Compreender as noções básicas do protocolo LDAP (lightweight directory access protocol) nos Arquivos NetApp do Azure
Lightweight directory access protocol (LDAP) é um protocolo padrão de acesso a diretórios que foi desenvolvido por um comitê internacional chamado Internet Engineering Task Force (IETF). O LDAP destina-se a fornecer um serviço de diretório baseado em rede de uso geral que você pode usar em plataformas heterogêneas para localizar objetos de rede.
Os modelos LDAP definem como se comunicar com o armazenamento de diretório LDAP, como encontrar um objeto no diretório, como descrever os objetos no armazenamento e a segurança usada para acessar o diretório. O LDAP permite a personalização e extensão dos objetos descritos na loja. Portanto, você pode usar um armazenamento LDAP para armazenar muitos tipos de informações diversas. Muitas das implantações LDAP iniciais se concentraram no uso do LDAP como um armazenamento de diretório para aplicativos como e-mail e aplicativos da Web e para armazenar informações de funcionários. Muitas empresas estão substituindo ou substituíram o Network Information Service (NIS) pelo LDAP como um armazenamento de diretório de rede.
Um servidor LDAP fornece identidades de usuário e grupo UNIX para uso com volumes NAS. Nos Arquivos NetApp do Azure, o Ative Directory é o único servidor LDAP atualmente suportado que pode ser usado. Este suporte inclui os Serviços de Domínio Ative Directory (AD DS) e os Serviços de Domínio Microsoft Entra.
As solicitações LDAP podem ser divididas em duas operações principais.
- As ligações LDAP são logins no servidor LDAP a partir de um cliente LDAP. A associação é usada para autenticar no servidor LDAP com acesso somente leitura para executar pesquisas LDAP. Os Arquivos NetApp do Azure atuam como um cliente LDAP.
- As pesquisas LDAP são usadas para consultar o diretório em busca de informações de usuários e grupos, como nomes, IDs numéricos, caminhos de diretório base, caminhos de shell de login, associações de grupo e muito mais.
O LDAP pode armazenar as seguintes informações que são usadas no acesso NAS de protocolo duplo:
- Nomes de utilizador
- Nomes de grupos
- IDs de usuário numéricos (UIDs) e IDs de grupo (GIDs)
- Diretórios base
- Shell de login
- Netgroups, nomes DNS e endereços IP
- Associação a um grupo
Atualmente, os Arquivos NetApp do Azure usam apenas LDAP para informações de usuário e grupo, não informações de netgroup ou host.
O LDAP oferece vários benefícios para seus usuários e grupos UNIX como uma fonte de identidade.
-
O LDAP está preparado para o futuro.
À medida que mais clientes NFS adicionam suporte para NFSv4.x, os domínios de ID NFSv4.x que contêm uma lista atualizada de usuários e grupos acessíveis a partir de clientes e armazenamento são necessários para garantir segurança ideal e acesso garantido quando o acesso é definido. Ter um servidor de gerenciamento de identidades que fornece mapeamentos de nomes um-para-um para usuários SMB e NFS simplifica muito a vida dos administradores de armazenamento, não apenas no presente, mas nos próximos anos. -
O LDAP é escalável.
Os servidores LDAP oferecem a capacidade de conter milhões de objetos de usuário e grupo e, com o Microsoft Ative Directory, vários servidores podem ser usados para replicar em vários locais para desempenho e resiliência. -
O LDAP é seguro.
O LDAP oferece segurança na forma de como um sistema de armazenamento pode se conectar ao servidor LDAP para fazer solicitações de informações do usuário. Os servidores LDAP oferecem os seguintes níveis de ligação:- Anónimo (desativado por predefinição no Microsoft Ative Directory; não suportado nos Ficheiros NetApp do Azure)
- Palavra-passe simples (palavras-passe de texto simples; não suportadas nos Ficheiros NetApp do Azure)
- SASL (Simple Authentication and Security Layer) – Métodos de associação criptografados, incluindo TLS, SSL, Kerberos e assim por diante. Os Arquivos NetApp do Azure dão suporte a LDAP sobre TLS, assinatura LDAP (usando Kerberos), LDAP sobre SSL.
-
O LDAP é robusto.
NIS, NIS+ e arquivos locais oferecem informações básicas, como UID, GID, senha, diretórios home e assim por diante. No entanto, o LDAP oferece esses atributos e muito mais. Os atributos adicionais que o LDAP usa tornam o gerenciamento de protocolo duplo muito mais integrado com o LDAP versus o NIS. Somente LDAP é suportado como um serviço de nome externo para gerenciamento de identidades com Arquivos NetApp do Azure. -
O Microsoft Ative Directory baseia-se no LDAP.
Por padrão, o Microsoft Ative Directory usa um back-end LDAP para suas entradas de usuário e grupo. No entanto, esse banco de dados LDAP não contém atributos de estilo UNIX. Esses atributos são adicionados quando o esquema LDAP é estendido por meio do Identity Management for UNIX (Windows 2003R2 e posterior), Service for UNIX (Windows 2003 e anteriores) ou ferramentas LDAP de terceiros, como o Centrify. Como a Microsoft usa LDAP como back-end, ela torna o LDAP a solução perfeita para ambientes que optam por aproveitar volumes de protocolo duplo nos Arquivos NetApp do Azure.Nota
Atualmente, os Arquivos NetApp do Azure só dão suporte ao Microsoft Ative Directory nativo para serviços LDAP.
Noções básicas de LDAP nos Arquivos NetApp do Azure
A seção a seguir discute os conceitos básicos do LDAP no que diz respeito aos Arquivos NetApp do Azure.
As informações LDAP são armazenadas em arquivos simples em um servidor LDAP e são organizadas por meio de um esquema LDAP. Você deve configurar clientes LDAP de uma forma que coordene suas solicitações e pesquisas com o esquema no servidor LDAP.
Os clientes LDAP iniciam consultas por meio de uma ligação LDAP, que é essencialmente um login no servidor LDAP usando uma conta que tem acesso de leitura ao esquema LDAP. A configuração de associação LDAP nos clientes é configurada para usar o mecanismo de segurança definido pelo servidor LDAP. Às vezes, são trocas de nome de usuário e senha em texto simples (simples). Em outros casos, as ligações são protegidas por meio de métodos de Camada de Segurança e Autenticação Simples (
sasl), como Kerberos ou LDAP sobre TLS. Os Arquivos NetApp do Azure usam a conta de máquina SMB para vincular usando a autenticação SASL para a melhor segurança possível.As informações de usuários e grupos armazenadas no LDAP são consultadas pelos clientes usando solicitações de pesquisa LDAP padrão, conforme definido na RFC 2307. Além disso, mecanismos mais recentes, como o RFC 2307bis, permitem pesquisas mais simplificadas de usuários e grupos. Os Arquivos NetApp do Azure usam uma forma de RFC 2307bis para suas pesquisas de esquema no Windows Ative Directory.
Os servidores LDAP podem armazenar informações de usuários e grupos e netgroup. No entanto, os Arquivos NetApp do Azure atualmente não podem usar a funcionalidade netgroup no LDAP no Windows Ative Directory.
O LDAP nos Arquivos NetApp do Azure opera na porta 389. Atualmente, essa porta não pode ser modificada para usar uma porta personalizada, como a porta 636 (LDAP sobre SSL) ou a porta 3268 (pesquisas no Catálogo Global do Ative Directory).
As comunicações LDAP criptografadas podem ser obtidas usando LDAP sobre TLS (que opera pela porta 389) ou assinatura LDAP, que podem ser configuradas na conexão do Ative Directory.
Os Arquivos NetApp do Azure dão suporte a consultas LDAP que não levam mais de 3 segundos para serem concluídas. Se o servidor LDAP tiver muitos objetos, esse tempo limite poderá ser excedido e as solicitações de autenticação poderão falhar. Nesses casos, considere especificar um escopo de pesquisa LDAP para filtrar consultas para obter melhor desempenho.
Os Arquivos NetApp do Azure também oferecem suporte à especificação de servidores LDAP preferenciais para ajudar a acelerar as solicitações. Use essa configuração se quiser garantir que o servidor LDAP mais próximo da região Arquivos NetApp do Azure esteja sendo usado.
Se nenhum servidor LDAP preferencial estiver definido, o nome de domínio do Ative Directory será consultado no DNS para registros de serviço LDAP para preencher a lista de servidores LDAP disponíveis para sua região localizada nesse registro SRV. Você pode consultar manualmente os registros de serviço LDAP no DNS a partir de um cliente usando
nslookupcomandos ordig.Por exemplo:
C:\>nslookup Default Server: localhost Address: ::1 > set type=SRV > _ldap._tcp.contoso.com. Server: localhost Address: ::1 _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 0 port = 389 svr hostname = oneway.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = ONEWAY.Contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = oneway.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = parisi-2019dc.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = contoso.com oneway.contoso.com internet address = x.x.x.x ONEWAY.Contoso.com internet address = x.x.x.x oneway.contoso.com internet address = x.x.x.x parisi-2019dc.contoso.com internet address = y.y.y.y contoso.com internet address = x.x.x.x contoso.com internet address = y.y.y.yOs servidores LDAP também podem ser usados para executar o mapeamento de nomes personalizado para os usuários. Para obter mais informações, consulte Compreender o mapeamento de nomes usando LDAP.
Tempo limite de consulta LDAP
Por padrão, as consultas LDAP atingem o tempo limite se não puderem ser concluídas. Se uma consulta LDAP falhar devido a um tempo limite, a pesquisa de usuário e/ou grupo falhará e o acesso ao volume Arquivos NetApp do Azure poderá ser negado, dependendo das configurações de permissão do volume. Consulte Criar e gerenciar conexões do Ative Directory para entender as configurações de tempo limite de consulta LDAP dos Arquivos NetApp do Azure.