تكوين مجال معرف NFSv4.1 لملفات Azure NetApp
يقدم NFSv4 مفهوم مجال مصادقة المعرف. تستخدم Azure NetApp Files قيمة defaultv4iddomain.com
الإدخال كمجال المصادقة، ويستخدم عملاء NFS التكوين الخاص بهم لمصادقة المستخدمين الذين يرغبون في الوصول إلى الملفات على وحدات التخزين هذه. بشكل افتراضي، سيستخدم عملاء NFS اسم مجال DNS كمجال معرف NFSv4. يمكنك تجاوز هذا الإعداد باستخدام ملف تكوين NFSv4 المسمى idmapd.conf
.
إذا لم تتطابق إعدادات مجال المصادقة على عميل NFS وملفات Azure NetApp، فقد يتم رفض الوصول إلى الملفات حيث قد يفشل تعيين المستخدم والمجموعة NFSv4. عند حدوث ذلك، سيقوم المستخدمون والمجموعات غير المتطابقة بشكل صحيح بسحق المستخدم والمجموعة المكونة في idmapd.conf
الملف (بشكل عام، لا أحد:99) وسيتم تسجيل حدث على العميل.
توضح هذه المقالة السلوك الافتراضي لتعيين المستخدم/المجموعة وكيفية تكوين عملاء NFS الصحيح للمصادقة بشكل صحيح والسماح بالوصول.
السلوك الافتراضي لتعيين المستخدم/المجموعة
يمكن أن يوضح تعيين المستخدم الجذر ما يحدث إذا كان هناك عدم تطابق بين Azure NetApp Files وعملاء NFS. غالبا ما تتطلب عملية تثبيت أحد التطبيقات استخدام المستخدم الجذر. يمكن تكوين Azure NetApp Files للسماح بالوصول إلى root
.
في مثال سرد الدليل التالي، يقوم المستخدم root
بتحميل وحدة تخزين على عميل Linux يستخدم تكوينه localdomain
الافتراضي لمجال مصادقة المعرف، والذي يختلف عن التكوين الافتراضي ل Azure NetApp Files.defaultv4iddomain.com
في قائمة الملفات في الدليل، file1
يظهر على أنه يتم تعيينه إلى nobody
، عندما يجب أن يكون مملوكا من قبل المستخدم الجذر.
هناك طريقتان لضبط مجال المصادقة على كلا الجانبين: Azure NetApp Files كخادم NFS وLinux كعملاء NFS:
إدارة المستخدم المركزية: إذا كنت تستخدم بالفعل إدارة مستخدم مركزية مثل خدمات مجال Active Directory (AD DS)، يمكنك تكوين عملاء Linux لاستخدام LDAP وتعيين المجال الذي تم تكوينه في AD DS كمجال مصادقة. على جانب الخادم، يجب تمكين خدمة مجال AD لملفات Azure NetApp وإنشاء وحدات تخزين ممكنة ل LDAP. تستخدم وحدات التخزين الممكنة ل LDAP تلقائيا المجال الذي تم تكوينه في AD DS كمجال مصادقة خاص بها.
لمزيد من المعلومات حول هذه العملية، راجع تمكين مصادقة LDAP خدمات مجال Active Directory (AD DS) لوحدات تخزين NFS.
تكوين عميل Linux يدويا: إذا كنت لا تستخدم إدارة مستخدم مركزية لعملاء Linux، يمكنك تكوين عملاء Linux يدويا لمطابقة مجال المصادقة الافتراضي لملفات Azure NetApp لوحدات التخزين غير الممكنة ل LDAP.
في هذا القسم سنركز على كيفية تكوين عميل Linux وكيفية تغيير مجال مصادقة Azure NetApp Files لجميع وحدات التخزين غير الممكنة ل LDAP.
تكوين مجال معرف NFSv4.1 على Azure NetApp Files
يمكنك تحديد مجال معرف NFSv4.1 المطلوب لجميع وحدات التخزين غير LDAP باستخدام مدخل Microsoft Azure. ينطبق هذا الإعداد على جميع وحدات التخزين غير LDAP عبر جميع حسابات NetApp في نفس الاشتراك والمنطقة. لا يؤثر على وحدات التخزين الممكنة ل LDAP في نفس اشتراك NetApp والمنطقة.
تسجيل الميزة
تدعم Azure NetApp Files القدرة على تعيين مجال معرف NFSv4.1 لجميع وحدات التخزين غير LDAP في اشتراك باستخدام مدخل Microsoft Azure. هذه الميزة في وضع المعاينة حاليًا. تحتاج إلى تسجيل الميزة قبل استخدامها لأول مرة. بعد التسجيل، يتم تمكين الميزة وتعمل في الخلفية.
تسجيل الميزة
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFNFSV4IDDomain
تحقق من حالة تسجيل الميزة:
إشعار
قد تكون RegistrationState في
Registering
الحالة لمدة تصل إلى 60 دقيقة قبل التغيير إلىRegistered
. انتظر حتى تكونRegistered
الحالة قبل المتابعة.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFNFSV4IDDomain
يمكنك أيضا استخدام أوامرaz feature register
az feature show
Azure CLI وتسجيل الميزة وعرض حالة التسجيل.
الخطوات
ضمن اشتراك Azure NetApp Files، حدد NFSv4.1 ID Domain.
حدد تكوين.
لاستخدام المجال
defaultv4iddomain.com
الافتراضي ، حدد المربع بجوار استخدام مجال معرف NFSv4 الافتراضي. لاستخدام مجال آخر، قم بإلغاء تحديد مربع النص وتوفير اسم مجال معرف NFSv4.1.حدد حفظ.
تكوين مجال معرف NFSv4.1 في عملاء NFS
/etc/idmapd.conf
تحرير الملف على عميل NFS.
إلغاء التعليق على السطر#Domain
(أي إزالة#
من السطر)، وتغيير القيمةlocaldomain
كما يلي:- إذا لم يتم تمكين وحدة التخزين ل LDAP، فاستخدم المجال
defaultv4iddomain.com
الافتراضي عن طريق تحديدDomain = defaultv4iddomain.com
، أو حدد مجال معرف NFSv4.1 كما تم تكوينه في Azure NetApp Files. - إذا تم تمكين وحدة التخزين ل LDAP، فقم بتعيين
Domain
إلى المجال الذي تم تكوينه في Active Directory الاتصال على حساب NetApp الخاص بك. على سبيل المثال، إذا كانcontoso.com
هو المجال الذي تم تكوينه في حساب NetApp، فقم بتعيينDomain = contoso.com
.
توضح الأمثلة التالية التكوين الأولي قبل
/etc/idmapd.conf
التغييرات:[General] Verbosity = O Pipefs—Directory = /run/rpc_pipefs # set your own domain here, if it differs from FQDN minus hostname # Domain = localdomain [Mapping] Nobody-User = nobody Nobody-Group = nogroup
يوضح المثال التالي التكوين المحدث لوحدات التخزين غير LDAP NFSv4.1 للمجال
defaultv4iddomain.com
الافتراضي :[General] Verbosity = O Pipefs—Directory = /run/rpc_pipefs # set your own domain here, if it differs from FQDN minus hostname Domain = defaultv4iddomain.com [Mapping] Nobody-User = nobody Nobody-Group = nogroup
يوضح المثال التالي التكوين المحدث لوحدات تخزين NFSv4.1 الممكنة ل LDAP. في هذا المثال،
contoso.com
هو المجال الذي تم تكوينه في حساب NetApp:[General] Verbosity = O Pipefs—Directory = /run/rpc_pipefs # set your own domain here, if it differs from FQDN minus hostname Domain = contoso.com [Mapping] Nobody-User = nobody Nobody-Group = nogroup
- إذا لم يتم تمكين وحدة التخزين ل LDAP، فاستخدم المجال
إلغاء تحميل أي وحدات تخزين NFS مثبتة حاليا.
تحديث الملف
/etc/idmapd.conf
.مسح مفتاح NFS
idmapper
(nfsidmap -c
).قم بتحميل وحدات تخزين NFS كما هو مطلوب.
يوضح المثال التالي تغيير المستخدم/المجموعة الناتج:
كما يظهر المثال، تم تغيير المستخدم/المجموعة الآن من nobody
إلى root
.
سلوك المستخدمين والمجموعات الأخرى (غير المقيدة)
تدعم Azure NetApp Files المستخدمين والمجموعات المحلية (التي تم إنشاؤها محليا على عميل NFS وتمثيلها بواسطة معرفات المستخدم والمجموعة) والملكية المقابلة والأذونات المقترنة بالملفات أو المجلدات في وحدات تخزين NFSv4.1. ومع ذلك، لا تحل الخدمة تلقائيا لتعيين المستخدمين المحليين والمجموعات عبر عملاء NFS. قد يكون المستخدمون والمجموعات التي تم إنشاؤها على مضيف واحد أو غير موجودين على عميل NFS آخر (أو موجودون مع معرفات مستخدم ومجموعة مختلفة)، وبالتالي لن يتم تعيينهم بشكل صحيح كما هو موضح في المثال أدناه.
في المثال التالي، Host1
يحتوي على ثلاثة حسابات مستخدمين (testuser01
، testuser02
، testuser03
):
في Host2
، لا توجد حسابات مستخدمين مقابلة، ولكن يتم تحميل نفس وحدة التخزين على كلا المضيفين:
لحل هذه المشكلة، إما إنشاء الحسابات المفقودة على عميل NFS أو تكوين عملاء NFS لاستخدام خادم LDAP الذي تستخدمه Azure NetApp Files لهويات UNIX المدارة مركزيا.