Konfigurera LDAP-katalogtjänster för Azure NetApp Files NFS-volymer (förhandsversion)

Förutom inbyggt Active Directory-stöd stöder Azure NetApp Files intern integrering med katalogtjänster som FreeIPA, OpenLDAP och Red Hat Directory Server för LDAP-katalogservrar (Lightweight Directory Access Protocol). Med inbyggt stöd för LDAP-katalogservern kan du uppnå säker och skalbar identitetsbaserad åtkomstkontroll för NFS-volymer i Linux-miljöer.

Azure NetApp Files LDAP-integrering förenklar hanteringen av filresursåtkomst genom att utnyttja betrodda katalogtjänster. Den stöder NFSv3 och NFSv4.1-protokollen och använder DNS SRV-postbaserad upptäckning för hög tillgänglighet och belastningsutjämning över LDAP-servrar. Ur ett affärsperspektiv förbättrar den här funktionen:

• Efterlevnad: Centraliserad identitetshantering stöder granskning och principframtvingande
• Effektivitet: Minskar administrativa kostnader genom att förena identitetskontroller i Linux- och NTFS-system
• Säkerhet: Stöder LDAP över TLS, symmetrisk/asymmetrisk namnmappning och utökade gruppmedlemskap
• Sömlös integrering: Fungerar med befintlig LDAP-infrastruktur
• Skalbarhet: Stöder stora användar- och gruppkataloger
• Flexibilitet: Kompatibel med flera LDAP-implementeringar

Katalogtjänster som stöds

• FreeIPA: Perfekt för säker, centraliserad identitetshantering i Linux-miljöer
• OpenLDAP: Enkel och flexibel katalogtjänst för anpassade distributioner
• Red Hat Directory Server: LDAP-tjänst i företagsklass med avancerade skalbarhets- och säkerhetsfunktioner

Viktigt!

Information om hur du konfigurerar LDAP med Active Directory finns i Konfigurera AD DS LDAP med utökade grupper för NFS-volymåtkomst.

Architecture

I följande diagram beskrivs hur Azure NetApp Files använder LDAP-bindnings-/sökåtgärder för att autentisera användare och framtvinga åtkomstkontroll baserat på kataloginformation.

Arkitekturen omfattar följande komponenter:

• Linux VM-klient: initierar en NFS-monteringsbegäran till Azure NetApp Files
• Azure NetApp Files-volym: tar emot monteringsbegäran och utför LDAP-frågor
• LDAP-katalogserver: svarar på bindnings-/sökförfrågningar med användar- och gruppinformation
• Åtkomstkontrolllogik: framtvingar åtkomstbeslut baserat på LDAP-svar

Dataflöde

1. Monteringsbegäran: Den virtuella Linux-datorn skickar en NFSv3- eller NFSv4.1-monteringsbegäran till Azure NetApp Files.
2. LDAP-bindning/sökning: Azure NetApp Files skickar en bindnings-/sökbegäran till LDAP-servern (FreeIPA, OpenLDAP eller RHDS) med UID/GID.
3. LDAP-svar: Katalogservern returnerar användar- och gruppattribut.
4. Beslut om åtkomstkontroll: Azure NetApp Files utvärderar svaret och beviljar eller nekar åtkomst.
5. Klientåtkomst: Beslutet meddelas tillbaka till klienten.

Användningsfall

Varje katalogtjänst tilltalar olika användningsfall i Azure NetApp Files.

FreeIPA

• Linux-hybridmiljöer: Perfekt för företag som använder FreeIPA för centraliserad identitetshantering i Linux-system i hybridmolndistributioner.
• HPC- och analysarbetsbelastningar: Stöder säker autentisering för högpresterande databehandlingskluster och analysplattformar som förlitar sig på FreeIPA.
• Kerberos-integrering: Aktiverar miljöer som kräver Kerberos-baserad autentisering för NFS-arbetsbelastningar utan Active Directory.

OpenLDAP

• Stöd för äldre program: Perfekt för organisationer som kör äldre eller anpassade program som är beroende av OpenLDAP för identitetstjänster.
• Identitetshantering för flera plattformar: Tillhandahåller en enkel, standardbaserad lösning för att hantera åtkomst i Linux, UNIX och containerbaserade arbetsbelastningar.
• Kostnadsoptimerade distributioner: Lämplig för företag som söker en lösning med öppen källkod och flexibel katalog utan att behöva använda Active Directory.

Red Hat-katalogserver

• Säkerhet och efterlevnad i företagsklass: Utformad för organisationer som kräver härdade, företagsstödda LDAP-tjänster med starka säkerhetskontroller.
• Reglerade branscher: Perfekt för finans-, hälsovårds- och myndighetssektorer där efterlevnad och leverantörsstöd är avgörande.
• Integrering med Red Hat Ecosystem: Passar sömlöst in i miljöer som använder Red Hat Enterprise Linux och relaterade lösningar.

Överväganden

• FreeIPA, OpenLDAP och Red Hat Directory Server stöds med volymerna NFSv3 och NFSv4.1. de stöds för närvarande inte med volymer med dubbla protokoll.
• Dessa katalogtjänster stöds för närvarande inte med stora volymer.
• Du måste konfigurera LDAP-servern innan du skapar volymen.
• Du kan bara konfigurera FreeIPA, OpenLDAP eller Red Hat Directory Server på nya NFS-volymer. Du kan inte konvertera befintliga volymer för att använda dessa katalogtjänster.
• Kerberos stöds för närvarande inte med FreeIPA, OpenLDAP eller Red Hat Directory Server.

Registrera funktionen

Stöd för FreeIPA, OpenLDAP och Red Hat Directory Server är för närvarande i förhandsversion. Innan du ansluter dina NFS-volymer till någon av dessa katalogservrar måste du registrera funktionen:

1. Registrera funktionen:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

2. Kontrollera status för funktionsregistreringen:

   Anmärkning

   RegistrationState kan vara i Registering-tillståndet upp till 60 minuter innan det ändras till Registered. Vänta tills statusen är Registered innan du fortsätter.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

Du kan också använda Azure CLI-kommandonaz feature register och az feature show registrera funktionen och visa registreringsstatusen.

Skapa LDAP-servern

Du måste först skapa LDAP-servern innan du kan ansluta den till Azure NetApp Files. Följ anvisningarna för den relevanta servern:

• Information om hur du konfigurerar FreeIPA finns i snabbstartsguiden för FreeIPA och följer sedan Red Hats vägledning.
• För OpenLDAP, se OpenLDAP-dokumentationen.
• För Red Hat Directory Server följer du Red Hat-dokumentationen. Mer information finns i installationsguiden för 389 Directory Server.

Konfigurera LDAP-anslutningen i Azure NetApp Files

1. I Azure-portalen går du till LDAP-anslutningar under Azure NetApp Files.

2. Skapa den nya LDAP-anslutningen.

3. I den nya menyn anger du:

   • Domän: Domännamnet fungerar som bas-DN.
   • LDAP-servrar: LDAP-serverns IP-adress.
   • LDAP över TLS: Du kan också markera kryssrutan för att aktivera LDAP via TLS för säker kommunikation. Mer information finns i Konfigurera LDAP över TLS.
   • Server-CA-certifikat: Certifikatet för certifieringsmyndighet. Det här alternativet krävs om du använder LDAP över TLS.
   • Certifikat-CN-värd: Den vanliga namnservern för värden, till exempel contoso.server.com.

   

4. Välj Spara.

5. När du har konfigurerat LDAP-anslutningen kan du skapa en NFS-volym.

Verifiera LDAP-anslutningen

1. Om du vill verifiera anslutningen går du till volymöversikten för volymen med hjälp av LDAP-anslutningen.
2. Välj LDAP-anslutning och sedan LDAP-grupp-ID-lista.
3. I fältet Användarnamn anger du det användarnamn som angavs när du konfigurerade LDAP-servern. Välj Hämta grupp-ID:t. Kontrollera att grupp-ID:na matchar klienten och servern.

Nästa steg

• Förstå LDAP
• Förstå namnmappning med hjälp av LDAP
• Förstå hur man tillåter lokala NFS-användare med LDAP-inställning
• Förstå LDAP-scheman
• Skapa en NFS-volym