Cette page explique comment utiliser Active Directory comme serveur LDAP pour NFS.
Comme décrit dans Cas d'utilisation d'Active Directory, NetApp Volumes peut utiliser Active Directory pour la compatibilité avec les groupes étendus NFS, les identifiants de sécurité NFSv4 et les principaux Kerberos. Active Directory est le seul serveur LDAP compatible avec le service. Pour activer ces fonctionnalités, NetApp Volumes récupère les informations suivantes sur le serveur LDAP :
- Mappage du nom d'utilisateur UNIX à l'UID
- Mappage du nom de groupe UNIX à l'identifiant GID
- Tous les GID associés à un UID (jusqu'à 1 024)
NetApp Volumes utilise le schéma RFC2307bis pour récupérer ces informations. Active Directory fournit déjà ce schéma, mais vous devez renseigner les attributs requis pour vos utilisateurs et groupes.
| Attribut UNIX | Nom de l'attribut LDAP |
|---|---|
| Nom d'utilisateur | uid |
| ID utilisateur | uidNumber |
| Nom du groupe | cn |
| GID du groupe | gidNumber |
Pour l'accès multiprotocole, le nom d'utilisateur Windows doit correspondre au nom d'utilisateur UNIX afin de faire correspondre les UID UNIX aux SID Windows.
NetApp Volumes met en cache les résultats des requêtes LDAP. Le tableau suivant décrit les paramètres de durée de vie (TTL) du cache LDAP. Si le cache contient des données non valides en raison de configurations incorrectes que vous prévoyez de corriger, vous devez attendre que le cache soit actualisé pour que vos modifications dans Active Directory soient détectées. Sinon, le serveur NFS continue d'utiliser les anciennes données pour vérifier l'accès, ce qui peut entraîner des notifications d'autorisation refusée sur le client. Une fois la période TTL écoulée, les entrées expirent pour éviter que les entrées obsolètes ne s'attardent. Les demandes de recherche manquantes sont conservées pendant une minute (TTL) pour éviter les problèmes de performances.
| Cache | Délai avant expiration par défaut |
|---|---|
| Liste des membres du groupe | Durée de conservation de 24 heures |
| Groupes UNIX (GID) | Durée de vie de 24 heures, durée de vie négative de 2 heures |
| Utilisateurs UNIX (UID) | Durée de vie de 24 heures, durée de vie négative de 2 heures |
Étape suivante
Gérez les règles relatives aux clés de chiffrement gérées par le client.