Active Directory tartományi szolgáltatások (AD DS) LDAP-hitelesítés engedélyezése NFS-kötetekhez

  • Cikk
  • 5 perc alatt elolvasható

NFS-kötet létrehozásakor engedélyezheti az LDAP-t kiterjesztett csoportokkal (LDAP-beállítás) a kötethez. Ez a funkció lehetővé teszi, hogy az Active Directory LDAP-felhasználók és kiterjesztett csoportok (legfeljebb 1024 csoport) hozzáférjenek a kötet fájljaihoz és könyvtáraihoz. Az LDAP kiterjesztett csoportokkal funkcióját NFSv4.1 és NFSv3 kötetekkel is használhatja.

Megjegyzés

Alapértelmezés szerint az Active Directory LDAP-kiszolgálókon az MaxPageSize attribútum alapértelmezett értéke 1000. Ez a beállítás azt jelenti, hogy az 1000-t meghaladó csoportok csonkulnak az LDAP-lekérdezésekben. A kiterjesztett csoportok 1024 értékének teljes körű támogatása érdekében az MaxPageSize attribútumot módosítani kell, hogy tükrözze az 1024 értéket. Az érték módosításáról az LDAP-szabályzat megtekintése és beállítása az Active Directoryban Ntdsutil.exehasználatával című témakörben olvashat bővebben.

Azure NetApp Files támogatja a kiterjesztett csoportok lekérését az LDAP névszolgáltatásból, nem pedig az RPC fejlécéből. Azure NetApp Files az LDAP-t olyan attribútumok lekérdezésével használja, mint a felhasználónevek, a numerikus azonosítók, a csoportok és a csoporttagságok az NFS protokollműveletekhez.

Amikor a rendszer azt állapítja meg, hogy az LDAP-t olyan műveletekhez fogja használni, mint a névkeresés és a kiterjesztett csoportok beolvasása, a következő folyamat következik be:

  1. Azure NetApp Files LDAP-ügyfélkonfigurációt használ a Azure NetApp Files AD-konfigurációban megadott ADDS/AADDS LDAP-kiszolgálóhoz való kapcsolódásra.
  2. Ha a TCP-kapcsolat a definiált ADDS/AADDS LDAP-szolgáltatásporton keresztül sikeres, akkor a Azure NetApp Files LDAP-ügyfél az LDAP-ügyfél konfigurációjában megadott hitelesítő adatokkal próbál "kötést" (bejelentkezést) létrehozni az ADDS/AADDS LDAP-kiszolgálóhoz (tartományvezérlőhöz).
  3. Ha a kötés sikeres, akkor a Azure NetApp Files LDAP-ügyfél az RFC 2307bis LDAP-sémával végez LDAP-keresési lekérdezést az ADDS/AADDS LDAP-kiszolgálóra (tartományvezérlőre). A rendszer a következő adatokat továbbítja a kiszolgálónak a lekérdezésben:
    • Alap-/felhasználói DN (a keresési tartomány szűkítéséhez)
    • Keresési tartomány típusa (részösszeg)
    • Objektumosztály (userfelhasználók posixAccount és posixGroup csoportok esetén)
    • UID vagy felhasználónév
    • Kért attribútumok (uid, uidNumber, gidNumber felhasználók vagy gidNumber csoportok esetén)
  4. Ha a felhasználó vagy csoport nem található, a kérés sikertelen lesz, és a hozzáférés meg lesz tagadva.
  5. Ha a kérés sikeres, a rendszer gyorsítótárazza a felhasználói és csoportattribútumokat későbbi használatra. Ez a művelet javítja a gyorsítótárazott felhasználói vagy csoportattribútumokhoz társított későbbi LDAP-lekérdezések teljesítményét. Emellett csökkenti az ADDS/AADDS LDAP-kiszolgáló terhelését is.

Megfontolandó szempontok

  • A kiterjesztett csoportokkal rendelkező LDAP-t csak a kötet létrehozásakor engedélyezheti. Ez a funkció nem engedélyezhető visszamenőlegesen a meglévő köteteken.

  • A kiterjesztett csoportokkal rendelkező LDAP csak Active Directory tartományi szolgáltatások (AD DS) vagy Azure Active Directory-tartomány-szolgáltatásokkal (AADDS) támogatott. Az OpenLDAP vagy más külső LDAP-címtárszolgáltatások nem támogatottak.

  • Az Azure Active Directory tartományi szolgáltatások (AADDS) használata esetén az LDAP TLS-en keresztül nem engedélyezhető.

  • A kötet létrehozása után nem módosíthatja az LDAP beállítását (engedélyezve vagy letiltva).

  • Az alábbi táblázat az LDAP-gyorsítótár Élettartam (TTL) beállításait ismerteti. Meg kell várnia, amíg a gyorsítótár frissül, mielőtt megpróbálna hozzáférni egy fájlhoz vagy könyvtárhoz egy ügyfélen keresztül. Ellenkező esetben egy hozzáférés- vagy engedély megtagadva üzenet jelenik meg az ügyfélen.

    Gyorsítótár Alapértelmezett időtúllépés
    Csoporttagságok listája 24 órás élettartam
    Unix-csoportok 24 órás TTL, 1 perces negatív TTL
    Unix-felhasználók 24 órás TTL, 1 perces negatív TTL

    A gyorsítótáraknak van egy meghatározott, Élettartam nevű időtúllépési időszaka. Az időtúllépési időszak után a bejegyzések elavulnak, így az elavult bejegyzések nem lesznek hosszabbak. A negatív TTL-érték az, ahol a sikertelen keresések a nem létező objektumok LDAP-lekérdezései miatti teljesítményproblémák elkerülése érdekében találhatók.

  • Az Active Directory-kapcsolatokban az LDAP-val rendelkező helyi NFS-felhasználók engedélyezése beállítás alkalmi és ideiglenes hozzáférést kíván biztosítani a helyi felhasználók számára. Ha ez a beállítás engedélyezve van, az LDAP-kiszolgáló felhasználói hitelesítése és keresése leáll, és a Azure NetApp Files által támogatott csoporttagságok száma 16-ra lesz korlátozva. Ezért ezt a beállítást le kell tiltani az Active Directory-kapcsolatokon, kivéve azt az esetet, amikor egy helyi felhasználónak hozzá kell férnie az LDAP-kompatibilis kötetekhez. Ebben az esetben le kell tiltania ezt a beállítást, amint már nincs szükség helyi felhasználói hozzáférésre a kötethez. Lásd: A helyi felhasználói hozzáférés kezelésével kapcsolatos kettős protokollal rendelkező kötet elérése az LDAP-val rendelkező helyi NFS-felhasználók számára .

Lépések

  1. Az LDAP-kötetekhez Active Directory-konfiguráció szükséges az LDAP-kiszolgáló beállításaihoz. Kövesse az Active Directory-kapcsolatokra vonatkozó követelmények és Az Active Directory-kapcsolat létrehozása című cikk utasításait az Active Directory-kapcsolatok konfigurálásához a Azure Portal.

    Megjegyzés

    Győződjön meg arról, hogy konfigurálta az Active Directory kapcsolati beállításait. A rendszer létrehoz egy számítógépfiókot az Active Directory kapcsolati beállításaiban megadott szervezeti egységben (OU). A beállításokat az LDAP-ügyfél használja az Active Directoryval való hitelesítéshez.

  2. Győződjön meg arról, hogy az Active Directory LDAP-kiszolgáló működik és fut az Active Directoryban.

  3. Az LDAP NFS-felhasználóknak rendelkeznünk kell bizonyos POSIX-attribútumokkal az LDAP-kiszolgálón. Állítsa be az LDAP-felhasználók és LDAP-csoportok attribútumait az alábbiak szerint:

    • LdAP-felhasználók számára szükséges attribútumok:
      uid: Alice,
      uidNumber: 139,
      gidNumber: 555,
      objectClass: user, posixAccount
    • LDAP-csoportokhoz szükséges attribútumok:
      objectClass: group, posixGroup,
      gidNumber: 555

    A megadott objectClass értékek külön bejegyzések. A Többértékű sztringszerkesztőben objectClass például az LDAP-felhasználók számára az alábbiak szerint külön értékek (user és posixAccount) vannak megadva:

    Képernyőkép a Többértékű sztringszerkesztőről, amely az Objektumosztályhoz megadott több értéket jeleníti meg.

    A POSIX-attribútumok a Active Directory - felhasználók és számítógépek MMC beépülő modullal kezelhetők. Az alábbi példa az Active Directory attribútumszerkesztőt mutatja be. Részletekért lásd: Az Active Directory attribútumszerkesztőjének elérése .

    Active Directory attribútumszerkesztő

  4. Ha LDAP-integrált NFSv4.1 Linux-ügyfelet szeretne konfigurálni, tekintse meg az NFS-ügyfél konfigurálása Azure NetApp Files.

  5. Ha az LDAP-kompatibilis kötetek NFSv4.1-et használnak, kövesse az NFSv4.1 tartomány konfigurálása a fájl konfigurálásához című témakör utasításait /etc/idmapd.conf .

    Be kell állítania Domain/etc/idmapd.conf azt a tartományt, amely a NetApp-fiók Active Directory-kapcsolatában van konfigurálva. Ha például contoso.com a konfigurált tartomány a NetApp-fiókban, akkor állítsa be a következőt Domain = contoso.com: .

    Ezután újra kell indítania a szolgáltatást a rpcbind gazdagépen, vagy újra kell indítania a gazdagépet.

  6. NFS-kötet létrehozásához kövesse az NFS-kötet létrehozása Azure NetApp Files című témakör lépéseit. A kötetlétrehozási folyamat során a Protokoll lapon engedélyezze az LDAP beállítást.

    Képernyőkép a Kötet létrehozása lapról LDAP-val beállításról.

  7. Nem kötelező – Engedélyezheti, hogy a Windows LDAP-kiszolgálón nem található helyi NFS-ügyfélfelhasználók hozzáférjenek egy olyan NFS-kötethez, amelyen engedélyezve vannak a kiterjesztett csoportokkal rendelkező LDAP-k. Ehhez engedélyezze a Helyi NFS-felhasználók engedélyezése LDAP-vel beállítást az alábbiak szerint:

    1. Válassza az Active Directory-kapcsolatok lehetőséget. Egy meglévő Active Directory-kapcsolaton válassza a helyi menüt (a három pont), majd a Szerkesztés lehetőséget.
    2. A megjelenő Active Directory-beállítások szerkesztése ablakban válassza a Helyi NFS-felhasználók engedélyezése LDAP-val lehetőséget.

    Képernyőkép a helyi NFS-felhasználók ENGEDÉLYEZÉSE LDAP-val beállításról

  8. Nem kötelező – Ha nagy topológiákkal rendelkezik, és a Unix biztonsági stílust kettős protokollú kötettel vagy kiterjesztett csoportokkal rendelkező LDAP-val használja, az LDAP keresési hatókör beállításával elkerülheti a "hozzáférés megtagadva" hibákat a Linux-ügyfeleken a Azure NetApp Files esetében.

    Az LDAP keresési hatókör beállítása az Active Directory-kapcsolatok lapon keresztül van konfigurálva.

    Ha egy LDAP-kiszolgálóról szeretné feloldani a felhasználókat és csoportokat a nagy topológiákhoz, állítsa be a Felhasználói DN, a Csoport DN és a Csoporttagság szűrője beállításokat az Active Directory-kapcsolatok lapon az alábbiak szerint:

    • Adja meg a beágyazott felhasználói DN-t és a csoport DN-ét a következő formátumban: OU=subdirectory,OU=directory,DC=domain,DC=com.
    • Adja meg a csoporttagság-szűrőt a következő formátumban: (gidNumber=*).
    • Ha egy felhasználó több mint 256 csoport tagja, csak 256 csoport lesz felsorolva.
    • Ha hibákba ütközik, tekintse meg az LDAP-kötetek hibáit .

    Képernyőkép az LDAP keresési hatókörével kapcsolatos lehetőségekről

Következő lépések