Comprendre les principes de base du protocole LDAP (Lightweight Directory Access Protocol) dans Azure NetApp Files

Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole standard d’accès aux annuaires développé par le groupe de travail IETF (Internet Engineering Task Force). Le protocole LDAP est conçu pour fournir un service d’annuaire à usage général basé sur le réseau que vous pouvez utiliser sur plusieurs plateformes hétérogènes pour localiser des objets réseau.

Les modèles LDAP définissent comment communiquer avec le magasin d’annuaires LDAP, rechercher un objet dans l’annuaire, décrire les objets du magasin et la sécurité utilisée pour accéder à l’annuaire. Le protocole LDAP permet la personnalisation et l’extension des objets décrits dans le magasin. Par conséquent, vous pouvez utiliser un magasin LDAP pour stocker de nombreux types d’informations diverses. Bon nombre des déploiements initiaux du protocole LDAP se sont concentrés sur son utilisation comme magasin d’annuaires pour des applications telles que les e-mails et les applications web, ainsi que pour stocker des informations sur les employés. De nombreuses entreprises remplacent ou ont remplacé le service NIS (Network Information Service) par le protocole LDAP en tant que magasin d’annuaires réseau.

Un serveur LDAP fournit des identités d’utilisateur et de groupe UNIX à utiliser avec des volumes NAS. Dans Azure NetApp Files, Active Directory est le seul serveur LDAP actuellement pris en charge qui peut être utilisé. Ce support inclut la prise en charge d’Active Directory Domain Services (AD DS) et de Microsoft Entra Domain Services.

Les requêtes LDAP peuvent être divisées en deux opérations principales.

• Les liaisons LDAP sont des connexions au serveur LDAP à partir d’un client LDAP. La liaison est utilisée pour s’authentifier auprès du serveur LDAP avec un accès en lecture seule pour effectuer des recherches LDAP. Azure NetApp Files agit en tant que client LDAP.
• Les recherches LDAP sont utilisées pour interroger l’annuaire pour obtenir des informations d’utilisateur et de groupe, telles que des noms, des ID numériques, des chemins d’accès d’annuaire de base, des chemins d’interpréteur de commandes de connexion, des appartenances aux groupes, etc.

Le protocole LDAP peut stocker les informations suivantes utilisées dans l’accès NAS double protocole :

• Noms d’utilisateur
• Noms de groupe
• ID numériques d’utilisateur (UID) et ID de groupe (GID)
• Répertoires de base
• Interpréteur de commandes de connexion
• Groupes réseau, noms DNS et adresses IP
• Appartenance au groupe

Actuellement, Azure NetApp Files utilise uniquement LDAP pour les informations d’utilisateur et de groupe, mais pas pour les informations netgroup ou d’hôte.

Le protocole LDAP offre différents avantages pour vos utilisateurs et groupes UNIX en tant que source d’identité.

• Le protocole LDAP est durable.
  À mesure que d’autres clients NFS ajoutent la prise en charge de NFSv4.x, les domaines d’ID NFSv4.x qui contiennent une liste à jour d’utilisateurs et de groupes accessibles à partir des clients et du stockage sont nécessaires pour garantir une sécurité optimale et un accès garanti lorsque l’accès est défini. Avoir un serveur de gestion des identités qui fournit des mappages de noms un à un pour les utilisateurs SMB et NFS simplifie considérablement la vie des administrateurs de stockage, non seulement aujourd’hui, mais pour les années à venir.
• Le protocole LDAP est évolutif.
  Les serveurs LDAP offrent la possibilité de contenir des millions d’objets utilisateur et de groupe, et avec Microsoft Active Directory, plusieurs serveurs peuvent être utilisés pour répliquer sur plusieurs sites, pour une mise à l’échelle des performances et de la résilience.
• Le protocole LDAP est sécurisé.
  Le protocole LDAP assure la sécurité par la façon dont un système de stockage peut se connecter au serveur LDAP pour effectuer des demandes d’informations utilisateur. Les serveurs LDAP offrent les niveaux de liaison suivants :
  • Anonyme (désactivé par défaut dans Microsoft Active Directory, non pris en charge dans Azure NetApp Files)
  • Mot de passe simple (mots de passe en texte brut, non pris en charge dans Azure NetApp Files)
  • SASL (Simple Authentication and Security Layer) : méthodes de liaison chiffrées, notamment TLS, SSL, Kerberos, et ainsi de suite. Azure NetApp Files prend en charge LDAP via TLS, la signature LDAP (à l’aide de Kerberos) et LDAP via SSL.
• Le protocole LDAP est robuste.
  NIS, NIS+ et les fichiers locaux offrent des informations de base : UID, GID, mot de passe, annuaires de base, etc. Toutefois, le protocole LDAP offre ces attributs et bien plus encore. Les attributs supplémentaires que le protocole LDAP utilise rendent la gestion du double protocole beaucoup plus intégrée avec le protocole LDAP par rapport à NIS. Seul le protocole LDAP est pris en charge en tant que service de nom externe pour la gestion des identités avec Azure NetApp Files.
• Microsoft Active Directory repose sur le protocole LDAP.
  Par défaut, Microsoft Active Directory utilise un serveur principal LDAP pour ses entrées utilisateur et de groupe. Toutefois, cette base de données LDAP ne contient pas d’attributs de style UNIX. Ces attributs sont ajoutés lorsque le schéma LDAP est étendu via Gestion des identités pour UNIX (Windows 2003R2 et versions ultérieures), Service pour UNIX (Windows 2003 et versions antérieures) ou des outils LDAP tiers tels que Centrify. Étant donné que Microsoft utilise le protocole LDAP comme protocole principal, c’est la solution idéale pour les environnements qui choisissent d’exploiter des volumes à double protocole dans Azure NetApp Files.

  Remarque

  Actuellement, Azure NetApp Files prend uniquement en charge Microsoft Active Directory natif pour les services LDAP.

Principes de base du protocole LDAP dans Azure NetApp Files

La section suivante décrit les principes de base du protocole LDAP en ce qui concerne Azure NetApp Files.

• Les informations LDAP sont stockées dans des fichiers plats dans un serveur LDAP et sont organisées par le biais d’un schéma LDAP. Vous devez configurer les clients LDAP de manière à coordonner leurs requêtes et leurs recherches avec le schéma sur le serveur LDAP.

• Les clients LDAP lancent des requêtes par le biais d’une liaison LDAP, ce qui revient à une connexion au serveur LDAP à l’aide d’un compte disposant d’un accès en lecture au schéma LDAP. La configuration de liaison LDAP sur les clients est configurée pour utiliser le mécanisme de sécurité défini par le serveur LDAP. Parfois, ce sont des échanges de noms d’utilisateur et de mots de passe en texte brut (simple). Dans d’autres cas, les liaisons sont sécurisées par des méthodes de SASL (sasl) telles que Kerberos ou LDAP via TLS. Azure NetApp Files utilise le compte d’ordinateur SMB pour établir une liaison à l’aide de l’authentification SASL pour une sécurité optimale.

• Les informations d’utilisateur et de groupe stockées dans le protocole LDAP sont interrogées par les clients à l’aide de requêtes de recherche LDAP standard définies dans RFC 2307. De plus, les mécanismes plus récents, tels que RFC 2307bis, permettent de simplifier les recherches d’utilisateurs et de groupes. Azure NetApp Files utilise un formulaire de RFC 2307bis pour ses recherches de schémas dans Windows Active Directory.

• Les serveurs LDAP peuvent stocker les informations d’utilisateur et de groupe, et le groupe réseau. Toutefois, Azure NetApp Files ne peut actuellement pas utiliser la fonctionnalité groupe réseau du protocole LDAP sur Windows Active Directory.

• Le protocole LDAP dans Azure NetApp Files fonctionne sur le port 389. Ce port ne peut actuellement pas être modifié pour utiliser un port personnalisé, tel que le port 636 (LDAP via SSL) ou le port 3268 (recherches dans le catalogue global Active Directory).

• Les communications LDAP chiffrées peuvent être obtenues à l’aide de LDAP via TLS (qui fonctionne sur le port 389) ou la signature LDAP, qui peuvent être configurés sur la connexion Active Directory.

• Azure NetApp Files prend en charge les requêtes LDAP qui ne prennent pas plus de 3 secondes. Si le serveur LDAP a de nombreux objets, ce délai d’attente peut être dépassé et les demandes d’authentification peuvent échouer. Dans ce cas, il est possible de spécifier une étendue de recherche LDAP pour filtrer les requêtes afin d’obtenir de meilleures performances.

• Azure NetApp Files prend également en charge la spécification de serveurs LDAP préférés pour accélérer les demandes. Utilisez ce paramètre si vous souhaitez vous assurer que le serveur LDAP le plus proche de votre région Azure NetApp Files est utilisé.

• Si aucun serveur LDAP préféré n’est défini, le nom de domaine Active Directory est interrogé dans le DNS pour les enregistrements de service LDAP afin de remplir la liste des serveurs LDAP disponibles pour votre région située dans cet enregistrement de service. Vous pouvez interroger manuellement des enregistrements de service LDAP dans le DNS d’un client à l’aide des commandes nslookup ou dig.

  Par exemple :

  C:\>nslookup
  Default Server:  localhost
  Address:  ::1
  
  > set type=SRV
  > _ldap._tcp.contoso.com.
  
  Server:  localhost
  Address:  ::1
  
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 0
            port           = 389
            svr hostname   = oneway.contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = ONEWAY.Contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = oneway.contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = parisi-2019dc.contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = contoso.com
  oneway.contoso.com       internet address = x.x.x.x
  ONEWAY.Contoso.com       internet address = x.x.x.x
  oneway.contoso.com       internet address = x.x.x.x
  parisi-2019dc.contoso.com        internet address = y.y.y.y
  contoso.com      internet address = x.x.x.x
  contoso.com      internet address = y.y.y.y
  

• Les serveurs LDAP peuvent également être utilisés pour effectuer un mappage de noms personnalisé pour les utilisateurs. Pour plus d’informations, consultez Comprendre le mappage de noms avec LDAP.

• Expiration du délai d'attente des requêtes LDAP

  Par défaut, les requêtes LDAP expirent si elles ne peuvent pas être exécutées. Si une requête LDAP échoue en raison de l’expiration d'un délai d'attente, la recherche d'utilisateur et/ou de groupe échoue et l’accès au volume Azure NetApp Files peut être refusé, en fonction des paramètres d’autorisation du volume. Consultez Créer et gérer des connexions Active Directory pour comprendre les paramètres de délai d’attente des requêtes LDAP Azure NetApp Files.

Étapes suivantes

• Comprendre le mappage de noms avec LDAP
• Comprendre l’autorisation des utilisateurs NFS locaux avec l’option LDAP
• Comprendre les schémas LDAP

• Configurer le protocole LDAP AD DS sur TLS pour Azure NetApp Files
• Comprendre les appartenances aux groupes NFS et aux groupes supplémentaires
• FAQ sur NFS pour Azure NetApp Files
• FAQ sur SMB pour Azure NetApp Files