Azure NetApp Files NFS 볼륨에 대한 LDAP 디렉터리 서비스 구성(미리 보기)

Azure NetApp Files 네이티브 Active Directory 지원 외에도 LDAP(경량 디렉터리 액세스 프로토콜) 디렉터리 서버용 FreeIPA, IdM(Red Hat Identity Management), OpenLDAP, Red Hat Directory Server 및 OUD(Oracle Unified Directory)를 비롯한 디렉터리 서비스와의 네이티브 통합을 지원합니다. 네이티브 LDAP 디렉터리 서버 지원을 사용하면 Linux 환경에서 NFS 볼륨에 대한 안전하고 확장 가능한 ID 기반 액세스 제어를 달성할 수 있습니다.

Azure NetApp Files의 LDAP 통합은 신뢰할 수 있는 디렉터리 서비스를 활용하여 파일 공유 액세스 관리를 간소화합니다. NFSv3 및 NFSv4.1 프로토콜을 지원하고 LDAP 서버에서 고가용성 및 부하 분산을 위해 DNS SRV 레코드 기반 검색을 사용합니다. 비즈니스 관점에서 이 기능은 다음을 향상시킵니다.

• 규정 준수: 중앙 집중식 ID 관리는 감사 가능성 및 정책 적용을 지원합니다.
• 효율성: Linux 및 NTFS 시스템에서 ID 제어를 통합하여 관리 오버헤드를 줄입니다.
• 보안: TLS, 대칭/비대칭 이름 매핑 및 확장된 그룹 멤버 자격에 대한 LDAP 지원
• 원활한 통합: 기존 LDAP 인프라와 작동
• 확장성: 대규모 사용자 및 그룹 디렉터리를 지원합니다.
• 유연성: 여러 LDAP 구현과 호환

지원되는 디렉터리 서비스

• FreeIPA: Linux 환경에서 안전하고 중앙 집중식 ID 관리에 이상적입니다.
• Red Hat IdM: Linux 환경에서 중앙 집중식 ID 및 액세스 관리
• OpenLDAP: 사용자 지정 배포를 위한 가볍고 유연한 디렉터리 서비스
• Red Hat Directory 서버: 고급 확장성 및 보안 기능을 갖춘 엔터프라이즈급 LDAP 서비스
• Oracle Unified Directory: 다중 마스터 복제 및 포괄적인 규정 준수 기능을 갖춘 Oracle 애플리케이션 에코시스템에 이상적인 엔터프라이즈급 LDAP 디렉터리 서비스

아키텍처

다음 다이어그램에서는 Azure NetApp Files가 LDAP 바인딩/검색 작업을 사용하여 사용자를 인증하고 디렉터리 정보에 따라 액세스 제어를 적용하는 방법을 간략하게 설명합니다.

아키텍처에는 다음 구성 요소가 포함됩니다.

• 클라이언트 Linux VM: Azure NetApp Files에 NFS 마운트 요청을 시작함
• Azure NetApp Files 볼륨: 탑재 요청을 수신하고 LDAP 쿼리를 수행합니다.
• LDAP 디렉터리 서버: 사용자 및 그룹 정보를 사용하여 바인딩/검색 요청에 응답
• 액세스 제어 결정: LDAP 응답에 따라 액세스 결정 적용

데이터 흐름

1. 탑재 요청: Linux VM은 NFSv3 또는 NFSv4.1 탑재 요청을 Azure NetApp Files로 보냅니다.
2. LDAP 바인딩/검색: Azure NetApp Files UID/GID를 사용하여 LDAP 서버(FreeIPA, Red Hat IdM, OpenLDAP 또는 RHDS)에 바인딩/검색 요청을 보냅니다.
3. LDAP 응답: 디렉터리 서버는 사용자 및 그룹 특성을 반환합니다.
4. 액세스 제어 결정: Azure NetApp Files는 응답을 평가하고 액세스를 부여하거나 거부합니다.
5. 클라이언트 액세스: 결정은 클라이언트에 다시 전달됩니다.

고려 사항

• FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server 및 Oracle Unified Directory는 NFSv3 및 NFSv4.1 볼륨에서 지원됩니다. 이중 프로토콜 볼륨에서는 현재 지원되지 않습니다.
• 볼륨을 만들기 전에 LDAP 서버를 구성해야 합니다.
• 새 NFS 볼륨에서만 FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server 또는 Oracle Unified Directory를 구성할 수 있습니다. 이러한 디렉터리 서비스를 사용하도록 기존 볼륨을 변환할 수 없습니다.
• Kerberos는 현재 FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server 및 Oracle Unified Directory에서 지원되지 않습니다.
• 기본적으로 NFS 자격 증명 캐시의 양수 및 부정 사용자/그룹 인증 항목 모두에 대한 TTL(Time-to-Live)은 1시간으로 설정됩니다.
• IdM 서버에서 직접 관찰되는 IdM 가용성, 연결 또는 디렉터리/인증 문제에 대해서는 IdM(Red Hat) 지원에 문의해야 합니다. Azure NetApp Files 통합, 구성 또는 액세스와 관련된 문제는 NetApp 지원에 문의해야 합니다.
• Oracle Unified Directory에서 직접 관찰된 LDAP 연결 또는 디렉터리 데이터 문제는 Oracle 지원에 문의해야 합니다. Azure NetApp Files 통합 및 운영과 관련된 문제는 NetApp 지원에 문의해야 합니다.
• 지정된 바인딩 DN 및 암호(단순 인증 유형)를 사용하는 인증은 정부 지역에서 지원되지 않습니다.

기능 등록

FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server 및 Oracle Unified Directory에 대한 지원은 현재 미리 보기로 제공됩니다. NFS 볼륨을 이러한 디렉터리 서버 중 하나에 연결하기 전에 다음 기능을 등록해야 합니다.

1. 기능을 등록합니다.

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

2. 기능 등록 상태를 확인합니다.

   비고

   RegistrationState는 다음으로 Registering 변경Registered하기 전에 최대 60분 동안 상태를 유지할 수 있습니다. 상태가 Registered이 될 때까지 기다린 후에 계속하세요.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

Azure CLI 명령az feature register 및 az feature show를 사용하여 기능을 등록하고 등록 상태를 표시할 수도 있습니다.

LDAP 서버 만들기

Azure NetApp Files에 연결하려면 먼저 LDAP 서버를 만들어야 합니다. 관련 서버에 대한 지침을 따릅니다.

• FreeIPA를 구성하려면 FreeIPA 빠른 시작 가이드를 참조한 다음 Red Hat의 지침을 따릅니다.
• RedHat IDM을 구성하려면 Red Hat 설명서를 참조하세요.
• OpenLDAP를 구성하려면 OpenLDAP 설명서를 참조하세요.
• Red Hat 디렉터리 서버를 구성하려면 Red Hat 설명서를 따릅니다. 자세한 내용은 Red Hat 디렉터리 서버 설치를 참조하세요.
• Oracle Unified Directory를 구성하려면 Oracle Unified Directory 설명서를 따릅니다.

Azure NetApp Files에서 LDAP 연결 구성

1. Azure 포털의 NetApp 계정 내에서 LDAP 연결을 선택합니다.

2. + 만들기를 선택하여 새 LDAP 연결을 만듭니다.

   

3. LDAP 연결 구성 창에서 연결 세부 정보를 제공합니다.

   

   • 도메인 이름: 도메인 이름은 기본 DN으로 사용됩니다.

   • LDAP 서버: LDAP 서버의 IP 주소입니다.

   • TLS를 통해 LDAP: 필요에 따라 보안 통신을 위해 TLS를 통해 LDAP를 사용하도록 설정하려면 확인란을 선택합니다.

     비고

     여러 서버에서 TLS를 통해 LDAP를 사용하도록 설정하려면 각 서버에 공통 인증서를 생성 및 설치한 다음 Azure Portal에서 서버 CA 인증서를 업로드해야 합니다.

   • 서버 CA 인증서: 인증 기관 인증서입니다. TLS를 통해 LDAP를 사용하는 경우 이 옵션이 필요합니다.

   • 인증서 CN 호스트: 호스트의 일반 이름 서버(예: server.contoso.com)입니다.

4. 인증 유형 선택

   • 익명: 고유 이름 또는 암호를 제공하지 않고 연결합니다. 액세스는 LDAP 서버의 익명 액세스 정책에 의해 제어됩니다.
   • Simple: 지정된 바인딩 DN 및 Azure Key Vault 저장된 비밀에서 검색된 암호를 사용하여 인증합니다.

   

5. 바인딩 DN 사용자 이름에서 LDAP 서버에서 인증하는 데 사용되는 계정의 고유 이름을 지정합니다.
   예: uid=binduser,cn=users,cn=accounts,dc=contoso,dc=com

6. Azure Key Vault LDAP 인증에 대한 바인딩 암호가 포함된 비밀을 선택합니다.

   • 비밀 URI를 입력합니다. 비밀 식별자를 수동으로 입력할 수 있습니다.
   • Key Vault에서 선택: Azure Key Vault에서 비밀 정보를 선택할 수 있습니다.

   Key Vault 및 Secret이 표시됩니다. 선택 영역 변경을 클릭하여 다른 비밀을 선택할 수 있습니다.

7. Key Vault 비밀에 액세스하는 데 사용되는 ID 유형을 선택합니다. 관리 ID를 구성하려면 편집 창에서 새 ID 추가 를 클릭하고 다음 중 하나를 선택합니다.

   • 시스템 할당: 시스템 할당 관리 ID를 사용하도록 설정합니다.
   • 사용자 할당: 기존 사용자 할당 관리 ID를 선택하거나 추가합니다.

   비고

   ID에는 대상 Key Vault에서 최소한 Key Vault Secrets User 역할이 부여되어야 합니다.

8. 저장을 선택합니다.

9. LDAP 연결을 구성한 후에 NFS 볼륨을 만들 수 있습니다.

LDAP 연결 유효성 검사

1. 연결의 유효성을 검사하려면 LDAP 연결을 사용하여 볼륨의 볼륨 개요로 이동합니다.
2. LDAP 연결을 선택한 다음, LDAP 그룹 ID 목록을 선택합니다.
3. 사용자 이름 필드에 LDAP 서버를 구성할 때 제공된 사용자 이름을 입력합니다. 그룹 ID 가져오기를 선택합니다. 그룹 ID가 클라이언트 및 서버와 일치하는지 확인합니다.

자세한 내용은 Azure NetApp Files 참조하세요.

다음 단계

• LDAP 이해
• LDAP를 사용하여 이름 매핑 이해
• LDAP 옵션으로 로컬 NFS 사용자 허용 방법 이해
• LDAP 스키마 이해
• NFS 볼륨 만들기