Azure NetApp Files의 LDAP(경량 디렉터리 액세스 프로토콜) 기본 사항 이해
LDAP(Lightweight Directory Access Protocol)는 IETF(Internet Engineering Task Force)라는 국제 위원회에서 개발한 표준 디렉터리 액세스 프로토콜입니다. LDAP는 다른 유형의 플랫폼에서 네트워크 개체를 찾는 데 사용할 수 있는 범용 네트워크 기반 디렉터리 서비스를 제공하기 위한 것입니다.
LDAP 모델은 LDAP 디렉터리 저장소와 통신하는 방법, 디렉터리에서 개체를 찾는 방법, 저장소의 개체를 설명하는 방법과 디렉터리에 액세스하는 데 사용되는 보안을 정의합니다. LDAP를 사용하면 저장소에 설명된 개체를 사용자 지정하고 확장할 수 있습니다. 따라서 LDAP 저장소를 사용해 다양한 유형의 정보를 저장할 수 있습니다. 대부분의 초기 LDAP 배포는 이메일과 웹 애플리케이션 같은 애플리케이션용 디렉터리 저장소로 LDAP를 사용하고 직원 정보를 저장하는 데 중점을 두었습니다. 많은 회사에서 NIS(네트워크 정보 서비스)를 네트워크 디렉터리 저장소인 LDAP로 바꾸고 있거나 바꿨습니다.
LDAP 서버는 NAS 볼륨에 사용할 UNIX 사용자/그룹 ID를 제공합니다. Azure NetApp Files에서 Active Directory는 현재 사용할 수 있도록 지원되는 유일한 LDAP 서버입니다. 이 지원에는 AD DS(Active Directory Domain Services) 및 Microsoft Entra Domain Services가 모두 포함됩니다.
LDAP 요청은 두 가지 주요 작업으로 세분화할 수 있습니다.
- LDAP 바인딩은 LDAP 클라이언트에서 LDAP 서버에 로그인하는 것입니다. 바인딩은 읽기 전용 액세스 권한으로 LDAP 서버를 인증하여 LDAP를 조회하는 데 사용됩니다. Azure NetApp Files는 LDAP 클라이언트 역할을 합니다.
- LDAP 조회는 이름, 숫자 ID, 홈 디렉터리 경로, 로그인 셸 경로, 그룹 멤버 자격 등과 같은 사용자 및 그룹 정보에 대한 디렉터리를 쿼리하는 데 사용됩니다.
LDAP는 이중 프로토콜 NAS 액세스에 사용되는 다음과 같은 정보를 저장할 수 있습니다.
- 사용자 이름
- 그룹 이름
- 숫자 UID(사용자 ID) 및 GID(그룹 ID)
- 홈 디렉터리
- 로그인 셸
- Netgroup, DNS 이름 및 IP 주소
- 그룹 구성원
현재 Azure NetApp Files는 netgroup 또는 호스트 정보가 아닌 사용자 및 그룹 정보에만 LDAP를 사용합니다.
LDAP는 UNIX 사용자와 그룹을 ID 원본으로 사용할 수 있는 다양한 이점을 제공합니다.
-
LDAP는 향후에도 사용할 수 있습니다.
더 많은 NFS 클라이언트에서 NFSv4.x 지원을 추가함에 따라 액세스를 정의할 때 최적의 보안 성능과 확실한 액세스를 보장하기 위해서는 클라이언트와 스토리지에서 액세스할 수 있는 사용자/그룹의 최신 목록이 포함된 NFSv4.x ID 도메인이 필요합니다. SMB/NFS 사용자에게 모두 일대일 이름 매핑을 제공하는 ID 관리 서버를 사용하면 현재뿐만 아니라 향후 몇 년간 스토리지 관리자의 업무가 크게 간소화됩니다. -
LDAP는 확장성이 있습니다.
LDAP 서버는 수백만 개의 사용자/그룹 개체를 포함할 수 있는 기능을 제공하며, Microsoft Active Directory에서 여러 서버를 사용해 여러 사이트에 복제하면 성능과 복원력을 모두 스케일링할 수 있습니다. -
LDAP는 안전합니다.
LDAP는 스토리지 시스템이 LDAP 서버에 연결하여 사용자 정보를 요청하는 방식으로 보안을 제공합니다. LDAP 서버는 다음과 같은 바인딩 수준을 제공합니다.- 익명(Microsoft Active Directory에서 기본적으로 사용되지 않음, Azure NetApp Files에서 지원되지 않음)
- 간단한 암호(일반 텍스트 암호, Azure NetApp Files에서 지원되지 않음)
- SASL(Simple Authentication and Security Layer) – TLS, SSL, Kerberos 등을 포함해 암호화된 바인딩 메서드 Azure NetApp Files는 LDAP over TLS, LDAP 서명(Kerberos 사용), LDAP over SSL을 지원합니다.
-
LDAP는 강력합니다.
NIS, NIS+ 및 로컬 파일은 UID, GID, 암호, 홈 디렉터리 등의 기본 정보를 제공합니다. 그러나 LDAP는 이러한 특성 외에 다양한 특성을 제공합니다. LDAP에서 사용하는 추가 특성은 이중 프로토콜 관리 기능을 NIS에 비해 LDAP와 훨씬 더 많이 통합해 줍니다. Azure NetApp Files를 사용해 ID를 관리하기 위한 외부 이름 서비스로 LDAP만 지원됩니다. -
Microsoft Active Directory는 LDAP를 기반으로 합니다.
기본적으로 Microsoft Active Directory는 사용자/그룹 항목에 LDAP 백 엔드를 사용합니다. 그러나 이 LDAP 데이터베이스에는 UNIX 스타일 특성이 포함되어 있지 않습니다. 이러한 특성은 UNIX용 ID 관리(Windows 2003R2 이상), UNIX 서비스(Windows 2003 이하) 또는 Centrify 같은 타사 LDAP 도구를 통해 LDAP 스키마를 확장할 때 추가됩니다. Microsoft는 LDAP를 백 엔드로 사용하기 때문에 LDAP는 Azure NetApp Files에서 이중 프로토콜 볼륨을 활용하기로 선택한 환경에 이상적인 솔루션입니다.참고 항목
Azure NetApp Files는 현재 LDAP 서비스용 기본 Microsoft Active Directory만 지원합니다.
Azure NetApp Files의 LDAP 기본 사항
다음 섹션에서는 Azure NetApp Files와 관련된 LDAP의 기본 사항을 설명합니다.
LDAP 정보는 LDAP 서버의 플랫 파일에 저장되며 LDAP 스키마를 통해 구성됩니다. LDAP 서버의 스키마를 사용하여 요청과 조회를 조정하는 방식으로 LDAP 클라이언트를 구성해야 합니다.
LDAP 클라이언트는 LDAP 바인딩을 통해 쿼리를 시작합니다. 이 바인딩에서는 기본적으로 LDAP 스키마에 대한 읽기 액세스 권한이 있는 계정을 사용하여 LDAP 서버에 로그인합니다. 클라이언트의 LDAP 바인딩 구성은 LDAP 서버에서 정의한 보안 메커니즘을 사용하도록 구성됩니다. 경우에 따라 일반 텍스트(단순)로 사용자 이름 및 암호 교환을 합니다. 또 어떤 경우에는 바인딩이 Kerberos 또는 LDAP over TLS 같은 단순 인증 및 보안 계층 메서드(
sasl)를 통해 보호됩니다. Azure NetApp Files는 최상의 보안 성능을 제공하기 위해 SASL 인증을 통해 바인딩하는 데 SMB 컴퓨터 계정을 사용합니다.LDAP에 저장된 사용자 및 그룹 정보는 RFC 2307에 정의된 표준 LDAP 검색 요청을 사용하여 클라이언트에서 쿼리합니다. 또한 RFC 2307bis 같은 최신 메커니즘을 통해 더욱 간소하게 사용자와 그룹을 조화할 수 있습니다. Azure NetApp Files는 Windows Active Directory의 스키마 조회에 RFC 2307bis 형식을 사용합니다.
LDAP 서버는 사용자 및 그룹 정보와 netgroup을 저장할 수 있습니다. 그러나 Azure NetApp Files는 현재 Windows Active Directory의 LDAP에서 netgroup 기능을 사용할 수 없습니다.
Azure NetApp Files의 LDAP는 포트 389에서 작동합니다. 현재 이 포트는 포트 636(SSL을 통해 LDAP) 또는 포트 3268(Active Directory 글로벌 카탈로그 검색)과 같은 사용자 지정 포트를 사용하도록 수정할 수 없습니다.
암호화된 LDAP 통신은 LDAP over TLS(포트 389를 통해 작동) 또는 LDAP 서명을 사용하여 수행할 수 있으며, 둘 다 Active Directory 연결에서 구성할 수 있습니다.
Azure NetApp Files는 완료하는 데 3초 이상 걸리지 않는 LDAP 쿼리를 지원합니다. LDAP 서버에 많은 개체가 있는 경우 해당 시간 초과가 초과될 수 있으며 인증 요청이 실패할 수 있습니다. 이러한 경우 성능을 향상시키려면 쿼리를 필터링하도록 LDAP 검색 범위를 지정하는 것이 좋습니다.
Azure NetApp Files는 요청을 가속화하는 데 도움이 되는 기본 LDAP 서버 지정도 지원합니다. Azure NetApp Files 지역에 가장 가까운 LDAP 서버를 사용하려면 이 설정을 사용합니다.
기본 LDAP 서버가 설정되지 않은 경우 LDAP 서비스 레코드용 DNS에서 Active Directory 도메인 이름을 쿼리하여 해당 SRV 레코드 내 지역에서 사용할 수 있는 LDAP 서버 목록을 채웁니다.
nslookup또는dig명령을 사용하여 클라이언트에서 DNS의 LDAP 서비스 레코드를 수동으로 쿼리할 수 있습니다.예시:
C:\>nslookup Default Server: localhost Address: ::1 > set type=SRV > _ldap._tcp.contoso.com. Server: localhost Address: ::1 _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 0 port = 389 svr hostname = oneway.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = ONEWAY.Contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = oneway.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = parisi-2019dc.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = contoso.com oneway.contoso.com internet address = x.x.x.x ONEWAY.Contoso.com internet address = x.x.x.x oneway.contoso.com internet address = x.x.x.x parisi-2019dc.contoso.com internet address = y.y.y.y contoso.com internet address = x.x.x.x contoso.com internet address = y.y.y.yLDAP 서버는 사용자가 사용자 지정 이름을 매핑하는 데에도 사용할 수 있습니다. 자세한 내용은 LDAP를 사용하여 이름 매핑 이해를 참조하세요.
LDAP 쿼리 시간 초과
기본적으로 LDAP 쿼리는 완료할 수 없는 경우 시간이 초과됩니다. 시간 제한으로 인해 LDAP 쿼리가 실패하면 사용자 및/또는 그룹 조회가 실패하고 볼륨의 권한 설정에 따라 Azure NetApp Files 볼륨에 대한 액세스가 거부될 수 있습니다. Azure NetApp Files LDAP 쿼리 시간 제한 설정을 이해하려면 Active Directory 연결 만들기 및 관리를 참조하세요.