エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

nsswitch認証でのLDAP高速バインドの使用

ONTAP 9.11.1以降では、LDAP 高速バインド 機能(同時バインド とも呼ばれます)を利用して、クライアント認証要求をより迅速かつ簡単に処理できます。この機能を使用するには、LDAPサーバーが高速バインド機能をサポートしている必要があります。

タスク概要

高速バインドを使用しない場合、ONTAPはLDAP簡易バインドを使用してLDAPサーバーで管理者ユーザーを認証します。この認証方式では、ONTAPがLDAPサーバーにユーザー名またはグループ名を送信し、サーバーに格納されているハッシュパスワードを受け取って、サーバーハッシュコードをユーザーパスワードから生成されたローカルハッシュパスコードと比較します。この2つが一致した場合、ONTAPはログイン権限を付与します。

高速バインド機能を使用する場合、ONTAPはセキュアーな接続を介してLDAPサーバーにユーザークレデンシャル(ユーザー名とパスワード)を送信するだけです。LDAPサーバーは受け取ったクレデンシャルを検証し、ログイン権限を付与するようにONTAPに指示します。

高速バインドの利点の1つは、パスワードのハッシュ化はLDAPサーバーで実行されるため、LDAPサーバーでサポートされるすべての新しいハッシュアルゴリズムをONTAPでサポートする必要がないことです。

LDAP高速バインドには、既存のLDAPクライアント設定を使用できます。ただし、パスワードがプレーン テキストでネットワークに送信されないように、LDAPクライアントにTLSまたはLDAPSを設定しておくことを強く推奨します。

ONTAP環境でLDAP高速バインドを有効にするには、次の要件を満たす必要があります。

  • 高速バインドをサポートするLDAPサーバーにONTAP管理者ユーザーが設定されている必要があります。

  • ONTAP SVMのネームサービススイッチ(nsswitch)データベースにLDAPが設定されている必要があります。

  • ONTAP管理者ユーザーおよびグループのアカウントに高速バインドを使用したnsswitch認証が設定されている必要があります。

手順
  1. LDAP管理者に問い合わせて、LDAPサーバーでLDAP高速バインドがサポートされていることを確認します。

  2. LDAPサーバーにONTAP管理者ユーザーのクレデンシャルが設定されていることを確認します。

  3. 管理SVMまたはデータSVMにLDAP高速バインドが正しく設定されていることを確認します。

    1. LDAP高速バインド サーバーがLDAPクライアント設定にリストされていることを確認するには、次のように入力します。

      vserver services name-service ldap client show

    2. ldap がnsswitchの passwd データベースのソースの1つとして設定されていることを確認するには、次のように入力します。

      vserver services name-service ns-switch show

  4. 管理者ユーザーがnsswitchで認証されていること、および管理者のアカウントでLDAP高速バインド認証が有効になっていることを確認します。

    • 既存のユーザーの場合は、security login modify を入力して次のパラメーター設定を確認します。

      -authentication-method nsswitch

      -is-ldap-fastbind true

    • 新規の管理者ユーザーの場合は、「LDAPまたはNISアカウント アクセスの有効化」を参照してください。

Top of Page