Descripción de la opción Permitir usuarios NFS locales con LDAP Descripción de la asignación de nombres mediante LDAP en Azure NetApp Files
Cuando un usuario intenta acceder a un volumen de Azure NetApp Files a través de NFS, la solicitud se incluye en un id. numérico. De manera predeterminada, Azure NetApp Files admite pertenencias extendidas a grupos para usuarios NFS (para ir más allá del límite estándar de 16 grupos). Como resultado, Azure NetApp Files intenta tomar ese id. numérico y buscarlo en el protocolo ligero de acceso a directorios (LDAP) en un intento de resolver las pertenencias a grupos para el usuario en lugar de pasar las pertenencias a grupos en un paquete RPC. Debido a este comportamiento, si ese identificador numérico no se puede resolver en un usuario de LDAP, se produce un error en la búsqueda y se deniega el acceso. Esta negación se produce incluso si el usuario solicitante tiene permiso para acceder al volumen o la estructura de datos.
La opción Permitir usuarios NFS locales con LDAP en conexiones de Active Directory está pensada para deshabilitar esas búsquedas LDAP para las solicitudes NFS deshabilitando la funcionalidad de grupo extendido. No ofrece "creación o administración de usuarios locales" dentro de Azure NetApp Files.
Cuando la opción "Permitir usuarios NFS locales con LDAP" está habilitada, los id. numéricos se pasan a Azure NetApp Files y no se realiza ninguna búsqueda LDAP. Esto crea un comportamiento variable para distintos escenarios, como se describe a continuación.
NFSv3 con volúmenes de estilo de seguridad de UNIX
No es necesario traducir los id. numéricos a los nombres de usuario. La opción "Permitir usuarios NFS locales con LDAP" no afecta al acceso al volumen. Puede afectar a cómo se muestra la propiedad del usuario o grupo (traducción de nombres) en el cliente NFS. Por ejemplo, si un id. numérico de 1001 es usuario1 en LDAP, pero es usuario2 en el archivo passwd local del cliente NFS, el cliente mostrará "usuario2" como propietario del archivo cuando el id. numérico sea 1001.
NFSv4.1 con volúmenes de estilo de seguridad de UNIX
No es necesario traducir los id. numéricos a los nombres de usuario. De manera predeterminada, NFSv4.1 usa cadenas de nombre (user@CONTOSO.COM) para su autenticación. Pero Azure NetApp Files admite el uso de id. numéricos con NFSV4.1, lo que significa que las solicitudes NFSv4.1 llegan al servidor NFS con un id. numérico. Si no existe una traducción de id. numérico a nombre de usuario en los archivos locales o en los servicios de nombres como LDAP para el volumen Azure NetApp Files, se presenta el numérico al cliente. Si un id. numérico se traduce en un nombre de usuario, se usa la cadena de nombre. Si la cadena de nombre no coincide, el cliente aplica squash al nombre al usuario anónimo especificado en el archivo idmapd.conf del cliente. La habilitación de la opción "Permitir usuarios NFS locales con LDAP" no afecta al acceso a NFSv4.1. El acceso recurre al comportamiento de NFSv3 estándar a menos que Azure NetApp Files pueda resolver un id. numérico en un nombre de usuario en su base de datos de usuarios NFS local. Azure NetApp Files cuenta con un conjunto de usuarios UNIX predeterminados que puede resultar problemático para algunos clientes y al que se aplica squash en un usuario "nadie" si las cadenas de id. de dominio no coinciden.
- Los usuarios locales incluyen: raíz (0), pcuser (65534), nadie (65535).
- Los grupos locales incluyen: raíz (0), demonio (1), pcuser (65534), nadie (65535).
Normalmente, la raíz puede mostrarse incorrectamente en los montajes de cliente NFSv4.1 cuando el id. de dominio NFSv4.1 está mal configurado. Para obtener más información sobre el dominio de id. NFSv4.1, consulte Configuración del dominio de id. NFSv4.1 para Azure NetApp Files.
Las ACL NFSv4.1 se pueden configurar mediante una cadena de nombre o un id. numérico. Si se usan id. numéricos, no se requiere ninguna traducción de nombres. Si se usa una cadena de nombre, la traducción de nombres sería necesaria para la resolución de ACL adecuada. Al usar ACL de NFSv4.1, habilitar "Permitir usuarios NFS locales con LDAP" puede provocar un comportamiento incorrecto de la ACL de NFSv4.1 en función de la configuración de ACL.
NFS (NFSv3 y NFSv4.1) con volúmenes de estilo de seguridad de NTFS en configuraciones de protocolo dual
Los volúmenes de estilo de seguridad de UNIX aprovechan los permisos de estilo UNIX (bits de modo y ACL NFSv4.1). Para esos tipos de volúmenes, NFS solo aprovecha la autenticación al estilo UNIX mediante un id. numérico o una cadena de nombre, dependiendo de los escenarios mencionados anteriormente.
Sin embargo, los volúmenes de estilo de seguridad NTFS usan permisos de estilo NTFS. Estos permisos se asignan mediante usuarios y grupos de Windows. Cuando un usuario NFS intenta acceder a un volumen con un permiso de estilo NTFS, se debe producir una asignación de nombres UNIX a Windows para garantizar los controles de acceso adecuados. En este escenario, el id. numérico NFS se sigue pasando al volumen NFS de Azure NetApp Files, pero es necesario que el id. numérico se traduzca a un nombre de usuario UNIX para que, a continuación, se pueda asignar a un nombre de usuario Windows para la autenticación inicial. Por ejemplo, si el id. numérico 1001 intenta acceder a un montaje NFS con permisos de estilo de seguridad de NTFS que permiten el acceso al usuario de Windows "usuario1", entonces 1001 se tendría que resolver en LDAP al nombre de usuario "usuario1" para obtener el acceso esperado. Si no existe ningún usuario con el id. numérico "1001" en LDAP, o si LDAP está mal configurado, la asignación de nombres de UNIX a Windows completa el intento con 1001@contoso.com. En la mayoría de los casos, no existen usuarios con ese nombre. Como resultado, se produce un error en la autenticación y se deniega el acceso. Del mismo modo, si el id. numérico 1001 se resuelve en el nombre de usuario incorrecto (por ejemplo, usuario2), la solicitud NFS se asigna al usuario incorrecto de Windows (en este escenario, usuario1 tiene el acceso concedido a usuario2).
Al habilitar "Permitir usuarios NFS locales con LDAP", se deshabilitan todas las traducciones LDAP de id. numéricos a nombres de usuario. Esta acción interrumpe eficazmente el acceso a los volúmenes de estilo de seguridad de NTFS. Por tanto, no se recomienda el uso de esta opción con volúmenes de estilo de seguridad de NTFS.