Konfigurera ADDS LDAP med utökade grupper för NFS-volymåtkomst

När du skapar en NFS-volymhar du möjlighet att aktivera funktionen LDAP med utökade grupper (alternativet LDAP) för volymen. Med den här funktionen kan Active Directory LDAP-användare och utökade grupper (upp till 1 024 grupper) komma åt filer och kataloger på volymen. Du kan använda funktionen LDAP med utökade grupper med både NFSv4.1- och NFSv3-volymer.

Den här artikeln beskriver överväganden och steg för att aktivera LDAP med utökade grupper när du skapar en NFS-volym.

Överväganden

  • Du kan endast aktivera funktionen LDAP med utökade grupper när du skapar volymen. Den här funktionen kan inte aktiveras retroaktivt på befintliga volymer.

  • LDAP med utökade grupper stöds endast med Active Directory Domain Services (ADDS) eller Azure Active Directory Domain Services (AADDS). OpenLDAP eller andra LDAP-katalogtjänster från tredje part stöds inte.

  • LDAP över TLS får inte aktiveras om du använder Azure Active Directory Domain Services (AADDS).

  • Du kan inte ändra alternativinställningen för LDAP (aktiverad eller inaktiverad) när du har skapat volymen.

  • I följande tabell beskrivs Time to Live (TTL) för LDAP-cachen. Du måste vänta tills cachen uppdateras innan du försöker komma åt en fil eller katalog via en klient. Annars visas ett meddelande om nekad åtkomst eller behörighet på klienten.

    Feltillstånd Lösning
    Cache Standardvärde för tidsgräns
    Lista över gruppmedlemskap 24-timmars TTL
    Unix-grupper 24-timmars TTL, 1 minuts negativt TTL-värde
    Unix-användare 24-timmars TTL, 1 minuts negativt TTL-värde

    Cacheminnen har en specifik tidsgränsperiod som kallas Time to Live. Efter tidsgränsen blir posterna föråldrade så att inaktuella poster inte dröjer. Det negativa TTL-värdet är när en sökning som har misslyckats finns för att undvika prestandaproblem på grund av LDAP-frågor för objekt som kanske inte finns.

  • Alternativet Tillåt lokala NFS-användare med LDAP i Active Directory-anslutningar har för avsikt att ge tillfällig och tillfällig åtkomst till lokala användare. När det här alternativet är aktiverat slutar användarautentisering och sökning från LDAP-servern att fungera och antalet gruppmedlemskap som Azure NetApp Files stöder begränsas till 16. Därför bör du behålla det här alternativet inaktiverat för Active Directory-anslutningar, förutom de fall då en lokal användare behöver komma åt LDAP-aktiverade volymer. I så fall bör du inaktivera det här alternativet så snart den lokala användaråtkomsten inte längre krävs för volymen. Se Allow local NFS users with LDAP to access a dual-protocol volume about managing local user access (Tillåt lokala NFS-användare med LDAP att komma åt en volym med dubbla protokoll om att hantera lokal användaråtkomst).

Steg

  1. LDAP-volymer kräver en Active Directory-konfiguration för LDAP-serverinställningar. Följ instruktionerna i Krav för Active Directory-anslutningar och Skapa en Active Directory-anslutning för att konfigurera Active Directory-anslutningar på Azure Portal.

    Anteckning

    Kontrollera att du har konfigurerat anslutningsinställningarna för Active Directory. Ett datorkonto skapas i organisationsenheten (OU) som anges i Active Directory-anslutningsinställningarna. Inställningarna används av LDAP-klienten för att autentisera med din Active Directory.

  2. Kontrollera att Active Directory LDAP-servern är igång på Active Directory.

  3. LDAP NFS-användare måste ha vissa POSIX-attribut på LDAP-servern. Ange attribut för LDAP-användare och LDAP-grupper på följande sätt:

    • Obligatoriska attribut för LDAP-användare:
      uid: Alice,
      uidNumber: 139,
      gidNumber: 555,
      objectClass: user, posixAccount
    • Obligatoriska attribut för LDAP-grupper:
      objectClass: group, posixGroup,
      gidNumber: 555

    De värden som anges objectClass för är separata poster. I till exempel multivärdessträngredigeraren skulle objectClass ha separata värden ( och ) som anges på följande sätt för userposixAccount LDAP-användare:

    Screenshot of Multi-valued String Editor that shows multiple values specified for Object Class.

    Du kan hantera POSIX-attribut med hjälp Active Directory - användare och datorer MMC-snapin-modulen. I följande exempel visas Active Directory-attributredigeraren. Se Access Active Directory Attribute Editor för mer information.

    Active Directory Attribute Editor

  4. Om du vill konfigurera en LDAP-integrerad NFSv4.1 Linux-klient, se Konfigurera en NFS-klient för Azure NetApp Files.

  5. Om dina LDAP-aktiverade volymer använder NFSv4.1 följer du anvisningarna i Konfigurera NFSv4.1-domänen för att konfigurera filen.

    Du måste ange Domain i den domän som är /etc/idmapd.conf konfigurerad i Active Directory-anslutningen på ditt NetApp-konto. Om till exempel contoso.com är den konfigurerade domänen i NetApp-kontot anger du Domain = contoso.com .

    Sedan måste du starta om rpcbind tjänsten på värden eller starta om värden.

  6. Följ stegen i Skapa en NFS-volym för Azure NetApp Files för att skapa en NFS-volym. Under volymskapandet går du till fliken Protokoll och aktiverar alternativet LDAP.

    Screenshot that shows Create a Volume page with LDAP option.

  7. Valfritt – Du kan aktivera lokala NFS-klientanvändare som inte finns på Windows LDAP-servern för att få åtkomst till en NFS-volym som har LDAP med utökade grupper aktiverade. Det gör du genom att aktivera alternativet Tillåt lokala NFS-användare med LDAP enligt följande:

    1. Klicka på Active Directory-anslutningar. Klicka på snabbmenyn (de tre punkterna) på en befintlig Active Directory-anslutning och välj
    2. I fönstret Redigera Active Directory-inställningar som visas väljer du alternativet Tillåt lokala NFS-användare med LDAP.

    Screenshot that shows the Allow local NFS users with LDAP option

  8. Valfritt – Om du har stora topologier och använder Unix-säkerhetsformatet med en volym med dubbla protokoll eller LDAP med utökade grupper kan du använda för att undvika fel om "nekad åtkomst" på Linux-klienter för Azure NetApp Files.

    Alternativet Sökomfång för LDAP konfigureras via sidan Active Directory-anslutningar.

    Om du vill matcha användare och grupper från en LDAP-server för stora topologier anger du värdena för alternativen Användar-DN,Grupp DN och Gruppmedlemskapsfilter på sidan Active Directory-anslutningar enligt följande:

    • Ange kapslad användar-DNoch grupp DN i formatet .
    • Ange gruppmedlemskapsfilter i formatet .

    Screenshot that shows options related to LDAP Search Scope

Nästa steg