Configurar serviços de diretório LDAP para volumes NFS do Azure NetApp Files (versão prévia)

Além do suporte nativo do Active Directory, o Azure NetApp Files dá suporte à integração nativa com serviços de diretório, incluindo FreeIPA, OpenLDAP e Red Hat Directory Server para servidores de diretório LDAP (lightweight directory access protocol). Com o suporte do servidor de diretório LDAP nativo, você pode obter um controle de acesso seguro e escalonável baseado em identidade para volumes NFS em ambientes Linux.

A integração LDAP do Azure NetApp Files simplifica o gerenciamento de acesso ao compartilhamento de arquivos aproveitando serviços de diretório confiáveis. Ele dá suporte a protocolos NFSv3 e NFSv4.1 e usa a descoberta baseada em registro SRV DNS para alta disponibilidade e balanceamento de carga entre servidores LDAP. Do ponto de vista empresarial, esse recurso aprimora:

• Conformidade: o gerenciamento de identidade centralizado dá suporte à auditoria e à imposição de políticas
• Eficiência: reduz a sobrecarga administrativa unificando controles de identidade em sistemas Linux e NTFS
• Segurança: dá suporte ao LDAP por TLS, mapeamento de nomes simétricos/assimétricos e associações de grupo estendidas
• Integração perfeita: funciona com a infraestrutura LDAP existente
• Escalabilidade: dá suporte a diretórios de usuários e grupos grandes
• Flexibilidade: compatível com várias implementações LDAP

Serviços de diretório com suporte

• FreeIPA: Ideal para gerenciamento de identidades seguro e centralizado em ambientes do Linux
• OpenLDAP: Serviço de diretório leve e flexível para implantações personalizadas
• Red Hat Directory Server: serviço LDAP de nível empresarial com recursos avançados de escalabilidade e segurança

Architecture

O diagrama a seguir descreve como o Azure NetApp Files usa operações de associação/pesquisa LDAP para autenticar usuários e impor o controle de acesso com base nas informações do diretório.

A arquitetura envolve os seguintes componentes:

• Cliente de VM linux: inicia uma solicitação de montagem do NFS para o Azure NetApp Files
• Volume do Azure NetApp Files: recebe a solicitação de montagem e executa consultas LDAP
• Servidor de diretório LDAP: responde a solicitações de associação/pesquisa com informações de usuário e grupo
• Lógica de controle de acesso: impõe decisões de acesso com base em respostas LDAP

Fluxo de dados

1. Solicitação de montagem: a VM do Linux envia uma solicitação de montagem NFSv3 ou NFSv4.1 para o Azure NetApp Files.
2. Associação/pesquisa LDAP: o Azure NetApp Files envia uma solicitação de associação/pesquisa para o servidor LDAP (FreeIPA, OpenLDAP ou RHDS) usando a UID/GID.
3. Resposta LDAP: o servidor de diretório retorna atributos de usuário e grupo.
4. Decisão de Controle de Acesso: o Azure NetApp Files avalia a resposta e concede ou nega acesso.
5. Acesso ao cliente: a decisão é comunicada de volta ao cliente.

Casos de uso

Cada serviço de diretório se adequa a diferentes casos de uso no Azure NetApp Files.

FreeIPA

• Ambientes híbridos do Linux: ideal para empresas que usam o FreeIPA para gerenciamento de identidade centralizado em sistemas Linux em implantações de nuvem híbrida.
• Cargas de trabalho de HPC e análise: dá suporte à autenticação segura para clusters de computação de alto desempenho e plataformas de análise que dependem do FreeIPA.
• Integração do Kerberos: habilita ambientes que exigem autenticação baseada em Kerberos para cargas de trabalho NFS sem o Active Directory.

OpenLDAP

• Suporte a aplicativos herdados: perfeito para organizações que executam aplicativos herdados ou personalizados que dependem do OpenLDAP para serviços de identidade.
• Gerenciamento de identidade de várias plataformas: fornece uma solução leve e baseada em padrões para gerenciar o acesso em cargas de trabalho linux, UNIX e em contêineres.
• Implantações com otimização de custo: adequado para empresas que buscam uma solução de diretório flexível e de software livre sem a sobrecarga do Active Directory.

Servidor de Diretório do Red Hat

• Segurança e conformidade de nível empresarial: projetado para organizações que exigem serviços LDAP protegidos e com suporte empresarial com controles de segurança fortes.
• Setores regulamentados: ideal para setores financeiros, de saúde e governamentais em que a conformidade e o apoio dos fornecedores são críticos.
• Integração com o Ecossistema do Red Hat: se encaixa perfeitamente em ambientes que aproveitam o Red Hat Enterprise Linux e soluções relacionadas.

Considerações

• Há suporte para FreeIPA, OpenLDAP e Red Hat Directory Server com volumes NFSv3 e NFSv4.1; atualmente, não há suporte para eles com volumes de protocolo duplo.
• Atualmente, não há suporte para esses serviços de diretório com grandes volumes.
• Você deve configurar o servidor LDAP antes de criar o volume.
• Você só pode configurar FreeIPA, OpenLDAP ou Red Hat Directory Server em novos volumes NFS. Você não pode converter volumes existentes para usar esses serviços de diretório.
• Atualmente, o Kerberos não tem suporte com FreeIPA, OpenLDAP ou Red Hat Directory Server.

Registrar o recurso

O suporte para FreeIPA, OpenLDAP e Red Hat Directory Server está atualmente em versão prévia. Antes de conectar seus volumes NFS a um desses servidores de diretório, você deve registrar o recurso:

1. Registrar o recurso:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

2. Verifique o status do registro do recurso:

   Observação

   O RegistrationState pode permanecer no Registering estado por até 60 minutos antes de mudar para Registered. Aguarde até que o status seja Registered antes de continuar.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

Você também pode usar os comandos da CLI do Azureaz feature register e az feature show para registrar o recurso e exibir o status do registro.

Criar o servidor LDAP

Primeiro, você deve criar o servidor LDAP antes de conectá-lo ao Azure NetApp Files. Siga as instruções para o servidor relevante:

• Para configurar o FreeIPA, consulte o Guia de Início Rápido do FreeIPA e siga as diretrizes do Red Hat.
• Para OpenLDAP, consulte a documentação do OpenLDAP.
• Para o Red Hat Directory Server, siga a documentação do Red Hat. Para obter mais informações, consulte o guia de instalação do Servidor de Diretório 389.

Configurar a conexão LDAP no Azure NetApp Files

1. No portal do Azure, navegue até as conexões LDAP em Azure NetApp Files.

2. Crie a nova conexão LDAP.

3. No novo menu, forneça:

   • Domínio: O nome de domínio serve como o DN base.

   • Servidores LDAP: O endereço IP do servidor LDAP.

   • LDAP via TLS: Opcionalmente, marque a caixa para habilitar LDAP por TLS para comunicação segura. Para obter mais informações, consulte Configurar LDAP via TLS.

     Observação

     Para habilitar o LDAP por TLS em vários servidores, você deve gerar e instalar o certificado comum em cada servidor e carregar o certificado de AC do servidor no portal do Azure.

   • Certificado de AC do servidor: O certificado da autoridade de certificação. Essa opção será necessária se você usar LDAP por TLS.

   • Host de CN do Certificado: o servidor de nomes comuns do host, por exemplo, contoso.server.com.

   

4. Clique em Salvar.

5. Depois de configurar a conexão LDAP, você poderá criar um volume NFS.

Validar a conexão LDAP

1. Para validar a conexão, navegue até a visão geral do volume usando a conexão LDAP.
2. Selecione a conexão LDAP e, em seguida, a Lista de IDs de Grupo LDAP.
3. No campo Nome de usuário, insira o nome de usuário fornecido quando você configurou o servidor LDAP. Selecione Obter IDs de Grupo. Verifique se as IDs do grupo correspondem ao cliente e ao servidor.

Próximas etapas

• Entender LDAP
• Entender o mapeamento de nomes usando LDAP
• Compreender como permitir usuários NFS locais com a opção LDAP
• Entender esquemas LDAP
• Criar um volume NFS