Configuración de servicios de directorio LDAP para volúmenes NFS de Azure NetApp Files (versión preliminar)

Además de la compatibilidad nativa de Active Directory, Azure NetApp Files admite la integración nativa con servicios de directorio, como FreeIPA, Red Hat Identity Management (IdM), OpenLDAP, Red Hat Directory Server y Oracle Unified Directory (OUD) para servidores de directorio ligeros del protocolo de acceso a directorios (LDAP). Con la compatibilidad nativa con el servidor de directorio LDAP, puede lograr un control de acceso seguro y escalable basado en identidades para volúmenes NFS en entornos Linux.

La integración LDAP de Azure NetApp Files simplifica la administración del acceso al recurso compartido de archivos aprovechando los servicios de directorio de confianza. Admite protocolos NFSv3 y NFSv4.1 y usa la detección basada en registros SRV de DNS para lograr alta disponibilidad y equilibrio de carga entre servidores LDAP. Desde una perspectiva empresarial, esta característica mejora:

• Cumplimiento: la gestión centralizada de identidades respalda la auditabilidad y la implementación de políticas
• Eficiencia: reduce la sobrecarga administrativa mediante la unificación de controles de identidad en sistemas Linux y NTFS
• Seguridad: admite LDAP a través de TLS, asignación de nombres simétricas o asimétricas y pertenencias a grupos extendidos
• Integración sin problemas: funciona con la infraestructura LDAP existente
• Escalabilidad: admite directorios de usuarios y grupos de gran tamaño
• Flexibilidad: compatible con varias implementaciones LDAP

Servicios de directorio compatibles

• FreeIPA: ideal para la administración de identidades segura y centralizada en entornos Linux
• Red Hat IdM: administración centralizada de identidades y acceso en entornos linux
• OpenLDAP: servicio de directorio ligero y flexible para implementaciones personalizadas
• Red Hat Directory Server: servicio LDAP de nivel empresarial con características avanzadas de escalabilidad y seguridad
• Directorio unificado de Oracle: servicio de directorio LDAP de nivel empresarial ideal para ecosistemas de aplicaciones de Oracle, con replicación multimaestro y características de cumplimiento completas

Architecture

En el diagrama siguiente se describe cómo Azure NetApp Files usa operaciones de enlace y búsqueda LDAP para autenticar a los usuarios y aplicar el control de acceso en función de la información del directorio.

La arquitectura implica los siguientes componentes:

• Máquina virtual Linux cliente: inicia una solicitud de montaje NFS para Azure NetApp Files
• Volumen de Azure NetApp Files: recibe la solicitud de montaje y realiza consultas LDAP.
• Servidor de directorio LDAP: responde a solicitudes de enlace o búsqueda con información de usuario y grupo
• Decisión de control de acceso: aplica decisiones de acceso basadas en respuestas LDAP

Flujo de datos

1. Solicitud de montaje: la máquina virtual Linux envía una solicitud de montaje NFSv3 o NFSv4.1 a Azure NetApp Files.
2. Enlace LDAP/Búsqueda: Azure NetApp Files envía una solicitud de enlace/búsqueda al servidor LDAP (FreeIPA, Red Hat IdM, OpenLDAP o RHDS) mediante UID/GID.
3. Respuesta LDAP: el servidor de directorios devuelve atributos de usuario y grupo.
4. Decisión de control de acceso: Azure NetApp Files evalúa la respuesta y concede o deniega el acceso.
5. Acceso de cliente: la decisión se comunica de nuevo al cliente.

Consideraciones

• FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server y Oracle Unified Directory son compatibles con volúmenes NFSv3 y NFSv4.1; actualmente no se admiten con volúmenes de protocolo dual.
• Debe configurar el servidor LDAP antes de crear el volumen.
• Solo puede configurar FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server o Oracle Unified Directory en nuevos volúmenes NFS. No se pueden convertir volúmenes existentes para usar estos servicios de directorio.
• Kerberos no es compatible actualmente con FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server y Oracle Unified Directory.
• De forma predeterminada, el tiempo de vida (TTL) de las entradas positivas y negativas de autenticación de usuarios/grupos en la caché de credenciales de NFS está establecido en 1 hora.
• Debe ponerse en contacto con el soporte técnico de Red Hat (IdM) para cualquier problema de disponibilidad, conectividad o directorio o autenticación de IdM observado directamente en el servidor IdM. Debe ponerse en contacto con el servicio de soporte técnico de NetApp por problemas relacionados con la integración, la configuración o el acceso a Azure NetApp Files.
• Debe ponerse en contacto con el soporte técnico de Oracle para cualquier problema de conectividad LDAP o datos de directorio observados directamente con Oracle Unified Directory. Debe ponerse en contacto con el soporte técnico de NetApp por problemas relacionados con la integración y las operaciones de Azure NetApp Files.

Registrar la característica

La compatibilidad con FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server y Oracle Unified Directory se encuentra actualmente en versión preliminar. Antes de conectar los volúmenes NFS a uno de estos servidores de directorios, debe registrar la característica:

1. Registre la característica:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

2. Compruebe el estado del registro de la característica:

   Nota:

   RegistrationState puede permanecer en estado Registering durante hasta 60 minutos antes de cambiar a Registered. Espere hasta que el estado sea Registered antes de continuar.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

También puede usar los comandos de la CLI de Azureaz feature register para registrar la característica y mostrar el estado de registro.

Creación del servidor LDAP

Primero debe crear el servidor LDAP para poder conectarlo a Azure NetApp Files. Siga las instrucciones del servidor correspondiente:

• Para configurar FreeIPA, consulte la Guía de inicio rápido de FreeIPA y siga las instrucciones de Red Hat.
• Para configurar RedHat IDM, consulte la documentación de Red Hat.
• Para configurar OpenLDAP, consulte la documentación de OpenLDAP.
• Para configurar Red Hat Directory Server, siga la documentación de Red Hat. Para obtener más información, consulte Instalación de Red Hat Directory Server.
• Para configurar Oracle Unified Directory, siga la documentación de Oracle Unified Directory.

Configuración de la conexión LDAP en Azure NetApp Files

1. En el portal de Azure, seleccione LDAP connections en la cuenta de NetApp.

2. Seleccione + Crear para crear una nueva conexión LDAP.

   

3. En la ventana Configurar conexión LDAP, proporcione los detalles de conexión:

   

   • Nombre de dominio: El nombre de dominio actúa como DN base.

   • Servidores LDAP: Dirección IP del servidor LDAP.

   • LDAP a través de TLS: Opcionalmente, active la casilla para habilitar LDAP a través de TLS para la comunicación segura.

     Nota:

     Para habilitar LDAP a través de TLS en varios servidores, debe generar e instalar el certificado común en cada servidor y, a continuación, cargar el certificado de CA del servidor en el portal de Azure.

   • Certificado CA del servidor: El certificado de la autoridad de certificación. Esta opción es necesaria si usa LDAP a través de TLS.

   • Host de CN de certificado: el servidor de nombres común del host, por ejemplo, server.contoso.com.

4. Seleccione el tipo de autenticación.

   • Anónimo: Se conecta sin proporcionar un nombre distintivo ni una contraseña. El acceso se rige por las directivas de acceso anónimo del servidor LDAP.
   • Simple: Utiliza el DN de vinculación especificado y una contraseña obtenida de un secreto almacenado en Azure Key Vault para autenticarse.

   

5. En bind DN username (Nombre de usuario de bind DN), especifique el nombre distintivo de la cuenta usada para autenticarse con el servidor LDAP.
   Ejemplo: uid=binduser,cn=users,cn=accounts,dc=contoso,dc=com

6. Seleccione el secreto en Azure Key Vault que contiene la contraseña de enlace para la autenticación LDAP.

   • Introduzca el URI del secreto: Puede introducir manualmente el identificador del secreto.
   • Seleccionar de Key Vault: puede seleccionar el secreto desde Azure Key Vault.

   Se muestran el almacén de claves y el secreto. Puede hacer clic en Cambiar selección para seleccionar otro secreto.

7. Seleccione el tipo de identidad usado para acceder al secreto de Key Vault. Para configurar una identidad administrada, haga clic en Agregar nueva identidad en la ventana de edición y seleccione una de las siguientes opciones:

   • Asignado por el sistema: Habilite la identidad administrada asignada por el sistema.
   • Asignado por el usuario: Seleccione o agregue una identidad administrada asignada por el usuario existente.

   Nota:

   A la identidad se le debe conceder como mínimo el rol Usuario de secretos de Key Vault en el Key Vault de destino.

8. Haga clic en Guardar.

9. Una vez configurada la conexión LDAP, puede crear un volumen NFS.

Validación de la conexión LDAP

1. Para validar la conexión, vaya al resumen del volumen mediante la conexión LDAP.
2. Seleccione Conexión LDAP y, a continuación, Lista de identificadores de grupo LDAP.
3. En el campo Nombre de usuario, escriba el nombre de usuario proporcionado al configurar el servidor LDAP. Seleccione Obtener identificadores de grupo. Asegúrese de que los identificadores de grupo coinciden con el cliente y el servidor.

Para obtener más información, consulte Solucionar problemas de acceso de usuarios en volúmenes LDAP en Azure NetApp Files.

Pasos siguientes

• Descripción de LDAP
• Descripción de la asignación de nombres mediante LDAP
• Descripción de la opción permitir usuarios de NFS locales con LDAP
• Descripción de los esquemas LDAP
• Creación de volúmenes NFS