エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

LDAPの使用 - 概要

LDAPがネームサービスに使用されている環境では、LDAP管理者と協力して要件および適切なストレージ システム構成を決定し、SVMをLDAPクライアントとして有効にする必要があります。

ONTAP 9.10.1以降では、Active Directoryとネーム サービスの両方のLDAP接続でLDAPチャネル バインディングがデフォルトでサポートされます。ONTAPは、Start-TLSまたはLDAPSが有効で、セッション セキュリティが署名または封印に設定されている場合にのみ、LDAP接続でチャネル バインディングを試行します。ネームサーバーでLDAPチャネルバインディングを無効または再度有効にするには、-try-channel-bindingコマンドでldap client modifyパラメーターを使用します。

詳細については、次を参照してください。 2020 LDAPチャネル バインドとLDAP署名要件(Windows)

  • LDAPをONTAP用に設定する前に、サイト環境がLDAPサーバーおよびクライアント設定のベストプラクティスを満たしていることを確認する必要があります。具体的には、次の条件を満たす必要があります。

    • LDAPサーバーのドメイン名がLDAPクライアント上のエントリと一致する必要があります。

    • LDAPサーバーでサポートされるLDAPユーザーのパスワード ハッシュ タイプに、ONTAPでサポートされる次のタイプが含まれている必要があります。

      • CRYPT(すべてのタイプ)およびSHA-1(SHA、SSHA)

      • ONTAP 9.8以降では、SHA-2ハッシュ(SHA-256、SSH-384、SHA-512、SSHA-256、SSHA-384、およびSSHA-512)もサポートされます。

    • LDAPサーバーにセッション セキュリティ対策が必要な場合は、LDAPクライアントで設定する必要があります。

      以下のセッション セキュリティ オプションを使用できます。

      • LDAP署名(データの整合性チェックを提供)およびLDAP署名と封印(データの整合性チェックと暗号化を提供)

      • START TLS

      • LDAPS(LDAP over TLSまたはSSL)

    • 署名および封印されたLDAPクエリを有効にするには、次のサービスが設定されている必要があります。

      • LDAPサーバーでGSSAPI(Kerberos)SASLがサポートされている必要があります。

      • LDAPサーバーに、DNS A/AAAAレコード、およびDNSサーバーで設定されたPTRレコードが必要です。

      • Kerberosサーバーに、DNSサーバー上に存在するSRVレコードが必要です。

    • START TLSまたはLDAPSを有効にする場合、次の点を考慮する必要があります。

      • 富士通では、LDAPSではなくStart TLSの使用を推奨しています。

      • LDAPSを使用する場合は、TLS用またはSSL用にLDAPサーバーが有効になっている必要があります。

      • 証明書サーバーがドメインで設定済みである必要があります。

    • LDAPリファーラル追跡を有効にするには、次の条件を満たしている必要があります。

      • 両方のドメインで次のいずれかの信頼関係が設定されている必要があります。

        • 双方向

        • 一方向(プライマリー ドメインがリファーラル ドメインを信頼)

        • 親子

      • 参照されているすべてのサーバー名を解決するようにDNSが設定されている必要があります。

      • --bind-as-cifs-serverがtrueに設定されている場合、認証には両ドメインのパスワードが同じであることが必要です。

    次の設定はLDAPリファーラル追跡でサポートされていません。

    • すべてのONTAPバージョン:

      • 管理SVM上のLDAPクライアント

    • ONTAP 9.8以前(9.9.1以降ではサポート):

      • LDAPの署名と封印(-session-securityオプション)

      • 暗号化されたTLS接続(-use-start-tlsオプション)

      • LDAPSポート636経由の通信(-use-ldaps-for-ad-ldapオプション)

  • SVMでLDAPクライアントを設定する際は、LDAPスキーマを入力する必要があります。

    ほとんどの場合、デフォルトのONTAPスキーマのいずれかで問題ありません。ただし、環境のLDAPスキーマがデフォルトのスキーマと異なる場合は、LDAPクライアントを作成する前にONTAP用の新しいLDAPクライアント スキーマを作成する必要があります。環境の要件については、LDAP管理者にお問い合わせください。

  • LDAPをホスト名解決に使用することはサポートされていません。

Top of Page