Abilitare l'autenticazione LDAP di Dominio di Active Directory Services (AD DS) per i volumi NFS

Quando si crea un volume NFS, è possibile abilitare la funzionalità LDAP con gruppi estesi (opzione LDAP ) per il volume. Questa funzionalità consente agli utenti LDAP di Active Directory e ai gruppi estesi (fino a 1024 gruppi) di accedere a file e directory nel volume. È possibile usare ldap con la funzionalità gruppi estesi con volumi NFSv4.1 e NFSv3.

Nota

Per impostazione predefinita, nei server LDAP di Active Directory l'attributo MaxPageSize è impostato su un valore predefinito di 1.000. Questa impostazione indica che i gruppi oltre 1.000 vengono troncati nelle query LDAP. Per abilitare il supporto completo con il valore 1.024 per i gruppi estesi, l'attributo MaxPageSize deve essere modificato in modo da riflettere il valore 1.024. Per informazioni su come modificare tale valore, vedere Come visualizzare e impostare i criteri LDAP in Active Directory tramite Ntdsutil.exe.

Azure NetApp Files supporta il recupero di gruppi estesi dal servizio nome LDAP anziché dall'intestazione RPC. Azure NetApp Files interagisce con LDAP eseguendo query su attributi quali nomi utente, ID numerici, gruppi e appartenenze ai gruppi per le operazioni del protocollo NFS.

Quando viene determinato che LDAP verrà usato per operazioni quali la ricerca dei nomi e il recupero di gruppi estesi, si verifica il processo seguente:

1. Azure NetApp Files usa una configurazione client LDAP per tentare una connessione al server LDAP di Active Directory Domain Services o Microsoft Entra Domain Services specificato nella configurazione di Azure NetApp Files AD.
2. Se la connessione TCP tramite la porta del servizio LDAP di Servizi di dominio Active Directory o Microsoft Entra Domain Services ha esito positivo, il client LDAP di Azure NetApp Files tenta di "associare" (accedere) al server LDAP di Servizi di dominio Active Directory o Microsoft Entra Domain Services (controller di dominio) usando le credenziali definite nella configurazione del client LDAP.
3. Se l'associazione ha esito positivo, il client LDAP di Azure NetApp Files usa lo schema LDAP RFC 2307bis per eseguire una query di ricerca LDAP sul server LDAP di Active Directory Domain Services o sul server LDAP di Microsoft Entra Domain Services (controller di dominio). Le informazioni seguenti vengono passate al server nella query:
   • DN di base/utente (per restringere l'ambito di ricerca)
   • Tipo di ambito di ricerca (sottoalbero)
   • Classe oggetto (user, posixAccount per gli utenti e posixGroup per i gruppi)
   • UID o nome utente
   • Attributi richiesti (uid, uidNumber, gidNumber per gli utenti o gidNumber per i gruppi)
4. Se l'utente o il gruppo non viene trovato, la richiesta ha esito negativo e l'accesso viene negato.
5. Se la richiesta ha esito positivo, gli attributi utente e gruppo vengono memorizzati nella cache per un uso futuro. Questa operazione migliora le prestazioni delle query LDAP successive associate agli attributi utente o gruppo memorizzati nella cache. Riduce inoltre il carico sul server LDAP di Servizi di dominio Active Directory o Microsoft Entra Domain Services.

Considerazioni

• È possibile abilitare la funzionalità LDAP con gruppi estesi solo durante la creazione del volume. Questa funzionalità non può essere abilitata retroattivamente nei volumi esistenti.

• LDAP con gruppi estesi è supportato solo con Dominio di Active Directory Services (AD DS) o Microsoft Entra Domain Services. OpenLDAP o altri servizi directory LDAP di terze parti non sono supportati.

• Ldap su TLS non deve essere abilitato se si usa Microsoft Entra Domain Services.

• Non è possibile modificare l'impostazione dell'opzione LDAP (abilitata o disabilitata) dopo aver creato il volume.

• Nella tabella seguente vengono descritte le impostazioni TTL (Time to Live) per la cache LDAP. È necessario attendere che la cache venga aggiornata prima di tentare di accedere a un file o a una directory tramite un client. In caso contrario, nel client viene visualizzato un messaggio di accesso o autorizzazione negata.

  Cache	Default Timeout
  Elenco di appartenenze a gruppi	TTL di 24 ore
  Gruppi Unix	TTL di 24 ore, TTL negativo di 1 minuto
  Utenti Unix	TTL di 24 ore, TTL negativo di 1 minuto

  Le cache hanno un periodo di timeout specifico denominato Time to Live. Dopo il periodo di timeout, le voci escono in modo che le voci non aggiornate non si ritardino. Il valore TTL negativo è la posizione in cui si trova una ricerca non riuscita per evitare problemi di prestazioni dovuti a query LDAP per oggetti che potrebbero non esistere.

• L'opzione Consenti utenti NFS locali con LDAP nelle connessioni Active Directory prevede di fornire l'accesso occasionale e temporaneo agli utenti locali. Quando questa opzione è abilitata, l'autenticazione utente e la ricerca dal server LDAP smetteranno di funzionare e il numero di appartenenze a gruppi supportate da Azure NetApp Files sarà limitato a 16. Di conseguenza, è consigliabile mantenere questa opzione disabilitata nelle connessioni Active Directory, ad eccezione dell'occasione in cui un utente locale deve accedere ai volumi abilitati per LDAP. In tal caso, è consigliabile disabilitare questa opzione non appena l'accesso utente locale non è più necessario per il volume. Vedere Consentire agli utenti NFS locali con LDAP di accedere a un volume a doppio protocollo sulla gestione dell'accesso utente locale.

Passaggi

1. I volumi LDAP richiedono una configurazione di Active Directory per le impostazioni del server LDAP. Seguire le istruzioni riportate in Requisiti per le connessioni di Active Directory e Creare una connessione Active Directory per configurare le connessioni di Active Directory nel portale di Azure.

   Nota

   Assicurarsi di aver configurato le impostazioni di connessione di Active Directory. Un account computer verrà creato nell'unità organizzativa specificata nelle impostazioni di connessione di Active Directory. Le impostazioni vengono usate dal client LDAP per l'autenticazione con Active Directory.

2. Verificare che il server LDAP di Active Directory sia attivo e in esecuzione in Active Directory.

3. Gli utenti NFS LDAP devono avere determinati attributi POSIX nel server LDAP. Impostare gli attributi per gli utenti LDAP e i gruppi LDAP come indicato di seguito:

   • Attributi obbligatori per gli utenti LDAP:
     uid: Alice,
     uidNumber: 139,
     gidNumber: 555,
     objectClass: user, posixAccount
   • Attributi obbligatori per i gruppi LDAP:
     objectClass: group, posixGroup,
     gidNumber: 555

   I valori specificati per objectClass sono voci separate. Ad esempio, nell'editor di stringhe multivalore, objectClass i valori separati (user e posixAccount) specificati come indicato di seguito per gli utenti LDAP:

   Nota

   Se gli attributi POSIX non sono configurati correttamente, le operazioni di ricerca di utenti e gruppi potrebbero non riuscire e gli utenti potrebbero essere compressi quando accedono ai nobody volumi NFS.

   

   È possibile gestire gli attributi POSIX usando lo snap-in MMC Utenti e computer di Active Directory. Nell'esempio seguente viene illustrato l'editor di attributi di Active Directory. Per informazioni dettagliate, vedere Access Active Directory Attribute Editor .See Access Active Directory Attribute Editor for details.

   

4. Per configurare un client Linux integrato con LDAP NFSv4.1, vedere Configurare un client NFS per Azure NetApp Files.

5. Se i volumi abilitati per LDAP usano NFSv4.1, seguire le istruzioni in Configurare il dominio ID NFSv4.1 per configurare il /etc/idmapd.conf file.

   È necessario impostare Domain nel /etc/idmapd.conf dominio configurato nell'Connessione Active Directory nell'account NetApp. Ad esempio, se contoso.com è il dominio configurato nell'account NetApp, impostare Domain = contoso.com.

   È quindi necessario riavviare il servizio nell'host rpcbind o riavviare l'host.

6. Seguire la procedura descritta in Creare un volume NFS per Azure NetApp Files per creare un volume NFS. Durante il processo di creazione del volume, nella scheda Protocollo abilitare l'opzione LDAP .

   

7. Facoltativo: è possibile abilitare gli utenti client NFS locali non presenti nel server LDAP di Windows per accedere a un volume NFS con LDAP con gruppi estesi abilitati. A tale scopo, abilitare l'opzione Consenti utenti NFS locali con LDAP come indicato di seguito:

   1. Selezionare Connessioni Active Directory. In una connessione Active Directory esistente selezionare il menu di scelta rapida (i tre puntini …) e selezionare Modifica.
   2. Nella finestra Modifica impostazioni di Active Directory visualizzata selezionare l'opzione Consenti utenti NFS locali con LDAP .

   

8. Facoltativo: se si dispone di topologie di grandi dimensioni e si usa lo stile di sicurezza Unix con un volume a doppio protocollo o LDAP con gruppi estesi, è possibile usare l'opzione Ambito di ricerca LDAP per evitare errori di accesso negato nei client Linux per Azure NetApp Files.

   L'opzione Ambito di ricerca LDAP viene configurata tramite la pagina Connessione ions di Active Directory.

   Per risolvere gli utenti e il gruppo da un server LDAP per topologie di grandi dimensioni, impostare i valori delle opzioni DN utente, DN gruppo e filtro appartenenza gruppo nella pagina Connessione ions di Active Directory come indicato di seguito:

   • Specificare il DN utente annidato e il DN del gruppo nel formato OU=subdirectory,OU=directory,DC=domain,DC=com.
   • Specificare il filtro appartenenza al gruppo nel formato .(gidNumber=*)
   • Se un utente è membro di più di 256 gruppi, verranno elencati solo 256 gruppi.
   • Se si verificano errori, vedere gli errori relativi ai volumi LDAP.

   

Passaggi successivi

• Creare un volume NFS per Azure NetApp Files
• Creare e gestire connessioni di Active Directory
• Configurare il dominio NFSv4.1
• Configurare un client NFS per Azure NetApp Files
• Risolvere i problemi di volume di Azure NetApp Files
• Modificare le connessioni Active Directory per Azure NetApp Files
• Informazioni sulle appartenenze ai gruppi NFS e sui gruppi supplementari