Konfigurera LDAP-katalogtjänster för Azure NetApp Files NFS-volymer (förhandsversion)

Förutom internt stöd för služba Active Directory stöder Azure NetApp Files intern integrering med katalogtjänster som FreeIPA, Red Hat Identity Management (IdM), OpenLDAP, Red Hat Directory Server och Oracle Unified Directory (OUD) för LDAP-katalogservrar (Lightweight Directory Access Protocol). Med inbyggt stöd för LDAP-katalogservern kan du uppnå säker och skalbar identitetsbaserad åtkomstkontroll för NFS-volymer i Linux-miljöer.

Azure NetApp Files LDAP-integrering förenklar hanteringen av filresursåtkomst genom att utnyttja betrodda katalogtjänster. Den stöder NFSv3 och NFSv4.1-protokollen och använder DNS SRV-postbaserad upptäckning för hög tillgänglighet och belastningsutjämning över LDAP-servrar. Ur ett affärsperspektiv förbättrar den här funktionen:

• Efterlevnad: Centraliserad identitetshantering stöder granskning och principframtvingande
• Effektivitet: Minskar administrativa kostnader genom att förena identitetskontroller i Linux- och NTFS-system
• Säkerhet: Stöder LDAP över TLS, symmetrisk/asymmetrisk namnmappning och utökade gruppmedlemskap
• Sömlös integrering: Fungerar med befintlig LDAP-infrastruktur
• Skalbarhet: Stöder stora användar- och gruppkataloger
• Flexibilitet: Kompatibel med flera LDAP-implementeringar

Katalogtjänster som stöds

• FreeIPA: Perfekt för säker, centraliserad identitetshantering i Linux-miljöer
• Red Hat IdM: Centraliserad identitets- och åtkomsthantering i Linux-miljöer
• OpenLDAP: Enkel och flexibel katalogtjänst för anpassade distributioner
• Red Hat Directory Server: LDAP-tjänst i företagsklass med avancerade skalbarhets- och säkerhetsfunktioner
• Oracle Unified Directory: LDAP-katalogtjänsten i företagsklass är perfekt för Oracle-programekosystem, med replikering med flera original och omfattande efterlevnadsfunktioner

Architecture

I följande diagram beskrivs hur Azure NetApp Files använder LDAP-bindnings-/sökåtgärder för att autentisera användare och framtvinga åtkomstkontroll baserat på kataloginformation.

Arkitekturen omfattar följande komponenter:

• Linux-klient-VM: initierar en begäran om NFS-montering till Azure NetApp Files
• Azure NetApp Files-volym: tar emot monteringsbegäran och utför LDAP-frågor
• LDAP-katalogserver: svarar på bindnings-/sökförfrågningar med användar- och gruppinformation
• Beslut om åtkomstkontroll: framtvingar åtkomstbeslut baserat på LDAP-svar

Dataflöde

1. Monteringsbegäran: Den virtuella Linux-datorn skickar en NFSv3- eller NFSv4.1-monteringsbegäran till Azure NetApp Files.
2. LDAP-bindning/sökning: Azure NetApp Files skickar en bindnings-/sökbegäran till LDAP-servern (FreeIPA, Red Hat IdM, OpenLDAP eller RHDS) med hjälp av UID/GID.
3. LDAP-svar: Katalogservern returnerar användar- och gruppattribut.
4. Beslut om åtkomstkontroll: Azure NetApp Files utvärderar svaret och beviljar eller nekar åtkomst.
5. Klientåtkomst: Beslutet meddelas tillbaka till klienten.

Överväganden

• FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server och Oracle Unified Directory stöds med NFSv3- och NFSv4.1-volymer. de stöds för närvarande inte med volymer med dubbla protokoll.
• Du måste konfigurera LDAP-servern innan du skapar volymen.
• Du kan bara konfigurera FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server eller Oracle Unified Directory på nya NFS-volymer. Du kan inte konvertera befintliga volymer för att använda dessa katalogtjänster.
• Kerberos stöds för närvarande inte med FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server och Oracle Unified Directory.
• Som standard anges TTL (Time-to-Live) för både positiva och negativa användar-/gruppautentiseringsposter i NFS-cachen för autentiseringsuppgifter till 1 timme.
• Du bör kontakta Red Hat-supporten (IdM) för eventuella problem med IdM-tillgänglighet, anslutning eller katalog/autentisering som observerats direkt på IdM-servern. Du bör kontakta NetApp Support för problem som rör Azure NetApp Files integrering, konfiguration eller åtkomst.
• Du bör kontakta Oracle Support för eventuella problem med LDAP-anslutning eller katalogdata som observerats direkt med Oracle Unified Directory. Du bör kontakta NetApp Support för problem som rör Azure NetApp Files integrering och åtgärder.
• Autentisering med angivet bindnings-DN och lösenord (enkel autentiseringstyp) stöds inte i myndighetsregioner.

Registrera funktionen

Stöd för FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server och Oracle Unified Directory är för närvarande i förhandsversion. Innan du ansluter dina NFS-volymer till någon av dessa katalogservrar måste du registrera funktionen:

1. Registrera funktionen:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

2. Kontrollera status för funktionsregistreringen:

   Anmärkning

   RegistrationState kan vara i Registering-tillståndet upp till 60 minuter innan det ändras till Registered. Vänta tills statusen är Registered innan du fortsätter.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

Du kan också använda Azure CLI-kommandonaz feature register och az feature show registrera funktionen och visa registreringsstatusen.

Skapa LDAP-servern

Du måste först skapa LDAP-servern innan du kan ansluta den till Azure NetApp Files. Följ anvisningarna för den relevanta servern:

• Information om hur du konfigurerar FreeIPA finns i snabbstartsguiden för FreeIPA och följer sedan Red Hats vägledning.
• Information om hur du konfigurerar RedHat IDM finns i Red Hat-dokumentationen.
• Information om hur du konfigurerar OpenLDAP finns i OpenLDAP-dokumentationen.
• Om du vill konfigurera Red Hat Directory Server följer du Red Hat-dokumentationen. Mer information finns i Installera Red Hat Directory Server.
• Om du vill konfigurera Oracle Unified Directory följer du dokumentationen för Oracle Unified Directory.

Konfigurera LDAP-anslutningen i Azure NetApp Files

1. I Azure-portalen väljer du LDAP-anslutningar i NetApp-kontot.

2. Välj + Skapa för att skapa en ny LDAP-anslutning.

   

3. I fönstret Konfigurera LDAP-anslutning anger du anslutningsinformationen:

   

   • Domännamn: Domännamnet fungerar som bas-DN.

   • LDAP-servrar: LDAP-serverns IP-adress.

   • LDAP över TLS: Du kan också markera kryssrutan för att aktivera LDAP via TLS för säker kommunikation.

     Anmärkning

     Om du vill aktivera LDAP över TLS på flera servrar bör du generera och installera det gemensamma certifikatet på varje server och sedan ladda upp ca-certifikatet för servern i Azure-portalen.

   • Server-CA-certifikat: Certifikatet för certifieringsmyndighet. Det här alternativet krävs om du använder LDAP över TLS.

   • Certifikatets CN-värd: Värdens common name (CN), till exempel server.contoso.com.

4. Välj autentiseringstyp

   • Anonym: Ansluter utan att ange ett unikt namn eller lösenord. Åtkomst styrs av LDAP-serverns principer för anonym åtkomst.
   • Simple: Autentiserar med angivet bindnings-DN och ett lösenord som hämtats från en hemlighet som lagras i Azure Key Vault.

   

5. I användarnamnet Bind DN anger du det unika namnet på det konto som används för att autentisera med LDAP-servern.
   Exempel: uid=binduser,cn=users,cn=accounts,dc=contoso,dc=com

6. Välj hemligheten i Azure Key Vault som innehåller bindningslösenordet för LDAP-autentisering.

   • Ange hemlig URI: Du kan ange den hemliga identifieraren manuellt.
   • Välj från Key Vault: Du kan välja hemligheten från Azure Key Vault.

   Key Vault och hemligheten visas. Du kan klicka på Ändra markering för att välja en annan hemlighet.

7. Välj den identitetstyp som används för att komma åt den Key Vault hemligheten. Om du vill konfigurera en hanterad identitet klickar du på Lägg till ny identitet i redigeringsfönstret och väljer något av följande:

   • Systemtilldelad: Aktivera den systemtilldelade hanterade identiteten.
   • Användartilldelad: Välj eller lägg till en befintlig användartilldelad hanterad identitet.

   Anmärkning

   Identiteten måste tilldelas minst rollen Key Vault Secrets User för mål-Key Vault.

8. Välj Spara.

9. När du har konfigurerat LDAP-anslutningen kan du skapa en NFS-volym.

Verifiera LDAP-anslutningen

1. Om du vill verifiera anslutningen går du till volymöversikten för volymen med hjälp av LDAP-anslutningen.
2. Välj LDAP-anslutning och sedan LDAP-grupp-ID-lista.
3. I fältet Användarnamn anger du det användarnamn som angavs när du konfigurerade LDAP-servern. Välj Hämta grupp-ID:t. Kontrollera att grupp-ID:na matchar klienten och servern.

Mer information finns i Felsök användaråtkomst på LDAP-volymer i Azure NetApp Files.

Nästa steg

• Förstå LDAP
• Förstå namnmappning med hjälp av LDAP
• Förstå hur man tillåter lokala NFS-användare med LDAP-inställning
• Förstå LDAP-scheman
• Skapa en NFS-volym