跳到主要内容

LDAPS 概念

您必须了解与 ONTAP 如何保护 LDAP 通信相关的某些术语和概念。ONTAP 可使用 LDAPS 来设置集成了 Active Directory 的 LDAP 服务器间的或基于 Linux 的 LDAP 服务器间的已认证会话。

术语

如需了解 ONTAP 如何使用 LDAPS 来实现安全的 LDAP 通信,首先应熟悉以下部分术语。

LDAP
(轻量级目录访问协议)一种用于访问和管理信息目录的协议。LDAP 被用作存储用户、组和 netgroup 等对象的信息目录。LDAP 还提供目录服务,以管理这些对象以及完成来自 LDAP 客户端的 LDAP 请求。
SSL
(安全套接字层)一种为了通过 Internet 安全发送信息而开发的协议。此协议已被弃用,并由 TLS 替代。从 ONTAP 9.4 开始,SSL 不再受支持。
TLS
(传输层安全性)一种 IETF 标准跟踪协议,根据较早的 SSL 规范制定。它是 SSL 的后继者。
LDAPS(LDAP over SSL 或 TLS)
一种协议,其使用 TLS 或 SSL 来实现 LDAP 客户端与 LDAP 服务器之间的安全通信。术语“LDAP over SSL”和“LDAP over TLS”有时可互换使用;ONTAP 9.4 及更高版本支持 TLS。
  • 在 ONTAP 9.5-9.8 中,只能在端口 636 上启用 LDAPS。为此,请在 vserver cifs security modify 命令中使用 -use-ldaps-for-ad-ldap 参数。
  • 从 ONTAP 9.9.1 开始,可在任意端口上启用 LDAPS,但端口 636 仍然是默认端口。为此,请将 -ldaps-enabled 参数设置为 true 并指定所需的 -port 参数。有关更多信息,请参阅 vserver services name-service ldap client create 手册页。
Lenovo 的惯例是使用 Start TLS 而不是 LDAPS。
Start TLS
(也称为 start_tlsSTARTTLSStartTLS)使用 TLS 协议提供安全通信的一种机制。

ONTAP 使用 STARTTLS 实现安全的 LDAP 通信,并使用默认 LDAP 端口(389)与 LDAP 服务器进行通信。必须配置 LDAP 服务器,使其能够通过 LDAP 端口 389 进行连接;否则,从 SVM 到 LDAP 服务器的 LDAP TLS 连接将会失败。

ONTAP 如何使用 LDAPS

ONTAP 支持 TLS 服务器认证,从而允许 SVM LDAP 客户端在绑定操作期间确认 LDAP 服务器的身份。启用了 TLS 的 LDAP 客户端可以使用公钥加密标准技术,检查服务器的证书和公共标识是否有效,以及是否由客户端的可信证书颁发机构(CA)列表中的 CA 颁发。

LDAP 支持 STARTTLS 使用 TLS 加密通信。STARTTLS 首先通过标准 LDAP 端口(389)进行纯文本连接,此连接随后升级到 TLS。

ONTAP 支持以下功能:

  • 针对集成了 Active Directory 的 LDAP 服务器与 SVM 之间与 SMB 有关的流量使用 LDAPS

  • 针对名称映射和其他 Linux 信息的 LDAP 流量使用 LDAPS

    既可使用集成了 Active Directory 的 LDAP 服务器,也可使用基于 Linux 的 LDAP 服务器来存储 LDAP 名称映射的信息和其他 Linux 信息,例如,用户、组和 netgroup。

  • 自签名根 CA 证书

    如果使用集成了 Active-Directory 的 LDAP,在域中安装 Windows 服务器证书服务时会生成自签名根证书。如果使用基于 Linux 的 LDAP 服务器进行 LDAP 名称映射,使用适用于该 LDAP 应用程序的方法即可生成和保存自签名的根证书。

LDAPS 默认处于禁用状态。