Mengonfigurasi domain ID NFSv4.1 untuk Azure NetApp Files
NFSv4 memperkenalkan konsep domain autentikasi ID. Azure NetApp Files menggunakan nilai defaultv4iddomain.com
entri sebagai domain autentikasi, dan klien NFS menggunakan konfigurasi mereka sendiri untuk mengautentikasi pengguna yang ingin mengakses file pada volume tersebut. Secara default, klien NFS akan menggunakan nama domain DNS sebagai domain ID NFSv4. Anda dapat mengambil alih pengaturan ini dengan menggunakan file konfigurasi NFSv4 bernama idmapd.conf
.
Jika pengaturan domain autentikasi pada klien NFS dan Azure NetApp Files tidak cocok, akses file dapat ditolak karena pemetaan pengguna dan grup NFSv4 mungkin gagal. Ketika hal ini terjadi, pengguna dan grup yang tidak cocok dengan benar akan menggagalkan pengguna dan grup yang dikonfigurasi dalam idmapd.conf
file (umumnya, tidak ada:99) dan peristiwa akan masuk ke klien.
Artikel ini menjelaskan perilaku default pemetaan pengguna/grup dan cara mengonfigurasi klien NFS yang benar untuk mengautentikasi dengan benar dan mengizinkan akses.
Perilaku default pemetaan pengguna/grup
Pemetaan pengguna root dapat menggambarkan apa yang terjadi jika ada ketidakcocokan antara Klien Azure NetApp Files dan NFS. Proses penginstalan aplikasi sering memerlukan penggunaan pengguna root. Azure NetApp Files dapat dikonfigurasi untuk mengizinkan akses untuk root
.
Dalam contoh daftar direktori berikut, pengguna root
memasang volume pada klien Linux yang menggunakan konfigurasi localdomain
defaultnya untuk domain autentikasi ID, yang berbeda dari konfigurasi default Azure NetApp Files.defaultv4iddomain.com
Dalam daftar file di direktori, file1
ditampilkan sebagai dipetakan ke nobody
, kapan file harus dimiliki oleh pengguna root.
Ada dua cara untuk menyesuaikan domain autentikasi di kedua sisi: Azure NetApp Files sebagai server NFS dan Linux sebagai klien NFS:
Manajemen pengguna pusat: Jika Anda sudah menggunakan manajemen pengguna pusat seperti Active Directory Domain Services (AD DS), Anda dapat mengonfigurasi klien Linux mereka untuk menggunakan LDAP dan mengatur domain yang dikonfigurasi di AD DS sebagai domain autentikasi. Di sisi server, Anda harus mengaktifkan layanan domain AD untuk Azure NetApp Files dan membuat volume yang didukung LDAP. Volume yang diaktifkan LDAP secara otomatis menggunakan domain yang dikonfigurasi di AD DS sebagai domain autentikasi mereka.
Untuk informasi selengkapnya tentang proses ini, lihat Mengaktifkan autentikasi LDAP Active Directory Domain Services (AD DS) untuk volume NFS.
Konfigurasikan klien Linux secara manual: Jika Anda tidak menggunakan manajemen pengguna pusat untuk klien Linux, Anda dapat mengonfigurasi klien Linux secara manual agar sesuai dengan domain autentikasi default Azure NetApp Files untuk volume yang tidak diaktifkan LDAP.
Di bagian ini kita akan fokus pada cara mengonfigurasi klien Linux dan cara mengubah domain autentikasi Azure NetApp Files untuk semua volume yang diaktifkan non-LDAP.
Mengonfigurasi domain ID NFSv4.1 di Azure NetApp Files
Anda dapat menentukan domain ID NFSv4.1 yang diinginkan untuk semua volume non-LDAP menggunakan portal Azure. Pengaturan ini berlaku untuk semua volume non-LDAP di semua akun NetApp di langganan dan wilayah yang sama. Ini tidak memengaruhi volume yang diaktifkan LDAP di langganan dan wilayah NetApp yang sama.
Daftarkan fitur
Azure NetApp Files mendukung kemampuan untuk mengatur domain ID NFSv4.1 untuk semua volume non-LDAP dalam langganan menggunakan portal Azure. Fitur ini masih dalam mode pratinjau. Anda perlu mendaftarkan fitur sebelum menggunakannya untuk pertama kalinya. Setelah pendaftaran, fitur diaktifkan dan berfungsi di latar belakang.
Daftarkan fitur
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFNFSV4IDDomain
Periksa status pendaftaran fitur:
Catatan
RegistrationState mungkin berada dalan
Registering
status hingga 60 menit sebelum berubah menjadiRegistered
. Tunggu hingga statusnyaRegistered
sebelum melanjutkan.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFNFSV4IDDomain
Anda juga dapat menggunakan perintahaz feature register
Azure CLI dan az feature show
untuk mendaftarkan fitur dan menampilkan status pendaftaran.
Langkah-langkah
Di bawah langganan Azure NetApp Files, pilih Domain ID NFSv4.1.
Pilih Konfigurasikan.
Untuk menggunakan domain
defaultv4iddomain.com
default , pilih kotak di samping Gunakan Domain ID NFSv4 Default. Untuk menggunakan domain lain, hapus centang pada kotak teks dan berikan nama domain ID NFSv4.1.Pilih Simpan.
Mengonfigurasi domain ID NFSv4.1 di klien NFS
Edit file
/etc/idmapd.conf
pada klien NFS.
Batalkan komentar baris#Domain
(yaitu, hapus#
dari baris), dan ubah nilailocaldomain
sebagai berikut:- Jika volume tidak diaktifkan untuk LDAP, gunakan domain
defaultv4iddomain.com
default dengan menentukanDomain = defaultv4iddomain.com
, atau tentukan domain ID NFSv4.1 seperti yang dikonfigurasi di Azure NetApp Files. - Jika volume diaktifkan untuk LDAP, atur
Domain
ke domain yang dikonfigurasi di Koneksi ion Direktori Aktif di akun NetApp Anda. Misalnya, jikacontoso.com
adalah domain yang dikonfigurasi di akun NetApp, lalu aturDomain = contoso.com
.
Contoh berikut menunjukkan konfigurasi
/etc/idmapd.conf
awal sebelum perubahan:[General] Verbosity = O Pipefs—Directory = /run/rpc_pipefs # set your own domain here, if it differs from FQDN minus hostname # Domain = localdomain [Mapping] Nobody-User = nobody Nobody-Group = nogroup
Contoh berikut menunjukkan konfigurasi volume NFSv4.1 non-LDAP yang diperbarui untuk domain
defaultv4iddomain.com
default :[General] Verbosity = O Pipefs—Directory = /run/rpc_pipefs # set your own domain here, if it differs from FQDN minus hostname Domain = defaultv4iddomain.com [Mapping] Nobody-User = nobody Nobody-Group = nogroup
Contoh berikut menunjukkan konfigurasi volume NFSv4.1 dengan dukungan LDAP yang diperbarui. Dalam contoh ini,
contoso.com
adalah domain yang dikonfigurasi di akun NetApp:[General] Verbosity = O Pipefs—Directory = /run/rpc_pipefs # set your own domain here, if it differs from FQDN minus hostname Domain = contoso.com [Mapping] Nobody-User = nobody Nobody-Group = nogroup
- Jika volume tidak diaktifkan untuk LDAP, gunakan domain
Melepas volume NFS yang saat ini dipasang.
Perbarui file
/etc/idmapd.conf
.Hapus keyring NFS
idmapper
(nfsidmap -c
).Pasang volume NFS sesuai kebutuhan.
Lihat Memasang volume untuk VM Windows atau Linux.
Contoh berikut menunjukkan perubahan pengguna/grup yang dihasilkan:
Seperti yang ditunjukkan oleh contoh, pengguna/grup sekarang telah berubah dari nobody
menjadi root
.
Perilaku pengguna dan grup lain (nonroot)
Azure NetApp Files mendukung pengguna dan grup lokal (dibuat secara lokal pada klien NFS dan diwakili oleh ID pengguna dan grup) dan kepemilikan dan izin terkait yang terkait dengan file atau folder dalam volume NFSv4.1. Namun, layanan ini tidak secara otomatis diselesaikan untuk memetakan pengguna dan grup lokal di seluruh klien NFS. Pengguna dan grup yang dibuat pada satu host mungkin atau mungkin tidak ada di klien NFS lain (atau ada dengan ID pengguna dan grup yang berbeda), dan oleh karena itu tidak akan memetakan dengan benar seperti yang diuraikan dalam contoh di bawah ini.
Dalam contoh berikut, Host1
memiliki tiga akun pengguna (testuser01
, testuser02
, testuser03
):
Pada Host2
, tidak ada akun pengguna yang sesuai, tetapi volume yang sama dipasang pada kedua host:
Untuk mengatasi masalah ini, buat akun yang hilang di klien NFS atau konfigurasikan klien NFS Anda untuk menggunakan server LDAP yang digunakan Azure NetApp Files untuk identitas UNIX yang dikelola secara terpusat.