تكوين مجال معرف NFSv4.1 لملفات Azure NetApp

  • مقالة

يقدم NFSv4 مفهوم مجال مصادقة المعرف. تستخدم Azure NetApp Files قيمة defaultv4iddomain.com الإدخال كمجال المصادقة، ويستخدم عملاء NFS التكوين الخاص بهم لمصادقة المستخدمين الذين يرغبون في الوصول إلى الملفات على وحدات التخزين هذه. بشكل افتراضي، سيستخدم عملاء NFS اسم مجال DNS كمجال معرف NFSv4. يمكنك تجاوز هذا الإعداد باستخدام ملف تكوين NFSv4 المسمى idmapd.conf.

إذا لم تتطابق إعدادات مجال المصادقة على عميل NFS وملفات Azure NetApp، فقد يتم رفض الوصول إلى الملفات حيث قد يفشل تعيين المستخدم والمجموعة NFSv4. عند حدوث ذلك، سيقوم المستخدمون والمجموعات غير المتطابقة بشكل صحيح بسحق المستخدم والمجموعة المكونة في idmapd.conf الملف (بشكل عام، لا أحد:99) وسيتم تسجيل حدث على العميل.

توضح هذه المقالة السلوك الافتراضي لتعيين المستخدم/المجموعة وكيفية تكوين عملاء NFS الصحيح للمصادقة بشكل صحيح والسماح بالوصول. 

السلوك الافتراضي لتعيين المستخدم/المجموعة

يمكن أن يوضح تعيين المستخدم الجذر ما يحدث إذا كان هناك عدم تطابق بين Azure NetApp Files وعملاء NFS. غالبا ما تتطلب عملية تثبيت أحد التطبيقات استخدام المستخدم الجذر. يمكن تكوين Azure NetApp Files للسماح بالوصول إلى root.

في مثال سرد الدليل التالي، يقوم المستخدم root بتحميل وحدة تخزين على عميل Linux يستخدم تكوينه localdomain الافتراضي لمجال مصادقة المعرف، والذي يختلف عن التكوين الافتراضي ل Azure NetApp Files.defaultv4iddomain.com

Screenshot of file directory output.

في قائمة الملفات في الدليل، file1 يظهر على أنه يتم تعيينه إلى nobody، عندما يجب أن يكون مملوكا من قبل المستخدم الجذر.

هناك طريقتان لضبط مجال المصادقة على كلا الجانبين: Azure NetApp Files كخادم NFS وLinux كعملاء NFS:

  1. إدارة المستخدم المركزية: إذا كنت تستخدم بالفعل إدارة مستخدم مركزية مثل خدمات مجال Active Directory (AD DS)، يمكنك تكوين عملاء Linux لاستخدام LDAP وتعيين المجال الذي تم تكوينه في AD DS كمجال مصادقة. على جانب الخادم، يجب تمكين خدمة مجال AD لملفات Azure NetApp وإنشاء وحدات تخزين ممكنة ل LDAP. تستخدم وحدات التخزين الممكنة ل LDAP تلقائيا المجال الذي تم تكوينه في AD DS كمجال مصادقة خاص بها.

    لمزيد من المعلومات حول هذه العملية، راجع تمكين مصادقة LDAP خدمات مجال Active Directory (AD DS) لوحدات تخزين NFS.

  2. تكوين عميل Linux يدويا: إذا كنت لا تستخدم إدارة مستخدم مركزية لعملاء Linux، يمكنك تكوين عملاء Linux يدويا لمطابقة مجال المصادقة الافتراضي لملفات Azure NetApp لوحدات التخزين غير الممكنة ل LDAP.

في هذا القسم سنركز على كيفية تكوين عميل Linux وكيفية تغيير مجال مصادقة Azure NetApp Files لجميع وحدات التخزين غير الممكنة ل LDAP.

تكوين مجال معرف NFSv4.1 على Azure NetApp Files

يمكنك تحديد مجال معرف NFSv4.1 المطلوب لجميع وحدات التخزين غير LDAP باستخدام مدخل Microsoft Azure. ينطبق هذا الإعداد على جميع وحدات التخزين غير LDAP عبر جميع حسابات NetApp في نفس الاشتراك والمنطقة. لا يؤثر على وحدات التخزين الممكنة ل LDAP في نفس اشتراك NetApp والمنطقة.

تسجيل الميزة

تدعم Azure NetApp Files القدرة على تعيين مجال معرف NFSv4.1 لجميع وحدات التخزين غير LDAP في اشتراك باستخدام مدخل Microsoft Azure. هذه الميزة في وضع المعاينة حاليًا. تحتاج إلى تسجيل الميزة قبل استخدامها لأول مرة. بعد التسجيل، يتم تمكين الميزة وتعمل في الخلفية.

  1. تسجيل الميزة

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFNFSV4IDDomain

  2. تحقق من حالة تسجيل الميزة:

    إشعار

    قد تكون RegistrationState في Registering الحالة لمدة تصل إلى 60 دقيقة قبل التغيير إلى Registered. انتظر حتى تكون Registered الحالة قبل المتابعة.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFNFSV4IDDomain

يمكنك أيضا استخدام أوامرaz feature registeraz feature show Azure CLI وتسجيل الميزة وعرض حالة التسجيل.

الخطوات

  1. ضمن اشتراك Azure NetApp Files، حدد NFSv4.1 ID Domain.

  2. حدد تكوين.

  3. لاستخدام المجال defaultv4iddomain.comالافتراضي ، حدد المربع بجوار استخدام مجال معرف NFSv4 الافتراضي. لاستخدام مجال آخر، قم بإلغاء تحديد مربع النص وتوفير اسم مجال معرف NFSv4.1.

    Screenshot with field to set NFSv4 domain.

  4. حدد حفظ.

تكوين مجال معرف NFSv4.1 في عملاء NFS

  1. /etc/idmapd.conf تحرير الملف على عميل NFS.
    إلغاء التعليق على السطر #Domain (أي إزالة # من السطر)، وتغيير القيمة localdomain كما يلي:

    • إذا لم يتم تمكين وحدة التخزين ل LDAP، فاستخدم المجال defaultv4iddomain.com الافتراضي عن طريق تحديد Domain = defaultv4iddomain.com، أو حدد مجال معرف NFSv4.1 كما تم تكوينه في Azure NetApp Files.
    • إذا تم تمكين وحدة التخزين ل LDAP، فقم بتعيين Domain إلى المجال الذي تم تكوينه في Active Directory الاتصال على حساب NetApp الخاص بك. على سبيل المثال، إذا كان contoso.com هو المجال الذي تم تكوينه في حساب NetApp، فقم بتعيين Domain = contoso.com.

    توضح الأمثلة التالية التكوين الأولي قبل /etc/idmapd.conf التغييرات:

    [General]
Verbosity = O 
Pipefs—Directory = /run/rpc_pipefs 
# set your own domain here, if it differs from FQDN minus hostname 
# Domain = localdomain 

[Mapping] 
Nobody-User = nobody 
Nobody-Group = nogroup

    يوضح المثال التالي التكوين المحدث لوحدات التخزين غير LDAP NFSv4.1 للمجال defaultv4iddomain.comالافتراضي :

    [General]
Verbosity = O 
Pipefs—Directory = /run/rpc_pipefs 
# set your own domain here, if it differs from FQDN minus hostname 
Domain = defaultv4iddomain.com 

[Mapping] 
Nobody-User = nobody 
Nobody-Group = nogroup

    يوضح المثال التالي التكوين المحدث لوحدات تخزين NFSv4.1 الممكنة ل LDAP. في هذا المثال، contoso.com هو المجال الذي تم تكوينه في حساب NetApp:

    [General]
Verbosity = O 
Pipefs—Directory = /run/rpc_pipefs 
# set your own domain here, if it differs from FQDN minus hostname 
Domain = contoso.com

[Mapping] 
Nobody-User = nobody 
Nobody-Group = nogroup

  2. إلغاء تحميل أي وحدات تخزين NFS مثبتة حاليا.

  3. تحديث الملف /etc/idmapd.conf.

  4. مسح مفتاح NFS idmapper (nfsidmap -c).

  5. قم بتحميل وحدات تخزين NFS كما هو مطلوب.

    راجع تحميل وحدة تخزين لأجهزة Windows أو Linux الظاهرية.

يوضح المثال التالي تغيير المستخدم/المجموعة الناتج:

Screenshot that shows an example of the resulting user/group change.

كما يظهر المثال، تم تغيير المستخدم/المجموعة الآن من nobody إلى root.

سلوك المستخدمين والمجموعات الأخرى (غير المقيدة)

تدعم Azure NetApp Files المستخدمين والمجموعات المحلية (التي تم إنشاؤها محليا على عميل NFS وتمثيلها بواسطة معرفات المستخدم والمجموعة) والملكية المقابلة والأذونات المقترنة بالملفات أو المجلدات في وحدات تخزين NFSv4.1. ومع ذلك، لا تحل الخدمة تلقائيا لتعيين المستخدمين المحليين والمجموعات عبر عملاء NFS. قد يكون المستخدمون والمجموعات التي تم إنشاؤها على مضيف واحد أو غير موجودين على عميل NFS آخر (أو موجودون مع معرفات مستخدم ومجموعة مختلفة)، وبالتالي لن يتم تعيينهم بشكل صحيح كما هو موضح في المثال أدناه.

في المثال التالي، Host1 يحتوي على ثلاثة حسابات مستخدمين (testuser01، testuser02، testuser03):

Screenshot that shows that Host1 has three existing test user accounts.

في Host2، لا توجد حسابات مستخدمين مقابلة، ولكن يتم تحميل نفس وحدة التخزين على كلا المضيفين:

Resulting configuration for NFSv4.1

لحل هذه المشكلة، إما إنشاء الحسابات المفقودة على عميل NFS أو تكوين عملاء NFS لاستخدام خادم LDAP الذي تستخدمه Azure NetApp Files لهويات UNIX المدارة مركزيا.

الخطوات التالية