Aktivieren der LDAP-Authentifizierung in Active Directory Domain Services (AD DS) für NFS-Volumes

  • Artikel

Wenn Sie ein NFS-Volume erstellen, können Sie das LDAP mit erweiterter Gruppenfunktion (ldap-Option) für das Volume aktivieren. Mit diesem Merkmal können Active Directory LDAP-Benutzer und erweiterte Gruppen (bis zu 1024 Gruppen) auf Daten und Verzeichnisse im Volume zugreifen. Sie können LDAP mit dem Feature für erweiterte Gruppen sowohl mit den NFSv4.1- als auch mit den NFSv3-Volumes verwenden.

Hinweis

In Active Directory-LDAP-Servern ist das MaxPageSize Attribut standardmäßig auf 1.000 festgelegt. Diese Einstellung bedeutet, dass Gruppen über 1.000 in LDAP-Abfragen abgeschnitten werden. Um die vollständige Unterstützung mit dem Wert 1.024 für erweiterte Gruppen zu aktivieren, muss das MaxPageSize-Attribut geändert werden, um den Wert 1.024 widerzuspiegeln. Informationen zum Ändern dieses Werts finden Sie unter Anzeigen und Festlegen von LDAP-Richtlinien in Active Directory mithilfe von Ntdsutil.exe.

Azure NetApp Files unterstützt das Abrufen erweiterter Gruppen aus dem LDAP-Namensdienst anstatt aus dem RPC-Header. Azure NetApp Files interagiert mit LDAP, indem Attribute wie Benutzernamen, numerische IDs, Gruppen und Gruppenmitgliedschaften für NFS-Protokollvorgänge abgerufen werden.

Wenn festgelegt wurde, dass LDAP für Vorgänge wie die Namenssuche und das Abrufen erweiterter Gruppen verwendet wird, wird der folgende Prozess ausgeführt:

  1. Azure NetApp Files verwendet eine LDAP-Clientkonfiguration, um eine Verbindung mit dem AD DS- oder Microsoft Entra Do Standard Services-LDAP-Server herzustellen, der in der Azure NetApp Files AD-Konfiguration angegeben ist.
  2. Wenn die TCP-Verbindung über den definierten AD DS- oder Microsoft Entra Do Standard Services LDAP-Dienstport erfolgreich ist, versucht der LDAP-Client von Azure NetApp Files, mithilfe der definierten Anmeldeinformationen in der LDAP-Clientkonfiguration an den AD DS- oder Microsoft Entra Do Standard Services LDAP-Server (do Standard Controller) zu binden.
  3. Wenn die Bindung erfolgreich ist, verwendet der AZURE NetApp Files LDAP-Client das RFC 2307bis LDAP-Schema, um eine LDAP-Suchabfrage an den AD DS- oder Microsoft Entra Do Standard Services LDAP-Server (do Standard Controller) zu erstellen. Die folgenden Informationen werden an den Server in der Abfrage übergeben:
    • Basis-/Benutzer-DN (zum Eingrenzen des Suchbereichs)
    • Suchbereichstyp (Unterstruktur)
    • Objektklasse (user, posixAccount für Benutzer und posixGroup für Gruppen)
    • UID oder Benutzername
    • Angeforderte Attribute (uid, uidNumber, gidNumber für Benutzer oder gidNumber für Gruppen)
  4. Wenn der Benutzer oder die Gruppe nicht gefunden wird, schlägt die Anforderung fehl, und der Zugriff wird verweigert.
  5. Wenn die Anforderung erfolgreich ist, werden die Benutzer- und Gruppenattribute zur zukünftigen Verwendung zwischengespeichert. Dieser Vorgang verbessert die Leistung nachfolgender LDAP-Abfragen, die den zwischengespeicherten Benutzer- oder Gruppenattributen zugeordnet sind. Außerdem wird die Last auf dem AD DS- oder Microsoft Entra Do Standard Services LDAP-Server reduziert.

Überlegungen

  • Sie können das Feature „LDAP mit erweiterten Gruppen“ nur bei der Volumeerstellung aktivieren. Dieses Feature kann auf vorhandenen Volumes nicht rückwirkend aktiviert werden.

  • LDAP mit erweiterten Gruppen wird nur mit Active Directory-Domäne Services (AD DS) oder Microsoft Entra Do Standard Services unterstützt. OpenLDAP oder andere LDAP-Verzeichnisdienste von Drittanbietern werden nicht unterstützt.

  • LDAP über TLS darf nicht aktiviert werden, wenn Sie Microsoft Entra Do Standard Services verwenden.

  • Sie können die LDAP-Optionseinstellung (aktiviert oder deaktiviert) nicht ändern, nachdem Sie das Volume erstellt haben.

  • In der folgenden Tabelle wird die Gültigkeitsdauer (Time to Live, TTL) für den LDAP-Cache beschrieben. Sie müssen warten, bis der Cache aktualisiert wird, bevor Sie versuchen, über einen Client auf eine Datei oder ein Verzeichnis zuzugreifen. Andernfalls wird auf dem Client eine Meldung vom Typ „Zugriff oder Berechtigung verweigert“ angezeigt.

    cache Standardzeitlimit
    Gruppenmitgliedschaftsliste 24 Stunden Gültigkeitsdauer
    Unix-Gruppen 24 Stunden Gültigkeitsdauer, 1 Minute negative Gültigkeitsdauer
    UNIX-Benutzer 24 Stunden Gültigkeitsdauer, 1 Minute negative Gültigkeitsdauer

    Caches haben einen bestimmten Timeoutzeitraum namens Gültigkeitsdauer. Nach Ablauf des Timeouts werden Einträge als veraltet gekennzeichnet, damit veraltete Einträge nicht beibehalten werden. Der negative TTL-Wert ist der Ort, an dem die Suche fehlgeschlagen ist, um Leistungsprobleme aufgrund von LDAP-Abfragen für Objekte zu vermeiden, die möglicherweise nicht vorhanden sind.

  • Die Option Lokale NFS-Benutzer mit LDAP zulassen für Active Directory-Verbindungen dient dazu, lokalen Benutzern gelegentlichen und temporären Zugriff zu bieten. Wenn diese Option aktiviert ist, funktionieren die Benutzerauthentifizierung und die Suche über den LDAP-Server nicht mehr, und die Anzahl der Gruppenmitgliedschaften, die Azure NetApp Files unterstützt, ist auf 16 beschränkt. Daher sollten Sie diese Option für Active Directory-Verbindungen deaktivieren, außer wenn ein lokaler Benutzer auf LDAP-fähige Volumes zugreifen muss. In diesem Fall sollten Sie diese Option deaktivieren, sobald der lokale Benutzer keinen Zugriff mehr auf das Volume benötigt. Informationen zum Verwalten lokaler Benutzer finden Sie unter Lokalen NFS-Benutzern mit LDAP den Zugriff auf ein Doppelprotokollvolume gestatten.

Schritte

  1. LDAP-Volumes erfordern eine Active Directory Konfiguration für LDAP-Servereinstellungen. Befolgen Sie die Anweisungen unter Anforderungen für Active Directory-Verbindungen und erstellen Sie eine Active Directory Verbindung, um Active Directory Verbindungen auf dem Azure-Portal zu konfigurieren.

    Hinweis

    Stellen Sie sicher, dass Sie die Active Directory-Verbindungseinstellungen konfiguriert haben. Ein Computerkonto wird in der Organisationseinheit (OU) erstellt, die in den Active Directory-Verbindungseinstellungen angegeben ist. Die Einstellungen werden vom LDAP-Client für die Authentifizierung bei Active Directory verwendet.

  2. Stellen Sie sicher, dass der Active Directory LDAP-Server auf dem Active Directory ausgeführt wird.

  3. LDAP-NFS-Benutzer müssen bestimmte POSIX-Attribute auf dem LDAP-Server haben. Legen Sie die Attribute für LDAP-Benutzer und LDAP-Gruppen wie folgt fest:

    • Erforderliche Attribute für LDAP-Benutzer:
      uid: Alice,
      uidNumber: 139,
      gidNumber: 555,
      objectClass: user, posixAccount
    • Erforderliche Attribute für LDAP-Gruppen:
      objectClass: group, posixGroup,
      gidNumber: 555

    Die für objectClass angegebenen Werte sind separate Einträge. Beispielsweise hätte im mehrwertigen String Editor objectClass getrennte Werte (user und posixAccount), für Benutzer von LDAP wie folgt bestimmt:

    Hinweis

    Wenn die POSIX-Attribute nicht ordnungsgemäß eingerichtet sind, können Benutzer- und Gruppensuchvorgänge fehlschlagen, und Benutzer können beim Zugriff auf NFS-Volumes squashen werdennobody.

    Screenshot of Multi-valued String Editor that shows multiple values specified for Object Class.

    Sie können POSIX-Attribute verwalten, indem Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“ verwenden Im folgenden Beispiel ist der Active Directory-Attribut-Editor dargestellt. Ausführliche Informationen finden Sie unter Zugreifen auf den Active Directory-Attribut-Editor.

    Active Directory Attribute Editor

  4. Wenn Sie einen mit LDAP integrierten NFSv4.1-Client von Linux konfigurieren möchten, finden Sie weitere Informationen unter Konfigurieren eines NFS-Clients für Azure NetApp Files.

  5. Wenn Ihre LDAP-fähigen Volumes NFSv4.1 verwenden, befolgen Sie die Anweisungen unter Configure NFSv4.1 ID Standard zum Konfigurieren der /etc/idmapd.conf Datei.

    Sie müssen Domain in /etc/idmapd.conf auf die Domäne festlegen, die in der Active Directory-Verbindung ihres NetApp-Kontos konfiguriert ist. Wenn beispielsweise contoso.com die konfigurierte Domäne im NetApp-Konto ist, legen Sie Domain = contoso.com fest.

    Starten Sie den rpcbind-Dienst auf Ihrem Host neu, oder starten Sie den Host einfach neu.

  6. Führen Sie die unter Erstellen eines NFS-Volumes für Azure NetApp Files angegebenen Schritte aus, um das NFS-Volume zu erstellen. Aktivieren Sie während der Volumeerstellung auf der Registerkarte Protokoll die LDAP-Option.

    Screenshot that shows Create a Volume page with LDAP option.

  7. Optional: Sie können lokale NFS-Client Benutzer, die auf dem Windows LDAP-Server nicht vorhanden sind, für den Zugriff auf ein NFS-Volume aktivieren, das über aktivierte LDAP mit erweiterten Gruppen verfügt. Aktivieren Sie hierzu die Option lokale NFS-Benutzer mit LDAP zulassen wie folgt:

    1. Wählen Sie Active Directory-Verbindungen aus. Wählen Sie in einer vorhandenen Active Directory-Verbindung das Kontextmenü (die drei Punkte ) und dann Bearbeiten aus.
    2. Wählen Sie im angezeigten Fenster Active Directory-Einstellungen bearbeiten die Option Lokale NFS-Benutzer mit LDAP zulassen aus.

    Screenshot that shows the Allow local NFS users with LDAP option

  8. Optional – Wenn Sie über große Topologien verfügen und den Unix-Sicherheitsansatz mit einem Dualprotokoll-Volume oder LDAP mit erweiterten Gruppen verwenden, können Sie die Option LDAP-Suchbereich verwenden, um „Zugriff verweigert“-Fehler für Azure NetApp Files auf Linux-Clients zu vermeiden.

    Die Option LDAP-Suchbereich wird über die Seite Active Directory-Verbindungen konfiguriert.

    Um die Benutzer und Gruppen von einem LDAP-Server für große Topologien aufzulösen, legen Sie die Werte der Optionen Benutzer-DN, Gruppen-DN und Gruppenmitgliedschaftsfilter auf der Seite Active Directory-Verbindungen wie folgt fest:

    • Geben Sie den geschachtelten Benutzer-DN und den Gruppen-DN im Format OU=subdirectory,OU=directory,DC=domain,DC=com an.
    • Geben Sie den Gruppenmitgliedschaftsfilter im Format (gidNumber=*) an.
    • Wenn ein Benutzer Mitglied von mehr als 256 Gruppen ist, werden nur 256 Gruppen aufgelistet.
    • Verweisen Sie auf Fehler für LDAP-Volumes , wenn Fehler auftreten.

    Screenshot that shows options related to LDAP Search Scope

Nächste Schritte