配置LDAP域

概述

轻量级目录访问协议（Lightweight Directory Access Protocol，LDAP），是对目录服务器（Directory Server）进行访问、控制的一种标准协议。LDAP服务器可以集中式地管理用户和群组的归属关系，通过绑定LDAP服务器，当一个用户访问您的文件系统的文件时，SFS Turbo将会访问您的LDAP服务器以进行用户身份验证，并且获取用户和群组的归属关系，从而进行Linux标准的文件UGO权限的检查。要使用此功能，首先您需要搭建好LDAP服务器（当前SFS Turbo仅支持LDAP v3协议），常见提供LDAP协议访问的目录服务器实现有OpenLdap（Linux），Active Directory（Windows）等，不同目录服务器的实现细节有所差别，绑定时需要指定对应的Schema（Schema配置错误将会导致SFS Turbo无法正确获取用户以及群组信息，可能导致无权限访问文件系统内文件），当前SFS Turbo支持的Schema有：

RFC2307（Openldap通常选择此Schema）
MS-AD-BIS（Active Directory通常选择此Schema，支持RFC2307bis，支持嵌套的群组）

SFS Turbo还支持配置主备LDAP服务器，当您的一台LDAP服务器故障无法访问后，SFS Turbo将会自动切换到备LDAP服务器访问，以免影响您的业务。如果所有配置的LDAP服务器都不可连通，则所有用户都会失去访问权限。

如果系统已对接 LDAP 服务器，SFS Turbo将不会对未在LDAP中配置的用户授予任何权限。

使用限制

仅支持NFS协议类型的SFS Turbo文件系统配置LDAP域。
在SFS Turbo对接LDAP服务器后，单个用户最多支持加入512个用户组。
在SFS Turbo对接LDAP服务器后，任何未存在于该LDAP服务器中的用户，其访问请求均会被系统拒绝。
在SFS Turbo对接LDAP服务器后，SFS Turbo将完全依据LDAP服务器中的配置信息来确定用户的组成员身份。本地的用户组信息将不再有效。
在SFS Turbo对接LDAP服务器之前，确保所有需要通过SFS Turbo访问资源的用户已存在于LDAP服务器中，且已分配至正确的用户组。

加域操作步骤

登录SFS Turbo管理控制台。
单击“SFS Turbo > 文件系统列表”，进入SFS Turbo文件系统列表中。
找到待加域的NFS协议类型的SFS Turbo文件系统并单击目标SFS Turbo文件系统名称，进入SFS Turbo文件系统详情界面。
单击“LDAP域”页签，进入LDAP域配置页面。
单击“加域”。

图1 LDAP域配置页面

填写LDAP域配置信息，单击“确定”。

图2 填写配置信息

表1 参数说明
参数名称	说明
主服务器地址	必填参数。 LDAP服务器的url。格式为ldap://{ip_address}:{port_number}或ldaps://{ip_address}:{port_number}的服务器地址，例如ldap://192.168.xx.xx:60000。
备服务器地址	选填参数。 LDAP备服务器的url。格式为ldap://{ip_address}:{port_number}或ldaps://{ip_address}:{port_number}的服务器地址，例如ldap://192.168.xx.xx:60000。
基准DN	必填参数。指定LDAP进行搜索的起始DN，即从该DN下开始搜索。
绑定DN	选填参数。服务器的绑定目录。客户端发起连接请求与LDAP服务器建立会话，这一过程被称为绑定。在建立绑定时客户端通常需要指定访问账号，以便能够访问服务器上的目录信息。用户访问内容必须通过绑定目录来进行查找。
VPC ID	选填参数。在SFS Turbo支持多VPC的场景下，需要指定LDAP服务器可连通的VPC ID。
LDAP认证密码	选填参数。 LDAP认证密码。
Schema	选填参数。 LDAP模板信息。支持选择RFC2307或MS-AD-BIS。如果您提供LDAP服务的服务器为AD域，请选择MS-AD-BIS，否则后续操作将提示权限不足。
LDAP搜索的超时时间（秒）	选填参数。 SFS Turbo到用户LDAP服务器的查找超时时间。最多选择30秒。
故障时允许使用本地用户鉴权	勾选该参数。

等待片刻后， NFS协议类型的SFS Turbo文件系统的LDAP域配置页面显示主服务器地址、备服务器地址、LDAP配置任务类型、LDAP配置任务状态、基准DN、绑定DN、VPC ID、Schema、LDAP搜索的超时时间、故障时允许使用本地用户鉴权等信息，表明加域成功。

图3 加域成功的展示信息