Configurare i servizi directory LDAP per i volumi NFS di Azure NetApp Files (anteprima)

Oltre al supporto nativo per Active Directory, Azure NetApp Files supporta l'integrazione nativa con servizi di directory, tra cui FreeIPA, Red Hat Identity Management (IdM), OpenLDAP, Red Hat Directory Server e Oracle Unified Directory (OUD), per i server di directory LDAP (Lightweight Directory Access Protocol). Con il supporto del server di directory LDAP nativo, è possibile ottenere un controllo degli accessi sicuro e scalabile basato sull'identità per i volumi NFS in ambienti Linux.

L'integrazione LDAP di Azure NetApp Files semplifica la gestione degli accessi alle condivisioni file sfruttando i servizi directory attendibili. Supporta protocolli NFSv3 e NFSv4.1 e usa l'individuazione basata su record SRV DNS per la disponibilità elevata e il bilanciamento del carico tra server LDAP. Dal punto di vista aziendale, questa funzionalità migliora:

• Conformità: la gestione centralizzata delle identità supporta la verificabilità e l'applicazione dei criteri
• Efficienza: riduce il sovraccarico amministrativo unificando i controlli delle identità nei sistemi Linux e NTFS
• Sicurezza: supporta LDAP su TLS, mapping di nomi simmetrici/asimmetrici e appartenenze a gruppi estesi
• Integrazione facile: funziona con l'infrastruttura LDAP esistente
• Scalabilità: supporta directory di utenti e gruppi di grandi dimensioni
• Flessibilità: compatibile con più implementazioni LDAP

Servizi directory supportati

• FreeIPA: ideale per la gestione sicura e centralizzata delle identità negli ambienti Linux
• Red Hat IdM: gestione centralizzata delle identità e degli accessi negli ambienti Linux
• OpenLDAP: servizio directory leggero e flessibile per distribuzioni personalizzate
• Red Hat Directory Server: servizio LDAP di livello aziendale con funzionalità avanzate di scalabilità e sicurezza
• Oracle Unified Directory: servizio directory LDAP di livello aziendale ideale per gli ecosistemi di applicazioni Oracle, con replica multimaster e funzionalità complete di conformità

Architecture

Il diagramma seguente illustra in che modo Azure NetApp Files usa le operazioni di associazione/ricerca LDAP per autenticare gli utenti e applicare il controllo di accesso in base alle informazioni sulla directory.

L'architettura include i componenti seguenti:

• Vm Linux client: avvia una richiesta di montaggio NFS per Azure NetApp Files
• Volume di Azure NetApp Files: riceve la richiesta di montaggio ed esegue query LDAP
• Server directory LDAP: risponde alle richieste di associazione/ricerca con informazioni su utenti e gruppi
• Decisione di controllo di accesso: applica le decisioni di accesso in base alle risposte LDAP

Flusso di dati

1. Richiesta di montaggio: la macchina virtuale Linux invia una richiesta di montaggio NFSv3 o NFSv4.1 ad Azure NetApp Files.
2. Bind/Search LDAP: Azure NetApp Files invia una richiesta di bind/search al server LDAP (FreeIPA, Red Hat IdM, OpenLDAP o RHDS) utilizzando UID/GID.
3. Risposta LDAP: il server di directory restituisce attributi utente e gruppo.
4. Decisione di controllo di accesso: Azure NetApp Files valuta la risposta e concede o nega l'accesso.
5. Accesso cliente: la decisione viene comunicata al cliente.

Considerazioni

• FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server e Oracle Unified Directory sono supportati con volumi NFSv3 e NFSv4.1; non sono attualmente supportati con volumi a doppio protocollo.
• È necessario configurare il server LDAP prima di creare il volume.
• È possibile configurare solo FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server o Oracle Unified Directory nei nuovi volumi NFS. Non è possibile convertire i volumi esistenti per usare questi servizi directory.
• Kerberos non è attualmente supportato con FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server e Oracle Unified Directory.
• Per impostazione predefinita, il valore Time-to-Live (TTL) per le voci positive e negative di autenticazione di utenti/gruppi nella cache delle credenziali NFS è impostato su 1 ora.
• È consigliabile contattare il supporto di Red Hat (IdM) per eventuali problemi di disponibilità, connettività o directory/autenticazione rilevati direttamente nel server IdM. Per problemi relativi all'integrazione, alla configurazione o all'accesso di Azure NetApp Files, contattare il supporto di NetApp.
• È consigliabile contattare il supporto Oracle per eventuali problemi di connettività LDAP o dati della directory rilevati direttamente con Oracle Unified Directory. Per problemi relativi all'integrazione e alle operazioni di Azure NetApp Files, contattare il supporto di NetApp.
• L'autenticazione che utilizza il Bind DN e la password specificati (tipo di autenticazione semplice) non è supportata nelle regioni governative.

Registrare la funzionalità

Il supporto per FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server e Oracle Unified Directory è attualmente in anteprima. Prima di connettere i volumi NFS a uno di questi server directory, è necessario registrare la funzionalità:

1. Registrare la funzionalità :

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

2. Verificare lo stato della registrazione della funzionalità:

   Annotazioni

   RegistrationState può rimanere nello Registering stato per un massimo di 60 minuti prima di passare a Registered. Attendere che lo stato sia Registered prima di continuare.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

È anche possibile usare i comandi CLI di Azureaz feature register e az feature show per registrare la funzionalità e visualizzare lo stato di registrazione.

Creare il server LDAP

Prima di potersi connettere ad Azure NetApp Files, è necessario creare il server LDAP. Seguire le istruzioni per il server pertinente:

• Per configurare FreeIPA, vedere la Guida introduttiva a FreeIPA e quindi seguire le indicazioni di Red Hat.
• Per configurare RedHat IDM, vedere la documentazione di Red Hat.
• Per configurare OpenLDAP, vedere la documentazione di OpenLDAP.
• Per configurare Red Hat Directory Server, seguire la documentazione di Red Hat. Per altre informazioni, vedere Installare Red Hat Directory Server.
• Per configurare Oracle Unified Directory, seguire la documentazione di Oracle Unified Directory.

Configurare la connessione LDAP in Azure NetApp Files

1. Nel portale di Azure selezionare connessioni LDAP all'interno dell'account NetApp.

2. Selezionare + Crea per creare una nuova connessione LDAP.

   

3. Nella finestra Configura connessione LDAP specificare i dettagli connessione:

   

   • Nome di dominio: Il nome di dominio funge da DN di base.

   • Server LDAP: Indirizzo IP del server LDAP.

   • LDAP su TLS: Facoltativamente, selezionare la casella per abilitare LDAP su TLS per la comunicazione sicura.

     Annotazioni

     Per abilitare LDAP su TLS in più server, è necessario generare e installare il certificato comune in ogni server e quindi caricare il certificato ca del server nel portale di Azure.

   • Certificato CA server: Certificato dell'autorità di certificazione. Questa opzione è necessaria se si usa LDAP su TLS.

   • Host CN certificato: Il server dei nomi comune dell'host, ad esempio server.contoso.com.

4. Selezionare il tipo di autenticazione

   • Anonimo: Si connette senza specificare un nome distinto o una password. L'accesso è regolato dai criteri di accesso anonimo del server LDAP.
   • Simple: Autentica utilizzando il DN bind specificato e una password recuperata da un segreto archiviato in Azure Key Vault.

   

5. Nel nome utente Bind DN, specificare il nome distinto dell'account utilizzato per autenticarsi con il server LDAP.
   Esempio: uid=binduser,cn=users,cn=accounts,dc=contoso,dc=com

6. Selezionare il segreto in Azure Key Vault che contiene la password di associazione per l'autenticazione LDAP.

   • Immettere l'URI segreto: È possibile immettere manualmente l'identificatore del segreto.
   • Selezionare da Key Vault: È possibile selezionare il segreto dal Azure Key Vault.

   Vengono visualizzati i Key Vault e il segreto. È possibile fare clic su Cambia selezione per selezionare un altro segreto.

7. Selezionare il tipo di identità usato per accedere al segreto Key Vault. Per configurare un'identità gestita, fare clic su Aggiungi nuova identità nella finestra di modifica e selezionare una delle opzioni seguenti:

   • Assegnata dal sistema: Abilitare l'identità gestita assegnata dal sistema.
   • Assegnata dall'utente: Selezionare o aggiungere un'identità gestita assegnata dall'utente esistente.

   Annotazioni

   L'identità deve disporre almeno del ruolo Key Vault Secrets User nel Key Vault di destinazione.

8. Seleziona Salva.

9. Dopo aver configurato la connessione LDAP, è possibile creare un volume NFS.

Convalidare la connessione LDAP

1. Per convalidare la connessione, naviga alla panoramica del volume utilizzando la connessione LDAP.
2. Selezionare Connessione LDAP e quindi Elenco ID gruppo LDAP.
3. Nel campo Nome utente immettere il nome utente specificato quando è stato configurato il server LDAP. Seleziona Ottieni ID Gruppo. Verificare che gli ID gruppo corrispondano al client e al server.

Per altre informazioni, vedere Troubleshoot user access on LDAP volumes in Azure NetApp Files.

Passaggi successivi

• Informazioni su LDAP
• Informazioni sul mapping dei nomi con LDAP
• Informazioni su come consentire gli utenti NFS locali con l'opzione LDAP
• Informazioni sugli schemi LDAP
• Creare un volume NFS