了解 NFS 群組成員資格和補充群組
您可以使用 LDAP 來控制群組成員資格,以及傳回 NFS 使用者的補充群組。 此行為是透過 LDAP 伺服器中的結構描述屬性來控制。
主要 GID
若要讓 Azure NetApp Files 能夠正確驗證使用者,LDAP 使用者必須一律定義主要 GID。 使用者的主要 GID 是由 LDAP 伺服器中的結構描述 gidNumber
所定義。
次要、補充和輔助 GID
次要、補充和輔助群組是使用者在其主要 GID 之外,身為其成員的群組。 在 Azure NetApp Files 中,LDAP 是使用 Microsoft Active Directory 實作,而補充群組則是使用標準 Windows 群組成員資格邏輯來控制。
使用者新增至 Windows 群組時,LDAP 結構描述屬性 Member
會在群組上填入屬於該群組成員之使用者的辨別名稱 (DN)。 在 Azure NetApp Files 查詢使用者的群組成員資格時,系統會進行 LDAP 搜尋,在所有群組的 Member
屬性上尋找使用者的 DN。 凡是有 UNIX gidNumber
和使用者 DN 的群組都會在搜尋中傳回,並填入為使用者的補充群組成員資格。
下列範例顯示 Active Directory 的輸出,其中使用者 DN 已填入群組的 Member
欄位中,並且使用 ldp.exe
進行了後續的 LDAP 搜尋。
下列範例顯示 Windows 群組成員欄位:
下列範例顯示 User1
為其成員之所有群組的 LDAPsearch
:
您也可以選取磁碟區功能表上 [支援 + 疑難解答] 底下的 [LDAP 群組 ID 清單] 連結,以查詢 Azure NetApp Files 中使用者的群組成員資格。
NFS 中的群組限制
NFS 中的遠端程序呼叫 (RPC) 對於單一 NFS 要求中可接受的最大輔助 GID 數目有特定限制。 AUTH_SYS/AUTH_UNIX
的最大值為 16,而 AUTH_GSS (Kerberos) 的最大值則為 32。 此通訊協定限制會影響所有 NFS 伺服器,而不只是 Azure NetApp Files。 不過,許多新式 NFS 伺服器和用戶端都包含解決這些限制的方法。
若要在 Azure NetApp Files 中解決此 NFS 限制,請參閱啟用 NFS 磁碟區的 Active Directory Domain Services (AD DS) LDAP 驗證。
擴充群組限制的運作方式
擴充群組限制的選項運作方式與其他 NFS 伺服器的 manage-gids
選項相同。 基本上,選項會對檔案或資料夾執行 GID 的查閱並改為傳回該值,而不是傾印使用者所屬的輔助 GID 完整清單。
下列範例顯示具有 16 個 GID 的 RPC 封包。
通訊協定會捨棄超過限制 16 的任何 GID。 若使用 Azure NetApp Files 中的擴充群組,在新的 NFS 要求傳入時,系統會要求使用者群組成員資格的相關資訊。
搭配 Active Directory LDAP 使用擴充 GID 的考慮事項
根據預設,在 Microsoft Active Directory LDAP 伺服器中,MaxPageSize
屬性會設定為預設值 1,000。 該設定表示 LDAP 查詢中會將超過 1,000 的群組截斷。 若要啟用對擴充群組 1,024 值的完整支援,必須修改 MaxPageSize
屬性以反映 1,024 值。 如需如何變更該值的資訊,請參閱 Microsoft TechNet 文章 使用 Ntdsutil.exe 在 Active Directory 中檢視和設定 LDAP 原則和 TechNet 文件庫文章 MaxPageSize 設得太高。