Vysvětlení základů protokolu LDAP (Lightweight Directory Access Protocol) ve službě Azure NetApp Files
Protokol LDAP (Lightweight Directory Access Protocol) je standardní přístupový protokol adresáře, který vyvinul mezinárodní výbor s názvem IETF (Internet Engineering Task Force). Protokol LDAP je určen k poskytování adresářové služby založené na obecném účelu, kterou můžete použít napříč heterogenními platformami k vyhledání síťových objektů.
Modely LDAP definují, jak komunikovat s úložištěm adresářů LDAP, jak najít objekt v adresáři, jak popsat objekty v úložišti a zabezpečení, které se používá pro přístup k adresáři. LDAP umožňuje přizpůsobení a rozšíření objektů popsaných v úložišti. Úložiště LDAP proto můžete použít k ukládání mnoha typů různorodých informací. Mnoho počátečních nasazení LDAP se zaměřilo na použití PROTOKOLU LDAP jako úložiště adresářů pro aplikace, jako jsou e-maily a webové aplikace a ukládání informací o zaměstnancích. Řada společností nahrazuje službu NIS (Network Information Service) protokolem LDAP jako síťové úložiště adresářů.
Server LDAP poskytuje identity uživatelů a skupin systému UNIX pro použití se svazky NAS. Ve službě Azure NetApp Files je Active Directory jediným aktuálně podporovaným serverem LDAP, který je možné použít. Tato podpora zahrnuje Doména služby Active Directory Services (AD DS) i službu Microsoft Entra Domain Services.
Požadavky LDAP je možné rozdělit do dvou hlavních operací.
- Vazby LDAP jsou přihlášení k serveru LDAP z klienta LDAP. Vazba se používá k ověření na serveru LDAP s přístupem jen pro čtení k provádění vyhledávání PROTOKOLU LDAP. Azure NetApp Files funguje jako klient LDAP.
- Vyhledávání LDAP slouží k dotazování adresáře na informace o uživatelích a skupinách, jako jsou jména, číselná ID, cesty k domovskému adresáři, cesty k přihlašovacím prostředím, členství ve skupinách a další.
Protokol LDAP může ukládat následující informace, které se používají v přístupu k NAS se dvěma protokoly:
- Uživatelská jména
- Názvy skupin
- ID čísel (UID) a ID skupin (GID)
- Domovské adresáře
- Přihlašovací prostředí
- Netgroups, názvy DNS a IP adresy
- Členství ve skupině
Služba Azure NetApp Files v současné době používá protokol LDAP pouze pro informace o uživatelích a skupinách, nikoli netgroup ani informace o hostitelích.
Ldap nabízí uživatelům a skupinám UNIX různé výhody jako zdroj identity.
-
Ldap je důkazem o budoucnosti.
Vzhledem k tomu, že více klientů NFS přidává podporu pro NFSv4.x, NFSv4.x ID domény, které obsahují aktuální seznam uživatelů a skupin přístupných z klientů a úložiště, jsou potřeba k zajištění optimálního zabezpečení a zaručeného přístupu při definování přístupu. Když máte server pro správu identit, který poskytuje mapování názvů 1:1 pro uživatele SMB a NFS, výrazně zjednodušuje život správcům úložiště, nejen v současnosti, ale i po letech. -
LDAP je škálovatelný.
Servery LDAP nabízejí možnost obsahovat miliony objektů uživatelů a skupin a s Microsoft Active Directory je možné použít k replikaci více serverů napříč několika lokalitami pro zajištění výkonu i odolnosti. -
Protokol LDAP je zabezpečený.
LDAP nabízí zabezpečení ve formě způsobu, jakým se systém úložiště může připojit k serveru LDAP, aby mohl vyhovět žádostem o informace o uživateli. Servery LDAP nabízejí následující úrovně vazby:- Anonymní (ve výchozím nastavení zakázáno v Microsoft Active Directory, nepodporuje se ve službě Azure NetApp Files)
- Jednoduché heslo (hesla ve formátu prostého textu, nepodporuje se v Azure NetApp Files)
- Simple Authentication and Security Layer (SASL) – šifrované metody vazby, včetně TLS, SSL, Kerberos atd. Azure NetApp Files podporuje protokol LDAP přes PROTOKOL TLS, podepisování LDAP (pomocí protokolu Kerberos), LDAP přes PROTOKOL SSL.
-
LDAP je robustní.
Nis, NIS+ a místní soubory nabízejí základní informace, jako jsou UID, GID, heslo, domovské adresáře atd. Ldap ale nabízí tyto atributy a mnoho dalších. Další atributy, které ldap používá, činí správu duálních protokolů mnohem integrovanější s protokolem LDAP a NIS. Jako externí názvovou službu pro správu identit pomocí služby Azure NetApp Files se podporuje jenom LDAP. -
Služba Microsoft Active Directory je založená na protokolu LDAP.
Služba Microsoft Active Directory ve výchozím nastavení používá back-end LDAP pro své položky uživatele a skupiny. Tato databáze LDAP však neobsahuje atributy stylu systému UNIX. Tyto atributy se přidají při rozšíření schématu LDAP prostřednictvím správy identit pro UNIX (Windows 2003R2 a novější), služby pro UNIX (Windows 2003 a starší) nebo nástrojů LDAP třetích stran, jako je Centrify. Vzhledem k tomu, že Microsoft používá protokol LDAP jako back-end, představuje protokol LDAP ideální řešení pro prostředí, která se rozhodnou využívat svazky se dvěma protokoly v Azure NetApp Files.Poznámka:
Služba Azure NetApp Files v současné době podporuje pouze nativní službu Microsoft Active Directory pro služby LDAP.
Základy PROTOKOLU LDAP ve službě Azure NetApp Files
Následující část popisuje základy PROTOKOLU LDAP, které se týkají služby Azure NetApp Files.
Informace LDAP jsou uloženy v plochých souborech na serveru LDAP a jsou uspořádány pomocí schématu LDAP. Klienti LDAP byste měli nakonfigurovat způsobem, který koordinuje jejich požadavky a vyhledávání se schématem na serveru LDAP.
Klienti LDAP iniciují dotazy prostřednictvím vazby protokolu LDAP, což je v podstatě přihlášení k serveru LDAP pomocí účtu, který má ke schématu LDAP přístup pro čtení. Konfigurace vazby protokolu LDAP na klientech je nakonfigurována tak, aby používala mechanismus zabezpečení definovaný serverem LDAP. Někdy se jedná o výměnu uživatelských jmen a hesel ve formátu prostého textu (jednoduché). V jiných případech jsou vazby zabezpečené prostřednictvím metod jednoduchého ověřování a vrstvy zabezpečení (
sasl), jako je Kerberos nebo LDAP přes PROTOKOL TLS. Azure NetApp Files používá účet počítače SMB k vytvoření vazby pomocí ověřování SASL za účelem co nejlepšího možného zabezpečení.Informace o uživatelích a skupinách uložené v protokolu LDAP se dotazují klienty pomocí standardních požadavků vyhledávání LDAP definovaných v dokumentu RFC 2307. Kromě toho novější mechanismy, jako je RFC 2307bis, umožňují efektivnější vyhledávání uživatelů a skupin. Azure NetApp Files používá pro vyhledávání schématu ve Windows Active Directory formu RFC 2307bis.
Servery LDAP mohou ukládat informace o uživateli a skupinách a netgroup. Služba Azure NetApp Files ale v současné době nemůže používat funkce netgroup v protokolu LDAP ve Službě Windows Active Directory.
LDAP v Azure NetApp Files funguje na portu 389. Tento port se momentálně nedá upravit tak, aby používal vlastní port, například port 636 (LDAP přes SSL) nebo port 3268 (vyhledávání globálního katalogu služby Active Directory).
Šifrované komunikace LDAP lze dosáhnout pomocí protokolu LDAP přes protokol TLS (který funguje přes port 389) nebo podepisování protokolu LDAP, z nichž obě je možné nakonfigurovat pro připojení služby Active Directory.
Azure NetApp Files podporuje dotazy LDAP, které dokončení trvá déle než 3 sekundy. Pokud má server LDAP mnoho objektů, může dojít k překročení časového limitu a žádosti o ověření můžou selhat. V takových případech zvažte zadání oboru vyhledávání LDAP pro filtrování dotazů pro zajištění lepšího výkonu.
Azure NetApp Files také podporuje zadávání upřednostňovaných serverů LDAP, které pomáhají zrychlit požadavky. Toto nastavení použijte, pokud chcete zajistit, aby se server LDAP nejblíže vaší oblasti Azure NetApp Files používal.
Pokud není nastavený žádný upřednostňovaný server LDAP, je název domény služby Active Directory dotazován v DNS pro záznamy služby LDAP, aby se naplnil seznam serverů LDAP dostupných pro vaši oblast umístěnou v tomto záznamu SRV. Záznamy služby LDAP v DNS můžete ručně dotazovat z klienta pomocí
nslookupnebodigpříkazů.Příklad:
C:\>nslookup Default Server: localhost Address: ::1 > set type=SRV > _ldap._tcp.contoso.com. Server: localhost Address: ::1 _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 0 port = 389 svr hostname = oneway.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = ONEWAY.Contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = oneway.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = parisi-2019dc.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = contoso.com oneway.contoso.com internet address = x.x.x.x ONEWAY.Contoso.com internet address = x.x.x.x oneway.contoso.com internet address = x.x.x.x parisi-2019dc.contoso.com internet address = y.y.y.y contoso.com internet address = x.x.x.x contoso.com internet address = y.y.y.yServery LDAP lze také použít k provádění mapování vlastních názvů pro uživatele. Další informace naleznete v tématu Vysvětlení mapování názvů pomocí protokolu LDAP.
Vypršení časového limitu dotazu LDAP
Ve výchozím nastavení vyprší časový limit dotazů LDAP, pokud je nelze dokončit. Pokud dotaz LDAP selže kvůli vypršení časového limitu, vyhledávání uživatele nebo skupiny selže a v závislosti na nastavení oprávnění svazku může být odepřen přístup ke svazku Azure NetApp Files. Informace o nastavení vypršení časového limitu dotazů LDAP služby Azure NetApp Files najdete v tématu Vytvoření a správa připojení Active Directory.