Omówienie członkostwa w grupach systemu plików NFS i grup uzupełniających

  • Artykuł

Za pomocą protokołu LDAP można kontrolować członkostwo w grupach i zwracać grupy uzupełniające dla użytkowników systemu plików NFS. To zachowanie jest kontrolowane za pomocą atrybutów schematu na serwerze LDAP.

Podstawowy identyfikator GID

Aby usługa Azure NetApp Files mogła prawidłowo uwierzytelnić użytkownika, użytkownicy LDAP muszą zawsze mieć zdefiniowany podstawowy identyfikator GID. Podstawowy identyfikator GID użytkownika jest definiowany przez schemat gidNumber na serwerze LDAP.

Pomocnicze, uzupełniające i pomocnicze elementy GID

Pomocnicze, uzupełniające i pomocnicze grupy to grupy, które użytkownik jest członkiem poza ich podstawowym identyfikatorem GID. W usłudze Azure NetApp Files protokół LDAP jest implementowany przy użyciu usługi Microsoft Active Directory, a grupy uzupełniające są kontrolowane przy użyciu standardowej logiki członkostwa w grupach systemu Windows.

Po dodaniu użytkownika do grupy systemu Windows atrybut Member schematu LDAP jest wypełniany w grupie z nazwą wyróżniającą użytkownika, który jest członkiem tej grupy. Gdy zapytanie dotyczące członkostwa w grupie użytkownika jest wykonywane przez usługę Azure NetApp Files, wyszukiwanie LDAP jest wykonywane dla nazwy wyróżniającej użytkownika dla atrybutu wszystkich grup Member . Wszystkie grupy z system UNIX gidNumber i dnem użytkownika są zwracane w wyszukiwaniu i wypełniane jako członkostwo w grupach uzupełniających użytkownika.

W poniższym przykładzie przedstawiono dane wyjściowe z usługi Active Directory z identyfikatorem DN użytkownika wypełnionym w Member polu grupy i kolejnym wyszukiwaniem LDAP wykonanym przy użyciu polecenia ldp.exe.

W poniższym przykładzie przedstawiono pole członka grupy systemu Windows:

Screenshot that shows the Windows group member field.

W poniższym przykładzie pokazano LDAPsearch wszystkie grupy, w których User1 należy element członkowski:

Screenshot that shows the search of a user named `User1`.

Możesz również wykonywać zapytania dotyczące członkostwa w grupach dla użytkownika w usłudze Azure NetApp Files, wybierając link Lista identyfikatorów grup LDAP w obszarze Pomoc techniczna i rozwiązywanie problemów w menu woluminu.

Screenshot that shows the query of group memberships by using the **LDAP Group ID List** link.

Limity grup w systemie plików NFS

Zdalne wywołanie procedury (RPC) w systemie plików NFS ma określone ograniczenie dla maksymalnej liczby pomocniczych identyfikatorów GID, które mogą być honorowane w jednym żądaniu NFS. Wartość maksymalna wynosi AUTH_SYS/AUTH_UNIX 16, a dla AUTH_GSS (Kerberos) wynosi 32. To ograniczenie protokołu dotyczy wszystkich serwerów NFS — nie tylko usługi Azure NetApp Files. Jednak wiele nowoczesnych serwerów i klientów NFS obejmuje sposoby obejścia tych ograniczeń.

Aby obejść to ograniczenie systemu plików NFS w usłudze Azure NetApp Files, zobacz Włączanie uwierzytelniania LDAP usług domena usługi Active Directory Services (AD DS) dla woluminów NFS.

Jak działa rozszerzenie ograniczenia grupy

Opcje rozszerzenia ograniczenia grupy działają tak samo, jak manage-gids opcja dla innych serwerów NFS działa. Zasadniczo zamiast wyrzucać całą listę pomocniczych identyfikatorów GID, do których należy użytkownik, opcja wykonuje wyszukiwanie giD w pliku lub folderze i zwraca tę wartość.

W poniższym przykładzie przedstawiono pakiet RPC z 16 GIDs.

Screenshot that shows RPC packet with 16 GIDs.

Każdy giD przeszłości limit 16 jest porzucany przez protokół. W przypadku grup rozszerzonych w usłudze Azure NetApp Files, gdy pojawia się nowe żądanie NFS, wymagane są informacje o członkostwie w grupie użytkownika.

Zagadnienia dotyczące rozszerzonych identyfikatorów GID z protokołem LDAP usługi Active Directory

Domyślnie na serwerach MaxPageSize LDAP usługi Microsoft Active Directory atrybut jest ustawiony na wartość domyślną 1000. To ustawienie oznacza, że grupy przekraczające 1000 zostaną obcięte w zapytaniach LDAP. Aby włączyć pełną obsługę z wartością 1024 dla grup rozszerzonych, MaxPageSize należy zmodyfikować atrybut w celu odzwierciedlenia wartości 1024. Aby uzyskać informacje na temat sposobu zmiany tej wartości, zobacz artykuł Microsoft TechNet How to View and Set LDAP Policy in Active Directory by Using Ntdsutil.exe and the TechNet library article MaxPageSize Is Set Too High (Jak wyświetlać i ustawiać zasady LDAP w usłudze Active Directory przy użyciu Ntdsutil.exe i biblioteki TechNet).

Następne kroki