エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

LDAPクライアント設定の作成

環境でONTAPから外部のLDAPやActive Directoryのサービスにアクセスする場合は、まずストレージ システム上でLDAPクライアントを設定する必要があります。

要件

Active Directoryドメイン解決リストの最初の3台のサーバーのうち1台が起動しており、データを提供している必要があります。そうでない場合、このタスクは失敗します。

複数のサーバーがあり、どの時点でもそのうち3台以上のサーバーがダウンしている状態です。

手順
  1. LDAP管理者に問い合わせて、vserver services name-service ldap client createコマンドに適切な設定値を決定します。

    1. LDAPサーバーへのドメインベースまたはアドレスベースの接続を指定します。

      -ad-domainオプションと-serversオプションを同時に指定することはできません。

      • Active DirectoryドメインでLDAPサーバーの検出を有効にするには、-ad-domainオプションを使用します。

        • -restrict-discovery-to-siteオプションを使用すると、LDAPサーバーの検出を、指定したドメインのCIFSのデフォルト サイトに制限できます。このオプションを使用する場合は、-default-siteでCIFSのデフォルト サイトを指定する必要もあります。

      • -preferred-ad-serversオプションを使用すると、カンマ区切りリストのIPアドレスによって、優先されるActive Directoryサーバーを指定できます。クライアントが作成されたあとで、vserver services name-service ldap client modifyコマンドを使用してこのリストを変更できます。

      • カンマ区切りリストのIPアドレスによってLDAPサーバー(Active DirectoryまたはUNIX)を指定するには、-serversオプションを使用します。

        -serversフィールドが-ldap-serversフィールドに置き換えられています。このフィールドには、LDAPサーバーのホスト名またはIPアドレスを指定できます。

    2. デフォルトまたはカスタムのLDAPスキーマを指定します。

      ほとんどのLDAPサーバーでは、ONTAPによって提供されているデフォルトの読み取り専用スキーマを使用できます。他のスキーマを使用する必要がある場合を除き、デフォルトのスキーマを使用することを推奨します。他のスキーマを使用する場合は、デフォルトのスキーマ(読み取り専用)をコピーし、コピーを変更することによって、独自のスキーマを作成できます。

      デフォルトのスキーマ:

      • MS-AD-BIS

        RFC-2307bisに基づいて、Windows Server 2012以降のほとんどの標準的なLDAP環境に推奨されるLDAPスキーマです。

      • AD-IDMU

        Active Directory Identity Management for UNIXに基づいて、このスキーマはWindows Server 2012、およびそれ以降のほとんどのADサーバーに適しています。

      • RFC-2307

        RFC-2307(ネットワーク情報サービスとしてLDAPを使用するためのアプローチ)に基づいて、このスキーマはほとんどのUNIX ADサーバーに適しています。

    3. バインド値を選択します。

      • -min-bind-level {anonymous|simple|sasl}:最小バインド認証レベルを指定します。

        デフォルト値はanonymousです。

      • -bind-dn LDAP_DN:バインド ユーザーを指定します。

        Active Directoryサーバーの場合は、アカウント(DOMAIN\user)またはプリンシパル(user@domain.com)の形式でユーザーを指定する必要があります。それ以外の場合は、識別名(CN=user,DC=domain,DC=com)の形式でユーザーを指定する必要があります。

      • -bind-password password:バインド パスワードを指定します。

    4. 必要に応じてセッション セキュリティ オプションを選択します。

      LDAP署名と封印(暗号化)、またはLDAP over TLS(LDAPサーバーで必要な場合)を有効にできます。

      • --session-security {none|sign|seal}

        署名(sign、データ整合性)または署名と封印(seal、データ整合性と暗号化)を有効にするか、どちらも有効にしない(none、署名も封印もなし)設定が可能です。デフォルト値はnoneです。

        署名と封印のバインドが失敗した場合にバインド認証をanonymousまたはsimpleにフォールバックする場合を除き、-min-bind-level {sasl}も設定する必要があります。

      • -use-start-tls {true|false}

        trueに設定した場合、LDAPサーバーでサポートされていれば、LDAPクライアントはサーバーに対して暗号化されたTLS接続を使用します。デフォルト値はfalseです。このオプションを使用するには、LDAPサーバーの自己署名ルートCA証明書をインストールする必要があります。

        Storage VMでSMBサーバーがドメインに追加されていて、LDAPサーバーがSMBサーバーのホームドメインのドメイン コントローラーの1つである場合は、vserver cifs security modifyコマンドを使用して-session-security-for-ad-ldapオプションを変更できます。

    5. ポート、クエリ、およびベースの値を選択します。

      デフォルト値を推奨しますが、実際の環境に適しているかをLDAP管理者に確認する必要があります。

      • -port port:LDAPサーバー ポートを指定します。

        デフォルト値は389です。

        Start TLSを使用したLDAP接続の保護を予定している場合は、デフォルトのポート389を使用する必要があります。Start TLSはLDAPのデフォルト ポート389経由でプレーンテキスト接続として開始され、その後TLS接続にアップグレードされます。ポートを変更した場合、Start TLSは失敗します。

      • -query-timeout integer:クエリ タイムアウト(秒)を指定します。

        指定できる値の範囲は1~10秒です。デフォルト値は3秒です。

      • -base-dn LDAP_DN:ベースDNを指定します。

        必要に応じて複数の値を入力できます(LDAPリファーラル追跡を有効にした場合など)。デフォルト値は""(ルート)です。

      • -base-scope {base|onelevel|subtree} :ベース検索範囲を指定します。

        デフォルト値はsubtreeです。

      • -referral-enabled {true|false} :LDAPリファーラル追跡を有効にするかを指定します。

        LDAPリファーラル追跡を有効にすると、必要なレコードが他のLDAPサーバーにあることを示すLDAPリファーラル応答がプライマリーLDAPサーバーから返された場合に、ONTAP LDAPクライアントがそれらのLDAPサーバーに対してルックアップ要求を実行することができます。デフォルト値はfalseです。

        参照されたLDAPサーバーにあるレコードを検索するには、参照されたレコードのベースDNをLDAPクライアント設定の一部としてベースDNに追加する必要があります。

  2. Storage VMでLDAPクライアント設定を作成します。

    vserver services name-service ldap client create -vserver vserver_name -client-config client_config_name {-servers LDAP_server_list | -ad-domain ad_domain} -preferred-ad-servers preferred_ad_server_list -restrict-discovery-to-site {true|false} -default-site CIFS_default_site -schema schema -port 389 -query-timeout 3 -min-bind-level {anonymous|simple|sasl} -bind-dn LDAP_DN -bind-password password -base-dn LDAP_DN -base-scope subtree -session-security {none|sign|seal} [-referral-enabled {true|false}]

    LDAPクライアント設定を作成するときは、Storage VM名を指定する必要があります。

  3. LDAPクライアント設定が正常に作成されたことを確認します。

    vserver services name-service ldap client show -client-config client_config_name

次のコマンドでは、LDAPのActive Directoryサーバーと連携するために、Storage VM vs1でldap1という名前の新しいLDAPクライアント設定を作成します。

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level simple -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100

次のコマンドでは、署名と封印が必要なLDAPのActive Directoryサーバーと連携するために、Storage VM vs1でldap1という名前の新しいLDAPクライアント設定を作成します。また、LDAPサーバー検出は指定したドメインの特定サイトに制限されます。

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -restrict-discovery-to-site true -default-site cifsdefaultsite.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100 -session-security seal

次のコマンドでは、LDAPリファーラル追跡が必要なLDAPのActive Directoryサーバーと連携するために、Storage VM vs1にldap1という名前の新しいLDAPクライアント設定を作成します。

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -base-scope subtree -preferred-ad-servers 172.17.32.100 -referral-enabled true

次のコマンドでは、ベースDNを指定することで、Storage VM vs1でldap1という名前のLDAPクライアント設定を変更します。

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn CN=Users,DC=addomain,DC=example,DC=com

次のコマンドでは、リファーラル追跡を有効にすることで、Storage VM vs1のldap1という名前のLDAPクライアント設定を変更します。

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com"  -referral-enabled true
Top of Page