Habilitar a autenticação LDAP dos Serviços de Domínio Ative Directory (AD DS) para volumes NFS
Ao criar um volume NFS, você pode ativar o recurso LDAP com grupos estendidos (a opção LDAP) para o volume. Esse recurso permite que usuários LDAP do Ative Directory e grupos estendidos (até 1024 grupos) acessem arquivos e diretórios no volume. Você pode usar o recurso LDAP com grupos estendidos com volumes NFSv4.1 e NFSv3.
Nota
Por padrão, nos servidores LDAP do Ative Directory, o MaxPageSize
atributo é definido como um padrão de 1.000. Essa configuração significa que grupos além de 1.000 são truncados em consultas LDAP. Para habilitar o suporte total com o valor 1.024 para grupos estendidos, o atributo e deve ser modificado para refletir o MaxPageSiz
valor 1.024. Para obter informações sobre como alterar esse valor, consulte Como exibir e definir a política LDAP no Ative Directory usando Ntdsutil.exe.
Os Arquivos NetApp do Azure dão suporte à busca de grupos estendidos do serviço de nomes LDAP em vez do cabeçalho RPC. Os Arquivos NetApp do Azure interagem com o LDAP consultando atributos como nomes de usuário, IDs numéricos, grupos e associações de grupo para operações do protocolo NFS.
Quando for determinado que o LDAP será usado para operações como pesquisa de nome e busca de grupos estendidos, ocorre o seguinte processo:
- Os Arquivos NetApp do Azure usam uma configuração de cliente LDAP para fazer uma tentativa de conexão com o servidor LDAP dos Serviços de Domínio AD DS ou Microsoft Entra especificado na configuração do Azure NetApp Files AD.
- Se a conexão TCP pela porta de serviço LDAP definida do AD DS ou dos Serviços de Domínio Microsoft Entra for bem-sucedida, o cliente LDAP dos Arquivos NetApp do Azure tentará "vincular" (entrar) ao servidor LDAP dos Serviços de Domínio AD DS ou Microsoft Entra (controlador de domínio) usando as credenciais definidas na configuração do cliente LDAP.
- Se a associação for bem-sucedida, o cliente LDAP dos Arquivos NetApp do Azure usará o esquema LDAP RFC 2307bis para fazer uma consulta de pesquisa LDAP ao servidor LDAP dos Serviços de Domínio AD DS ou Microsoft Entra (controlador de domínio).
As seguintes informações são passadas para o servidor na consulta:
- DN de base/utilizador (para restringir o âmbito de pesquisa)
- Tipo de escopo de pesquisa (subárvore)
- Classe de objeto (
user
,posixAccount
para usuários eposixGroup
grupos) - UID ou nome de utilizador
- Atributos solicitados (
uid
, ,gidNumber
uidNumber
para usuários ougidNumber
grupos)
- Se o usuário ou grupo não for encontrado, a solicitação falhará e o acesso será negado.
- Se a solicitação for bem-sucedida, os atributos de usuário e grupo serão armazenados em cache para uso futuro. Esta operação melhora o desempenho de consultas LDAP subsequentes associadas aos atributos de usuário ou grupo armazenados em cache. Também reduz a carga no servidor LDAP dos Serviços de Domínio AD DS ou Microsoft Entra.
Considerações
Você pode ativar o recurso LDAP com grupos estendidos somente durante a criação do volume. Esse recurso não pode ser ativado retroativamente em volumes existentes.
O LDAP com grupos estendidos é suportado apenas com os Serviços de Domínio Ative Directory (AD DS) ou os Serviços de Domínio Microsoft Entra. OpenLDAP ou outros serviços de diretório LDAP de terceiros não são suportados.
O LDAP sobre TLS não deve ser habilitado se você estiver usando os Serviços de Domínio do Microsoft Entra.
Não é possível modificar a configuração da opção LDAP (ativada ou desativada) depois de criar o volume.
A tabela a seguir descreve as configurações de tempo de vida (TTL) para o cache LDAP. Você precisa esperar até que o cache seja atualizado antes de tentar acessar um arquivo ou diretório por meio de um cliente. Caso contrário, uma mensagem de acesso ou permissão negada aparecerá no cliente.
Cache Tempo Limite Predefinido Lista de membros do grupo TTL 24 horas Grupos Unix TTL de 24 horas, TTL negativo de 1 minuto Usuários Unix TTL de 24 horas, TTL negativo de 1 minuto Os caches têm um período de tempo limite específico chamado Tempo de Vida. Após o período de tempo limite, as entradas envelhecem para que as entradas obsoletas não permaneçam. O valor TTL negativo é onde reside uma pesquisa que falhou para ajudar a evitar problemas de desempenho devido a consultas LDAP para objetos que podem não existir.
A opção Permitir usuários NFS locais com LDAP em conexões do Ative Directory pretende fornecer acesso ocasional e temporário a usuários locais. Quando esta opção está ativada, a autenticação e pesquisa de utilizadores a partir do servidor LDAP deixam de funcionar e o número de associações de grupo que os Ficheiros NetApp do Azure suportarão será limitado a 16. Como tal, você deve manter essa opção desabilitada em conexões do Ative Directory, exceto na ocasião em que um usuário local precisa acessar volumes habilitados para LDAP. Nesse caso, você deve desativar essa opção assim que o acesso do usuário local não for mais necessário para o volume. Consulte Permitir que usuários NFS locais com LDAP acessem um volume de protocolo duplo sobre como gerenciar o acesso de usuário local.
Passos
Os volumes LDAP requerem uma configuração do Ative Directory para as definições do servidor LDAP. Siga as instruções em Requisitos para conexões do Ative Directory e Criar uma conexão do Ative Directory para configurar conexões do Ative Directory no portal do Azure.
Nota
Verifique se você configurou as configurações de conexão do Ative Directory. Será criada uma conta de computador na unidade organizacional (UO) especificada nas configurações de conexão do Ative Directory. As configurações são usadas pelo cliente LDAP para autenticar com o Ative Directory.
Verifique se o servidor LDAP do Ative Directory está ativo e em execução no Ative Directory.
Os utilizadores do LDAP NFS precisam de ter certos atributos POSIX no servidor de LDAP. Defina os atributos para usuários LDAP e grupos LDAP da seguinte maneira:
- Atributos necessários para usuários LDAP:
uid: Alice
,
uidNumber: 139
,
gidNumber: 555
,
objectClass: user, posixAccount
- Atributos necessários para grupos LDAP:
objectClass: group, posixGroup
,
gidNumber: 555
Os valores especificados para
objectClass
são entradas separadas. Por exemplo, no Editor de Cadeia de Caracteres com Vários Valores,objectClass
teria valores separados (user
eposixAccount
) especificados da seguinte forma para usuários LDAP:Nota
Se os atributos POSIX não estiverem configurados corretamente, as operações de pesquisa de usuário e grupo poderão falhar e os usuários poderão ser esmagados ao
nobody
acessar volumes NFS.Você pode gerenciar atributos POSIX usando o snap-in MMC Usuários e Computadores do Ative Directory. O exemplo a seguir mostra o Editor de Atributos do Ative Directory. Consulte Access Ative Directory Attribute Editor para obter detalhes.
- Atributos necessários para usuários LDAP:
Se você quiser configurar um cliente Linux NFSv4.1 integrado ao LDAP, consulte Configurar um cliente NFS para arquivos NetApp do Azure.
Se os volumes habilitados para LDAP usarem NFSv4.1, siga as instruções em Configurar domínio de ID NFSv4.1 para configurar o
/etc/idmapd.conf
arquivo.Você precisa definir
Domain
/etc/idmapd.conf
o domínio configurado na Conexão do Ative Directory em sua conta NetApp. Por exemplo, secontoso.com
for o domínio configurado na conta NetApp, definaDomain = contoso.com
.Em seguida, você precisa reiniciar o
rpcbind
serviço no seu host ou reinicializá-lo.Siga as etapas em Criar um volume NFS para Arquivos NetApp do Azure para criar um volume NFS. Durante o processo de criação do volume, na guia Protocolo , ative a opção LDAP .
Opcional - Você pode habilitar usuários do cliente NFS locais não presentes no servidor LDAP do Windows para acessar um volume NFS que tenha LDAP com grupos estendidos habilitados. Para fazer isso, habilite a opção Permitir usuários NFS locais com LDAP da seguinte maneira:
- Selecione Conexões do Ative Directory. Em uma conexão existente do Ative Directory, selecione o menu de
…
contexto (os três pontos) e selecione Editar. - Na janela Editar configurações do Ative Directory exibida, selecione a opção Permitir usuários NFS locais com LDAP.
- Selecione Conexões do Ative Directory. Em uma conexão existente do Ative Directory, selecione o menu de
Opcional - Se você tiver topologias grandes e usar o estilo de segurança Unix com um volume de protocolo duplo ou LDAP com grupos estendidos, poderá usar a opção Escopo de Pesquisa LDAP para evitar erros de "acesso negado" em clientes Linux para Arquivos NetApp do Azure.
A opção Escopo de Pesquisa LDAP é configurada por meio da página Conexões do Ative Directory.
Para resolver os usuários e o grupo de um servidor LDAP para topologias grandes, defina os valores das opções DN do usuário, DN do grupo e Filtro de associação de grupo na página Conexões do Ative Directory da seguinte maneira:
- Especifique DN de usuário aninhado e DN de grupo no formato de
OU=subdirectory,OU=directory,DC=domain,DC=com
. - Especifique o Filtro de Associação de Grupo no formato .
(gidNumber=*)
- Se um usuário for membro de mais de 256 grupos, apenas 256 grupos serão listados.
- Consulte os erros para volumes LDAP se encontrar erros.
- Especifique DN de usuário aninhado e DN de grupo no formato de
Próximos passos
- Criar um volume NFS para o Azure NetApp Files
- Criar e gerir ligações do Active Directory
- Configurar domínio NFSv4.1
- Configurar um cliente NFS para o Azure NetApp Files
- Resolver erros de volume do Azure NetApp Files
- Modificar ligações do Active Directory para o Azure NetApp Files
- Compreender as associações de grupo NFS e grupos suplementares