Povolení ověřování LDAP služby Doména služby Active Directory Services (AD DS) pro svazky NFS

  • Článek

Při vytváření svazku NFS můžete pro svazek povolit ldap s funkcí rozšířených skupin (možnost LDAP). Tato funkce umožňuje uživatelům a rozšířeným skupinám služby Active Directory (až 1024 skupin) přístup k souborům a adresářům ve svazku. Ldap s rozšířenými skupinami můžete používat se svazky NFSv4.1 i NFSv3.

Poznámka:

Ve výchozím nastavení je atribut na serverech MaxPageSize ACTIVE Directory LDAP nastavený na výchozí hodnotu 1 000. Toto nastavení znamená, že skupiny nad 1 000 jsou v dotazech LDAP zkráceny. Pokud chcete povolit plnou podporu s hodnotou 1 024 pro rozšířené skupiny, musí být atribut e upraven tak, MaxPageSizaby odrážel hodnotu 1 024. Informace o tom, jak změnit hodnotu, naleznete v tématu Zobrazení a nastavení zásad LDAP ve službě Active Directory pomocí Ntdsutil.exe.

Azure NetApp Files podporuje načítání rozšířených skupin ze služby názvů LDAP, nikoli z hlavičky RPC. Služba Azure NetApp Files komunikuje s protokolem LDAP pomocí dotazu na atributy, jako jsou uživatelská jména, číselná ID, skupiny a členství ve skupinách pro operace protokolu NFS.

Když zjistíte, že se ldap použije pro operace, jako je vyhledávání názvů a načítání rozšířených skupin, dojde k následujícímu procesu:

  1. Azure NetApp Files používá konfiguraci klienta LDAP k pokusu o připojení k serveru LDAP služby AD DS nebo serveru LDAP služby Microsoft Entra Domain Services, který je zadaný v konfiguraci služby Azure NetApp Files AD.
  2. Pokud je připojení TCP přes definovaný port služby AD DS nebo Microsoft Entra Domain Services LDAP úspěšné, klient LDAP služby Azure NetApp Files se pokusí "svázat" (přihlásit se) k serveru LDAP služby AD DS nebo serveru LDAP služby Microsoft Entra Domain Services (řadič domény) pomocí definovaných přihlašovacích údajů v konfiguraci klienta LDAP.
  3. Pokud je vazba úspěšná, klient LDAP služby Azure NetApp Files použije schéma RFC 2307bis LDAP k vytvoření vyhledávacího dotazu LDAP na server AD DS nebo server LDAP služby Microsoft Entra Domain Services (řadič domény). Následující informace se předávají serveru v dotazu:
    • Dn základního uživatele /uživatele (pro zúžení oboru vyhledávání)
    • Typ oboru vyhledávání (podstrom)
    • Třída objektů (userposixAccountpro uživatele a posixGroup skupiny)
    • UID nebo uživatelské jméno
    • Požadované atributy (uid, uidNumber, gidNumber pro uživatele nebo gidNumber skupiny)
  4. Pokud se uživatel nebo skupina nenajde, požadavek selže a přístup se odepře.
  5. Pokud je požadavek úspěšný, atributy uživatele a skupiny se ukládají do mezipaměti pro budoucí použití. Tato operace zlepšuje výkon následných dotazů LDAP přidružených k atributům uživatele nebo skupiny v mezipaměti. Snižuje také zatížení serveru LDAP služby AD DS nebo Microsoft Entra Domain Services.

Důležité informace

  • Protokol LDAP s rozšířenými skupinami můžete povolit pouze při vytváření svazků. Tuto funkci není možné zpětně povolit u stávajících svazků.

  • LDAP s rozšířenými skupinami se podporuje pouze u služeb Doména služby Active Directory Services (AD DS) nebo Microsoft Entra Domain Services. OpenLDAP nebo jiné adresářové služby LDAP třetích stran nejsou podporovány.

  • Protokol LDAP přes protokol TLS nesmí být povolen, pokud používáte službu Microsoft Entra Domain Services.

  • Po vytvoření svazku nemůžete změnit nastavení možnosti LDAP (povoleno nebo zakázáno).

  • Následující tabulka popisuje nastavení TTL (Time to Live) pro mezipaměť LDAP. Před pokusem o přístup k souboru nebo adresáři prostřednictvím klienta musíte počkat, než se mezipaměť aktualizuje. V opačném případě se v klientovi zobrazí zpráva o odepření přístupu nebo oprávnění.

    Cache Výchozí časový limit
    Seznam členství ve skupinách 24hodinová hodnota TTL
    Unixové skupiny 24hodinová hodnota TTL, 1 minuta negativní hodnota TTL
    Uživatelé unixu 24hodinová hodnota TTL, 1 minuta negativní hodnota TTL

    Mezipamětí mají určité časové limity s názvem Time to Live. Po uplynutí časového limitu se položky stáhnou, aby zastaralé položky nepřetrvávala. Záporná hodnota TTL je místo, kde se nachází vyhledávání, které selhalo, aby se zabránilo problémům s výkonem kvůli dotazům LDAP na objekty, které nemusí existovat.

  • Možnost Povolit místním uživatelům NFS s možností LDAP v připojeních služby Active Directory hodlá poskytnout příležitostný a dočasný přístup místním uživatelům. Pokud je tato možnost povolená, ověřování a vyhledávání uživatelů ze serveru LDAP přestanou fungovat a počet členství ve skupinách, které bude Služba Azure NetApp Files podporovat, bude omezena na 16. Proto byste měli tuto možnost ponechat zakázanou u připojení služby Active Directory, s výjimkou případů, kdy místní uživatel potřebuje přístup ke svazkům s povoleným protokolem LDAP. V takovém případě byste tuto možnost měli zakázat, jakmile se pro svazek už nevyžaduje přístup místního uživatele. Viz Možnost Povolit místním uživatelům NFS s PROTOKOLem LDAP přístup ke svazku se dvěma protokoly o správě přístupu místních uživatelů.

Kroky

  1. Svazky LDAP vyžadují konfiguraci služby Active Directory pro nastavení serveru LDAP. Postupujte podle pokynů v části Požadavky na připojení služby Active Directory a vytvořte připojení Active Directory ke konfiguraci připojení Active Directory na webu Azure Portal.

    Poznámka:

    Ujistěte se, že jste nakonfigurovali nastavení připojení ke službě Active Directory. Účet počítače se vytvoří v organizační jednotce (OU), která je zadaná v nastavení připojení ke službě Active Directory. Nastavení používá klient LDAP k ověření ve službě Active Directory.

  2. Ujistěte se, že je server LDAP služby Active Directory spuštěný a spuštěný ve službě Active Directory.

  3. Uživatelé LDAP NFS musí mít na serveru LDAP určité atributy POSIX. Nastavte atributy pro uživatele LDAP a skupiny LDAP následujícím způsobem:

    • Požadované atributy pro uživatele LDAP:
      uid: Alice,
      uidNumber: 139,
      gidNumber: 555,
      objectClass: user, posixAccount
    • Požadované atributy pro skupiny LDAP:
      objectClass: group, posixGroup,
      gidNumber: 555

    Hodnoty zadané pro objectClass jsou samostatné položky. Například v Editoru objectClass řetězců s více hodnotami by měly samostatné hodnoty (user a posixAccount) zadané následujícím způsobem pro uživatele LDAP:

    Poznámka:

    Pokud atributy POSIX nejsou správně nastavené, operace vyhledávání uživatelů a skupin můžou selhat a uživatelé se můžou při přístupu ke nobody svazkům NFS zablokovat.

    Screenshot of Multi-valued String Editor that shows multiple values specified for Object Class.

    Atributy POSIX můžete spravovat pomocí modulu snap-in Uživatelé a počítače služby Active Directory konzoly MMC. Následující příklad ukazuje Editor atributů služby Active Directory. Podrobnosti najdete v Editoru atributů služby Active Directory.

    Active Directory Attribute Editor

  4. Pokud chcete nakonfigurovat klienta NFSv4.1 s Linuxem integrovaný pomocí protokolu LDAP, přečtěte si téma Konfigurace klienta NFS pro Azure NetApp Files.

  5. Pokud svazky s povoleným protokolem LDAP používají NFSv4.1, nakonfigurujte /etc/idmapd.conf soubor podle pokynů v části Konfigurace domény ID NFSv4.1.

    Musíte nastavit Domain/etc/idmapd.conf doménu nakonfigurovanou ve službě Active Directory Připojení ion pro váš účet NetApp. Pokud je například contoso.com nakonfigurovaná doména v účtu NetApp, nastavte Domain = contoso.com.

    Pak musíte službu na hostiteli restartovat rpcbind nebo hostitele restartovat.

  6. Postupujte podle kroků v tématu Vytvoření svazku NFS pro Azure NetApp Files a vytvořte svazek NFS. Během procesu vytváření svazku na kartě Protokol povolte možnost LDAP .

    Screenshot that shows Create a Volume page with LDAP option.

  7. Volitelné – Pro přístup ke svazku NFS s povolenými rozšířenými skupinami můžete povolit, aby místní uživatelé klienta NFS, kteří nejsou na serveru Windows LDAP. Chcete-li to provést, povolte možnost Povolit místním uživatelům NFS s možností LDAP následujícím způsobem:

    1. Vyberte připojení služby Active Directory. V existujícím připojení služby Active Directory vyberte místní nabídku (tři tečky ) a vyberte Upravit.
    2. V okně Upravit nastavení služby Active Directory, které se zobrazí, vyberte možnost Povolit místním uživatelům NFS možnost LDAP .

    Screenshot that shows the Allow local NFS users with LDAP option

  8. Volitelné – Pokud máte velké topologie a používáte styl zabezpečení unixu se svazkem se dvěma protokoly nebo protokolem LDAP s rozšířenými skupinami, můžete pomocí možnosti Obor vyhledávání LDAP zabránit chybám odepření přístupu v klientech Linuxu pro Azure NetApp Files.

    Možnost Obor vyhledávání LDAP je nakonfigurována prostřednictvím stránky Připojení iony služby Active Directory.

    Chcete-li přeložit uživatele a skupinu ze serveru LDAP pro velké topologie, nastavte hodnoty možností filtru členství uživatele, dn skupiny a skupiny na stránce Připojení ions služby Active Directory následujícím způsobem:

    • Zadejte vnořený název uživatele a dn skupiny ve formátu OU=subdirectory,OU=directory,DC=domain,DC=com.
    • Zadejte filtr členství ve skupině ve formátu (gidNumber=*).
    • Pokud je uživatel členem více než 256 skupin, zobrazí se jenom 256 skupin.
    • Pokud narazíte na chyby, projděte si chyby svazků LDAP.

    Screenshot that shows options related to LDAP Search Scope

Další kroky