다음을 통해 공유


NFS 그룹 멤버 자격 및 추가 그룹 이해

LDAP를 사용하여 그룹 멤버 자격을 제어하고 NFS 사용자의 추가 그룹을 반환할 수 있습니다. 이 동작은 LDAP 서버의 스키마 특성을 통해 제어됩니다.

기본 GID

Azure NetApp Files에서 사용자를 제대로 인증하려면 LDAP 사용자의 기본 GID가 항상 정의되어 있어야 합니다. 사용자의 기본 GID는 LDAP 서버의 gidNumber 스키마로 정의됩니다.

보조, 추가, 보충 GID

보조, 추가, 보충 그룹은 사용자가 기본 GID 외부의 멤버인 그룹입니다. Azure NetApp Files에서 LDAP는 Microsoft Active Directory를 사용해 구현되고, 추가 그룹은 표준 Windows 그룹 멤버 자격 논리를 사용해 제어됩니다.

사용자가 Windows 그룹에 추가되면 Member LDAP 스키마 특성이 해당 그룹의 멤버인 사용자의 DN(고유 이름)으로 그룹에 채워집니다. Azure NetApp Files에서 사용자의 그룹 멤버 자격을 쿼리하면 모든 그룹의 Member 특성에서 사용자 DN에 대한 LDAP가 검색됩니다. UNIX gidNumber 및 사용자 DN이 있는 모든 그룹이 검색에서 반환되고 사용자의 추가 그룹 멤버 자격으로 채워집니다.

다음 예제는 그룹의 Member 필드에 사용자 DN이 채워진 Active Directory의 출력과 ldp.exe를 사용하여 수행된 후속 LDAP 검색을 보여 줍니다.

다음 예제는 Windows 그룹 멤버 필드를 보여 줍니다.

Screenshot that shows the Windows group member field.

다음 예제는 User1이 멤버인 모든 그룹의 LDAPsearch를 보여 줍니다.

Screenshot that shows the search of a user named `User1`.

볼륨 메뉴의 지원 + 문제 해결에서 LDAP 그룹 ID 목록 링크를 선택하여 Azure NetApp Files에서 사용자의 그룹 멤버 자격을 쿼리할 수도 있습니다.

Screenshot that shows the query of group memberships by using the **LDAP Group ID List** link.

NFS의 그룹 제한

NFS의 RPC(원격 프로시저 호출)에는 단일 NFS 요청에 적용할 수 있는 최대 보조 GID 개수에 대한 특정 제한 사항이 있습니다. AUTH_SYS/AUTH_UNIX의 최댓값은 16개이고 AUTH_GSS(Kerberos)의 최댓값은 32개입니다. 이 프로토콜 제한은 Azure NetApp Files뿐만 아니라 모든 NFS 서버에 영향을 줍니다. 그러나 많은 최신 NFS 서버와 클라이언트에는 이러한 제한 사항을 해결하는 방법이 포함되어 있습니다.

Azure NetApp Files에서 이 NFS 제한을 해결하려면 NFS 볼륨에 대한 AD DS(Active Directory Domain Services) LDAP 인증 사용을 참조하세요.

그룹 제한 확장의 작동 방식

그룹 제한을 확장하는 옵션은 다른 NFS 서버의 manage-gids 옵션이 작동하는 것과 동일한 방식으로 작동합니다. 기본적으로 이 옵션은 사용자가 속한 보조 GID의 전체 목록을 덤프하지 않고 파일 또는 폴더에서 GID를 조회하여 대신 그 값을 반환합니다.

다음 예제는 GID가 16개인 RPC 패킷을 보여 줍니다.

Screenshot that shows RPC packet with 16 GIDs.

16개의 제한을 초과한 모든 GID는 프로토콜에서 삭제됩니다. 확장된 Azure NetApp Files 그룹을 사용하면 새 NFS 요청이 들어올 때 사용자의 그룹 멤버 자격에 대한 정보가 요청됩니다.

Active Directory LDAP를 사용하는 확장된 GID에 대한 고려 사항

기본적으로 Microsoft Active Directory LDAP 서버에서 MaxPageSize 특성은 기본값인 1,000으로 설정됩니다. 이 설정은 1,000개가 넘는 그룹이 LDAP 쿼리에서 잘린다는 것을 의미합니다. 확장 그룹에 값 1,024를 사용하여 전부 지원하려면 값 1,024를 반영하도록 MaxPageSize 특성을 수정해야 합니다. 이 값을 변경하는 방법에 대한 자세한 내용은 Microsoft TechNet 문서 Ntdsutil.exe 사용하여 Active Directory에서 LDAP 정책을 보고 설정하는 방법 및 TechNet 라이브러리 문서 MaxPageSize가 너무 높게 설정됨을 참조하세요.

다음 단계