Descripción de los conceptos básicos del protocolo ligero de acceso a directorios (LDAP) en Azure NetApp Files

El protocolo ligero de acceso a directorios (LDAP) es un protocolo estándar de acceso a directorios desarrollado por un comité internacional denominado Grupo de trabajo de ingeniería de Internet (IETF). LDAP está diseñado para proporcionar un servicio de directorio basado en red y de uso general que se puede utilizar en plataformas heterogéneas para localizar objetos de red.

Los modelos LDAP definen cómo comunicarse con el almacén de directorios LDAP, cómo encontrar un objeto en el directorio, cómo describir los objetos del almacén y la seguridad que se utiliza para acceder al directorio. LDAP permite la personalización y extensión de los objetos que se describen en el almacén. Por lo tanto, puede utilizar un almacén LDAP para almacenar muchos tipos de información diversa. Muchas de las implementaciones iniciales de LDAP se centraron en el uso de LDAP como almacén de directorios para aplicaciones como el correo electrónico y las aplicaciones web y para almacenar información de los empleados. Muchas empresas reemplazan o han reemplazado Servicio de información de la red (NIS) por LDAP como almacén de directorios de red.

Un servidor LDAP proporciona identidades de usuarios y grupos UNIX para su uso con volúmenes NAS. En Azure NetApp Files, Active Directory es el único servidor LDAP admitido actualmente que se puede usar. Esta compatibilidad incluye Active Directory Domain Services (AD DS) y Microsoft Entra Domain Services.

Las solicitudes LDAP se pueden dividir en dos operaciones principales.

• Los enlaces LDAP son inicios de sesión en el servidor LDAP desde un cliente LDAP. El enlace se usa para autenticarse en el servidor LDAP con acceso de solo lectura para realizar búsquedas LDAP. Azure NetApp Files actúa como un cliente LDAP.
• Las búsquedas LDAP se usan para consultar el directorio de información de usuarios y grupos, como nombres, id. numéricos, rutas de directorios personales, rutas de shell de inicio de sesión, pertenencia a grupos, etc.

LDAP puede almacenar la siguiente información que se usa en el acceso NAS de protocolo dual:

• Nombres de usuario
• Nombres de grupo
• Id. numérico de usuario (UID) e id. de grupo (GID)
• Directorios principales
• Shell de inicio de sesión
• Netgroups, nombres DNS y direcciones IP
• Pertenencia a grupos

Actualmente, Azure NetApp Files solo usa LDAP para la información de usuarios y grupos, pero no para la información de netgroup o hosts.

LDAP ofrece varias ventajas para sus usuarios y grupos UNIX como fuente de identidad.

• LDAP es a prueba de futuro.
  A medida que más clientes NFS agregan compatibilidad con NFSv4.x, se necesitan dominios de id. NFSv4.x que contengan una lista actualizada de usuarios y grupos accesibles desde los clientes y el almacenamiento para garantizar una seguridad óptima y un acceso garantizado cuando se defina el acceso. Tener un servidor de administración de identidades que proporcione asignaciones de nombres uno a uno para los usuarios de SMB y NFS por igual simplifica considerablemente la vida útil para los administradores de almacenamiento, no solo en el presente, sino por años.
• LDAP es escalable.
  Los servidores LDAP ofrecen la posibilidad de contener millones de objetos de usuario y grupo, y con Microsoft Active Directory, se pueden utilizar varios servidores para replicarse en varios sitios, tanto a escala de rendimiento como de resistencia.
• LDAP es seguro.
  LDAP ofrece seguridad en forma de cómo un sistema de almacenamiento puede conectarse al servidor LDAP para realizar solicitudes de información del usuario. Los servidores LDAP ofrecen los siguientes niveles de enlace:
  • Anónimo (deshabilitado de forma predeterminada en Microsoft Active Directory; no se admite en Azure NetApp Files)
  • Contraseña simple (contraseñas de texto sin formato; no se admite en Azure NetApp Files)
  • Nivel de seguridad y autenticación simples (SASL): métodos de enlace cifrados, como TLS, SSL, Kerberos, etc. Azure NetApp Files admite LDAP a través de TLS, firma LDAP (mediante Kerberos), LDAP a través de SSL.
• LDAP es sólido.
  Los archivos NIS, NIS+ y locales ofrecen información básica como UID, GID, contraseña, directorios principales, etc. Sin embargo, LDAP ofrece esos atributos y muchos más. Los atributos adicionales que usa LDAP hacen que la administración de protocolos duales sea mucho más integrada con LDAP frente a NIS. Solo se admite LDAP como un servicio de nombres externo para la administración de identidades con Azure NetApp Files.
• Microsoft Active Directory se basa en LDAP.
  De manera predeterminada, Microsoft Active Directory utiliza un backend LDAP para sus entradas de usuarios y grupos. Sin embargo, esta base de datos LDAP no contiene atributos de estilo UNIX. Estos atributos se agregan cuando el esquema LDAP se extiende a través de Identity Management para UNIX (Windows 2003R2 y versiones posteriores), Servicio para UNIX (Windows 2003 y versiones anteriores) o herramientas LDAP de terceros como Centrify. Dado que Microsoft utiliza LDAP como backend, lo convierte en la solución perfecta para los entornos que deciden aprovechar los volúmenes de doble protocolo en Azure NetApp Files.

  Nota:

  Actualmente, Azure NetApp Files solo admite Microsoft Active Directory nativo para los servicios LDAP.

Conceptos básicos de LDAP en Azure NetApp Files

En la sección siguiente se describen los conceptos básicos de LDAP en lo que respecta a Azure NetApp Files.

• La información LDAP se almacena en archivos planos en un servidor LDAP y se organiza mediante un esquema LDAP. Debe configurar clientes LDAP de una manera que coordine sus solicitudes y búsquedas con el esquema en el servidor LDAP.

• Los clientes LDAP inician consultas mediante un enlace LDAP, que es básicamente un inicio de sesión en el servidor LDAP mediante una cuenta que tiene acceso de lectura al esquema LDAP. La configuración de enlace LDAP en los clientes está configurada para usar el mecanismo de seguridad definido por el servidor LDAP. A veces, son intercambios de nombre de usuario y contraseña en texto sin formato (simple). En otros casos, los enlaces se protegen mediante métodos de nivel de seguridad y autenticación simples (sasl), como Kerberos o LDAP a través de TLS. Azure NetApp Files usa la cuenta del equipo SMB para enlazar mediante la autenticación SASL para obtener la mejor seguridad posible.

• Los clientes consultan la información de usuario y grupo almacenada en LDAP mediante solicitudes de búsqueda LDAP estándar, tal como se define en RFC 2307. Además, los mecanismos más recientes, como RFC 2307bis, permiten búsquedas de usuarios y grupos más simplificadas. Azure NetApp Files usa una forma de RFC 2307bis para sus búsquedas de esquema en Windows Active Directory.

• Los servidores LDAP pueden almacenar información sobre usuarios y grupos y netgroup. Sin embargo, Azure NetApp Files actualmente no puede usar la funcionalidad netgroup en LDAP en Windows Active Directory.

• LDAP en Azure NetApp Files funciona en el puerto 389. Actualmente, este puerto no se puede modificar para usar un puerto personalizado, como el puerto 636 (LDAP a través de SSL) o el puerto 3268 (búsquedas en el catálogo global de Active Directory).

• Las comunicaciones LDAP cifradas se pueden lograr mediante LDAP a través de TLS (que funciona a través del puerto 389) o la firma LDAP, ambas que se pueden configurar en la conexión de Active Directory.

• Azure NetApp Files admite consultas LDAP que no tardan más de 3 segundos en completarse. Si el servidor LDAP tiene muchos objetos, ese tiempo de espera puede superarse y se pueden producir errores en las solicitudes de autenticación. En esos casos, considere la posibilidad de especificar un ámbito de búsqueda LDAP para filtrar las consultas y obtener un mejor rendimiento.

• Azure NetApp Files también admite la especificación de servidores LDAP preferidos para ayudar a acelerar las solicitudes. Use esta configuración si desea asegurarse de que se usa el servidor LDAP más cercano a su región de Azure NetApp Files.

• Si no se establece ningún servidor LDAP preferido, el nombre de dominio de Active Directory se consulta en DNS para los registros del servicio LDAP para rellenar la lista de servidores LDAP disponibles para la región que se encuentra dentro de ese registro SRV. Puede consultar manualmente los registros del servicio LDAP en DNS desde un cliente utilizando los comandos nslookup o dig.

  Por ejemplo:

  C:\>nslookup
  Default Server:  localhost
  Address:  ::1
  
  > set type=SRV
  > _ldap._tcp.contoso.com.
  
  Server:  localhost
  Address:  ::1
  
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 0
            port           = 389
            svr hostname   = oneway.contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = ONEWAY.Contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = oneway.contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = parisi-2019dc.contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = contoso.com
  oneway.contoso.com       internet address = x.x.x.x
  ONEWAY.Contoso.com       internet address = x.x.x.x
  oneway.contoso.com       internet address = x.x.x.x
  parisi-2019dc.contoso.com        internet address = y.y.y.y
  contoso.com      internet address = x.x.x.x
  contoso.com      internet address = y.y.y.y
  

• Los servidores LDAP también pueden utilizarse para realizar asignaciones de nombres personalizadas para los usuarios. Para conocer más detalles, consulte Información sobre la asignación de nombres mediante LDAP.

• Tiempos de espera de consultas LDAP

  De manera predeterminada, las consultas LDAP agotan el tiempo de espera si no se pueden completar. Si se produce un error en una consulta LDAP debido a un tiempo de espera, se producirá un error en la búsqueda de usuarios o grupos, y se puede denegar el acceso al volumen de Azure NetApp Files en función de la configuración de permisos del volumen. Consulte Creación y administración de conexiones de Active Directory para comprender la configuración del tiempo de espera de consulta LDAP de Azure NetApp Files.

Pasos siguientes

• Descripción de la asignación de nombres mediante LDAP
• Descripción de la opción permitir usuarios de NFS locales con LDAP
• Descripción de los esquemas LDAP

• Configuración de LDAP de AD DS sobre TLS para Azure NetApp Files
• Comprender las pertenencias a grupos NFS y los grupos complementarios
• Preguntas más frecuentes sobre NFS de Azure NetApp Files
• Preguntas más frecuentes sobre SMB de Azure NetApp Files