Konfigurace adresářových služeb LDAP pro svazky NFS služby Azure NetApp Files (Preview)

Kromě nativní podpory Active Directory podporuje Azure NetApp Files nativní integraci s adresářovými službami, včetně FreeIPA, OpenLDAP a Red Hat Directory Serveru pro adresářové servery LDAP (Lightweight Directory Access Protocol). S podporou nativního adresářového serveru LDAP můžete v linuxových prostředích dosáhnout zabezpečeného a škálovatelného řízení přístupu na základě identity pro svazky NFS.

Integrace protokolu LDAP služby Azure NetApp Files zjednodušuje správu přístupu ke sdílené složce s využitím důvěryhodných adresářových služeb. Podporuje protokoly NFSv3 a NFSv4.1 a používá zjišťování založené na záznamech DNS SRV pro zajištění vysoké dostupnosti a vyrovnávání zatížení napříč servery LDAP. Z obchodní perspektivy tato funkce vylepšuje:

• Dodržování předpisů: Centralizovaná správa identit podporuje auditovatelnost a vynucování zásad
• Efektivita: Snižuje režijní náklady na správu sjednocením ovládacích prvků identit v systémech Linux a NTFS.
• Zabezpečení: Podporuje protokol LDAP přes PROTOKOL TLS, mapování symetrických a asymetrických názvů a rozšířené členství ve skupinách.
• Bezproblémová integrace: Funguje s existující infrastrukturou LDAP
• Škálovatelnost: Podporuje velké adresáře uživatelů a skupin.
• Flexibilita: Kompatibilní s několika implementacemi LDAP

Podporované adresářové služby

• FreeIPA: Ideální pro zabezpečenou centralizovanou správu identit v prostředích s Linuxem
• OpenLDAP: Zjednodušená a flexibilní adresářová služba pro vlastní nasazení
• Red Hat Directory Server: Služba LDAP na podnikové úrovni s pokročilými funkcemi škálovatelnosti a zabezpečení

Důležité

Pokud chcete nakonfigurovat LDAP se službou Active Directory, přečtěte si téma Konfigurace protokolu LDAP služby AD DS s rozšířenými skupinami pro přístup ke svazkům NFS.

Architecture

Následující diagram popisuje, jak Azure NetApp Files používá operace vazby a vyhledávání LDAP k ověřování uživatelů a vynucení řízení přístupu na základě informací o adresáři.

Architektura zahrnuje následující komponenty:

• Klient virtuálního počítače s Linuxem: Zahájí žádost o připojení NFS ke službě Azure NetApp Files.
• Svazek Azure NetApp Files: přijme žádost o připojení a provede dotazy LDAP.
• Adresářový server LDAP: reaguje na žádosti o svázání a vyhledávání s informacemi o uživateli a skupině.
• Logika řízení přístupu: Vynucuje rozhodnutí o přístupu na základě odpovědí PROTOKOLU LDAP.

Tok dat

1. Žádost o připojení: Virtuální počítač s Linuxem odešle žádost o připojení NFSv3 nebo NFSv4.1 do služby Azure NetApp Files.
2. LDAP vazba/vyhledávání: Azure NetApp Files odešle požadavek na vazbu/vyhledávání na server LDAP (FreeIPA, OpenLDAP nebo RHDS) pomocí UID/GID.
3. Odpověď LDAP: Adresářový server vrátí atributy uživatele a skupiny.
4. Rozhodnutí o řízení přístupu: Azure NetApp Files vyhodnotí odpověď a udělí nebo odmítne přístup.
5. Klientský přístup: Rozhodnutí se předá klientovi.

Případy použití

Každá adresářová služba se v Azure NetApp Files odvolává na různé případy použití.

FreeIPA

• Hybridní linuxová prostředí: Ideální pro podniky, které používají FreeIPA pro centralizovanou správu identit napříč systémy Linux v hybridních cloudových nasazeních.
• Úlohy HPC a analýzy: Podporuje zabezpečené ověřování pro vysokovýkonné výpočetní clustery a analytické platformy, které spoléhají na FreeIPA.
• Integrace protokolu Kerberos: Umožňuje prostředí, která vyžadují ověřování založené na protokolu Kerberos pro úlohy NFS bez služby Active Directory.

OpenLDAP

• Podpora starších verzí aplikací: Ideální pro organizace se starší verzí nebo vlastními aplikacemi, které jsou závislé na OpenLDAP pro služby identit.
• Správa identit s více platformami: Poskytuje jednoduché řešení založené na standardech pro správu přístupu napříč úlohami se systémy Linux, UNIX a kontejnerizovanými úlohami.
• Nákladově optimalizovaná nasazení: Vhodné pro firmy, které hledají opensourcové flexibilní adresářové řešení bez režie služby Active Directory.

Adresářový server Red Hat

• Zabezpečení a dodržování předpisů na podnikové úrovni: Určeno pro organizace, které vyžadují posílené a podnikové služby LDAP se silnými bezpečnostními prvky.
• Regulovaná odvětví: Ideální pro finanční, zdravotnictví a vládní sektory, kde je důležitá podpora dodržování předpisů a dodavatelů.
• Integrace s ekosystémem Red Hat: Bezproblémově zapadá do prostředí využívajících Red Hat Enterprise Linux a související řešení.

Úvahy

• Svazky FreeIPA, OpenLDAP a Red Hat Directory Server podporují svazky NFSv3 a NFSv4.1; v současné době nejsou podporovány svazky se dvěma protokoly.
• Tyto adresářové služby se v současné době nepodporují u velkých objemů.
• Před vytvořením svazku je nutné nakonfigurovat server LDAP.
• Na nových svazcích NFS můžete konfigurovat pouze FreeIPA, OpenLDAP nebo Red Hat Directory Server. Existující svazky nemůžete převést tak, aby používaly tyto adresářové služby.
• Protokol Kerberos se v současné době nepodporuje s adresářovým serverem FreeIPA, OpenLDAP nebo Red Hat.

Registrace funkce

Podpora freeIPA, OpenLDAP a Red Hat Directory Serveru je aktuálně ve verzi Preview. Před připojením svazků NFS k některému z těchto adresářových serverů musíte tuto funkci zaregistrovat:

1. Zaregistrujte funkci:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

2. Zkontrolujte stav registrace funkce:

   Poznámka:

   Stav registrace může zůstat ve Registering stavu až 60 minut před změnou na Registered. Než budete pokračovat, počkejte, až bude stav Registered.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

Můžete také použít příkazy Azure CLIaz feature register a az feature show zaregistrovat funkci a zobrazit stav registrace.

Vytvoření serveru LDAP

Než ho budete moct připojit ke službě Azure NetApp Files, musíte nejprve vytvořit server LDAP. Postupujte podle pokynů pro příslušný server:

• Pokud chcete nakonfigurovat FreeIPA, projděte si úvodní příručku FreeIPA a postupujte podle pokynů k Red Hatu.
• Informace o openLDAP najdete v dokumentaci k OpenLDAP.
• Pro Adresářový server Red Hat postupujte podle dokumentace k Red Hatu. Další informace najdete v průvodci instalací pro adresářový server 389.

Konfigurace připojení LDAP ve službě Azure NetApp Files

1. Na webu Azure Portal přejděte na připojení LDAP v části Azure NetApp Files.

2. Vytvořte nové připojení LDAP.

3. V nové nabídce zadejte:

   • Doména: Název domény slouží jako základní DN.
   • Servery LDAP: IP adresa serveru LDAP.
   • LDAP přes TLS: Volitelně zaškrtněte políčko pro povolení protokolu LDAP přes protokol TLS pro zabezpečenou komunikaci. Další informace najdete v tématu Konfigurace protokolu LDAP přes protokol TLS.
   • Certifikát certifikační autority serveru: Certifikát certifikační autority. Tato možnost se vyžaduje, pokud používáte protokol LDAP přes protokol TLS.
   • Certifikát CN hostitele: Běžný název serveru hostitele, například contoso.server.com.

   

4. Vyberte Uložit.

5. Jakmile nakonfigurujete připojení LDAP, můžete vytvořit svazek NFS.

Ověření připojení LDAP

1. Pokud chcete připojení ověřit, přejděte na přehled svazku, který využívá připojení LDAP.
2. Vyberte připojení LDAP a pak seznam ID skupiny LDAP.
3. Do pole Uživatelské jméno zadejte uživatelské jméno zadané při konfiguraci serveru LDAP. Vyberte Získat ID skupin. Ujistěte se, že ID skupin odpovídají klientovi a serveru.

Další kroky

• Principy protokolu LDAP
• Principy mapování názvů pomocí PROTOKOLU LDAP
• Vysvětlení povolení místních uživatelů NFS s možností LDAP
• Pochopte schémata LDAP
• Vytvoření svazku NFS