你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
了解 NFS 组成员身份和补充组
可以使用 LDAP 控制组成员身份并为 NFS 用户返回补充组。 此行为通过 LDAP 服务器中的架构属性进行控制。
主要 GID
要使Azure NetApp 文档能够正确对用户进行身份验证,LDAP 用户必须始终定义主 GID。 用户的主要 GID 由 LDAP 服务器中的架构 gidNumber 定义。
辅助、补充和辅助 GID
辅助组、补充组和辅助组是用户在其主要 GID 外部的成员的组。 在Azure NetApp 文档中,LDAP 是使用 Microsoft Active Directory 实现的,而补充组则使用标准 Windows 组成员身份逻辑进行控制。
将用户添加到 Windows 组时,LDAP 架构属性 Member 将使用该组成员的用户的可分辨名称(DN)填充该组。 Azure NetApp 文档查询用户的组成员身份时,对用户的所有组Member属性的 DN 执行 LDAP 搜索。 具有 UNIX gidNumber 和用户 DN 的所有组都会在搜索中返回,并填充为用户的补充组成员身份。
以下示例显示了 Active Directory 的输出,其中用户的 DN 填充在 Member 组的字段中,以及使用 ldp.exe完的后续 LDAP 搜索。
以下示例显示了 Windows 组成员字段:
以下示例显示了 LDAPsearch 成员 User1 所在的所有组:
还可以通过在卷菜单上选择“支持 + 故障排除”下的“LDAP 组 ID 列表”链接,在Azure NetApp 文档中查询用户的组成员身份。
NFS 中的组限制
NFS 中的远程过程调用(RPC)对于单个 NFS 请求中可以遵循的最大辅助 GID 数有一个特定限制。 最大值 AUTH_SYS/AUTH_UNIX 为 16,对于 AUTH_GSS (Kerberos),则为 32。 此协议限制会影响所有 NFS 服务器 - 而不仅仅是Azure NetApp 文档。 但是,许多新式 NFS 服务器和客户端包括解决这些限制的方法。
若要解决Azure NetApp 文档中的此 NFS 限制,请参阅为 NFS 卷启用Active Directory 域服务 (AD DS) LDAP 身份验证。
扩展组限制的工作原理
扩展组限制的选项的工作方式与其他 NFS 服务器的选项的工作方式相同 manage-gids 。 基本上,该选项不转储用户所属的辅助 GID 的完整列表,而是对文件或文件夹执行 GID 查找并返回该值。
以下示例显示了包含 16 个 GID 的 RPC 数据包。
协议删除超过 16 限制的任何 GID。 在Azure NetApp 文档中使用扩展组时,当新的 NFS 请求传入时,会请求有关用户的组成员身份的信息。
使用 Active Directory LDAP 扩展的 GID 的注意事项
默认情况下,在 Microsoft Active Directory LDAP 服务器中,该 MaxPageSize 属性设置为默认值 1,000。 此设置意味着 LDAP 查询中将截断超过 1,000 的组。 若要为扩展组启用对 1,024 值的完全支持, MaxPageSize 必须修改该属性以反映 1,024 值。 有关如何更改该值的信息,请参阅 Microsoft TechNet 文章 How to View and Set LDAP Policy in Active Directory by Using Ntdsutil.exe and the TechNet library article MaxPageSize Is Set Too High.