Mengonfigurasi domain ID NFSv4.1 untuk Azure NetApp Files

NFSv4 memperkenalkan konsep domain autentikasi ID. Azure NetApp Files menggunakan nilai defaultv4iddomain.com entri sebagai domain autentikasi, dan klien NFS menggunakan konfigurasi mereka sendiri untuk mengautentikasi pengguna yang ingin mengakses file pada volume tersebut. Secara default, klien NFS akan menggunakan nama domain DNS sebagai domain ID NFSv4. Anda dapat mengambil alih pengaturan ini dengan menggunakan file konfigurasi NFSv4 bernama idmapd.conf.

Jika pengaturan domain autentikasi pada klien NFS dan Azure NetApp Files tidak cocok, akses file dapat ditolak karena pemetaan pengguna dan grup NFSv4 mungkin gagal. Ketika hal ini terjadi, pengguna dan grup yang tidak cocok dengan benar akan menggagalkan pengguna dan grup yang dikonfigurasi dalam idmapd.conf file (umumnya, tidak ada:99) dan peristiwa akan masuk ke klien.

Artikel ini menjelaskan perilaku default pemetaan pengguna/grup dan cara mengonfigurasi klien NFS yang benar untuk mengautentikasi dengan benar dan mengizinkan akses. 

Perilaku default pemetaan pengguna/grup

Pemetaan pengguna root dapat menggambarkan apa yang terjadi jika ada ketidakcocokan antara Klien Azure NetApp Files dan NFS. Proses penginstalan aplikasi sering memerlukan penggunaan pengguna root. Azure NetApp Files dapat dikonfigurasi untuk mengizinkan akses untuk root.

Dalam contoh daftar direktori berikut, pengguna root memasang volume pada klien Linux yang menggunakan konfigurasi localdomain defaultnya untuk domain autentikasi ID, yang berbeda dari konfigurasi default Azure NetApp Files.defaultv4iddomain.com

Dalam daftar file di direktori, file1 ditampilkan sebagai dipetakan ke nobody, kapan file harus dimiliki oleh pengguna root.

Ada dua cara untuk menyesuaikan domain autentikasi di kedua sisi: Azure NetApp Files sebagai server NFS dan Linux sebagai klien NFS:

1. Manajemen pengguna pusat: Jika Anda sudah menggunakan manajemen pengguna pusat seperti Active Directory Domain Services (AD DS), Anda dapat mengonfigurasi klien Linux mereka untuk menggunakan LDAP dan mengatur domain yang dikonfigurasi di AD DS sebagai domain autentikasi. Di sisi server, Anda harus mengaktifkan layanan domain AD untuk Azure NetApp Files dan membuat volume yang didukung LDAP. Volume yang diaktifkan LDAP secara otomatis menggunakan domain yang dikonfigurasi di AD DS sebagai domain autentikasi mereka.

   Untuk informasi selengkapnya tentang proses ini, lihat Mengaktifkan autentikasi LDAP Active Directory Domain Services (AD DS) untuk volume NFS.

2. Konfigurasikan klien Linux secara manual: Jika Anda tidak menggunakan manajemen pengguna pusat untuk klien Linux, Anda dapat mengonfigurasi klien Linux secara manual agar sesuai dengan domain autentikasi default Azure NetApp Files untuk volume yang tidak diaktifkan LDAP.

Di bagian ini kita akan fokus pada cara mengonfigurasi klien Linux dan cara mengubah domain autentikasi Azure NetApp Files untuk semua volume yang diaktifkan non-LDAP.

Mengonfigurasi domain ID NFSv4.1 di Azure NetApp Files

Anda dapat menentukan domain ID NFSv4.1 yang diinginkan untuk semua volume non-LDAP menggunakan portal Azure. Pengaturan ini berlaku untuk semua volume non-LDAP di semua akun NetApp di langganan dan wilayah yang sama. Ini tidak memengaruhi volume yang diaktifkan LDAP di langganan dan wilayah NetApp yang sama.

Daftarkan fitur

Azure NetApp Files mendukung kemampuan untuk mengatur domain ID NFSv4.1 untuk semua volume non-LDAP dalam langganan menggunakan portal Azure. Fitur ini masih dalam mode pratinjau. Anda perlu mendaftarkan fitur sebelum menggunakannya untuk pertama kalinya. Setelah pendaftaran, fitur diaktifkan dan berfungsi di latar belakang.

1. Daftarkan fitur

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFNFSV4IDDomain
   

2. Periksa status pendaftaran fitur:

   Catatan

   RegistrationState mungkin berada dalan Registering status hingga 60 menit sebelum berubah menjadi Registered. Tunggu hingga statusnya Registered sebelum melanjutkan.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFNFSV4IDDomain
   

Anda juga dapat menggunakan perintahaz feature register Azure CLI dan az feature show untuk mendaftarkan fitur dan menampilkan status pendaftaran.

Langkah-langkah

1. Di bawah langganan Azure NetApp Files, pilih Domain ID NFSv4.1.

2. Pilih Konfigurasikan.

3. Untuk menggunakan domain defaultv4iddomain.comdefault , pilih kotak di samping Gunakan Domain ID NFSv4 Default. Untuk menggunakan domain lain, hapus centang pada kotak teks dan berikan nama domain ID NFSv4.1.

   

4. Pilih Simpan.

Mengonfigurasi domain ID NFSv4.1 di klien NFS

1. Edit file /etc/idmapd.conf pada klien NFS.
   Batalkan komentar baris #Domain (yaitu, hapus # dari baris), dan ubah nilai localdomain sebagai berikut:

   • Jika volume tidak diaktifkan untuk LDAP, gunakan domain defaultv4iddomain.com default dengan menentukan Domain = defaultv4iddomain.com, atau tentukan domain ID NFSv4.1 seperti yang dikonfigurasi di Azure NetApp Files.
   • Jika volume diaktifkan untuk LDAP, atur Domain ke domain yang dikonfigurasi di Koneksi ion Direktori Aktif di akun NetApp Anda. Misalnya, jika contoso.com adalah domain yang dikonfigurasi di akun NetApp, lalu atur Domain = contoso.com.

   Contoh berikut menunjukkan konfigurasi /etc/idmapd.conf awal sebelum perubahan:

   [General]
   Verbosity = O 
   Pipefs—Directory = /run/rpc_pipefs 
   # set your own domain here, if it differs from FQDN minus hostname 
   # Domain = localdomain 
   
   [Mapping] 
   Nobody-User = nobody 
   Nobody-Group = nogroup 
   

   Contoh berikut menunjukkan konfigurasi volume NFSv4.1 non-LDAP yang diperbarui untuk domain defaultv4iddomain.comdefault :

   [General]
   Verbosity = O 
   Pipefs—Directory = /run/rpc_pipefs 
   # set your own domain here, if it differs from FQDN minus hostname 
   Domain = defaultv4iddomain.com 
   
   [Mapping] 
   Nobody-User = nobody 
   Nobody-Group = nogroup 
   

   Contoh berikut menunjukkan konfigurasi volume NFSv4.1 dengan dukungan LDAP yang diperbarui. Dalam contoh ini, contoso.com adalah domain yang dikonfigurasi di akun NetApp:

   [General]
   Verbosity = O 
   Pipefs—Directory = /run/rpc_pipefs 
   # set your own domain here, if it differs from FQDN minus hostname 
   Domain = contoso.com
   
   [Mapping] 
   Nobody-User = nobody 
   Nobody-Group = nogroup 
   

2. Melepas volume NFS yang saat ini dipasang.

3. Perbarui file /etc/idmapd.conf.

4. Hapus keyring NFS idmapper (nfsidmap -c).

5. Pasang volume NFS sesuai kebutuhan.

   Lihat Memasang volume untuk VM Windows atau Linux.

Contoh berikut menunjukkan perubahan pengguna/grup yang dihasilkan:

Seperti yang ditunjukkan oleh contoh, pengguna/grup sekarang telah berubah dari nobody menjadi root.

Perilaku pengguna dan grup lain (nonroot)

Azure NetApp Files mendukung pengguna dan grup lokal (dibuat secara lokal pada klien NFS dan diwakili oleh ID pengguna dan grup) dan kepemilikan dan izin terkait yang terkait dengan file atau folder dalam volume NFSv4.1. Namun, layanan ini tidak secara otomatis diselesaikan untuk memetakan pengguna dan grup lokal di seluruh klien NFS. Pengguna dan grup yang dibuat pada satu host mungkin atau mungkin tidak ada di klien NFS lain (atau ada dengan ID pengguna dan grup yang berbeda), dan oleh karena itu tidak akan memetakan dengan benar seperti yang diuraikan dalam contoh di bawah ini.

Dalam contoh berikut, Host1 memiliki tiga akun pengguna (testuser01, testuser02, testuser03):

Pada Host2, tidak ada akun pengguna yang sesuai, tetapi volume yang sama dipasang pada kedua host:

Untuk mengatasi masalah ini, buat akun yang hilang di klien NFS atau konfigurasikan klien NFS Anda untuk menggunakan server LDAP yang digunakan Azure NetApp Files untuk identitas UNIX yang dikelola secara terpusat.

Langkah berikutnya

• Memasang volume untuk VM Windows atau Linux
• Mengonfigurasi AD DS LDAP dengan grup yang diperluas untuk akses volume NFS