共用方式為

設定 Azure NetApp Files NFS 磁碟區的 LDAP 目錄服務 (預覽)

除了原生 Active Directory 支援之外,Azure NetApp Files 還支援與目錄服務原生整合,包括 FreeIPA、OpenLDAP 和 Red Hat Directory Server,以實現輕量型目錄存取通訊協定 (LDAP) 目錄伺服器。 透過原生 LDAP 目錄伺服器支援,您可以在 Linux 環境中對 NFS 磁碟區實現安全且可擴展的身分型存取控制。

Azure NetApp Files 的 LDAP 整合可利用受信任的目錄服務,簡化檔案共用存取管理。 它支援 NFSv3 和 NFSv4.1 通訊協定,並使用 DNS SRV 記錄型探索來跨 LDAP 伺服器實現高可用性和負載平衡。 從業務角度來看,此功能增強了:

  • 合規性:集中式身分管理支援可審計性和策略執行
  • 效率: 通過統一 Linux 和 NTFS 系統的身份控制來減少管理開銷
  • 安全性:支援 TLS 上的 LDAP、對稱/非對稱名稱對應和擴充群組成員資格
  • 無縫集成: 與現有 LDAP 基礎設施配合使用
  • 擴充性:支援大型使用者和群組目錄結構
  • 靈活性:與多種 LDAP 實現相容

支援的目錄服務

  • FreeIPA: 非常適合在 Linux 環境中進行安全、集中的身份管理
  • OpenLDAP:用於自訂部署的輕量級且靈活的目錄服務
  • Red Hat Directory Server:具有進階可擴展性和安全性功能的企業級 LDAP 服務

這很重要

若要使用 Active Directory 設定 LDAP,請參閱 設定 AD DS LDAP 以進行 NFS 磁碟區存取的擴充群組

Architecture

下圖概述 Azure NetApp Files 如何使用 LDAP 繫結/搜尋作業來驗證使用者,並根據目錄資訊強制執行存取控制。

Azure NetApp Files 中的 LDAP 目錄伺服器圖表。

此架構涉及下列元件:

  • Linux VM 用戶端:起始向 Azure NetApp Files 發出的 NFS 掛載請求
  • Azure NetApp Files 磁碟區:接收掛載要求並執行 LDAP 查詢
  • LDAP 目錄伺服器:使用使用者和群組資訊回應繫結/搜尋要求
  • 存取控制邏輯:根據 LDAP 回應強制執行存取決策

數據流

  1. 掛接要求:Linux VM 會將 NFSv3 或 NFSv4.1 掛載要求傳送至 Azure NetApp Files 。
  2. LDAP 繫結/搜尋:Azure NetApp Files 會使用 UID/GID 將繫結/搜尋要求傳送至 LDAP 伺服器 (FreeIPA、OpenLDAP 或 RHDS)。
  3. LDAP 回應:目錄伺服器會傳回使用者及群組屬性。
  4. 存取控制決策:Azure NetApp Files 會評估回應,並授與或拒絕存取權。
  5. 客戶端訪問:決策被傳達回客戶端。

使用案例

每種目錄服務在 Azure NetApp Files 中支援不同的使用案例。

FreeIPA

  • 混合 Linux 環境: 非常適合使用 FreeIPA 在混合雲部署中跨 Linux 系統進行集中身份管理的企業。
  • HPC 和分析工作負載: 支持依賴 FreeIPA 的高效能運算叢集和分析平台的安全身份驗證。
  • Kerberos 整合:啟用需要基於 Kerberos 的驗證的環境,以進行沒有 Active Directory 的 NFS 工作量。

OpenLDAP

  • 舊版應用程式支援:非常適合執行依賴 OpenLDAP 身分服務的舊版或自訂應用程式的組織。
  • 多平台身份管理: 提供輕量級、基於標準的解決方案,用於管理跨 Linux、UNIX 和容器化工作負載的訪問。
  • 成本優化部署: 適合尋求開源、靈活目錄解決方案的企業,無需 Active Directory 的開銷。

Red Hat 目錄伺服器

  • 企業級安全性和合規性:專為需要強化、企業支援的 LDAP 服務和強大安全控制的組織而設計。
  • 監管行業: 非常適合金融、醫療保健和政府部門,這些部門對合規性和供應商支持至關重要。
  • 與 Red Hat 生態系統集成: 無縫融入利用 Red Hat Enterprise Linux 和相關解決方案的環境。

考慮事項

  • 目前,NFSv3 和 NFSv4.1 磁區支援 FreeIPA、OpenLDAP 和 Red Hat Directory Server;但雙協定磁碟區暫時不支援這些服務。
  • 大型磁碟區目前不支援這些目錄服務。
  • 您必須先配置 LDAP 伺服器,才能建立磁區。
  • 您只能在 新的 NFS 磁碟區上設定 FreeIPA、OpenLDAP 或 Red Hat Directory Server。 您無法將現有磁碟區轉換為使用這些目錄服務。
  • FreeIPA、OpenLDAP 或 Red Hat Directory Server 目前不支援 Kerberos。

註冊功能

對 FreeIPA、OpenLDAP 和 Red Hat Directory Server 的支援目前處於預覽階段。 在將 NFS 磁碟區連接至下列其中一個目錄伺服器之前,您必須先登錄特性:

  1. 註冊此功能:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP

  2. 檢查功能註冊的狀態:

    備註

    RegistrationState 最多可以保持 Registering 60 分鐘的狀態,然後再變更為 Registered。 等到狀態變為 Registered 之後再繼續。

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP

您也可以使用 Azure CLI 命令az feature registeraz feature show 來註冊該功能,並顯示註冊狀態。

建立 LDAP 伺服器

您必須先建立 LDAP 伺服器,才能將它連線至 Azure NetApp Files 。 請遵循相關伺服器的指示:

在 Azure NetApp Files 中設定 LDAP 連線

  1. 在 Azure 入口網站中、導覽至 Azure NetApp Files 下的 LDAP 連線。

  2. 建立新的 LDAP 連線。

  3. 在新功能表中,提供:

    • 網域: 網域名稱作為基礎 DN。
    • LDAP 伺服器: LDAP 伺服器的 IP 位址。
    • 選擇性地,勾選此方塊以啟用透過 TLS 的 LDAP 進行安全通訊。 如需詳細資訊,請參閱 透過 TLS 設定 LDAP
    • 伺服器 CA 憑證: 憑證授權單位憑證。 如果您使用 LDAP over TLS,則需要此選項。
    • 憑證 CN 主機:主機的一般名稱伺服器,例如 contoso.server.com。

    設定 LDAP 連線選項的螢幕擷取畫面。

  4. 選取 [儲存]。

  5. 設定 LDAP 連線之後、您就可以建立 NFS 磁碟區

驗證 LDAP 連線

  1. 若要驗證連線,請使用 LDAP 連線來查看磁碟區的概觀。
  2. 選取 [LDAP 連線 ],然後選取 [LDAP 群組 ID 清單]。
  3. 在使用者名稱欄位中,輸入配置LDAP伺服器時提供的使用者名稱。 選取 [取得群組識別碼]。 確保組ID與客戶端和伺服器匹配。

後續步驟

  • Last updated on