Habilitar a autenticação LDAP dos Serviços de Domínio Ative Directory (AD DS) para volumes NFS

Ao criar um volume NFS, você pode ativar o recurso LDAP com grupos estendidos (a opção LDAP) para o volume. Esse recurso permite que usuários LDAP do Ative Directory e grupos estendidos (até 1024 grupos) acessem arquivos e diretórios no volume. Você pode usar o recurso LDAP com grupos estendidos com volumes NFSv4.1 e NFSv3.

Nota

Por padrão, nos servidores LDAP do Ative Directory, o MaxPageSize atributo é definido como um padrão de 1.000. Essa configuração significa que grupos além de 1.000 são truncados em consultas LDAP. Para habilitar o suporte total com o valor 1.024 para grupos estendidos, o atributo e deve ser modificado para refletir o MaxPageSizvalor 1.024. Para obter informações sobre como alterar esse valor, consulte Como exibir e definir a política LDAP no Ative Directory usando Ntdsutil.exe.

Os Arquivos NetApp do Azure dão suporte à busca de grupos estendidos do serviço de nomes LDAP em vez do cabeçalho RPC. Os Arquivos NetApp do Azure interagem com o LDAP consultando atributos como nomes de usuário, IDs numéricos, grupos e associações de grupo para operações do protocolo NFS.

Quando for determinado que o LDAP será usado para operações como pesquisa de nome e busca de grupos estendidos, ocorre o seguinte processo:

1. Os Arquivos NetApp do Azure usam uma configuração de cliente LDAP para fazer uma tentativa de conexão com o servidor LDAP dos Serviços de Domínio AD DS ou Microsoft Entra especificado na configuração do Azure NetApp Files AD.
2. Se a conexão TCP pela porta de serviço LDAP definida do AD DS ou dos Serviços de Domínio Microsoft Entra for bem-sucedida, o cliente LDAP dos Arquivos NetApp do Azure tentará "vincular" (entrar) ao servidor LDAP dos Serviços de Domínio AD DS ou Microsoft Entra (controlador de domínio) usando as credenciais definidas na configuração do cliente LDAP.
3. Se a associação for bem-sucedida, o cliente LDAP dos Arquivos NetApp do Azure usará o esquema LDAP RFC 2307bis para fazer uma consulta de pesquisa LDAP ao servidor LDAP dos Serviços de Domínio AD DS ou Microsoft Entra (controlador de domínio). As seguintes informações são passadas para o servidor na consulta:
   • DN de base/utilizador (para restringir o âmbito de pesquisa)
   • Tipo de escopo de pesquisa (subárvore)
   • Classe de objeto (user, posixAccount para usuários e posixGroup grupos)
   • UID ou nome de utilizador
   • Atributos solicitados (uid, , gidNumberuidNumberpara usuários ou gidNumber grupos)
4. Se o usuário ou grupo não for encontrado, a solicitação falhará e o acesso será negado.
5. Se a solicitação for bem-sucedida, os atributos de usuário e grupo serão armazenados em cache para uso futuro. Esta operação melhora o desempenho de consultas LDAP subsequentes associadas aos atributos de usuário ou grupo armazenados em cache. Também reduz a carga no servidor LDAP dos Serviços de Domínio AD DS ou Microsoft Entra.

Considerações

• Você pode ativar o recurso LDAP com grupos estendidos somente durante a criação do volume. Esse recurso não pode ser ativado retroativamente em volumes existentes.

• O LDAP com grupos estendidos é suportado apenas com os Serviços de Domínio Ative Directory (AD DS) ou os Serviços de Domínio Microsoft Entra. OpenLDAP ou outros serviços de diretório LDAP de terceiros não são suportados.

• O LDAP sobre TLS não deve ser habilitado se você estiver usando os Serviços de Domínio do Microsoft Entra.

• Não é possível modificar a configuração da opção LDAP (ativada ou desativada) depois de criar o volume.

• A tabela a seguir descreve as configurações de tempo de vida (TTL) para o cache LDAP. Você precisa esperar até que o cache seja atualizado antes de tentar acessar um arquivo ou diretório por meio de um cliente. Caso contrário, uma mensagem de acesso ou permissão negada aparecerá no cliente.

  Cache	Tempo Limite Predefinido
  Lista de membros do grupo	TTL 24 horas
  Grupos Unix	TTL de 24 horas, TTL negativo de 1 minuto
  Usuários Unix	TTL de 24 horas, TTL negativo de 1 minuto

  Os caches têm um período de tempo limite específico chamado Tempo de Vida. Após o período de tempo limite, as entradas envelhecem para que as entradas obsoletas não permaneçam. O valor TTL negativo é onde reside uma pesquisa que falhou para ajudar a evitar problemas de desempenho devido a consultas LDAP para objetos que podem não existir.

• A opção Permitir usuários NFS locais com LDAP em conexões do Ative Directory pretende fornecer acesso ocasional e temporário a usuários locais. Quando esta opção está ativada, a autenticação e pesquisa de utilizadores a partir do servidor LDAP deixam de funcionar e o número de associações de grupo que os Ficheiros NetApp do Azure suportarão será limitado a 16. Como tal, você deve manter essa opção desabilitada em conexões do Ative Directory, exceto na ocasião em que um usuário local precisa acessar volumes habilitados para LDAP. Nesse caso, você deve desativar essa opção assim que o acesso do usuário local não for mais necessário para o volume. Consulte Permitir que usuários NFS locais com LDAP acessem um volume de protocolo duplo sobre como gerenciar o acesso de usuário local.

Passos

1. Os volumes LDAP requerem uma configuração do Ative Directory para as definições do servidor LDAP. Siga as instruções em Requisitos para conexões do Ative Directory e Criar uma conexão do Ative Directory para configurar conexões do Ative Directory no portal do Azure.

   Nota

   Verifique se você configurou as configurações de conexão do Ative Directory. Será criada uma conta de computador na unidade organizacional (UO) especificada nas configurações de conexão do Ative Directory. As configurações são usadas pelo cliente LDAP para autenticar com o Ative Directory.

2. Verifique se o servidor LDAP do Ative Directory está ativo e em execução no Ative Directory.

3. Os utilizadores do LDAP NFS precisam de ter certos atributos POSIX no servidor de LDAP. Defina os atributos para usuários LDAP e grupos LDAP da seguinte maneira:

   • Atributos necessários para usuários LDAP:
     uid: Alice,
     uidNumber: 139,
     gidNumber: 555,
     objectClass: user, posixAccount
   • Atributos necessários para grupos LDAP:
     objectClass: group, posixGroup,
     gidNumber: 555

   Os valores especificados para objectClass são entradas separadas. Por exemplo, no Editor de Cadeia de Caracteres com Vários Valores, objectClass teria valores separados (user e posixAccount) especificados da seguinte forma para usuários LDAP:

   Nota

   Se os atributos POSIX não estiverem configurados corretamente, as operações de pesquisa de usuário e grupo poderão falhar e os usuários poderão ser esmagados ao nobody acessar volumes NFS.

   

   Você pode gerenciar atributos POSIX usando o snap-in MMC Usuários e Computadores do Ative Directory. O exemplo a seguir mostra o Editor de Atributos do Ative Directory. Consulte Access Ative Directory Attribute Editor para obter detalhes.

   

4. Se você quiser configurar um cliente Linux NFSv4.1 integrado ao LDAP, consulte Configurar um cliente NFS para arquivos NetApp do Azure.

5. Se os volumes habilitados para LDAP usarem NFSv4.1, siga as instruções em Configurar domínio de ID NFSv4.1 para configurar o /etc/idmapd.conf arquivo.

   Você precisa definir Domain/etc/idmapd.conf o domínio configurado na Conexão do Ative Directory em sua conta NetApp. Por exemplo, se contoso.com for o domínio configurado na conta NetApp, defina Domain = contoso.com.

   Em seguida, você precisa reiniciar o rpcbind serviço no seu host ou reinicializá-lo.

6. Siga as etapas em Criar um volume NFS para Arquivos NetApp do Azure para criar um volume NFS. Durante o processo de criação do volume, na guia Protocolo , ative a opção LDAP .

   

7. Opcional - Você pode habilitar usuários do cliente NFS locais não presentes no servidor LDAP do Windows para acessar um volume NFS que tenha LDAP com grupos estendidos habilitados. Para fazer isso, habilite a opção Permitir usuários NFS locais com LDAP da seguinte maneira:

   1. Selecione Conexões do Ative Directory. Em uma conexão existente do Ative Directory, selecione o menu de …contexto (os três pontos) e selecione Editar.
   2. Na janela Editar configurações do Ative Directory exibida, selecione a opção Permitir usuários NFS locais com LDAP.

   

8. Opcional - Se você tiver topologias grandes e usar o estilo de segurança Unix com um volume de protocolo duplo ou LDAP com grupos estendidos, poderá usar a opção Escopo de Pesquisa LDAP para evitar erros de "acesso negado" em clientes Linux para Arquivos NetApp do Azure.

   A opção Escopo de Pesquisa LDAP é configurada por meio da página Conexões do Ative Directory.

   Para resolver os usuários e o grupo de um servidor LDAP para topologias grandes, defina os valores das opções DN do usuário, DN do grupo e Filtro de associação de grupo na página Conexões do Ative Directory da seguinte maneira:

   • Especifique DN de usuário aninhado e DN de grupo no formato de OU=subdirectory,OU=directory,DC=domain,DC=com.
   • Especifique o Filtro de Associação de Grupo no formato .(gidNumber=*)
   • Se um usuário for membro de mais de 256 grupos, apenas 256 grupos serão listados.
   • Consulte os erros para volumes LDAP se encontrar erros.

   

Próximos passos

• Criar um volume NFS para o Azure NetApp Files
• Criar e gerir ligações do Active Directory
• Configurar domínio NFSv4.1
• Configurar um cliente NFS para o Azure NetApp Files
• Resolver erros de volume do Azure NetApp Files
• Modificar ligações do Active Directory para o Azure NetApp Files
• Compreender as associações de grupo NFS e grupos suplementares