Active Directory tartományi szolgáltatások (AD DS) LDAP-hitelesítés engedélyezése NFS-kötetekhez

  • Cikk

NFS-kötet létrehozásakor engedélyezheti az LDAP-t kiterjesztett csoportok funkcióval (LDAP-beállítás) a kötethez. Ez a funkció lehetővé teszi, hogy az Active Directory LDAP-felhasználók és kiterjesztett csoportok (legfeljebb 1024 csoport) hozzáférjenek a kötet fájljaihoz és könyvtáraihoz. Az LDAP kiterjesztett csoportok funkcióval is használható NFSv4.1 és NFSv3 kötetekkel.

Feljegyzés

Alapértelmezés szerint az Active Directory LDAP-kiszolgálókon az MaxPageSize attribútum alapértelmezett értéke 1000. Ez a beállítás azt jelenti, hogy az 1000-t meghaladó csoportok csonkoltak az LDAP-lekérdezésekben. A kiterjesztett csoportok 1024 értékének teljes körű támogatásához az MaxPageSize attribútumot módosítani kell az 1024 értéknek megfelelően. Az érték módosításáról további információt az LDAP-szabályzat megtekintése és beállítása az Active Directoryban Ntdsutil.exe használatával című témakörben talál.

Az Azure NetApp Files támogatja a kiterjesztett csoportok lekérését az LDAP névszolgáltatásból az RPC-fejléc helyett. Az Azure NetApp Files az LDAP használatával olyan attribútumokat kérdez le, mint a felhasználónevek, a numerikus azonosítók, a csoportok és a csoporttagságok az NFS protokollműveletekhez.

Amikor megállapítást kap, hogy az LDAP olyan műveletekhez lesz használva, mint a névkeresés és a kiterjesztett csoportok beolvasása, a következő folyamat következik be:

  1. Az Azure NetApp Files LDAP-ügyfélkonfigurációval próbál kapcsolatot létesíteni az Azure NetApp Files AD-konfigurációban megadott AD DS- vagy Microsoft Entra Domain Services LDAP-kiszolgálóval.
  2. Ha a megadott AD DS vagy Microsoft Entra Domain Services LDAP szolgáltatásporton keresztüli TCP-kapcsolat sikeres, akkor az Azure NetApp Files LDAP-ügyfél az LDAP-ügyfélkonfigurációban megadott hitelesítő adatok használatával megkísérli a "kötést" (bejelentkezést) az AD DS-hez vagy a Microsoft Entra Domain Services LDAP-kiszolgálóhoz (tartományvezérlőhöz).
  3. Ha a kötés sikeres, akkor az Azure NetApp Files LDAP-ügyfél az RFC 2307bis LDAP-sémával végez LDAP-keresési lekérdezést az AD DS-re vagy a Microsoft Entra Domain Services LDAP-kiszolgálóra (tartományvezérlőre). A rendszer a következő adatokat továbbítja a kiszolgálónak a lekérdezésben:
    • Alap-/felhasználói DN (a keresési tartomány szűkítéséhez)
    • Keresési tartomány típusa (részhalmaz)
    • Objektumosztály (userposixAccountfelhasználók és posixGroup csoportok számára)
    • UID vagy felhasználónév
    • Kért attribútumok (uid, uidNumbergidNumber felhasználók vagy gidNumber csoportok esetén)
  4. Ha a felhasználó vagy csoport nem található, a kérés meghiúsul, és a hozzáférés megtagadva.
  5. Ha a kérés sikeres, akkor a rendszer gyorsítótárazza a felhasználói és csoportattribútumokat a jövőbeli használatra. Ez a művelet javítja a gyorsítótárazott felhasználó- vagy csoportattribútumokhoz társított ldAP-lekérdezések teljesítményét. Emellett csökkenti az AD DS vagy a Microsoft Entra Domain Services LDAP-kiszolgáló terhelését is.

Megfontolások

  • Az LDAP-t csak a kötet létrehozásakor engedélyezheti kiterjesztett csoportok funkcióval. Ez a funkció nem engedélyezhető visszamenőlegesen a meglévő köteteken.

  • A kiterjesztett csoportokkal rendelkező LDAP csak a Active Directory tartományi szolgáltatások (AD DS) vagy a Microsoft Entra Domain Services esetében támogatott. Az OpenLDAP vagy más külső LDAP-címtárszolgáltatások nem támogatottak.

  • A TLS-en keresztüli LDAP nem engedélyezhető a Microsoft Entra Domain Services használata esetén.

  • A kötet létrehozása után nem módosíthatja az LDAP beállítását (engedélyezve vagy letiltva).

  • Az alábbi táblázat az LDAP-gyorsítótár Élettartam (TTL) beállításait ismerteti. Meg kell várnia, amíg a gyorsítótár frissül, mielőtt megpróbál hozzáférni egy fájlhoz vagy könyvtárhoz egy ügyfélen keresztül. Ellenkező esetben egy hozzáférés- vagy engedély megtagadott üzenet jelenik meg az ügyfélen.

    Cache Alapértelmezett időtúllépés
    Csoporttagságok listája 24 órás TTL
    Unix-csoportok 24 órás TTL, 1 perces negatív TTL
    Unix-felhasználók 24 órás TTL, 1 perces negatív TTL

    A gyorsítótáraknak van egy meghatározott időtúllépési időszakuk, az úgynevezett Élettartam. Az időtúllépési időszak után a bejegyzések elavulnak, így az elavult bejegyzések nem halnak meg. A negatív TTL-érték az, ahol egy sikertelen keresés található, amely segít elkerülni a nem létező objektumok LDAP-lekérdezései miatti teljesítményproblémákat.

  • Az Active Directory-kapcsolatokban LDAP-beállítással rendelkező helyi NFS-felhasználók engedélyezése alkalmi és ideiglenes hozzáférést kíván biztosítani a helyi felhasználók számára. Ha ez a beállítás engedélyezve van, az LDAP-kiszolgáló felhasználói hitelesítése és keresése leáll, és az Azure NetApp Files által támogatott csoporttagságok száma 16-ra lesz korlátozva. Ezért tiltsa le ezt a beállítást az Active Directory-kapcsolatokon, kivéve azt az esetet, amikor egy helyi felhasználónak hozzá kell férnie az LDAP-kompatibilis kötetekhez. Ebben az esetben le kell tiltania ezt a beállítást, amint már nincs szükség helyi felhasználói hozzáférésre a kötethez. Lásd: Az LDAP-val rendelkező helyi NFS-felhasználók hozzáférésének engedélyezése kétprotokollos kötethez a helyi felhasználói hozzáférés kezelésével kapcsolatban.

Lépések

  1. Az LDAP-kötetekhez Active Directory-konfiguráció szükséges az LDAP-kiszolgáló beállításaihoz. Az Active Directory-kapcsolatok konfigurálásához kövesse az Active Directory-kapcsolatokra vonatkozó követelményeket, és hozzon létre egy Active Directory-kapcsolatot az Azure Portalon.

    Feljegyzés

    Győződjön meg arról, hogy konfigurálta az Active Directory kapcsolati beállításait. A rendszer létrehoz egy számítógépfiókot az Active Directory kapcsolati beállításaiban megadott szervezeti egységben (OU). Az LDAP-ügyfél ezeket a beállításokat használja az Active Directoryval való hitelesítéshez.

  2. Győződjön meg arról, hogy az Active Directory LDAP-kiszolgáló működik az Active Directoryban.

  3. Az LDAP NFS-felhasználóknak rendelkeznünk kell bizonyos POSIX-attribútumokkal az LDAP-kiszolgálón. Állítsa be az LDAP-felhasználók és LDAP-csoportok attribútumait az alábbiak szerint:

    • LdAP-felhasználók számára szükséges attribútumok:
      uid: Alice,
      uidNumber: 139,
      gidNumber: 555,
      objectClass: user, posixAccount
    • LDAP-csoportokhoz szükséges attribútumok:
      objectClass: group, posixGroup,
      gidNumber: 555

    A megadott objectClass értékek külön bejegyzések. A többértékű sztringszerkesztőben objectClass például az LDAP-felhasználók számára az alábbiak szerint külön értékek (user és posixAccount) vannak megadva:

    Feljegyzés

    Ha a POSIX-attribútumok nincsenek megfelelően beállítva, előfordulhat, hogy nobody a felhasználói és csoportkeresési műveletek meghiúsulnak, és az NFS-kötetekhez való hozzáféréskor a felhasználók összenyomódnak.

    Screenshot of Multi-valued String Editor that shows multiple values specified for Object Class.

    A POSIX-attribútumokat a Active Directory - felhasználók és számítógépek MMC beépülő modullal kezelheti. Az alábbi példa az Active Directory attribútumszerkesztőt mutatja be. A részleteket az Access Active Directory attribútumszerkesztőjében találja.

    Active Directory Attribute Editor

  4. Ha LDAP-integrált NFSv4.1 Linux-ügyfelet szeretne konfigurálni, olvassa el az NFS-ügyfél konfigurálása az Azure NetApp Fileshoz című témakört.

  5. Ha az LDAP-kompatibilis kötetek NFSv4.1-et használnak, kövesse az NFSv4.1 azonosítótartomány konfigurálásához /etc/idmapd.conf szükséges utasításokat.

    Be kell állítania Domain/etc/idmapd.conf azt a tartományt, amely a NetApp-fiók Active Directory Csatlakozás ionjában van konfigurálva. Ha például contoso.com a NetApp-fiókban konfigurált tartomány, akkor állítsa be a beállítást Domain = contoso.com.

    Ezután újra kell indítania a szolgáltatást a rpcbind gazdagépen, vagy újra kell indítania a gazdagépet.

  6. NFS-kötet létrehozásához kövesse az Azure NetApp Files NFS-kötetének létrehozásához szükséges lépéseket. A kötetlétrehozási folyamat során a Protokoll lap alatt engedélyezze az LDAP beállítást.

    Screenshot that shows Create a Volume page with LDAP option.

  7. Nem kötelező – Engedélyezheti, hogy a Windows LDAP-kiszolgálón nem található helyi NFS-ügyfélfelhasználók hozzáférjenek egy olyan NFS-kötethez, amelyen engedélyezve van az LDAP, és a kiterjesztett csoportok engedélyezve vannak. Ehhez engedélyezze a helyi NFS-felhasználók engedélyezése LDAP-beállítással az alábbiak szerint:

    1. Válassza ki az Active Directory-kapcsolatokat. Egy meglévő Active Directory-kapcsolaton válassza a helyi menüt (a három pont), és válassza a Szerkesztés lehetőséget.
    2. A megjelenő Active Directory-beállítások szerkesztése ablakban válassza a Helyi NFS-felhasználók engedélyezése LDAP-beállítással lehetőséget.

    Screenshot that shows the Allow local NFS users with LDAP option

  8. Nem kötelező – Ha nagy topológiákkal rendelkezik, és a Unix biztonsági stílust kétprotokollos kötettel vagy kiterjesztett csoportokkal rendelkező LDAP-val használja, az LDAP keresési hatókör beállításával elkerülheti az Azure NetApp Fileshoz készült Linux-ügyfelek "hozzáférés megtagadva" hibáit.

    Az LDAP keresési hatókör beállítása az Active Directory Csatlakozás ions lapján van konfigurálva.

    Ha nagy topológiák esetén szeretné feloldani a felhasználókat és csoportokat egy LDAP-kiszolgálóról, állítsa be a felhasználói DN, a csoport DN és a csoporttagság-szűrő beállításait az Active Directory Csatlakozás ions lapon az alábbiak szerint:

    • Adja meg a beágyazott felhasználói DN-t és a csoport DN-ét a következő OU=subdirectory,OU=directory,DC=domain,DC=comformátumban: .
    • Csoporttagság-szűrő megadása a következő formátumban(gidNumber=*): .
    • Ha egy felhasználó több mint 256 csoport tagja, csak 256 csoport lesz felsorolva.
    • Ha hibákba ütközik, tekintse meg az LDAP-kötetek hibáit.

    Screenshot that shows options related to LDAP Search Scope

Következő lépések