你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
可以使用 LDAP 控制组成员身份并为 NFS 用户返回补充组。 此行为通过 LDAP 服务器中的架构属性进行控制。
主要 GID
若要使 Azure NetApp 文件能够正确对用户进行身份验证,LDAP 用户必须始终定义主 GID。 用户的主要 GID 由 LDAP 服务器中的架构 gidNumber 定义。
次要、补充和辅助 GID
次要组、补充组和辅助组是用户所属的位于其主要 GID 外部的组。 在 Azure NetApp 文件中,LDAP 是使用 Microsoft Active Directory 实现的,而补充组则使用标准 Windows 组成员身份逻辑进行控制。
将用户添加到 Windows 组时,LDAP 架构属性 Member 将使用该组成员的用户的可分辨名称(DN)填充该组。 当 Azure NetApp 文件查询用户的组成员身份时,会对所有组进行 LDAP 搜索,以查询用户在这些组的 Member 属性中的 DN。 具有 UNIX gidNumber 和用户 DN 的所有组都会在搜索中返回,并填充为用户的补充组成员身份。
以下示例显示了 Active Directory 的输出,其中用户的 DN 已填充到 Member 组的字段内,并通过 ldp.exe 进行后续的 LDAP 搜索。
以下示例显示了 Windows 组成员字段:
以下示例显示了 LDAPsearch 所属的所有组的 User1:
还可以通过在卷菜单上的“支持 + 故障排除”下选择“LDAP 组 ID 列表”链接来查询 Azure NetApp 文件中用户的组成员身份。
NFS 中的组限制
NFS 中的远程过程调用(RPC)对于单个 NFS 请求中可以遵循的最大辅助 GID 数有一个特定限制。 最大值 AUTH_SYS/AUTH_UNIX 为 16,对于 AUTH_GSS (Kerberos),则为 32。 此协议限制会影响所有 NFS 服务器 - 而不仅仅是 Azure NetApp 文件。 但是,许多新式 NFS 服务器和客户端包括解决这些限制的方法。
若要解决 Azure NetApp 文件中的此 NFS 限制,请参阅 为 NFS 卷启用 Active Directory 域服务 (AD DS) LDAP 身份验证。
扩展组限制的工作原理
扩展组限制的选项的工作方式与其他 NFS 服务器的选项的工作方式相同 manage-gids 。 基本上,该选项不是输出用户所属的辅助 GID 的完整列表,而是对文件或文件夹执行 GID 查找并返回相应的值。
以下示例显示了包含 16 个 GID 的 RPC 数据包。
协议删除超过 16 限制的任何 GID。 在 Azure NetApp 文件中使用扩展组时,当新的 NFS 请求传入时,会请求有关用户的组成员身份的信息。
关于使用 Active Directory LDAP 扩展 GID 的注意事项
默认情况下,在 Microsoft Active Directory LDAP 服务器中,该 MaxPageSize 属性设置为默认值 1,000。 此设置意味着 LDAP 查询中将截断超过 1,000 的组。 若要为扩展组启用对 1,024 值的完全支持, MaxPageSize 必须修改该属性以反映 1,024 值。 有关如何更改该值的信息,请参阅 Microsoft TechNet 文章 如何使用 Ntdsutil.exe查看和设置 Active Directory 中的 LDAP 策略 和 TechNet 库文章 MaxPageSize 设置过高。