NFS grup üyeliklerini ve ek grupları anlama

  • Makale

Grup üyeliğini denetlemek ve NFS kullanıcılarına ek gruplar döndürmek için LDAP kullanabilirsiniz. Bu davranış LDAP sunucusundaki şema öznitelikleri aracılığıyla denetlenmektedir.

Birincil GID

Azure NetApp Files'ın bir kullanıcının kimliğini düzgün bir şekilde doğrulayabilmesi için LDAP kullanıcılarının her zaman birincil GID tanımlı olması gerekir. Kullanıcının birincil GID değeri LDAP sunucusundaki şema gidNumber tarafından tanımlanır.

İkincil, tamamlayıcı ve yardımcı GID'ler

İkincil, tamamlayıcı ve yardımcı gruplar, kullanıcının birincil GID dışında üyesi olduğu gruplardır. Azure NetApp Files'da LDAP, Microsoft Active Directory kullanılarak uygulanır ve ek gruplar standart Windows grup üyeliği mantığı kullanılarak denetlenilir.

Bir kullanıcı bir Windows grubuna eklendiğinde, LDAP şema özniteliği Member grupta o grubun üyesi olan kullanıcının ayırt edici adıyla (DN) doldurulur. Bir kullanıcının grup üyeliği Azure NetApp Files tarafından sorgulandığında, tüm grupların Member özniteliğinde kullanıcının DN'sine yönelik bir LDAP araması yapılır. UNIX gidNumber ve kullanıcının DN'sine sahip tüm gruplar aramada döndürülür ve kullanıcının ek grup üyelikleri olarak doldurulur.

Aşağıdaki örnekte, active Directory'den bir grubun alanında kullanıcının DN'sinin doldurularak Member çıkışı ve kullanılarak ldp.exeyapılan sonraki LDAP araması gösterilmektedir.

Aşağıdaki örnekte Windows grup üyesi alanı gösterilmektedir:

Screenshot that shows the Windows group member field.

Aşağıdaki örnekte üye olan User1 tüm gruplar gösterilmektedirLDAPsearch:

Screenshot that shows the search of a user named `User1`.

Azure NetApp Files'da bir kullanıcının grup üyeliklerini sorgulamak için birim menüsünde destek + sorun giderme altında LDAP Grup Kimliği Listesi bağlantısını seçebilirsiniz.

Screenshot that shows the query of group memberships by using the **LDAP Group ID List** link.

NFS'de grup sınırları

NFS'deki Uzaktan Yordam Çağrısı (RPC), tek bir NFS isteğinde kabul edilebilecek maksimum yardımcı GID sayısı için belirli bir sınırlamaya sahiptir. için AUTH_SYS/AUTH_UNIX en fazla 16, AUTH_GSS (Kerberos) için ise 32'dir. Bu protokol sınırlaması yalnızca Azure NetApp Files'ın değil tüm NFS sunucularını etkiler. Ancak, birçok modern NFS sunucusu ve istemcisi bu sınırlamaları geçici olarak çözmek için yollar içerir.

Azure NetApp Files'daki bu NFS sınırlamasını geçici olarak çözmek için bkz. NFS birimleri için Active Directory Etki Alanı Hizmetleri (AD DS) LDAP kimlik doğrulamasını etkinleştirme.

Grup sınırlamasını genişletme nasıl çalışır?

Grup sınırlamasını genişletme seçenekleri, diğer NFS sunucuları için seçeneğin manage-gids çalıştığı şekilde çalışır. Temel olarak, kullanıcının ait olduğu yardımcı GID listesinin tamamının dökümünü almak yerine, bu seçenek dosya veya klasörde GID için bir arama gerçekleştirir ve bunun yerine bu değeri döndürür.

Aşağıdaki örnekte 16 GID içeren RPC paketi gösterilmektedir.

Screenshot that shows RPC packet with 16 GIDs.

16 sınırını aşan tüm GID protokol tarafından bırakılır. Azure NetApp Files'daki genişletilmiş gruplarda yeni bir NFS isteği geldiğinde kullanıcının grup üyeliği hakkında bilgi istenir.

Active Directory LDAP ile genişletilmiş GID'ler için dikkat edilmesi gerekenler

Varsayılan olarak, Microsoft Active Directory LDAP sunucularında MaxPageSize öznitelik varsayılan olarak 1.000 olarak ayarlanır. Bu ayar, LDAP sorgularında 1.000'in üzerindeki grupların kesileceği anlamına gelir. Genişletilmiş gruplar için 1.024 değeriyle tam desteği etkinleştirmek için özniteliğin MaxPageSize 1.024 değerini yansıtacak şekilde değiştirilmesi gerekir. Bu değeri değiştirme hakkında bilgi için Microsoft TechNet makalesine, Ntdsutil.exe Kullanarak Active Directory'de LDAP İlkesini Görüntüleme ve Ayarlama makalesine ve MaxPageSize Çok Yüksek Olarak Ayarlandı TechNet kitaplık makalesine bakın.

Sonraki adımlar