Настройка служб каталогов LDAP для томов NFS Azure NetApp Files (предварительная версия)

Помимо поддержки собственных Active Directory, Azure NetApp Files поддерживает встроенную интеграцию со службами каталогов, включая FreeIPA, Red Hat Identity Management (IdM), OpenLDAP, Red Hat Directory Server и Oracle Unified Directory (OUD) для серверов каталогов упрощенного доступа к каталогам (LDAP). Благодаря поддержке собственного сервера каталогов LDAP можно обеспечить безопасный и масштабируемый контроль доступа на основе идентификации для томов NFS в средах Linux.

Интеграция LDAP Azure NetApp Files упрощает управление доступом к файловым ресурсам путем использования доверенных служб каталогов. Он поддерживает протоколы NFSv3 и NFSv4.1 и использует обнаружение на основе записей DNS SRV для обеспечения высокой доступности и балансировки нагрузки на серверах LDAP. С точки зрения бизнеса эта функция улучшает:

  • Соответствие: централизованное управление удостоверениями поддерживает аудит и применение политик
  • Эффективность. Сокращение административных расходов путем объединения элементов управления удостоверениями в системах Linux и NTFS
  • Безопасность: поддерживает протокол LDAP по протоколу TLS, симметричное или асимметричное сопоставление имен и расширенные членства в группах.
  • Простая интеграция: работает с существующей инфраструктурой LDAP
  • Масштабируемость: поддерживает большие каталоги пользователей и групп
  • Гибкость. Совместимость с несколькими реализациями LDAP

Поддерживаемые службы каталогов

  • FreeIPA: идеально подходит для безопасного централизованного управления удостоверениями в средах Linux
  • Red Hat IdM: централизованное управление удостоверениями и доступом в средах Linux
  • OpenLDAP: упрощенная и гибкая служба каталогов для пользовательских развертываний
  • Red Hat Directory Server: служба LDAP корпоративного уровня с расширенными функциями масштабируемости и безопасности
  • Oracle Unified Directory: служба каталогов LDAP корпоративного уровня идеально подходит для экосистем приложений Oracle, с мульти-главной репликацией и комплексными функциями соответствия требованиям

Это важно

Сведения о настройке LDAP с помощью Active Directory см. в статье "Настройка LDAP AD DS с расширенными группами для доступа к томам NFS".

Architecture

На следующей схеме показано, как Azure NetApp Files использует операции привязки и поиска LDAP для проверки подлинности пользователей и принудительного управления доступом на основе сведений о каталоге.

Схема сервера каталогов LDAP в Azure NetApp Files.

Архитектура включает следующие компоненты:

  • Виртуальная машина Linux клиента: инициирует запрос подключения NFS к Azure NetApp Files
  • Том Azure NetApp Files: получает запрос на подключение и выполняет запросы LDAP
  • Сервер каталогов LDAP: отвечает на запросы привязки и поиска с информацией о пользователях и группах
  • Решение по управлению доступом: применяет решения о доступе на основе ответов LDAP

Поток данных

  1. Запрос на подключение: виртуальная машина Linux отправляет запрос подключения NFSv3 или NFSv4.1 в Azure NetApp Files.
  2. Привязка/поиск LDAP: Azure NetApp Files отправляет на сервер LDAP (FreeIPA, Red Hat IdM, OpenLDAP или RHDS) запрос на привязку/поиск с использованием UID/GID.
  3. Ответ LDAP: сервер каталогов возвращает атрибуты пользователя и группы.
  4. Решение по управлению доступом: Azure NetApp Files оценивает ответ и предоставляет или запрещает доступ.
  5. Клиентский доступ: решение передается клиенту.

Соображения

  • FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server и Oracle Unified Directory поддерживаются с томами NFSv3 и NFSv4.1; В настоящее время они не поддерживаются с томами с двумя протоколами.
  • Перед созданием тома необходимо настроить сервер LDAP.
  • Вы можете настроить только FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server или Oracle Unified Directory на новых томах NFS. Вы не можете преобразовать существующие тома для использования этих служб каталогов.
  • Kerberos в настоящее время не поддерживается с FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server и Oracle Unified Directory.
  • По умолчанию время жизни (TTL) для положительных и отрицательных записей аутентификации пользователей и групп в кэше учетных данных NFS составляет 1 час.
  • Вам следует обратиться в службу поддержки Red Hat (IdM) по поводу любых проблем с доступностью, подключением, каталогом или аутентификацией, которые наблюдаются непосредственно на сервере IdM. Обратитесь в службу поддержки NetApp по вопросам, связанным с Azure NetApp Files интеграцией, конфигурацией или доступом.
  • Обратитесь в службу поддержки Oracle для любых проблем с подключением LDAP или данными каталогов, наблюдаемых непосредственно с Oracle Unified Directory. Обратитесь в службу поддержки NetApp для проблем, связанных с интеграцией и операциями Azure NetApp Files.

Зарегистрируйте функцию

Поддержка FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server и Oracle Unified Directory в настоящее время доступна в предварительной версии. Перед подключением томов NFS к одному из этих серверов каталогов необходимо зарегистрировать функцию:

  1. Зарегистрируйте функцию.

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
    
  2. Проверьте статус регистрации функции:

    Замечание

    RegistrationState может оставаться в состоянии Registering до 60 минут, прежде чем перейти в состояние Registered. Подождите, пока состояние не станет Registered, прежде чем продолжить.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
    

Вы также можете использовать команды Azure CLIaz feature register и az feature show, чтобы зарегистрировать эту функцию и отобразить состояние регистрации.

Создание сервера LDAP

Прежде чем подключить его к Azure NetApp Files, необходимо сначала создать сервер LDAP. Следуйте инструкциям для соответствующего сервера:

Настройка подключения LDAP в Azure NetApp Files

  1. На портале Azure выберите подключения LDAP в учетной записи NetApp.

  2. Нажмите кнопку +Создать , чтобы создать новое подключение LDAP.

    Снимок экрана: настройка параметров подключения LDAP.

  3. В окне настройки подключения LDAP укажите сведения о подключении:

    Снимок экрана: настройка параметров подключения LDAP.

    • Доменное имя: Доменное имя служит базовым DN.

    • Серверы LDAP: IP-адрес сервера LDAP.

    • ПРОТОКОЛ LDAP по протоколу TLS: При необходимости установите флажок, чтобы включить протокол LDAP через TLS для безопасного взаимодействия.

      Замечание

      Чтобы включить протокол LDAP по протоколу TLS на нескольких серверах, необходимо создать и установить общий сертификат на каждом сервере, а затем отправить сертификат ЦС сервера на портале Azure.

    • Сертификат ЦС сервера: Сертификат центра сертификации. Этот параметр необходим, если используется протокол LDAP по протоколу TLS.

    • CN-имя узла в сертификате: Общее имя узла, например server.contoso.com.

  4. Выберите тип проверки подлинности

    • Анонимные: Подключается без указания различающегося имени или пароля. Доступ регулируется политиками анонимного доступа сервера LDAP.
    • Simple: выполняет аутентификацию с помощью указанного Bind DN и пароля, полученного из секрета, хранящегося в Azure Key Vault.

    Снимок экрана с параметрами настройки аутентификации.

  5. В имени пользователя Bind DN укажите различающееся имя учетной записи, используемой для проверки подлинности с помощью сервера LDAP.
    Пример: uid=binduser,cn=users,cn=accounts,dc=contoso,dc=com

  6. Выберите секрет в Azure Key Vault, который содержит пароль привязки для проверки подлинности LDAP.

    • Введите URI секрета: Вы можете вручную ввести идентификатор секрета.
    • Выберите из Key Vault: Можно выбрать секрет из хранилища Azure Key Vault.

    Отображаются Key Vault и Secret. Чтобы выбрать другой секрет, нажмите кнопку "Изменить ".

  7. Выберите тип удостоверения, используемый для доступа к секрету Key Vault. Чтобы настроить управляемое удостоверение, нажмите кнопку "Добавить новое удостоверение " в окне редактирования и выберите одно из следующих элементов:

    • Назначенная системой: Включите управляемый идентификатор, назначенный системой.
    • Назначаемое пользователем: Выберите или добавьте существующее управляемое удостоверение, назначаемое пользователем.

    Замечание

    Этой сущности должна быть назначена как минимум роль Key Vault Secrets User в целевом хранилище Key Vault.

  8. Нажмите кнопку "Сохранить".

  9. После настройки подключения LDAP можно создать том NFS.

Проверка подключения LDAP

  1. Чтобы проверить подключение, перейдите к обзору тома, используя подключение LDAP.
  2. Выберите подключение LDAP , а затем список идентификаторов группы LDAP.
  3. В поле "Имя пользователя" введите имя пользователя, предоставленное при настройке сервера LDAP. Выберите "Получить идентификаторы групп". Убедитесь, что идентификаторы групп соответствуют клиенту и серверу.

Дополнительные сведения см. в разделе Устранение неполадок с доступом пользователей к томам LDAP в Azure NetApp Files.

Дальнейшие шаги