Share via

Meer informatie over NFS-groepslidmaatschappen en aanvullende groepen

  • Artikel

U kunt LDAP gebruiken om groepslidmaatschap te beheren en aanvullende groepen te retourneren voor NFS-gebruikers. Dit gedrag wordt beheerd via schemakenmerken in de LDAP-server.

Primaire GID

Als u wilt dat Azure NetApp Files een gebruiker correct kan verifiëren, moeten LDAP-gebruikers altijd een primaire GID hebben gedefinieerd. De primaire GID van de gebruiker wordt gedefinieerd door het schema gidNumber op de LDAP-server.

Secundaire, aanvullende en hulp-GID's

Secundaire, aanvullende en hulpgroepen zijn groepen waarvan een gebruiker lid is buiten hun primaire GID. In Azure NetApp Files wordt LDAP geïmplementeerd met Behulp van Microsoft Active Directory en aanvullende groepen worden beheerd met behulp van standaardlogica voor Windows-groepslidmaatschappen.

Wanneer een gebruiker wordt toegevoegd aan een Windows-groep, wordt het LDAP-schemakenmerk Member ingevuld in de groep met de DN (DN) van de gebruiker die lid is van die groep. Wanneer een groepslidmaatschap van een gebruiker wordt opgevraagd door Azure NetApp Files, wordt een LDAP-zoekopdracht uitgevoerd voor de DN van de gebruiker op het kenmerk van Member alle groepen. Alle groepen met een UNIX gidNumber en de DN van de gebruiker worden geretourneerd in de zoekopdracht en ingevuld als de aanvullende groepslidmaatschappen van de gebruiker.

In het volgende voorbeeld ziet u de uitvoer van Active Directory met de DN van een gebruiker ingevuld in het Member veld van een groep en een volgende LDAP-zoekopdracht die is uitgevoerd met behulp van ldp.exe.

In het volgende voorbeeld ziet u het veld Lid van de Windows-groep:

Screenshot that shows the Windows group member field.

In het volgende voorbeeld ziet LDAPsearch u alle groepen waarvan User1 lid is:

Screenshot that shows the search of a user named `User1`.

U kunt ook een query uitvoeren op groepslidmaatschappen voor een gebruiker in Azure NetApp Files door de koppeling LDAP-groeps-id-lijst te selecteren onder Ondersteuning en probleemoplossing in het volumemenu.

Screenshot that shows the query of group memberships by using the **LDAP Group ID List** link.

Groepslimieten in NFS

Remote Procedure Call (RPC) in NFS heeft een specifieke beperking voor het maximum aantal hulp-GID's dat kan worden uitgevoerd in één NFS-aanvraag. Het maximum voor AUTH_SYS/AUTH_UNIX 16 en voor AUTH_GSS (Kerberos), is dit 32. Deze protocolbeperking is van invloed op alle NFS-servers, niet alleen azure NetApp Files. Veel moderne NFS-servers en -clients bevatten echter manieren om deze beperkingen te omzeilen.

Zie LDAP-verificatie van Active Directory-domein Services (AD DS) inschakelen voor NFS-volumes om deze NFS-beperking in Azure NetApp Files te omzeilen.

Hoe het uitbreiden van de groepsbeperking werkt

De opties voor het uitbreiden van de groepsbeperking werken op dezelfde manier als de manage-gids optie voor andere NFS-servers werkt. In plaats van de volledige lijst met hulp-GID's waartoe een gebruiker behoort te dumpen, voert de optie een zoekactie uit voor de GID in het bestand of de map en retourneert deze waarde in plaats daarvan.

In het volgende voorbeeld ziet u een RPC-pakket met 16 GID's.

Screenshot that shows RPC packet with 16 GIDs.

Elke GID voorbij de limiet van 16 wordt verwijderd door het protocol. Bij uitgebreide groepen in Azure NetApp Files wordt informatie over het groepslidmaatschap van de gebruiker aangevraagd wanneer er een nieuwe NFS-aanvraag binnenkomt.

Overwegingen voor uitgebreide GID's met Active Directory LDAP

Standaard wordt het MaxPageSize kenmerk in Microsoft Active Directory LDAP-servers ingesteld op een standaardwaarde van 1000. Deze instelling betekent dat groepen buiten 1000 worden afgekapt in LDAP-query's. Als u volledige ondersteuning wilt inschakelen met de waarde 1024 voor uitgebreide groepen, moet het MaxPageSize kenmerk worden gewijzigd om de 1024-waarde weer te geven. Zie het Microsoft TechNet-artikel Over het weergeven en instellen van LDAP-beleid in Active Directory met behulp van Ntdsutil.exe en het TechNet-bibliotheekartikel MaxPageSize is te hoog voor informatie over het wijzigen van die waarde.

Volgende stappen