Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Když se uživatel pokusí získat přístup ke svazku Azure NetApp Files přes NFS, žádost se objeví ve formě číselného ID. Azure NetApp Files ve výchozím nastavení podporuje rozšířená členství ve skupinách pro uživatele systému souborů NFS (pokud chcete překročit standardní limit 16 skupin). V důsledku toho se azure NetApp files pokusí vzít toto číselné ID a vyhledat ho v protokolu LDAP (Lightweight Directory Access Protocol) při pokusu o vyřešení členství ve skupinách pro uživatele, a ne předání členství ve skupinách v paketu RPC. Vzhledem k tomuto chování se v případě, že toto číselné ID nelze přeložit na uživatele v protokolu LDAP, vyhledávání selže a přístup se odepře. K tomuto odepření dochází i v případě, že žadatel má oprávnění pro přístup ke svazku nebo datové struktuře.
Možnost Povolit místním uživatelům systému souborů NFS s možností LDAP v připojeních služby Active Directory je určena k zakázání těchto vyhledávání PROTOKOLU LDAP pro požadavky NFS zakázáním rozšířených funkcí skupiny. V Azure NetApp Files neposkytuje místní vytváření a správu uživatelů.
Pokud je povolená možnost Povolit místním uživatelům NFS s protokolem LDAP, předají se do služby Azure NetApp Files číselná ID a nedojde k žádnému vyhledávání protokolu LDAP. To vytváří různá chování pro různé scénáře, jak je popsáno níže.
NFSv3 se svazky se stylem zabezpečení systému UNIX
Číselná ID se nemusí překládat na uživatelská jména. Možnost Povolit místním uživatelům NFS s protokolem LDAP nemá vliv na přístup ke svazku. Může ovlivnit zobrazení vlastnictví uživatele nebo skupiny (překlad názvů) v klientovi NFS. Pokud je například číselné ID 1001 uživatel1 v protokolu LDAP, ale uživatel2 v místním souboru passwd klienta NFS, klient zobrazí uživatel2 jako vlastníka souboru, když je číselné ID 1001.
NFSv4.1 se svazky stylů zabezpečení UNIX
Číselná ID se nemusí překládat na uživatelská jména. Ve výchozím nastavení používá NFSv4.1 pro ověřování řetězce názvů (user@CONTOSO.COM). Azure NetApp Files ale podporuje použití číselných ID se systémem souborů NFSV4.1, což znamená, že požadavky NFSv4.1 přicházejí na server NFS s číselným ID. Pokud v místních souborech nebo názvových službách, jako je LDAP pro svazek Azure NetApp Files, neexistuje žádné číselné ID pro překlad uživatelského jména, zobrazí se klientovi číslo. Pokud se číselné ID přeloží na uživatelské jméno, použije se řetězec názvu. Pokud se řetězec názvu neshoduje, klient přiřadí jméno anonymnímu uživateli, který je specifikován v souboru idmapd.conf klienta. Povolení možnosti Povolit místním uživatelům NFS s protokolem LDAP nemá vliv na přístup NFSv4.1. Access se vrátí ke standardnímu chování NFSv3, pokud Azure NetApp Files nedokáže přeložit číselné ID na uživatelské jméno v místní uživatelské databázi NFS. Služba Azure NetApp Files obsahuje sadu výchozích uživatelů systému UNIX, kteří můžou být pro některé klienty problematičtí. Pokud se řetězce ID domény neshodují, může být uživatel převeden na "nobody."
- Mezi místní uživatele patří: root (0), pcuser (65534), nikdo (65535).
- Mezi místní skupiny patří: root (0), démon (1), pcuser (65534), nikdo (65535).
Nejčastěji se může nesprávně zobrazovat kořenový adresář v připojení klienta NFSv4.1, když je ID domény NFSv4.1 chybně nakonfigurované. Další informace o doméně ID NFSv4.1 najdete v tématu Konfigurace domény ID NFSv4.1 pro Azure NetApp Files.
Seznamy ACL NFSv4.1 je možné nakonfigurovat pomocí textového řetězce nebo číselného ID. Pokud se použijí číselná ID, nevyžaduje se překlad názvů. Pokud se použije řetězec názvu, bude se pro správné vyřešení ACL vyžadovat překlad názvů. Při použití seznamů ACL NFSv4.1 může povolení možnosti Povolit místním uživatelům NFS s protokolem LDAP způsobit nesprávné chování seznamu ACL NFSv4.1 v závislosti na konfiguraci seznamu ACL.
NFS (NFSv3 a NFSv4.1) se svazky stylu zabezpečení NTFS v konfiguracích se dvěma protokoly
Svazky stylů zabezpečení systému UNIX využívají oprávnění pro styl UNIX (bity režimu a seznamy ACL NFSv4.1). Pro tyto typy svazků využívá systém NFS pouze ověřování ve stylu UNIX s využitím číselného ID nebo řetězce názvu v závislosti na výše uvedených scénářích.
Svazky se stylem zabezpečení NTFS ale používají oprávnění ke stylu SYSTÉMU SOUBORŮ NTFS. Tato oprávnění se přiřazují pomocí uživatelů a skupin Windows. Když se uživatel systému souborů NFS pokusí získat přístup ke svazku s oprávněním ve stylu NTFS, musí dojít k mapování názvů uživatelů z UNIXu do Windows, aby bylo zajištěno správné řízení přístupu. V tomto scénáři je číselné ID systému souborů NFS stále předáno svazku NFS služby Azure NetApp Files, ale existuje požadavek na překlad číselného ID na uživatelské jméno systému UNIX, aby bylo možné ho pak namapovat na uživatelské jméno systému Windows pro počáteční ověření. Pokud se například číselné ID 1001 pokusí o přístup k připojení systému souborů NFS s oprávněními typu zabezpečení NTFS, které umožňují přístup k uživateli Windows user1, bude potřeba přeložit číslo 1001 v protokolu LDAP na uživatelské jméno "user1", aby bylo možné získat očekávaný přístup. Pokud v protokolu LDAP neexistuje žádný uživatel s číselným ID "1001", nebo pokud je protokol LDAP chybně nakonfigurován, mapování názvů systému UNIX na Windows dokončí pokus pomocí 1001@contoso.com. Ve většině případů uživatelé s tímto názvem neexistují. V důsledku toho ověřování selže a přístup se odepře. Podobně platí, že pokud se číselné ID 1001 přeloží na nesprávné uživatelské jméno (například user2), požadavek NFS se mapuje na nesprávného uživatele Windows (v tomto scénáři má uživatel1 udělený přístup uživateli user2).
Povolení možnosti Povolit místním uživatelům NFS pomocí protokolu LDAP zakáže všechny překlady číselNÝCH ID na uživatelská jména. Tato akce efektivně přeruší přístup ke svazkům se stylem zabezpečení NTFS. Použití této možnosti u svazků se stylem zabezpečení NTFS se proto nedoporučuje.