このページでは、NFS の LDAP サーバーとして Active Directory を使用する方法の概要について説明します。
Active Directory の使用例で説明したように、NetApp Volumes は、NFS 拡張グループのサポート、NFSv4 セキュリティ ID、Kerberos プリンシパルに Active Directory を使用できます。Active Directory は、サービスがサポートする唯一の LDAP サーバーです。これらの機能を有効にするため、NetApp Volumes は LDAP サーバーから次の情報を取得します。
- UNIX ユーザー名と UID のマッピング
- UNIX グループ名と GID のマッピング
- UID に関連付けられているすべての GID(最大 1,024 個)
NetApp Volumes は RFC2307bis スキーマを使用してこの情報を取得します。Active Directory にはすでにこのスキーマが用意されていますが、ユーザーとグループに必要な属性を入力する必要があります。
| UNIX 属性 | LDAP 属性名 |
|---|---|
| ユーザー名 | uid |
| ユーザー UID | uidNumber |
| グループ名 | cn |
| グループ GID | gidNumber |
マルチプロトコル アクセスの場合、UNIX UID を Windows SID に一致させるには、Windows ユーザー名が UNIX ユーザー名と一致している必要があります。
NetApp Volumes は LDAP クエリの結果をキャッシュに保存します。次の表に、LDAP キャッシュの有効期間(TTL)の設定を示します。修正する予定の構成ミスによりキャッシュに無効なデータが保持されている場合は、Active Directory の変更が検出されるまでキャッシュが更新されるのを待つ必要があります。そうしないと、NFS サーバーは古いデータを使用してアクセスを検証し続け、クライアントで権限拒否の通知が表示される可能性があります。TTL 期間が経過すると、エントリは期限切れになり、古いエントリが残らないようになります。パフォーマンスの問題を回避するため、欠落したルックアップ リクエストは 1 分間の TTL で保持されます。
| キャッシュ | デフォルトのタイムアウト |
|---|---|
| グループ メンバー リスト | 24 時間の有効期間 |
| UNIX グループ(GID) | 24 時間の有効期間、2 時間の負の有効期間 |
| UNIX ユーザー(UID) | 24 時間の有効期間、2 時間の負の有効期間 |