Общие сведения о вспомогательных и дополнительных группах с помощью NFS в Azure NetApp Files
NFS имеет определенное ограничение для максимального числа вспомогательных ГИД (вторичных групп), которые можно учитывать в одном запросе NFS. Максимальное значение для AUTH_SYS/AUTH_UNIX равно 16. Для AUTH_GSS (Kerberos) максимальное значение равно 32. Это известное ограничение протокола NFS.
Azure NetApp Files позволяет увеличить максимальное количество вспомогательных групп до 1024. Это выполняется путем предотвращения усечения списка групп в пакете NFS путем предварительного получения группы запрашивающего пользователя из службы имен, например LDAP.
Как это работает
Параметры расширения ограничения группы работают так же, как -manage-gids и для других серверов NFS. Вместо дампа всего списка вспомогательных GID, к которому принадлежит пользователь, параметр ищет GID в файле или папке и возвращает это значение.
Ссылка на команду для примечаний mountd :
-g or --manage-gids
Accept requests from the kernel to map user id numbers into lists of group id numbers for use in access control. An NFS request will normally except when using Kerberos or other cryptographic authentication) contains a user-id and a list of group-ids. Due to a limitation in the NFS protocol, at most 16 groups ids can be listed. If you use the -g flag, then the list of group ids received from the client will be replaced by a list of group ids determined by an appropriate lookup on the server.
При выполнении запроса на доступ передаются только 16 GID в части RPC пакета.
Любой GID за пределы 16 удаляется протоколом. Расширенные GID в Azure NetApp Files можно использовать только с внешними службами имен, такими как LDAP.
Потенциальное влияние на производительность
Расширенные группы имеют минимальный штраф производительности, как правило, в процентах от низкой однозначной цифры. Более высокие рабочие нагрузки NFS метаданных, скорее всего, оказывают больше влияния, особенно на кэши системы. Производительность также может повлиять на скорость и рабочую нагрузку серверов службы имен. Перегруженные серверы службы имен медленнее отвечают, что приводит к задержкам при предварительном выборке GID. Для получения наилучших результатов используйте несколько серверов служб имен для обработки большого количества запросов.
Параметр "Разрешить локальным пользователям с помощью LDAP"
Когда пользователь пытается получить доступ к тому Azure NetApp Files через NFS, запрос поступает в числовой идентификатор. По умолчанию Azure NetApp Files поддерживает расширенные членства в группах для пользователей NFS (чтобы перейти за пределы стандартной группы 16 до 1024). В результате Azure NetApp files пытается найти числовый идентификатор в LDAP в попытке разрешить членство в группах для пользователя, а не передавать членство в группах в пакетЕ RPC.
В связи с этим поведением, если этот числовый идентификатор не может быть разрешен пользователю в LDAP, поиск завершается ошибкой и доступ запрещен, даже если запрашивающий пользователь имеет разрешение на доступ к тому или структуре данных.
Разрешение локальных пользователей NFS с параметром LDAP в подключениях Active Directory предназначено для отключения этих запросов LDAP для запросов NFS, отключив расширенные функции группы. Он не предоставляет "локальное создание и управление пользователями" в Azure NetApp Files.
Дополнительные сведения о параметре, в том числе о том, как он работает с различными стилями безопасности томов в файлах Azure NetApp, см. в статье "Общие сведения об использовании LDAP с Azure NetApp Files".