Informazioni sulle appartenenze ai gruppi NFS e sui gruppi supplementari

Articolo
02/02/2024

È possibile usare LDAP per controllare l'appartenenza ai gruppi e restituire gruppi supplementari per gli utenti NFS. Questo comportamento viene controllato tramite gli attributi dello schema nel server LDAP.

GID primario

Affinché Azure NetApp Files sia in grado di autenticare correttamente un utente, gli utenti LDAP devono avere sempre un GID primario definito. Il GID primario dell'utente è definito dallo schema gidNumber nel server LDAP.

GID secondari, supplementari e ausiliari

I gruppi secondari, supplementari e ausiliari sono gruppi di cui un utente è membro al di fuori del relativo GID primario. In Azure NetApp Files, LDAP viene implementato usando Microsoft Active Directory e i gruppi supplementari vengono controllati usando la logica standard di appartenenza ai gruppi di Windows.

Quando un utente viene aggiunto a un gruppo di Windows, l'attributo Member dello schema LDAP viene popolato nel gruppo con il nome distinto (DN) dell'utente membro di tale gruppo. Quando viene eseguita una query sull'appartenenza a un gruppo di un utente da Azure NetApp Files, viene eseguita una ricerca LDAP per il DN dell'utente sull'attributo di Member tutti i gruppi. Tutti i gruppi con un DN UNIX gidNumber e l'utente vengono restituiti nella ricerca e popolati come appartenenze a gruppi supplementari dell'utente.

L'esempio seguente mostra l'output di Active Directory con il DN di un utente popolato nel Member campo di un gruppo e una ricerca LDAP successiva eseguita usando ldp.exe.

L'esempio seguente mostra il campo membro del gruppo di Windows:

L'esempio seguente mostra LDAPsearch tutti i gruppi in cui User1 è un membro:

È anche possibile eseguire query sulle appartenenze ai gruppi per un utente in Azure NetApp Files selezionando il collegamento Elenco ID gruppo LDAP in Supporto e risoluzione dei problemi nel menu del volume.

Limiti dei gruppi in NFS

Remote Procedure Call (RPC) in NFS presenta una limitazione specifica per il numero massimo di GID ausiliari che possono essere rispettati in una singola richiesta NFS. Il valore massimo per AUTH_SYS/AUTH_UNIX è 16 e per AUTH_GSS (Kerberos) è 32. Questa limitazione del protocollo interessa tutti i server NFS, non solo Azure NetApp Files. Tuttavia, molti server e client NFS moderni includono modi per aggirare queste limitazioni.

Per ovviare a questa limitazione NFS in Azure NetApp Files, vedere Abilitare l'autenticazione LDAP di Dominio di Active Directory Services (AD DS) per i volumi NFS.

Funzionamento dell'estensione della limitazione del gruppo

Le opzioni per estendere la limitazione del gruppo funzionano allo stesso modo in cui funziona l'opzione manage-gids per altri server NFS. In pratica, anziché eseguire il dump dell'intero elenco di GID ausiliari a cui appartiene un utente, l'opzione esegue una ricerca per il GID nel file o nella cartella e restituisce invece tale valore.

L'esempio seguente mostra il pacchetto RPC con 16 GID.

Qualsiasi GID oltre il limite di 16 viene eliminato dal protocollo. Con i gruppi estesi in Azure NetApp Files, quando arriva una nuova richiesta NFS, vengono richieste informazioni sull'appartenenza al gruppo dell'utente.

Considerazioni per i GID estesi con Active Directory LDAP

Per impostazione predefinita, nei server LDAP di Microsoft Active Directory l'attributo MaxPageSize è impostato su un valore predefinito di 1.000. Questa impostazione indica che i gruppi oltre 1.000 verranno troncati nelle query LDAP. Per abilitare il supporto completo con il valore 1.024 per i gruppi estesi, l'attributo MaxPageSize deve essere modificato in modo da riflettere il valore 1.024. Per informazioni su come modificare tale valore, vedere l'articolo di Microsoft TechNet How to View and Set LDAP Policy in Active Directory by Using Ntdsutil.exe and the TechNet library article MaxPageSize Is Set Too High.

Condividi tramite