Integración de Active Directory en Google Cloud NetApp Volumes

En esta página, se describe la integración de Active Directory de Google Cloud NetApp Volumes.

Acerca de la integración

Una política de Active Directory le indica a NetApp Volumes cómo conectarse a Active Directory. Las configuraciones de los grupos de almacenamiento usan políticas de Active Directory para definir la configuración de Active Directory de los volúmenes que creas en ellos.

Las políticas de Active Directory son específicas de la región y puedes configurar hasta cinco políticas por región.

Los protocolos de uso compartido de archivos, como SMB (CIFS), NFSv3 con grupos extendidos y NFSv4, que usan principales de seguridad, dependen de servicios de directorio externos para proporcionar información de identidad del usuario. NetApp Volumes depende de Active Directory para los servicios de directorio. Active Directory proporciona los siguientes servicios:

  • Servidores LDAP: Buscan objetos como usuarios, grupos o máquinas.

  • Servidores DNS: Resuelven nombres de host y detectan controladores de dominio de Active Directory

  • Servidores de Kerberos: Realizan la autenticación

Para obtener más información, consulta Prácticas recomendadas para ejecutar Active Directory en Google Cloud.

Casos de uso de Active Directory

NetApp Volumes usa Active Directory para varios casos de uso:

  • Servicio de dominio de SMB: Active Directory es el servicio de dominio central para SMB. Utiliza SMB para la autenticación y las búsquedas de identidad de usuarios y grupos. NetApp Volumes se une al dominio como miembro, pero no admite SMB en el modo de grupo de trabajo.

  • Compatibilidad con grupos extendidos de NFSv3: Para NFSv3 con compatibilidad con grupos extendidos, Active Directory proporciona el servidor LDAP necesario para buscar objetos, como usuarios, grupos o cuentas de máquinas. Específicamente, las búsquedas de ID de usuario y de ID de grupo requieren un servidor LDAP que cumpla con RFC2307bis. La compatibilidad con LDAP se habilita en los grupos de almacenamiento durante la creación del grupo.

    La compatibilidad con grupos extendidos ignora todos los IDs de grupo que envía el cliente de NFS en una llamada de NFS. En cambio, toma el ID de usuario de la solicitud y busca todos los IDs de grupo para el ID de usuario determinado en el servidor de LDAP para realizar verificaciones de permisos de archivos.

    Para obtener más información, consulta Administra atributos POSIX de RFC2307bis de LDAP.

  • Asignación de principal de seguridad de NFSv4.x a ID de usuario y a ID de grupo: Para NFSv4.x, NetApp Volumes usa Active Directory para asignar principales de seguridad a IDs de usuario y a IDs de grupo. NFSv4 usa un modelo de autenticación basado en la entidad principal. En la autenticación basada en principales, las entidades de seguridad identifican a los usuarios, que adoptan la forma user@dns_domain (consulta las RFC 7530 consideraciones de seguridad) en lugar de los IDs de usuario y los IDs de grupo. Para asignar entidades de seguridad a IDs de usuarios y de grupos cuando accedes al volumen con un protocolo NFSv4.x, NetApp Volumes requiere un servidor LDAP compatible con RFC2307bis. NetApp Volumes solo admiten servidores LDAP de Active Directory. La compatibilidad con LDAP se habilita en los grupos de almacenamiento durante la creación del grupo.

    Para usar entidades de seguridad, el cliente y el servidor NFS deben conectarse a la misma fuente de LDAP, y debes configurar el archivo idmapd.conf en el cliente. Para obtener más información sobre cómo configurar el archivo idmapd.conf, consulta la documentación de Ubuntu sobre cómo configurar el archivo idmapd.conf para libnfsidmap.

    El dns_domain usa el nombre de dominio de Active Directory y el user se identifica como el nombre del usuario de Active Directory. Usa estos valores cuando configures tus atributos POSIX de LDAP.

    Para usar NFSv4.1 sin asignación de ID y solo usar IDs de usuario y de grupo similares a NFSv3, usa IDs numéricos para ignorar las entidades de seguridad. NetApp Volumes admite IDs numéricos. Los clientes de NFS actuales usan IDs numéricos de forma predeterminada si no se configura la asignación de IDs.

  • NFSv4.x con Kerberos: Si usas Kerberos, es obligatorio usar Active Directory como servidor LDAP para las búsquedas de entidades de seguridad. Los principales de Kerberos se usan como identificadores de seguridad. El centro de distribución de claves de Kerberos usa Active Directory. Para que esto funcione, debes adjuntar una política de Active Directory que contenga la configuración de Kerberos al grupo y habilitar la compatibilidad con LDAP en un grupo de almacenamiento cuando crees el grupo.

Permisos necesarios para crear cuentas de máquinas de Active Directory

Para usar Active Directory, NetApp Volumes deben unir uno o más servidores de archivos virtuales a tu dominio como cuentas de computadora. Para unirte al dominio, debes proporcionar las credenciales de un usuario del dominio que tenga permiso para unir computadoras a tu dominio. De forma predeterminada, solo los miembros del grupo Domain Admins pueden unir computadoras al dominio, pero Active Directory tiene la capacidad de delegar los permisos necesarios a usuarios o grupos individuales a nivel de un dominio completo o una unidad organizativa (UO).

En el caso de los volúmenes de NetApp, se recomienda crear una cuenta de servicio de dominio dedicada. Delega solo los permisos necesarios para unir computadoras nuevas a una UO específica. Una vez que se cree un usuario con membresía en el grupo Domain User o Domain Guest, usa las siguientes instrucciones para delegar los permisos requeridos.

  1. Accede a tu sistema como administrador de dominio para tu dominio de Active Directory.

  2. Abre el complemento de MMC Usuarios y computadoras de Active Directory.

  3. En la barra de menú, selecciona Ver y asegúrate de que Funciones avanzadas esté habilitada.

    Si la opción Funciones avanzadas está habilitada, se mostrará una marca de verificación.

  4. En el panel de tareas, expande el nodo del dominio.

  5. Busca la UO que deseas modificar, haz clic con el botón derecho y selecciona Propiedades en el menú contextual.

  6. En la ventana Propiedades de la UO, selecciona la pestaña Seguridad.

  7. En Seguridad, haz clic en Avanzada y, luego, en Agregar.

  8. En el cuadro de diálogo Entrada de permiso, completa los siguientes pasos:

    1. Haz clic en Selecciona un principal.

    2. Ingresa el nombre de tu cuenta de servicio o grupo y haz clic en Aceptar.

    3. En Se aplica a:, selecciona Este objeto y todos los objetos descendientes.

    4. Asegúrate de que estén seleccionados los siguientes permisos:

      • Modificar permisos

      • Crea objetos de computadora

      • Borra objetos de la computadora

  9. Selecciona la casilla de verificación Aplicar y, luego, haz clic en Aceptar.

  10. Cierra el complemento de MMC Usuarios y computadoras de Active Directory.

Después de delegar la cuenta de servicio, puedes proporcionar el nombre de usuario y la contraseña como credenciales de la política de Active Directory.

Para mayor seguridad, durante la consulta y la creación del objeto de la cuenta de la máquina, el nombre de usuario y la contraseña que se pasan al dominio de Active Directory usan la encriptación de Kerberos.

Controladores de dominio de Active Directory

Para conectar NetApp Volumes a tu dominio, el servicio usa el descubrimiento basado en DNS para identificar una lista de controladores de dominio disponibles que se pueden usar.

El servicio ejecuta los siguientes pasos para encontrar un controlador de dominio que se pueda usar:

  1. Detección de sitios de Active Directory: NetApp Volumes usa un ping de LDAP a la IP del servidor DNS especificada en la política de Active Directory para recuperar la información de la subred del sitio de Active Directory. Devuelve una lista de CIDR y los sitios de Active Directory que se asignan a esos CIDR.

    Get-ADReplicationSubnet -Filter * | Select-Object Name,Site

  2. Definir nombres de sitios: Si la dirección IP del volumen coincide con alguna de las subredes definidas, se usa el nombre del sitio asociado. Las coincidencias de subredes más pequeñas tienen prioridad sobre las coincidencias de subredes más grandes. Si se desconoce la dirección IP del volumen, crea manualmente un volumen temporal con el tipo de protocolo NFS para determinar el CIDR /28 que se usa.

    Si no se define ningún nombre de sitio en Active Directory, se usa el nombre de sitio configurado en la política de Active Directory. Si no se configura ningún nombre de sitio, los niveles de servicio Estándar, Premium y Extremo usan el sitio Default-First-Site-Name. Si el nivel de servicio de Flex intenta usar el sitio Default-First-Site-Name, fallará y, en su lugar, usará la detección completa del controlador de dominio. Ten en cuenta que los cambios en el parámetro del sitio de Active Directory se ignoran en los grupos de almacenamiento con el nivel de servicio Flex.

  3. Descubrimiento de controladores de dominio: Con toda la información necesaria adquirida, el servicio identifica los posibles controladores de dominio con la siguiente consulta de DNS:

    nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>

    Para el descubrimiento completo del dominio, el servicio usa la siguiente consulta de DNS:

    nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>

  4. Generación de la lista de controladores de dominio: Se genera una lista de controladores de dominio. NetApp Volumes supervisa constantemente todos los volúmenes para garantizar su disponibilidad. De los controladores de dominio disponibles, selecciona uno para la unión al dominio y las búsquedas. Si el controlador de dominio seleccionado deja de estar disponible, se usará automáticamente otro controlador de dominio de la lista Available. Ten en cuenta que el controlador de dominio que elijas no necesariamente es el servidor DNS especificado.

Debes proporcionar al menos un controlador de dominio accesible para que el servicio lo use. Recomendamos varios para mejorar la disponibilidad del controlador de dominio. Asegúrate de que haya una ruta de red enrutada entre NetApp Volumes y los controladores de dominio, y de que las reglas de firewall en tus controladores de dominio permitan que NetApp Volumes se conecte.

Para obtener más información, consulta Consideraciones de diseño y prácticas recomendadas de Active Directory.

Topologías de controladores de dominio de Active Directory

Una vez que te conectes correctamente a los controladores de dominio de Active Directory, podrás usar los siguientes protocolos de uso compartido de archivos:

  • SMB

  • NFSv3 con grupos extendidos

  • NFSv4 con principales de seguridad y Kerberos

En las siguientes situaciones, se describen las posibles topologías. Las situaciones describen solo el controlador de dominio que usan NetApp Volumes. Los demás controladores de dominio del mismo dominio se describen solo cuando es necesario. Te recomendamos que implementes al menos dos controladores de dominio para garantizar la redundancia y la disponibilidad.

  • Controlador de dominio y volúmenes de Active Directory en una región: Esta es la estrategia de implementación más simple, en la que un controlador de dominio se encuentra en la misma región que el volumen.

  • Controlador de dominio y volúmenes de Active Directory en regiones separadas: Puedes usar un controlador de dominio en una región diferente de la de un volumen. Esto podría afectar negativamente el rendimiento de la autenticación y el acceso a archivos.

  • Controladores de dominio de Active Directory en varias regiones con sitios de AD: Si usas volúmenes en varias regiones, te recomendamos que coloques al menos un controlador de dominio en cada región. Si bien el servicio intenta elegir automáticamente el mejor controlador de dominio para usar, te recomendamos que administres la selección de controladores de dominio con sitios de Active Directory.

  • Controlador de dominio de Active Directory en una red local: Puedes usar un controlador de dominio local a través de una VPN, pero esto puede afectar negativamente la autenticación del usuario final y el rendimiento del acceso a los archivos. Asegúrate de no agregar saltos de intercambio de tráfico de nube privada virtual adicionales en la ruta de tu red. El intercambio de tráfico entre VPC está sujeto a restricciones de enrutamiento transitivo. El tráfico no se enruta más allá del salto de intercambio de tráfico entre VPCs que ya consumen NetApp Volumes.

  • Controlador de dominio de Active Directory en una red de VPC diferente: No puedes colocar el controlador de dominio en una VPC diferente porque el intercambio de tráfico entre VPC deGoogle Cloud no permite el enrutamiento transitivo. Como alternativa, puedes conectar las VPC con una VPN o adjuntar NetApp Volumes a una red de VPC compartida que aloje los controladores de dominio de Active Directory. Si adjuntas NetApp Volumes a una red de VPC compartida, desde el punto de vista de la arquitectura, esta situación se convierte en una de las situaciones de las secciones anteriores.

¿Qué sigue?

Crea una política de Active Directory.