户端用于执行 LDAP 查询的默认搜索范围。所有搜索(包括用户、组和 netgroup 搜索)都使用基础范围进行。该范围决定 LDAP 查询仅搜索指定条目,DN 的下一级条目,还是 DN 下的整个子树。
如果不指定自定义的基础范围,则默认值为 subtree。这意味着每次查询都会搜索 DN 下的整个子树。尽管这样做会让 LDAP 查询的成功几率最大,但是却可能在 LDAP 目录较大时导致效率低下和性能显著下降。
自定义的基础搜索值和范围搜索值
(可选)可为用户、组和 netgroup 搜索分别指定基础值和范围值。按照这种方法限制查询的搜索基础和范围可显著提升性能,因为将搜索范围限制到了 LDAP 目录的较小子部分。
如果指定自定义的基础值和范围值,这些值将替换用户、组和 netgroup 搜索的常规默认搜索基础和范围。用于指定自定义的基础值和范围值的参数属于高级权限级别。
| LDAP 客户端参数... | 指定自定义的... |
|---|---|
| -base-dn | 所有 LDAP 搜索的基础 DN 如果需要,可输入多个值(例如,如果在 ONTAP 9.5 及更高版本中启用了 LDAP 转送跟踪)。 |
| -base-scope | 所有 LDAP 搜索的基础范围 |
| -user-dn | 所有 LDAP 用户搜索的基础 DN 该参数还适用于用户名映射搜索。 |
| -user-scope | 所有 LDAP 用户搜索的基础范围 该参数还适用于用户名映射搜索。 |
| -group-dn | 所有 LDAP 组搜索的基础 DN |
| -group-scope | 所有 LDAP 组搜索的基础范围 |
| -netgroup-dn | 所有 LDAP netgroup 搜索的基础 DN |
| -netgroup-scope | 所有 LDAP netgroup 搜索的基础范围 |
多个自定义的基础 DN 值
如果 LDAP 目录结构较复杂,要搜索 LDAP 目录的多个部分以查找特定信息,可能必须指定多个基础 DN。可为用户、组和 netgroup DN 参数指定多个 DN,方法是使用分号(;)分隔,使用引号(")将整个 DN 搜索列表引起来。如果 DN 中包含分号,则必须在 DN 中的分号正前方添加转义符(\)。
请注意,范围应用于为相应参数指定的整个 DN 列表。例如,如果为用户范围指定的列表中包含三个不同的用户 DN 和子树,则 LDAP 用户搜索整个子树以查找这三个指定 DN。
从 ONTAP 9.5 开始,还可以指定 LDAP 转送跟踪;如果主 LDAP 服务器未返回 LDAP 转送响应,此功能允许 ONTAP LDAP 客户端将查找请求转送到这些 LDAP 服务器。客户端使用该转送数据从转送数据中描述的服务器检索目标对象。要搜索所转送的 LDAP 服务器中存在的对象,可将转送对象的 base-dn 作为 LDAP 客户端配置的一部分添加到 base-dn。但是,只有在 LDAP 客户端创建或修改期间启用了转送跟踪(使用 -referral-enabled true 选项)时,才会查找转送的对象。