Entenda as noções básicas do lightweight directory access protocol (LDAP) no Azure NetApp Files
O protocolo LDAP é um protocolo de acesso ao diretório padrão desenvolvido por um comitê internacional chamado Internet Engineering Task Force (IETF). O LDAP destina-se a fornecer um serviço de diretório baseado em rede de uso geral que você pode usar em plataformas heterogêneas para localizar objetos de rede.
Os modelos LDAP definem como se comunicar com o repositório de diretórios LDAP, como encontrar um objeto no diretório, como descrever os objetos no repositório e a segurança usada para acessar o diretório. O LDAP permite a personalização e a extensão dos objetos descritos no repositório. Portanto, você pode usar um repositório LDAP para armazenar muitos tipos de informações diversas. Muitas das implantações iniciais do LDAP se concentraram no uso do LDAP como um repositório de diretórios para aplicativos como aplicativos Web e email e para armazenar informações de funcionários. Muitas empresas estão substituindo ou substituíram o Serviço de Informações de Rede (NIS) pelo LDAP como um repositório de diretórios de rede.
Um servidor LDAP fornece identidades de usuário e grupo UNIX para uso com volumes NAS. No Azure NetApp Files, o Active Directory é o único servidor LDAP com suporte no momento que pode ser usado. Esse suporte inclui o Active Directory Domain Services (AD DS) e o Microsoft Entra Domain Services.
As solicitações LDAP podem ser divididas em duas operações principais.
- As associações LDAP são logons para o servidor LDAP de um cliente LDAP. A associação é usada para autenticar no servidor LDAP com acesso somente leitura para executar pesquisas LDAP. O Azure NetApp Files atua como um cliente LDAP.
- As pesquisas LDAP são usadas para consultar o diretório em busca de informações de usuário e grupo, como nomes, IDs numéricas, caminhos de diretório inicial, caminhos de shell de logon, associações de grupo e muito mais.
O LDAP pode armazenar as seguintes informações usadas no acesso NAS de protocolo duplo:
- Nomes de usuário
- Nomes de grupo
- IDs de usuário numéricas (IUDs) e IDs de grupo (GIDs)
- Diretórios base
- Shell de logon
- Netgroups, nomes DNS e endereços IP
- Associação de grupo
Atualmente, o Azure NetApp Files usa apenas o LDAP para informações de usuário e grupo, sem informações de netgroup ou host.
O LDAP oferece vários benefícios para seus usuários e grupos UNIX como uma fonte de identidade.
-
O LDAP é à prova de futuro.
À medida que mais clientes NFS adicionam suporte para NFSv4.x, domínios de ID NFSv4.x que contêm uma lista atualizada de usuários e grupos acessíveis de clientes e armazenamento são necessários para garantir a segurança ideal e o acesso quando o acesso é definido. Ter um servidor de gerenciamento de identidade que fornece mapeamentos de nome um para um para usuários SMB e NFS simplifica muito a vida útil dos administradores de armazenamento, não apenas no presente, mas nos anos seguintes. -
O LDAP é escalonável.
Os servidores LDAP oferecem a capacidade de conter milhões de objetos de usuário e grupo e, com o Microsoft Active Directory, vários servidores podem ser usados para replicar em vários sites para escala de desempenho e resiliência. -
O LDAP é seguro.
O LDAP oferece segurança na forma de como um sistema de armazenamento pode se conectar ao servidor LDAP para fazer solicitações de informações do usuário. Os servidores LDAP oferecem os seguintes níveis de associação:- Anônimo (desabilitado por padrão no Microsoft Active Directory; sem suporte no Azure NetApp Files)
- Senha simples (senhas de texto sem formatação; sem suporte no Azure NetApp Files)
- Simple Authentication and Security Layer (SASL) – métodos de associação criptografados, incluindo TLS, SSL, Kerberos e assim por diante. O Azure NetApp Files dá suporte a LDAP por TLS, assinatura LDAP (usando Kerberos), LDAP por SSL.
-
O LDAP é robusto.
Arquivos NIS, arquivos NIS+ e arquivos locais oferecem informações básicas, como UID, GID, senha, diretórios domésticos e assim por diante. No entanto, o LDAP oferece esses atributos e muitos mais. Os atributos adicionais usados pelo LDAP tornam o gerenciamento de protocolo duplo muito mais integrado ao LDAP em comparação ao NIS. Somente o LDAP tem suporte como um serviço de nome externo para gerenciamento de identidade com o Azure NetApp Files. -
O Microsoft Active Directory é baseado em LDAP.
Por padrão, o Microsoft Active Directory usa um back-end LDAP para suas entradas de usuário e grupo. No entanto, esse banco de dados LDAP não contém atributos de estilo UNIX. Esses atributos são adicionados quando o esquema LDAP é estendido por meio do Gerenciamento de Identidade para UNIX (Windows 2003R2 e posterior), Serviço para UNIX (Windows 2003 e anterior) ou ferramentas LDAP de terceiros, como o Centrify. Como a Microsoft usa o LDAP como um back-end, ele torna o LDAP a solução perfeita para ambientes que optam por aproveitar volumes de protocolo duplo no Azure NetApp Files.Observação
Atualmente, o Azure NetApp Files dá suporte apenas ao Microsoft Active Directory nativo para serviços LDAP.
Noções básicas do LDAP no Azure NetApp Files
A seção a seguir discute os conceitos básicos do LDAP, pois ele pertence ao Azure NetApp Files.
As informações do LDAP são armazenadas em arquivos simples em um servidor LDAP e são organizadas por meio de um esquema LDAP. Você deve configurar clientes LDAP de uma maneira que coordene as solicitações e pesquisas deles com o esquema no servidor LDAP.
Os clientes LDAP iniciam consultas por meio de uma associação LDAP, que é essencialmente um logon para o servidor LDAP usando uma conta que tem acesso de leitura ao esquema LDAP. A configuração de associação LDAP nos clientes é configurada para usar o mecanismo de segurança definido pelo servidor LDAP. Às vezes, trata-se de trocas de nome de usuário e senha em texto sem formatação (simples). Em outros casos, as associações são protegidas por meio de métodos Simple Authentication and Security Layer (
sasl) como Kerberos ou LDAP por TLS. O Azure NetApp Files usa a conta do computador SMB para associar usando a autenticação SASL para obter a melhor segurança possível.As informações de usuário e grupo armazenadas no LDAP são consultadas por clientes usando solicitações de pesquisa LDAP padrão, conforme definido no RFC 2307. Além disso, mecanismos mais recentes, como RFC 2307bis, permitem pesquisas de usuários e grupos mais simplificadas. O Azure NetApp Files usa uma forma de RFC 2307bis para suas pesquisas de esquema no Windows Active Directory.
Os servidores LDAP podem armazenar informações de usuário e grupo e netgroup. No entanto, atualmente, o Azure NetApp Files não pode usar a funcionalidade de netgroup no LDAP no Windows Active Directory.
O LDAP no Azure NetApp Files opera na porta 389. Atualmente, esta porta não pode ser modificada para usar uma porta personalizada, como a porta 636 (LDAP via SSL) ou a porta 3268 (pesquisas do Catálogo Global do Active Directory).
Comunicações LDAP criptografadas podem ser obtidas usando LDAP via TLS (que opera pela porta 389) ou assinatura LDAP, e ambos podem ser configurados na conexão do Active Directory.
O Azure NetApp Files dá suporte a consultas LDAP que não levam mais de 3 segundos para serem concluídas. Se o servidor LDAP tiver muitos objetos, esse tempo limite poderá ser excedido e as solicitações de autenticação poderão falhar. Nesses casos, considere especificar um escopo de pesquisa LDAP para filtrar consultas para melhor desempenho.
O Azure NetApp Files também dá suporte à especificação de servidores LDAP preferenciais para ajudar a acelerar as solicitações. Use esta configuração se quiser garantir que o servidor LDAP mais próximo da região do Azure NetApp Files esteja sendo usado.
Se nenhum servidor LDAP preferencial estiver definido, o nome de domínio do Active Directory será consultado no DNS para registros de serviço LDAP para preencher a lista de servidores LDAP disponíveis para sua região localizada dentro desse registro SRV. Você pode consultar manualmente registros de serviço LDAP no DNS de um cliente usando os comandos
nslookupoudig.Por exemplo:
C:\>nslookup Default Server: localhost Address: ::1 > set type=SRV > _ldap._tcp.contoso.com. Server: localhost Address: ::1 _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 0 port = 389 svr hostname = oneway.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = ONEWAY.Contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = oneway.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = parisi-2019dc.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = contoso.com oneway.contoso.com internet address = x.x.x.x ONEWAY.Contoso.com internet address = x.x.x.x oneway.contoso.com internet address = x.x.x.x parisi-2019dc.contoso.com internet address = y.y.y.y contoso.com internet address = x.x.x.x contoso.com internet address = y.y.y.yOs servidores LDAP também podem ser usados para executar o mapeamento de nomes personalizado para os usuários. Para obter mais informações, consulte Entenda o mapeamento de nomes usando LDAP.
Tempos limite de consulta LDAP
Por padrão, as consultas LDAP passam do tempo limite se não puderem ser concluídas. Se uma consulta LDAP falhar devido a um tempo limite, a pesquisa de usuário e/ou grupo falhará e o acesso ao volume do Azure NetApp Files poderá ser negado, dependendo das configurações de permissão do volume. Consulte Criar e gerenciar conexões do Active Directory para entender as configurações de tempo limite de consulta LDAP do Azure NetApp Files.