Omówienie podstaw protokołu LDAP (Lightweight Directory Access Protocol) w usłudze Azure NetApp Files

Lightweight directory access protocol (LDAP) to standardowy protokół dostępu do katalogów, który został opracowany przez międzynarodowy komitet o nazwie Internet Engineering Task Force (IETF). Protokół LDAP ma na celu zapewnienie usługi katalogowej opartej na sieci ogólnego przeznaczenia, której można używać na różnych platformach heterogenicznych do lokalizowania obiektów sieciowych.

Modele LDAP definiują sposób komunikowania się z magazynem katalogów LDAP, sposób znajdowania obiektu w katalogu, sposobu opisywania obiektów w magazynie oraz zabezpieczeń używanych do uzyskiwania dostępu do katalogu. Protokół LDAP umożliwia dostosowanie i rozszerzenie obiektów opisanych w magazynie. W związku z tym można użyć magazynu LDAP do przechowywania wielu typów różnorodnych informacji. Wiele początkowych wdrożeń LDAP koncentruje się na użyciu protokołu LDAP jako magazynu katalogów dla aplikacji, takich jak poczta e-mail i aplikacje internetowe oraz przechowywanie informacji o pracownikach. Wiele firm zastępuje lub zastąpiło usługę informacji o sieci (NIS) protokołem LDAP jako magazynem katalogów sieciowych.

Serwer LDAP udostępnia tożsamości użytkowników i grup systemu UNIX do użycia z woluminami NAS. W usłudze Azure NetApp Files usługa Active Directory jest jedynym obecnie obsługiwanym serwerem LDAP, którego można użyć. Ta obsługa obejmuje usługi domena usługi Active Directory Services (AD DS) i Microsoft Entra Domain Services.

Żądania LDAP można podzielić na dwie główne operacje.

• Powiązania LDAP to identyfikatory logowania do serwera LDAP z klienta LDAP. Powiązanie służy do uwierzytelniania na serwerze LDAP przy użyciu dostępu tylko do odczytu w celu wykonywania wyszukiwania LDAP. Usługa Azure NetApp Files działa jako klient LDAP.
• Wyszukiwanie LDAP służy do wykonywania zapytań dotyczących katalogu dla informacji o użytkownikach i grupach, takich jak nazwy, identyfikatory liczbowe, ścieżki katalogu macierzystego, ścieżki powłoki logowania, członkostwa w grupach i nie tylko.

Protokół LDAP może przechowywać następujące informacje, które są używane w dostępie do serwera NAS z podwójnym protokołem:

• Nazwy użytkowników
• Nazwy grup
• Identyfikatory użytkowników liczbowych (UID) i identyfikatory grup (GID)
• Katalogi główne
• Powłoka logowania
• Grupy sieciowe, nazwy DNS i adresy IP
• Członkostwo w grupie

Obecnie usługa Azure NetApp Files używa tylko protokołu LDAP dla informacji o użytkownikach i grupach, a nie informacji o grupie netgroup lub hoście.

Protokół LDAP oferuje różne korzyści dla użytkowników i grup systemu UNIX jako źródła tożsamości.

• Protokół LDAP jest przyszłościowy.
  W miarę jak więcej klientów NFS dodaje obsługę NFSv4.x, domeny identyfikatorów NFSv4.x zawierające aktualną listę użytkowników i grup dostępnych od klientów i magazynu są potrzebne w celu zapewnienia optymalnego bezpieczeństwa i gwarantowanego dostępu po zdefiniowaniu dostępu. Posiadanie serwera zarządzania tożsamościami, który zapewnia mapowanie nazw jeden do jednego dla użytkowników SMB i NFS znacznie upraszcza życie administratorów magazynu, nie tylko w obecnej, ale przez wiele lat.
• Protokół LDAP jest skalowalny.
  Serwery LDAP oferują możliwość przechowywania milionów obiektów użytkowników i grup, a w usłudze Microsoft Active Directory wiele serwerów może służyć do replikacji między wieloma lokacjami w celu skalowania wydajności i odporności.
• Protokół LDAP jest bezpieczny.
  Protokół LDAP zapewnia zabezpieczenia w postaci sposobu, w jaki system magazynu może nawiązać połączenie z serwerem LDAP, aby wysyłać żądania dotyczące informacji o użytkowniku. Serwery LDAP oferują następujące poziomy powiązania:
  • Anonimowe (domyślnie wyłączone w usłudze Microsoft Active Directory; nieobsługiwane w usłudze Azure NetApp Files)
  • Proste hasło (hasła zwykłego tekstu; nieobsługiwane w usłudze Azure NetApp Files)
  • Proste uwierzytelnianie i warstwa zabezpieczeń (SASL) — szyfrowane metody powiązania, takie jak TLS, SSL, Kerberos itd. Usługa Azure NetApp Files obsługuje protokół LDAP za pośrednictwem protokołu TLS, podpisywania LDAP (przy użyciu protokołu Kerberos), protokołu LDAP za pośrednictwem protokołu SSL.
• Protokół LDAP jest niezawodny.
  Pliki NIS, NIS+ i lokalne oferują podstawowe informacje, takie jak UID, GID, hasło, katalogi domowe itd. Jednak protokół LDAP oferuje te atrybuty i wiele innych. Dodatkowe atrybuty używane przez protokół LDAP znacznie bardziej zintegrowane z protokołem LDAP i NIS. Tylko protokół LDAP jest obsługiwany jako zewnętrzna usługa nazw na potrzeby zarządzania tożsamościami w usłudze Azure NetApp Files.
• Usługa Microsoft Active Directory jest oparta na protokole LDAP.
  Domyślnie usługa Microsoft Active Directory używa zaplecza LDAP dla swoich wpisów użytkowników i grup. Jednak ta baza danych LDAP nie zawiera atrybutów stylu systemu UNIX. Te atrybuty są dodawane, gdy schemat LDAP jest rozszerzony za pomocą usługi Identity Management dla systemu UNIX (Windows 2003R2 i nowszych), usługi dla systemu UNIX (Windows 2003 i starszych) lub narzędzi LDAP innych firm, takich jak Centrify. Ponieważ firma Microsoft używa protokołu LDAP jako zaplecza, sprawia, że protokół LDAP jest idealnym rozwiązaniem dla środowisk, które zdecydują się korzystać z woluminów z podwójnym protokołem w usłudze Azure NetApp Files.

  Uwaga

  Usługa Azure NetApp Files obecnie obsługuje tylko natywną usługę Microsoft Active Directory dla usług LDAP.

Podstawy protokołu LDAP w usłudze Azure NetApp Files

W poniższej sekcji omówiono podstawy protokołu LDAP dotyczące usługi Azure NetApp Files.

• Informacje LDAP są przechowywane w plikach prostych na serwerze LDAP i są zorganizowane za pomocą schematu LDAP. Należy skonfigurować klientów LDAP w sposób, który koordynuje żądania i wyszukiwania ze schematem na serwerze LDAP.

• Klienci LDAP inicjują zapytania za pomocą powiązania LDAP, który jest zasadniczo identyfikatorem logowania do serwera LDAP przy użyciu konta z dostępem do odczytu do schematu LDAP. Konfiguracja powiązania LDAP na klientach jest skonfigurowana do używania mechanizmu zabezpieczeń zdefiniowanego przez serwer LDAP. Czasami są to nazwy użytkownika i wymiany haseł w postaci zwykłego tekstu (proste). W innych przypadkach powiązania są zabezpieczone za pomocą metod uwierzytelniania prostego i warstwy zabezpieczeń (sasl), takich jak Kerberos lub LDAP za pośrednictwem protokołu TLS. Usługa Azure NetApp Files używa konta maszyny SMB do powiązania przy użyciu uwierzytelniania SASL w celu uzyskania najlepszych możliwych zabezpieczeń.

• Informacje o użytkownikach i grupach przechowywane w protokole LDAP są wysyłane do klientów przy użyciu standardowych żądań wyszukiwania LDAP zdefiniowanych w dokumencie RFC 2307. Ponadto nowsze mechanizmy, takie jak RFC 2307bis, umożliwiają bardziej usprawnione wyszukiwanie użytkowników i grup. Usługa Azure NetApp Files używa formy RFC 2307bis do wyszukiwania schematów w usłudze Windows Active Directory.

• Serwery LDAP mogą przechowywać informacje o użytkownikach i grupach grupowych oraz netgroup. Jednak usługa Azure NetApp Files obecnie nie może używać funkcji netgroup w protokole LDAP w usłudze Windows Active Directory.

• Protokół LDAP w usłudze Azure NetApp Files działa na porcie 389. Obecnie nie można zmodyfikować tego portu w celu użycia portu niestandardowego, takiego jak port 636 (LDAP za pośrednictwem protokołu SSL) lub port 3268 (wyszukiwanie w wykazie globalnym usługi Active Directory).

• Szyfrowana komunikacja LDAP można osiągnąć przy użyciu protokołu LDAP za pośrednictwem protokołu TLS (który działa za pośrednictwem portu 389) lub podpisywania LDAP, z których oba można skonfigurować w połączeniu usługi Active Directory.

• Usługa Azure NetApp Files obsługuje zapytania LDAP, które nie mogą trwać dłużej niż 3 sekundy. Jeśli serwer LDAP ma wiele obiektów, limit czasu może zostać przekroczony, a żądania uwierzytelniania mogą zakończyć się niepowodzeniem. W takich przypadkach rozważ określenie zakresu wyszukiwania LDAP w celu filtrowania zapytań w celu uzyskania lepszej wydajności.

• Usługa Azure NetApp Files obsługuje również określanie preferowanych serwerów LDAP w celu przyspieszenia żądań. Użyj tego ustawienia, jeśli chcesz upewnić się, że używany jest serwer LDAP najbliżej regionu usługi Azure NetApp Files.

• Jeśli nie ustawiono preferowanego serwera LDAP, nazwa domeny usługi Active Directory jest odpytywany w systemie DNS dla rekordów usługi LDAP, aby wypełnić listę serwerów LDAP dostępnych dla twojego regionu znajdującego się w tym rekordzie SRV. Możesz ręcznie wykonywać zapytania dotyczące rekordów usługi LDAP w systemie DNS z poziomu klienta przy użyciu poleceń nslookup lub dig .

  Na przykład:

  C:\>nslookup
  Default Server:  localhost
  Address:  ::1
  
  > set type=SRV
  > _ldap._tcp.contoso.com.
  
  Server:  localhost
  Address:  ::1
  
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 0
            port           = 389
            svr hostname   = oneway.contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = ONEWAY.Contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = oneway.contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = parisi-2019dc.contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = contoso.com
  oneway.contoso.com       internet address = x.x.x.x
  ONEWAY.Contoso.com       internet address = x.x.x.x
  oneway.contoso.com       internet address = x.x.x.x
  parisi-2019dc.contoso.com        internet address = y.y.y.y
  contoso.com      internet address = x.x.x.x
  contoso.com      internet address = y.y.y.y
  

• Serwery LDAP mogą również służyć do wykonywania niestandardowego mapowania nazw dla użytkowników. Aby uzyskać więcej informacji, zobacz Omówienie mapowania nazw przy użyciu protokołu LDAP.

• Limity czasu zapytania LDAP

  Domyślnie limit czasu zapytań LDAP, jeśli nie można ich ukończyć. Jeśli zapytanie LDAP nie powiedzie się z powodu przekroczenia limitu czasu, wyszukiwanie użytkownika i/lub grupy nie powiedzie się, a dostęp do woluminu usługi Azure NetApp Files może zostać odrzucony, w zależności od ustawień uprawnień woluminu. Zapoznaj się z artykułem Tworzenie połączeń usługi Active Directory i zarządzanie nimi, aby poznać ustawienia limitu czasu zapytania LDAP usługi Azure NetApp Files.

Następne kroki

• Omówienie mapowania nazw przy użyciu protokołu LDAP
• Omówienie zezwalania lokalnym użytkownikom systemu plików NFS z opcją LDAP
• Omówienie schematów LDAP

• Konfigurowanie protokołu LDAP usług AD DS za pośrednictwem protokołu TLS dla usługi Azure NetApp Files
• Omówienie członkostwa w grupach systemu plików NFS i grup uzupełniających
• Azure NetApp Files NFS — często zadawane pytania
• Często zadawane pytania dotyczące protokołu SMB usługi Azure NetApp Files