次の方法で共有

NFS グループのメンバーシップと補足グループについて

  • [アーティクル]

LDAP を使用してグループ メンバーシップを制御し、NFS ユーザーの追加グループを返すことができます。 この動作は、LDAP サーバーのスキーマ属性によって制御されます。

プライマリ GID

Azure NetApp Files でユーザーを適切に認証できるようにするには、LDAP ユーザーに常にプライマリ GID が定義されている必要があります。 ユーザーのプライマリ GID は、LDAP サーバーのスキーマ gidNumber によって定義されます。

セカンダリ、追加、補助 GID

セカンダリ、追加、補助グループは、ユーザーがプライマリ GID の外部のメンバーであるグループです。 Azure NetApp Files では、LDAP は Microsoft Active Directory を使用して実装され、追加グループは標準の Windows グループ メンバーシップ ロジックを使用して制御されます。

ユーザーが Windows グループに追加されると、そのグループのメンバーであるユーザーの識別名 (DN) を使用して、LDAP スキーマ属性 Member がグループに設定されます。 ユーザーのグループ メンバーシップが Azure NetApp Files によって照会されると、すべてのグループ Member の属性でユーザーの DN に対して LDAP 検索が行われます。 UNIX gidNumber とユーザーの DN を持つすべてのグループが検索で返され、ユーザーの追加グループ メンバーシップとして入力されます。

次の例は、グループの Member フィールドにユーザーの DN が入力され、その後、ldp.exe を使用して LDAP 検索された Active Directory からの出力を示しています。

次の例に、Windows グループ メンバー フィールドを示します。

Screenshot that shows the Windows group member field.

次の例は、User1 がメンバーであるすべてのグループの LDAPsearch を示しています。

Screenshot that shows the search of a user named `User1`.

ボリューム メニューの [サポートとトラブルシューティング] の下にある [LDAP グループ ID リスト] リンクを選択して、Azure NetApp Files のユーザーのグループ メンバーシップのクエリを実行することもできます。

Screenshot that shows the query of group memberships by using the **LDAP Group ID List** link.

NFS でのグループの制限

NFS のリモート プロシージャ コール (RPC) には、1 つの NFS 要求で受け入れることができる補助 GID の最大数に固有の制限があります。 AUTH_SYS/AUTH_UNIX の最大値は 16 で、AUTH_GSS (Kerberos) の場合は 32 です。 このプロトコルの制限は、Azure NetApp Files だけでなく、すべての NFS サーバーに影響します。 ただし、最新の NFS サーバーとクライアントの多くには、これらの制限を回避する方法があります。

Azure NetApp Files でこの NFS 制限を回避するには、「NFS ボリュームの Active Directory Domain Services (AD DS) LDAP 認証を有効にする」を参照してください。

グループ制限の拡張のしくみ

グループ制限を拡張するオプションは、他の NFS サーバーの manage-gids オプションと同じように機能します。 基本的に、ユーザーが属している補助 GID のリスト全体をダンプするのではなく、このオプションはファイルまたはフォルダーで GID の検索を実行し、代わりにその値を返します。

次の例は、16 GID の RPC パケットを示しています。

Screenshot that shows RPC packet with 16 GIDs.

16 の制限を超えている GID は、プロトコルによって削除されます。 Azure NetApp Files の拡張グループでは、新しい NFS 要求が発生すると、ユーザーのグループ メンバーシップに関する情報が要求されます。

Active Directory LDAP を使用した拡張 GID に関する考慮事項

既定では、Microsoft Active Directory LDAP サーバーでは、MaxPageSize 属性は既定値の 1,000 に設定されます。 その設定は、1,000 を超えるグループが LDAP クエリで切り詰められることを意味します。 拡張グループの 1,024 値で完全なサポートを有効にするには、1,024 値を反映するように MaxPageSize 属性を変更する必要があります。 この値を変更する方法については、Microsoft TechNet の Ntdsutil.exe を使用して Active Directory で LDAP ポリシーを表示および設定する方法に関する記事、および TechNet ライブラリの記事「MaxPageSize の設定値が大きすぎる」を参照してください。

次のステップ