Konfigurowanie usług katalogowych LDAP dla woluminów NFS usługi Azure NetApp Files (wersja zapoznawcza)

Oprócz natywnej obsługi usługi Active Directory usługa Azure NetApp Files obsługuje natywną integrację z usługami katalogowymi, w tym FreeIPA, OpenLDAP i Red Hat Directory Server na potrzeby serwerów katalogów LDAP (Lightweight Directory Access Protocol). Dzięki natywnej obsłudze serwera katalogów LDAP można uzyskać bezpieczną i skalowalną kontrolę dostępu opartą na tożsamościach dla woluminów NFS w środowiskach systemu Linux.

Integracja LDAP usługi Azure NetApp Files upraszcza zarządzanie dostępem do udziałów plików poprzez wykorzystanie zaufanych usług katalogowych. Obsługuje on protokoły NFSv3 i NFSv4.1 i używa odnajdywania opartego na rekordach SRV DNS w celu zapewnienia wysokiej dostępności i równoważenia obciążenia na serwerach LDAP. Z perspektywy biznesowej ta funkcja ulepsza:

• Zgodność: Scentralizowane zarządzanie tożsamościami obsługuje inspekcję i wymuszanie zasad
• Wydajność: zmniejsza nakład pracy administracyjnej przez ujednolicenie kontrolek tożsamości w systemach Linux i NTFS
• Zabezpieczenia: obsługuje protokół LDAP za pośrednictwem protokołu TLS, mapowanie nazw symetrycznych/asymetrycznych i rozszerzone członkostwo w grupach
• Bezproblemowa integracja: działa z istniejącą infrastrukturą LDAP
• Skalowalność: obsługuje duże katalogi użytkowników i grup
• Elastyczność: zgodność z wieloma implementacjami LDAP

Obsługiwane usługi katalogowe

• FreeIPA: idealne rozwiązanie do bezpiecznego, scentralizowanego zarządzania tożsamościami w środowiskach systemu Linux
• OpenLDAP: uproszczona i elastyczna usługa katalogowa dla wdrożeń niestandardowych
• Serwer katalogów Red Hat: usługa LDAP klasy korporacyjnej z zaawansowaną skalowalnością i funkcjami zabezpieczeń

Ważne

Aby skonfigurować protokół LDAP z usługą Active Directory, zobacz Konfigurowanie LDAP w AD DS z rozszerzonymi grupami dla dostępu do woluminu NFS.

Architecture

Na poniższym diagramie przedstawiono sposób, w jaki usługa Azure NetApp Files używa operacji powiązania LDAP/wyszukiwania w celu uwierzytelniania użytkowników i wymuszania kontroli dostępu na podstawie informacji o katalogu.

Architektura obejmuje następujące składniki:

• Klient maszyny wirtualnej z systemem Linux: inicjuje żądanie instalacji systemu plików NFS do usługi Azure NetApp Files
• Wolumin usługi Azure NetApp Files: odbiera żądanie instalacji i wykonuje zapytania LDAP
• Serwer katalogu LDAP: odpowiada na żądania powiązania/wyszukiwania przy użyciu informacji o użytkowniku i grupie
• Logika kontroli dostępu: wymusza decyzje dostępu na podstawie odpowiedzi LDAP

Przepływ danych

1. Żądanie instalacji: maszyna wirtualna z systemem Linux wysyła żądanie instalacji NFSv3 lub NFSv4.1 do usługi Azure NetApp Files.
2. Powiązanie LDAP/wyszukiwanie: usługa Azure NetApp Files wysyła żądanie powiązania/wyszukiwania do serwera LDAP (FreeIPA, OpenLDAP lub RHDS) przy użyciu identyfikatora UID/GID.
3. Odpowiedź LDAP: serwer katalogu zwraca atrybuty użytkownika i grupy.
4. Decyzja dotycząca kontroli dostępu: usługa Azure NetApp Files ocenia odpowiedź i udziela lub odmawia dostępu.
5. Dostęp klienta: decyzja jest przekazywana z powrotem do klienta.

Przypadki użycia

Każda usługa katalogowa odwołuje się do różnych przypadków użycia w usłudze Azure NetApp Files.

FreeIPA

• Hybrydowe środowiska systemu Linux: idealne dla przedsiębiorstw korzystających z rozwiązania FreeIPA do scentralizowanego zarządzania tożsamościami w systemach Linux we wdrożeniach chmury hybrydowej.
• Obciążenia HPC i analizy: obsługuje bezpieczne uwierzytelnianie dla klastrów obliczeniowych o wysokiej wydajności i platform analitycznych korzystających z usługi FreeIPA.
• Integracja protokołu Kerberos: umożliwia środowiska wymagające uwierzytelniania opartego na protokole Kerberos dla obciążeń systemu plików NFS bez usługi Active Directory.

OpenLDAP

• Obsługa starszych aplikacji: idealne rozwiązanie dla organizacji korzystających ze starszych lub niestandardowych aplikacji, które są zależne od openLDAP dla usług tożsamości.
• Zarządzanie tożsamościami na wielu platformach: zapewnia lekkie, oparte na standardach rozwiązanie do zarządzania dostępem w obciążeniach systemów Linux, UNIX i konteneryzowanych.
• Wdrożenia zoptymalizowane pod kątem kosztów: odpowiednie dla firm poszukujących rozwiązania typu open source, elastycznego katalogu bez obciążenia związanego z usługą Active Directory.

Serwer katalogów Red Hat

• Zabezpieczenia i zgodność klasy korporacyjnej: zaprojektowane dla organizacji, które wymagają wzmocnionych, obsługiwanych przez przedsiębiorstwa usług LDAP z silnymi mechanizmami kontroli zabezpieczeń.
• Branże regulowane: Idealne rozwiązanie dla sektorów finansowych, opieki zdrowotnej i instytucji rządowych, w których pomoc techniczna dotycząca zgodności i dostawców ma kluczowe znaczenie.
• Integracja z ekosystemem Red Hat: bezproblemowo pasuje do środowisk korzystających z systemu Red Hat Enterprise Linux i powiązanych rozwiązań.

Rozważania

• FreeIPA, OpenLDAP i Red Hat Directory Server są obsługiwane z woluminami NFSv3 i NFSv4.1; nie są obecnie obsługiwane w przypadku woluminów z dwoma protokołami.
• Te usługi katalogowe nie są obecnie obsługiwane w przypadku dużych woluminów.
• Przed utworzeniem woluminu należy skonfigurować serwer LDAP.
• Serwer katalogów FreeIPA, OpenLDAP lub Red Hat można skonfigurować tylko na nowych woluminach NFS. Nie można przekonwertować istniejących woluminów w celu korzystania z tych usług katalogowych.
• Protokół Kerberos nie jest obecnie obsługiwany w przypadku serwera Katalogów FreeIPA, OpenLDAP ani Red Hat.

Rejestrowanie funkcji

Obsługa freeIPA, OpenLDAP i Red Hat Directory Server jest obecnie dostępna w wersji zapoznawczej. Przed połączeniem woluminów NFS z jednym z tych serwerów katalogów należy zarejestrować tę funkcję:

1. Zarejestruj funkcję:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

2. Sprawdź stan rejestracji funkcji:

   Uwaga / Notatka

   Stan RegistrationState może pozostać w stanie Registering przez maksymalnie 60 minut, zanim zmieni się na Registered. Poczekaj, aż status będzie Registered, zanim kontynuujesz.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

Możesz również użyć poleceń Azure CLIaz feature register do zarejestrowania funkcji oraz az feature show wyświetlenia stanu rejestracji.

Tworzenie serwera LDAP

Przed nawiązaniem połączenia z usługą Azure NetApp Files należy najpierw utworzyć serwer LDAP. Postępuj zgodnie z instrukcjami dotyczącymi odpowiedniego serwera:

• Aby skonfigurować aplikację FreeIPA, zapoznaj się z przewodnikiem Szybki start FreeIPA , a następnie postępuj zgodnie ze wskazówkami firmy Red Hat.
• Aby zapoznać się z tematem OpenLDAP, zobacz dokumentację openLDAP.
• W przypadku serwera katalogów Red Hat postępuj zgodnie z dokumentacją oprogramowania Red Hat. Aby uzyskać więcej informacji, zobacz przewodnik instalacji dla serwera katalogowego 389.

Konfigurowanie połączenia LDAP w usłudze Azure NetApp Files

1. W portalu Azure przejdź do sekcji Połączenia LDAP w Azure NetApp Files.

2. Utwórz nowe połączenie LDAP.

3. W nowym menu podaj następujące informacje:

   • Domena: Nazwa domeny służy jako podstawowy DN.

   • Serwery LDAP: Adres IP serwera LDAP.

   • Ldap przez protokół TLS: Opcjonalnie zaznacz pole wyboru, aby włączyć protokół LDAP za pośrednictwem protokołu TLS na potrzeby bezpiecznej komunikacji. Aby uzyskać więcej informacji, zobacz Konfigurowanie protokołu LDAP za pośrednictwem protokołu TLS.

     Uwaga / Notatka

     Aby włączyć protokół LDAP za pośrednictwem protokołu TLS na wielu serwerach, należy wygenerować i zainstalować wspólny certyfikat na każdym serwerze, a następnie przekazać certyfikat urzędu certyfikacji serwera w witrynie Azure Portal.

   • Certyfikat CA serwera: Certyfikat urzędu certyfikacji. Ta opcja jest wymagana, jeśli używasz protokołu LDAP za pośrednictwem protokołu TLS.

   • Host CN certyfikatu: Wspólna nazwa hosta certyfikatu, na przykład contoso.server.com.

   

4. Wybierz Zapisz.

5. Po skonfigurowaniu połączenia LDAP można utworzyć wolumin NFS.

Weryfikowanie połączenia LDAP

1. Aby zweryfikować połączenie, przejdź do przeglądu woluminu dla woluminu przy użyciu połączenia LDAP.
2. Wybierz pozycję Połączenie LDAP , a następnie pozycję Lista identyfikatorów grupy LDAP.
3. W polu Nazwa użytkownika wprowadź nazwę użytkownika podaną podczas konfigurowania serwera LDAP. Wybierz pozycję Pobierz identyfikatory grup. Upewnij się, że identyfikatory grup są zgodne z klientem i serwerem.

Dalsze kroki

• Omówienie protokołu LDAP
• Omówienie mapowania nazw przy użyciu protokołu LDAP
• Omówienie zezwalania lokalnym użytkownikom systemu plików NFS z opcją LDAP
• Omówienie schematów LDAP
• Tworzenie woluminu NFS