Habilitar a autenticação LDAP dos Serviços de Domínio do Active Directory (AD DS) para NFS

Ao criar um volume NFS, você pode ativar o recurso LDAP com grupos estendidos (a opção LDAP ) para o volume. Esse recurso permite que usuários LDAP do Ative Directory e grupos estendidos (até 1024 grupos) acessem arquivos e diretórios no volume. Pode usar a funcionalidade de grupos estendidos do LDAP com volumes NFSv4.1 e NFSv3.

Observação

Por padrão, nos servidores LDAP do Ative Directory, o MaxPageSize atributo é definido como um padrão de 1.000. Devido a esta configuração, grupos acima de 1.000 são truncados em consultas LDAP. Para habilitar o suporte total com o valor 1.024 para grupos estendidos, o MaxPageSize atributo deve ser modificado para refletir o valor 1.024. Para obter informações sobre como alterar esse valor, consulte Como exibir e definir a política LDAP no Ative Directory usando Ntdsutil.exe.

Os Arquivos NetApp do Azure dão suporte à obtenção de grupos estendidos a partir do serviço de nomes LDAP em vez do cabeçalho RPC. Os Arquivos NetApp do Azure interagem com o LDAP consultando atributos como nomes de usuário, IDs numéricos, grupos e associações de grupo para operações do protocolo NFS.

Quando for determinado que o LDAP será usado para operações como pesquisa de nome e busca de grupos estendidos, ocorre o seguinte processo:

1. Azure NetApp Files usa uma configuração de cliente LDAP para tentar uma conexão com o servidor LDAP dos Serviços de Domínio AD DS ou da Microsoft Entra especificado na configuração AD do Azure NetApp Files.
2. Se a conexão TCP pela porta de serviço LDAP definida do AD DS ou dos Serviços de Domínio Microsoft Entra for bem-sucedida, o cliente LDAP do Azure NetApp Files tentará "vincular-se" (entrar) ao servidor LDAP dos Serviços de Domínio AD DS ou Microsoft Entra (controlador de domínio) usando as credenciais definidas na configuração do cliente LDAP.
3. Se a ligação for bem-sucedida, o cliente LDAP do Azure NetApp Files usará o esquema LDAP RFC 2307bis para fazer uma pesquisa LDAP no servidor LDAP dos Serviços de Domínio do AD DS ou Microsoft Entra (controlador de domínio). As seguintes informações são passadas para o servidor na consulta:
   • DN de base/utilizador (para restringir o âmbito de pesquisa)
   • Tipo de escopo de pesquisa (subárvore)
   • Classe de objeto (user, posixAccount para usuários e posixGroup grupos)
   • UID ou nome de utilizador
   • Atributos solicitados (uid, uidNumber, gidNumber para usuários ou gidNumber grupos)
4. Se o usuário ou grupo não for encontrado, a solicitação falhará e o acesso será negado.
5. Se a solicitação for bem-sucedida, os atributos de usuário e grupo serão armazenados em cache para uso futuro. Esta operação melhora o desempenho de consultas LDAP subsequentes associadas aos atributos de usuário ou grupo armazenados em cache. Também reduz a carga no servidor LDAP dos Serviços de Domínio AD DS ou Microsoft Entra.

Considerações

• Você pode ativar o recurso LDAP com grupos estendidos somente durante a criação do volume. Esse recurso não pode ser ativado retroativamente em volumes existentes.

• O LDAP com grupos estendidos é suportado apenas com os Serviços de Domínio Ative Directory (AD DS) ou os Serviços de Domínio Microsoft Entra. OpenLDAP ou outros serviços de diretório LDAP de terceiros não são suportados.

• O LDAP sobre TLS não deve ser habilitado se você estiver usando os Serviços de Domínio do Microsoft Entra.

• Não é possível modificar a configuração da opção LDAP (ativada ou desativada) depois de criar o volume.

• A tabela a seguir descreve as configurações de tempo de vida (TTL) para o cache LDAP. Você precisa esperar até que o cache seja atualizado antes de tentar acessar um arquivo ou diretório por meio de um cliente. Caso contrário, uma mensagem de acesso ou permissão negada aparecerá no cliente.

  cache	Tempo limite padrão
  Lista de membros do grupo	TTL 24 horas
  Grupos Unix	TTL de 24 horas, TTL negativo de 1 minuto
  Usuários Unix	TTL de 24 horas, TTL negativo de 1 minuto

  Os caches têm um período de tempo limite específico chamado Tempo de Vida. Após o período de tempo limite, as entradas envelhecem para que as entradas obsoletas não permaneçam. O valor TTL negativo é onde reside uma pesquisa que falhou para ajudar a evitar problemas de desempenho devido a consultas LDAP para objetos que podem não existir.

• A opção Permitir usuários NFS locais com LDAP em conexões do Ative Directory pretende fornecer acesso ocasional e temporário a usuários locais. Quando esta opção está ativada, a autenticação e pesquisa de utilizadores a partir do servidor LDAP deixam de funcionar e o número de associações de grupo que os Ficheiros NetApp do Azure suportarão será limitado a 16. Como tal, você deve manter essa opção desabilitada em conexões do Ative Directory, exceto na ocasião em que um usuário local precisa acessar volumes habilitados para LDAP. Nesse caso, você deve desativar essa opção assim que o acesso do usuário local não for mais necessário para o volume. Consulte Permitir que utilizadores NFS locais com LDAP acedam a um volume de duplo protocolo sobre a gestão do acesso de utilizadores locais.

Passos

1. Os volumes LDAP requerem uma configuração do Ative Directory para as definições do servidor LDAP. Siga as instruções em Requisitos para conexões do Ative Directory e Criar uma conexão do Ative Directory para configurar conexões do Ative Directory no portal do Azure.

   Observação

   Verifique se você configurou as configurações de conexão do Ative Directory. Será criada uma conta de computador na unidade organizacional (UO) especificada nas configurações de conexão do Ative Directory. As configurações são usadas pelo cliente LDAP para autenticar com o Ative Directory.

2. Verifique se o servidor LDAP do Ative Directory está ativo e em execução no Ative Directory.

3. Os usuários do LDAP NFS precisam ter determinados atributos POSIX no servidor LDAP. Defina os atributos para usuários LDAP e grupos LDAP da seguinte maneira:

   • Atributos necessários para usuários LDAP:
     uid: Alice,
     uidNumber: 139,
     gidNumber: 555,
     objectClass: user, posixAccount
   • Atributos necessários para grupos LDAP:
     objectClass: group, posixGroup,
     gidNumber: 555

   Os valores especificados para objectClass são entradas separadas. Por exemplo, no Editor de Cadeia de Caracteres com Vários Valores, objectClass teria valores separados (user e posixAccount) especificados da seguinte forma para usuários LDAP:

   Observação

   Se os atributos POSIX não estiverem configurados corretamente, as operações de pesquisa de utilizador e grupo podem falhar, e os utilizadores podem ter as suas permissões reduzidas ao aceder aos volumes NFS.

   

   Você pode gerir atributos POSIX usando o snap-in de MMC Utilizadores e Computadores do Active Directory. O exemplo a seguir mostra o Editor de Atributos do Ative Directory. Consulte Access Ative Directory Attribute Editor para obter detalhes.

   

4. Se você quiser configurar um cliente Linux NFSv4.1 integrado ao LDAP, consulte Configurar um cliente NFS para arquivos NetApp do Azure.

5. Se os volumes habilitados para LDAP usarem NFSv4.1, siga as instruções em Configurar domínio de ID NFSv4.1 para configurar o /etc/idmapd.conf arquivo.

   Você precisa definir Domain em /etc/idmapd.conf para o domínio configurado na Conexão do Active Directory na sua conta NetApp. Por exemplo, se contoso.com for o domínio configurado na conta NetApp, defina Domain = contoso.com.

   Em seguida, você precisa reiniciar o rpcbind serviço no seu host ou reinicializá-lo.

6. Siga as etapas em Criar um volume NFS para Arquivos NetApp do Azure para criar um volume NFS. Durante o processo de criação do volume, na guia Protocolo , ative a opção LDAP .

   

7. Opcional - Você pode habilitar usuários do cliente NFS locais não presentes no servidor LDAP do Windows para acessar um volume NFS que tenha LDAP com grupos estendidos habilitados. Para fazer isso, habilite a opção Permitir usuários NFS locais com LDAP da seguinte maneira:

   1. Selecione Conexões do Ative Directory. Em uma conexão existente do Ative Directory, selecione o menu de …contexto (os três pontos) e selecione Editar.
   2. Na janela Editar configurações do Ative Directory exibida, selecione a opção Permitir usuários NFS locais com LDAP .

   

8. Opcional - Se você tiver topologias grandes e usar o estilo de segurança Unix com um volume de protocolo duplo ou LDAP com grupos estendidos, poderá usar a opção Escopo de Pesquisa LDAP para evitar erros de "acesso negado" em clientes Linux para Arquivos NetApp do Azure.

   A opção Escopo de Pesquisa LDAP é configurada por meio da página Conexões do Ative Directory .

   Para resolver os usuários e o grupo de um servidor LDAP para topologias grandes, defina os valores das opções DN do usuário, DN do grupo e Filtro de associação de grupo na página Conexões do Ative Directory da seguinte maneira:

   • Especifique DN de utilizador aninhado e DN de grupo no formato de OU=subdirectory,OU=directory,DC=domain,DC=com. Várias unidades organizacionais podem ser especificadas usando um ponto-e-vírgula, por exemplo: OU=subdirectory1,OU=directory1,DC=domain,DC=com;OU=subdirectory2,OU=directory2,DC=domain,DC=com
   • Especifique o Filtro de Associação de Grupo no formato de (gidNumber=*). Por exemplo, definir (gidNumber=9*) procuras que comecem com gidNumbers 9. Você também pode usar dois filtros juntos: (|(cn=*22)(cn=*33)) procura por valores CN que terminem em 22 ou 33.
   • Se um usuário for membro de mais de 256 grupos, apenas 256 grupos serão listados.
   • Consulte os erros de volumes LDAP caso surjam problemas.

   

Próximos passos

• Criar um volume NFS para o Azure NetApp Files
• Criar e gerenciar conexões do Ative Directory
• Configurar domínio NFSv4.1
• Configurar um cliente NFS para Ficheiros do Azure NetApp
• Resolver erros de volume do Azure NetApp Files
• Modificar ligações do Active Directory para o Azure NetApp Files
• Compreender as associações de grupos do NFS e os grupos suplementares