تمكين مصادقة LDAP خدمات مجال Active Directory (ADDS) لوحدات تخزين NFS

  • مقالة
  • قراءة خلال 5 دقائق

عند إنشاء وحدة تخزين NFS، يتوفر لك خيار تمكين ميزة LDAP مع المجموعات الموسعة (خيار LDAP ) لوحدة التخزين. تمكن هذه الميزة مستخدمي Active Directory LDAP والمجموعات الموسعة (حتى 1024 مجموعة) من الوصول إلى الملفات والدلائل الموجودة في وحدة التخزين. يمكنك استخدام ميزة LDAP مع المجموعات الموسعة مع كل من وحدات تخزين NFSv4.1 وNFSv3.

يدعم Azure NetApp Files جلب المجموعات الموسعة من خدمة اسم LDAP بدلا من رأس RPC. تتفاعل Azure NetApp Files مع LDAP عن طريق الاستعلام عن سمات مثل أسماء المستخدمين والمعرفات الرقمية والمجموعات وعضويات المجموعات لعمليات بروتوكول NFS.

عندما يتم تحديد أنه سيتم استخدام LDAP لعمليات مثل البحث عن الأسماء وجلب المجموعات الموسعة، تحدث العملية التالية:

  1. تستخدم Azure NetApp Files تكوين عميل LDAP لإجراء محاولة اتصال بخادم LDAP ADDS/AADD المحدد في تكوين AD لملفات Azure NetApp.
  2. في حالة نجاح اتصال TCP عبر منفذ خدمة LDAP المعرف ADDS/AADD، يحاول عميل LDAP ملفات Azure NetApp "الربط" (تسجيل الدخول) بخادم ADDS/AADD LDAP (وحدة تحكم المجال) باستخدام بيانات الاعتماد المحددة في تكوين عميل LDAP.
  3. في حالة نجاح الربط، يستخدم عميل LDAP لملفات Azure NetApp مخطط LDAP RFC 2307bis لإجراء استعلام بحث LDAP إلى خادم LDAP ADDS/AADD LDAP (وحدة تحكم المجال). يتم تمرير المعلومات التالية إلى الخادم في الاستعلام:
    • الاسم المميز للقاعدة/المستخدم (لتضييق نطاق البحث)
    • نوع نطاق البحث (شجرة فرعية)
    • فئة الكائن (userللمستخدمين posixAccount والمجموعات posixGroup )
    • UID أو اسم المستخدم
    • السمات المطلوبة (uidأو للمستخدمين gidNumber أو uidNumbergidNumber للمجموعات)
  4. إذا لم يتم العثور على المستخدم أو المجموعة، يفشل الطلب، ويتم رفض الوصول.
  5. إذا نجح الطلب، تخزين سمات المستخدم والمجموعة مؤقتا للاستخدام في المستقبل. تعمل هذه العملية على تحسين أداء طلبات بحث LDAP اللاحقة المقترنة بسمات المستخدم أو المجموعة المخزنة مؤقتا. كما أنه يقلل من الحمل على خادم LDAP الخاص ب ADDS/AADD.

الاعتبارات

  • يمكنك تفعيل ميزة LDAP مع المجموعات الموسعة فقط أثناء إنشاء وحدة التخزين. لا يمكن تمكين هذه الميزة بأثر رجعي على وحدات التخزين الموجودة.

  • لا يتم دعم LDAP مع المجموعات الموسعة إلا مع خدمات مجال Active Directory (ADDS) أو خدمات مجال Azure Active Directory (AADDS). OpenLDAP أو خدمات دليل LDAP الأخرى التابعة لجهات خارجية غير مدعومة.

  • يجب عدم تمكين LDAP عبر طبقة النقل الآمنة إذا كنت تستخدم Azure خدمات مجال Active Directory (AADDS).

  • لا يمكنك تعديل إعداد خيار LDAP (ممكن أو معطل) بعد إنشاء وحدة التخزين.

  • يصف الجدول التالي إعدادات وقت البث المباشر (TTL) لذاكرة التخزين المؤقت ل LDAP. تحتاج إلى الانتظار حتى يتم تحديث ذاكرة التخزين المؤقت قبل محاولة الوصول إلى ملف أو دليل من خلال عميل. وإلا، تظهر رسالة تم رفض الوصول أو الإذن على العميل.

    ذاكرة التخزين المؤقت المهلة الافتراضية
    قائمة عضوية المجموعة TTL على مدار 24 ساعة
    مجموعات يونكس TTL على مدار 24 ساعة ، TTL سلبي لمدة 1 دقيقة
    مستخدمو يونكس TTL على مدار 24 ساعة ، TTL سلبي لمدة 1 دقيقة

    تحتوي ذاكرة التخزين المؤقت على فترة مهلة محددة تسمى Time to Live. بعد فترة المهلة ، تنتهي الإدخالات بحيث لا تبقى الإدخالات القديمة. قيمة TTL السلبية هي المكان الذي يوجد فيه بحث فشل للمساعدة في تجنب مشكلات الأداء بسبب استعلامات LDAP للكائنات التي قد لا تكون موجودة.

  • يهدف الخيار السماح لمستخدمي NFS المحليين باستخدام LDAP في اتصالات Active Directory إلى توفير وصول عرضي ومؤقت للمستخدمين المحليين. عند تمكين هذا الخيار، تتوقف مصادقة المستخدم والبحث عنه من خادم LDAP عن العمل، وسيقتصر عدد عضويات المجموعات التي ستدعمها ملفات Azure NetApp على 16 عضوا. وعلى هذا النحو، يجب إبقاء هذا الخيار معطلا على اتصالات Active Directory، باستثناء المناسبة التي يحتاج فيها مستخدم محلي إلى الوصول إلى وحدات التخزين التي تدعم LDAP. في هذه الحالة، يجب تعطيل هذا الخيار بمجرد أن يصبح وصول المستخدم المحلي غير مطلوب لوحدة التخزين. راجع السماح لمستخدمي NFS المحليين الذين لديهم LDAP بالوصول إلى وحدة تخزين مزدوجة البروتوكول حول إدارة وصول المستخدم المحلي.

‏‏الخطوات

  1. تتطلب وحدات تخزين LDAP تهيئة Active Directory لإعدادات خادم LDAP. اتبع الإرشادات الواردة في متطلبات اتصالات Active Directory وقم بإنشاء اتصال Active Directory لتكوين اتصالات Active Directory على مدخل Azure.

    ملاحظة

    تأكد من تكوين إعدادات اتصال Active Directory. سيتم إنشاء حساب جهاز في الوحدة التنظيمية (OU) المحددة في إعدادات اتصال Active Directory. يستخدم برنامج LDAP الإعدادات للمصادقة باستخدام Active Directory.

  2. تأكد من تشغيل خادم LDAP في Active Directory وتشغيله على Active Directory.

  3. يحتاج مستخدمو LDAP NFS إلى الحصول على سمات POSIX معينة على خادم LDAP. عين السمات لمستخدمي LDAP ومجموعات LDAP على النحو التالي:

    • السمات المطلوبة لمستخدمي LDAP:
      uid: Alice,
      uidNumber: 139,
      gidNumber: 555,
      objectClass: user, posixAccount
    • السمات المطلوبة لمجموعات LDAP:
      objectClass: group, posixGroup,
      gidNumber: 555

    القيم المحددة objectClass هي إدخالات منفصلة. على سبيل المثال، في محرر السلاسل متعدد القيم، objectClass سيتم تحديد قيم منفصلة (وuserposixAccount) على النحو التالي لمستخدمي LDAP:

    Screenshot of Multi-valued String Editor that shows multiple values specified for Object Class.

    يمكنك إدارة سمات POSIX باستخدام الأداة الإضافية MMC Active Directory Users and Computers. يوضح المثال التالي محرر سمات Active Directory. راجع الوصول إلى محرر سمات Active Directory للحصول على التفاصيل.

    Active Directory Attribute Editor

  4. إذا كنت ترغب في تكوين عميل NFSv4.1 Linux مدمج في LDAP، فراجع تكوين عميل NFS لملفات Azure NetApp.

  5. إذا كانت وحدات التخزين التي تدعم LDAP تستخدم NFSv4.1، فاتبع الإرشادات الواردة في تكوين نطاق NFSv4.1 لتكوين /etc/idmapd.conf الملف.

    تحتاج إلى تعيين Domain/etc/idmapd.conf المجال الذي تم تكوينه في اتصال Active Directory على حساب NetApp الخاص بك. على سبيل المثال ، إذا كان contoso.com المجال الذي تم تكوينه في حساب NetApp ، فقم بتعيين Domain = contoso.com.

    ثم تحتاج إلى إعادة تشغيل الخدمة على مضيفك rpcbind أو إعادة تشغيل المضيف.

  6. اتبع الخطوات الواردة في إنشاء وحدة تخزين NFS لملفات Azure NetApp لإنشاء وحدة تخزين NFS . أثناء عملية إنشاء وحدة التخزين، ضمن علامة التبويب بروتوكول ، قم بتمكين خيار LDAP .

    Screenshot that shows Create a Volume page with LDAP option.

  7. اختياري - يمكنك تمكين مستخدمي برامج NFS المحليين غير الموجودين على خادم LDAP Windows من الوصول إلى وحدة تخزين NFS تحتوي على LDAP مع تمكين المجموعات الموسعة. للقيام بذلك، قم بتمكين الخيار السماح لمستخدمي NFS المحليين باستخدام LDAP كما يلي:

    1. انقر فوق اتصالات Active Directory. على اتصال Active Directory موجود، انقر فوق قائمة السياق (النقاط الثلاث)، وحدد تحرير.
    2. في نافذة تعديل إعدادات Active Directory التي تظهر، حدد الخيار السماح لمستخدمي NFS المحليين باستخدام LDAP .

    Screenshot that shows the Allow local NFS users with LDAP option

  8. اختياري - إذا كان لديك طبولوجيات كبيرة، وكنت تستخدم نمط أمان يونكس مع وحدة تخزين ثنائية البروتوكول أو LDAP مع مجموعات موسعة، فيمكنك استخدام خيار نطاق بحث LDAP لتجنب أخطاء "رفض الوصول" على برامج Linux لملفات Azure NetApp.

    يتم تكوين الخيار نطاق بحث LDAP من خلال صفحة اتصالات Active Directory .

    لحل مشكلة المستخدمين والمجموعة من خادم LDAP للطبولوجيات الكبيرة، قم بتعيين قيم خيارات الاسم المميز للمستخدموالاسم المميز للمجموعةوعامل تصفية عضوية المجموعة في صفحة اتصالات Active Directory كما يلي:

    • حدد الاسم المميز المتداخل للمستخدموالاسم المميز للمجموعةOU=subdirectory,OU=directory,DC=domain,DC=comبتنسيق .
    • حدد عامل تصفية عضوية المجموعة بتنسيق (gidNumber=*).

    Screenshot that shows options related to LDAP Search Scope

الخطوات التالية