Vysvětlení povolení místních uživatelů systému souborů NFS s možností LDAP Pochopit mapování názvů pomocí protokolu LDAP ve službě Azure NetApp Files
Když se uživatel pokusí získat přístup ke svazku Azure NetApp Files přes systém souborů NFS, žádost se zobrazí v číselném ID. Azure NetApp Files ve výchozím nastavení podporuje rozšířená členství ve skupinách pro uživatele systému souborů NFS (pokud chcete překročit standardní limit 16 skupin). V důsledku toho se azure NetApp files pokusí vzít toto číselné ID a vyhledat ho v protokolu LDAP (Lightweight Directory Access Protocol) při pokusu o vyřešení členství ve skupinách pro uživatele, a ne předání členství ve skupinách v paketu RPC. Vzhledem k tomuto chování se v případě, že toto číselné ID nelze přeložit na uživatele v protokolu LDAP, vyhledávání selže a přístup se odepře. K tomuto odepření dochází i v případě, že žadatel má oprávnění pro přístup ke svazku nebo datové struktuře.
Možnost Povolit místním uživatelům systému souborů NFS s možností LDAP v připojeních služby Active Directory je určena k zakázání těchto vyhledávání PROTOKOLU LDAP pro požadavky NFS zakázáním rozšířených funkcí skupiny. V Azure NetApp Files neposkytuje místní vytváření a správu uživatelů.
Pokud je povolená možnost Povolit místním uživatelům NFS s protokolem LDAP, předají se do služby Azure NetApp Files číselná ID a nedojde k žádnému vyhledávání protokolu LDAP. To vytváří různá chování pro různé scénáře, jak je popsáno níže.
NFSv3 se svazky se stylem zabezpečení systému UNIX
Číselná ID se nemusí překládat na uživatelská jména. Možnost Povolit místním uživatelům NFS s protokolem LDAP nemá vliv na přístup ke svazku. Může ovlivnit zobrazení vlastnictví uživatele nebo skupiny (překlad názvů) v klientovi NFS. Pokud je například číselné ID 1001 uživatelem 1 v protokolu LDAP, ale je uživatelem 2 v místním souboru passwd klienta SYSTÉMU SOUBORŮ NFS, zobrazí se jako vlastník souboru uživatel2, pokud je číselné ID 1001.
NFSv4.1 se svazky stylů zabezpečení UNIX
Číselná ID se nemusí překládat na uživatelská jména. Ve výchozím nastavení používá NFSv4.1 pro ověřování řetězce názvů (user@CONTOSO.COM). Azure NetApp Files ale podporuje použití číselných ID se systémem souborů NFSV4.1, což znamená, že požadavky NFSv4.1 přicházejí na server NFS s číselným ID. Pokud v místních souborech nebo názvových službách, jako je LDAP pro svazek Azure NetApp Files, neexistuje žádné číselné ID pro překlad uživatelského jména, zobrazí se klientovi číslo. Pokud se číselné ID přeloží na uživatelské jméno, použije se řetězec názvu. Pokud se řetězec názvu neshoduje, klient zamáčká jméno anonymnímu uživateli zadanému v souboru idmapd.conf klienta. Povolení možnosti Povolit místním uživatelům NFS s protokolem LDAP nemá vliv na přístup NFSv4.1. Access se vrátí ke standardnímu chování NFSv3, pokud Azure NetApp Files nedokáže přeložit číselné ID na uživatelské jméno v místní uživatelské databázi NFS. Služba Azure NetApp Files obsahuje sadu výchozích uživatelů systému UNIX, kteří můžou být pro některé klienty problematické, a pokud se řetězce ID domény neshodují, může být pro některé klienty problematické.
- Mezi místní uživatele patří: root (0), pcuser (65534), nikdo (65535).
- Mezi místní skupiny patří: root (0), démon (1), pcuser (65534), nikdo (65535).
Nejčastěji se v připojení klienta NFSv4.1 může nesprávně zobrazovat kořen, když je ID domény NFSv4.1 chybně nakonfigurované. Další informace o doméně ID NFSv4.1 najdete v tématu Konfigurace domény ID NFSv4.1 pro Azure NetApp Files.
Seznamy ACL NFSv4.1 je možné nakonfigurovat pomocí řetězce názvu nebo číselného ID. Pokud se použijí číselná ID, nevyžaduje se překlad názvů. Pokud se použije řetězec názvu, bude se pro správné rozlišení seznamu ACL vyžadovat překlad názvů. Při použití seznamů ACL NFSv4.1 může povolení možnosti Povolit místním uživatelům NFS s protokolem LDAP způsobit nesprávné chování seznamu ACL NFSv4.1 v závislosti na konfiguraci seznamu ACL.
NFS (NFSv3 a NFSv4.1) se svazky stylu zabezpečení NTFS v konfiguracích se dvěma protokoly
Svazky stylů zabezpečení systému UNIX využívají oprávnění pro styl UNIX (bity režimu a seznamy ACL NFSv4.1). Pro tyto typy svazků využívá systém NFS pouze ověřování ve stylu UNIX s využitím číselného ID nebo řetězce názvu v závislosti na výše uvedených scénářích.
Svazky se stylem zabezpečení NTFS ale používají oprávnění ke stylu SYSTÉMU SOUBORŮ NTFS. Tato oprávnění se přiřazují pomocí uživatelů a skupin Windows. Když se uživatel systému souborů NFS pokusí získat přístup ke svazku se stylem NTFS, musí dojít k mapování názvů systému UNIX-to-Windows, aby se zajistilo správné řízení přístupu. V tomto scénáři je číselné ID systému souborů NFS stále předáno svazku NFS služby Azure NetApp Files, ale existuje požadavek na překlad číselného ID na uživatelské jméno systému UNIX, aby bylo možné ho pak namapovat na uživatelské jméno systému Windows pro počáteční ověření. Pokud se například číselné ID 1001 pokusí o přístup k připojení systému souborů NFS s oprávněními typu zabezpečení NTFS, které umožňují přístup k uživateli Windows user1, bude potřeba přeložit číslo 1001 v protokolu LDAP na uživatelské jméno "user1", aby bylo možné získat očekávaný přístup. Pokud v protokolu LDAP neexistuje žádný uživatel s číselným ID "1001", nebo pokud je chybně nakonfigurovaný protokol LDAP, dokončí mapování názvů systému UNIX na Windows pokusem 1001@contoso.com. Ve většině případů uživatelé s tímto názvem neexistují. V důsledku toho ověřování selže a přístup se odepře. Podobně platí, že pokud se číselné ID 1001 přeloží na nesprávné uživatelské jméno (například user2), požadavek NFS se mapuje na nesprávného uživatele Windows (v tomto scénáři má uživatel1 udělený přístup uživateli user2).
Povolení možnosti Povolit místním uživatelům NFS pomocí protokolu LDAP zakáže všechny překlady číselNÝCH ID na uživatelská jména. Tato akce efektivně přeruší přístup ke svazkům se stylem zabezpečení NTFS. Použití této možnosti u svazků se stylem zabezpečení NTFS se proto nedoporučuje.