Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wanneer een gebruiker probeert toegang te krijgen tot een Azure NetApp Files-volume via NFS, wordt de aanvraag geleverd in een numerieke id. Standaard ondersteunt Azure NetApp Files uitgebreide groepslidmaatschappen voor NFS-gebruikers (om de standaardlimiet van 16 groepen te overschrijden). Als gevolg hiervan probeert Azure NetApp Files deze numerieke ID te gebruiken en op te zoeken in LDAP (Lightweight Directory Access Protocol) om de groepslidmaatschappen voor de gebruiker te bepalen, in plaats van ze in een RPC-pakket door te sturen. Als deze numerieke id vanwege dit gedrag niet kan worden omgezet naar een gebruiker in LDAP, mislukt de zoekactie en wordt de toegang geweigerd. Deze weigering treedt zelfs op als de aanvragende gebruiker gemachtigd is om toegang te krijgen tot het volume of de gegevensstructuur.
De optie Lokale NFS-gebruikers met ldap toestaan in Active Directory-verbindingen is bedoeld om deze LDAP-zoekopdrachten voor NFS-aanvragen uit te schakelen door de uitgebreide groepsfunctionaliteit uit te schakelen. Het biedt geen 'lokale gebruiker maken/beheren' in Azure NetApp Files.
Wanneer de optie "Lokale NFS-gebruikers met LDAP toestaan" is ingeschakeld, worden numerieke IDs doorgegeven aan Azure NetApp Files en vindt er geen LDAP-zoekactie plaats. Dit creëert verschillend gedrag voor verschillende scenario's, zoals hieronder wordt beschreven.
NFSv3 met volumes in UNIX-beveiligingsstijl
Numerieke id's hoeven niet te worden vertaald naar gebruikersnamen. De optie Lokale NFS-gebruikers met LDAP toestaan heeft geen invloed op de toegang tot het volume. Dit kan van invloed zijn op de wijze waarop het eigendom van gebruikers/groepen (naamomzetting) wordt weergegeven op de NFS-client. Als een numerieke id van 1001 bijvoorbeeld gebruiker1 is in LDAP, maar gebruiker2 is in het lokale passwd-bestand van de NFS-client, geeft de client 'user2' weer als de eigenaar van het bestand wanneer de numerieke id 1001 is.
NFSv4.1 met UNIX-beveiligingsstijlvolumes
Numerieke id's hoeven niet te worden vertaald naar gebruikersnamen. NFSv4.1 gebruikt standaard naamtekenreeksen (user@CONTOSO.COM) voor de verificatie. Azure NetApp Files ondersteunt echter het gebruik van numerieke id's met NFSV4.1, wat betekent dat NFSv4.1-aanvragen binnenkomen op de NFS-server met een numerieke id. Als er geen numerieke id voor de vertaling van gebruikersnaam bestaat in lokale bestanden of naamservices zoals LDAP voor het Azure NetApp Files-volume, wordt de numerieke waarde aan de client gepresenteerd. Als een numerieke id wordt omgezet in een gebruikersnaam, wordt de naamtekenreeks gebruikt. Als de naam niet overeenkomt, zet de client de naam om naar de anonieme gebruiker zoals opgegeven in het bestand idmapd.conf van de client. Het inschakelen van de optie Lokale NFS-gebruikers met LDAP toestaan heeft geen invloed op NFSv4.1-toegang. Access valt terug op het standaardgedrag van NFSv3, tenzij Azure NetApp Files een numerieke id kan oplossen naar een gebruikersnaam in de lokale NFS-gebruikersdatabase. Azure NetApp Files heeft een set standaard UNIX-gebruikers die voor sommige clients problematisch kunnen zijn en kunnen worden omgezet naar een gebruiker 'niemand' als de domein-ID-tekenreeksen niet overeenkomen.
- Lokale gebruikers zijn: root (0), pcuser (65534), niemand (65535).
- Lokale groepen zijn: root (0), daemon (1), pcuser (65534), niemand (65535).
Meestal kan root onjuist worden weergegeven in NFSv4.1-clientkoppelingen wanneer de NFSv4.1-domein-id onjuist is geconfigureerd. Zie NFSv4.1 ID-domein configureren voor Azure NetApp Files voor meer informatie over het NFSv4.1-id-domein.
NFSv4.1 ACL's kunnen worden geconfigureerd met behulp van een naamtekenreeks of een numerieke id. Als numerieke id's worden gebruikt, is er geen naamomzetting vereist. Als een naamtekenreeks wordt gebruikt, is naamvertaling vereist voor de juiste ACL-bepaling. Wanneer u ACL's voor NFSv4.1 gebruikt, kan het inschakelen van lokale NFS-gebruikers met LDAP een onjuist NFSv4.1-ACL-gedrag veroorzaken, afhankelijk van de ACL-configuratie.
NFS (NFSv3 en NFSv4.1) met NTFS-beveiligingsstijlvolumes in configuraties met twee protocollen
UNIX-beveiligingsstijlvolumes maken gebruik van UNIX-stijlmachtigingen (modusbits en NFSv4.1 ACL's). Voor deze typen volumes maakt NFS gebruik van alleen UNIX-verificatie met behulp van een numerieke id of een naamtekenreeks, afhankelijk van de bovenstaande scenario's.
NTFS-beveiligingsstijlvolumes maken echter gebruik van NTFS-stijlmachtigingen. Deze machtigingen worden toegewezen met behulp van Windows-gebruikers en -groepen. Wanneer een NFS-gebruiker probeert toegang te verkrijgen tot een volume met een machtiging in NTFS-stijl, moet er een UNIX-naar-Windows-naamtoewijzing plaatsvinden om de juiste toegangscontrole te garanderen. In dit scenario wordt de numerieke NFS-id nog steeds doorgegeven aan het Azure NetApp Files NFS-volume, maar er is een vereiste dat de numerieke id moet worden omgezet in een UNIX-gebruikersnaam, zodat deze vervolgens kan worden toegewezen aan een Windows-gebruikersnaam voor initiële verificatie. Als bijvoorbeeld numerieke ID 1001 probeert toegang te krijgen tot een NFS-koppeling met machtigingen voor de NTFS-beveiligingsstijl, die toegang tot de Windows-gebruiker 'gebruiker1' toestaan, moet 1001 in LDAP worden omgezet in de gebruikersnaam 'gebruiker1' om verwachte toegang te krijgen. Als er geen gebruiker met de numerieke id van '1001' in LDAP bestaat of als LDAP onjuist is geconfigureerd, wordt de poging met 1001@contoso.comde UNIX-naar-Windows-naamtoewijzing voltooid. In de meeste gevallen bestaan gebruikers met die naam niet. Als gevolg hiervan mislukt de verificatie en wordt de toegang geweigerd. Als de numerieke id 1001 wordt omgezet in de verkeerde gebruikersnaam (zoals gebruiker2), wordt de NFS-aanvraag toegewezen aan de onjuiste Windows-gebruiker (in dit scenario heeft gebruiker1 de toegang tot gebruiker2).
Als u 'Lokale NFS-gebruikers met LDAP toestaan' inschakelt, worden alle LDAP-vertalingen van numerieke id's naar gebruikersnamen uitgeschakeld. Met deze actie wordt de toegang tot NTFS-beveiligingsstijlvolumes effectief verbroken. Daarom wordt het gebruik van deze optie met NTFS-beveiligingsstijlvolumes afgeraden.