配置LDAP域

概述

轻量级目录访问协议（Lightweight Directory Access Protocol，LDAP），是对目录服务器（Directory Server）进行访问、控制的一种标准协议。LDAP服务器可以集中式地管理用户和群组的归属关系，通过绑定LDAP服务器，当一个用户访问您的文件系统的文件时，SFS Turbo将会访问您的LDAP服务器以进行用户身份验证，并且获取用户和群组的归属关系，从而进行Linux标准的文件UGO权限的检查。要使用此功能，首先您需要搭建好LDAP服务器（当前SFS Turbo仅支持LDAP v3协议），常见提供LDAP协议访问的目录服务器实现有OpenLdap（Linux），Active Directory（Windows）等，不同目录服务器的实现细节有所差别，绑定时需要指定对应的Schema（Schema配置错误将会导致SFS Turbo无法正确获取用户以及群组信息，可能导致无权限访问文件系统内文件），当前SFS Turbo支持的Schema有：

RFC2307（Openldap通常选择此Schema）
MS-AD-BIS（Active Directory通常选择此Schema，支持RFC2307bis，支持嵌套的群组）

SFS Turbo还支持配置主备LDAP服务器，当您的一台LDAP服务器故障无法访问后，SFS Turbo将会自动切换到备LDAP服务器访问，以免影响您的业务。如果所有配置的LDAP服务器都不可连通，则所有用户都会失去访问权限。

如果系统已对接 LDAP 服务器，SFS Turbo将不会对未在LDAP中配置的用户授予任何权限。

使用限制

仅支持NFS协议类型的SFS Turbo文件系统配置LDAP域。
在SFS Turbo对接LDAP服务器后，单个用户最多支持加入512个用户组。
在SFS Turbo对接LDAP服务器后，任何未存在于该LDAP服务器中的用户，其访问请求均会被系统拒绝。
在SFS Turbo对接LDAP服务器后，SFS Turbo将完全依据LDAP服务器中的配置信息来确定用户的组成员身份。本地的用户组信息将不再有效。
在SFS Turbo对接LDAP服务器之前，确保所有需要通过SFS Turbo访问资源的用户已存在于LDAP服务器中，且已分配至正确的用户组。

加域操作步骤

登录SFS Turbo控制台。
在进入SFS Turbo文件系统列表中，找到待加域的NFS协议类型的SFS Turbo文件系统并单击目标SFS Turbo文件系统名称，进入SFS Turbo文件系统详情界面。
单击“LDAP域”页签，进入LDAP域配置页面。
单击“加域”。

图1 LDAP域配置页面

填写LDAP域配置信息，单击“确定”。

图2 填写配置信息

表1 参数说明
参数名称	说明
主服务器地址	必填参数。 LDAP服务器的url。格式为ldap://{ip_address}:{port_number}或ldaps://{ip_address}:{port_number}的服务器地址，例如ldap://192.168.xx.xx:60000。
备服务器地址	选填参数。 LDAP备服务器的url。格式为ldap://{ip_address}:{port_number}或ldaps://{ip_address}:{port_number}的服务器地址，例如ldap://192.168.xx.xx:60000。
基准DN	必填参数。指定LDAP进行搜索的起始DN，即从该DN下开始搜索。
绑定DN	选填参数。服务器的绑定目录。客户端发起连接请求与LDAP服务器建立会话，这一过程被称为绑定。在建立绑定时客户端通常需要指定访问账号，以便能够访问服务器上的目录信息。用户访问内容必须通过绑定目录来进行查找。
VPC ID	选填参数。在SFS Turbo支持多VPC的场景下，需要指定LDAP服务器可连通的VPC ID。
LDAP认证密码	选填参数。 LDAP认证密码。
Schema	选填参数。 LDAP模板信息。支持选择RFC2307或MS-AD-BIS。如果您提供LDAP服务的服务器为AD域，请选择MS-AD-BIS，否则后续操作将提示权限不足。
LDAP搜索的超时时间（秒）	选填参数。 SFS Turbo到用户LDAP服务器的查找超时时间。最多选择30秒。
故障时允许使用本地用户鉴权	勾选该参数。

等待片刻后， NFS协议类型的SFS Turbo文件系统的LDAP域配置页面显示主服务器地址、备服务器地址、LDAP配置任务类型、LDAP配置任务状态、基准DN、绑定DN、VPC ID、Schema、LDAP搜索的超时时间、故障时允许使用本地用户鉴权等信息，表明加域成功。

图3 加域成功的展示信息