瞭解允許本機 NFS 使用者搭配LDAP選項瞭解在 Azure NetApp Files 中使用LDAP的名稱對應
使用者嘗試透過 NFS 來存取 Azure NetApp Files 磁碟區時,要求會以數值識別碼表示。 根據預設,Azure NetApp Files 支援 NFS 用戶的擴充群組成員資格(超出標準 16 個群組限制)。 因此,Azure NetApp 檔案會嘗試取得該數值標識碼,並在羽量型目錄存取通訊協定 (LDAP) 中查閱該標識元,以嘗試解析使用者的群組成員資格,而不是在 RPC 封包中傳遞群組成員資格。 由於此行為,如果無法解析該數值標識碼給LDAP中的使用者,查閱會失敗並拒絕存取。 即使要求使用者有權存取磁碟區或數據結構,也會發生此拒絕。
Active Directory 連線中的允許具有 LDAP 的本機 NFS 使用者選項旨在停用擴充群組功能,以停用 NFS 要求的這些 LDAP 查閱。 它不會在 Azure NetApp Files 內提供「本機使用者建立/管理」。
啟用 [允許具有LDAP的本機 NFS 使用者] 選項時,數值標識符會傳遞至 Azure NetApp Files,而且不會發生LDAP查閱。 這會為不同的案例建立不同的行為,如下所述。
具有 UNIX 安全性樣式磁碟區的 NFSv3
數值標識碼不需要轉譯為用戶名稱。 [允許具有LDAP 的本機 NFS 使用者] 選項不會影響磁碟區的存取。 這可能會影響 NFS 用戶端上顯示使用者/群組擁有權(名稱轉譯)的方式。 例如,如果 1001 的數值識別碼是 LDAP 中的 user1,但在 NFS 用戶端的本機 passwd 檔案上是 user2,則當數值標識符為 1001 時,用戶端會顯示 “user2” 作為檔案的擁有者。
具有 UNIX 安全性樣式磁碟區的 NFSv4.1
數值標識碼不需要轉譯為用戶名稱。 根據預設,NFSv4.1 會使用名稱字串 (user@CONTOSO.COM) 進行驗證。 不過,Azure NetApp Files 支援搭配 NFSV4.1 使用數值識別碼,這表示 NFSv4.1 要求會以數值標識元抵達 NFS 伺服器。 如果 Azure NetApp Files 磁碟區的 LDAP 之類的本機檔案或名稱服務中沒有使用者名稱轉譯的數位識別碼,則會向客戶端顯示數值。 如果數值標識碼轉譯為用戶名稱,則會使用名稱字串。 如果名稱字串不相符,用戶端會將名稱壓縮至用戶端 idmapd.conf 檔案中指定的匿名使用者。 啟用 [允許具有LDAP 的本機 NFS 使用者] 選項不會影響 NFSv4.1 存取。 除非 Azure NetApp Files 可以將數值識別碼解析為其本機 NFS 用戶資料庫中的使用者名稱,否則存取會回復為標準 NFSv3 行為。 Azure NetApp Files 有一組預設的 UNIX 使用者,如果網域標識符字串不相符,某些用戶端可能會有問題,並壓縮成「沒有人」使用者。
- 當地使用者包括:root (0),pcuser (65534),沒有人(65535)。
- 本地組包括:根(0),精靈(1),pcuser(65534),沒有人(65535)。
最常見的是,當 NFSv4.1 網域標識符設定錯誤時,NFSv4.1 用戶端掛接的根可能會不正確。 如需 NFSv4.1 標識符網域的詳細資訊,請參閱 設定 Azure NetApp Files 的 NFSv4.1 標識符網域。
您可以使用名稱字串或數值識別碼來設定 NFSv4.1 ACL。 如果使用數值標識碼,則不需要名稱轉譯。 如果使用名稱字串,則需要名稱轉譯才能進行適當的 ACL 解析。 使用 NFSv4.1 ACL 時,啟用「允許具有LDAP的本機 NFS使用者」,可能會根據 ACL 設定造成不正確的 NFSv4.1 ACL 行為。
NFS (NFSv3 和 NFSv4.1) 與雙重通訊協定組態中的 NTFS 安全性樣式磁碟區
UNIX 安全性樣式磁碟區會利用 UNIX 樣式許可權(模式位和 NFSv4.1 ACL)。 針對這些類型的磁碟區,NFS 只會利用利用數值標識碼或名稱字串的 UNIX 樣式驗證,視上述案例而定。
不過,NTFS 安全性樣式磁碟區會使用NTFS樣式許可權。 這些許可權是使用 Windows 使用者和群組來指派。 當 NFS 使用者嘗試存取具有 NTFS 樣式許可權的磁碟區時,必須進行 UNIX 對 Windows 名稱對應,以確保適當的訪問控制。 在此案例中,NFS 數值標識符仍會傳遞至 Azure NetApp Files NFS 磁碟區,但需要將數值標識符轉譯為 UNIX 用戶名稱,以便接著對應至 Windows 用戶名稱以進行初始驗證。 例如,如果數值標識碼 1001 嘗試使用允許存取 Windows 使用者 “user1” 的 NTFS 安全性樣式許可權來存取 NFS 掛接,則必須在 LDAP 中解析為 “user1” 使用者名稱,才能取得預期的存取權。 如果LDAP中沒有數位識別碼為 「1001」 的使用者存在,或LDAP設定錯誤,則UNIX到Windows名稱對應會使用 1001@contoso.com完成嘗試。 在大部分情況下,具有該名稱的使用者不存在。 因此,驗證失敗,且存取遭到拒絕。 同樣地,如果數值標識碼 1001 解析為錯誤的用戶名稱(例如 user2),則 NFS 要求會對應至不正確的 Windows 使用者(在此案例中,user1 具有授與 user2 的存取權)。
啟用「允許具有LDAP的本機 NFS 使用者」,會停用數位識別碼的所有LDAP轉譯為用戶名稱。 此動作可有效地中斷對NTFS安全性樣式磁碟區的存取。 因此,不建議搭配NTFS安全性樣式磁碟區使用此選項。