Настройка служб каталогов LDAP для томов NFS Azure NetApp Files (предварительная версия)

Помимо собственной поддержки Active Directory, Azure NetApp Files поддерживает нативную интеграцию со службами каталогов, включая FreeIPA, OpenLDAP и Red Hat Directory Server для серверов каталогов LDAP. Благодаря поддержке собственного сервера каталогов LDAP можно обеспечить безопасный и масштабируемый контроль доступа на основе идентификации для томов NFS в средах Linux.

Интеграция LDAP Azure NetApp Files упрощает управление доступом к файловым ресурсам путем использования доверенных служб каталогов. Он поддерживает протоколы NFSv3 и NFSv4.1 и использует обнаружение на основе записей DNS SRV для обеспечения высокой доступности и балансировки нагрузки на серверах LDAP. С точки зрения бизнеса эта функция улучшает:

• Соответствие: централизованное управление удостоверениями поддерживает аудит и применение политик
• Эффективность. Сокращение административных расходов путем объединения элементов управления удостоверениями в системах Linux и NTFS
• Безопасность: поддерживает протокол LDAP по протоколу TLS, симметричное или асимметричное сопоставление имен и расширенные членства в группах.
• Простая интеграция: работает с существующей инфраструктурой LDAP
• Масштабируемость: поддерживает большие каталоги пользователей и групп
• Гибкость. Совместимость с несколькими реализациями LDAP

Поддерживаемые службы каталогов

• FreeIPA: идеально подходит для безопасного централизованного управления удостоверениями в средах Linux
• OpenLDAP: упрощенная и гибкая служба каталогов для пользовательских развертываний
• Red Hat Directory Server: служба LDAP корпоративного уровня с расширенными функциями масштабируемости и безопасности

Architecture

На следующей схеме показано, как Azure NetApp Files использует операции привязки и поиска LDAP для проверки подлинности пользователей и принудительного управления доступом на основе сведений о каталоге.

Архитектура включает следующие компоненты:

• Клиент виртуальной машины Linux: инициирует запрос подключения NFS к Azure NetApp Files
• Том Azure NetApp Files: получает запрос на подключение и выполняет запросы LDAP
• Сервер каталогов LDAP: отвечает на запросы привязки и поиска с информацией о пользователях и группах
• Логика управления доступом: принудительно принимает решения о доступе на основе ответов LDAP

Поток данных

1. Запрос на подключение: виртуальная машина Linux отправляет запрос подключения NFSv3 или NFSv4.1 в Azure NetApp Files.
2. Привязка и поиск LDAP: Azure NetApp Files отправляет запрос на привязку и поиск на сервер LDAP (FreeIPA, OpenLDAP или RHDS) с использованием UID/GID.
3. Ответ LDAP: сервер каталогов возвращает атрибуты пользователя и группы.
4. Решение по управлению доступом: Azure NetApp Files оценивает ответ и предоставляет или запрещает доступ.
5. Клиентский доступ: решение передается клиенту.

Случаи использования

Каждая служба каталогов предназначена для разных сценариев использования в Azure NetApp Files.

FreeIPA

• Гибридные среды Linux: идеально подходит для предприятий, использующих FreeIPA для централизованного управления удостоверениями в системах Linux в гибридных облачных развертываниях.
• Рабочие нагрузки HPC и аналитики: поддерживает безопасную проверку подлинности для высокопроизводительных вычислительных кластеров и платформ аналитики, использующих FreeIPA.
• Интеграция Kerberos. Включает среды, требующие проверки подлинности на основе Kerberos для рабочих нагрузок NFS без Active Directory.

OpenLDAP

• Поддержка устаревших приложений: идеально подходит для организаций, выполняющих устаревшие или пользовательские приложения, зависящие от OpenLDAP для служб удостоверений.
• Управление удостоверениями для нескольких платформ: предоставляет упрощенное решение на основе стандартов для управления доступом к рабочим нагрузкам Linux, UNIX и контейнеризированным рабочим нагрузкам.
• Экономичные развертывания: подходят предприятиям, которые ищут решение с открытым исходным кодом и гибким каталогом без затрат, связанных с использованием Active Directory.

Сервер каталогов Red Hat

• Безопасность и соответствие требованиям корпоративного уровня: предназначено для организаций, требующих жесткой защиты, поддерживаемых корпоративными службами LDAP с строгими элементами управления безопасностью.
• Регулируемые отрасли: идеально подходит для финансовых, медицинских и государственных секторов, где поддержка соответствия требованиям и поставщиков критически важна.
• Интеграция с Экосистемой Red Hat: легко вписывается в среды, используя Red Hat Enterprise Linux и связанные решения.

Соображения

• FreeIPA, OpenLDAP и Red Hat Directory Server поддерживаются с томами NFSv3 и NFSv4.1; В настоящее время они не поддерживаются с томами с двумя протоколами.
• В настоящее время эти службы каталогов не поддерживаются с большими объемами.
• Перед созданием тома необходимо настроить сервер LDAP.
• Вы можете настроить только FreeIPA, OpenLDAP или Red Hat Directory Server на новых томах NFS. Вы не можете преобразовать существующие тома для использования этих служб каталогов.
• Kerberos в настоящее время не поддерживается с FreeIPA, OpenLDAP или Сервером каталогов Red Hat.

Зарегистрируйте функцию

Поддержка FreeIPA, OpenLDAP и Red Hat Directory Server в настоящее время доступна в предварительной версии. Перед подключением томов NFS к одному из этих серверов каталогов необходимо зарегистрировать функцию:

1. Зарегистрируйте функцию.

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

2. Проверьте статус регистрации функции:

   Замечание

   RegistrationState может оставаться в состоянии Registering до 60 минут, прежде чем перейти в состояние Registered. Подождите, пока состояние не станет Registered, прежде чем продолжить.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

Вы также можете использовать команды Azure CLIaz feature register и az feature show, чтобы зарегистрировать эту функцию и отобразить состояние регистрации.

Создание сервера LDAP

Прежде чем подключить его к Azure NetApp Files, необходимо сначала создать сервер LDAP. Следуйте инструкциям для соответствующего сервера:

• Чтобы настроить FreeIPA, ознакомьтесь с кратким руководством по FreeIPA , а затем следуйте инструкциям Red Hat.
• Сведения о OpenLDAP см. в документации по OpenLDAP.
• Для сервера каталогов Red Hat следуйте документации по Red Hat. Дополнительные сведения см. в руководстве по установке сервера каталогов 389.

Настройка подключения LDAP в Azure NetApp Files

1. На портале Azure перейдите к подключениям LDAP в Azure NetApp Files.

2. Создайте новое подключение LDAP.

3. В новом меню укажите:

   • Домен: Доменное имя служит базовым DN.

   • Серверы LDAP: IP-адрес сервера LDAP.

   • ПРОТОКОЛ LDAP по протоколу TLS: При необходимости установите флажок, чтобы включить протокол LDAP через TLS для безопасного взаимодействия. Дополнительные сведения см. в разделе "Настройка LDAP по протоколу TLS".

     Замечание

     Чтобы включить протокол LDAP по протоколу TLS на нескольких серверах, необходимо создать и установить общий сертификат на каждом сервере, а затем отправить сертификат ЦС сервера на портале Azure.

   • Сертификат ЦС сервера: Сертификат центра сертификации. Этот параметр необходим, если используется протокол LDAP по протоколу TLS.

   • Имя узла CN сертификата: Общий домен узла, например contoso.server.com.

   

4. Нажмите кнопку "Сохранить".

5. После настройки подключения LDAP можно создать том NFS.

Проверка подключения LDAP

1. Чтобы проверить подключение, перейдите к обзору тома, используя подключение LDAP.
2. Выберите подключение LDAP , а затем список идентификаторов группы LDAP.
3. В поле "Имя пользователя" введите имя пользователя, предоставленное при настройке сервера LDAP. Выберите "Получить идентификаторы групп". Убедитесь, что идентификаторы групп соответствуют клиенту и серверу.

Дальнейшие шаги

• Общие сведения о LDAP
• Понимание сопоставления имен с помощью LDAP
• Общие сведения о том, как разрешить локальным пользователям NFS с параметром LDAP
• Общие сведения о схемах LDAP
• Создание тома NFS