Partager via

Configurer les services d’annuaire LDAP pour les volumes NFS Azure NetApp Files (préversion)

Outre la prise en charge native d’Active Directory, Azure NetApp Files prend en charge l’intégration native avec les services d’annuaire, notamment FreeIPA, OpenLDAP et Red Hat Directory Server pour les serveurs d’annuaires LDAP (Lightweight Directory Access Protocol). Avec la prise en charge du serveur d’annuaire LDAP natif, vous pouvez obtenir un contrôle d’accès sécurisé et évolutif basé sur les identités pour les volumes NFS dans les environnements Linux.

L’intégration LDAP d’Azure NetApp Files simplifie la gestion des accès aux partages de fichiers en tirant parti des services d’annuaire approuvés. Il prend en charge les protocoles NFSv3 et NFSv4.1 et utilise la découverte basée sur les enregistrements DNS SRV pour la haute disponibilité et l’équilibrage de charge sur les serveurs LDAP. Du point de vue de l’entreprise, cette fonctionnalité s’améliore :

  • Conformité : la gestion centralisée des identités prend en charge l’auditabilité et l’application des stratégies
  • Efficacité : réduit la surcharge administrative en unifiant les contrôles d’identité sur les systèmes Linux et NTFS
  • Sécurité : prend en charge LDAP sur TLS, le mappage de noms symétriques/asymétriques et les appartenances aux groupes étendus
  • Intégration transparente : fonctionne avec l’infrastructure LDAP existante
  • Scalabilité : prend en charge les répertoires d’utilisateurs et de groupes volumineux
  • Flexibilité : Compatible avec plusieurs implémentations LDAP

Services d’annuaire pris en charge

  • FreeIPA : idéal pour la gestion des identités sécurisée et centralisée dans les environnements Linux
  • OpenLDAP : service d’annuaire léger et flexible pour les déploiements personnalisés
  • Red Hat Directory Server : service LDAP de niveau Entreprise avec des fonctionnalités avancées d’extensibilité et de sécurité

Important

Pour configurer LDAP avec Active Directory, consultez Configurer LE PROTOCOLE LDAP AD DS avec des groupes étendus pour l’accès au volume NFS.

Architecture

Le diagramme suivant décrit comment Azure NetApp Files utilise des opérations de liaison/recherche LDAP pour authentifier les utilisateurs et appliquer le contrôle d’accès en fonction des informations d’annuaire.

Diagramme du serveur d’annuaire LDAP dans Azure NetApp Files.

L’architecture implique les composants suivants :

  • Client de machine virtuelle Linux : lance une demande de montage NFS sur Azure NetApp Files
  • Volume Azure NetApp Files : reçoit la demande de montage et effectue des requêtes LDAP
  • Serveur d’annuaire LDAP : répond aux demandes de liaison/recherche avec des informations d’utilisateur et de groupe
  • Logique de contrôle d’accès : applique les décisions d’accès basées sur les réponses LDAP

Flux de données

  1. Demande de montage : la machine virtuelle Linux envoie une demande de montage NFSv3 ou NFSv4.1 à Azure NetApp Files.
  2. Liaison/recherche LDAP : Azure NetApp Files envoie une demande de liaison/recherche au serveur LDAP (FreeIPA, OpenLDAP ou RHDS) à l’aide de l’UID/GID.
  3. Réponse LDAP : le serveur d’annuaire retourne les attributs utilisateur et groupe.
  4. Décision de contrôle d’accès : Azure NetApp Files évalue la réponse et accorde ou refuse l’accès.
  5. Accès au client : la décision est renvoyée au client.

Cas d’utilisation

Chaque service d’annuaire fait appel à différents cas d’usage dans Azure NetApp Files.

FreeIPA

  • Environnements Linux hybrides : Idéal pour les entreprises utilisant FreeIPA pour la gestion centralisée des identités sur les systèmes Linux dans les déploiements de cloud hybrides.
  • Charges de travail HPC et d’analytique : prend en charge l’authentification sécurisée pour les clusters de calcul hautes performances et les plateformes d’analytique qui s’appuient sur FreeIPA.
  • Intégration Kerberos : active les environnements qui nécessitent une authentification Kerberos pour les charges de travail NFS sans Active Directory.

OpenLDAP

  • Prise en charge des applications héritées : parfait pour les organisations exécutant des applications héritées ou personnalisées qui dépendent d’OpenLDAP pour les services d’identité.
  • Gestion des identités multiplateformes : fournit une solution légère basée sur des normes pour la gestion de l’accès entre les charges de travail Linux, UNIX et conteneurisées.
  • Déploiements optimisés pour les coûts : adapté aux entreprises recherchant une solution d’annuaire open source et flexible sans surcharge d’Active Directory.

Serveur d’annuaire Red Hat

  • Sécurité et conformité de niveau entreprise : conçue pour les organisations qui nécessitent des services LDAP renforcés et pris en charge par l’entreprise avec des contrôles de sécurité forts.
  • Industries réglementées : idéal pour les secteurs financiers, médicaux et gouvernementaux où la conformité et le soutien des fournisseurs sont essentiels.
  • Intégration à Red Hat Ecosystem : s’intègre en toute transparence aux environnements utilisant Red Hat Enterprise Linux et les solutions associées.

Considérations

  • FreeIPA, OpenLDAP et Red Hat Directory Server sont pris en charge avec les volumes NFSv3 et NFSv4.1 ; ils ne sont actuellement pas pris en charge avec des volumes à double protocole.
  • Ces services d’annuaire ne sont actuellement pas pris en charge avec de grands volumes.
  • Vous devez configurer le serveur LDAP avant de créer le volume.
  • Vous ne pouvez configurer FreeIPA, OpenLDAP ou Red Hat Directory Server que sur de nouveaux volumes NFS. Vous ne pouvez pas convertir les volumes existants pour utiliser ces services d’annuaire.
  • Kerberos n’est actuellement pas pris en charge avec FreeIPA, OpenLDAP ou Red Hat Directory Server.

Inscrire la fonctionnalité

La prise en charge de FreeIPA, OpenLDAP et Red Hat Directory Server est actuellement en préversion. Avant de connecter vos volumes NFS à l’un de ces serveurs d’annuaires, vous devez inscrire la fonctionnalité :

  1. Inscrivez la fonctionnalité :

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP

  2. Vérifiez l’état d’inscription de la fonctionnalité :

    Note

    RegistrationState peut rester dans l’état Registering pendant jusqu’à 60 minutes avant de passer à Registered. Attendez que l'état soit Registered avant de continuer.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP

Vous pouvez également utiliser les commandes Azure CLIaz feature register et az feature show pour inscrire la fonctionnalité et afficher l’état de l’inscription.

Créer le serveur LDAP

Vous devez d’abord créer le serveur LDAP avant de pouvoir le connecter à Azure NetApp Files. Suivez les instructions du serveur approprié :

Configurer la connexion LDAP dans Azure NetApp Files

  1. Dans le portail Azure, accédez aux connexions LDAP sous Azure NetApp Files.

  2. Créez la nouvelle connexion LDAP.

  3. Dans le nouveau menu, indiquez :

    • Domaine: Le nom de domaine sert de nom de domaine de base.
    • Serveurs LDAP : Adresse IP du serveur LDAP.
    • LDAP sur TLS : Si vous le souhaitez, cochez la case pour activer LDAP via TLS pour la communication sécurisée. Pour plus d’informations, consultez Configurer LDAP via TLS.
    • Certificat d’autorité de certification du serveur : Certificat de l’autorité de certification. Cette option est requise si vous utilisez LDAP sur TLS.
    • Hôte CN de certificat : serveur de noms commun de l’hôte, par exemple contoso.server.com.

    Capture d’écran des options de configuration de la connexion LDAP.

  4. Cliquez sur Enregistrer.

  5. Une fois que vous avez configuré la connexion LDAP, vous pouvez créer un volume NFS.

Valider la connexion LDAP

  1. Pour valider la connexion, utilisez la connexion LDAP pour accéder à la vue d'ensemble du volume.
  2. Sélectionnez la connexion LDAP , puis la liste d’ID de groupe LDAP.
  3. Dans le champ Nom d’utilisateur, entrez le nom d’utilisateur fourni lorsque vous avez configuré le serveur LDAP. Sélectionnez Obtenir les ID de groupe. Vérifiez que les ID de groupe correspondent au client et au serveur.

Étapes suivantes

  • Last updated on