環境にとって最も適した方法でLDAPサーバーに接続するようにLDAPクライアントを構成することで、ユーザー、グループ、およびネットグループ情報を含め、LDAPディレクトリー検索を最適化することができます。デフォルトのLDAPベースおよびスコープ検索値で十分な状況や、カスタム値のほうが適切な場合に指定すべきパラメーターを理解しておく必要があります。

ユーザー、グループ、およびネットグループ情報のLDAPクライアント検索オプションは、LDAPクエリの失敗、ひいてはストレージシステムへのクライアントアクセスの失敗を回避するのに役立ちます。また、クライアントのパフォーマンスに関する問題を回避するために、検索をできるだけ効率的なものにするのにも役立ちます。

デフォルトのベースおよびスコープ検索値

LDAPベースは、LDAPクライアントがLDAPクエリを実行するために使用するデフォルトのベースDNです。ユーザー、グループ、ネットグループの検索を含むすべての検索は、ベースDNを使用して行われます。このオプションは、LDAPディレクトリーが比較的小さく、かつすべての関連エントリが同じDN内にある場合に適しています。

カスタムベースDNを指定しない場合、デフォルト値は root です。つまり、各クエリでディレクトリー全体が検索されます。この場合、LDAPクエリが成功する見込みは最大になりますが、非効率的であったり、大きなLDAPディレクトリーではパフォーマンスの大幅な低下につながったりする可能性があります。

LDAPベーススコープは、LDAPクライアントがLDAPクエリを実行するために使用するデフォルトのベーススコープです。ユーザー、グループ、ネットグループの検索を含むすべての検索は、ベーススコープを使用して行われます。LDAPクエリによる検索範囲を、名前付きエントリのみ、DNの1レベル下にあるエントリ、またはDNの下にあるサブツリー全体のどれにするかが決定されます。

カスタムベーススコープを指定しない場合、デフォルト値は subtree です。つまり、各クエリでDNの下にあるサブツリー全体が検索されます。この場合、LDAPクエリが成功する見込みは最大になりますが、非効率的であったり、大きなLDAPディレクトリーではパフォーマンスの大幅な低下につながったりする可能性があります。

カスタムベースおよびスコープ検索値

必要に応じて、ユーザー、グループ、およびネットグループ検索で、別々のベースおよびスコープ値を指定できます。クエリの検索ベースおよびクエリをこうした形で制限すると、検索対象がLDAPディレクトリーのより小さなサブセクションに制限されるため、パフォーマンスを大幅に向上できます。

カスタムベースおよびスコープ値を指定した場合、ユーザー、グループ、およびネットグループ検索の全般的なデフォルト検索ベースおよびスコープは無視されます。カスタムベースおよびスコープ値を指定するパラメーターは、advanced権限レベルで使用できます。

LDAPクライアントパラメーター	カスタムで指定する項目
`-base-dn`	すべてのLDAP検索のベースDN。必要に応じて複数の値を入力できます（LDAPリファーラル追跡を有効にした場合など）。
`-base-scope`	すべてのLDAP検索のベーススコープ
`-user-dn`	すべてのLDAPユーザー検索のベースDN。このパラメーターはユーザー名マッピング検索にも適用されます。
`-user-scope`	すべてのLDAPユーザー検索のベーススコープ。このパラメーターはユーザー名マッピング検索にも適用されます。
`-group-dn`	すべてのLDAPグループ検索のベースDN
`-group-scope`	すべてのLDAPグループ検索のベーススコープ
`-netgroup-dn`	すべてのLDAPネットグループ検索のベースDN
`-netgroup-scope`	すべてのLDAPネットグループ検索のベーススコープ

LDAPクライアントパラメーター

カスタムで指定する項目

-base-dn

すべてのLDAP検索のベースDN。必要に応じて複数の値を入力できます（LDAPリファーラル追跡を有効にした場合など）。

-base-scope

すべてのLDAP検索のベーススコープ

-user-dn

すべてのLDAPユーザー検索のベースDN。このパラメーターはユーザー名マッピング検索にも適用されます。

-user-scope

すべてのLDAPユーザー検索のベーススコープ。このパラメーターはユーザー名マッピング検索にも適用されます。

-group-dn

すべてのLDAPグループ検索のベースDN

-group-scope

すべてのLDAPグループ検索のベーススコープ

-netgroup-dn

すべてのLDAPネットグループ検索のベースDN

-netgroup-scope

すべてのLDAPネットグループ検索のベーススコープ

複数のカスタムベースDN値

LDAPディレクトリーが複雑な場合は、特定の情報を求めてLDAPディレクトリーの複数の部分を検索するために複数のベースDNの指定が必要になる可能性があります。複数のユーザー、グループ、およびネットグループDNパラメーターを指定するには、各パラメーターをセミコロンで区切り、DN検索リスト全体を二重引用符（"）で囲みます。DNにセミコロンが含まれる場合、DNではセミコロンの直前にエスケープ文字（\）を追加する必要があります。

スコープは、対応するパラメーターで指定されているDNのリスト全体に適用されることに注意してください。たとえば、3つの異なるユーザーDNのリストとサブツリーをユーザースコープで指定した場合は、LDAPユーザー検索により、指定された3つのDNのそれぞれでサブツリー全体が検索されます。

また、LDAPリファーラル追跡を指定することで、プライマリーLDAPサーバーからLDAPリファーラル応答が返された場合に、ONTAP LDAPクライアントがその他のLDAPサーバーへのルックアップ要求を参照することができます。クライアントは、このリファーラルデータに記載されたサーバーからターゲットオブジェクトを取得します。参照されたLDAPサーバーにあるオブジェクトを検索するには、参照されたオブジェクトのベースDNをLDAPクライアント設定の一部としてベースDNに追加します。ただし、参照されたオブジェクトがルックアップされるのは、LDAPクライアントの作成時または変更時にリファーラル追跡を（-referral-enabled true オプションを使用して）有効にした場合のみです。

ONTAP 9.13

LDAPディレクトリー検索の設定オプション

デフォルトのベースおよびスコープ検索値

カスタム ベースおよびスコープ検索値

複数のカスタム ベースDN値

カスタムベースおよびスコープ検索値

複数のカスタムベースDN値