エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

LDAPの概要

LDAP(Lightweight Directory Access Protocol)サーバーを使用すると、ユーザー情報を一元的に管理できます。ユーザー データベースを環境内のLDAPサーバーに格納している場合、既存のLDAPデータベース内のユーザー情報を検索するようにストレージ システムを設定できます。

  • LDAPをONTAP用に設定する前に、サイト環境がLDAPサーバーおよびクライアント設定のベストプラクティスを満たしていることを確認する必要があります。具体的には、次の条件を満たす必要があります。

    • LDAPサーバーのドメイン名がLDAPクライアント上のエントリと一致する必要があります。

    • LDAPサーバーでサポートされるLDAPユーザーのパスワード ハッシュ タイプに、ONTAPでサポートされる次のタイプが含まれている必要があります。

      • CRYPT(すべてのタイプ)およびSHA-1(SHA、SSHA)

      • ONTAP 9.8以降では、SHA-2ハッシュ(SHA-256、SSH-384、SHA-512、SSHA-256、SSHA-384、およびSSHA-512)もサポートされます。

    • LDAPサーバーにセッション セキュリティ対策が必要な場合は、LDAPクライアントで設定する必要があります。

      以下のセッション セキュリティ オプションを使用できます。

      • LDAP署名(データの整合性チェックを提供)およびLDAP署名と封印(データの整合性チェックと暗号化を提供)

      • START TLS

      • LDAPS(LDAP over TLSまたはSSL)

    • 署名および封印されたLDAPクエリを有効にするには、次のサービスが設定されている必要があります。

      • LDAPサーバーでGSSAPI(Kerberos)SASLがサポートされている必要があります。

      • LDAPサーバーに、DNS A/AAAAレコード、およびDNSサーバーで設定されたPTRレコードが必要です。

      • Kerberosサーバーに、DNSサーバー上に存在するSRVレコードが必要です。

    • START TLSまたはLDAPSを有効にする場合、次の点を考慮する必要があります。

      • 富士通では、LDAPSではなくStart TLSの使用を推奨しています。

      • LDAPSを使用する場合は、TLS用またはSSL用にLDAPサーバーが有効になっている必要があります。

      • 証明書サーバーがドメインで設定済みである必要があります。

    • LDAPリファーラル追跡を有効にするには、次の条件を満たしている必要があります。

      • 両方のドメインで次のいずれかの信頼関係が設定されている必要があります。

        • 双方向

        • 一方向(プライマリー ドメインがリファーラル ドメインを信頼)

        • 親子

      • 参照されているすべてのサーバー名を解決するようにDNSが設定されている必要があります。

      • --bind-as-cifs-server がtrueに設定されている場合、認証には両ドメインのパスワードが同じであることが必要です。

    次の設定はLDAPリファーラル追跡でサポートされていません。

    • すべてのONTAPバージョン:

      • 管理SVM上のLDAPクライアント

    • ONTAP 9.8以前(9.9.1以降ではサポート):

      • LDAPの署名と封印(-session-security オプション)

      • 暗号化されたTLS接続(-use-start-tls オプション)

      • LDAPSポート636経由の通信(-use-ldaps-for-ad-ldap オプション)

  • ONTAP 9.11.1以降では、nsswitch認証にLDAP高速バインドを使用できます。

  • SVMでLDAPクライアントを設定する際は、LDAPスキーマを入力する必要があります。

    ほとんどの場合、デフォルトのONTAPスキーマのいずれかで問題ありません。ただし、環境のLDAPスキーマがデフォルトのスキーマと異なる場合は、LDAPクライアントを作成する前にONTAP用の新しいLDAPクライアントスキーマを作成する必要があります。環境の要件については、LDAP管理者にお問い合わせください。

  • LDAPをホスト名解決に使用することはサポートされていません。

本トピックの構成


LDAPの概要

Top of Page