Konfigurowanie domeny identyfikatora NFSv4.1 dla usługi Azure NetApp Files

System plików NFSv4 wprowadza koncepcję domeny uwierzytelniania identyfikatora. Usługa Azure NetApp Files używa wartości defaultv4iddomain.com wpisu jako domeny uwierzytelniania, a klienci systemu plików NFS używają własnej konfiguracji do uwierzytelniania użytkowników, którzy chcą uzyskiwać dostęp do plików na tych woluminach. Domyślnie klienci systemu plików NFS będą używać nazwy domeny DNS jako domeny identyfikatora NFSv4. To ustawienie można zastąpić przy użyciu pliku konfiguracji NFSv4 o nazwie idmapd.conf.

Jeśli ustawienia domeny uwierzytelniania na kliencie NFS i usłudze Azure NetApp Files nie są zgodne, dostęp do plików może zostać odrzucony, ponieważ mapowanie użytkownika i grupy NFSv4 może zakończyć się niepowodzeniem. W takim przypadku użytkownicy i grupy, które nie pasują prawidłowo, zmiażdżą użytkownika i grupę skonfigurowaną w idmapd.conf pliku (zazwyczaj nikt:99), a zdarzenie zostanie zarejestrowane na kliencie.

W tym artykule opisano domyślne zachowanie mapowania użytkowników/grup oraz sposób konfigurowania klientów systemu plików NFS w celu poprawnego uwierzytelniania i zezwalania na dostęp. 

Domyślne zachowanie mapowania użytkowników/grup

Mapowanie użytkownika głównego może zilustrować, co się stanie w przypadku niezgodności między klientami usługi Azure NetApp Files i NFS. Proces instalacji aplikacji często wymaga użycia użytkownika głównego. Usługę Azure NetApp Files można skonfigurować tak, aby zezwolić na dostęp do usługi root.

W poniższym przykładzie z listą katalogów użytkownik root instaluje wolumin na kliencie systemu Linux, który używa jego domyślnej konfiguracji dla domeny uwierzytelniania identyfikatora, która różni się od domyślnej konfiguracji localdomain usługi Azure NetApp Files .defaultv4iddomain.com

Na liście plików w katalogu file1 jest wyświetlana jako mapowana na nobody, kiedy powinna być własnością użytkownika głównego.

Istnieją dwa sposoby dostosowywania domeny uwierzytelniania po obu stronach: Azure NetApp Files jako serwer NFS i Linux jako klienci NFS:

1. Centralne zarządzanie użytkownikami: jeśli już używasz centralnego zarządzania użytkownikami, takiego jak usługi domena usługi Active Directory (AD DS), możesz skonfigurować swoich klientów z systemem Linux do używania protokołu LDAP i ustawić domenę skonfigurowaną w usługach AD DS jako domenę uwierzytelniania. Po stronie serwera należy włączyć usługę domenową AD dla usługi Azure NetApp Files i utworzyć woluminy z obsługą protokołu LDAP. Woluminy z obsługą protokołu LDAP automatycznie używają domeny skonfigurowanej w usługach AD DS jako domeny uwierzytelniania.

   Aby uzyskać więcej informacji na temat tego procesu, zobacz Włączanie uwierzytelniania LDAP usług domena usługi Active Directory Services (AD DS) dla woluminów NFS.

2. Ręcznie skonfiguruj klienta systemu Linux: jeśli nie używasz centralnego zarządzania użytkownikami dla klientów z systemem Linux, możesz ręcznie skonfigurować klientów systemu Linux tak, aby pasowali do domyślnej domeny uwierzytelniania usługi Azure NetApp Files dla woluminów bez obsługi protokołu LDAP.

W tej sekcji skoncentrujemy się na tym, jak skonfigurować klienta systemu Linux i jak zmienić domenę uwierzytelniania usługi Azure NetApp Files dla wszystkich woluminów bez obsługi protokołu LDAP.

Konfigurowanie domeny identyfikatora NFSv4.1 w usłudze Azure NetApp Files

W witrynie Azure Portal można określić żądaną domenę identyfikatora NFSv4.1 dla wszystkich woluminów innych niż LDAP. To ustawienie dotyczy wszystkich woluminów innych niż LDAP na wszystkich kontach usługi NetApp w tej samej subskrypcji i regionie. Nie ma to wpływu na woluminy z obsługą protokołu LDAP w tej samej subskrypcji i regionie usługi NetApp.

Rejestrowanie funkcji

Usługa Azure NetApp Files obsługuje możliwość ustawiania domeny identyfikatora NFSv4.1 dla wszystkich woluminów innych niż LDAP w subskrypcji przy użyciu witryny Azure Portal. Ta funkcja jest aktualnie dostępna jako funkcja podglądu. Musisz zarejestrować funkcję przed jej użyciem po raz pierwszy. Po rejestracji funkcja jest włączona i działa w tle.

1. Rejestrowanie funkcji

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFNFSV4IDDomain
   

2. Sprawdź stan rejestracji funkcji:

   Uwaga

   Stan RegistrationState może być w stanie do 60 minut przed zmianą Registering na Registered. Przed kontynuowaniem poczekaj, aż stan będzie Registered kontynuowany.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFNFSV4IDDomain
   

Możesz również użyć poleceń interfejsu wiersza polecenia platformy az feature register Azure i az feature show zarejestrować funkcję i wyświetlić stan rejestracji.

Kroki

1. W obszarze subskrypcji usługi Azure NetApp Files wybierz pozycję Domena identyfikatora NFSv4.1.

2. Wybierz Konfiguruj.

3. Aby użyć domeny defaultv4iddomain.comdomyślnej, wybierz pole obok pozycji Użyj domyślnej domeny identyfikatora NFSv4. Aby użyć innej domeny, usuń zaznaczenie pola tekstowego i podaj nazwę domeny identyfikatora NFSv4.1.

   

4. Wybierz pozycję Zapisz.

Konfigurowanie domeny identyfikatora NFSv4.1 na klientach NFS

1. /etc/idmapd.conf Edytuj plik na kliencie NFS.
   Usuń komentarz z wiersza #Domain (czyli usuń element # z wiersza) i zmień wartość localdomain w następujący sposób:

   • Jeśli wolumin nie jest włączony dla protokołu LDAP, użyj domeny defaultv4iddomain.com domyślnej, określając Domain = defaultv4iddomain.com, lub określ domenę identyfikatora NFSv4.1 zgodnie z konfiguracją w usłudze Azure NetApp Files.
   • Jeśli wolumin jest włączony dla protokołu LDAP, ustaw na Domain domenę skonfigurowaną w połączeniu usługi Active Directory na koncie usługi NetApp. Jeśli na przykład contoso.com jest skonfigurowana domena na koncie usługi NetApp, ustaw wartość Domain = contoso.com.

   W poniższych przykładach przedstawiono początkową konfigurację /etc/idmapd.conf przed zmianami:

   [General]
   Verbosity = O 
   Pipefs—Directory = /run/rpc_pipefs 
   # set your own domain here, if it differs from FQDN minus hostname 
   # Domain = localdomain 
   
   [Mapping] 
   Nobody-User = nobody 
   Nobody-Group = nogroup 
   

   W poniższym przykładzie pokazano zaktualizowaną konfigurację woluminów innych niż LDAP NFSv4.1 dla domeny defaultv4iddomain.comdomyślnej:

   [General]
   Verbosity = O 
   Pipefs—Directory = /run/rpc_pipefs 
   # set your own domain here, if it differs from FQDN minus hostname 
   Domain = defaultv4iddomain.com 
   
   [Mapping] 
   Nobody-User = nobody 
   Nobody-Group = nogroup 
   

   W poniższym przykładzie przedstawiono zaktualizowaną konfigurację woluminów NFSv4.1 z obsługą protokołu LDAP. W tym przykładzie contoso.com jest skonfigurowana domena na koncie usługi NetApp:

   [General]
   Verbosity = O 
   Pipefs—Directory = /run/rpc_pipefs 
   # set your own domain here, if it differs from FQDN minus hostname 
   Domain = contoso.com
   
   [Mapping] 
   Nobody-User = nobody 
   Nobody-Group = nogroup 
   

2. Odinstalowywanie wszystkich aktualnie zainstalowanych woluminów NFS.

3. /etc/idmapd.conf Zaktualizuj plik.

4. Wyczyść klucz NFS idmapper (nfsidmap -c).

5. Zainstaluj woluminy NFS zgodnie z potrzebami.

   Zobacz Instalowanie woluminu dla maszyn wirtualnych z systemem Windows lub Linux.

W poniższym przykładzie przedstawiono wynikowa zmiana użytkownika/grupy:

Jak pokazano w przykładzie, użytkownik/grupa zmienił się z nobody na root.

Zachowanie innych (niekorzystanych) użytkowników i grup

Usługa Azure NetApp Files obsługuje lokalnych użytkowników i grupy (utworzone lokalnie na kliencie NFS i reprezentowane przez identyfikatory użytkowników i grup) oraz odpowiednie prawa własności i uprawnień skojarzonych z plikami lub folderami w woluminach NFSv4.1. Jednak usługa nie rozwiązuje się automatycznie w przypadku mapowania lokalnych użytkowników i grup na klientach NFS. Użytkownicy i grupy utworzone na jednym hoście mogą lub nie istnieją na innym kliencie systemu plików NFS (lub istnieją z różnymi identyfikatorami użytkowników i grup), dlatego nie będą mapować poprawnie, jak opisano w poniższym przykładzie.

W poniższym przykładzie Host1 istnieją trzy konta użytkowników (testuser01, testuser02, testuser03):

W systemie Host2nie istnieją żadne odpowiednie konta użytkowników, ale ten sam wolumin jest zainstalowany na obu hostach:

Aby rozwiązać ten problem, utwórz brakujące konta na kliencie NFS lub skonfiguruj klientów NFS do korzystania z serwera LDAP używanego przez usługę Azure NetApp Files dla centralnie zarządzanych tożsamości systemu UNIX.

Następne kroki

• Instalowanie woluminu dla maszyn wirtualnych z systemem Windows lub Linux
• Konfigurowanie protokołu LDAP usług AD DS z grupami rozszerzonymi na potrzeby dostępu do woluminu NFS