Vysvětlení použití protokolu LDAP se službou Azure NetApp Files

  • Článek

Protokol LDAP (Lightweight Directory Access Protocol) je standardní přístupový protokol adresáře, který vyvinul mezinárodní výbor s názvem IETF (Internet Engineering Task Force). Protokol LDAP je určen k poskytování adresářové služby založené na obecném účelu, kterou můžete použít napříč heterogenními platformami k vyhledání síťových objektů.

Modely LDAP definují, jak komunikovat s úložištěm adresářů LDAP, jak najít objekt v adresáři, jak popsat objekty v úložišti a zabezpečení, které se používá pro přístup k adresáři. LDAP umožňuje přizpůsobení a rozšíření objektů popsaných v úložišti. Úložiště LDAP proto můžete použít k ukládání mnoha typů různorodých informací. Mnoho počátečních nasazení LDAP se zaměřilo na použití PROTOKOLU LDAP jako úložiště adresářů pro aplikace, jako jsou e-maily a webové aplikace a ukládání informací o zaměstnancích. Řada společností nahrazuje službu NIS (Network Information Service) protokolem LDAP jako síťové úložiště adresářů.

Server LDAP poskytuje systém UNIX identit uživatelů a skupin pro použití se svazky NAS. Ve službě Azure NetApp Files je Active Directory jediným aktuálně podporovaným serverem LDAP, který je možné použít. Tato podpora zahrnuje Doména služby Active Directory Services (AD DS) i službu Microsoft Entra Domain Services.

Požadavky LDAP je možné rozdělit do dvou hlavních operací.

  • Vazby LDAP jsou přihlášení k serveru LDAP z klienta LDAP. Vazba se používá k ověření na serveru LDAP s přístupem jen pro čtení k provádění vyhledávání PROTOKOLU LDAP. Azure NetApp Files funguje jako klient LDAP.
  • Vyhledávání LDAP slouží k dotazování adresáře na informace o uživatelích a skupinách, jako jsou jména, číselná ID, cesty k domovskému adresáři, cesty k přihlašovacím prostředím, členství ve skupinách a další.

Protokol LDAP může ukládat následující informace, které se používají v přístupu k NAS se dvěma protokoly:

  • Uživatelská jména
  • Názvy skupin
  • ID čísel (UID) a ID skupin (GID)
  • Domovské adresáře
  • Přihlašovací prostředí
  • Netgroups, názvy DNS a IP adresy
  • Členství ve skupině

Azure NetApp Files v současné době používá protokol LDAP jenom pro informace o uživatelích a skupinách – žádné informace o netgroup ani hostitelích.

Ldap nabízí různé výhody pro uživatele a skupiny systém UNIX jako zdroj identity.

  • Ldap je důkazem o budoucnosti.
    Vzhledem k tomu, že více klientů NFS přidává podporu pro NFSv4.x, NFSv4.x ID domény, které obsahují aktuální seznam uživatelů a skupin přístupných z klientů a úložiště, jsou potřeba k zajištění optimálního zabezpečení a zaručeného přístupu při definování přístupu. Když máte server pro správu identit, který poskytuje mapování názvů 1:1 pro uživatele SMB a NFS, výrazně zjednodušuje život správcům úložiště, nejen v současnosti, ale i po letech.
  • LDAP je škálovatelný.
    Servery LDAP nabízejí možnost obsahovat miliony objektů uživatelů a skupin a s Microsoft Active Directory je možné použít k replikaci více serverů napříč několika lokalitami pro zajištění výkonu i odolnosti.
  • Protokol LDAP je zabezpečený.
    LDAP nabízí zabezpečení ve formě způsobu, jakým se systém úložiště může připojit k serveru LDAP, aby mohl vyhovět žádostem o informace o uživateli. Servery LDAP nabízejí následující úrovně vazby:
    • Anonymní (ve výchozím nastavení zakázáno v Microsoft Active Directory, nepodporuje se ve službě Azure NetApp Files)
    • Jednoduché heslo (hesla ve formátu prostého textu, nepodporuje se v Azure NetApp Files)
    • Simple Authentication and Security Layer (SASL) – šifrované metody vazby, včetně TLS, SSL, Kerberos atd. Azure NetApp Files podporuje protokol LDAP přes PROTOKOL TLS, podepisování LDAP (pomocí protokolu Kerberos), LDAP přes PROTOKOL SSL.
  • LDAP je robustní.
    Nis, NIS+ a místní soubory nabízejí základní informace, jako jsou UID, GID, heslo, domovské adresáře atd. Ldap ale nabízí tyto atributy a mnoho dalších. Další atributy, které ldap používá, činí správu duálních protokolů mnohem integrovanější s protokolem LDAP a NIS. Jako externí názvovou službu pro správu identit pomocí služby Azure NetApp Files se podporuje jenom LDAP.
  • Služba Microsoft Active Directory je založená na protokolu LDAP.
    Služba Microsoft Active Directory ve výchozím nastavení používá back-end LDAP pro své položky uživatele a skupiny. Tato databáze LDAP však neobsahuje atributy stylu systém UNIX. Tyto atributy se přidají při rozšíření schématu LDAP prostřednictvím správy identit pro systém UNIX (Windows 2003R2 a novější), služby pro systém UNIX (Windows 2003 a starší) nebo nástrojů LDAP třetích stran, jako je Centrify. Vzhledem k tomu, že Microsoft používá protokol LDAP jako back-end, představuje protokol LDAP ideální řešení pro prostředí, která se rozhodnou využívat svazky se dvěma protokoly v Azure NetApp Files.

    Poznámka:

    Služba Azure NetApp Files v současné době podporuje pouze nativní službu Microsoft Active Directory pro služby LDAP.

Základy PROTOKOLU LDAP ve službě Azure NetApp Files

Následující část popisuje základy PROTOKOLU LDAP, které se týkají služby Azure NetApp Files.

  • Informace LDAP jsou uloženy v plochých souborech na serveru LDAP a jsou uspořádány pomocí schématu LDAP. Klienti LDAP byste měli nakonfigurovat způsobem, který koordinuje jejich požadavky a vyhledávání se schématem na serveru LDAP.

  • Klienti LDAP iniciují dotazy prostřednictvím vazby protokolu LDAP, což je v podstatě přihlášení k serveru LDAP pomocí účtu, který má ke schématu LDAP přístup pro čtení. Konfigurace vazby protokolu LDAP na klientech je nakonfigurována tak, aby používala mechanismus zabezpečení definovaný serverem LDAP. Někdy se jedná o výměnu uživatelských jmen a hesel v prostém textu (jednoduchém). V jiných případech jsou vazby zabezpečené prostřednictvím metod jednoduchého ověřování a vrstvy zabezpečení (sasl), jako je Kerberos nebo LDAP přes PROTOKOL TLS. Azure NetApp Files používá účet počítače SMB k vytvoření vazby pomocí ověřování SASL za účelem co nejlepšího možného zabezpečení.

  • Informace o uživatelích a skupinách uložené v protokolu LDAP se dotazují klienty pomocí standardních požadavků vyhledávání LDAP definovaných v dokumentu RFC 2307. Kromě toho novější mechanismy, jako je RFC 2307bis, umožňují efektivnější vyhledávání uživatelů a skupin. Azure NetApp Files používá pro vyhledávání schématu ve Windows Active Directory formu RFC 2307bis.

  • Servery LDAP mohou ukládat informace o uživateli a skupinách a netgroup. Služba Azure NetApp Files ale v současné době nemůže používat funkce netgroup v protokolu LDAP ve Službě Windows Active Directory.

  • LDAP v Azure NetApp Files funguje na portu 389. Tento port aktuálně nelze upravit tak, aby používal vlastní port, například port 636 (LDAP přes SSL) nebo port 3268 (vyhledávání globálního katalogu služby Active Directory).

  • Šifrované komunikace LDAP lze dosáhnout pomocí protokolu LDAP přes protokol TLS (který funguje přes port 389) nebo podepisování protokolu LDAP, z nichž obě je možné nakonfigurovat pro připojení služby Active Directory.

  • Azure NetApp Files podporuje dotazy LDAP, které dokončení trvá déle než 3 sekundy. Pokud má server LDAP mnoho objektů, může dojít k překročení časového limitu a žádosti o ověření můžou selhat. V takových případech zvažte zadání oboru vyhledávání LDAP pro filtrování dotazů pro zajištění lepšího výkonu.

  • Azure NetApp Files také podporuje zadávání upřednostňovaných serverů LDAP, které pomáhají urychlit požadavky. Toto nastavení použijte, pokud chcete zajistit, aby se server LDAP nejblíže vaší oblasti Azure NetApp Files používal.

  • Pokud není nastavený žádný upřednostňovaný server LDAP, je název domény služby Active Directory dotazován v DNS pro záznamy služby LDAP, aby se naplnil seznam serverů LDAP dostupných pro vaši oblast umístěnou v tomto záznamu SRV. Záznamy služby LDAP v DNS můžete ručně dotazovat z klienta pomocí nslookup nebo dig příkazů.

    Příklad:

    C:\>nslookup
Default Server:  localhost
Address:  ::1

> set type=SRV
> _ldap._tcp.contoso.com.

Server:  localhost
Address:  ::1

_ldap._tcp.contoso.com   SRV service location:
          priority       = 0
          weight         = 0
          port           = 389
          svr hostname   = oneway.contoso.com
_ldap._tcp.contoso.com   SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = ONEWAY.Contoso.com
_ldap._tcp.contoso.com   SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = oneway.contoso.com
_ldap._tcp.contoso.com   SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = parisi-2019dc.contoso.com
_ldap._tcp.contoso.com   SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = contoso.com
oneway.contoso.com       internet address = x.x.x.x
ONEWAY.Contoso.com       internet address = x.x.x.x
oneway.contoso.com       internet address = x.x.x.x
parisi-2019dc.contoso.com        internet address = y.y.y.y
contoso.com      internet address = x.x.x.x
contoso.com      internet address = y.y.y.y

  • Servery LDAP lze také použít k provádění mapování vlastních názvů pro uživatele. Další informace naleznete v tématu Mapování vlastních názvů pomocí protokolu LDAP.

  • Vypršení časových limitů dotazů LDAP

    Ve výchozím nastavení vyprší časový limit dotazů LDAP, pokud je nelze včas dokončit. Pokud dotaz LDAP selže kvůli vypršení časového limitu, vyhledávání uživatele nebo skupiny selže a v závislosti na nastavení oprávnění svazku může být odepřen přístup ke svazku Azure NetApp Files. Informace o nastavení časového limitu dotazů LDAP služby Azure NetApp Files najdete v tématu Vytvoření a správa připojení Active Directory.

Typy mapování názvů

Pravidla mapování názvů je možné rozdělit do dvou hlavních typů: symetrické a asymetrické.

  • Mapování symetrických názvů je implicitní mapování názvů mezi uživateli systém UNIX a Windows, kteří používají stejné uživatelské jméno. Uživatel windows CONTOSO\user1 například mapuje na systém UNIX uživatele user1.
  • Mapování asymetrických názvů je mapování názvů mezi uživateli systém UNIX a Windows, kteří používají různá uživatelská jména. Uživatel windows CONTOSO\user1 například mapuje na systém UNIX uživatele user2.

Služba Azure NetApp Files ve výchozím nastavení používá pravidla mapování symetrických názvů. Pokud jsou vyžadována pravidla mapování asymetrických názvů, zvažte konfiguraci objektů uživatele LDAP tak, aby je používaly.

Mapování vlastních názvů pomocí protokolu LDAP

Ldap může být prostředek mapování názvů, pokud byly vyplněny atributy schématu LDAP na serveru LDAP. Pokud chcete například namapovat systém UNIX uživatele na odpovídající uživatelská jména Windows, která neodpovídají jednomu k jednomu druhému (tj. asymetricky), můžete zadat jinou hodnotu pro uid objekt uživatele, než je nakonfigurované pro uživatelské jméno systému Windows.

V následujícím příkladu má uživatel název asymmetric Systému Windows a musí se namapovat na systém UNIX identitu UNIXuser. Pokud toho chcete dosáhnout v Azure NetApp Files, otevřete instanci Uživatelé a počítače služby Active Directory MMC. Pak vyhledejte požadovaného uživatele a otevřete pole vlastností. (To vyžaduje povolení editoru atributů). Přejděte na kartu Editor atributů a najděte pole UID a pak vyplňte pole UID požadovaným systém UNIX uživatelské jméno UNIXuser a potvrďte to kliknutím na tlačítko Přidat a OK.

Screenshot that shows the Asymmetric Properties window and Multi-valued String Editor window.

Po dokončení této akce budou soubory zapsané ze sdílených složek SMB systému Windows uživatelem asymmetric systému Windows vlastněny UNIXuser ze strany SYSTÉMU SOUBORŮ NFS.

Následující příklad ukazuje vlastníka asymmetricprotokolu SMB systému Windows:

Screenshot that shows Windows SMB owner named Asymmetric.

Následující příklad ukazuje vlastníka UNIXuser systému souborů NFS (namapovaný od uživatele asymmetric Windows pomocí PROTOKOLU LDAP):

root@ubuntu:~# su UNIXuser
UNIXuser@ubuntu:/root$ cd /mnt
UNIXuser@ubuntu:/mnt$ ls -la
total 8
drwxrwxrwx  2 root     root   4096 Jul  3 20:09 .
drwxr-xr-x 21 root     root   4096 Jul  3 20:12 ..
-rwxrwxrwx  1 UNIXuser group1   19 Jul  3 20:10 asymmetric-user-file.txt

Schémata LDAP

Schémata LDAP jsou způsob, jakým servery LDAP uspořádávají a shromažďují informace. Schémata serveru LDAP obecně odpovídají stejným standardům, ale různí poskytovatelé serveru LDAP můžou mít různé varianty způsobu zobrazení schémat.

Když Služba Azure NetApp Files dotazuje LDAP, používají se schémata, která pomáhají zrychlit vyhledávání názvů, protože umožňují použití konkrétních atributů k vyhledání informací o uživateli, jako je například UID. Atributy schématu musí existovat na serveru LDAP, aby služba Azure NetApp Files mohla položku najít. V opačném případě můžou dotazy LDAP vracet žádná data a žádosti o ověření nemusí selhat.

Pokud například musí azure NetApp Files dotazovat číslo UID (například root=0), použije se atribut schématu RFC 2307 uidNumber Attribute . Pokud v poli není v uidNumber protokolu LDAP žádné číslo 0 UID, požadavek vyhledávání selže.

Typ schématu aktuálně používaný službou Azure NetApp Files je forma schématu založená na dokumentu RFC 2307bis a nedá se upravit.

RFC 2307bis je rozšíření RFC 2307 a přidává podporu pro posixGroup, což umožňuje dynamické vyhledávání pomocných skupin pomocí uniqueMember atributu, nikoli pomocí memberUid atributu ve schématu LDAP. Místo použití pouze názvu uživatele tento atribut obsahuje úplný rozlišující název (DN) jiného objektu v databázi LDAP. Proto mohou mít skupiny jiné skupiny jako členy, což umožňuje vnořování skupin. Podpora RFC 2307bis také přidává podporu pro třídu groupOfUniqueNamesobjektů .

Toto rozšíření RFC pěkně zapadá do toho, jak Microsoft Active Directory spravuje uživatele a skupiny prostřednictvím obvyklých nástrojů pro správu. Důvodem je to, že když přidáte uživatele systému Windows do skupiny (a pokud má tato skupina platné číselné GID) pomocí standardních metod správy systému Windows, vyhledávání LDAP načte potřebné doplňující informace o skupině z obvyklého atributu Systému Windows a automaticky vyhledá číselné IDENTIFIKÁTORy GID.

Další kroky