LDAP を使用してグループ メンバーシップを制御し、NFS ユーザーの補足グループを返すことができます。 この動作は、LDAP サーバーのスキーマ属性によって制御されます。
プライマリ GID
Azure NetApp Files でユーザーを適切に認証できるようにするには、LDAP ユーザーには常にプライマリ GID が定義されている必要があります。 ユーザーのプライマリ GID は、LDAP サーバーのスキーマ gidNumber によって定義されます。
セカンダリ、追加、補助 GID
セカンダリ グループ、補助グループ、および補助グループは、ユーザーがプライマリ GID の外部のメンバーであるグループです。 Azure NetApp Files では、LDAP は Microsoft Active Directory を使用して実装され、補助グループは標準の Windows グループ メンバーシップ ロジックを使用して制御されます。
ユーザーが Windows グループに追加されると、そのグループのメンバーであるユーザーの識別名 (DN) を持つ LDAP スキーマ属性 Member がグループに設定されます。 ユーザーのグループ メンバーシップが Azure NetApp Files によって照会されると、すべてのグループの Member 属性でユーザーの DN に対して LDAP 検索が実行されます。 UNIX gidNumber とユーザーの DN を持つすべてのグループが検索で返され、ユーザーの補足グループ メンバーシップとして設定されます。
次の例は、グループの Member フィールドにユーザーの DN が入力された Active Directory からの出力と、 ldp.exeを使用して実行される以降の LDAP 検索を示しています。
次の例は、Windows グループ メンバー フィールドを示しています。
![[Windows グループ メンバー] フィールドを示すスクリーンショット。](media/network-file-system-group-memberships/windows-group-member-field.png#lightbox)
次の例は、LDAPsearchがメンバーであるすべてのグループのUser1を示しています。
ボリューム メニューの [サポートとトラブルシューティング] の下にある [LDAP グループ ID リスト] リンクを選択して、Azure NetApp Files のユーザーのグループ メンバーシップを照会することもできます。
NFS でのグループの制限
NFS のリモート プロシージャ コール (RPC) には、1 つの NFS 要求で受け入れることができる補助 GID の最大数に固有の制限があります。
AUTH_SYS/AUTH_UNIXの最大値は 16 で、AUTH_GSS (Kerberos) の場合は 32 です。 このプロトコルの制限は、Azure NetApp Files だけでなく、すべての NFS サーバーに影響します。 ただし、最新の NFS サーバーとクライアントの多くには、これらの制限を回避する方法が含まれています。
Azure NetApp Files でこの NFS 制限を回避するには、 NFS ボリュームに対する Active Directory Domain Services (AD DS) LDAP 認証を有効にする方法に関するページを参照してください。
グループ制限の拡張のしくみ
グループ制限を拡張するオプションは、他の NFS サーバーの manage-gids オプションと同じように機能します。 基本的に、ユーザーが属している補助 GID のリスト全体をダンプするのではなく、このオプションはファイルまたはフォルダーで GID の検索を実行し、代わりにその値を返します。
次の例は、16 GID の RPC パケットを示しています。
16 の制限を超えている GID は、プロトコルによって削除されます。 Azure NetApp Files の拡張グループでは、新しい NFS 要求が発生すると、ユーザーのグループ メンバーシップに関する情報が要求されます。
Active Directory LDAP を使用した拡張 GID に関する考慮事項
既定では、Microsoft Active Directory LDAP サーバーでは、 MaxPageSize 属性は既定値の 1,000 に設定されます。 この設定は、1,000 を超えるグループが LDAP クエリで切り捨てられることを意味します。 拡張グループの 1,024 値で完全なサポートを有効にするには、1,024 値を反映するように MaxPageSize 属性を変更する必要があります。 その値を変更する方法については、Microsoft TechNet の記事「 Ntdsutil.exeを使用して Active Directory で LDAP ポリシーを表示および設定する方法」および TechNet ライブラリの記事 「MaxPageSize が高すぎます」を参照してください。
次のステップ
- NFS ボリュームの Active Directory Domain Services (AD DS) LDAP 認証を有効にする
- Azure NetApp Files のファイル ロックとロックの種類について理解する
- Azure NetApp Files のデュアルプロトコル セキュリティ スタイルとアクセス許可の動作について
- Azure NetApp Files での LDAP の使用について
- Azure NetApp Files の NFS に関する FAQ
- NFS ボリュームの Active Directory Domain Services (AD DS) LDAP 認証を有効にする