Memahami keanggotaan grup NFS dan grup tambahan
Anda dapat menggunakan LDAP untuk mengontrol keanggotaan grup dan mengembalikan grup tambahan untuk pengguna NFS. Perilaku ini dikontrol melalui atribut skema di server LDAP.
GID Utama
Agar Azure NetApp Files dapat mengautentikasi pengguna dengan benar, pengguna LDAP harus selalu memiliki GID utama yang ditentukan. GID utama pengguna ditentukan oleh skema gidNumber
di server LDAP.
GID sekunder, tambahan, dan tambahan
Grup sekunder, tambahan, dan tambahan adalah grup yang merupakan anggota pengguna di luar GID utama mereka. Di Azure NetApp Files, LDAP diimplementasikan menggunakan Microsoft Active Directory dan grup tambahan dikontrol menggunakan logika keanggotaan grup Windows standar.
Saat pengguna ditambahkan ke grup Windows, atribut Member
skema LDAP diisi pada grup dengan nama khusus (DN) pengguna yang merupakan anggota grup tersebut. Saat keanggotaan grup pengguna dikueri oleh Azure NetApp Files, pencarian LDAP dilakukan untuk DN pengguna pada atribut semua grup Member
. Semua grup dengan UNIX gidNumber
dan DN pengguna dikembalikan dalam pencarian dan diisi sebagai keanggotaan grup tambahan pengguna.
Contoh berikut menunjukkan output dari Direktori Aktif dengan DN pengguna yang diisi di Member
bidang grup dan pencarian LDAP berikutnya yang dilakukan menggunakan ldp.exe
.
Contoh berikut menunjukkan bidang anggota grup Windows:
Contoh berikut menunjukkan LDAPsearch
semua grup di mana User1
adalah anggota:
Anda juga dapat mengkueri keanggotaan grup untuk pengguna di Azure NetApp Files dengan memilih tautan Daftar ID Grup LDAP di bawah Dukungan + pemecahan masalah pada menu volume.
Batas grup dalam NFS
Panggilan Prosedur Jarak Jauh (RPC) di NFS memiliki batasan khusus untuk jumlah maksimum GID tambahan yang dapat dihormati dalam satu permintaan NFS. Maksimum untuk AUTH_SYS/AUTH_UNIX
adalah 16, dan untuk AUTH_GSS (Kerberos), adalah 32. Batasan protokol ini memengaruhi semua server NFS - bukan hanya Azure NetApp Files. Namun, banyak server dan klien NFS modern mencakup cara untuk mengatasi batasan ini.
Untuk mengatasi batasan NFS ini di Azure NetApp Files, lihat Mengaktifkan autentikasi LDAP Active Directory Domain Services (AD DS) untuk volume NFS.
Cara kerja memperluas batasan grup
Opsi untuk memperluas batasan grup berfungsi dengan cara yang manage-gids
sama seperti opsi untuk server NFS lainnya berfungsi. Pada dasarnya, daripada mencadangkan seluruh daftar GID tambahan yang dimiliki pengguna, opsi melakukan pencarian untuk GID pada file atau folder dan mengembalikan nilai tersebut sebagai gantinya.
Contoh berikut menunjukkan paket RPC dengan 16 GID.
GID apa pun yang melewati batas 16 dihilangkan oleh protokol. Dengan grup yang diperluas di Azure NetApp Files, ketika permintaan NFS baru masuk, informasi tentang keanggotaan grup pengguna diminta.
Pertimbangan untuk GID yang diperluas dengan Active Directory LDAP
Secara default, di server LDAP Microsoft Active Directory, MaxPageSize
atribut diatur ke default 1.000. Pengaturan itu berarti bahwa grup di luar 1.000 akan dipotong dalam kueri LDAP. Untuk mengaktifkan dukungan penuh dengan nilai 1.024 untuk grup yang diperluas, MaxPageSize
atribut harus dimodifikasi untuk mencerminkan nilai 1.024. Untuk informasi tentang cara mengubah nilai tersebut, lihat artikel Microsoft TechNet Cara Melihat dan Mengatur Kebijakan LDAP di Direktori Aktif dengan Menggunakan Ntdsutil.exe dan artikel pustaka TechNet MaxPageSize Diatur Terlalu Tinggi.
Langkah berikutnya
- Mengaktifkan autentikasi LDAP Active Directory Domain Services (AD DS) untuk volume NFS
- Memahami jenis penguncian dan penguncian file di Azure NetApp Files
- Memahami gaya keamanan protokol ganda dan perilaku izin di Azure NetApp Files
- Memahami penggunaan LDAP dengan Azure NetApp Files
- Tanya Jawab Umum NFS Azure NetApp Files
- Mengaktifkan autentikasi LDAP Active Directory Domain Services (AD DS) untuk volume NFS