通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 Azure NetApp 文件 NFS 卷配置 LDAP 目录服务(预览版)

除了原生的 Active Directory 支持之外,Azure NetApp 文件还支持与包括 FreeIPA、OpenLDAP 和 Red Hat Directory Server 在内的目录服务进行原生集成,以支持轻量级目录访问协议(LDAP)目录服务器。 借助本机 LDAP 目录服务器支持,可以为 Linux 环境中的 NFS 卷实现安全且可缩放的基于标识的访问控制。

Azure NetApp 文件的 LDAP 集成利用受信任的目录服务简化了文件共享访问管理。 它支持 NFSv3 和 NFSv4.1 协议,并使用基于 DNS SRV 记录的发现跨 LDAP 服务器实现高可用性和负载均衡。 从业务角度来看,此功能可增强:

  • 合规性:集中式标识管理支持可审核性和策略强制实施
  • 效率:通过跨 Linux 和 NTFS 系统统一标识控制来降低管理开销
  • 安全性:支持通过 TLS 进行 LDAP、对称/非对称名称映射和扩展组成员身份
  • 无缝集成:适用于现有 LDAP 基础结构
  • 可伸缩性:支持大型用户和组目录
  • 灵活性:与多个 LDAP 实现兼容

支持的目录服务

  • FreeIPA:非常适合在 Linux 环境中进行安全集中标识管理
  • OpenLDAP:用于自定义部署的轻型灵活目录服务
  • Red Hat 目录服务器:具有高级可伸缩性和安全功能的企业级 LDAP 服务

重要

若要使用 Active Directory 配置 LDAP,请参阅 使用扩展组配置 AD DS LDAP,以便进行 NFS 卷访问

Architecture

下图概述了 Azure NetApp 文件如何使用 LDAP 绑定/搜索作对用户进行身份验证,并根据目录信息强制实施访问控制。

Azure NetApp 文件中 LDAP 目录服务器的示意图。

体系结构涉及以下组件:

  • Linux VM 客户端:启动对 Azure NetApp 文件的 NFS 装载请求
  • Azure NetApp 文件卷:接收装载请求并执行 LDAP 查询
  • LDAP 目录服务器:使用用户和组信息响应绑定/搜索请求
  • 访问控制逻辑:基于 LDAP 响应强制实施访问决策

数据流

  1. 装载请求:Linux VM 将 NFSv3 或 NFSv4.1 装载请求发送到 Azure NetApp 文件。
  2. LDAP 绑定/搜索:Azure NetApp 文件使用 UID/GID 将绑定/搜索请求发送到 LDAP 服务器(FreeIPA、OpenLDAP 或 RHDS)。
  3. LDAP 响应:目录服务器返回用户和组属性。
  4. 访问控制决策:Azure NetApp Files 评估响应并授予或拒绝访问。
  5. 客户端访问:决策将传回客户端。

用例

每个目录服务都适用于 Azure NetApp 文件中的各种用例。

FreeIPA

  • 混合 Linux 环境:适用于在混合云部署中跨 Linux 系统使用 FreeIPA 进行集中标识管理的企业。
  • HPC 和分析工作负载:支持对依赖于 FreeIPA 的高性能计算群集和分析平台进行安全身份验证。
  • Kerberos 集成:为没有 Active Directory 的 NFS 工作负载启用需要基于 Kerberos 的身份验证的环境。

OpenLDAP

  • 旧版应用程序支持:非常适合运行依赖于标识服务的 OpenLDAP 的旧应用程序或自定义应用程序的组织。
  • 多平台标识管理:提供一种基于标准的轻型解决方案,用于管理跨 Linux、UNIX 和容器化工作负载的访问。
  • 成本优化部署:适用于寻求开放源代码灵活目录解决方案的企业,无需 Active Directory 开销。

Red Hat 目录服务器

  • 企业级安全性和符合性:专为需要强化且支持企业支持的 LDAP 服务且具有强安全控制的组织而设计。
  • 受监管行业:非常适合金融、医疗保健和政府部门,这些部门对合规性和供应商支持要求极为严格。
  • 与 Red Hat 生态系统集成:利用 Red Hat Enterprise Linux 和相关解决方案无缝融入环境。

注意事项

  • FreeIPA、OpenLDAP 和 Red Hat 目录服务器支持 NFSv3 和 NFSv4.1 卷;它们当前不支持双协议卷。
  • 这些目录服务当前不支持大型卷。
  • 在创建存储卷之前,必须配置 LDAP 服务器。
  • 只能在 新的 NFS 卷上配置 FreeIPA、OpenLDAP 或 Red Hat 目录服务器。 无法转换现有卷以使用这些目录服务。
  • FreeIPA、OpenLDAP 或 Red Hat 目录服务器当前不支持 Kerberos。

注册该功能

目前预览版支持 FreeIPA、OpenLDAP 和 Red Hat Directory 服务器。 在将 NFS 卷连接到以下目录服务器之一之前,您必须注册该功能。

  1. 注册此功能:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP

  2. 检查功能注册的状态:

    注释

    RegistrationState 可以在更改为Registering之前保持Registered状态长达 60 分钟。 请等到状态变为Registered后再继续。

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP

您还可以使用 Azure CLI 命令az feature register 来注册特性并显示注册状态。

创建 LDAP 服务器

必须先创建 LDAP 服务器,然后才能将其连接到 Azure NetApp 文件。 按照相关服务器的指示进行操作。

在 Azure NetApp 文件中配置 LDAP 连接

  1. 在 Azure 门户中,导航到 Azure NetApp 文件下的 LDAP 连接。

  2. 创建新的 LDAP 连接。

  3. 在新菜单中,提供:

    • 域: 域名用作基础DN。
    • LDAP 服务器: LDAP 服务器的 IP 地址。
    • 启用 TLS 的 LDAP: (可选)勾选此框以通过 TLS 启用 LDAP,从而实现安全通信。 有关详细信息,请参阅 “通过 TLS 配置 LDAP”。
    • 服务器 CA 证书: 证书颁发机构证书。 如果使用 LDAP over TLS,则需要此选项。
    • 证书 CN 主机:主机的公用名服务器,例如 contoso.server.com。

    配置 LDAP 连接选项的屏幕截图。

  4. 选择“保存”

  5. 配置 LDAP 连接后,可以创建 NFS 卷

验证 LDAP 连接

  1. 若要验证连接,请导航到使用 LDAP 连接的卷的卷概览。
  2. 选择 LDAP 连接 ,然后选择 LDAP 组 ID 列表
  3. 在“用户名”字段中,输入配置 LDAP 服务器时提供的用户名。 选择“ 获取组 ID”。 确保组 ID 与客户端和服务器匹配。

后续步骤