PowerScale : OneFS : comment configurer OneFS et Active Directory pour la conformité RFC 2307

RFC 2307 vous permet de mettre en œuvre l’authentification unifiée pour les comptes UNIX et Active Directory en associant des attributs UNIX à un objet Active Directory.

Windows Server prenait en charge certaines variations de ces extensions de schéma dans les versions antérieures à Windows 2003 R2 en utilisant Microsoft Services pour UNIX. Windows 2003 R2 et les versions ultérieures offrent une prise en charge RFC 2307 complète. Cela signifie que les attributs UNIX standard sont disponibles dans les schémas de domaines créés avec Windows 2003 R2 et versions ultérieures.

Cet article s’applique aux versions 6.5 et supérieures de OneFS.

Contrairement aux SID, les UID et les GID n’ont pas de composant de domaine. Par conséquent, OneFS ne peut pas déterminer le domaine à rechercher dans un environnement multidomaine. La solution consiste à répliquer ces informations dans le catalogue global de manière à n’interroger qu’une seule source d’informations par forêt. L’indexation de ces informations est nécessaire pour améliorer les performances, car OneFS effectue fréquemment ces recherches. La réplication des attributs RFC 2307 (uidNumber et gidNumber) est obligatoire, car les recherches d’UID et de GID utilisent exclusivement le catalogue global. Si les attributs ne sont pas répliqués, les recherches d’UID et de GID qui ne sont pas mis en cache ne donnent pas de résultats et certaines fonctions telles que map-lookup-uid risquent de ne pas fonctionner correctement.
 

Cet article fournit les procédures suivantes :

• Procédure de configuration d’un cluster existant pour la conformité RFC 2307 (dans le cas où le cluster contient déjà des utilisateurs disposant d’UID et de GID LDAP, NIS ou UNIX)
• Procédure de configuration d’un nouveau cluster pour la conformité RFC 2307

Procédure de configuration d’un cluster existant pour la conformité RFC 2307

OneFS intègre des avancées et des règles de mappage des utilisateurs qui facilitent la convergence des utilisateurs LDAP, NIS et locaux avec les utilisateurs et les groupes Active Directory. Au lieu de convertir l’intégralité d’une infrastructure d’authentification en RFC 2307, vous pouvez utiliser une règle de mappage des utilisateurs pour obtenir le même résultat. Nous vous recommandons de procéder de la manière suivante :

1. Activez le fournisseur Active Directory pour utiliser RFC 2307.
2. Implémentez une ou plusieurs règles de mappage des utilisateurs. Pour ajouter des règles, dans l’interface d’administration Web de OneFS, cliquez sur File Sharing > Advanced > User Mapping Rules.

Procédure de configuration d’un nouveau cluster pour la conformité RFC 2307

Cette procédure contient les étapes suivantes :

1. Phase 1 : Configurer Active Directory
2. Phase 2 : Ajouter des UID aux comptes dans Active Directory (si ce n’est pas déjà fait)
3. Phase 3 : Ajouter des GID aux comptes dans Active Directory (si ce n’est pas déjà fait)
4. Phase 4 : Ajouter le cluster à Active Directory
5. Phase 5 : Désactiver l’attribution d’UID et de GID sur le cluster
6. Phase 6 : Activer RFC 2307 sur le cluster
7. Phase 7 : Vérifier le jeton de mappage à partir de l’interface de ligne de commande.

Phase 1 : Configurer Active Directory

Configurez Active Directory pour autoriser les requêtes de recherche sur les UID, les GID et les alias en publiant les attributs RFC 2307 dans le catalogue global :

1. Connectez-vous à Windows Server Active Directory à l’aide d’un compte administrateur.
2. Chargez l’extension Schéma Active Directory.

   Remarque : pour installer l’extension Schéma Active Directory, voir les articles Microsoft TechNet suivants :

   • Pour Windows Server 2008 R2 et Windows Server 2012, voir Installation de l’extension Schéma Active Directory (en anglais)
   • Pour Windows Server 2003 R2, voir Installation de l’extension Schéma Active Directory (en anglais)
3. Sélectionnez le dossier Attributs, puis dans le volet de droite, ouvrez la boîte de dialogue Properties. Assurez-vous que les cases à cocher suivantes sont sélectionnées pour chaque attribut répertorié ci-dessous :

   ATTENTION : ne modifiez aucune autre case à cocher.

   • uid : cochez les cases Replicate this attribute to the global catalog et Index this attribute.
   • uidNumber : cochez les cases Replicate this attribute to the global catalog et Index this attribute.
   • gidNumber : cochez les cases Replicate this attribute to the global catalog et Index this attribute.

  Les attributs sont répliqués dans le catalogue global. Selon la configuration de votre système, ce processus peut prendre jusqu’à 24 heures.

Sous Windows Server 2008R2 et versions antérieures :

Phase 2 : Ajouter des UID aux comptes dans Active Directory (si ce n’est pas déjà fait).

1. Connectez-vous au domain controller.
2. Cliquez sur Start > Administrative Tools > Active Directory Users and Computers.
3. Développez le domaine et double-cliquez sur le dossier Users.
4. Double-cliquez sur un utilisateur auquel vous souhaitez ajouter des UID. La boîte de dialogue Properties s’ouvre.
5. Cliquez sur l’onglet UNIX Attributes.
6. Sélectionnez NIS Domain dans la liste déroulante.
7. Remplissez les cases suivants :
   • UID
   • Login Shell
   • Home Directory
   • Primary group name/GID
8. Cliquez sur OK.
9. Répétez les étapes 5 à 9 pour chaque utilisateur.
10. Ce processus peut également être réalisé pour de nombreux utilisateurs et groupes avec un script basé sur les informations des pages Microsoft ci-dessous :
    1. https://technet.microsoft.com/en-us/library/bb463169.aspx
    2. https://technet.microsoft.com/en-us/library/bb463193.aspx

Phase 3 : Ajouter des GID aux comptes dans Active Directory (si ce n’est pas déjà fait).

1. Connectez-vous au contrôleur de domaine.
2. Cliquez sur Start > Administrative Tools > Active Directory Users and Computers.
3. Cliquez sur Groups, ou sur le dossier (conteneur) dans lequel le groupe réside, si aucun dossier « Groups » n’est présent.
4. Double-cliquez sur un groupe auquel vous souhaitez ajouter des GID.
5. Cliquez sur l’onglet UNIX Attributes.
6. Sélectionnez NIS Domain dans la liste déroulante.
7. Saisissez un GID [ID de groupe] dans le champ.
8. Cliquez sur Ajouter.
9. Sélectionnez les membres à ajouter au groupe.
10. Cliquez sur Ajouter.
11. Cliquez sur OK.
12. Cliquez à nouveau sur OK.
13. Ce processus peut également être réalisé pour de nombreux utilisateurs et groupes avec un script basé sur les informations des pages Microsoft ci-dessous.
    1. https://technet.microsoft.com/en-us/library/bb463169.aspx
    2. https://technet.microsoft.com/en-us/library/bb463193.aspx

Sous Windows Server 2012 et versions ultérieures :

Phase 2 : Ajouter des UID aux comptes dans Active Directory (si ce n’est pas déjà fait) sous Windows Server 2012 et versions ultérieures :

1. Connectez-vous au domain controller.
2. Cliquez sur Start > Administrative Tools > Active Directory Users and Computers.
3. Dans le menu View, sélectionnez Advanced Features.
4. Sélectionnez un utilisateur à modifier.
5. Double-cliquez sur un utilisateur auquel vous souhaitez ajouter des UID. La boîte de dialogue Properties s’ouvre.
6. Sélectionnez l’onglet Attribute Editor.
7. Saisissez les attributs suivants : Sélectionnez l’attribut et cliquez sur Edit.
   • uidNumber : UID de l’utilisateur
   • uid : UID de l’utilisateur
   • LoginShell : shell de connexion
   • unixHomeDirectory : répertoire de base
   • gidNumber : GID principal
8. Cliquez sur OK.
9. Répétez les étapes 5 à 9 pour chaque utilisateur.

Phase 3 : Ajouter des GID aux comptes dans Active Directory (si ce n’est pas déjà fait) :

1. Connectez-vous au contrôleur de domaine.
2.  Cliquez sur Start > Administrative Tools > Active Directory Users and Computers.
3. Dans le menu View, sélectionnez Advanced Features.
4. Sélectionnez un groupe à modifier.
5. Double-cliquez sur un groupe auquel vous souhaitez ajouter un GID. La boîte de dialogue Properties s’ouvre.
6. Sélectionnez l’onglet Attribute Editor.
7. Saisissez les attributs suivants : Sélectionnez l’attribut, puis cliquez sur Edit.
   • gidNumber : GID du groupe (sélectionnez les membres à ajouter au groupe).
8. Cliquez sur OK.

Phase 4 : Ajouter le cluster à Active Directory.

Pour obtenir des instructions, voir le guide d’administration approprié correspondant à votre version de OneFS.

Phase 5 : Désactiver l’attribution d’UID et de GID sur le cluster.

Désactivez l’allocation des UID et des GID sur le cluster à l’aide de l’interface d’administration Web de OneFS :

PowerScale OneFS :

1. Cliquez sur Access > Authentication Providers > Active Directory.
2. Sélectionnez View/Edit pour le domaine Active Directory qui est en cours de modification pour être configuré pour la prise en charge de RFC 2307.
3. Sélectionnez Edit.
4. En regard de l’entrée If no UID is present in the Active Directory, sélectionnez Edit en regard de l’entrée de la liste Autoassign UID.
5. Décochez la case Autoassign UID et cliquez sur Save.
6. En regard de l’entrée If no GID is present in the Active Directory, sélectionnez Edit en regard de l’entrée de la liste Autoassign UID.
7. Décochez la case Autoassign GID et cliquez sur Save.

Phase 6 : Activer RFC 2307 sur le cluster

ATTENTION : si vous activez RFC 2307 avant que toutes les propriétés UNIX obligatoires ne soient renseignées dans Active Directory, les utilisateurs UNIX ne pourront pas s’authentifier auprès du cluster.

Activez RFC 2307 sur le cluster à l’aide de l’interface d’administration Web de OneFS :

PowerScale OneFS :

1. Cliquez sur Access > Authentication Providers > Active Directory.
2. Sélectionnez View/Edit pour le domaine Active Directory qui est en cours de modification pour être configuré pour la prise en charge de RFC 2307.
3. Sélectionnez Edit.
4. En regard de l’entrée Services for UNIX sous le paramètre Advanced Active Directory, sélectionnez rfc2307 dans la liste déroulante, puis cliquez sur Save.
    

Phase 7 : Vérifier le jeton de mappage des utilisateurs à partir de l’interface de ligne de commande

PowerScale OneFS :

1. Connectez-vous à une session ssh sur un nœud du cluster qui s’authentifie avec AD et RFC 2307.
2. Utilisez l’une des commandes de mappage ci-dessous pour vérifier que la sortie des UID et GID correspond aux attributs UNIX stockés dans Active Directory :

# isi auth mapping token <username> --zone=<zone>

ou 

# isi auth users view <username> --zone=<zone>

Mises en garde :

Utiliser des approbations externes bidirectionnelles : bien que les approbations ne soient pas utilisées ou imposées dans tous les environnements, il existe une mise en garde connue concernant l’utilisation d’un fournisseur Active Directory compatible RFC 2307 et d’approbations externes bidirectionnelles. OneFS ne peut pas rechercher d’utilisateurs sur l’ensemble de l’approbation car il est incompatible en raison du fonctionnement même du protocole RFC 2307. Si l’approbation est reconstruite en approbation de forêt, les utilisateurs sont identifiés et mappés dans l’approbation. Une approbation interne transitive bidirectionnelle est un type d’approbation qui doit fournir des attributs et autoriser les requêtes de catalogue globales.

Une approbation de domaine bidirectionnelle externe est limitée dans ses possibilités de requête, en particulier lors de la spécification d’attributs. Si OneFS tente de rechercher un utilisateur via une approbation externe bidirectionnelle, il marque l’approbation comme étant dans un mode incompatible. 

Le message « incompatible » ne s’affiche que lorsque le protocole RFC 2307 est activé sur le cluster.

Activer le protocole RFC 2307 APRÈS la mise en œuvre : Lorsque le protocole RFC 2307 n’est pas activé et qu’il n’existe aucun fournisseur d’ID UNIX externe (par exemple, NIS, LDAP ou LOCAL), le cluster génère des UID et des GID pour les SID. Si le protocole RFC 2307 est activé après que le cluster a rejoint Active Directory, la base de données idmap doit être nettoyée pour les zones respectives. Le nettoyage de la base de données évite de mapper des jetons avec des UID ou des GID incorrects et incohérents. Voir OneFS : problèmes d’accès multiprotocole dus aux mappages synthétiques dans la base de données de mappage (en anglais)

Laisser l’allocation des UID ou GID activée : si AD n’est pas disponible pour obtenir un UID ou un GID pour un SID donné, le cluster risque de générer un UID/GID pour ce SID. Cela peut créer des jetons de mappage incohérents/incorrects entraînant un refus d’accès. Si l’allocation des UID/GID reste activée, nous vous recommandons d’activer le stockage des mappages SFU (par défaut, OneFS ne stocke pas les mappages RFC 2307 à partir d’AD).

Ne pas répliquer les attributs dans le catalogue global : si les attributs uidNumber et gidNumber ne sont pas répliqués dans le catalogue global, le message « no such user » s’affiche lors des premières recherches sur l’UID ou le GID. Si la recherche d’utilisateur ou de groupe est effectuée par nom ou par SID, l’utilisateur est présent dans le cache et les recherches d’UID ou de GID peuvent aboutir. Une fois l’expiration des entrées du cache, les recherches d’UID et de GID échouent.

Articles connexes de la base de connaissances :

• Utilisation élevée du processeur sur les serveurs de catalogue global Active Directory lorsque la prise en charge de SFU à l’aide de RFC 2307 est activée sur le cluster (en anglais)
• OneFS : impossible de résoudre les UID de cluster en nom d’utilisateur (en anglais)
• OneFS : problèmes d’accès multiprotocole dus aux mappages synthétiques dans la base de données de mappage (en anglais)