Включение аутентификации LDAP для служб домена Active Directory (AD DS) для NFS

При создании тома NFS можно включить протокол LDAP с расширенными группами (параметр LDAP ) для тома. Эта функция позволяет пользователям и расширенным группам Active Directory (до 1024 групп) получать доступ к файлам и каталогам в томе. Функцию расширенных групп в протоколе LDAP можно использовать с томами NFSv4.1 и NFSv3.

Замечание

По умолчанию в LDAP серверах Active Directory атрибут MaxPageSize установлен в 1000. Этот параметр означает, что группы, превышающие 1000, усечены в запросах LDAP. Чтобы включить полную поддержку с 1024 значением для расширенных групп, MaxPageSize атрибут необходимо изменить, чтобы отразить значение 1024. Сведения об изменении этого значения см. в статье " Просмотр и установка политики LDAP в Active Directory с помощью Ntdsutil.exe".

Azure NetApp Files поддерживает получение расширенных групп из службы имен LDAP, а не из заголовка RPC. Azure NetApp Files взаимодействует с LDAP, запрашивая атрибуты, такие как имена пользователей, числовые идентификаторы, группы и членства в группах для операций протокола NFS.

При определении того, что LDAP будет использоваться для таких операций, как поиск имен и получение расширенных групп, происходит следующий процесс:

  1. Azure NetApp Files использует конфигурацию клиента LDAP для попытки подключения к AD DS или серверу LDAP доменных служб Microsoft Entra, указанному в конфигурации Azure NetApp Files AD.
  2. Если TCP-подключение через определенный порт службы LDAP в Active Directory или Microsoft Entra Domain Services успешно установлено, клиент LDAP Azure NetApp Files пытается "привязаться" (войти) к серверу LDAP Active Directory или Microsoft Entra Domain Services (контроллеру домена), используя заданные учетные данные в конфигурации клиента LDAP.
  3. Если привязка выполнена успешно, клиент LDAP Azure NetApp Files использует схему LDAP RFC 2307bis для выполнения запроса поиска LDAP к AD DS или серверу LDAP доменных служб Microsoft Entra (контроллер домена). Следующие сведения передаются серверу в запросе:
    • Базовое или пользовательское DN (для узкой области поиска)
    • Тип области поиска (поддерев)
    • Класс объектов (userposixAccountдля пользователей и posixGroup групп)
    • UID или имя пользователя
    • Запрошенные атрибуты (uid, uidNumber, gidNumber для пользователей или gidNumber для групп)
  4. Если пользователь или группа не найдена, запрос завершится ошибкой и доступ запрещен.
  5. Если запрос выполнен успешно, атрибуты пользователей и групп кэшируются для дальнейшего использования. Эта операция повышает производительность последующих запросов LDAP, связанных с атрибутами кэшированного пользователя или группы. Это также снижает нагрузку на сервер LDAP доменных служб Active Directory или Microsoft Entra.

Это важно

Сведения о настройке LDAP с альтернативным сервером см. в разделе "Настройка сервера LDAP".

Соображения

  • Вы можете включить протокол LDAP с расширенными группами только во время создания тома. Эта функция не может быть включена ретроактивно в существующих томах.

  • LDAP с расширенными группами поддерживается только с доменными службами Active Directory (AD DS) или доменными службами Microsoft Entra. OpenLDAP или другие сторонние службы каталогов LDAP не поддерживаются.

  • Протокол LDAP через TLS не должен быть включен, если вы используете доменные службы Microsoft Entra.

  • Вы не можете изменить настройку параметра LDAP (включен или отключен) после создания тома.

  • В следующей таблице описаны параметры времени жизни (TTL) для кэша LDAP. Прежде чем пытаться получить доступ к файлу или каталогу через клиент, необходимо дождаться обновления кэша. В противном случае на клиенте появится сообщение об отказе в доступе или разрешении.

    Кэш Время ожидания по умолчанию
    Список членства в группах 24-часовой TTL
    Группы Unix 24-часовой TTL, 1-минутный отрицательный TTL
    Пользователи Unix 24-часовой TTL, 1-минутный отрицательный TTL

    У кэшей есть определенный срок действия, называемый Time to Live. После периода ожидания записи возрастют, чтобы устаревшие записи не задерживались. Отрицательное значение TTL — это значение, где хранятся неудавшиеся поисковые запросы, чтобы избежать проблем с производительностью из-за LDAP-запросов для объектов, которые могут не существовать.

  • Опция Разрешить локальных пользователей NFS с помощью LDAP в соединениях Active Directory предназначена для предоставления случайного и временного доступа местным пользователям. Если этот параметр включен, проверка подлинности пользователей и поиск с сервера LDAP перестает работать, а количество членства в группах, которые будет поддерживать Azure NetApp Files, будет ограничено 16. Таким образом, этот параметр следует отключить в подключениях Active Directory, за исключением случаев, когда локальный пользователь должен получить доступ к томам с поддержкой LDAP. В этом случае этот параметр следует отключить, как только локальный доступ пользователей больше не требуется для тома. См. Разрешить локальным пользователям NFS с LDAP доступ к томам с двойным протоколом для управления доступом локальных пользователей.

Этапы

  1. Тома LDAP требуют конфигурации Active Directory для параметров сервера LDAP. Следуйте инструкциям в статье "Требования к подключениям Active Directory " и создание подключения Active Directory для настройки подключений Active Directory на портале Azure.

    Замечание

    Убедитесь, что вы настроили параметры подключения Active Directory. Учетная запись компьютера будет создана в подразделении , указанном в параметрах подключения Active Directory. Параметры используются клиентом LDAP для проверки подлинности с помощью Active Directory.

  2. Убедитесь, что сервер LDAP Active Directory запущен и работает в Active Directory.

  3. Пользователи LDAP NFS должны иметь определенные атрибуты POSIX на сервере LDAP. Задайте атрибуты для пользователей LDAP и групп LDAP следующим образом:

    • Обязательные атрибуты для пользователей LDAP:
      uid: Alice,
      uidNumber: 139,
      gidNumber: 555,
      objectClass: user, posixAccount
    • Обязательные атрибуты для групп LDAP:
      objectClass: group, posixGroup,
      gidNumber: 555

    Значения, указанные для objectClass, являются отдельными записями. Например, в редакторе строк с несколькими значениями под названием objectClass для пользователей LDAP были бы указаны отдельные значения, такие как user и posixAccount.

    Замечание

    Если атрибуты POSIX настроены неправильно, операции поиска пользователей и групп могут завершиться неудачно, и пользователи могут быть понижены до nobody при доступе к томам NFS.

    Снимок экрана: редактор строк с несколькими значениями, указанными для класса объектов.

    Управлять атрибутами POSIX можно с помощью оснастки MMC Active Directory Пользователи и компьютеры. В следующем примере показан редактор атрибутов Active Directory. Дополнительные сведения см. в редакторе атрибутов Active Directory Access .

    Редактор атрибутов Active Directory

  4. Если вы хотите настроить клиент Linux, интегрированный с ldap, NFSv4.1, см. статью "Настройка клиента NFS для Azure NetApp Files".

  5. Если тома с поддержкой LDAP используют NFSv4.1, следуйте инструкциям из Конфигурация домена идентификатора NFSv4.1 для настройки файла /etc/idmapd.conf.

    Вам необходимо задать Domain для домена, который настроен в /etc/idmapd.conf подключении Active Directory в вашей учетной записи NetApp. Например, если contoso.com это настроенный домен в учетной записи NetApp, установите его Domain = contoso.com.

    Затем необходимо перезапустить rpcbind службу на узле или перезагрузить узел.

  6. Следуйте указаниям в Создание тома NFS для Azure NetApp Files, чтобы создать том NFS. Во время процесса создания тома на вкладке "Протокол" включите параметр LDAP .

    Снимок экрана страницы создания тома с опцией LDAP.

  7. Необязательно. Можно предоставить возможность локальным пользователям клиента NFS, не представленным на сервере LDAP Windows, получить доступ к тому объему NFS, который поддерживает расширенные группы LDAP. Для этого включите параметр Разрешить локальным пользователям NFS использовать LDAP следующим образом:

    1. Выберите подключения Active Directory. В существующем подключении Active Directory выберите контекстное меню (три точки ) и нажмите кнопку "Изменить".
    2. В появившемся окне "Изменить параметры Active Directory " выберите параметр Allow local NFS users with LDAP .

    Снимок экрана, показывающий параметр

  8. Необязательно. Если у вас есть большие топологии и используется стиль безопасности Unix с томом двойного протокола или LDAP с расширенными группами, можно использовать параметр области поиска LDAP, чтобы избежать ошибок "отказано в доступе" на клиентах Linux для Azure NetApp Files.

    Параметр области поиска LDAP настраивается на странице "Подключения Active Directory ".

    Чтобы определить пользователей и группы с сервера LDAP для крупных топологий, задайте значения параметров DN пользователя, DN группы и фильтр участия в группе на странице подключений Active Directory следующим образом:

    • Укажите вложенные DN пользователя и DN группы в формате OU=subdirectory,OU=directory,DC=domain,DC=com. Можно указать несколько подразделений с запятой, например: OU=subdirectory1,OU=directory1,DC=domain,DC=com;OU=subdirectory2,OU=directory2,DC=domain,DC=com
    • Укажите фильтр членства в группах в формате (gidNumber=*). Например, установка (gidNumber=9*), чтобы поиск gidNumbers начинался с 9. Вы также можете использовать два фильтра вместе: (|(cn=*22)(cn=*33)) для поиска значений CN, заканчивающихся на 22 или 33.
    • Если пользователь является членом более 256 групп, будут перечислены только 256 групп.
    • В случае возникновения ошибок для томов LDAP обратитесь к соответствующему разделу документации.

    Снимок экрана: параметры, связанные с областью поиска LDAP

Дальнейшие шаги

  • Last updated on