瞭解 Azure NetApp Files 中的輕量型目錄存取通訊協定 （LDAP） 基本概念

輕量型目錄存取協定 (LDAP) 是由名為 Internet Engineering Task Force (IETF) 的國際委員會制定的標準目錄存取協定。 LDAP 旨在提供一般用途的網路型目錄服務，可供您跨異質平台使用來找到網路物件。

LDAP 模型會定義如何與 LDAP 目錄存放區通訊、如何在目錄中尋找物件、如何描述存放區中的物件，以及用來存取目錄的安全性。 LDAP 允許對存放區中所描述的物件進行自訂和擴充。 因此，您可以使用 LDAP 存放區來儲存多種類型的資訊。 許多初始 LDAP 部署著重於使用 LDAP 作為應用程式目錄存放區，例如電子郵件和 Web 應用程式，以及儲存員工資訊。 許多公司正在取代或已取代網路資訊服務 (NIS)，以 LDAP 作為網路目錄存放區。

LDAP 伺服器提供 UNIX 使用者和群組身分識別，以搭配 NAS 磁碟區使用。 在 Azure NetApp Files 中，Active Directory 是目前唯一可使用的 LDAP 伺服器。 此支援包括 Active Directory Domain Services (AD DS) 和 Microsoft Entra Domain Services。

LDAP 要求可以細分成兩個主要作業。

• LDAP 繫結是從 LDAP 用戶端登入 LDAP 伺服器的程序。 繫結可用來向具有唯讀存取權的 LDAP 伺服器進行驗證，以執行 LDAP 查閱。 Azure NetApp Files 會扮演 LDAP 用戶端的角色。
• LDAP 查閱可用來查詢目錄以取得使用者和群組資訊，例如名稱、數值識別碼、主目錄路徑、登入殼層路徑、群組成員資格等等。

LDAP 可以儲存用於雙重通訊協定 NAS 存取中的下列資訊：

• 使用者名稱
• 群組名稱
• 數值使用者識別碼 (UID) 和群組識別碼 (GID)
• 主目錄
• 登入殼層
• Netgroups、DNS 名稱和 IP 位址
• 群組成員資格

目前，Azure NetApp Files 只會針對使用者和群組資訊使用LDAP，而不是 netgroup 或主機資訊。

LDAP 作為身分識別來源，為您的 UNIX 使用者和群組提供了各項優點。

• LDAP 具有未來發展潛力。
  隨著越來越多 NFS 用戶端新增對 NFSv4.x 的支援，NFSv4.x 識別碼網域必須包含可從用戶端和儲存體存取的使用者和群組最新清單，以確保定義存取時，獲得最佳安全性和保證存取。 擁有身分識別管理伺服器，可為 SMB 和 NFS 使用者提供一對一的名稱對應，對儲存體系統管理員而言，不僅現在可大大地簡化生活中的工作，而且在未來幾年也是如此。
• LDAP 可調整。
  LDAP 伺服器可讓您包含數百萬個使用者和群組物件，而且使用 Microsoft Active Directory，多部伺服器可用來跨多個網站複寫，以提高性能和復原規模。
• LDAP 是安全的。
  LDAP 提供安全性，讓儲存體系統能連線到 LDAP 伺服器，以取得使用者資訊。 LDAP 伺服器提供下列繫結層級：
  • 匿名 (在 Microsoft Active Directory 中預設為停用；Azure NetApp Files 中不支援)
  • 簡單密碼 (純文字密碼；Azure NetApp Files 中不支援)
  • 簡單驗證及安全性階層 (SASL) – 加密的繫結方法，包括 TLS、SSL、Kerberos 等等。 Azure NetApp Files 支援 LDAP over TLS、LDAP 簽署 (使用 Kerberos)、LDAP over SSL。
• LDAP 穩定可靠。
  NIS、NIS+ 和本機檔案提供 UID、GID、密碼、主目錄等基本資訊。 不過，LDAP 不僅提供這些屬性，更包含許多其他屬性。 LDAP 使用的其他屬性可讓雙重通訊協定管理與 LDAP 與 NIS 更加整合。 僅支援 LDAP 作為外部名稱服務，以便使用 Azure NetApp Files 進行身分識別管理。
• Microsoft Active Directory 是以 LDAP 為基礎所建置。
  根據預設，Microsoft Active Directory 會對其使用者和群組項目使用 LDAP 後端服務。 不過，此 LDAP 資料庫並不包含 UNIX 樣式屬性。 在 LDAP 結構描述透過 UNIX 的身分識別管理 (Windows 2003R2 和更新版本)、UNIX 服務 (Windows 2003 和更早版本) 或 Centrify 等第三方 LDAP 工具擴充時，就會新增這些屬性。 因為 Microsoft 使用 LDAP 作為後端服務，因此對於選擇在 Azure NetApp Files 中使用雙重通訊協定磁碟區的使用者而言，LDAP 是完美的解決方案。

  注意

  Azure NetApp Files 目前僅支援適用於 LDAP 服務的原生 Microsoft Active Directory。

Azure NetApp Files 中的 LDAP 基本概念

下一節將討論 LDAP 的基本概念，因為它與 Azure NetApp Files 相關。

• LDAP 資訊會儲存在 LDAP 伺服器的一般檔案中，並透過 LDAP 結構描述進行整理。 您應該設定 LDAP 用戶端，以協調其要求和查閱與 LDAP 伺服器上的結構描述保持一致。

• LDAP 用戶端會透過 LDAP 繫結來起始查詢，這基本上是使用具有 LDAP 結構描述讀取存取的帳戶登入 LDAP 伺服器。 用戶端上的 LDAP 繫結組態已設定為使用 LDAP 伺服器所定義的安全性機制。 有時候，它們是純文本的使用者名稱和密碼交換（簡單）。 在其他情況下，繫結會透過簡單驗證及安全性階層的方法 (sasl) 來加以保護，例如 Kerberos 或 LDAP over TLS，。 Azure NetApp Files 會使用 SMB 電腦帳戶來繫結使用 SASL 驗證，以獲得最佳安全性。

• 用戶端會使用 RFC 2307 中所定義的標準 LDAP 搜尋要求來查詢儲存在 LDAP 中的使用者和群組資訊。 此外，如 RFC 2307bis 的較新機制，允許更加精簡的使用者和群組查閱。 Azure NetApp Files 會使用 RFC 2307bis 的形式，在 Windows Active Directory 中查閱結構描述。

• LDAP 伺服器可以儲存使用者和群組資訊以及 netgroup。 不過，Azure NetApp Files 目前無法在 Windows Active Directory 上的 LDAP 中使用 netgroup 功能。

• Azure NetApp Files 中的 LDAP 會在連接埠 389 上運作。 此埠目前無法修改為使用自定義埠，例如埠 636 （LDAP over SSL） 或埠 3268 （Active Directory 全域編錄搜尋）。

• 加密 LDAP 通訊可以使用 LDAP over TLS 來達成 (透過連接埠 389 運作) 或 LDAP 簽署，這兩者都可以在 Active Directory 連線上設定。

• Azure NetApp Files 支援的 LDAP 查詢完成時間不超過 3 秒。 如果LDAP伺服器有許多物件，可能會超過逾時，而且驗證要求可能會失敗。 在這些情況下，請考慮指定 LDAP 搜尋範圍來篩選查詢以提升效能。

• Azure NetApp Files 也支援指定慣用LDAP伺服器，以協助加速要求。 若要確保使用最接近 Azure NetApp Files 區域的 LDAP 伺服器，請使用此設定。

• 如果未設定慣用 LDAP 伺服器，則會在 DNS 中查詢 Active Directory 網域名稱，以取得 LDAP 服務記錄，以填入位於該 SRV 記錄內所在區域可用的 LDAP 伺服器清單。 您可以使用 nslookup 或 dig 命令，從用戶端手動查詢 DNS 中的 LDAP 服務記錄。

  例如：

  C:\>nslookup
  Default Server:  localhost
  Address:  ::1
  
  > set type=SRV
  > _ldap._tcp.contoso.com.
  
  Server:  localhost
  Address:  ::1
  
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 0
            port           = 389
            svr hostname   = oneway.contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = ONEWAY.Contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = oneway.contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = parisi-2019dc.contoso.com
  _ldap._tcp.contoso.com   SRV service location:
            priority       = 0
            weight         = 100
            port           = 389
            svr hostname   = contoso.com
  oneway.contoso.com       internet address = x.x.x.x
  ONEWAY.Contoso.com       internet address = x.x.x.x
  oneway.contoso.com       internet address = x.x.x.x
  parisi-2019dc.contoso.com        internet address = y.y.y.y
  contoso.com      internet address = x.x.x.x
  contoso.com      internet address = y.y.y.y
  

• LDAP 伺服器也可以用來為使用者執行自訂名稱對應。 如需詳細資訊，請參閱 瞭解使用LDAP的名稱對應。

• LDAP 查詢逾時

  根據預設，LDAP 查詢若無法完成，就會逾時。 如果LDAP查詢因逾時而失敗，使用者和/或群組查閱會失敗，而且可能會拒絕存取 Azure NetApp Files 磁碟區，視磁碟區的許可權設定而定。 請參閱 建立和管理 Active Directory 連線 ，以瞭解 Azure NetApp Files LDAP 查詢逾時設定。

下一步

• 瞭解使用LDAP的名稱對應
• 了解允許具有LDAP選項的本機NFS使用者
• 瞭解LDAP架構

• 為 Azure NetApp Files 設定 AD DS LDAP over TLS
• 了解 NFS 群組成員資格和補充群組
• Azure NetApp Files NFS 常見問題
• Azure NetApp Files SMB 常見問題