本頁面將概略介紹如何將 Active Directory 做為 NFS 的 LDAP 伺服器。
如「使用 Active Directory 的應用情境」一文所述,NetApp Volumes 可使用 Active Directory 支援 NFS 擴充群組、NFSv4 安全性 ID 和 Kerberos 主體。這項服務僅支援 Active Directory LDAP 伺服器。如要啟用這些功能,NetApp Volumes 會從 LDAP 伺服器擷取下列資訊:
- UNIX 使用者名稱與 UID 的對應關係
- 將 UNIX 群組名稱對應至 GID
- 與 UID 相關聯的所有 GID (最多 1,024 個)
NetApp Volumes 會使用 RFC2307bis 架構擷取這項資訊。Active Directory 已提供這個結構定義,但您必須填入使用者和群組的必要屬性。
| UNIX 屬性 | LDAP 屬性名稱 |
|---|---|
| 使用者名稱 | uid |
| 使用者 UID | uidNumber |
| 群組名稱 | cn |
| 群組 GID | gidNumber |
如要使用多重通訊協定存取,Windows 使用者名稱必須與 UNIX 使用者名稱相符,才能將 UNIX UID 對應至 Windows SID。
NetApp Volumes 會快取 LDAP 查詢結果。下表說明 LDAP 快取的存留時間 (TTL) 設定。如果快取含有無效資料 (因為您打算修正的設定錯誤),您必須等到快取重新整理,系統才會偵測到 Active Directory 中的變更。否則,NFS 伺服器會繼續使用舊資料驗證存取權,導致用戶端收到權限遭拒通知。TTL 期間過後,項目就會過期,避免項目過時。系統會保留遺失的查閱要求一分鐘 TTL,以避免效能問題。
| 快取 | 預設逾時 |
|---|---|
| 群組成員清單 | 24 小時存留時間 |
| UNIX 群組 (GID) | 24 小時存留時間,2 小時負存留時間 |
| UNIX 使用者 (UID) | 24 小時存留時間,2 小時負存留時間 |