Förstå användningen av LDAP med Azure NetApp Files
Lightweight Directory Access Protocol (LDAP) är ett standardprotokoll för katalogåtkomst som har utvecklats av en internationell kommitté som kallas IETF (Internet Engineering Task Force). LDAP är avsett att tillhandahålla en allmän nätverksbaserad katalogtjänst som du kan använda på heterogena plattformar för att hitta nätverksobjekt.
LDAP-modeller definierar hur du kommunicerar med LDAP-katalogarkivet, hur du hittar ett objekt i katalogen, hur du beskriver objekten i arkivet och den säkerhet som används för att komma åt katalogen. LDAP tillåter anpassning och tillägg av de objekt som beskrivs i arkivet. Därför kan du använda ett LDAP-arkiv för att lagra många typer av olika typer av information. Många av de första LDAP-distributionerna fokuserade på användningen av LDAP som katalogarkiv för program som e-post och webbprogram och för att lagra information om anställda. Många företag ersätter eller har ersatt Network Information Service (NIS) med LDAP som ett nätverkskatalogarkiv.
En LDAP-server tillhandahåller UNIX-användar- och gruppidentiteter för användning med NAS-volymer. I Azure NetApp Files är Active Directory den enda LDAP-server som stöds för närvarande och som kan användas. Det här stödet omfattar både Active Directory-domän Services (AD DS) och Microsoft Entra Domain Services.
LDAP-begäranden kan delas upp i två huvudåtgärder.
- LDAP-bindningar är inloggningar till LDAP-servern från en LDAP-klient. Bindningen används för att autentisera till LDAP-servern med skrivskyddad åtkomst för att utföra LDAP-sökningar. Azure NetApp Files fungerar som en LDAP-klient.
- LDAP-sökningar används för att fråga katalogen efter användar- och gruppinformation, till exempel namn, numeriska ID:n, hemkatalogsökvägar, inloggningsgränssnittssökvägar, gruppmedlemskap med mera.
LDAP kan lagra följande information som används i NAS-åtkomst med dubbla protokoll:
- Användarnamn
- Gruppnamn
- Numeriska användar-ID:n (UID) och grupp-ID :n (GID)
- Hemkataloger
- Inloggningsgränssnitt
- Netgroups, DNS-namn och IP-adresser
- Gruppmedlemskap
För närvarande använder Azure NetApp Files endast LDAP för användar- och gruppinformation – ingen netgroup- eller värdinformation.
LDAP erbjuder olika fördelar för dina UNIX-användare och grupper som identitetskälla.
- LDAP är framtidssäkert.
När fler NFS-klienter lägger till stöd för NFSv4.x behövs NFSv4.x ID-domäner som innehåller en uppdaterad lista över användare och grupper som är tillgängliga från klienter och lagring för att säkerställa optimal säkerhet och garanterad åtkomst när åtkomst definieras. Att ha en identitetshanteringsserver som tillhandahåller en-till-en-namnmappningar för både SMB- och NFS-användare förenklar avsevärt livslängden för lagringsadministratörer, inte bara i nuet utan i många år framöver. - LDAP är skalbar.
LDAP-servrar erbjuder möjligheten att innehålla miljontals användar- och gruppobjekt, och med Microsoft Active Directory kan flera servrar användas för att replikera över flera platser för både prestanda- och återhämtningsskala. - LDAP är säkert.
LDAP erbjuder säkerhet i form av hur ett lagringssystem kan ansluta till LDAP-servern för att göra begäranden om användarinformation. LDAP-servrar erbjuder följande bindningsnivåer:- Anonym (inaktiverad som standard i Microsoft Active Directory, stöds inte i Azure NetApp Files)
- Enkelt lösenord (oformaterade lösenord, stöds inte i Azure NetApp Files)
- SASL (Simple Authentication and Security Layer) – Krypterade bindningsmetoder som TLS, SSL, Kerberos och så vidare. Azure NetApp Files stöder LDAP över TLS, LDAP-signering (med Kerberos), LDAP över SSL.
- LDAP är robust.
NIS, NIS+ och lokala filer erbjuder grundläggande information som UID, GID, lösenord, hemkataloger och så vidare. LDAP erbjuder dock dessa attribut och många fler. De ytterligare attribut som LDAP använder gör hantering med dubbla protokoll mycket mer integrerad med LDAP jämfört med NIS. Endast LDAP stöds som en extern namntjänst för identitetshantering med Azure NetApp Files. - Microsoft Active Directory bygger på LDAP.
Som standard använder Microsoft Active Directory en LDAP-serverdel för sina användar- och gruppposter. Den här LDAP-databasen innehåller dock inte UNIX-formatattribut. Dessa attribut läggs till när LDAP-schemat utökas via Identitetshantering för UNIX (Windows 2003R2 och senare), Service for UNIX (Windows 2003 och tidigare) eller LDAP-verktyg från tredje part, till exempel Centrify. Eftersom Microsoft använder LDAP som serverdel gör det LDAP till den perfekta lösningen för miljöer som väljer att utnyttja volymer med dubbla protokoll i Azure NetApp Files.Kommentar
Azure NetApp Files stöder för närvarande endast inbyggd Microsoft Active Directory för LDAP-tjänster.
Grunderna i LDAP i Azure NetApp Files
I följande avsnitt beskrivs grunderna i LDAP när det gäller Azure NetApp Files.
LDAP-information lagras i flata filer på en LDAP-server och organiseras via ett LDAP-schema. Du bör konfigurera LDAP-klienter på ett sätt som samordnar deras begäranden och sökningar med schemat på LDAP-servern.
LDAP-klienter initierar frågor via en LDAP-bindning, vilket i huvudsak är en inloggning till LDAP-servern med ett konto som har läsbehörighet till LDAP-schemat. LDAP-bindningskonfigurationen på klienterna är konfigurerad för att använda den säkerhetsmekanism som definieras av LDAP-servern. Ibland är de användarnamn och lösenordsutbyten i oformaterad text (enkel). I andra fall skyddas bindningar via enkla autentiserings- och säkerhetslagermetoder (
sasl
) som Kerberos eller LDAP över TLS. Azure NetApp Files använder SMB-datorkontot för att binda med SASL-autentisering för bästa möjliga säkerhet.Användar- och gruppinformation som lagras i LDAP efterfrågas av klienter med hjälp av standardbegäranden för LDAP-sökning enligt definitionen i RFC 2307. Dessutom tillåter nyare mekanismer, till exempel RFC 2307bis, mer strömlinjeformade användar- och gruppsökningar. Azure NetApp Files använder en form av RFC 2307bis för sina schemasökningar i Windows Active Directory.
LDAP-servrar kan lagra användar- och gruppinformation och netgroup. Azure NetApp Files kan dock för närvarande inte använda netgroup-funktioner i LDAP i Windows Active Directory.
LDAP i Azure NetApp Files fungerar på port 389. Den här porten kan för närvarande inte ändras för att använda en anpassad port, till exempel port 636 (LDAP över SSL) eller port 3268 (Active Directory Global Catalog-sökningar).
Krypterad LDAP-kommunikation kan uppnås med LDAP via TLS (som körs via port 389) eller LDAP-signering, som båda kan konfigureras på Active Directory-anslutningen.
Azure NetApp Files stöder LDAP-frågor som inte tar längre än 3 sekunder att slutföra. Om LDAP-servern har många objekt kan tidsgränsen överskridas och autentiseringsbegäranden kan misslyckas. I sådana fall bör du överväga att ange ett LDAP-sökomfång för att filtrera frågor för bättre prestanda.
Azure NetApp Files har också stöd för att ange önskade LDAP-servrar för att påskynda begäranden. Använd den här inställningen om du vill se till att den LDAP-server som är närmast din Azure NetApp Files-region används.
Om ingen önskad LDAP-server har angetts, efterfrågas Active Directory-domännamnet i DNS för LDAP-tjänstposter för att fylla i listan över LDAP-servrar som är tillgängliga för din region i den SRV-posten. Du kan manuellt fråga LDAP-tjänstposter i DNS från en klient med hjälp av
nslookup
ellerdig
kommandon.Till exempel:
C:\>nslookup Default Server: localhost Address: ::1 > set type=SRV > _ldap._tcp.contoso.com. Server: localhost Address: ::1 _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 0 port = 389 svr hostname = oneway.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = ONEWAY.Contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = oneway.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = parisi-2019dc.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = contoso.com oneway.contoso.com internet address = x.x.x.x ONEWAY.Contoso.com internet address = x.x.x.x oneway.contoso.com internet address = x.x.x.x parisi-2019dc.contoso.com internet address = y.y.y.y contoso.com internet address = x.x.x.x contoso.com internet address = y.y.y.y
LDAP-servrar kan också användas för att utföra anpassad namnmappning för användare. Mer information finns i Mappning av anpassat namn med hjälp av LDAP.
Tidsgränser för LDAP-frågor
Som standard överskrider LDAP-frågor tidsgränsen om de inte kan slutföras i tid. Om en LDAP-fråga misslyckas på grund av en timeout misslyckas användaren och/eller gruppsökningen och åtkomsten till Azure NetApp Files-volymen kan nekas, beroende på volymens behörighetsinställningar. Mer information om tidsgränsinställningar för Azure NetApp Files LDAP-frågor finns i Skapa och hantera Active Directory-anslutningar.
Namnmappningstyper
Regler för namnmappning kan delas upp i två huvudtyper: symmetriska och asymmetriska.
- Symmetrisk namnmappning är implicit namnmappning mellan UNIX- och Windows-användare som använder samma användarnamn. Till exempel mappar Windows-användare
CONTOSO\user1
till UNIX-användareuser1
. - Asymmetrisk namnmappning är namnmappning mellan UNIX- och Windows-användare som använder olika användarnamn. Till exempel mappar Windows-användare
CONTOSO\user1
till UNIX-användareuser2
.
Som standard använder Azure NetApp Files regler för symmetrisk namnmappning. Om asymmetriska namnmappningsregler krävs kan du överväga att konfigurera LDAP-användarobjekten så att de används.
Anpassad namnmappning med hjälp av LDAP
LDAP kan vara en namnmappningsresurs om LDAP-schemaattributen på LDAP-servern har fyllts i. Om du till exempel vill mappa UNIX-användare till motsvarande Windows-användarnamn som inte matchar en-till-en (dvs . asymmetrisk) kan du ange ett annat värde för uid
i användarobjektet än vad som har konfigurerats för Windows-användarnamnet.
I följande exempel har en användare ett Windows-namn och asymmetric
måste mappa till en UNIX-identitet för UNIXuser
. Om du vill uppnå det i Azure NetApp Files öppnar du en instans av Active Directory - användare och datorer MMC. Leta sedan upp den önskade användaren och öppna egenskapsrutan. (Om du gör det måste du aktivera attributredigeraren). Gå till fliken Attributredigerare och leta reda på UID-fältet, fyll sedan i UID-fältet med önskat UNIX-användarnamn UNIXuser
och klicka på Lägg till och OK för att bekräfta.
När den här åtgärden är klar ägs filer som skrivs från Windows SMB-resurser av Windows-användaren asymmetric
av UNIXuser
från NFS-sidan.
I följande exempel visas Windows SMB-ägare asymmetric
:
I följande exempel visas NFS-ägare UNIXuser
(mappad från Windows-användare asymmetric
med LDAP):
root@ubuntu:~# su UNIXuser
UNIXuser@ubuntu:/root$ cd /mnt
UNIXuser@ubuntu:/mnt$ ls -la
total 8
drwxrwxrwx 2 root root 4096 Jul 3 20:09 .
drwxr-xr-x 21 root root 4096 Jul 3 20:12 ..
-rwxrwxrwx 1 UNIXuser group1 19 Jul 3 20:10 asymmetric-user-file.txt
Tillåta lokala NFS-användare med LDAP
När en användare försöker komma åt en Azure NetApp Files-volym via NFS kommer begäran i ett numeriskt ID. Som standard stöder Azure NetApp Files utökade gruppmedlemskap för NFS-användare (för att överskrida standardgränsen på 16 grupper). Därför försöker Azure NetApp-filer ta det numeriska ID:t och leta upp det i LDAP i ett försök att lösa gruppmedlemskapen för användaren i stället för att skicka gruppmedlemskapen i ett RPC-paket. På grund av det här beteendet, om det numeriska ID:t inte kan matchas mot en användare i LDAP, misslyckas sökningen och åtkomst nekas – även om den begärande användaren har behörighet att komma åt volymen eller datastrukturen. Alternativet Tillåt lokala NFS-användare med LDAP i Active Directory-anslutningar är avsett att inaktivera dessa LDAP-sökningar för NFS-begäranden genom att inaktivera den utökade gruppfunktionen. Den tillhandahåller inte "skapande/hantering av lokala användare" i Azure NetApp Files.
När alternativet "Tillåt lokala NFS-användare med LDAP" är aktiverat skickas numeriska ID:n till Azure NetApp Files och ingen LDAP-sökning utförs. Detta skapar varierande beteende för olika scenarier, enligt beskrivningen nedan.
NFSv3 med UNIX-säkerhetsformatvolymer
Numeriska ID:n behöver inte översättas till användarnamn. Alternativet "Tillåt lokala NFS-användare med LDAP" påverkar inte åtkomsten till volymen, men kan påverka hur användar-/gruppägarskap (namnöversättning) visas på NFS-klienten. Om ett numeriskt ID på 1001 till exempel är user1 i LDAP, men är user2 i NFS-klientens lokala passwd-fil, visar klienten "user2" som ägare av filen när det numeriska ID:t är 1001.
NFSv4.1 med UNIX-säkerhetsformatvolymer
Numeriska ID:n behöver inte översättas till användarnamn. Som standard använder NFSv4.1 namnsträngar (user@CONTOSO.COM) för sin autentisering. Azure NetApp Files stöder dock användning av numeriska ID:n med NFSV4.1, vilket innebär att NFSv4.1-begäranden kommer till NFS-servern med ett numeriskt ID. Om det inte finns något numeriskt ID för översättning av användarnamn i lokala filer eller namntjänster som LDAP för Azure NetApp Files-volymen visas det numeriska för klienten. Om ett numeriskt ID översätts till ett användarnamn används namnsträngen. Om namnsträngen inte matchar kommer klienten att krossa namnet till den anonyma användare som anges i klientens idmapd.conf-fil. Om du aktiverar alternativet "Tillåt lokala NFS-användare med LDAP" påverkas inte NFSv4.1-åtkomsten eftersom det återgår till standardbeteendet för NFSv3 om inte Azure NetApp Files kan matcha ett numeriskt ID till ett användarnamn i den lokala NFS-användardatabasen. Azure NetApp Files har en uppsättning UNIX-standardanvändare som kan vara problematiska för vissa klienter och krossa till en "ingen"-användare om domän-ID-strängar inte matchar.
- Lokala användare inkluderar: root (0), pcuser (65534), ingen (65535).
- Lokala grupper är: rot (0), daemon (1), pcuser (65534), ingen (65535).
Vanligtvis kan roten visas felaktigt i NFSv4.1-klientmonteringar när domän-ID:t NFSv4.1 är felkonfigurerat. Mer information om NFSv4.1-ID-domänen finns i Konfigurera NFSv4.1 ID-domän för Azure NetApp Files.
ACL:er för NFSv4.1 kan konfigureras med antingen en namnsträng eller ett numeriskt ID. Om numeriska ID:n används krävs ingen namnöversättning. Om en namnsträng används krävs namnöversättning för korrekt ACL-lösning. När du använder NFSv4.1-ACL:er kan aktivering av "Tillåt lokala NFS-användare med LDAP" orsaka felaktigt ACL-beteende för NFSv4.1 beroende på ACL-konfigurationen.
NFS (v3 och v4.1) med NTFS-säkerhetsformatvolymer i konfigurationer med dubbla protokoll
UNIX-säkerhetsformatvolymer utnyttjar UNIX-formatbehörigheter (lägesbitar och NFSv4.1-ACL:er). För dessa typer av volymer utnyttjar NFS endast UNIX-autentisering med hjälp av ett numeriskt ID eller en namnsträng, beroende på de scenarier som anges ovan. NTFS-säkerhetsformatvolymer använder dock NTFS-formatbehörigheter. Dessa behörigheter tilldelas med hjälp av Windows-användare och -grupper. När en NFS-användare försöker komma åt en volym med NTFS-formatbehörighet måste en UNIX-till Windows-namnmappning utföras för att säkerställa rätt åtkomstkontroller. I det här scenariot skickas det numeriska NFS-ID:t fortfarande till Azure NetApp Files NFS-volymen, men det finns ett krav på att det numeriska ID:t ska översättas till ett UNIX-användarnamn så att det sedan kan mappas till ett Windows-användarnamn för inledande autentisering. Om till exempel numeriskt ID 1001 försöker komma åt en NFS-montering med behörigheter för NTFS-säkerhetsstil som tillåter åtkomst till Windows-användaren "user1" måste 1001 matchas i LDAP till användarnamnet "user1" för att få förväntad åtkomst. Om det inte finns någon användare med det numeriska ID:t "1001" i LDAP, eller om LDAP är felkonfigurerat, blir 1001@contoso.commappningen av UNIX-till-Windows-namn som görs . I de flesta fall finns inte användare med det namnet, så autentiseringen misslyckas och åtkomst nekas. Om det numeriska ID 1001 matchar fel användarnamn (till exempel user2) mappas NFS-begäran till en oväntad Windows-användare och behörigheterna för användaren använder åtkomstkontrollerna "user2".
Om du aktiverar "Tillåt lokala NFS-användare med LDAP" inaktiveras alla LDAP-översättningar av numeriska ID:n till användarnamn, vilket effektivt bryter åtkomsten till NTFS-säkerhetsformatvolymer. Därför rekommenderas inte användning av det här alternativet med NTFS-säkerhetsformatvolymer.
LDAP-scheman
LDAP-scheman är hur LDAP-servrar organiserar och samlar in information. LDAP-serverscheman följer vanligtvis samma standarder, men olika LDAP-serverleverantörer kan ha variationer i hur scheman visas.
När Azure NetApp Files frågar LDAP används scheman för att påskynda namnsökningar eftersom de gör det möjligt att använda specifika attribut för att hitta information om en användare, till exempel UID. Schemaattributen måste finnas på LDAP-servern för att Azure NetApp Files ska kunna hitta posten. Annars kan LDAP-frågor returnera inga data och autentiseringsbegäranden kan misslyckas.
Om till exempel ett UID-nummer (till exempel root=0) måste frågas av Azure NetApp Files används schemaattributet RFC 2307 uidNumber Attribute
. Om det inte finns något UID-nummer 0
i LDAP i fältet uidNumber
misslyckas uppslagsbegäran.
Schematypen som för närvarande används av Azure NetApp Files är en form av schema baserat på RFC 2307bis och kan inte ändras.
RFC 2307bis är en förlängning av RFC 2307 och lägger till stöd för posixGroup
, som möjliggör dynamiska sökningar för hjälpgrupper med hjälp uniqueMember
av attributet i stället för att använda memberUid
attributet i LDAP-schemat. I stället för att bara använda namnet på användaren innehåller det här attributet det fullständiga unika namnet (DN) för ett annat objekt i LDAP-databasen. Grupper kan därför ha andra grupper som medlemmar, vilket möjliggör kapsling av grupper. Stöd för RFC 2307bis lägger också till stöd för objektklassen groupOfUniqueNames
.
Det här RFC-tillägget passar bra in i hur Microsoft Active Directory hanterar användare och grupper via de vanliga hanteringsverktygen. Detta beror på att när du lägger till en Windows-användare i en grupp (och om den gruppen har en giltig numerisk GID) med hjälp av standardmetoderna för Windows-hantering, hämtar LDAP-sökningar nödvändig kompletterande gruppinformation från det vanliga Windows-attributet och hittar de numeriska GID:erna automatiskt.