Entenda a opção Permitir usuários NFS locais com LDAP Entenda o mapeamento de nomes usando LDAP no Azure NetApp Files
Quando um usuário tenta acessar um volume do Azure NetApp Files via NFS, a solicitação vem em uma ID numérica. Por padrão, o Azure NetApp Files dá suporte a associações de grupo estendidas para usuários NFS (para ir além do limite padrão de grupo de 16). Como resultado, o Azure NetApp Files tenta pegar essa ID numérica e procurá-la no protocolo de acesso a diretório leve (LDAP) em uma tentativa de resolver as associações de grupo para o usuário em vez de passar as associações de grupo em um pacote RPC. Devido a esse comportamento, se esse ID numérico não puder ser resolvido para um usuário no LDAP, a pesquisa falhará e o acesso será negado. Essa negação ocorre mesmo que o usuário solicitante tenha permissão para acessar o volume ou a estrutura de dados.
A opção Permitir usuários NFS locais com LDAP em conexões do Active Directory destina-se a desabilitar essas pesquisas LDAP para solicitações NFS desabilitando a funcionalidade de grupo estendido. Ele não fornece "criação/gerenciamento de usuários locais" no Azure NetApp Files.
Quando a opção "Permitir usuários NFS locais com LDAP" está habilitada, IDs numéricas são passadas para o Azure NetApp Files e nenhuma pesquisa LDAP ocorre. Isso cria um comportamento variável em diferentes cenários, conforme abordado abaixo.
NFSv3 com volumes de estilo de segurança UNIX
IDs numéricas não precisam ser traduzidas para nomes de usuário. A opção "Permitir usuários NFS locais com LDAP" não afeta o acesso ao volume. Isso pode afetar como a propriedade do usuário/grupo (tradução de nomes) é exibida no cliente NFS. Por exemplo, se um ID numérico de 1001 for user1 no LDAP, mas for user2 no arquivo passwd local do cliente NFS, o cliente exibirá "user2" como o proprietário do arquivo quando o ID numérico for 1001.
NFSv4.1 com volumes de estilo de segurança UNIX
IDs numéricas não precisam ser traduzidas para nomes de usuário. Por padrão, o NFSv4.1 usa cadeias de caracteres de nome (user@CONTOSO.COM) para autenticação. No entanto, o Azure NetApp Files oferece suporte ao uso de IDs numéricas com NFSV4.1, o que significa que as solicitações NFSv4.1 chegam ao servidor NFS com uma ID numérica. Se nenhuma tradução de ID numérica para nome de usuário existir nos arquivos locais ou serviços de nome como LDAP para o volume do Azure NetApp Files, a ID numérica será apresentada ao cliente. Se um ID numérico for traduzido para um nome de usuário, a cadeia de caracteres de nome será usada. Se a sequência de nomes não corresponder, o cliente compacta o nome para o usuário anônimo especificado no arquivo idmapd.conf do cliente. Habilitar a opção "Permitir usuários NFS locais com LDAP" não afeta o acesso NFSv4.1. O acesso retorna ao comportamento padrão do NFSv3, a menos que o Azure NetApp Files consiga resolver uma ID numérica para um nome de usuário em seu banco de dados de usuários NFS local. O Azure NetApp Files tem um conjunto de usuários UNIX padrão que podem ser problemáticos para alguns clientes e reduzidos a um usuário "ninguém" se as sequências de caracteres de ID de domínio não corresponderem.
- Os usuários locais incluem: root (0), pcuser (65534), nobody (65535).
- Os grupos locais incluem: root (0), daemon (1), pcuser (65534), nobody (65535).
Mais comumente, a raiz pode ser mostrada incorretamente em montagens de cliente NFSv4.1 quando a ID de domínio NFSv4.1 está configurada incorretamente. Para obter mais informações sobre o domínio de ID NFSv4.1, confira Configuração do domínio de ID NFSv4.1 para o Azure NetApp Files.
As ACLs NFSv4.1 podem ser configuradas usando uma cadeia de caracteres de nome ou uma ID numérica. Se as IDs numéricas forem usadas, nenhuma tradução de nome será necessária. Se uma cadeia de caracteres de nome for usada, a conversão de nomes será necessária para a resolução de ACL adequada. Ao usar ACLs NFSv4.1, habilitar "Permitir usuários NFS locais com LDAP" pode causar comportamento incorreto da ACL NFSv4.1, dependendo da configuração da ACL.
NFS (NFSv3 e NFSv4.1) com volumes de estilo de segurança NTFS em configurações de protocolo duplo
Os volumes de estilo de segurança UNIX aproveitam permissões de estilo UNIX (bits de modo e ACLs NFSv4.1). Para esses tipos de volumes, o NFS aproveita apenas a autenticação no estilo UNIX aproveitando uma ID numérica ou uma cadeia de caracteres de nome, dependendo dos cenários listados acima.
No entanto, os volumes de estilo de segurança do NTFS usam permissões de estilo NTFS. Essas permissões são atribuídas usando usuários e grupos do Windows. Quando um usuário NFS tenta acessar um volume com uma permissão de estilo NTFS, um mapeamento de nomes do UNIX para o Windows deve ocorrer para garantir controles de acesso adequados. Neste cenário, a ID numérica do NFS ainda é passada para o volume NFS do Azure NetApp Files, mas há um requisito para que a ID numérica seja traduzida para um nome de usuário UNIX para que possa ser mapeada para um nome de usuário do Windows para autenticação inicial. Por exemplo, se o ID numérico 1001 tentar acessar uma montagem NFS com permissões de estilo de segurança NTFS que permitem acesso ao usuário do Windows "user1", então 1001 precisará ser resolvido no LDAP para o nome de usuário "user1" para obter o acesso esperado. Se nenhum usuário com o ID numérico "1001" existir no LDAP, ou se o LDAP estiver configurado incorretamente, o mapeamento de nomes do UNIX para o Windows concluirá a tentativa com 1001@contoso.com. Na maioria dos casos, usuários com esse nome não existem. Como resultado, a autenticação falha e o acesso é negado. Da mesma forma, se o ID numérico 1001 for resolvido para o nome de usuário errado (como usuário2), a solicitação NFS será mapeada para o usuário incorreto do Windows (nesse cenário, o usuário1 tem o acesso concedido ao usuário2).
Habilitar "Permitir usuários NFS locais com LDAP" desabilita todas as traduções LDAP de IDs numéricos para nomes de usuários. Essa ação efetivamente interrompe o acesso aos volumes de estilo de segurança NTFS. Portanto, o uso dessa opção com volumes de estilo de segurança NTFS não é recomendado.