Ativar a autenticação LDAP Active Directory Domain Services (ADDS) para volumes NFS

Quando cria um volume NFS, tem a opção de ativar o LDAP com a funcionalidade de grupos expandidos (a opção LDAP ) para o volume. Esta funcionalidade permite que os utilizadores do Active Directory LDAP e grupos expandidos (até 1024 grupos) acedam a ficheiros e diretórios no volume. Pode utilizar a funcionalidade LDAP com grupos expandidos com volumes NFSv4.1 e NFSv3.

Azure NetApp Files suporta a obtenção de grupos expandidos do serviço de nomes LDAP em vez do cabeçalho RPC. Azure NetApp Files interage com o LDAP ao consultar atributos como nomes de utilizador, IDs numéricos, grupos e associações a grupos para operações de protocolo NFS.

Quando é determinado que o LDAP será utilizado para operações como a pesquisa de nomes e a obtenção de grupos expandidos, ocorre o seguinte processo:

  1. Azure NetApp Files utiliza uma configuração de cliente LDAP para fazer uma tentativa de ligação ao servidor ADDS/AADDS LDAP especificado na configuração do AD Azure NetApp Files.
  2. Se a ligação TCP através da porta de serviço LDAP de ADDS/AADDS definida for bem-sucedida, o cliente Azure NetApp Files LDAP tenta "vincular" (iniciar sessão) ao servidor LDAP do ADDS/AADDS (controlador de domínio) com as credenciais definidas na configuração do cliente LDAP.
  3. Se o enlace for bem-sucedido, o Azure NetApp Files cliente LDAP utiliza o esquema LDAP RFC 2307bis para fazer uma consulta de pesquisa LDAP para o servidor LDAP do ADDS/AADDS (controlador de domínio). As seguintes informações são transmitidas ao servidor na consulta:
    • DN base/utilizador (para restringir o âmbito de pesquisa)
    • Tipo de âmbito de pesquisa (subárvore)
    • Classe de objeto (user, posixAccount para utilizadores e posixGroup para grupos)
    • UID ou nome de utilizador
    • Atributos pedidos (uid, uidNumber, gidNumber para utilizadores ou gidNumber para grupos)
  4. Se o utilizador ou grupo não for encontrado, o pedido falha e o acesso é negado.
  5. Se o pedido for bem-sucedido, os atributos de utilizador e grupo serão colocados em cache para utilização futura. Esta operação melhora o desempenho das consultas LDAP subsequentes associadas aos atributos de utilizador ou grupo em cache. Também reduz a carga no servidor ADDS/AADDS LDAP.

Considerações

  • Só pode ativar a funcionalidade LDAP com grupos expandidos durante a criação do volume. Esta funcionalidade não pode ser ativada retroativamente em volumes existentes.

  • O LDAP com grupos expandidos é suportado apenas com Active Directory Domain Services (ADDS) ou serviços de Domínio do Active Directory do Azure (AADDS). O OpenLDAP ou outros serviços de diretório LDAP de terceiros não são suportados.

  • O LDAP através de TLS não pode ser ativado se estiver a utilizar o Azure Active Directory Domain Services (AADDS).

  • Não pode modificar a definição de opção LDAP (ativada ou desativada) depois de criar o volume.

  • A tabela seguinte descreve as definições de Time to Live (TTL) para a cache LDAP. Tem de esperar até que a cache seja atualizada antes de tentar aceder a um ficheiro ou diretório através de um cliente. Caso contrário, é apresentada uma mensagem de acesso ou permissão negada no cliente.

    Cache Tempo Limite Predefinido
    Lista de membros do grupo TTL 24 horas
    Grupos Unix TTL de 24 horas, TTL negativo de 1 minuto
    Utilizadores unix TTL de 24 horas, TTL negativo de 1 minuto

    As caches têm um período de tempo limite específico denominado Time to Live. Após o período de tempo limite, as entradas excedem o limite de tempo para que as entradas obsoletas não se prolonguem. O valor TTL negativo é onde reside uma pesquisa que falhou para ajudar a evitar problemas de desempenho devido a consultas LDAP para objetos que podem não existir.

  • A opção Permitir utilizadores NFS locais com LDAP em ligações do Active Directory pretende fornecer acesso ocasional e temporário aos utilizadores locais. Quando esta opção está ativada, a autenticação e a pesquisa do utilizador do servidor LDAP deixam de funcionar e o número de associações a grupos que Azure NetApp Files suportará será limitado a 16. Como tal, deve manter esta opção desativada nas ligações do Active Directory, exceto na ocasião em que um utilizador local precisa de aceder a volumes compatíveis com LDAP. Nesse caso, deve desativar esta opção assim que o acesso do utilizador local já não for necessário para o volume. Veja Permitir que os utilizadores locais de NFS com LDAP acedam a um volume de protocolo duplo sobre a gestão do acesso de utilizador local.

Passos

  1. Os volumes LDAP requerem uma configuração do Active Directory para as definições do servidor LDAP. Siga as instruções em Requisitos para ligações do Active Directory e Criar uma ligação do Active Directory para configurar ligações do Active Directory no portal do Azure.

    Nota

    Certifique-se de que configurou as definições de ligação do Active Directory. Será criada uma conta de computador na unidade organizacional (UO) especificada nas definições de ligação do Active Directory. As definições são utilizadas pelo cliente LDAP para autenticar com o Active Directory.

  2. Certifique-se de que o servidor LDAP do Active Directory está operacional no Active Directory.

  3. Os utilizadores do LDAP NFS precisam de ter certos atributos POSIX no servidor de LDAP. Defina os atributos para utilizadores LDAP e grupos LDAP da seguinte forma:

    • Atributos necessários para utilizadores LDAP:
      uid: Alice,
      uidNumber: 139,
      gidNumber: 555,
      objectClass: user, posixAccount
    • Atributos necessários para grupos LDAP:
      objectClass: group, posixGroup,
      gidNumber: 555

    Os valores especificados para objectClass são entradas separadas. Por exemplo, no Editor de Cadeias de Valores Múltiplos, objectClass teria valores separados (user e posixAccount) especificados da seguinte forma para os utilizadores LDAP:

    Captura de ecrã do Editor de Cadeias de Valores Múltiplos que mostra vários valores especificados para a Classe de Objeto.

    Pode gerir atributos POSIX com o snap-in Utilizadores e Computadores do Active Directory MMC. O exemplo seguinte mostra o Editor de Atributos do Active Directory. Veja Aceder ao Editor de Atributos do Active Directory para obter detalhes.

    Editor de Atributos do Active Directory

  4. Se quiser configurar um cliente Linux NFSv4.1 integrado em LDAP, veja Configurar um cliente NFS para Azure NetApp Files.

  5. Se os volumes compatíveis com LDAP utilizarem NFSv4.1, siga as instruções em Configurar o domínio NFSv4.1 para configurar o /etc/idmapd.conf ficheiro.

    Tem de definir Domain o /etc/idmapd.conf domínio configurado na Ligação do Active Directory na sua conta NetApp. Por exemplo, se contoso.com for o domínio configurado na conta NetApp, defina Domain = contoso.com.

    Em seguida, tem de reiniciar o rpcbind serviço no anfitrião ou reiniciar o anfitrião.

  6. Siga os passos em Criar um volume NFS para Azure NetApp Files para criar um volume NFS. Durante o processo de criação do volume, no separador Protocolo , ative a opção LDAP .

    Captura de ecrã que mostra a opção Criar uma página de Volume com LDAP.

  7. Opcional – pode permitir que os utilizadores de clientes NFS locais que não estejam presentes no servidor LDAP do Windows acedam a um volume NFS que tenha LDAP com grupos expandidos ativados. Para tal, ative a opção Permitir utilizadores NFS locais com LDAP da seguinte forma:

    1. Selecione Ligações do Active Directory. Numa ligação existente do Active Directory, selecione o menu de contexto (os três pontos ) e selecione Editar.
    2. Na janela Editar definições do Active Directory apresentada, selecione a opção Permitir utilizadores NFS locais com LDAP .

    Captura de ecrã que mostra a opção Permitir utilizadores NFS locais com LDAP

  8. Opcional – se tiver topologias grandes e utilizar o estilo de segurança Unix com um volume de protocolo duplo ou LDAP com grupos expandidos, pode utilizar a opção Âmbito de Pesquisa LDAP para evitar erros de "acesso negado" em clientes Linux para Azure NetApp Files.

    A opção Âmbito de Pesquisa LDAP é configurada através da página Ligações do Active Directory .

    Para resolver os utilizadores e o grupo a partir de um servidor LDAP para topologias grandes, defina os valores das opções DN de Utilizador, DN de Grupo e Filtro de Associação a Grupos na página Ligações do Active Directory da seguinte forma:

    • Especifique o DN de Utilizador aninhado e o DN de Grupo no formato de OU=subdirectory,OU=directory,DC=domain,DC=com.
    • Especifique o Filtro de Associação a Grupos no formato de (gidNumber=*).

    Captura de ecrã que mostra opções relacionadas com o Âmbito de Pesquisa LDAP

Passos seguintes