為 NFS 磁碟區啟用 Active Directory Domain Services (AD DS) LDAP 驗證
建立 NFS 磁碟區時,您可為磁碟區啟用具有擴充群組功能的 LDAP (LDAP 選項)。 此功能可讓 Active Directory LDAP 使用者和擴充群組 (最多 1024 個群組) 存取磁碟區中的檔案和目錄。 您可以使用具有擴充群組功能的 LDAP 搭配 NFSv4.1 和 NFSv3 磁碟區。
注意
根據預設,在 Active Directory LDAP 伺服器中,MaxPageSize
屬性會設定為預設值 1,000。 此設定表示 LDAP 查詢中會將超過 1,000 的群組截斷。 若要啟用對擴充群組 1,024 值的完整支援,必須修改 MaxPageSiz
e 屬性以反映 1,024 值。 如需如何變更該值的資訊,請參閱如何使用 Ntdsutil.exe 在 Active Directory 中檢視和設定 LDAP 原則。
Azure NetApp Files 支援從 LDAP 名稱服務擷取擴充群組,而不是從 RPC 標頭擷取。 Azure NetApp Files 可與 LDAP 互動,方法為查詢使用者名稱、數值識別碼、群組和 NFS 通訊協定作業的群組成員資格等屬性。
確定 LDAP 將用於名稱查閱和擷取擴充群組等作業時,會發生下列流程:
- Azure NetApp Files 會使用 LDAP 用戶端設定,嘗試連線至 Azure NetApp Files AD 設定中指定的 AD DS 或 Microsoft Entra Domain Services LDAP 伺服器。
- 如果透過已定義的 AD DS 或 Microsoft Entra Domain Services LDAP 服務連接埠成功連線 TCP,則 Azure NetApp Files LDAP 用戶端會使用 LDAP 用戶端設定中定義的認證,嘗試「繫結」(登入) 至 AD DS 或 Microsoft Entra Domain Services LDAP 伺服器 (網域控制站)。
- 如果繫結成功,則 Azure NetApp Files LDAP 用戶端會使用 RFC 2307bis LDAP 結構描述,對 AD DS 或 Microsoft Entra Domain Services LDAP 伺服器 (網域控制站) 進行 LDAP 搜尋查詢。
下列資訊會傳遞至查詢中的伺服器:
- 基礎/使用者 DN (縮小搜尋範圍)
- 搜尋範圍類型 (樹狀子目錄)
- 物件類別 (
user
、posixAccount
(若為使用者) 和posixGroup
(若為群組)) - UID 或使用者名稱
- 要求的屬性 (
uid
、uidNumber
、gidNumber
(若為使用者) 或gidNumber
(若為群組))
- 如果找不到使用者或群組,要求就會失敗,並拒絕存取。
- 如果要求成功,則使用者和群組屬性會進行快取以供日後使用。 此作業可改善與所快取使用者或群組屬性相關聯的後續 LDAP 查詢效能。 其也會減少 AD DS 或 Microsoft Entra Domain Services LDAP 伺服器上的負載。
考量
您只能在磁碟區建立期間啟用具有擴充群組功能的 LDAP。 無法溯及既往地在現有的磁碟區上啟用此功能。
僅 Active Directory Domain Services (AD DS) 或 Microsoft Entra Domain Services 支援具有擴充群組的 LDAP。 不支援 OpenLDAP 或其他協力廠商 LDAP 目錄服務。
若使用 Microsoft Entra Domain Services,就不得啟用 LDAP over TLS。
建立磁碟區之後,無法修改 LDAP 選項設定 (啟用或停用)。
下表描述 LDAP 快取的存留時間 (TTL) 設定。 您必須等到快取重新整理後,再嘗試透過用戶端存取檔案或目錄。 否則,存取或權限遭拒訊息會出現在用戶端上。
Cache 預設逾時 群組成員資格清單 24 小時 TTL Unix 群組 24 小時 TTL,1 分鐘負 TTL Unix 使用者 24 小時 TTL,1 分鐘負 TTL 快取具有稱為「存留時間」的特定逾時期間。 逾時期間之後,項目會過時,讓過時的項目不會持續。 「負 TTL」值是失敗的查閱所在位置,可協助避免由於對可能不存在的物件進行 LDAP 查詢而產生效能問題。
Active Directory 連線中的 [允許使用 LDAP 的本機 NFS 使用者] 選項打算向本機使用者提供偶爾且暫時的存取權。 啟用此選項時,LDAP 伺服器的使用者驗證和查閱會停止運作,且 Azure NetApp Files 將支援的群組成員資格數目會限制為 16 個。 因此,您應該在 Active Directory 連線上讓此選項保持 [已停用] 狀態,但本機使用者需要存取已啟用 LDAP 的磁碟區時除外。 在該情況下,您應該在本機使用者不再需要存取磁碟區時,立即停用此選項。 請參閱有關如何管理本機使用者存取權的允許使用 LDAP 的本機 NFS 使用者存取雙重通訊協定磁碟區。
步驟
LDAP 磁碟區需要 LDAP 伺服器設定的 Active Directory 設定。 遵循 Active Directory 連線需求和建立 Active Directory 連線中的指示,在 Azure 入口網站上設定 Active Directory 連線。
注意
確定您已設定 Active Directory 連線設定。 系統會在 Active Directory 連線設定所指定的組織單位 (OU) 中建立電腦帳戶。 LDAP 用戶端會使用這些設定,搭配 Active Directory 進行驗證。
確定 Active Directory LDAP 伺服器已啟動並正在 Active Directory 上執行。
LDAP NFS 使用者必須在 LDAP 伺服器上具有某些 POSIX 屬性。 設定 LDAP 使用者和 LDAP 群組的屬性,如下所示:
- LDAP 使用者的必要屬性:
uid: Alice
,
uidNumber: 139
,
gidNumber: 555
,
objectClass: user, posixAccount
- LDAP 群組的必要屬性:
objectClass: group, posixGroup
,
gidNumber: 555
為
objectClass
指定的值是不同項目。 例如,在 [多重值字串編輯器] 中,objectClass
會針對 LDAP 使用者指定不同的值 (user
和posixAccount
),如下所示:注意
如果未正確設定 POSIX 屬性,使用者和群組查閱作業可能會失敗,而且存取 NFS 磁碟區時,使用者可能會壓縮成
nobody
。您可以使用 Active Directory 使用者和電腦 MMC 嵌入式管理單元來管理 POSIX 屬性。 下列範例顯示 Active Directory 屬性編輯器。 如需詳細資料,請參閱存取 Active Directory 屬性編輯器。
- LDAP 使用者的必要屬性:
如果您想要設定 LDAP 整合式 NFSv4.1 Linux 用戶端,請參閱設定 Azure NetApp Files 的 NFS 用戶端。
如果已啟用 LDAP 的磁碟區使用 NFSv4.1,請遵循設定 NFSv4.1 識別碼網域中的指示來設定
/etc/idmapd.conf
檔案。您必須將
/etc/idmapd.conf
中的Domain
設定為 NetApp 帳戶上 Active Directory 連線中所設定的網域。 例如,如果contoso.com
是 NetApp 帳戶中的已設定網域,則設定Domain = contoso.com
。然後,您必須重新啟動
rpcbind
主機上的服務,或重新啟動主機。請遵循建立適用於 Azure NetApp Files 的 NFS 磁碟區來建立 NFS 磁碟區。 在執行磁碟區建立流程期間,請在 [通訊協定] 索引標籤下啟用 [LDAP] 選項。
選擇性 - 您可以啟用 Windows LDAP 伺服器上不存在的本機 NFS 用戶端使用者,以存取具有 LDAP 且擴充群組已啟用的 NFS 磁碟區。 若要這樣做,請啟用 [允許使用 LDAP 的本機 NFS 使用者] 選項,如下所示:
- 選取 [Active Directory 連線]。 在現有的 Active Directory 連線上,選取捷徑功能表 (三個點
…
),然後選取 [編輯]。 - 在出現的 [編輯 Active Directory 設定] 視窗中,選取 [允許使用 LDAP 的本機 NFS 使用者] 選項。
- 選取 [Active Directory 連線]。 在現有的 Active Directory 連線上,選取捷徑功能表 (三個點
選擇性 - 如果您有大型拓撲,而且使用 Unix 安全性樣式搭配雙重通訊協定磁碟區或具有擴充群組的 LDAP,您可以使用 [LDAP 搜尋範圍] 選項,以避免適用於 Azure NetApp Files 的 Linux 用戶端上發生「拒絕存取」錯誤。
[LDAP 搜尋範圍] 選項是透過 [Active Directory 連線]頁面設定的。
若要從 LDAP 伺服器解析大型拓撲的使用者和群組,請在 [Active Directory 連線] 頁面上設定 [使用者 DN]、[群組 DN] 和 [群組成員資格篩選條件] 選項的值,如下所示:
- 以
OU=subdirectory,OU=directory,DC=domain,DC=com
的格式指定巢狀 [使用者 DN] 和 [群組 DN]。 - 以
(gidNumber=*)
的格式指定 [群組成員資格篩選條件]。 - 如果使用者是超過 256 個群組的成員,則只會列出 256 個群組。
- 如果遇到錯誤,請參閱 LDAP 磁碟區的錯誤。
- 以