Configurar serviços de diretório LDAP para volumes NFS do Azure NetApp Files (visualização)

Para além do suporte nativo ao Active Directory, o Azure NetApp Files suporta integração nativa com serviços de diretório, incluindo FreeIPA, Red Hat Identity Management (IdM), OpenLDAP, Red Hat Directory Server e Oracle Unified Directory (OUD) para servidores de diretório leves com protocolo de acesso a diretórios (LDAP). Com o suporte nativo ao servidor de diretório LDAP, você pode obter controle de acesso seguro e escalável baseado em identidade para volumes NFS em ambientes Linux.

A integração LDAP do Azure NetApp Files simplifica o gerenciamento de acesso ao compartilhamento de arquivos aproveitando os serviços de diretório confiáveis. Ele suporta protocolos NFSv3 e NFSv4.1 e usa a descoberta baseada em registros SRV DNS para alta disponibilidade e balanceamento de carga entre servidores LDAP. Do ponto de vista dos negócios, esse recurso aprimora:

• Conformidade: o gerenciamento centralizado de identidades oferece suporte à auditabilidade e à aplicação de políticas
• Eficiência: Reduz a sobrecarga administrativa unificando os controles de identidade em sistemas Linux e NTFS
• Segurança: Suporta LDAP sobre TLS, mapeamento simétrico/assimétrico de nomes e associações de grupo estendidas
• Integração perfeita: funciona com a infraestrutura LDAP existente
• Escalabilidade: suporta grandes diretórios de usuários e grupos
• Flexibilidade: Compatível com várias implementações LDAP

Serviços de diretório suportados

• FreeIPA: Ideal para gerenciamento de identidade seguro e centralizado em ambientes Linux
• Red Hat IdM: Gestão centralizada de identidades e acessos em ambientes Linux
• OpenLDAP: Serviço de diretório leve e flexível para implantações personalizadas
• Red Hat Directory Server: serviço LDAP de nível empresarial com recursos avançados de escalabilidade e segurança
• Oracle Unified Directory: Serviço de diretório LDAP de nível empresarial ideal para ecossistemas de aplicações Oracle, com replicação multi-mestre e funcionalidades abrangentes de conformidade

Architecture

O diagrama a seguir descreve como os Arquivos NetApp do Azure usam operações de vinculação/pesquisa LDAP para autenticar usuários e impor o controle de acesso com base nas informações do diretório.

A arquitetura envolve os seguintes componentes:

• VM Client Linux: inicia um pedido de montagem NFS para Azure NetApp Files
• Volume Azure NetApp Files: recebe a solicitação de montagem e executa consultas LDAP
• Servidor de diretório LDAP: responde a solicitações de ligação/pesquisa com informações de usuário e grupo
• Decisão de controlo de acesso: faz cumprir as decisões de acesso com base nas respostas do LDAP

Fluxo de dados

1. Solicitação de montagem: a VM do Linux envia uma solicitação de montagem NFSv3 ou NFSv4.1 para os Arquivos NetApp do Azure.
2. LDAP Bind/Search: O Azure NetApp Files envia um pedido de vinculação/pesquisa para o servidor LDAP (FreeIPA, Red Hat IdM, OpenLDAP ou RHDS) usando o UID/GID.
3. Resposta LDAP: O servidor de diretório retorna atributos de usuário e grupo.
4. Decisão de Controle de Acesso: Azure NetApp Files avalia a resposta e concede ou nega o acesso.
5. Acesso ao cliente: A decisão é comunicada de volta ao cliente.

Considerações

• FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server e Oracle Unified Directory são suportados com volumes NFSv3 e NFSv4.1; Atualmente, não são suportados com volumes de protocolo duplo.
• Você deve configurar o servidor LDAP antes de criar o volume.
• Só pode configurar FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server ou Oracle Unified Directory em novos volumes NFS. Não é possível converter volumes existentes para usar esses serviços de diretório.
• O Kerberos não é atualmente suportado com FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server e Oracle Unified Directory.
• Por predefinição, o Time-to-Live (TTL) para as entradas positivas e negativas de autenticação de utilizadores/grupos na cache de credenciais do NFS está definido para 1 hora.
• Deve contactar o Suporte da Red Hat (IdM) para quaisquer problemas de disponibilidade, conectividade ou diretório/autenticação de IdM observados diretamente no servidor IdM. Deve contactar o Suporte da NetApp para questões relacionadas com a integração, configuração ou acesso do Azure NetApp Files.
• Deve contactar o Suporte Oracle para quaisquer problemas de conectividade LDAP ou de dados de diretório detetados diretamente com o Oracle Unified Directory. Deve contactar o Suporte da NetApp para questões relacionadas com a integração e operações do Azure NetApp Files.
• A autenticação usando Bind DN e palavra-passe especificados (tipo simples de autenticação) não é suportada em regiões governamentais.

Registar a funcionalidade

O suporte para FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server e Oracle Unified Directory está atualmente em pré-visualização. Antes de conectar seus volumes NFS a um destes servidores de diretório, você deve registrar o recurso:

1. Registar a funcionalidade:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

2. Verifique o estado do registo da funcionalidade:

   Observação

   O RegistrationState pode permanecer no Registering estado por até 60 minutos antes de mudar para Registered. Aguarde até que o status esteja Registered antes de continuar.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

Você também pode usar comandos da CLI do Azureaz feature register e az feature show para registrar o recurso e exibir o status do registro.

Criar o servidor LDAP

Você deve primeiro criar o servidor LDAP antes de conectá-lo aos Arquivos NetApp do Azure. Siga as instruções para o servidor relevante:

• Para configurar o FreeIPA, consulte o Guia de início rápido do FreeIPA e siga as orientações da Red Hat.
• Para configurar o IDM da RedHat, consulte a documentação da Red Hat.
• Para configurar o OpenLDAP, consulte a documentação do OpenLDAP.
• Para configurar o Red Hat Directory Server, siga a documentação Red Hat. Para mais informações, consulte o Instalar Servidor de Diretórios Red Hat.
• Para configurar o Oracle Unified Directory, siga a documentação do Oracle Unified Directory.

Configurar a conexão LDAP nos Arquivos NetApp do Azure

1. No portal Azure, selecione ligações LDAP dentro da conta NetApp.

2. Selecionar + Criar para criar uma nova ligação LDAP.

   

3. Na janela Configurar Ligação LDAP, forneça os detalhes da Ligação:

   

   • Nome de domínio: O nome de domínio serve como DN base.

   • Servidores LDAP: O endereço IP do servidor LDAP.

   • LDAP sobre TLS: Opcionalmente, marque a caixa para ativar o LDAP sobre TLS para comunicação segura.

     Observação

     Para ativar LDAP sobre TLS em vários servidores, deve gerar e instalar o certificado comum em cada servidor e depois carregar o certificado da CA do servidor no portal Azure.

   • Certificado de CA do Servidor: O certificado da autoridade de certificação. Esta opção é necessária se você usar LDAP sobre TLS.

   • Apresentador certificado CN: O servidor de nomes comuns do anfitrião, por exemplo, server.contoso.com.

4. Selecione o tipo de Autenticação

   • Anónimo: Liga-se sem fornecer um nome ou palavra-passe distinta. O acesso é regido pelas políticas de acesso anónimo do servidor LDAP.
   • Simple: Autentica usando o Bind DN especificado e uma palavra-passe recuperada de um segredo armazenado em Azure Key Vault.

   

5. No nome de utilizador Bind DN, especifique o nome distinto da conta usada para autenticar junto do servidor LDAP.
   Exemplo: uid=binduser,cn=users,cn=accounts,dc=contoso,dc=com

6. Selecione o segredo no Azure Key Vault que contém a palavra-passe de ligação para autenticação LDAP.

   • Introduza o URI secreto: Pode introduzir manualmente o identificador do segredo.
   • Selecionar no Key Vault: Pode selecionar o segredo no Azure Key Vault.

   O Key Vault e o Secret estão expostos. Pode clicar em Alterar seleção para selecionar outro segredo.

7. Selecione o tipo de identidade usado para aceder ao segredo do Key Vault. Para configurar uma identidade gerida, clique em Adicionar Nova Identidade na janela de edição e selecione uma das seguintes:

   • Atribuído ao sistema: Ative a identidade gerida atribuída ao sistema.
   • Atribuído pelo utilizador: Selecione ou adicione uma identidade gerida atribuída pelo utilizador existente.

   Observação

   À identidade deve ser atribuída, no mínimo, a função Key Vault Secrets User no Key Vault de destino.

8. Selecione Guardar.

9. Depois de configurar a conexão LDAP, você pode criar um volume NFS.

Validar a conexão LDAP

1. Para validar a conexão, navegue até a visão geral do volume usando a conexão LDAP.
2. Selecione Conexão LDAP e, em seguida, Lista de ID de Grupo LDAP.
3. No campo Nome de usuário, digite o nome de usuário fornecido quando você configurou o servidor LDAP. Selecione Obter IDs de Grupo. Verifique se os IDs de grupo correspondem ao cliente e ao servidor.

Para mais informações, consulte Resolver problemas de acesso de utilizadores em volumes LDAP no Azure NetApp Files.

Próximos passos

• Compreender o LDAP
• Compreender o mapeamento de nomes usando LDAP
• Compreender a permissão para usuários locais do NFS com a opção LDAP
• Compreender esquemas LDAP
• Criar um volume NFS