Compreender as associações de grupo NFS e grupos suplementares
Você pode usar LDAP para controlar a associação a grupos e retornar grupos suplementares para usuários NFS. Esse comportamento é controlado por meio de atributos de esquema no servidor LDAP.
GID primário
Para que os Arquivos NetApp do Azure possam autenticar um usuário corretamente, os usuários LDAP sempre devem ter um GID primário definido. O GID primário do usuário é definido pelo esquema gidNumber
no servidor LDAP.
GIDs secundários, suplementares e auxiliares
Grupos secundários, suplementares e auxiliares são grupos dos quais um usuário é membro fora de seu GID primário. Nos Arquivos NetApp do Azure, o LDAP é implementado usando o Microsoft Ative Directory e os grupos suplementares são controlados usando a lógica padrão de associação de grupo do Windows.
Quando um usuário é adicionado a um grupo do Windows, o atributo Member
de esquema LDAP é preenchido no grupo com o nome distinto (DN) do usuário que é membro desse grupo. Quando a associação de grupo de um usuário é consultada pelos Arquivos NetApp do Azure, uma pesquisa LDAP é feita para o DN do usuário no atributo de Member
todos os grupos. Todos os grupos com um UNIX gidNumber
e o DN do usuário são retornados na pesquisa e preenchidos como associações de grupo suplementares do usuário.
O exemplo a seguir mostra a saída do Ative Directory com o DN de um usuário preenchido Member
no campo de um grupo e uma pesquisa LDAP subsequente feita usando ldp.exe
.
O exemplo a seguir mostra o campo de membro do grupo Windows:
O exemplo a seguir mostra LDAPsearch
todos os grupos em que User1
é membro:
Você também pode consultar associações de grupo para um usuário nos Arquivos NetApp do Azure selecionando o link Lista de ID de Grupo LDAP em Suporte + solução de problemas no menu de volume.
Limites de grupo no NFS
A Chamada de Procedimento Remoto (RPC) no NFS tem uma limitação específica para o número máximo de GIDs auxiliares que podem ser honrados em uma única solicitação NFS. O máximo para é 16, e para AUTH_SYS/AUTH_UNIX
AUTH_GSS (Kerberos), é 32. Essa limitação de protocolo afeta todos os servidores NFS - não apenas os Arquivos NetApp do Azure. No entanto, muitos servidores e clientes NFS modernos incluem maneiras de contornar essas limitações.
Para contornar essa limitação de NFS nos Arquivos NetApp do Azure, consulte Habilitar a autenticação LDAP dos Serviços de Domínio Ative Directory (AD DS) para volumes NFS.
Como funciona a extensão da limitação de grupo
As opções para estender a limitação de grupo funcionam da mesma forma que a manage-gids
opção para outros servidores NFS. Basicamente, em vez de despejar toda a lista de GIDs auxiliares aos quais um usuário pertence, a opção executa uma pesquisa para o GID no arquivo ou pasta e retorna esse valor.
O exemplo a seguir mostra o pacote RPC com 16 GIDs.
Qualquer GID além do limite de 16 é eliminado pelo protocolo. Com grupos estendidos nos Arquivos NetApp do Azure, quando uma nova solicitação NFS chega, as informações sobre a associação ao grupo do usuário são solicitadas.
Considerações para GIDs estendidos com LDAP do Ative Directory
Por padrão, nos servidores LDAP do Microsoft Ative Directory, o MaxPageSize
atributo é definido como um padrão de 1.000. Essa configuração significa que grupos acima de 1.000 seriam truncados em consultas LDAP. Para habilitar o suporte total com o valor 1.024 para grupos estendidos, o atributo deve ser modificado para refletir o MaxPageSize
valor 1.024. Para obter informações sobre como alterar esse valor, consulte o artigo do Microsoft TechNet How to View and set LDAP Policy in Ative Directory by Using Ntdsutil.exe e o artigo da biblioteca TechNet MaxPageSize Is set Too High.
Próximos passos
- Habilitar a autenticação LDAP dos Serviços de Domínio Ative Directory (AD DS) para volumes NFS
- Compreender o bloqueio de ficheiros e os tipos de bloqueio nos Ficheiros NetApp do Azure
- Compreender o estilo de segurança de protocolo duplo e os comportamentos de permissão nos Arquivos NetApp do Azure
- Compreender o uso do LDAP com os Arquivos NetApp do Azure
- Perguntas frequentes sobre NFS de arquivos NetApp do Azure
- Habilitar a autenticação LDAP dos Serviços de Domínio Ative Directory (AD DS) para volumes NFS