Vysvětlení členství ve skupinách NFS a doplňkových skupin

  • Článek

Pomocí protokolu LDAP můžete řídit členství ve skupinách a vracet doplňkové skupiny pro uživatele systému souborů NFS. Toto chování se řídí prostřednictvím atributů schématu na serveru LDAP.

Primární GID

Aby služba Azure NetApp Files mohla správně ověřit uživatele, musí mít uživatelé LDAP vždy definovaný primární GID. Primární GID uživatele je definován schématem gidNumber na serveru LDAP.

Sekundární, doplňkové a pomocné GIDy

Sekundární, doplňkové a pomocné skupiny jsou skupiny, které uživatel je členem mimo primární GID. Ve službě Azure NetApp Files se protokol LDAP implementuje pomocí Služby Microsoft Active Directory a doplňkových skupin se řídí pomocí standardní logiky členství ve skupinách Windows.

Při přidání uživatele do skupiny Systému Windows se do skupiny schématu LDAP naplní atribut Member schématu LDAP s rozlišujícím názvem (DN) uživatele, který je členem této skupiny. Při dotazování členství uživatele ve skupině službou Azure NetApp Files se pro atribut všech skupin Member provede vyhledávání LDAP pro dn uživatele. Všechny skupiny s systém UNIX gidNumber a DN uživatele se vrátí do vyhledávání a naplní se jako doplňkové členství uživatele ve skupině.

Následující příklad ukazuje výstup ze služby Active Directory s dn uživatelem vyplněným v Member poli skupiny a následným vyhledáváním LDAP provedeným pomocí ldp.exe.

Následující příklad ukazuje pole člena skupiny systému Windows:

Screenshot that shows the Windows group member field.

Následující příklad ukazuje LDAPsearch všechny skupiny, ve kterých User1 je členem:

Screenshot that shows the search of a user named `User1`.

Členství ve skupinách pro uživatele ve službě Azure NetApp Files můžete dotazovat také tak, že v nabídce svazku vyberete odkaz Na seznam ID skupiny LDAP v části Podpora a řešení potíží .

Screenshot that shows the query of group memberships by using the **LDAP Group ID List** link.

Omezení skupin v systému souborů NFS

Vzdálené volání procedur (RPC) v systému souborů NFS má specifické omezení maximálního počtu pomocných identifikátorů GID, které lze respektovat v rámci jednoho požadavku NFS. Maximální hodnota je AUTH_SYS/AUTH_UNIX 16 a pro AUTH_GSS (Kerberos) je 32. Toto omezení protokolu ovlivňuje všechny servery NFS – nejen Azure NetApp Files. Mnoho moderních serverů a klientů NFS ale zahrnuje způsoby, jak tato omezení obejít.

Pokud chcete toto omezení systému souborů NFS obejít ve službě Azure NetApp Files, přečtěte si téma Povolení ověřování LDAP služby Doména služby Active Directory Services (AD DS) pro svazky NFS.

Jak rozšíření omezení skupiny funguje

Možnosti rozšíření omezení skupiny fungují stejně jako manage-gids možnosti pro ostatní servery NFS. V podstatě místo toho, aby se vypisoval celý seznam pomocných identifikátorů GID, do nichž uživatel patří, provede možnost vyhledávání GID v souboru nebo složce a vrátí tuto hodnotu.

Následující příklad ukazuje paket RPC s 16 IDENTIFIKÁTORy GID.

Screenshot that shows RPC packet with 16 GIDs.

Každý GID po limitu 16 se zahodí protokolem. Při použití rozšířených skupin v Azure NetApp Files se při přijetí nového požadavku NFS vyžádá informace o členství uživatele ve skupině.

Důležité informace o rozšířených identifikátorech GID s protokolem LDAP služby Active Directory

Ve výchozím nastavení je atribut na serverech MaxPageSize LDAP služby Microsoft Active Directory nastavený na výchozí hodnotu 1 000. Toto nastavení znamená, že skupiny nad 1 000 se v dotazech LDAP zkrátí. Chcete-li povolit plnou podporu s hodnotou 1 024 pro rozšířené skupiny, musí být atribut upraven tak, MaxPageSize aby odrážel hodnotu 1 024. Informace o tom, jak tuto hodnotu změnit, naleznete v článku Microsoft TechNet Postup zobrazení a nastavení zásad LDAP ve službě Active Directory pomocí Ntdsutil.exe a článku knihovny TechNet MaxPageSize je příliš vysoký.

Další kroky