Konfigurieren von LDAP-Verzeichnisdiensten für Azure NetApp Files NFS-Volumes (Vorschau)

Zusätzlich zur nativen Active Directory-Unterstützung unterstützt Azure NetApp Files die native Integration in Verzeichnisdienste, einschließlich FreeIPA, Red Hat Identity Management (IdM), OpenLDAP, Red Hat Directory Server und Oracle Unified Directory (OUD) für LDAP-Verzeichnisserver (Lightweight Directory Access Protocol). Mit nativer LDAP-Verzeichnisserverunterstützung können Sie eine sichere und skalierbare identitätsbasierte Zugriffssteuerung für NFS-Volumes in Linux-Umgebungen erreichen.

Die LDAP-Integration von Azure NetApp Files vereinfacht die Verwaltung des Dateifreigabezugriffs, indem vertrauenswürdige Verzeichnisdienste genutzt werden. Es unterstützt NFSv3- und NFSv4.1-Protokolle und verwendet DNS SRV-Eintragsbasierte Ermittlung für hohe Verfügbarkeit und Lastenausgleich auf LDAP-Servern. Aus geschäftlicher Sicht verbessert dieses Feature Folgendes:

• Compliance: Zentrale Identitätsverwaltung unterstützt Auditierbarkeit und Richtlinienerzwingung
• Effizienz: Reduziert den Verwaltungsaufwand durch Vereinheitlichen von Identitätskontrollen in Linux- und NTFS-Systemen
• Sicherheit: Unterstützt LDAP über TLS, symmetrische/asymmetrische Namenszuordnung und erweiterte Gruppenmitgliedschaften
• Nahtlose Integration: Arbeitet mit vorhandener LDAP-Infrastruktur
• Skalierbarkeit: Unterstützt große Benutzer- und Gruppenverzeichnisse
• Flexibilität: Kompatibel mit mehreren LDAP-Implementierungen

Unterstützte Verzeichnisdienste

• FreeIPA: Ideal für sicheres, zentralisiertes Identitätsmanagement in Linux-Umgebungen
• Red Hat IdM: Zentrale Identitäts- und Zugriffsverwaltung in Linux-Umgebungen
• OpenLDAP: Einfacher und flexibler Verzeichnisdienst für benutzerdefinierte Bereitstellungen
• Red Hat Directory Server: LDAP-Dienst auf Unternehmensniveau mit erweiterter Skalierbarkeit und Sicherheitsfunktionen
• Oracle Unified Directory: LDAP-Verzeichnisdienst auf Unternehmensniveau ideal für Oracle-Anwendungsökosysteme mit Multimasterreplikation und umfassenden Compliance-Features

Architektur

Das folgende Diagramm beschreibt, wie Azure NetApp Files LDAP-Bindungs-/Suchvorgänge verwendet, um Benutzer zu authentifizieren und die Zugriffssteuerung basierend auf Verzeichnisinformationen zu erzwingen.

Die Architektur umfasst die folgenden Komponenten:

• Client-Linux-VM: initiiert eine NFS-Mountanforderung an Azure NetApp Files
• Azure NetApp Files Volume: empfängt die Bereitstellungsanforderung und führt LDAP-Abfragen aus.
• LDAP-Verzeichnisserver: antwortet auf Bindungs-/Suchanforderungen mit Benutzer- und Gruppeninformationen
• Zugriffssteuerungsentscheidung: Erzwingt Zugriffsentscheidungen basierend auf LDAP-Antworten

Datenfluss

1. Mount Request: Die Linux-VM sendet eine NFSv3- oder NFSv4.1-Bereitstellungsanforderung an Azure NetApp Files.
2. LDAP Bind/Search: Azure NetApp Files sendet mithilfe der UID/GID eine Bindungs-/Suchanforderung an den LDAP-Server (FreeIPA, Red Hat IdM, OpenLDAP oder RHDS).
3. LDAP-Antwort: Der Verzeichnisserver gibt Benutzer- und Gruppenattribute zurück.
4. Zugriffssteuerungsentscheidung: Azure NetApp Files wertet die Antwort aus und gewährt oder verweigert den Zugriff.
5. Kundenzugriff: Die Entscheidung wird dem Kunden mitgeteilt.

Überlegungen

• FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server und Oracle Unified Directory werden mit NFSv3- und NFSv4.1-Volumes unterstützt; sie werden derzeit nicht mit Dualprotokollvolumes unterstützt.
• Sie müssen den LDAP-Server konfigurieren, bevor Sie das Volume erstellen.
• Sie können FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server oder Oracle Unified Directory nur auf neuen NFS-Volumes konfigurieren. Sie können vorhandene Volumes nicht konvertieren, um diese Verzeichnisdienste zu verwenden.
• Kerberos wird derzeit nicht mit FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server und Oracle Unified Directory unterstützt.
• Standardmäßig ist die Time-to-Live (TTL) für positive und negative Benutzer-/Gruppenauthentifizierungseinträge im NFS-Anmeldeinformationscache auf 1 Stunde festgelegt.
• Sie sollten sich an den Red Hat (IdM)-Support für alle IdM-Verfügbarkeits-, Konnektivitäts- oder Verzeichnis-/Authentifizierungsprobleme wenden, die direkt auf dem IdM-Server beobachtet wurden. Sie sollten sich bei Problemen mit der Integration, Konfiguration oder dem Zugriff von Azure NetApp Files an den NetApp-Support wenden.
• Wenden Sie sich an den Oracle-Support für alle LDAP-Konnektivitäts- oder Verzeichnisdatenprobleme, die direkt mit Oracle Unified Directory beobachtet wurden. Wenden Sie sich an den NetApp-Support für Probleme im Zusammenhang mit Azure NetApp Files Integration und Vorgängen.
• Die Authentifizierung mithilfe des angegebenen Bind-DN und des Kennworts (einfacher Authentifizierungstyp) wird in Regierungsregionen nicht unterstützt.

Registrieren der Funktion

Die Unterstützung für FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server und Oracle Unified Directory befindet sich derzeit in der Vorschau. Bevor Sie Ihre NFS-Volumes mit einem dieser Verzeichnisserver verbinden, müssen Sie das Feature registrieren:

1. Registrieren Sie die Funktion:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

2. Überprüfen Sie den Status der Funktionsregistrierung:

   Hinweis

   Der RegistrationState kann bis zu 60 Minuten lang im Registering Zustand bleiben, bevor er zu Registered wechselt. Warten Sie, bis der Status Registered lautet, bevor Sie fortfahren.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

Sie können auch die Azure CLI-Befehleaz feature register und az feature show verwenden, um das Feature zu registrieren und den Registrierungsstatus anzuzeigen.

Erstellen des LDAP-Servers

Sie müssen zuerst den LDAP-Server erstellen, bevor Sie sie mit Azure NetApp Files verbinden können. Folgen Sie den Anweisungen für den entsprechenden Server:

• Informationen zum Konfigurieren von FreeIPA finden Sie im FreeIPA-Schnellstarthandbuch , und folgen Sie dann den Anweisungen von Red Hat.
• Informationen zum Konfigurieren von RedHat IDM finden Sie in der Dokumentation zu Red Hat.
• Informationen zum Konfigurieren von OpenLDAP finden Sie in der OpenLDAP-Dokumentation.
• Zum Konfigurieren des Red Hat Directory-Servers folgen Sie der Red Hat-Dokumentation. Weitere Informationen finden Sie unter "Red Hat Directory Server installieren".
• Um Oracle Unified Directory zu konfigurieren, befolgen Sie die Oracle Unified Directory-Dokumentation.

Konfigurieren der LDAP-Verbindung in Azure NetApp-Dateien

1. Wählen Sie im Azure Portal LDAP-Verbindungen innerhalb des NetApp-Kontos aus.

2. Wählen Sie +Erstellen aus, um eine neue LDAP-Verbindung zu erstellen.

   

3. Geben Sie im Fenster "LDAP-Verbindung konfigurieren" die Verbindungsdetails an:

   

   • Domänennamen: Der Domänenname dient als Basis-DN.

   • LDAP-Server: Die IP-Adresse des LDAP-Servers.

   • LDAP über TLS: Aktivieren Sie optional das Kontrollkästchen, um LDAP über TLS für die sichere Kommunikation zu aktivieren.

     Hinweis

     Um LDAP über TLS auf mehreren Servern zu aktivieren, sollten Sie das gemeinsame Zertifikat auf jedem Server generieren und installieren und dann das Serverzertifizierungsstellenzertifikat im Azure-Portal hochladen.

   • Server-CA-Zertifikat: Das Zertifikat der Zertifizierungsstelle. Diese Option ist erforderlich, wenn Sie LDAP über TLS verwenden.

   • Zertifikat-CN des Hosts: Der Common Name (CN) des Hostservers, z. B. server.contoso.com.

4. Auswählen des Authentifizierungstyps

   • Anonym: Stellt eine Verbindung ohne einen Distinguished Name oder ein Kennwort her. Der Zugriff unterliegt den Anonymen Zugriffsrichtlinien des LDAP-Servers.
   • Simple: Authentifiziert sich mithilfe des angegebenen Bind-DN und eines Kennworts, das aus einem geheimen Schlüssel abgerufen wurde, der in Azure Key Vault gespeichert ist.

   

5. Geben Sie unter Bind DN-Benutzernamen den Distinguished Name (DN) des Kontos an, das zur Authentifizierung beim LDAP-Server verwendet wird.
   Beispiel: uid=binduser,cn=users,cn=accounts,dc=contoso,dc=com

6. Wählen Sie den geheimen Schlüssel in Azure Key Vault aus, der das Bindungskennwort für die LDAP-Authentifizierung enthält.

   • Geheimen URI eingeben: Sie können den geheimen Bezeichner manuell eingeben.
   • Aus Key Vault auswählen: Sie können das Geheimnis aus dem Azure Key Vault auswählen.

   Der Key Vault und das Geheimnis werden angezeigt. Sie können auf " Auswahl ändern" klicken, um einen anderen geheimen Schlüssel auszuwählen.

7. Wählen Sie den Identitätstyp aus, der für den Zugriff auf das Key Vault-Geheimnis verwendet wird. Um eine verwaltete Identität zu konfigurieren, klicken Sie im Bearbeitungsfenster auf "Neue Identität hinzufügen ", und wählen Sie eine der folgenden Optionen aus:

   • System zugewiesen: Aktivieren Sie die vom System zugewiesene verwaltete Identität.
   • Benutzer zugewiesen: Wählen Sie eine vorhandene vom Benutzer zugewiesene verwaltete Identität aus, oder fügen Sie sie hinzu.

   Hinweis

   Der Identität muss mindestens die Rolle Key Vault Secrets User für den Ziel-Key-Vault zugewiesen werden.

8. Wählen Sie Speichern aus.

9. Nachdem Sie die LDAP-Verbindung konfiguriert haben, können Sie ein NFS-Volume erstellen.

Überprüfen der LDAP-Verbindung

1. Um die Verbindung zu überprüfen, navigieren Sie mithilfe der LDAP-Verbindung zur Volumeübersicht.
2. Wählen Sie die LDAP-Verbindung und dann die LDAP-Gruppen-ID-Liste aus.
3. Geben Sie im Feld "Benutzername" den Benutzernamen ein, der angegeben wird, wenn Sie den LDAP-Server konfiguriert haben. Wählen Sie "Gruppen-IDs abrufen" aus. Stellen Sie sicher, dass die Gruppen-IDs mit dem Client und dem Server übereinstimmen.

Weitere Informationen finden Sie unter Problembehandlung für den Benutzerzugriff auf LDAP-Volumes in Azure NetApp Files.

Nächste Schritte

• LDAP verstehen
• Grundlegendes zur Namenszuordnung mithilfe von LDAP
• Grundlegendes zum Zulassen lokaler NFS-Benutzenden mit LDAP-Option
• Verstehen von LDAP-Schemas
• Erstellen Sie ein NFS-Volume