다음을 통해 공유

Azure NetApp Files NFS 볼륨에 대한 LDAP 디렉터리 서비스 구성(미리 보기)

네이티브 Active Directory 지원 외에도 Azure NetApp Files는 LDAP(경량 디렉터리 액세스 프로토콜) 디렉터리 서버용 FreeIPA, OpenLDAP 및 Red Hat Directory Server를 비롯한 디렉터리 서비스와의 네이티브 통합을 지원합니다. 네이티브 LDAP 디렉터리 서버 지원을 사용하면 Linux 환경에서 NFS 볼륨에 대한 안전하고 확장 가능한 ID 기반 액세스 제어를 달성할 수 있습니다.

Azure NetApp Files의 LDAP 통합은 신뢰할 수 있는 디렉터리 서비스를 활용하여 파일 공유 액세스 관리를 간소화합니다. NFSv3 및 NFSv4.1 프로토콜을 지원하고 LDAP 서버에서 고가용성 및 부하 분산을 위해 DNS SRV 레코드 기반 검색을 사용합니다. 비즈니스 관점에서 이 기능은 다음을 향상시킵니다.

  • 규정 준수: 중앙 집중식 ID 관리는 감사 가능성 및 정책 적용을 지원합니다.
  • 효율성: Linux 및 NTFS 시스템에서 ID 제어를 통합하여 관리 오버헤드를 줄입니다.
  • 보안: TLS, 대칭/비대칭 이름 매핑 및 확장된 그룹 멤버 자격에 대한 LDAP 지원
  • 원활한 통합: 기존 LDAP 인프라와 작동
  • 확장성: 대규모 사용자 및 그룹 디렉터리를 지원합니다.
  • 유연성: 여러 LDAP 구현과 호환

지원되는 디렉터리 서비스

  • FreeIPA: Linux 환경에서 안전하고 중앙 집중식 ID 관리에 이상적입니다.
  • OpenLDAP: 사용자 지정 배포를 위한 가볍고 유연한 디렉터리 서비스
  • Red Hat Directory 서버: 고급 확장성 및 보안 기능을 갖춘 엔터프라이즈급 LDAP 서비스

중요합니다

Active Directory에서 LDAP를 구성하려면 NFS 볼륨 액세스에 대한 확장 그룹을 사용하여 AD DS LDAP 구성을 참조하세요.

아키텍처

다음 다이어그램에서는 Azure NetApp Files가 LDAP 바인딩/검색 작업을 사용하여 사용자를 인증하고 디렉터리 정보에 따라 액세스 제어를 적용하는 방법을 간략하게 설명합니다.

Azure NetApp Files의 LDAP 디렉터리 서버 다이어그램

아키텍처에는 다음 구성 요소가 포함됩니다.

  • Linux VM 클라이언트: Azure NetApp Files에 대한 NFS 탑재 요청을 시작합니다.
  • Azure NetApp Files 볼륨: 탑재 요청을 수신하고 LDAP 쿼리를 수행합니다.
  • LDAP 디렉터리 서버: 사용자 및 그룹 정보를 사용하여 바인딩/검색 요청에 응답
  • 액세스 제어 논리: LDAP 응답에 따라 액세스 결정 적용

데이터 흐름

  1. 탑재 요청: Linux VM은 NFSv3 또는 NFSv4.1 탑재 요청을 Azure NetApp Files로 보냅니다.
  2. LDAP 바인딩/검색: Azure NetApp Files는 UID/GID를 사용하여 LDAP 서버(FreeIPA, OpenLDAP 또는 RHDS)에 바인딩/검색 요청을 보냅니다.
  3. LDAP 응답: 디렉터리 서버는 사용자 및 그룹 특성을 반환합니다.
  4. 액세스 제어 결정: Azure NetApp Files는 응답을 평가하고 액세스를 부여하거나 거부합니다.
  5. 클라이언트 액세스: 결정은 클라이언트에 다시 전달됩니다.

사용 사례

각 디렉터리 서비스는 Azure NetApp Files의 다양한 사용 사례에 호소합니다.

FreeIPA

  • 하이브리드 Linux 환경: 하이브리드 클라우드 배포의 Linux 시스템 전체에서 중앙 집중식 ID 관리를 위해 FreeIPA를 사용하는 기업에 적합합니다.
  • HPC 및 분석 워크로드: FreeIPA를 사용하는 고성능 컴퓨팅 클러스터 및 분석 플랫폼에 대한 보안 인증을 지원합니다.
  • Kerberos 통합: Active Directory 없이 NFS 워크로드에 대해 Kerberos 기반 인증이 필요한 환경을 사용하도록 설정합니다.

OpenLDAP

  • 레거시 애플리케이션 지원: ID 서비스에 대해 OpenLDAP에 의존하는 레거시 또는 사용자 지정 애플리케이션을 실행하는 조직에 적합합니다.
  • 다중 플랫폼 ID 관리: Linux, UNIX 및 컨테이너화된 워크로드에서 액세스를 관리하기 위한 간단한 표준 기반 솔루션을 제공합니다.
  • 비용 최적화 배포: Active Directory 오버헤드 없이 오픈 소스 유연한 디렉터리 솔루션을 찾는 기업에 적합합니다.

Red Hat 디렉터리 서버

  • 엔터프라이즈급 보안 및 규정 준수: 강력한 보안 제어를 통해 강화된 엔터프라이즈 지원 LDAP 서비스가 필요한 조직을 위해 설계되었습니다.
  • 규제 산업: 규정 준수 및 공급업체 지원이 중요한 금융, 의료 및 정부 부문에 이상적입니다.
  • Red Hat 에코시스템과의 통합: Red Hat Enterprise Linux 및 관련 솔루션을 활용하는 환경에 원활하게 적합합니다.

고려 사항

  • FreeIPA, OpenLDAP 및 Red Hat Directory 서버는 NFSv3 및 NFSv4.1 볼륨에서 지원됩니다. 이중 프로토콜 볼륨에서는 현재 지원되지 않습니다.
  • 이러한 디렉터리 서비스는 현재 대용량에서 지원되지 않습니다.
  • 볼륨을 만들기 전에 LDAP 서버를 구성해야 합니다.
  • NFS 볼륨에서만 FreeIPA, OpenLDAP 또는 Red Hat Directory Server를 구성할 수 있습니다. 이러한 디렉터리 서비스를 사용하도록 기존 볼륨을 변환할 수 없습니다.
  • Kerberos는 현재 FreeIPA, OpenLDAP 또는 Red Hat Directory Server에서 지원되지 않습니다.

기능 등록

FreeIPA, OpenLDAP 및 Red Hat 디렉터리 서버에 대한 지원은 현재 미리 보기로 제공됩니다. NFS 볼륨을 이러한 디렉터리 서버 중 하나에 연결하기 전에 다음 기능을 등록해야 합니다.

  1. 기능을 등록합니다.

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP

  2. 기능 등록 상태를 확인합니다.

    비고

    RegistrationState는 다음으로 Registering 변경Registered하기 전에 최대 60분 동안 상태를 유지할 수 있습니다. 상태가 Registered이 될 때까지 기다린 후에 계속하세요.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP

Azure CLI 명령az feature registeraz feature show를 사용하여 기능을 등록하고 등록 상태를 표시할 수도 있습니다.

LDAP 서버 만들기

Azure NetApp Files에 연결하려면 먼저 LDAP 서버를 만들어야 합니다. 관련 서버에 대한 지침을 따릅니다.

Azure NetApp Files에서 LDAP 연결 구성

  1. Azure Portal에서 Azure NetApp Files에서 LDAP 연결로 이동합니다.

  2. 새 LDAP 연결을 만듭니다.

  3. 새 메뉴에서 다음을 제공합니다.

    • 도메인: 도메인 이름은 기본 DN으로 사용됩니다.

    • LDAP 서버: LDAP 서버의 IP 주소입니다.

    • TLS를 통해 LDAP: 필요에 따라 보안 통신을 위해 TLS를 통해 LDAP를 사용하도록 설정하려면 확인란을 선택합니다. 자세한 내용은 TLS를 통해 LDAP 구성을 참조하세요.

      비고

      여러 서버에서 TLS를 통해 LDAP를 사용하도록 설정하려면 각 서버에 공통 인증서를 생성 및 설치한 다음 Azure Portal에서 서버 CA 인증서를 업로드해야 합니다.

    • 서버 CA 인증서: 인증 기관 인증서입니다. TLS를 통해 LDAP를 사용하는 경우 이 옵션이 필요합니다.

    • 인증서 CN 호스트: 호스트의 일반 이름 서버(예: contoso.server.com)입니다.

    LDAP 연결 옵션 구성 스크린샷

  4. 저장을 선택합니다.

  5. LDAP 연결을 구성한 후에 NFS 볼륨을 만들 수 있습니다.

LDAP 연결 유효성 검사

  1. 연결의 유효성을 검사하려면 LDAP 연결을 사용하여 볼륨의 볼륨 개요로 이동합니다.
  2. LDAP 연결을 선택한 다음, LDAP 그룹 ID 목록을 선택합니다.
  3. 사용자 이름 필드에 LDAP 서버를 구성할 때 제공된 사용자 이름을 입력합니다. 그룹 ID 가져오기를 선택합니다. 그룹 ID가 클라이언트 및 서버와 일치하는지 확인합니다.

다음 단계

  • Last updated on