LDAPS 概念
您必须了解与 ONTAP 如何保护 LDAP 通信相关的某些术语和概念。ONTAP 可使用 LDAPS 来设置集成了 Active Directory 的 LDAP 服务器间的或基于 Linux 的 LDAP 服务器间的已认证会话。
术语
如需了解 ONTAP 如何使用 LDAPS 来实现安全的 LDAP 通信,首先应熟悉以下部分术语。
- LDAP
- (轻量级目录访问协议)一种用于访问和管理信息目录的协议。LDAP 被用作存储用户、组和 netgroup 等对象的信息目录。LDAP 还提供目录服务,以管理这些对象以及完成来自 LDAP 客户端的 LDAP 请求。
- SSL
- (安全套接字层)一种为了通过 Internet 安全发送信息而开发的协议。此协议已被弃用,并由 TLS 替代。从 ONTAP 9.4 开始,SSL 不再受支持。
- TLS
- (传输层安全性)一种 IETF 标准跟踪协议,根据较早的 SSL 规范制定。它是 SSL 的后继者。
- LDAPS(LDAP over SSL 或 TLS)
- 一种协议,其使用 TLS 或 SSL 来实现 LDAP 客户端与 LDAP 服务器之间的安全通信。术语“LDAP over SSL”和“LDAP over TLS”有时可互换使用;ONTAP 9.4 及更高版本支持 TLS。
- 在 ONTAP 9.5-9.8 中,只能在端口 636 上启用 LDAPS。为此,请在 vserver cifs security modify 命令中使用 -use-ldaps-for-ad-ldap 参数。
- 从 ONTAP 9.9.1 开始,可在任意端口上启用 LDAPS,但端口 636 仍然是默认端口。为此,请将 -ldaps-enabled 参数设置为 true 并指定所需的 -port 参数。有关更多信息,请参阅 vserver services name-service ldap client create 手册页。
注Lenovo 的惯例是使用 Start TLS 而不是 LDAPS。 - Start TLS
- (也称为 start_tls、STARTTLS 和 StartTLS)使用 TLS 协议提供安全通信的一种机制。
ONTAP 使用 STARTTLS 实现安全的 LDAP 通信,并使用默认 LDAP 端口(389)与 LDAP 服务器进行通信。必须配置 LDAP 服务器,使其能够通过 LDAP 端口 389 进行连接;否则,从 SVM 到 LDAP 服务器的 LDAP TLS 连接将会失败。
ONTAP 如何使用 LDAPS
ONTAP 支持 TLS 服务器认证,从而允许 SVM LDAP 客户端在绑定操作期间确认 LDAP 服务器的身份。启用了 TLS 的 LDAP 客户端可以使用公钥加密标准技术,检查服务器的证书和公共标识是否有效,以及是否由客户端的可信证书颁发机构(CA)列表中的 CA 颁发。
LDAP 支持 STARTTLS 使用 TLS 加密通信。STARTTLS 首先通过标准 LDAP 端口(389)进行纯文本连接,此连接随后升级到 TLS。
ONTAP 支持以下功能:
针对集成了 Active Directory 的 LDAP 服务器与 SVM 之间与 SMB 有关的流量使用 LDAPS
针对名称映射和其他 Linux 信息的 LDAP 流量使用 LDAPS
既可使用集成了 Active Directory 的 LDAP 服务器,也可使用基于 Linux 的 LDAP 服务器来存储 LDAP 名称映射的信息和其他 Linux 信息,例如,用户、组和 netgroup。
自签名根 CA 证书
如果使用集成了 Active-Directory 的 LDAP,在域中安装 Windows 服务器证书服务时会生成自签名根证书。如果使用基于 Linux 的 LDAP 服务器进行 LDAP 名称映射,使用适用于该 LDAP 应用程序的方法即可生成和保存自签名的根证书。
LDAPS 默认处于禁用状态。