Configurar serviços de diretório LDAP para volumes NFS do Azure NetApp Files (visualização)

Além do suporte nativo ao Ative Directory, o Azure NetApp Files oferece suporte à integração nativa com serviços de diretório, incluindo FreeIPA, OpenLDAP e Red Hat Directory Server para servidores de diretório LDAP (lightweight directory access protocol). Com o suporte nativo ao servidor de diretório LDAP, você pode obter controle de acesso seguro e escalável baseado em identidade para volumes NFS em ambientes Linux.

A integração LDAP do Azure NetApp Files simplifica o gerenciamento de acesso ao compartilhamento de arquivos aproveitando os serviços de diretório confiáveis. Ele suporta protocolos NFSv3 e NFSv4.1 e usa a descoberta baseada em registros SRV DNS para alta disponibilidade e balanceamento de carga entre servidores LDAP. Do ponto de vista dos negócios, esse recurso aprimora:

• Conformidade: o gerenciamento centralizado de identidades oferece suporte à auditabilidade e à aplicação de políticas
• Eficiência: Reduz a sobrecarga administrativa unificando os controles de identidade em sistemas Linux e NTFS
• Segurança: Suporta LDAP sobre TLS, mapeamento simétrico/assimétrico de nomes e associações de grupo estendidas
• Integração perfeita: funciona com a infraestrutura LDAP existente
• Escalabilidade: suporta grandes diretórios de usuários e grupos
• Flexibilidade: Compatível com várias implementações LDAP

Serviços de diretório suportados

• FreeIPA: Ideal para gerenciamento de identidade seguro e centralizado em ambientes Linux
• OpenLDAP: Serviço de diretório leve e flexível para implantações personalizadas
• Red Hat Directory Server: serviço LDAP de nível empresarial com recursos avançados de escalabilidade e segurança

Importante

Para configurar o LDAP com o Ative Directory, consulte Configurar o LDAP do AD DS com grupos estendidos para acesso ao volume NFS.

Architecture

O diagrama a seguir descreve como os Arquivos NetApp do Azure usam operações de vinculação/pesquisa LDAP para autenticar usuários e impor o controle de acesso com base nas informações do diretório.

A arquitetura envolve os seguintes componentes:

• Cliente de VM Linux: inicia uma solicitação de montagem NFS para Arquivos NetApp do Azure
• Volume Azure NetApp Files: recebe a solicitação de montagem e executa consultas LDAP
• Servidor de diretório LDAP: responde a solicitações de ligação/pesquisa com informações de usuário e grupo
• Lógica de controle de acesso: impõe decisões de acesso com base em respostas LDAP

Fluxo de dados

1. Solicitação de montagem: a VM do Linux envia uma solicitação de montagem NFSv3 ou NFSv4.1 para os Arquivos NetApp do Azure.
2. LDAP Bind/Search: Os Arquivos NetApp do Azure enviam uma solicitação de ligação/pesquisa para o servidor LDAP (FreeIPA, OpenLDAP ou RHDS) usando o UID/GID.
3. Resposta LDAP: O servidor de diretório retorna atributos de usuário e grupo.
4. Decisão de Controle de Acesso: Azure NetApp Files avalia a resposta e concede ou nega o acesso.
5. Acesso ao cliente: A decisão é comunicada de volta ao cliente.

Casos de uso

Cada serviço de diretório apela a diferentes casos de uso nos Arquivos NetApp do Azure.

FreeIPA

• Ambientes Linux híbridos: Ideal para empresas que usam FreeIPA para gerenciamento centralizado de identidades em sistemas Linux em implantações de nuvem híbrida.
• HPC e cargas de trabalho analíticas: Suporta autenticação segura para clusters de computação de alto desempenho e plataformas analíticas que dependem do FreeIPA.
• Integração com Kerberos: habilita ambientes que exigem autenticação baseada em Kerberos para cargas de trabalho NFS sem Ative Directory.

OpenLDAP

• Suporte a aplicativos legados: Perfeito para organizações que executam aplicativos herdados ou personalizados que dependem do OpenLDAP para serviços de identidade.
• Gerenciamento de identidades multiplataforma: fornece uma solução leve e baseada em padrões para gerenciar o acesso em cargas de trabalho Linux, UNIX e em contêineres.
• Implantações com custo otimizado: Adequado para empresas que buscam uma solução de diretório flexível e de código aberto sem a sobrecarga do Ative Directory.

Servidor Red Hat Directory

• Segurança e conformidade de nível empresarial: Projetado para organizações que exigem serviços LDAP robustos e suportados pela empresa com fortes controles de segurança.
• Setores regulamentados: Ideal para setores financeiros, de saúde e governamentais onde a conformidade e o suporte do fornecedor são essenciais.
• Integração com o Red Hat Ecosystem: Adapta-se perfeitamente aos ambientes que utilizam o Red Hat Enterprise Linux e soluções relacionadas.

Considerações

• FreeIPA, OpenLDAP e Red Hat Directory Server são suportados com volumes NFSv3 e NFSv4.1; no momento, eles não são suportados com volumes de protocolo duplo.
• Atualmente, esses serviços de diretório não são suportados com grandes volumes.
• Você deve configurar o servidor LDAP antes de criar o volume.
• Você só pode configurar FreeIPA, OpenLDAP ou Red Hat Directory Server em novos volumes NFS. Não é possível converter volumes existentes para usar esses serviços de diretório.
• Atualmente, o Kerberos não é compatível com FreeIPA, OpenLDAP ou Red Hat Directory Server.

Registar a funcionalidade

O suporte para FreeIPA, OpenLDAP e Red Hat Directory Server está atualmente em pré-visualização. Antes de conectar seus volumes NFS a um destes servidores de diretório, você deve registrar o recurso:

1. Registar a funcionalidade:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

2. Verifique o estado do registo da funcionalidade:

   Observação

   O RegistrationState pode permanecer no Registering estado por até 60 minutos antes de mudar para Registered. Aguarde até que o status esteja Registered antes de continuar.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

Você também pode usar comandos da CLI do Azureaz feature register e az feature show para registrar o recurso e exibir o status do registro.

Criar o servidor LDAP

Você deve primeiro criar o servidor LDAP antes de conectá-lo aos Arquivos NetApp do Azure. Siga as instruções para o servidor relevante:

• Para configurar o FreeIPA, consulte o Guia de início rápido do FreeIPA e siga as orientações da Red Hat.
• Para OpenLDAP, consulte a documentação do OpenLDAP.
• Para o Red Hat Directory Server, siga a documentação da Red Hat. Para obter mais informações, consulte o guia de instalação do 389 Directory Server.

Configurar a conexão LDAP nos Arquivos NetApp do Azure

1. No portal Azure, navegue até ligações LDAP em Azure NetApp Files.

2. Crie a nova conexão LDAP.

3. No novo menu, forneça:

   • Domínio: O nome de domínio serve como DN base.

   • Servidores LDAP: O endereço IP do servidor LDAP.

   • LDAP sobre TLS: Opcionalmente, marque a caixa para ativar o LDAP sobre TLS para comunicação segura. Para obter mais informações, consulte Configurar LDAP sobre TLS.

     Observação

     Para ativar LDAP sobre TLS em vários servidores, deve gerar e instalar o certificado comum em cada servidor e depois carregar o certificado da CA do servidor no portal Azure.

   • Certificado de CA do Servidor: O certificado da autoridade de certificação. Esta opção é necessária se você usar LDAP sobre TLS.

   • Certificado CN Host: O servidor de nomes comum do host, por exemplo, contoso.server.com.

   

4. Selecione Guardar.

5. Depois de configurar a conexão LDAP, você pode criar um volume NFS.

Validar a conexão LDAP

1. Para validar a conexão, navegue até a visão geral do volume usando a conexão LDAP.
2. Selecione Conexão LDAP e, em seguida, Lista de ID de Grupo LDAP.
3. No campo Nome de usuário, digite o nome de usuário fornecido quando você configurou o servidor LDAP. Selecione Obter IDs de Grupo. Verifique se os IDs de grupo correspondem ao cliente e ao servidor.

Próximos passos

• Compreender o LDAP
• Compreender o mapeamento de nomes usando LDAP
• Compreender a permissão para usuários locais do NFS com a opção LDAP
• Compreender esquemas LDAP
• Criar um volume NFS