Auf dieser Seite finden Sie einen Überblick darüber, wie Sie Active Directory als LDAP-Server für NFS verwenden.
Wie unter Anwendungsfälle für die Verwendung von Active Directory beschrieben, können NetApp-Volumes Active Directory für die Unterstützung von erweiterten NFS-Gruppen, NFSv4-Sicherheits-IDs und Kerberos-Principals verwenden. Active Directory ist der einzige LDAP-Server, der vom Dienst unterstützt wird. Um diese Funktionen zu aktivieren, ruft NetApp Volumes die folgenden Informationen vom LDAP-Server ab:
- Zuordnung von UNIX-Nutzernamen zu UID
- Zuordnung von UNIX-Gruppennamen zu GIDs
- Alle mit einer UID verknüpften Gruppen-IDs (bis zu 1.024)
NetApp Volumes verwendet das RFC2307bis-Schema, um diese Informationen abzurufen. Dieses Schema ist bereits in Active Directory vorhanden. Sie müssen jedoch die erforderlichen Attribute für Ihre Nutzer und Gruppen ausfüllen.
| UNIX-Attribut | Name des LDAP-Attributs |
|---|---|
| Nutzername | uid |
| Nutzer-UID | uidNumber |
| Gruppenname | cn |
| Gruppen-GID | gidNumber |
Für den Zugriff über mehrere Protokolle muss der Windows-Nutzername mit dem UNIX-Nutzernamen übereinstimmen, damit UNIX-UIDs Windows-SIDs zugeordnet werden können.
NetApp Volumes speichert die Ergebnisse von LDAP-Abfragen im Cache. In der folgenden Tabelle werden die TTL-Einstellungen (Time-to-Live) für den LDAP-Cache beschrieben. Wenn der Cache aufgrund von Fehlkonfigurationen, die Sie beheben möchten, ungültige Daten enthält, müssen Sie warten, bis der Cache aktualisiert wird, bevor Ihre Änderungen in Active Directory erkannt werden. Andernfalls verwendet der NFS-Server weiterhin die alten Daten, um den Zugriff zu prüfen, was zu Benachrichtigungen über verweigerte Berechtigungen auf dem Client führen kann. Nach Ablauf des TTL-Zeitraums werden Einträge entfernt, damit keine veralteten Einträge verbleiben. Fehlende Lookup-Anfragen werden für eine TTL von einer Minute beibehalten, um Leistungsprobleme zu vermeiden.
| Cache | Standardzeitlimit |
|---|---|
| Liste der Gruppenmitglieder | 24-Stunden-Gültigkeitsdauer |
| UNIX-Gruppen (GID) | 24 Stunden Gültigkeitsdauer, 2 Stunden negative Gültigkeitsdauer |
| UNIX-Nutzer (UID) | 24 Stunden Gültigkeitsdauer, 2 Stunden negative Gültigkeitsdauer |
Nächste Schritte
Richtlinien für kundenverwaltete Verschlüsselungsschlüssel verwalten