Grundlegendes zum einfachen Verzeichniszugriffsprotokoll (LDAP) in Azure NetApp Files
Das Lightweight Directory Access-Protokoll (LDAP) ist ein Standardverzeichniszugriffsprotokoll, das von einem internationalen Gremium namens Internet Engineering Task Force (IETF) entwickelt wurde. Das LDAP soll einen allgemeinen, netzwerkbasierten Verzeichnisdienst bereitstellen, den Sie auf heterogenen Plattformen verwenden können, um Netzwerkobjekte zu suchen.
LDAP-Modelle definieren die Kommunikation mit dem LDAP-Verzeichnisspeicher, das Suchen eines Objekts im Verzeichnis, die Beschreibung der Objekte im Speicher und die Sicherheit, die für den Zugriff auf das Verzeichnis verwendet wird. Das LDAP ermöglicht die Anpassung und Erweiterung der im Speicher beschriebenen Objekte. Daher können Sie einen LDAP-Speicher verwenden, um viele Arten verschiedener Informationen zu speichern. Viele der anfänglichen LDAP-Bereitstellungen konzentrierten sich auf die Verwendung des LDAP als Verzeichnisspeicher für Anwendungen wie E-Mail-Apps und Webanwendungen sowie zum Speichern von Mitarbeiterinformationen. Viele Unternehmen ersetzen oder haben den Netzwerkinformationsdienst (Network Information Service, NIS) durch das LDAP als Netzwerkverzeichnisspeicher ersetzt.
Ein LDAP-Server stellt UNIX-Benutzer- und -Gruppenidentitäten für die Verwendung mit NAS-Volumes bereit. In Azure NetApp Files ist Active Directory der einzige derzeit unterstützte LDAP-Server, der verwendet werden kann. Diese Unterstützung umfasst sowohl Active Directory Domain Services (AD DS) als auch Microsoft Entra Domain Services.
LDAP-Anforderungen können in zwei Hauptvorgänge unterteilt werden.
- LDAP-Bindungen sind Anmeldungen beim LDAP-Server von einem LDAP-Client. Die Bindung wird verwendet, um sich beim LDAP-Server mit schreibgeschütztem Zugriff für LDAP-Suchvorgänge zu authentifizieren. Azure NetApp Files fungiert als LDAP-Client.
- LDAP-Suchvorgänge werden verwendet, um das Verzeichnis nach Benutzer- und Gruppeninformationen abzufragen (z. B. Namen, numerische IDs, Heimverzeichnispfade, Anmeldeshellpfade und Gruppenmitgliedschaften).
Das LDAP kann die folgenden Informationen speichern, die beim Dualprotokoll-NAS-Zugriff verwendet werden:
- Benutzernamen
- Gruppennamen
- Numerische Benutzer-IDs (UIDs) und Gruppen-IDs (GIDs)
- Basisverzeichnisse
- Anmeldeshell
- Netzgruppen, DNS-Namen und IP-Adressen
- Gruppenmitgliedschaft
Derzeit verwendet Azure NetApp Files das LDAP nur für Benutzer- und Gruppeninformationen und somit nicht für Netzgruppen- oder Hostinformationen.
Das LDAP bietet verschiedene Vorteile für Ihre UNIX-Benutzer und -Gruppen als Identitätsquelle.
-
Das LDAP ist zukunftsfähig:
Da weitere NFS-Clients die Unterstützung für NFSv4.x hinzufügen, muss bei NFSv4.x-ID-Domänen, die eine aktuelle Liste der Benutzer und Gruppen enthalten, auf die über Clients und Speicher zugegriffen werden kann, eine optimale Sicherheit und der garantierte Zugriff sichergestellt sein, wenn die Einstellungen für den Zugriff definiert werden. Ein Identitätsverwaltungsserver, der 1:1-Namenszuordnungen für SMB- und NFS-Benutzer bereitstellt, vereinfacht die Arbeit von Speicheradministratoren nicht nur jetzt erheblich, sondern auch in der Zukunft. -
Das LDAP ist skalierbar:
LDAP-Server bieten die Möglichkeit, Millionen von Benutzer- und Gruppenobjekten zu enthalten, und mit Microsoft Active Directory können mehrere Server zur standortübergreifenden Replikation verwendet werden, um die Leistung und Resilienz zu skalieren. -
Das LDAP ist sicher:
Das LDAP bietet insofern Sicherheit, dass ein Speichersystem eine Verbindung mit dem LDAP-Server herstellen kann, um Anforderungen für Benutzerinformationen zu stellen. LDAP-Server bieten die folgenden Bindungsebenen:- Anonym (standardmäßig in Microsoft Active Directory deaktiviert; in Azure NetApp Files nicht unterstützt)
- Einfaches Kennwort (Nur-Text-Kennwörter; in Azure NetApp Files nicht unterstützt)
- Simple Authentication and Security Layer (SASL) – Es sind verschiedene verschlüsselte Bindungsmethoden verfügbar (z. B. TLS, SSL, Kerberos usw.). Azure NetApp Files unterstützt das LDAP über die TLS, die LDAP-Signatur (mit Kerberos) und das LDAP über SSL.
-
Das LDAP ist robust:
NIS, NIS+ und lokale Dateien bieten grundlegende Informationen (z. B. UID, GID, Kennwort, Heimverzeichnisse usw.). Das LDAP bietet jedoch diese Attribute und vieles mehr. Die zusätzlichen Attribute, die das LDAP verwendet, vereinfachen die Integration der Dualprotokollverwaltung im LDAP im Vergleich zum NIS. Nur das LDAP wird als externer Namensdienst für die Identitätsverwaltung mit Azure NetApp Files unterstützt. -
Microsoft Active Directory basiert auf dem LDAP:
Standardmäßig verwendet Microsoft Active Directory ein LDAP-Back-End für seine Benutzer- und Gruppeneinträge. Diese LDAP-Datenbank enthält jedoch keine UNIX-Stilattribute. Diese Attribute werden hinzugefügt, wenn das LDAP-Schema über das Identity Management für UNIX (Windows 2003R2 und höher), Service for UNIX (Windows 2003 und früher) oder LDAP-Tools von Drittanbietern (z. B. Centrify) erweitert wird. Da Microsoft das LDAP als Back-End verwendet, ist das LDAP die perfekte Lösung für Umgebungen, die sich für die Nutzung von Dualprotokollvolumes in Azure NetApp Files entscheiden.Hinweis
Azure NetApp Files unterstützt derzeit nur native Microsoft Active Directory for LDAP-Dienste.
LDAP-Grundlagen in Azure NetApp-Dateien
Im folgenden Abschnitt werden die Grundlagen des LDAP im Zusammenhang mit Azure NetApp Files erläutert.
LDAP-Informationen werden in Flatfiles auf einem LDAP-Server gespeichert und über ein LDAP-Schema organisiert. Sie sollten LDAP-Clients so konfigurieren, dass die Anforderungen und Suchvorgänge mit dem Schema auf dem LDAP-Server koordiniert werden.
LDAP-Clients initiieren Abfragen über eine LDAP-Bindung, bei der es sich im Wesentlichen um eine Anmeldung beim LDAP-Server handelt, indem ein Konto verwendet wird, das Lesezugriff auf das LDAP-Schema hat. Die LDAP-Bindungskonfiguration für die Clients ist so konfiguriert, dass der vom LDAP-Server definierte Sicherheitsmechanismus verwendet wird. Manchmal stellen diese Bindungen einen Benutzernamen- und Kennwortaustausch in Nur-Text-Elementen (einfach) dar. In anderen Fällen werden Bindungen über Simple Authentication and Security Layer-Methoden (
sasl) wie Kerberos oder das LDAP über die TLS geschützt. Azure NetApp Files verwendet das SMB-Computerkonto, um die SASL-Authentifizierung für die Bindung zu verwenden und somit für die bestmögliche Sicherheit zu sorgen.Benutzer- und Gruppeninformationen, die im LDAP gespeichert sind, werden von Clients mithilfe von LDAP-Standardsuchanforderungen abgefragt (wie in RFC 2307 definiert). Darüber hinaus ermöglichen neuere Mechanismen wie RFC 2307bis optimierte Benutzer- und Gruppensuchvorgänge. Azure NetApp Files verwendet eine Form von RFC 2307bis für Schemasuchvorgänge in Windows Active Directory.
LDAP-Server können Benutzer- und Gruppeninformationen sowie Netzgruppen speichern. Der Dienst kann jedoch derzeit keine Netzgruppenfunktionalität im LDAP unter Windows Active Directory verwenden.
Das LDAP in Azure NetApp Files wird für Port 389 verwendet. Dieser Port kann derzeit nicht geändert werden, um einen benutzerdefinierten Port wie Port 636 (LDAP über SSL) oder Port 3268 (globale Active Directory-Katalogsuche) zu verwenden.
Die verschlüsselte LDAP-Kommunikation kann mit dem LDAP über die TLS (Verwendung über Port 389) oder die LDAP-Signierung erreicht werden, die beide für die Active Directory-Verbindung konfiguriert werden können.
Azure NetApp Files unterstützt LDAP-Abfragen, die nicht länger als drei Sekunden dauern. Wenn der LDAP-Server über viele Objekte verfügt, kann dieses Timeout überschritten werden, und Authentifizierungsanforderungen können fehlschlagen. In diesen Fällen sollten Sie einen LDAP-Suchbereich angeben, um Abfragen für eine bessere Leistungsfähigkeit zu filtern.
Azure NetApp Files unterstützt auch die Angabe bevorzugter LDAP-Server, um Anforderungen zu beschleunigen. Verwenden Sie diese Einstellung, wenn Sie sicherstellen möchten, dass der LDAP-Server verwendet wird, der Ihrer Azure NetApp Files-Region am nächsten ist.
Wenn kein bevorzugter LDAP-Server festgelegt ist, wird der Name der Active Directory-Domäne im DNS für LDAP-Diensteinträge abgefragt, um die Liste der LDAP-Server aufzufüllen, die für Ihre Region in diesem SRV-Eintrag verfügbar sind. Sie können LDAP-Diensteinträge im DNS manuell über einen Client mit den Befehlen
nslookupoderdigabfragen.Zum Beispiel:
C:\>nslookup Default Server: localhost Address: ::1 > set type=SRV > _ldap._tcp.contoso.com. Server: localhost Address: ::1 _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 0 port = 389 svr hostname = oneway.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = ONEWAY.Contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = oneway.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = parisi-2019dc.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = contoso.com oneway.contoso.com internet address = x.x.x.x ONEWAY.Contoso.com internet address = x.x.x.x oneway.contoso.com internet address = x.x.x.x parisi-2019dc.contoso.com internet address = y.y.y.y contoso.com internet address = x.x.x.x contoso.com internet address = y.y.y.yLDAP-Server können auch für eine benutzerdefinierte Namenszuordnung für Benutzer verwendet werden. Weitere Informationen finden Sie unter Verstehen der Namenszuordnung mithilfe des LDAP.
Timeouts für LDAP-Abfrage
Standardmäßig tritt bei LDAP-Abfragen ein Timeout auf, wenn sie nicht abgeschlossen werden können. Wenn eine LDAP-Abfrage aufgrund eines Timeouts Fehler verursacht, schlägt die Benutzer- und/oder Gruppensuche fehl, und der Zugriff auf das Azure NetApp Files-Volume wird je nach Berechtigungseinstellungen des Volumes möglicherweise verweigert. Unter Erstellen und Verwalten von Active Directory-Verbindungen werden die LDAP-Abfragetimeouteinstellungen für Azure NetApp Files erläutert.