Configurer les services d’annuaire LDAP pour les volumes NFS Azure NetApp Files (préversion)

Outre la prise en charge des Active Directory natives, Azure NetApp Files prend en charge l’intégration native avec les services d’annuaire, notamment FreeIPA, Red Hat Identity Management (IdM), OpenLDAP, Red Hat Directory Server et Oracle Unified Directory (OUD) pour les serveurs d’annuaires LDAP (Lightweight Directory Access Protocol). Avec la prise en charge du serveur d’annuaire LDAP natif, vous pouvez obtenir un contrôle d’accès sécurisé et évolutif basé sur les identités pour les volumes NFS dans les environnements Linux.

L’intégration LDAP d’Azure NetApp Files simplifie la gestion des accès aux partages de fichiers en tirant parti des services d’annuaire approuvés. Il prend en charge les protocoles NFSv3 et NFSv4.1 et utilise la découverte basée sur les enregistrements DNS SRV pour la haute disponibilité et l’équilibrage de charge sur les serveurs LDAP. Du point de vue de l’entreprise, cette fonctionnalité s’améliore :

• Conformité : la gestion centralisée des identités prend en charge l’auditabilité et l’application des stratégies
• Efficacité : réduit la surcharge administrative en unifiant les contrôles d’identité sur les systèmes Linux et NTFS
• Sécurité : prend en charge LDAP sur TLS, le mappage de noms symétriques/asymétriques et les appartenances aux groupes étendus
• Intégration transparente : fonctionne avec l’infrastructure LDAP existante
• Scalabilité : prend en charge les répertoires d’utilisateurs et de groupes volumineux
• Flexibilité : Compatible avec plusieurs implémentations LDAP

Services d’annuaire pris en charge

• FreeIPA : idéal pour la gestion des identités sécurisée et centralisée dans les environnements Linux
• Red Hat IdM : gestion centralisée des identités et des accès dans les environnements Linux
• OpenLDAP : service d’annuaire léger et flexible pour les déploiements personnalisés
• Red Hat Directory Server : service LDAP de niveau Entreprise avec des fonctionnalités avancées d’extensibilité et de sécurité
• Répertoire unifié Oracle : service d’annuaire LDAP de niveau Entreprise idéal pour les écosystèmes d’applications Oracle, avec des fonctionnalités de réplication multimaître et des fonctionnalités de conformité complètes

Architecture

Le diagramme suivant décrit comment Azure NetApp Files utilise des opérations de liaison/recherche LDAP pour authentifier les utilisateurs et appliquer le contrôle d’accès en fonction des informations d’annuaire.

L’architecture implique les composants suivants :

• Machine virtuelle Linux cliente : lance une demande de montage NFS pour Azure NetApp Files
• Volume Azure NetApp Files : reçoit la demande de montage et effectue des requêtes LDAP
• Serveur d’annuaire LDAP : répond aux demandes de liaison/recherche avec des informations d’utilisateur et de groupe
• Décision de contrôle d’accès : applique les décisions d’accès basées sur les réponses LDAP

Flux de données

1. Demande de montage : la machine virtuelle Linux envoie une demande de montage NFSv3 ou NFSv4.1 à Azure NetApp Files.
2. Liaison/recherche LDAP : Azure NetApp Files envoie une requête de liaison/recherche au serveur LDAP (FreeIPA, Red Hat IdM, OpenLDAP ou RHDS) à l’aide de l’UID/GID.
3. Réponse LDAP : le serveur d’annuaire retourne les attributs utilisateur et groupe.
4. Décision de contrôle d’accès : Azure NetApp Files évalue la réponse et accorde ou refuse l’accès.
5. Accès au client : la décision est renvoyée au client.

Considérations

• FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server et Oracle Unified Directory sont pris en charge avec les volumes NFSv3 et NFSv4.1 ; ils ne sont actuellement pas pris en charge avec des volumes à double protocole.
• Vous devez configurer le serveur LDAP avant de créer le volume.
• Vous pouvez uniquement configurer FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server ou Oracle Unified Directory sur de nouveaux volumes NFS. Vous ne pouvez pas convertir les volumes existants pour utiliser ces services d’annuaire.
• Kerberos n’est actuellement pas pris en charge avec FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server et Oracle Unified Directory.
• Par défaut, la durée de vie (TTL) pour les entrées d’authentification utilisateur/groupe positives et négatives dans le cache d’informations d’identification NFS est définie sur 1 heure.
• Vous devez contacter le support Red Hat (IdM) pour tout problème de disponibilité, de connectivité, d’annuaire ou d’authentification observé directement sur le serveur IdM. Vous devez contacter le support NetApp pour les problèmes liés à l’intégration, à la configuration ou à l’accès à Azure NetApp Files.
• Vous devez contacter le support Oracle pour tout problème de connectivité LDAP ou de données d’annuaire observé directement avec Oracle Unified Directory. Vous devez contacter le support NetApp pour les problèmes liés à l’intégration et aux opérations de Azure NetApp Files.
• L’authentification à l’aide du nom de domaine de liaison et du mot de passe spécifiés (type d’authentification simple) n’est pas prise en charge dans les régions gouvernementales.

Inscrire la fonctionnalité

La prise en charge de FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server et Oracle Unified Directory est actuellement en préversion. Avant de connecter vos volumes NFS à l’un de ces serveurs d’annuaires, vous devez inscrire la fonctionnalité :

1. Inscrivez la fonctionnalité :

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

2. Vérifiez l’état d’inscription de la fonctionnalité :

   Note

   RegistrationState peut rester dans l’état Registering pendant jusqu’à 60 minutes avant de passer à Registered. Attendez que l'état soit Registered avant de continuer.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

Vous pouvez également utiliser les commandes Azure CLIaz feature register et az feature show pour inscrire la fonctionnalité et afficher l’état de l’inscription.

Créer le serveur LDAP

Vous devez d’abord créer le serveur LDAP avant de pouvoir le connecter à Azure NetApp Files. Suivez les instructions du serveur approprié :

• Pour configurer FreeIPA, consultez le Guide de démarrage rapide FreeIPA , puis suivez les instructions de Red Hat.
• Pour configurer RedHat IDM, consultez la documentation Red Hat.
• Pour configurer OpenLDAP, consultez la documentation OpenLDAP.
• Pour configurer le serveur d’annuaire Red Hat, suivez la documentation Red Hat. Pour plus d’informations, consultez Installer Red Hat Directory Server.
• Pour configurer Oracle Unified Directory, suivez la documentation Oracle Unified Directory.

Configurer la connexion LDAP dans Azure NetApp Files

1. Dans le portail Azure, sélectionnez Connexions LDAP dans le compte NetApp.

2. Sélectionnez + Créer pour créer une connexion LDAP.

   

3. Dans la fenêtre Configurer la connexion LDAP, fournissez les détails de connexion :

   

   • Nom de domaine : Le nom de domaine sert de nom de domaine de base.

   • Serveurs LDAP : Adresse IP du serveur LDAP.

   • LDAP sur TLS : Si vous le souhaitez, cochez la case pour activer LDAP via TLS pour la communication sécurisée.

     Note

     Pour activer LDAP sur TLS sur plusieurs serveurs, vous devez générer et installer le certificat commun sur chaque serveur, puis charger le certificat d’autorité de certification du serveur dans le portail Azure.

   • Certificat d’autorité de certification du serveur : Certificat de l’autorité de certification. Cette option est requise si vous utilisez LDAP sur TLS.

   • Nom commun (CN) du certificat de l’hôte : Nom commun de l’hôte, par exemple server.contoso.com.

4. Sélectionner le type d’authentification

   • Anonyme: Se connecte sans fournir de nom unique ou de mot de passe. L’accès est régi par les stratégies d’accès anonyme du serveur LDAP.
   • Simple : Authentifie à l’aide du nom de domaine de liaison spécifié et d’un mot de passe récupéré à partir d’un secret stocké dans Azure Key Vault.

   

5. Dans le nom d’utilisateur DN Bind, spécifiez le nom unique du compte utilisé pour s’authentifier auprès du serveur LDAP.
   Exemple : uid=binduser,cn=users,cn=accounts,dc=contoso,dc=com

6. Sélectionnez le secret dans Azure Key Vault qui contient le mot de passe de liaison pour l’authentification LDAP.

   • Entrez l’URI du secret : Vous pouvez entrer manuellement l’identificateur de secret.
   • Sélectionner depuis Key Vault : Vous pouvez sélectionner le secret dans Azure Key Vault.

   Le Key Vault et le Secret sont affichés. Vous pouvez cliquer sur Modifier la sélection pour sélectionner un autre secret.

7. Sélectionnez le type d’identité utilisé pour accéder au secret Key Vault. Pour configurer une identité managée, cliquez sur Ajouter une nouvelle identité dans la fenêtre d’édition et sélectionnez l’une des options suivantes :

   • Affecté par le système : Activez l’identité managée affectée par le système.
   • Attribuée par l’utilisateur : Sélectionnez ou ajoutez une identité gérée existante attribuée par l’utilisateur.

   Note

   L’identité doit être accordée au minimum au rôle Key Vault Secret User sur le Key Vault cible.

8. Cliquez sur Enregistrer.

9. Une fois que vous avez configuré la connexion LDAP, vous pouvez créer un volume NFS.

Valider la connexion LDAP

1. Pour valider la connexion, utilisez la connexion LDAP pour accéder à la vue d'ensemble du volume.
2. Sélectionnez la connexion LDAP , puis la liste d’ID de groupe LDAP.
3. Dans le champ Nom d’utilisateur, entrez le nom d’utilisateur fourni lorsque vous avez configuré le serveur LDAP. Sélectionnez Obtenir les ID de groupe. Vérifiez que les ID de groupe correspondent au client et au serveur.

Pour plus d’informations, consultez Résoudre les problèmes d’accès des utilisateurs sur les volumes LDAP dans Azure NetApp Files.

Étapes suivantes

• Comprendre LDAP
• Comprendre le mappage de noms à l’aide du protocole LDAP
• Comprendre comment autoriser les utilisateurs NFS locaux avec l’option LDAP
• Comprendre les schémas LDAP
• Créer un volume NFS