Włącz uwierzytelnianie LDAP usługi Active Directory Domain Services (AD DS) dla NFS

Podczas tworzenia woluminu NFS można włączyć protokół LDAP z funkcją rozszerzonych grup (opcja LDAP ) dla woluminu. Ta funkcja umożliwia użytkownikom ldap usługi Active Directory i grupom rozszerzonym (do 1024 grup) uzyskiwanie dostępu do plików i katalogów w woluminie. Protokół LDAP można używać z funkcją rozszerzonych grup zarówno z woluminami NFSv4.1, jak i NFSv3.

Usługa Azure NetApp Files obsługuje pobieranie grup rozszerzonych z usługi nazw LDAP, a nie z nagłówka RPC. Usługa Azure NetApp Files współdziała z protokołem LDAP, wysyłając zapytanie o atrybuty, takie jak nazwy użytkowników, identyfikatory liczbowe, grupy i członkostwa w grupach na potrzeby operacji protokołu NFS.

Po ustaleniu, że protokół LDAP będzie używany dla operacji, takich jak wyszukiwanie nazw i pobieranie grup rozszerzonych, następuje następujący proces:

1. Usługa Azure NetApp Files używa konfiguracji klienta LDAP do próby nawiązania połączenia z serwerem LDAP usług AD DS lub Microsoft Entra Domain Services określonym w konfiguracji usługi Azure NetApp Files AD.
2. Jeśli połączenie TCP za pośrednictwem zdefiniowanego portu usługi LDAP w AD DS lub Microsoft Entra Domain Services zakończy się pomyślnie, klient LDAP usługi Azure NetApp Files podejmuje próbę uwierzytelnienia się na serwerze LDAP (kontrolerze domeny) przy użyciu zdefiniowanych poświadczeń w konfiguracji klienta LDAP.
3. Jeśli powiązanie zakończy się pomyślnie, klient LDAP usługi Azure NetApp Files używa schematu LDAP RFC 2307bis w celu utworzenia zapytania wyszukiwania LDAP dla usług AD DS lub serwera LDAP usług Microsoft Entra Domain Services (kontrolera domeny). Następujące informacje są przekazywane do serwera w zapytaniu:
   • Nazwa wyróżniająca bazy/użytkownika (aby zawęzić zakres wyszukiwania)
   • Typ zakresu wyszukiwania (poddrzewo)
   • Klasa obiektów (userposixAccountdla użytkowników i posixGroup grup)
   • Identyfikator UID lub nazwa użytkownika
   • Żądane atrybuty (uid, uidNumbergidNumber dla użytkowników lub gidNumber grup)
4. Jeśli użytkownik lub grupa nie zostanie znaleziona, żądanie zakończy się niepowodzeniem i odmowa dostępu.
5. Jeśli żądanie zakończy się pomyślnie, atrybuty użytkownika i grupy są buforowane do użycia w przyszłości. Ta operacja poprawia wydajność kolejnych zapytań LDAP skojarzonych z buforowanym atrybutem użytkownika lub grupy. Zmniejsza to również obciążenie serwera LDAP usług AD DS lub Microsoft Entra Domain Services.

Rozważania

• Protokół LDAP można włączyć z funkcją grup rozszerzonych tylko podczas tworzenia woluminu. Nie można włączyć tej funkcji, aby działała z mocą wsteczną na istniejących woluminach.

• Protokół LDAP z grupami rozszerzonymi jest obsługiwany tylko w usługach Active Directory Domain Services (AD DS) lub Microsoft Entra Domain Services. OpenLDAP lub inne usługi katalogowe LDAP innych firm nie są obsługiwane.

• Protokół LDAP za pośrednictwem protokołu TLS nie może być włączony, jeśli używasz usług Microsoft Entra Domain Services.

• Nie można zmodyfikować ustawienia opcji LDAP (włączone lub wyłączone) po utworzeniu woluminu.

• W poniższej tabeli opisano ustawienia czasu życia (TTL) dla pamięci podręcznej LDAP. Przed próbą uzyskania dostępu do pliku lub katalogu za pośrednictwem klienta należy poczekać na odświeżenie pamięci podręcznej. W przeciwnym razie na kliencie zostanie wyświetlony komunikat o odmowie dostępu lub uprawnienia.

  Pamięć podręczna	Domyślny limit czasu
  Lista członkostwa w grupie	24-godzinny TTL
  Grupy systemu Unix	24-godzinny czas wygaśnięcia, 1-minutowy ujemny czas wygaśnięcia
  Użytkownicy systemu Unix	24-godzinny czas wygaśnięcia, 1-minutowy ujemny czas wygaśnięcia

  Pamięci podręczne mają określony limit czasu nazywany Time to Live. Po upływie limitu czasu wpisy są usuwane, aby nieaktualne wpisy nie zalegały. Ujemna wartość TTL to miejsce, gdzie przechowywane jest nieudane wyszukiwanie, co pomaga uniknąć problemów z wydajnością z powodu zapytań LDAP dla obiektów, które mogą nie istnieć.

• Opcja Zezwalaj lokalnym użytkownikom systemu plików NFS z protokołem LDAP w połączeniach usługi Active Directory ma na celu zapewnienie okazjonalnego i tymczasowego dostępu do użytkowników lokalnych. Po włączeniu tej opcji uwierzytelnianie użytkowników i wyszukiwanie z serwera LDAP przestaną działać, a liczba członkostw w grupach, które będą obsługiwane przez usługę Azure NetApp Files, będzie ograniczona do 16. W związku z tym należy zachować tę opcję wyłączoną na połączeniach usługi Active Directory, z wyjątkiem sytuacji, gdy użytkownik lokalny musi uzyskać dostęp do woluminów z obsługą protokołu LDAP. W takim przypadku należy wyłączyć tę opcję, gdy tylko dostęp użytkownika lokalnego nie jest już wymagany dla woluminu. Zobacz Zezwalanie lokalnym użytkownikom systemu plików NFS z protokołem LDAP na dostęp do woluminu z dwoma protokołami na temat zarządzania dostępem użytkowników lokalnych.

Kroki

1. Woluminy LDAP wymagają konfiguracji usługi Active Directory dla ustawień serwera LDAP. Postępuj zgodnie z instrukcjami w temacie Wymagania dotyczące połączeń usługi Active Directory i Utwórz połączenie usługi Active Directory , aby skonfigurować połączenia usługi Active Directory w witrynie Azure Portal.

   Uwaga / Notatka

   Upewnij się, że skonfigurowano ustawienia połączenia usługi Active Directory. Konto komputera zostanie utworzone w jednostce organizacyjnej określonej w ustawieniach połączenia usługi Active Directory. Ustawienia są używane przez klienta LDAP do uwierzytelniania w usłudze Active Directory.

2. Upewnij się, że serwer LDAP usługi Active Directory jest uruchomiony w usłudze Active Directory.

3. Użytkownicy ldap NFS muszą mieć pewne atrybuty POSIX na serwerze LDAP. Ustaw atrybuty dla użytkowników LDAP i grup LDAP w następujący sposób:

   • Wymagane atrybuty dla użytkowników LDAP:
     uid: Alice,
     uidNumber: 139,
     gidNumber: 555,
     objectClass: user, posixAccount
   • Wymagane atrybuty dla grup LDAP:
     objectClass: group, posixGroup,
     gidNumber: 555

   Wartości określone dla objectClass są oddzielnymi wpisami. Na przykład w Edytorze ciągów z wieloma wartościami objectClass mają określone osobno wartości (user i posixAccount), określone w następujący sposób dla użytkowników LDAP:

   Uwaga / Notatka

   Jeśli atrybuty POSIX nie są poprawnie skonfigurowane, operacje wyszukiwania użytkowników i grup mogą zakończyć się niepowodzeniem, a użytkownicy mogą zostać zredukowani do nobody podczas uzyskiwania dostępu do woluminów NFS.

   

   Za pomocą przystawki MMC Użytkownicy i komputery usługi Active Directory można zarządzać atrybutami POSIX. W poniższym przykładzie przedstawiono Edytor atrybutów usługi Active Directory. Aby uzyskać szczegółowe informacje, zobacz Access Active Directory Attribute Editor (Edytor atrybutów usługi Active Directory).

   

4. Jeśli chcesz skonfigurować klienta systemu Linux zintegrowanego z protokołem LDAP NFSv4.1, zobacz Konfigurowanie klienta NFS dla usługi Azure NetApp Files.

5. Jeśli woluminy z obsługą protokołu LDAP używają systemu plików NFSv4.1, postępuj zgodnie z instrukcjami w temacie Konfigurowanie domeny identyfikatora NFSv4.1 , aby skonfigurować /etc/idmapd.conf plik.

   Musisz ustawić Domain w /etc/idmapd.conf na domenę skonfigurowaną w połączeniu Active Directory na swoim koncie NetApp. Jeśli na przykład contoso.com jest skonfigurowaną domeną w koncie NetApp, to ustaw Domain = contoso.com.

   Następnie należy ponownie uruchomić usługę rpcbind na hoście lub ponownie uruchomić hosta.

6. Wykonaj kroki opisane w temacie Tworzenie woluminu NFS dla usługi Azure NetApp Files , aby utworzyć wolumin NFS. Podczas procesu tworzenia woluminu na karcie Protokół włącz opcję LDAP .

   

7. Opcjonalnie — możesz włączyć lokalnych użytkowników klienta NFS, którzy nie są obecni na serwerze LDAP systemu Windows, aby uzyskać dostęp do woluminu NFS z włączonym protokołem LDAP z włączonymi grupami rozszerzonymi. W tym celu włącz opcję Zezwalaj lokalnym użytkownikom NFS z LDAP w następujący sposób:

   1. Wybierz Połączenia usługi Active Directory. Na istniejącym połączeniu usługi Active Directory wybierz menu kontekstowe (trzy kropki …), a następnie wybierz pozycję Edytuj.
   2. W wyświetlonym oknie Edytowanie ustawień Active Directory wybierz opcję Zezwalaj lokalnym użytkownikom NFS z LDAP.

   

8. Opcjonalnie, jeśli posiadasz duże topologie i używasz stylu zabezpieczeń Unix z woluminem z podwójnym protokołem lub LDAP z rozszerzonymi grupami, możesz użyć opcji Zakres wyszukiwania LDAP, aby uniknąć błędów "odmowa dostępu" na klientach Linux dla Azure NetApp Files.

   Opcja Zakres wyszukiwania LDAP jest konfigurowana za pośrednictwem strony Połączenia usługi Active Directory .

   Aby rozwiązać użytkowników i grupy z serwera LDAP dla dużych topologii, ustaw wartości opcji DN użytkownika, DN grupy i Filtr członkostwa grupy na stronie Połączenia usługi Active Directory w następujący sposób:

   • Określ zagnieżdżony DN użytkownika i DN grupy w formacie OU=subdirectory,OU=directory,DC=domain,DC=com. Można określić wiele jednostek organizacyjnych przy użyciu średnika, na przykład: OU=subdirectory1,OU=directory1,DC=domain,DC=com;OU=subdirectory2,OU=directory2,DC=domain,DC=com
   • Określ filtr członkostwa w grupie w formacie (gidNumber=*). Na przykład, ustawienie (gidNumber=9*) wyszukiwań gidNumbers rozpoczynających się od 9. Można również użyć dwóch filtrów razem: (|(cn=*22)(cn=*33)) wyszukuje wartości CN kończące się na 22 lub 33.
   • Jeśli użytkownik jest członkiem więcej niż 256 grup, zostanie wyświetlonych tylko 256 grup.
   • Jeśli napotkasz błędy, odnieś się do sekcji o błędach woluminów LDAP.

   

Dalsze kroki

• Tworzenie woluminu NFS dla usługi Azure NetApp Files
• Tworzenie połączeń usługi Active Directory i zarządzanie nimi
• Konfigurowanie domeny NFSv4.1
• Konfigurowanie klienta NFS dla usługi Azure NetApp Files
• Rozwiązywanie problemów z błędami woluminów dla usługi Azure NetApp Files
• Modyfikowanie połączeń Active Directory dla usługi Azure NetApp Files
• Omówienie członkostwa w grupach systemu plików NFS i grup uzupełniających