本页简要介绍了如何将 Active Directory 用作 NFS 的 LDAP 服务器。
如使用 Active Directory 的应用场景中所述,NetApp Volumes 可以使用 Active Directory 来支持 NFS 扩展组、NFSv4 安全标识符和 Kerberos 正文。Active Directory 是该服务支持的唯一 LDAP 服务器。为了启用这些功能,NetApp Volumes 会从 LDAP 服务器提取以下信息:
- UNIX 用户名与 UID 的映射
- 从 UNIX 群组名称到 GID 的映射
- 与 UID 关联的所有 GID(最多 1,024 个)
NetApp Volumes 使用 RFC2307bis 架构来提取此信息。Active Directory 已提供此架构,但您必须为用户和群组填充必需的属性。
| UNIX 属性 | LDAP 属性名称 |
|---|---|
| 用户名 | uid |
| 用户的 UID | uidNumber |
| 群组名称 | cn |
| 群组 GID | gidNumber |
对于多协议访问,Windows 用户名必须与 UNIX 用户名一致,才能将 UNIX UID 与 Windows SID 相匹配。
NetApp Volumes 会缓存 LDAP 查询的结果。下表介绍了 LDAP 缓存的存留时间 (TTL) 设置。如果缓存因您打算修正的错误配置而包含无效数据,您必须等到缓存刷新后,系统才会检测到您在 Active Directory 中的更改。否则,NFS 服务器会继续使用旧数据来验证访问权限,这可能会导致客户端收到“权限遭拒”通知。在 TTL 期限过后,条目会过期,这样就不会有过时的条目留存。丢失的查找请求会保留 1 分钟的 TTL,以帮助避免性能问题。
| 缓存 | 默认超时时间 |
|---|---|
| 群组成员列表 | 24 小时存留时间 |
| UNIX 群组 (GID) | 24 小时存留时间,2 小时负存留时间 |
| UNIX 用户 (UID) | 24 小时存留时间,2 小时负存留时间 |