LDAP-adreslijstservices configureren voor Azure NetApp Files NFS-volumes (preview)

Naast systeemeigen Active Directory-ondersteuning biedt Azure NetApp Files ondersteuning voor systeemeigen integratie met adreslijstservices, waaronder FreeIPA, OpenLDAP en Red Hat Directory Server voor LDAP-adreslijstservers (Lightweight Directory Access Protocol). Met systeemeigen LDAP-adreslijstserverondersteuning kunt u veilig en schaalbaar toegangsbeheer op basis van identiteiten bereiken voor NFS-volumes in Linux-omgevingen.

De LDAP-integratie van Azure NetApp Files vereenvoudigt het toegangsbeheer voor bestandsshares door gebruik te maken van vertrouwde adreslijstservices. Het ondersteunt NFSv3- en NFSv4.1-protocollen en maakt gebruik van DNS SRV-recorddetectie voor hoge beschikbaarheid en taakverdeling op LDAP-servers. Vanuit bedrijfsperspectief verbetert deze functie het volgende:

• Naleving: Gecentraliseerd identiteitsbeheer ondersteunt controlebaarheid en beleidsafdwinging
• Efficiëntie: vermindert administratieve overhead door identiteitsbesturingselementen in Linux- en NTFS-systemen samen te heffen
• Beveiliging: ondersteunt LDAP via TLS, symmetrische/asymmetrische naamtoewijzing en uitgebreide groepslidmaatschappen
• Naadloze integratie: werkt met bestaande LDAP-infrastructuur
• Schaalbaarheid: ondersteunt grote gebruikers- en groepsmappen
• Flexibiliteit: compatibel met meerdere LDAP-implementaties

Ondersteunde adreslijstservices

• FreeIPA: Ideaal voor veilig, gecentraliseerd identiteitsbeheer in Linux-omgevingen
• OpenLDAP: Lichtgewicht en flexibele adreslijstservice voor aangepaste implementaties
• Red Hat Directory Server: LDAP-service op ondernemingsniveau met geavanceerde schaalbaarheids- en beveiligingsfuncties

Architecture

In het volgende diagram ziet u hoe Azure NetApp Files LDAP-bindings-/zoekbewerkingen gebruikt om gebruikers te verifiëren en toegangsbeheer af te dwingen op basis van mapgegevens.

De architectuur omvat de volgende onderdelen:

• Linux VM-client: initieert een NFS-koppelingsaanvraag naar Azure NetApp Files
• Azure NetApp Files-volume: ontvangt de koppelingsaanvraag en voert LDAP-query's uit
• LDAP-adreslijstserver: reageert op bindings-/zoekaanvragen met gebruikers- en groepsgegevens
• Logica voor toegangsbeheer: dwingt toegangsbeslissingen af op basis van LDAP-antwoorden

Gegevensstroom

1. Koppelingsaanvraag: de Linux-VM verzendt een NFSv3- of NFSv4.1-koppelingsaanvraag naar Azure NetApp Files.
2. LDAP Bind/Search: Azure NetApp Files verzendt een bindings-/zoekaanvraag naar de LDAP-server (FreeIPA, OpenLDAP of RHDS) met behulp van de UID/GID.
3. LDAP-antwoord: de adreslijstserver retourneert gebruikers- en groepskenmerken.
4. Beslissing over toegangsbeheer: Azure NetApp Files evalueert het antwoord en verleent of weigert toegang.
5. Clienttoegang: de beslissing wordt teruggegeven aan de client.

Gebruikssituaties

Elke adreslijstservice doet beroep op verschillende gebruiksvoorbeelden in Azure NetApp Files.

FreeIPA

• Hybride Linux-omgevingen: ideaal voor ondernemingen die FreeIPA gebruiken voor gecentraliseerd identiteitsbeheer in Linux-systemen in hybride cloudimplementaties.
• HPC- en analyse-workloads: ondersteunt beveiligde authenticatie voor high-performance computing-clusters en analyseplatformen die gebruik maken van FreeIPA.
• Kerberos-integratie: maakt omgevingen mogelijk waarvoor kerberos-verificatie is vereist voor NFS-workloads zonder Active Directory.

OpenLDAP

• Ondersteuning voor verouderde toepassingen: perfect voor organisaties die verouderde of aangepaste toepassingen uitvoeren die afhankelijk zijn van OpenLDAP voor identiteitsservices.
• Identiteitsbeheer met meerdere platforms: biedt een lichtgewicht, op standaarden gebaseerde oplossing voor het beheren van toegang tussen Linux-, UNIX- en containerworkloads.
• Implementaties die zijn geoptimaliseerd voor kosten: geschikt voor bedrijven die een opensource, flexibele adreslijstoplossing zoeken zonder de overhead van Active Directory.

Red Hat Directory Server

• Beveiliging en naleving op ondernemingsniveau: ontworpen voor organisaties die beperkte, door ondernemingen ondersteunde LDAP-services met sterke beveiligingscontroles vereisen.
• Gereguleerde branches: Ideaal voor financiële, gezondheidszorg en overheidssectoren waarbij naleving en ondersteuning van leveranciers essentieel zijn.
• Integratie met Red Hat Ecosystem: past naadloos in omgevingen die gebruikmaken van Red Hat Enterprise Linux en gerelateerde oplossingen.

Overwegingen

• FreeIPA, OpenLDAP en Red Hat Directory Server worden ondersteund met NFSv3- en NFSv4.1-volumes; ze worden momenteel niet ondersteund met volumes met twee protocollen.
• Deze adreslijstservices worden momenteel niet ondersteund met grote volumes.
• U moet de LDAP-server configureren voordat u het volume maakt.
• U kunt alleen FreeIPA, OpenLDAP of Red Hat Directory Server configureren op nieuwe NFS-volumes. U kunt bestaande volumes niet converteren om deze adreslijstservices te gebruiken.
• Kerberos wordt momenteel niet ondersteund met FreeIPA, OpenLDAP of Red Hat Directory Server.

De functie registreren

Ondersteuning voor FreeIPA, OpenLDAP en Red Hat Directory Server is momenteel in preview. Voordat u uw NFS-volumes verbindt met een van deze mapservers, moet u de functie registreren:

1. De functie registreren:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

2. Controleer de status van de functieregistratie:

   Opmerking

   De RegistrationState kan maximaal 60 minuten in de Registering status blijven staan voordat u overgaat naar Registered. Wacht totdat de status Registered is voordat u doorgaat.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

U kunt ook Azure CLI-opdrachtenen az feature register de functie registreren en de registratiestatus weergeven.

De LDAP-server maken

U moet eerst de LDAP-server maken voordat u deze kunt verbinden met Azure NetApp Files. Volg de instructies voor de relevante server:

• Als u FreeIPA wilt configureren, raadpleegt u de Snelstartgids freeIPA en volgt u de richtlijnen van Red Hat.
• Zie de OpenLDAP-documentatie.
• Voor Red Hat Directory Server volgt u de Red Hat-documentatie. Zie de installatiehandleiding voor 389 Directory Server voor meer informatie.

De LDAP-verbinding configureren in Azure NetApp Files

1. Navigeer in Azure Portal naar LDAP-verbindingen onder Azure NetApp Files.

2. Maak de nieuwe LDAP-verbinding.

3. Geef in het nieuwe menu het volgende op:

   • Domein: De domeinnaam fungeert als de basis-DN.
   • LDAP-servers: Het IP-adres van de LDAP-server.
   • LDAP via TLS: Schakel desgewenst het selectievakje in om LDAP via TLS in te schakelen voor beveiligde communicatie. Zie LDAP configureren via TLS voor meer informatie.
   • Ca-certificaat van de server: Het certificeringsinstantiecertificaat. Deze optie is vereist als u LDAP via TLS gebruikt.
   • CN-host van certificaat: De algemene naamserver van de host, bijvoorbeeld contoso.server.com.

   

4. Selecteer Opslaan.

5. Zodra u de LDAP-verbinding hebt geconfigureerd, kunt u een NFS-volume maken.

De LDAP-verbinding valideren

1. Als u de verbinding wilt valideren, ga naar het volumeoverzicht van het volume via de LDAP-verbinding.
2. Selecteer de LDAP-verbinding en vervolgens de LIJST met LDAP-groeps-id's.
3. Voer in het veld Gebruikersnaam de gebruikersnaam in die is opgegeven bij het configureren van de LDAP-server. Selecteer Groeps-id's ophalen. Zorg ervoor dat de groeps-id's overeenkomen met de client en server.

Volgende stappen

• Inzicht in LDAP
• Inzicht in naamtoewijzing met LDAP
• Inzicht in het toestaan van lokale NFS-gebruikers met de LDAP-optie
• Inzicht in LDAP-schema's
• Een NFS-volume maken