Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Lightweight Directory Access Protocol (LDAP) is een standaard protocol voor adreslijsttoegang dat is ontwikkeld door een internationaal comité genaamd de Internet Engineering Task Force (IETF). LDAP is bedoeld om een algemene adreslijstservice voor algemeen gebruik te bieden die u op heterogene platforms kunt gebruiken om netwerkobjecten te vinden.
LDAP-modellen definiëren hoe u kunt communiceren met het LDAP-adreslijstarchief, hoe u een object in de map kunt vinden, hoe u de objecten in het archief beschrijft en de beveiliging die wordt gebruikt voor toegang tot de directory. LDAP maakt het mogelijk om de objecten die in de opslag worden beschreven, aan te passen en uit te breiden. Daarom kunt u een LDAP-archief gebruiken om veel soorten diverse informatie op te slaan. Veel van de eerste LDAP-implementaties waren gericht op het gebruik van LDAP als adreslijstarchief voor toepassingen zoals e-mail- en webtoepassingen en voor het opslaan van werknemersgegevens. Veel bedrijven vervangen of hebben NIS (Network Information Service) vervangen door LDAP als netwerkmaparchief.
Een LDAP-server biedt UNIX-gebruikers- en groepsidentiteiten voor gebruik met NAS-volumes. Active Directory is in Azure NetApp Files de enige ondersteunde LDAP-server die kan worden gebruikt. Deze ondersteuning omvat zowel Active Directory-domein Services (AD DS) als Microsoft Entra Domain Services.
LDAP-aanvragen kunnen worden onderverdeeld in twee hoofdbewerkingen.
- LDAP-bindingen zijn aanmeldingen bij de LDAP-server vanaf een LDAP-client. De binding wordt gebruikt om zich te authenticeren bij de LDAP-server met leesrechten om LDAP-zoekopdrachten uit te voeren. Azure NetApp Files fungeert als een LDAP-client.
- LDAP-zoekopdrachten worden gebruikt om een query uit te voeren op de directory voor gebruikers- en groepsgegevens, zoals namen, numerieke id's, basismappaden, aanmeldingsshellpaden, groepslidmaatschappen en meer.
LDAP kan de volgende informatie opslaan die wordt gebruikt in NAS-toegang met twee protocollen:
- Gebruikersnamen
- Groepsnamen
- Numerieke gebruikers-id's (UID's) en groeps-id's (GID's)
- Startmappen
- Aanmeldingsshell
- Netgroups, DNS-namen en IP-adressen
- Groepslidmaatschap
Momenteel maakt Azure NetApp Files alleen gebruik van LDAP voor gebruikers- en groepsgegevens, niet voor netgroup- of hostgegevens.
LDAP biedt verschillende voordelen voor uw UNIX-gebruikers en -groepen als identiteitsbron.
-
LDAP is toekomstbestendig.
Naarmate meer NFS-clients ondersteuning toevoegen voor NFSv4.x, zijn NFSv4.x-id-domeinen met een up-to-date lijst met gebruikers en groepen die toegankelijk zijn vanaf clients en opslag nodig om optimale beveiliging en gegarandeerde toegang te garanderen wanneer toegang wordt gedefinieerd. Het hebben van een identiteitsbeheerserver die een-op-een-naamtoewijzingen biedt voor zowel SMB- als NFS-gebruikers vereenvoudigt het leven voor opslagbeheerders, niet alleen nu, maar ook in de toekomst. -
LDAP is schaalbaar.
LDAP-servers bieden de mogelijkheid om miljoenen gebruikers- en groepsobjecten te bevatten, en met Microsoft Active Directory kunnen meerdere servers worden gebruikt om te repliceren op meerdere sites voor zowel prestaties als tolerantieschaal. -
LDAP is veilig.
LDAP biedt beveiliging in de vorm van hoe een opslagsysteem verbinding kan maken met de LDAP-server om aanvragen voor gebruikersgegevens te doen. LDAP-servers bieden de volgende bindingsniveaus:- Anoniem (standaard uitgeschakeld in Microsoft Active Directory; niet ondersteund in Azure NetApp Files)
- Eenvoudig wachtwoord (wachtwoorden zonder opmaak; niet ondersteund in Azure NetApp Files)
- Eenvoudige verificatie en beveiligingslaag (SASL): versleutelde bindmethoden zoals TLS, SSL, Kerberos, enzovoort. Azure NetApp Files ondersteunt LDAP via TLS, LDAP-ondertekening (met behulp van Kerberos), LDAP via SSL.
-
LDAP is robuust.
NIS-, NIS+- en lokale bestanden bieden basisinformatie zoals UID, GID, wachtwoord, basismappen, enzovoort. LDAP biedt echter deze kenmerken en nog veel meer. De aanvullende kenmerken die LDAP gebruikt, maken beheer met twee protocollen veel beter geïntegreerd met LDAP versus NIS. Alleen LDAP wordt ondersteund als een externe naamservice voor identiteitsbeheer met Azure NetApp Files. -
Microsoft Active Directory is gebouwd op LDAP.
Microsoft Active Directory maakt standaard gebruik van een LDAP-back-end voor de gebruikers- en groepsvermeldingen. Deze LDAP-database bevat echter geen UNIX-stijlkenmerken. Deze kenmerken worden toegevoegd wanneer het LDAP-schema wordt uitgebreid via Identity Management voor UNIX (Windows 2003R2 en hoger), Service voor UNIX (Windows 2003 en eerder) of LDAP-hulpprogramma's van derden, zoals Centrify. Omdat Microsoft LDAP als back-end gebruikt, is LDAP de perfecte oplossing voor omgevingen die ervoor kiezen om volumes met twee protocollen in Azure NetApp Files te gebruiken.Notitie
Naast systeemeigen Active Directory biedt Azure NetApp Files ondersteuning voor FreeIPA, OpenLDAP en Red Hat Directory Server.
Basisbeginselen van LDAP in Azure NetApp Files
In de volgende sectie worden de basisbeginselen van LDAP besproken, omdat deze betrekking heeft op Azure NetApp Files.
LDAP-gegevens worden opgeslagen in platte bestanden op een LDAP-server en worden geordend op basis van een LDAP-schema. U moet LDAP-clients zodanig configureren dat hun aanvragen en zoekopdrachten worden gecoördineerd met het schema op de LDAP-server.
LDAP-clients initiëren query's via een LDAP-binding. Dit is in feite een aanmelding bij de LDAP-server met een account dat leestoegang heeft tot het LDAP-schema. De LDAP-bindingsconfiguratie op de clients is geconfigureerd voor het gebruik van het beveiligingsmechanisme dat is gedefinieerd door de LDAP-server. Soms zijn ze gebruikersnaam en wachtwoorduitwisseling in tekst zonder opmaak (eenvoudig). In andere gevallen worden bindingen beveiligd via eenvoudige verificatie- en beveiligingslaagmethoden (
sasl) zoals Kerberos of LDAP via TLS. Azure NetApp Files maakt gebruik van het SMB-computeraccount om verbinding te maken met SASL-verificatie voor de best mogelijke beveiliging.Gebruikers- en groepsgegevens die zijn opgeslagen in LDAP, worden door clients opgevraagd met behulp van standaard LDAP-zoekaanvragen zoals gedefinieerd in RFC 2307. Bovendien bieden nieuwere mechanismen, zoals RFC 2307bis, meer gestroomlijnde gebruikers- en groepszoekacties. Azure NetApp Files maakt gebruik van een vorm van RFC 2307bis voor de schemazoekacties in Windows Active Directory.
LDAP-servers kunnen gebruikers- en groepsgegevens en netgroup opslaan. Azure NetApp Files kan momenteel echter geen netgroup-functionaliteit gebruiken in LDAP in Windows Active Directory.
LDAP in Azure NetApp Files werkt op poort 389. Deze poort kan momenteel niet worden gewijzigd om een aangepaste poort te gebruiken, zoals poort 636 (LDAP via SSL) of poort 3268 (Zoekopdrachten in de globale catalogus van Active Directory).
Versleutelde LDAP-communicatie kan worden bereikt met LDAP via TLS (die via poort 389 werkt) of LDAP-ondertekening, die beide kunnen worden geconfigureerd op de Active Directory-verbinding.
Azure NetApp Files ondersteunt LDAP-query's die niet langer dan 3 seconden duren. Als de LDAP-server veel objecten heeft, kan deze time-out worden overschreden en kunnen verificatieaanvragen mislukken. In dergelijke gevallen kunt u een LDAP-zoekbereik opgeven om query's te filteren voor betere prestaties.
Azure NetApp Files biedt ook ondersteuning voor het opgeven van voorkeurs LDAP-servers om aanvragen te versnellen. Gebruik deze instelling als u ervoor wilt zorgen dat de LDAP-server het dichtst bij uw Azure NetApp Files-regio wordt gebruikt.
Als er geen LDAP-voorkeursserver is ingesteld, wordt de Active Directory-domeinnaam in DNS opgevraagd voor LDAP-servicerecords om de lijst met LDAP-servers te vullen die beschikbaar zijn voor uw regio in die SRV-record. U kunt handmatig query's uitvoeren op LDAP-servicerecords in DNS vanaf een client met behulp van
nslookupofdigopdrachten.Voorbeeld:
C:\>nslookup Default Server: localhost Address: ::1 > set type=SRV > _ldap._tcp.contoso.com. Server: localhost Address: ::1 _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 0 port = 389 svr hostname = oneway.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = ONEWAY.Contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = oneway.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = parisi-2019dc.contoso.com _ldap._tcp.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = contoso.com oneway.contoso.com internet address = x.x.x.x ONEWAY.Contoso.com internet address = x.x.x.x oneway.contoso.com internet address = x.x.x.x parisi-2019dc.contoso.com internet address = y.y.y.y contoso.com internet address = x.x.x.x contoso.com internet address = y.y.y.yLDAP-servers kunnen ook worden gebruikt om aangepaste naamtoewijzingen voor gebruikers uit te voeren. Voor meer informatie, zie Naamtoewijzing begrijpen met LDAP.
Time-outs voor LDAP-query's
Er treedt standaard een time-out op voor LDAP-query's als ze niet kunnen worden voltooid. Als een LDAP-query mislukt vanwege een time-out, mislukt het opzoeken van gebruikers en/of groepen en kan de toegang tot het Azure NetApp Files-volume worden geweigerd, afhankelijk van de machtigingsinstellingen van het volume. Raadpleeg Verbindingen met Active Directory maken en beheren om de instellingen voor time-outs van Azure NetApp Files LDAP-query's te begrijpen.