Integración de Active Directory en Google Cloud NetApp Volumes

En esta página se describe la integración de Active Directory de Google Cloud NetApp Volumes.

Acerca de la integración

Una política de Active Directory indica a NetApp Volumes cómo conectarse a Active Directory. Las configuraciones de grupos de almacenamiento usan políticas de Active Directory para definir los ajustes de Active Directory de los volúmenes que crees en ellos.

Las políticas de Active Directory son específicas de cada región y puede configurar hasta cinco políticas por región.

Los protocolos de uso compartido de archivos, como SMB (CIFS), NFSv3 con grupos ampliados y NFSv4, que utilizan entidades de seguridad, dependen de servicios de directorio externos para proporcionar información de identidad de los usuarios. NetApp Volumes se basa en Active Directory para los servicios de directorio. Active Directory proporciona los siguientes servicios:

  • Servidores LDAP: buscan objetos como usuarios, grupos o máquinas.

  • Servidores DNS: resuelven nombres de host y detectan controladores de dominio de Active Directory.

  • Servidores Kerberos: realizan la autenticación.

Para obtener más información, consulta las prácticas recomendadas para ejecutar Active Directory en Google Cloud.

Casos prácticos de Active Directory

NetApp Volumes usa Active Directory en varios casos prácticos:

  • Servicio de dominio SMB: Active Directory es el servicio de dominio central de SMB. Usa SMB para la autenticación y las búsquedas de identidad de usuarios y grupos. NetApp Volumes se une al dominio como miembro, pero no admite SMB en el modo de grupo de trabajo.

  • Compatibilidad con grupos ampliados de NFSv3: en el caso de NFSv3 con compatibilidad con grupos ampliados, Active Directory proporciona el servidor LDAP necesario para buscar objetos como usuarios, grupos o cuentas de máquina. En concreto, las búsquedas de ID de usuario e ID de grupo requieren un servidor LDAP compatible con RFC2307bis. La compatibilidad con LDAP se habilita en los grupos de almacenamiento durante la creación del grupo.

    La asistencia de grupos ampliada ignora todos los IDs de grupo enviados por el cliente NFS en una llamada NFS. En su lugar, toma el ID de usuario de la solicitud y busca todos los IDs de grupo del ID de usuario en el servidor LDAP para comprobar los permisos de archivo.

    Para obtener más información, consulta Gestionar atributos POSIX de RFC2307bis LDAP.

  • Asignación de principal de seguridad de NFSv4.x a ID de usuario e ID de grupo: en NFSv4.x, los volúmenes de NetApp usan Active Directory para asignar principales de seguridad a IDs de usuario e IDs de grupo. NFSv4 usa un modelo de autenticación basado en principales. En la autenticación basada en entidades principales, las entidades principales de seguridad identifican a los usuarios, que tienen el formato user@dns_domain (consulta las RFC 7530 consideraciones de seguridad), en lugar de los IDs de usuario y de grupo. Para asignar los principales de seguridad a los IDs de usuario y de grupo cuando accedas al volumen con un protocolo NFSv4.x, NetApp Volumes requiere un servidor LDAP compatible con RFC2307bis. NetApp Volumes solo admite servidores LDAP de Active Directory. La compatibilidad con LDAP se habilita en los grupos de almacenamiento durante la creación del grupo.

    Para usar los principales de seguridad, el cliente y el servidor NFS deben conectarse a la misma fuente LDAP y debes configurar el archivo idmapd.conf en el cliente. Para obtener más información sobre cómo configurar el archivo idmapd.conf, consulta la documentación de Ubuntu sobre cómo configurar el archivo idmapd.conf para libnfsidmap.

    El dns_domain usa el nombre de dominio de Active Directory y el user se identifica como el nombre del usuario de Active Directory. Usa estos valores cuando definas tus atributos POSIX de LDAP.

    Para usar NFSv4.1 sin mapeo de ID y solo con IDs de usuario e IDs de grupo similares a NFSv3, usa IDs numéricos para ignorar las entidades de seguridad. NetApp Volumes admite IDs numéricos. Los clientes NFS actuales usan IDs numéricos de forma predeterminada si no se ha configurado la asignación de IDs.

  • NFSv4.x con Kerberos: si usas Kerberos, es obligatorio usar Active Directory como servidor LDAP para las búsquedas de entidades de seguridad. Los principales de Kerberos se usan como identificadores de seguridad. El centro de distribución de claves de Kerberos usa Active Directory. Para que esto funcione, debes adjuntar una política de Active Directory que contenga la configuración de Kerberos al grupo y habilitar la compatibilidad con LDAP en un grupo de almacenamiento al crear el grupo.

Permisos necesarios para crear cuentas de máquina de Active Directory

Para usar Active Directory, los volúmenes de NetApp deben unirse a uno o varios servidores de archivos virtuales de tu dominio como cuentas de ordenador. Para unirte al dominio, debes proporcionar las credenciales de un usuario del dominio que tenga permiso para unir ordenadores a tu dominio. De forma predeterminada, solo los miembros del grupo Domain Admins pueden unir ordenadores al dominio, pero Active Directory puede delegar los permisos necesarios a usuarios o grupos concretos a nivel de dominio completo o de unidad organizativa (OU).

En el caso de los volúmenes de NetApp, se recomienda crear una cuenta de servicio de dominio específica. Delega solo los permisos necesarios para unir ordenadores nuevos a una unidad organizativa específica. Una vez que se haya creado un usuario con la pertenencia al grupo Domain User o Domain Guest, sigue estas instrucciones para delegar los permisos necesarios.

  1. Inicia sesión en tu sistema como administrador de dominio de tu dominio de Active Directory.

  2. Abre el complemento MMC Usuarios y equipos de Active Directory.

  3. En la barra de menú, selecciona Ver y comprueba que la opción Funciones avanzadas esté habilitada.

    Si la opción Funciones avanzadas está habilitada, se mostrará una marca de verificación.

  4. En el panel de tareas, despliega el nodo de dominio.

  5. Busca la unidad organizativa que quieras modificar, haz clic con el botón derecho y selecciona Propiedades en el menú contextual.

  6. En la ventana Propiedades de la unidad organizativa, selecciona la pestaña Seguridad.

  7. En Seguridad, haz clic en Avanzado y, a continuación, en Añadir.

  8. En el cuadro de diálogo Entrada de permiso, sigue estos pasos:

    1. Haz clic en Seleccionar un principal.

    2. Introduce el nombre de tu cuenta de servicio o grupo y haz clic en Aceptar.

    3. En Se aplica a:, selecciona Este objeto y todos los objetos descendientes.

    4. Asegúrate de que estén seleccionados los siguientes permisos:

      • Modificar permisos

      • Crear objetos de equipo

      • Eliminar objetos de ordenador

  9. Seleccione la casilla Aplicar y, a continuación, haga clic en Aceptar.

  10. Cierra el complemento MMC Usuarios y equipos de Active Directory.

Una vez que se haya delegado la cuenta de servicio, puedes proporcionar el nombre de usuario y la contraseña como credenciales de la política de Active Directory.

Para mayor seguridad, durante la consulta y la creación del objeto de cuenta de máquina, el nombre de usuario y la contraseña que se transfieren al dominio de Active Directory usan el cifrado Kerberos.

Controladores de dominio de Active Directory

Para conectar volúmenes de NetApp a tu dominio, el servicio usa la detección basada en DNS para identificar una lista de controladores de dominio disponibles.

El servicio sigue estos pasos para encontrar un controlador de dominio que pueda usar:

  1. Detección de sitios de Active Directory: NetApp Volumes usa un ping LDAP a la IP del servidor DNS especificada en la política de Active Directory para obtener la información de la subred del sitio de Active Directory. Devuelve una lista de CIDRs y los sitios de Active Directory que se han asignado a esos CIDRs.

    Get-ADReplicationSubnet -Filter * | Select-Object Name,Site

  2. Definir nombres de sitio: si la dirección IP del volumen coincide con alguna de las subredes definidas, se usará el nombre de sitio asociado. Las coincidencias de subredes más pequeñas tienen prioridad sobre las de subredes más grandes. Si no se conoce la dirección IP del volumen, crea manualmente un volumen temporal con el tipo de protocolo NFS para determinar el /28 CIDR utilizado.

    Si no se define ningún nombre de sitio en Active Directory, se usará el nombre de sitio configurado en la política de Active Directory. Si no se configura ningún nombre de sitio, los niveles de servicio Estándar, Premium y Extremo usarán el sitio Default-First-Site-Name. Si el nivel de servicio de Flex intenta usar el sitio Default-First-Site-Name, se producirá un error y, en su lugar, usará la detección completa del controlador de dominio. Ten en cuenta que los cambios en el parámetro de sitio de Active Directory se ignoran en los grupos de almacenamiento a nivel de servicio de Flex.

  3. Descubrimiento de controladores de dominio: una vez que se ha obtenido toda la información necesaria, el servicio identifica los posibles controladores de dominio mediante la siguiente consulta DNS:

    nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>

    Para descubrir el dominio completo, el servicio usa la siguiente consulta DNS:

    nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>

  4. Generación de la lista de controladores de dominio: se genera una lista de controladores de dominio. NetApp Volumes monitoriza constantemente la disponibilidad de todos ellos. De los controladores de dominio disponibles, selecciona uno para las uniones y las búsquedas de dominio. Si el controlador de dominio seleccionado deja de estar disponible, se usará automáticamente otro controlador de dominio de la lista Disponible. Nota: El controlador de dominio que elijas no tiene por qué ser el servidor DNS especificado.

Debes proporcionar al menos un controlador de dominio accesible para que el servicio lo use. Recomendamos varios para mejorar la disponibilidad del controlador de dominio. Asegúrate de que haya una ruta de red entre los volúmenes de NetApp y los controladores de dominio, y de que las reglas de cortafuegos de tus controladores de dominio permitan que los volúmenes de NetApp se conecten.

Para obtener más información, consulta las consideraciones de diseño y las prácticas recomendadas de Active Directory.

Topologías de controladores de dominio de Active Directory

Una vez que te hayas conectado correctamente a los controladores de dominio de Active Directory, podrás usar los siguientes protocolos para compartir archivos:

  • Pymes

  • NFSv3 con grupos ampliados

  • NFSv4 con principales de seguridad y Kerberos

En los siguientes casos se describen posibles topologías. En los escenarios solo se describe el controlador de dominio que usa NetApp Volumes. Otros controladores de dominio del mismo dominio se describen solo cuando es necesario. Te recomendamos que implementes al menos dos controladores de dominio para que haya redundancia y disponibilidad.

  • Controlador de dominio y volúmenes de Active Directory en una región: este es el escenario de implementación más sencillo, en el que un controlador de dominio se encuentra en la misma región que el volumen.

  • Controlador de dominio y volúmenes de Active Directory en regiones independientes: puedes usar un controlador de dominio en una región diferente a la de un volumen. Esto podría afectar negativamente al rendimiento de la autenticación y del acceso a archivos.

  • Controladores de dominio de Active Directory en varias regiones mediante sitios de AD: si usas volúmenes en varias regiones, te recomendamos que coloques al menos un controlador de dominio en cada región. Aunque el servicio intenta elegir automáticamente el mejor controlador de dominio, te recomendamos que gestiones la selección de controladores de dominio con sitios de Active Directory.

  • Controlador de dominio de Active Directory en una red local: puedes usar un controlador de dominio local a través de una VPN, pero puede afectar negativamente a la autenticación de los usuarios finales y al rendimiento del acceso a los archivos. Asegúrate de no añadir saltos de interconexión de nube privada virtual adicionales en la ruta de tu red. El emparejamiento de VPC está sujeto a restricciones de enrutamiento transitivo. El tráfico no se enruta más allá del salto de emparejamiento de VPC que ya consumen los volúmenes de NetApp.

  • Controlador de dominio de Active Directory en otra red VPC: no puedes colocar el controlador de dominio en otra VPC porqueGoogle Cloud el emparejamiento de VPCs no permite el enrutamiento transitivo. También puedes conectar las VPCs mediante una VPN o adjuntar volúmenes de NetApp a una red de VPC compartida que aloje los controladores de dominio de Active Directory. Si vinculas volúmenes de NetApp a una red de VPC compartida, este escenario será arquitectónicamente igual que uno de los escenarios de las secciones anteriores.

Siguientes pasos

Crea una política de Active Directory.