Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Когда пользователь пытается получить доступ к тому Azure NetApp Files через NFS, запрос поступает в числовой идентификатор. По умолчанию Azure NetApp Files поддерживает расширенные членства в группах для пользователей NFS (чтобы выйти за пределы стандартного 16 групп). В результате Azure NetApp files пытается принять этот числовый идентификатор и найти его в протоколе LDAP для упрощенного доступа к каталогам (LDAP) в попытке разрешить членство в группах для пользователя, а не передавать членство в группах в пакетЕ RPC. В связи с этим поведением, если этот числовые идентификаторы не могут быть разрешены пользователю в LDAP, поиск завершается ошибкой и доступ запрещен. Это отказ возникает, даже если запрашивающий пользователь имеет разрешение на доступ к структуре тома или данных.
Разрешение локальных пользователей NFS с параметром LDAP в подключениях Active Directory предназначено для отключения этих запросов LDAP для запросов NFS, отключив расширенные функции группы. Он не предоставляет "локальное создание и управление пользователями" в Azure NetApp Files.
Если включен параметр "Разрешить локальным пользователям NFS с протоколом LDAP", числовые идентификаторы передаются в Azure NetApp Files, а подстановка LDAP не возникает. Это создает разное поведение для различных сценариев, как описано ниже.
NFSv3 с томами стиля безопасности UNIX
Числовые идентификаторы не нужно переводить в имена пользователей. Параметр "Разрешить локальным пользователям NFS с помощью LDAP" не влияет на доступ к тому. Это может повлиять на то, как на клиенте NFS отображается владение пользователем или группой (перевод имен). Например, если числовый идентификатор 1001 является user1 в LDAP, но является пользователем2 в локальном файле сквозной передачи клиента NFS, клиент отображает "user2" в качестве владельца файла, если числовой идентификатор равен 1001.
NFSv4.1 с томами стиля безопасности UNIX
Числовые идентификаторы не нужно переводить в имена пользователей. По умолчанию NFSv4.1 использует строки имен (user@CONTOSO.COM) для проверки подлинности. Однако Azure NetApp Files поддерживает использование числовых идентификаторов с NFSV4.1, что означает, что запросы NFSv4.1 приходят на сервер NFS с числовым идентификатором. Если в локальных файлах или службах имен, таких как LDAP, для тома Azure NetApp Files нет числовых идентификаторов для перевода имен пользователей, число будет представлено клиенту. Если числовый идентификатор преобразуется в имя пользователя, используется строка имени. Если строка имени не совпадает, клиент сквосит имя анонимному пользователю, указанному в файле idmapd.conf клиента. Включение параметра "Разрешить локальным пользователям NFS с помощью LDAP" не влияет на доступ NFSv4.1. Доступ возвращается к стандартному поведению NFSv3, если Azure NetApp Files не может разрешить числовый идентификатор имени пользователя в локальной базе данных пользователей NFS. Azure NetApp Files содержит набор пользователей UNIX по умолчанию, которые могут быть проблематичны для некоторых клиентов и сквош к пользователю "никто", если строки идентификатора домена не совпадают.
- Локальные пользователи включают: root (0), pcuser (65534), никто (65535).
- Локальные группы включают: root (0), управляющая программа (1), pcuser (65534), никто (65535).
Чаще всего корневой каталог может отображаться неправильно в подключении клиента NFSv4.1 при неправильной настройке идентификатора домена NFSv4.1. Дополнительные сведения о домене идентификатора NFSv4.1 см. в разделе "Настройка домена идентификатора NFSv4.1 для Azure NetApp Files".
Списки управления доступом NFSv4.1 можно настроить с помощью строки имени или числового идентификатора. Если используются числовые идентификаторы, преобразование имен не требуется. Если используется строка имени, для правильного разрешения ACL потребуется перевод имен. При использовании списков управления доступом NFSv4.1 включение параметра "Разрешить локальным пользователям NFS с помощью LDAP" может привести к неправильному поведению ACL NFSv4.1 в зависимости от конфигурации ACL.
NFS (NFSv3 и NFSv4.1) с томами стиля безопасности NTFS в конфигурациях двойного протокола
Тома стиля безопасности UNIX используют разрешения на стиль UNIX (биты режима и списки управления доступом NFSv4.1). Для этих типов томов NFS использует только проверку подлинности в стиле UNIX, используя числовый идентификатор или строку имени в зависимости от описанных выше сценариев.
Однако тома безопасности NTFS используют разрешения на стиль NTFS. Эти разрешения назначаются пользователям и группам Windows. Когда пользователь NFS пытается получить доступ к тому с разрешением на стиль NTFS, необходимо выполнить сопоставление имен UNIX-to-Windows, чтобы обеспечить надлежащие элементы управления доступом. В этом сценарии числовый идентификатор NFS по-прежнему передается тому Azure NetApp Files NFS, но для преобразования числового идентификатора в имя пользователя UNIX требуется сопоставить с именем пользователя Windows для первоначальной проверки подлинности. Например, если числовый идентификатор 1001 пытается получить доступ к подключению NFS с разрешениями на стиль безопасности NTFS, которые позволяют получить доступ к пользователю Windows user1, то 1001 потребуется разрешить в LDAP имя пользователя "user1", чтобы получить ожидаемый доступ. Если пользователь с числовым идентификатором "1001" не существует в LDAP или если протокол LDAP неправильно настроен, сопоставление имен UNIX с Windows завершает попытку.1001@contoso.com В большинстве случаев пользователи с таким именем не существуют. В результате проверка подлинности завершается ошибкой, и доступ запрещен. Аналогичным образом, если числовой идентификатор 1001 разрешает неправильное имя пользователя (например, user2), запрос NFS сопоставляется с неверным пользователем Windows (в этом сценарии пользователь1 имеет доступ, предоставленный пользователю user2).
Включение параметра "Разрешить локальным пользователям NFS с помощью LDAP" отключает все преобразования числовых идентификаторов LDAP на имена пользователей. Это действие эффективно нарушает доступ к томам стиля безопасности NTFS. Таким образом, использование этого параметра с томами стиля безопасности NTFS не рекомендуется.