エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9

to English version

LDAPSの概念

ONTAPでのLDAP通信の保護方法に関する用語や概念を理解しておく必要があります。ONTAPは、Active Directory統合LDAPサーバー間またはUNIXベースのLDAPサーバー間の認証されたセッションを設定するために、Start TLSまたはLDAP over TLSを使用できます。

用語

ONTAPでのLDAPSを使用したLDAP通信の保護方法に関して理解しておくべき用語があります。

  • LDAP

    (Lightweight Directory Access Protocol;ライトウェイト ディレクトリー アクセス プロトコル)情報ディレクトリーに対するアクセスおよび管理を行うためのプロトコルです。LDAPは、ユーザー、グループ、ネットグループのようなオブジェクトを格納するための情報ディレクトリーとして使用されます。またLDAPは、これらのオブジェクトを管理したりLDAPクライアントからの要求を満たしたりするディレクトリー サービスを提供します。

  • SSL

    (Secure Sockets Layer)インターネット上で情報を安全に送信するために開発されたプロトコルです。TLSの導入に伴い廃止されました。

  • TLS

    (Transport Layer Security) それまでのSSL仕様に基づいたIETF標準の追跡プロトコルです。SSLの後継にあたります。

  • LDAPS(LDAP over SSLまたはTLS)

    TLSまたはSSLを使用してLDAPクライアントとLDAPサーバー間の通信を保護するプロトコルです。LDAP over SSLLDAP over TLS の2つの用語が区別なく使用されることがありますが、TLSはサポートされ、SSLはサポートされます。

    • ONTAP 9.7~9.8では、LDAPSはポート636でのみ有効にできます。有効にするには、vserver cifs security modify コマンドで -use-ldaps-for-ad-ldap パラメーターを使用します。

    • ONTAP 9.9.1以降では、任意のポートでLDAPSを有効にできます(ただしデフォルトはポート636です)。-ldaps-enabled パラメーターを true に設定し、-port パラメーターに目的のポートを指定します。詳細については、vserver services name-service ldap client create のマニュアル ページを参照してください。

    富士通では、LDAPSではなくStart TLSの使用を推奨しています。

  • Start TLS

    start_tlsSTARTTLSStartTLS とも表記)TLSプロトコルを使用してセキュアーな通信を提供するメカニズムです。

    ONTAPでは、LDAP通信を保護するためにSTARTTLSを使用し、デフォルトのLDAPポート(389)を使用してLDAPサーバーと通信します。LDAPサーバーは、LDAPポート389経由の接続を許可するように設定する必要があります。設定しない場合は、SVMからLDAPサーバーへのLDAP TLS接続が失敗します。

ONTAPでのLDAPSの使用方法

ONTAPはTLSサーバー認証をサポートしています。この認証により、SVMのLDAPクライアントは、バインド操作時にLDAPサーバーの識別情報を確認できます。TLSに対応したLDAPクライアントは、公開鍵暗号化の標準的な技法を使用して、サーバーの証明書および公開IDが有効であり、かつクライアントの信頼できるCertificate Authority(CA;認証局)のリストにあるCAによって発行されたものであるかどうかをチェックできます。

LDAPでは、TLSを使用した通信の暗号化方法としてSTARTTLSがサポートされています。STARTTLSは標準のLDAPポート(389)経由でプレーンテキスト接続として開始され、その後TLS接続にアップグレードされます。

ONTAPでは以下をサポートしています。

  • Active Directory統合LDAPサーバーとSVMとの間のSMB関連トラフィックに対するLDAPSの使用

  • ネーム マッピングやその他のUNIX情報のLDAPトラフィックに対するLDAPSの使用

    Active Directory統合LDAPサーバーまたはUNIXベースLDAPサーバーのどちらかを使用して、LDAPネーム マッピングの情報やその他のUNIX情報(ユーザー、グループ、ネットグループなど)を格納できます。

  • 自己署名ルートCA証明書

    Active-Directory統合LDAPを使用している場合は、Windows Server証明書サービスがドメインにインストールされていると自己署名ルート証明書が生成されます。UNIXベースのLDAPサーバーをLDAPネーム マッピングに使用している場合は、該当するLDAPアプリケーションに適切な手段を使用して、自己署名ルート証明書の生成と保存が行われます。

デフォルトでは、LDAPSは無効になっています。

Top of Page