Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn ein Benutzer versucht, über das NFS auf ein Azure NetApp Files-Volume zuzugreifen, wird die Anforderung in einer numerischen ID übermittelt. Azure NetApp Files unterstützt standardmäßig erweiterte Gruppenmitgliedschaften für NFS-Benutzer (um das Standardgruppenlimit von 16 zu erweitern). Daher versucht Azure NetApp Files, diese numerische ID zu übernehmen und im Lightweight Directory Access-Protokoll (LDAP) nachzuschlagen, um die Gruppenmitgliedschaften für die Benutzenden aufzulösen, anstatt die Gruppenmitgliedschaften in einem RPC-Paket zu übergeben. Wenn diese numerische ID aufgrund dieses Verhaltens nicht für einzelne Benutzende in LDAP aufgelöst werden kann, schlägt die Suche fehl, und der Zugriff wird verweigert. Der Zugriff wird auch dann verweigert, wenn die anfordernden Benutzenden über Berechtigungen für den Zugriff auf das Volume oder die Datenstruktur verfügen.
Mit der Option „Lokale NFS-Benutzer mit LDAP zulassen“ für Active Directory-Verbindungen können diese LDAP-Suchvorgänge für NFS-Anforderungen deaktiviert werden, indem die erweiterte Gruppenfunktionalität deaktiviert wird. Es werden keine Berechtigungen zum Erstellen und Verwalten von lokalen Benutzenden in Azure NetApp Files gewährt.
Wenn die Option „Lokale NFS-Benutzer mit LDAP zulassen“ aktiviert ist, werden numerische IDs an Azure NetApp Files übergeben, und es wird kein LDAP-Lookup ausgeführt. Dies führt zu unterschiedlichen Verhaltensweisen in unterschiedlichen Szenarios (siehe unten).
NFSv3 mit UNIX-Sicherheitsstilvolumes
Numerische IDs müssen nicht in Benutzernamen übersetzt werden. Die Option „Lokale NFS-Benutzer mit LDAP zulassen“ wirkt sich nicht auf den Zugriff auf das Volume aus. Sie kann sich aber darauf auswirken, wie der Besitz von Benutzenden bzw. Gruppen (Namensübersetzung) im NFS-Client angezeigt wird. Wenn beispielsweise die numerische ID „1001“ im LDAP „user1“ entspricht, in der lokalen Datei „passwd“ des NFS-Clients aber „user2“, zeigt der Client „user2“ als Besitzer der Datei an, wenn die numerische ID „1001“ lautet.
NFSv4.1 mit UNIX-Sicherheitsstilvolumes
Numerische IDs müssen nicht in Benutzernamen übersetzt werden. Standardmäßig verwendet NFSv4.1 Namenszeichenfolgen (user@CONTOSO.COM) für die Authentifizierung. Azure NetApp Files unterstützt jedoch die Verwendung numerischer IDs mit NFSV4.1, was bedeutet, dass NFSv4.1-Anforderungen mit einer numerischen ID an den NFS-Server übermittelt werden. Wenn in lokalen Dateien oder Namensdiensten wie dem LDAP für das Azure NetApp Files-Volume keine numerische ID zur Benutzernamensübersetzung vorhanden ist, wird dem Client die numerische ID angezeigt. Beim Übersetzen einer numerischen ID in einen Benutzernamen wird die Namenszeichenfolge verwendet. Wenn die Namenszeichenfolge nicht übereinstimmt, wird der Name vom Client an die anonymen Benutzenden gesquasht, die in der Datei „idmapd.conf“ des Clients angegeben sind. Das Aktivieren der Option „Lokale NFS-Benutzer mit LDAP zulassen“ wirkt sich nicht auf den NFSv4.1-Zugriff aus. Der Zugriff wird wieder auf das NFSv3-Standardverhalten zurückgesetzt, es sei denn, Azure NetApp Files kann eine numerische ID in einen Benutzernamen in der lokalen NFS-Benutzerdatenbank auflösen. Azure NetApp Files verfügt über einige UNIX-Standardbenutzende, die für einige Clients problematisch sein können und zu nobody-Benutzenden gesquasht werden, wenn die Domänen-ID-Zeichenfolgen nicht übereinstimmen.
- Lokale Benutzer: Root (0), pcuser (65534), nobody (65535).
- Lokale Gruppen: root (0), daemon (1), pcuser (65534), nobody (65535).
In den meisten Fällen wird „root“ in NFSv4.1-Clientbindungen möglicherweise falsch angezeigt, wenn die NFSv4.1-Domänen-ID falsch konfiguriert ist. Weitere Informationen zur NFSv4.1-ID-Domäne finden Sie unter Konfigurieren der NFSv4.1-ID-Domäne für Azure NetApp Files.
NFSv4.1-ACLs können entweder mithilfe einer Namenszeichenfolge oder einer numerischen ID konfiguriert werden. Wenn numerische IDs verwendet werden, ist keine Namensübersetzung erforderlich. Wenn eine Namenszeichenfolge verwendet wird, ist für die ordnungsgemäße ACL-Auflösung eine Namensübersetzung erforderlich. Wenn Sie NFSv4.1 verwenden und die Option „Lokale NFS-Benutzer mit LDAP zulassen“ aktivieren, kann dies in Abhängigkeit von der ACL-Konfiguration zu einem falschen NFSv4.1-ACL-Verhalten führen.
NFS (NFSv3 und NFSv4.1) mit NTFS-Sicherheitsstilvolumes in Dualprotokollkonfigurationen
UNIX-Sicherheitsstilvolumes nutzen UNIX-Stilberechtigungen (Modusbits und NFSv4.1-ACLs). Für diese Volumes nutzt das NFS in Abhängigkeit von den zuvor aufgeführten Szenarios nur die UNIX-Stilauthentifizierung mithilfe einer numerischen ID oder einer Namenszeichenfolge.
NTFS-Sicherheitsstilvolumes verwenden jedoch NTFS-Stilberechtigungen. Diese Berechtigungen werden mithilfe von Windows-Benutzern und -Gruppen zugewiesen. Wenn NFS-Benutzende versuchen, auf ein Volume mit einer Berechtigung im NTFS-Stil zuzugreifen, muss eine UNIX-zu Windows-Namenszuordnung erfolgen, um die richtigen Zugriffssteuerungen sicherzustellen. In diesem Szenario wird die numerische NFS-ID weiterhin an das NFS-Volume von Azure NetApp Files übergeben, aber es gibt eine Anforderung, dass die numerische ID in einen UNIX-Benutzernamen übersetzt werden muss, damit sie dann einem Windows-Benutzernamen für die anfängliche Authentifizierung zugeordnet werden kann. Wenn beispielsweise die numerische ID „1001“ versucht, auf eine NFS-Bindung mit NTFS-Sicherheitsstilberechtigungen zuzugreifen, die dem Windows-Benutzenden „user1“ den Zugriff ermöglichen, müsste die numerische ID „1001“ im LDAP in den Benutzernamen „user1“ aufgelöst werden, um den erwarteten Zugriff zu erhalten. Wenn kein Benutzender mit der numerischen ID „1001“ im LDAP vorhanden ist oder das LDAP falsch konfiguriert ist, beendet die UNIX-zu-Windows-Namenszuordnung den Versuch mit 1001@contoso.com. In den meisten Fällen gibt es keine Benutzenden mit diesem Namen. Daher verursacht die Authentifizierung einen Fehler, und der Zugriff wird verweigert. Wenn die numerische ID „1001“ in einen falschen Benutzernamen (z. B. „user2“) aufgelöst wird, wird die NFS-Anforderung dem falschen Windows-Benutzenden zugeordnet (in diesem Szenario hat „user1“ die Zugriffsberechtigungen von „user2“).
Durch aktivieren von „Lokale NFS-Benutzer mit LDAP zulassen“ werden alle LDAP-Übersetzungen numerischer IDs in Benutzernamen deaktiviert. Durch diese Aktion wird der Zugriff auf Volumes im NTFS-Sicherheitsstil effektiv unterbrochen. Daher wird dringend von der Verwendung dieser Option mit Volumes im NTFS-Sicherheitsstil abgeraten.