Auf dieser Seite wird die Active Directory-Integration von Google Cloud NetApp Volumes beschrieben.
Informationen zur Integration
Eine Active Directory-Richtlinie gibt an, wie NetApp Volumes eine Verbindung zu Active Directory herstellen soll. Bei der Konfiguration von Speicherpools werden Active Directory-Richtlinien verwendet, um die Active Directory-Einstellungen von Volumes zu definieren, die Sie darin erstellen.
Active Directory-Richtlinien sind regionsspezifisch. Sie können bis zu fünf Richtlinien pro Region konfigurieren.
Dateifreigabeprotokolle wie SMB (CIFS), NFSv3 mit erweiterten Gruppen und NFSv4, die Sicherheitsidentitäten verwenden, sind auf externe Verzeichnisdienste angewiesen, um Nutzeridentitätsinformationen bereitzustellen. NetApp Volumes verwendet Active Directory für Verzeichnisdienste. Active Directory bietet die folgenden Dienste:
LDAP-Server: Suchen nach Objekten wie Nutzern, Gruppen oder Computern
DNS-Server: Auflösen von Hostnamen und Ermitteln von Active Directory-Domaincontrollern
Kerberos-Server: führen die Authentifizierung durch
Weitere Informationen finden Sie unter Best Practices für die Ausführung von Active Directory auf Google Cloud.
Anwendungsfälle für Active Directory
NetApp Volumes verwendet Active Directory für mehrere Anwendungsfälle:
SMB-Domänendienst: Active Directory ist der zentrale Domänendienst für SMB. SMB wird für die Authentifizierung und die Identitätssuche für Nutzer und Gruppen verwendet. NetApp Volumes tritt der Domain als Mitglied bei, unterstützt aber SMB im Arbeitsgruppenmodus nicht.
Unterstützung erweiterter Gruppen für NFSv3: Für NFSv3 mit Unterstützung erweiterter Gruppen stellt Active Directory den LDAP-Server bereit, der zum Suchen von Objekten wie Nutzern, Gruppen oder Computerkonten erforderlich ist. Für die Suche nach Nutzer- und Gruppen-IDs ist ein
RFC2307bis
-kompatibler LDAP-Server erforderlich. Die LDAP-Unterstützung wird bei der Erstellung von Speicherpools aktiviert.Bei der Unterstützung erweiterter Gruppen werden alle Gruppen-IDs ignoriert, die vom NFS-Client in einem NFS-Aufruf gesendet werden. Stattdessen wird die Nutzer-ID der Anfrage verwendet und alle Gruppen-IDs für die angegebene Nutzer-ID vom LDAP-Server abgerufen, um die Dateiberechtigungen zu prüfen.
Weitere Informationen finden Sie unter LDAP-
RFC2307bis
-POSIX-Attribute verwalten.Zuordnung von NFSv4.x-Sicherheitsprinzipal zu Nutzer-ID und Gruppen-ID: Für NFSv4.x verwendet NetApp Volumes Active Directory, um Sicherheitsprinzipale Nutzer-IDs und Gruppen-IDs zuzuordnen. NFSv4 verwendet ein prinzipalbasiertes Authentifizierungsmodell. Bei der prinzipalbasierten Authentifizierung werden Nutzer durch Sicherheitsprinzipale in der Form
user@dns_domain
identifiziert (sieheRFC 7530
-Sicherheitsaspekte) anstelle von Nutzer-IDs und Gruppen-IDs. Wenn Sie mit einem NFSv4.x-Protokoll auf das Volume zugreifen, ist für die Zuordnung von Sicherheitsprinzipalen zu Nutzer- und Gruppen-IDs einRFC2307bis
-kompatibler LDAP-Server erforderlich. NetApp-Volumes unterstützen nur Active Directory-LDAP-Server. Die LDAP-Unterstützung wird für Speicherpools während der Poolerstellung aktiviert.Damit Sicherheitsidentitäten verwendet werden können, müssen der NFS-Client und der NFS-Server eine Verbindung zur selben LDAP-Quelle herstellen und Sie müssen die Datei
idmapd.conf
auf dem Client konfigurieren. Weitere Informationen zum Konfigurieren der Dateiidmapd.conf
finden Sie in der Ubuntu-Dokumentation zum Konfigurieren der Dateiidmapd.conf
fürlibnfsidmap
.Für
dns_domain
wird der Active Directory-Domainname verwendet unduser
wird als Name des Active Directory-Nutzers angegeben. Verwenden Sie diese Werte, wenn Sie Ihre LDAP-POSIX-Attribute festlegen.Wenn Sie NFSv4.1 ohne ID-Zuordnung verwenden und nur Nutzer-IDs und Gruppen-IDs ähnlich wie bei NFSv3 nutzen möchten, verwenden Sie numerische IDs, um Sicherheitsprinzipale zu ignorieren. NetApp Volumes unterstützt numerische IDs. Aktuelle NFS-Clients verwenden standardmäßig numerische IDs, wenn keine ID-Zuordnung konfiguriert ist.
NFSv4.x mit Kerberos:Wenn Sie Kerberos verwenden, ist Active Directory als LDAP-Server für die Suche nach Sicherheits-Principals erforderlich. Kerberos-Principals werden als Sicherheitskennungen verwendet. Das Kerberos Key Distribution Center verwendet Active Directory. Dazu müssen Sie dem Pool eine Active Directory-Richtlinie mit Kerberos-Einstellungen zuweisen und die LDAP-Unterstützung für einen Speicherpool aktivieren, wenn Sie den Pool erstellen.
Erforderliche Berechtigungen zum Erstellen von Active Directory-Computerkonten
Damit Active Directory verwendet werden kann, müssen NetApp-Volumes als Computerkonten mit einem oder mehreren virtuellen Dateiservern in Ihrer Domain verknüpft werden. Um der Domain beizutreten, müssen Sie die Anmeldedaten eines Domainnutzers angeben, der berechtigt ist, Computer Ihrer Domain hinzuzufügen. Standardmäßig können nur Domain Admins
-Gruppenmitglieder Computer der Domain hinzufügen. In Active Directory können die erforderlichen Berechtigungen jedoch an einzelne Nutzer oder Gruppen delegiert werden, und zwar auf Domain- oder Organisationseinheitsebene.
Für NetApp-Volumes wird empfohlen, ein dediziertes Dienstkonto für die Domain zu erstellen. Delegieren Sie nur die erforderlichen Berechtigungen, um neue Computer einer bestimmten Organisationseinheit hinzuzufügen. Nachdem ein Nutzer mit der Gruppenmitgliedschaft Domain User
oder Domain Guest
erstellt wurde, folgen Sie der Anleitung unten, um die erforderlichen Berechtigungen zu delegieren.
Melden Sie sich als Domainadministrator für Ihre Active Directory-Domain in Ihrem System an.
Öffnen Sie das MMC-Snap-In Active Directory-Nutzer und -Computer.
Wählen Sie in der Menüleiste Ansicht aus und prüfen Sie, ob Erweiterte Funktionen aktiviert ist.
Wenn Erweiterte Funktionen aktiviert ist, wird ein Häkchen angezeigt.
Maximieren Sie im Aufgabenbereich den Domainknoten.
Suchen Sie die Organisationseinheit, die Sie ändern möchten, klicken Sie mit der rechten Maustaste darauf und wählen Sie im Kontextmenü Properties (Eigenschaften) aus.
Wählen Sie im Fenster OU-Eigenschaften den Tab Sicherheit aus.
Klicken Sie unter Sicherheit auf Erweitert und dann auf Hinzufügen.
Führen Sie im Dialogfeld Berechtigungseintrag die folgenden Schritte aus:
Klicken Sie auf Hauptkonto auswählen.
Geben Sie den Namen Ihres Dienstkontos oder Ihrer Gruppe ein und klicken Sie auf OK.
Wählen Sie für Gilt für die Option Dieses Objekt und alle untergeordneten Objekte aus.
Prüfen Sie, ob die folgenden Berechtigungen ausgewählt sind:
Berechtigungen ändern
Computerobjekte erstellen
Computerobjekte löschen
Klicken Sie auf das Kästchen Übernehmen und dann auf OK.
Schließen Sie das MMC-Snap-in Active Directory-Nutzer und -Computer.
Nachdem das Dienstkonto delegiert wurde, können Sie den Nutzernamen und das Passwort als Anmeldedaten für die Active Directory-Richtlinie angeben.
Zur Erhöhung der Sicherheit wird bei der Abfrage und Erstellung des Maschinenkontos der Nutzername und das Passwort, die an die Active Directory-Domain übergeben werden, mit Kerberos verschlüsselt.
Active Directory-Domaincontroller
Um NetApp-Volumes mit Ihrer Domain zu verbinden, verwendet der Dienst die DNS-basierte Suche, um eine Liste der verfügbaren Domaincontroller zu ermitteln.
Der Dienst führt die folgenden Schritte aus, um einen zu verwendenden Domaincontroller zu finden:
Active Directory-Standorterkennung: NetApp Volumes verwendet einen LDAP-Ping an die im DNS-Server angegebene IP-Adresse der Active Directory-Richtlinie, um die Subnetzinformationen des Active Directory-Standorts abzurufen. Es wird eine Liste von CIDRs und den Active Directory-Standorten zurückgegeben, die diesen CIDRs zugewiesen sind.
Get-ADReplicationSubnet -Filter * | Select-Object Name,Site
Standortnamen definieren: Wenn die IP-Adresse des Volumes mit einem der definierten Subnetze übereinstimmt, wird der zugehörige Standortname verwendet. Übereinstimmungen mit kleineren Subnetzen haben Vorrang vor Übereinstimmungen mit größeren Subnetzen. Wenn die IP-Adresse des Volumes unbekannt ist, erstellen Sie manuell ein temporäres Volume mit dem NFS-Protokolltyp, um den verwendeten
/28
-CIDR zu ermitteln.Wenn in Active Directory kein Websitename definiert ist, wird der in der Active Directory-Richtlinie konfigurierte Websitename verwendet. Wenn kein Websitename konfiguriert ist, wird für die Service-Levels „Standard“, „Premium“ und „Extreme“ die Website
Default-First-Site-Name
verwendet. Wenn versucht wird, dieDefault-First-Site-Name
-Website für die Flex-Serviceebene zu verwenden, schlägt dies fehl und die Flex-Serviceebene verwendet stattdessen die vollständige Domänencontrollererkennung. Änderungen am Parameter „Active Directory-Standort“ werden von Speicherpools mit dem Service-Level „Flex“ ignoriert.Domaincontroller-Erkennung: Nachdem alle erforderlichen Informationen erfasst wurden, identifiziert der Dienst potenzielle Domaincontroller mithilfe der folgenden DNS-Abfrage:
nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>
Für die vollständige Domainermittlung verwendet der Dienst die folgende DNS-Abfrage:
nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>
Generierung der Domaincontrollerliste: Eine Liste der Domaincontroller wird generiert. NetApp Volumes überwacht alle Volumes kontinuierlich auf Verfügbarkeit. Aus den verfügbaren Domaincontrollern wird einer für den Domänenbeitritt und die Suche ausgewählt. Wenn der ausgewählte Domaincontroller nicht mehr verfügbar ist, wird automatisch ein anderer Domaincontroller aus der Liste Verfügbar verwendet. Der von Ihnen ausgewählte Domaincontroller ist nicht unbedingt der angegebene DNS-Server.
Sie müssen mindestens einen zugänglichen Domaincontroller für den Dienst angeben. Wir empfehlen mehrere, um die Verfügbarkeit des Domaincontrollers zu verbessern. Achten Sie darauf, dass ein gerouteter Netzwerkpfad zwischen NetApp Volumes und den Domaincontrollern vorhanden ist und dass die Firewallregeln auf Ihren Domaincontrollern Verbindungen von NetApp Volumes zulassen.
Weitere Informationen finden Sie unter Überlegungen zum Active Directory-Design und Best Practices.
Topologien für Active Directory-Domaincontroller
Nachdem Sie eine Verbindung zu Active Directory-Domaincontrollern hergestellt haben, können Sie die folgenden Protokolle für die Dateifreigabe verwenden:
KMU
NFSv3 mit erweiterten Gruppen
NFSv4 mit Sicherheitsprinzipalen und Kerberos
In den folgenden Szenarien werden mögliche Topologien beschrieben. In den Szenarien wird nur der von NetApp Volumes verwendete Domaincontroller beschrieben. Andere Domaincontroller für dieselbe Domain werden nur bei Bedarf beschrieben. Wir empfehlen, mindestens zwei Domaincontroller für Redundanz und Verfügbarkeit bereitzustellen.
Active Directory-Domaincontroller und ‑Volumes in einer Region: Dieses Szenario ist die einfachste Bereitstellungsstrategie, bei der sich ein Domaincontroller in derselben Region wie das Volume befindet.
Active Directory-Domaincontroller und ‑Volumes in separaten Regionen: Sie können einen Domaincontroller in einer anderen Region als ein Volume verwenden. Dies kann sich negativ auf die Leistung bei der Authentifizierung und beim Dateizugriff auswirken.
Active Directory-Domaincontroller in mehreren Regionen mit AD-Websites: Wenn Sie Volumes in mehreren Regionen verwenden, empfehlen wir, mindestens einen Domaincontroller in jeder Region zu platzieren. Der Dienst versucht zwar, automatisch den besten Domaincontroller auszuwählen, wir empfehlen jedoch, die Auswahl des Domaincontrollers mit Active Directory-Websites zu verwalten.
Active Directory-Domaincontroller in einem lokalen Netzwerk: Sie können einen lokalen Domaincontroller über VPN verwenden, dies kann sich jedoch negativ auf die Authentifizierung von Endnutzern und die Leistung des Dateizugriffs auswirken. Fügen Sie Ihrem Netzwerkpfad keine zusätzlichen VPC-Peering-Hops hinzu. Für VPC-Peering gelten Einschränkungen für transitives Routing. Der Traffic wird nicht über den VPC-Peering-Hop hinaus weitergeleitet, der bereits von NetApp Volumes verwendet wird.
Active Directory-Domaincontroller in einem anderen VPC-Netzwerk: Sie können den Domaincontroller nicht in einem anderen VPC-Netzwerk platzieren, daGoogle Cloud VPC-Peering kein transitives Routing zulässt. Alternativ können Sie die VPCs über VPN verbinden oder NetApp-Volumes an ein freigegebenes VPC-Netzwerk anhängen, in dem die Active Directory-Domaincontroller gehostet werden. Wenn Sie NetApp-Volumes an ein freigegebenes VPC-Netzwerk anhängen, entspricht dieses Szenario architektonisch einem der Szenarien in den vorherigen Abschnitten.
Nächste Schritte
Active Directory-Richtlinie erstellen