Memahami keanggotaan grup NFS dan grup tambahan

  • Artikel

Anda dapat menggunakan LDAP untuk mengontrol keanggotaan grup dan mengembalikan grup tambahan untuk pengguna NFS. Perilaku ini dikontrol melalui atribut skema di server LDAP.

GID Utama

Agar Azure NetApp Files dapat mengautentikasi pengguna dengan benar, pengguna LDAP harus selalu memiliki GID utama yang ditentukan. GID utama pengguna ditentukan oleh skema gidNumber di server LDAP.

GID sekunder, tambahan, dan tambahan

Grup sekunder, tambahan, dan tambahan adalah grup yang merupakan anggota pengguna di luar GID utama mereka. Di Azure NetApp Files, LDAP diimplementasikan menggunakan Microsoft Active Directory dan grup tambahan dikontrol menggunakan logika keanggotaan grup Windows standar.

Saat pengguna ditambahkan ke grup Windows, atribut Member skema LDAP diisi pada grup dengan nama khusus (DN) pengguna yang merupakan anggota grup tersebut. Saat keanggotaan grup pengguna dikueri oleh Azure NetApp Files, pencarian LDAP dilakukan untuk DN pengguna pada atribut semua grup Member . Semua grup dengan UNIX gidNumber dan DN pengguna dikembalikan dalam pencarian dan diisi sebagai keanggotaan grup tambahan pengguna.

Contoh berikut menunjukkan output dari Direktori Aktif dengan DN pengguna yang diisi di Member bidang grup dan pencarian LDAP berikutnya yang dilakukan menggunakan ldp.exe.

Contoh berikut menunjukkan bidang anggota grup Windows:

Screenshot that shows the Windows group member field.

Contoh berikut menunjukkan LDAPsearch semua grup di mana User1 adalah anggota:

Screenshot that shows the search of a user named `User1`.

Anda juga dapat mengkueri keanggotaan grup untuk pengguna di Azure NetApp Files dengan memilih tautan Daftar ID Grup LDAP di bawah Dukungan + pemecahan masalah pada menu volume.

Screenshot that shows the query of group memberships by using the **LDAP Group ID List** link.

Batas grup dalam NFS

Panggilan Prosedur Jarak Jauh (RPC) di NFS memiliki batasan khusus untuk jumlah maksimum GID tambahan yang dapat dihormati dalam satu permintaan NFS. Maksimum untuk AUTH_SYS/AUTH_UNIX adalah 16, dan untuk AUTH_GSS (Kerberos), adalah 32. Batasan protokol ini memengaruhi semua server NFS - bukan hanya Azure NetApp Files. Namun, banyak server dan klien NFS modern mencakup cara untuk mengatasi batasan ini.

Untuk mengatasi batasan NFS ini di Azure NetApp Files, lihat Mengaktifkan autentikasi LDAP Active Directory Domain Services (AD DS) untuk volume NFS.

Cara kerja memperluas batasan grup

Opsi untuk memperluas batasan grup berfungsi dengan cara yang manage-gids sama seperti opsi untuk server NFS lainnya berfungsi. Pada dasarnya, daripada mencadangkan seluruh daftar GID tambahan yang dimiliki pengguna, opsi melakukan pencarian untuk GID pada file atau folder dan mengembalikan nilai tersebut sebagai gantinya.

Contoh berikut menunjukkan paket RPC dengan 16 GID.

Screenshot that shows RPC packet with 16 GIDs.

GID apa pun yang melewati batas 16 dihilangkan oleh protokol. Dengan grup yang diperluas di Azure NetApp Files, ketika permintaan NFS baru masuk, informasi tentang keanggotaan grup pengguna diminta.

Pertimbangan untuk GID yang diperluas dengan Active Directory LDAP

Secara default, di server LDAP Microsoft Active Directory, MaxPageSize atribut diatur ke default 1.000. Pengaturan itu berarti bahwa grup di luar 1.000 akan dipotong dalam kueri LDAP. Untuk mengaktifkan dukungan penuh dengan nilai 1.024 untuk grup yang diperluas, MaxPageSize atribut harus dimodifikasi untuk mencerminkan nilai 1.024. Untuk informasi tentang cara mengubah nilai tersebut, lihat artikel Microsoft TechNet Cara Melihat dan Mengatur Kebijakan LDAP di Direktori Aktif dengan Menggunakan Ntdsutil.exe dan artikel pustaka TechNet MaxPageSize Diatur Terlalu Tinggi.

Langkah berikutnya