Integrasi Active Directory Google Cloud NetApp Volumes

Halaman ini menjelaskan integrasi Direktori Aktif Google Cloud NetApp Volumes.

Tentang integrasi

Kebijakan Active Directory memberi tahu NetApp Volumes cara terhubung ke Active Directory. Konfigurasi pool penyimpanan menggunakan kebijakan Active Directory untuk menentukan setelan Active Directory volume yang Anda buat di dalamnya.

Kebijakan Active Directory bersifat spesifik per wilayah dan Anda dapat mengonfigurasi hingga lima kebijakan per wilayah.

Protokol berbagi file—seperti SMB (CIFS), NFSv3 dengan grup yang diperluas, dan NFSv4—yang menggunakan prinsipal keamanan, mengandalkan layanan direktori eksternal untuk memberikan informasi identitas pengguna. NetApp Volumes mengandalkan Active Directory untuk layanan direktori. Active Directory menyediakan layanan berikut:

  • Server LDAP: mencari objek seperti pengguna, grup, atau komputer

  • Server DNS: menyelesaikan nama host dan penemuan pengontrol domain Active Directory

  • Server Kerberos: melakukan autentikasi

Untuk mengetahui informasi selengkapnya, lihat Praktik terbaik untuk menjalankan Active Directory di Google Cloud.

Kasus penggunaan Active Directory

NetApp Volumes menggunakan Active Directory untuk beberapa kasus penggunaan:

  • Layanan domain SMB: Active Directory adalah layanan domain pusat untuk SMB. Layanan ini menggunakan SMB untuk autentikasi dan pencarian identitas untuk pengguna dan grup. Volume NetApp bergabung ke domain sebagai anggota, tetapi tidak mendukung SMB dalam mode grup kerja.

  • Dukungan grup yang diperluas NFSv3: untuk NFSv3 dengan dukungan grup yang diperluas, Active Directory menyediakan server LDAP yang diperlukan untuk mencari objek seperti akun pengguna, grup, atau mesin. Secara khusus, pencarian ID pengguna dan ID grup memerlukan server LDAP yang kompatibel dengan RFC2307bis. Dukungan LDAP diaktifkan di pool penyimpanan selama pembuatan pool.

    Dukungan grup yang diperluas mengabaikan semua ID grup yang dikirim oleh klien NFS dalam panggilan NFS. Sebagai gantinya, sistem akan mengambil ID pengguna dari permintaan dan mencari semua ID grup untuk ID pengguna tertentu dari server LDAP guna melakukan pemeriksaan izin file.

    Untuk mengetahui informasi selengkapnya, lihat Mengelola atribut POSIX RFC2307bis LDAP.

  • Pemetaan ID pengguna dan ID grup ke prinsipal keamanan NFSv4.x: untuk NFSv4.x, NetApp Volumes menggunakan Active Directory untuk memetakan prinsipal keamanan ke ID pengguna dan ID grup. NFSv4 menggunakan model autentikasi berbasis prinsipal. Dalam autentikasi berbasis akun utama, akun utama keamanan mengidentifikasi pengguna yang berbentuk user@dns_domain (lihat pertimbangan keamanan RFC 7530) dan bukan ID pengguna dan ID grup. Untuk memetakan prinsipal keamanan ke ID pengguna dan ID grup saat Anda mengakses volume dengan protokol NFSv4.x, NetApp Volumes memerlukan server LDAP yang kompatibel dengan RFC2307bis. Volume NetApp hanya mendukung server LDAP Active Directory. Dukungan LDAP diaktifkan di pool penyimpanan selama pembuatan pool.

    Untuk menggunakan principal keamanan, klien dan server NFS harus terhubung ke sumber LDAP yang sama dan Anda harus mengonfigurasi file idmapd.conf di klien. Untuk informasi selengkapnya tentang cara mengonfigurasi file idmapd.conf, lihat dokumentasi Ubuntu tentang cara mengonfigurasi file idmapd.conf untuk libnfsidmap.

    dns_domain menggunakan nama domain Active Directory dan user mengidentifikasi sebagai nama pengguna Active Directory. Gunakan nilai ini saat Anda menetapkan atribut POSIX LDAP.

    Untuk menggunakan NFSv4.1 tanpa pemetaan ID dan hanya menggunakan ID pengguna dan ID grup yang serupa dengan NFSv3, gunakan ID numerik untuk mengabaikan prinsipal keamanan. NetApp Volumes mendukung ID numerik. Klien NFS saat ini menggunakan ID numerik secara default jika pemetaan ID tidak dikonfigurasi.

  • NFSv4.x dengan Kerberos: jika Anda menggunakan Kerberos, Anda harus menggunakan Active Directory sebagai server LDAP untuk pencarian prinsipal keamanan. Akun utama Kerberos digunakan sebagai ID keamanan. Key Distribution Center Kerberos menggunakan Active Directory. Agar hal ini berfungsi, Anda harus melampirkan kebijakan Active Directory yang berisi setelan Kerberos ke pool dan mengaktifkan dukungan LDAP di pool penyimpanan saat Anda membuat pool.

Izin yang diperlukan untuk membuat akun komputer Active Directory

Untuk menggunakan Active Directory, NetApp Volumes harus menggabungkan satu atau beberapa server file virtual ke domain Anda sebagai akun komputer. Untuk bergabung ke domain, Anda harus memberikan kredensial pengguna domain yang memiliki izin untuk menggabungkan komputer ke domain Anda. Secara default, hanya anggota grup Domain Admins yang dapat menggabungkan komputer ke domain, tetapi Active Directory memiliki kemampuan untuk mendelegasikan izin yang diperlukan kepada pengguna atau grup individual di tingkat domain penuh atau unit organisasi (OU).

Untuk NetApp Volumes, sebaiknya buat akun layanan domain khusus. Delegasikan hanya izin yang diperlukan untuk menggabungkan komputer baru ke OU tertentu. Setelah pengguna dengan keanggotaan grup Domain User atau Domain Guest dibuat, gunakan petunjuk berikut untuk mendelegasikan izin yang diperlukan.

  1. Login ke sistem Anda sebagai administrator domain untuk domain Active Directory Anda.

  2. Buka snap-in MMC Active Directory Users and Computers.

  3. Dari panel menu, pilih Tampilan dan pastikan Fitur Lanjutan diaktifkan.

    Tanda centang akan ditampilkan jika Fitur Lanjutan diaktifkan.

  4. Di panel tugas, luaskan node domain.

  5. Temukan OU yang ingin Anda ubah, klik kanan, lalu pilih Properties dari menu konteks.

  6. Di jendela Properti OU, pilih tab Keamanan.

  7. Di bagian Keamanan, klik Lanjutan, lalu klik Tambahkan.

  8. Dalam dialog Permission Entry, selesaikan langkah-langkah berikut:

    1. Klik Pilih akun utama.

    2. Masukkan nama akun layanan atau grup Anda, lalu klik OKE.

    3. Untuk Berlaku untuk:, pilih Objek ini dan semua objek turunan.

    4. Pastikan izin berikut dipilih:

      • Mengubah izin

      • Membuat objek komputer

      • Menghapus objek komputer

  9. Centang kotak Apply, lalu klik OK.

  10. Tutup snap-in MMC Active Directory Users and Computers.

Setelah akun layanan didelegasikan, Anda dapat memberikan nama pengguna dan sandi sebagai kredensial kebijakan Active Directory.

Untuk keamanan tambahan, selama kueri dan pembuatan objek akun mesin, nama pengguna dan sandi yang diteruskan ke domain Active Directory menggunakan enkripsi Kerberos.

Pengontrol domain Active Directory

Untuk menghubungkan NetApp Volumes ke domain Anda, layanan ini menggunakan penemuan berbasis DNS untuk mengidentifikasi daftar pengontrol domain yang tersedia untuk digunakan.

Layanan menjalankan langkah-langkah berikut untuk menemukan pengendali domain yang akan digunakan:

  1. Penemuan Situs Active Directory: NetApp Volumes menggunakan ping LDAP ke IP server DNS yang ditentukan dalam kebijakan Active Directory untuk mengambil informasi subnet Situs Active Directory. Fungsi ini menampilkan daftar CIDR dan Situs Active Directory yang ditetapkan ke CIDR tersebut.

    Get-ADReplicationSubnet -Filter * | Select-Object Name,Site

  2. Tentukan nama situs: jika alamat IP volume cocok dengan salah satu subnet yang ditentukan, nama situs terkait akan digunakan. Kecocokan subnet yang lebih kecil lebih diutamakan daripada kecocokan subnet yang lebih besar. Jika alamat IP volume tidak diketahui, buat volume sementara secara manual dengan jenis protokol NFS untuk menentukan CIDR yang digunakan./28

    Jika tidak ada nama situs yang ditentukan di Active Directory, nama situs yang dikonfigurasi dalam kebijakan Active Directory akan digunakan. Jika tidak ada nama situs yang dikonfigurasi, tingkat layanan Standar, Premium, dan Extreme menggunakan situs Default-First-Site-Name. Jika tingkat layanan Flex mencoba menggunakan situs Default-First-Site-Name, tindakan tersebut akan gagal dan tingkat layanan Flex akan menggunakan penemuan pengontrol domain lengkap. Perhatikan bahwa perubahan pada parameter situs Active Directory diabaikan oleh kumpulan penyimpanan tingkat layanan Flex.

  3. Penemuan pengontrol domain: dengan semua informasi yang diperlukan diperoleh, layanan mengidentifikasi potensi pengontrol domain menggunakan kueri DNS berikut:

    nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>

    Untuk penemuan domain lengkap, layanan menggunakan kueri DNS berikut:

    nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>

  4. Pembuatan daftar pengontrol domain: daftar pengontrol domain dibuat. NetApp Volumes terus memantau ketersediaan semuanya. Dari pengontrol domain yang tersedia, perangkat akan memilih salah satunya untuk bergabung dengan domain dan melakukan pencarian. Jika pengontrol domain yang dipilih tidak tersedia, pengontrol domain lain dari daftar Tersedia akan digunakan secara otomatis. Perhatikan bahwa pengendali domain yang Anda pilih tidak harus merupakan server DNS yang ditentukan.

Anda harus menyediakan setidaknya satu pengontrol domain yang dapat diakses agar layanan dapat menggunakannya. Sebaiknya gunakan beberapa pengontrol domain untuk meningkatkan ketersediaan pengontrol domain. Pastikan ada jalur jaringan yang dirutekan antara NetApp Volumes dan pengontrol domain, serta aturan firewall di pengontrol domain Anda mengizinkan NetApp Volumes untuk terhubung.

Untuk mengetahui informasi selengkapnya, lihat Pertimbangan desain dan praktik terbaik Active Directory.

Topologi pengontrol domain Active Directory

Setelah berhasil terhubung ke pengontrol domain Active Directory, Anda dapat menggunakan protokol berbagi file berikut:

  • SMB

  • NFSv3 dengan grup yang diperluas

  • NFSv4 dengan akun utama keamanan dan Kerberos

Skenario berikut menjelaskan potensi topologi. Skenario ini hanya menjelaskan pengendali domain yang digunakan oleh NetApp Volumes. Pengontrol domain lain untuk domain yang sama hanya dijelaskan jika diperlukan. Sebaiknya Anda men-deploy minimal dua pengontrol domain untuk redundansi dan ketersediaan.

  • Pengontrol domain dan volume Active Directory dalam satu region: skenario ini adalah strategi deployment paling sederhana di mana pengontrol domain berada di region yang sama dengan volume.

  • Pengontrol domain dan volume Active Directory di region terpisah: Anda dapat menggunakan pengontrol domain di region yang berbeda dari volume. Hal ini dapat memengaruhi performa autentikasi dan akses file secara negatif.

  • Pengontrol domain Active Directory di beberapa region menggunakan situs AD: jika Anda menggunakan volume di beberapa region, sebaiknya tempatkan setidaknya satu pengontrol domain di setiap region. Meskipun layanan mencoba memilih pengontrol domain terbaik untuk digunakan secara otomatis, sebaiknya Anda mengelola pemilihan pengontrol domain dengan situs Active Directory.

  • Pengontrol domain Active Directory di jaringan lokal: Anda dapat menggunakan pengontrol domain lokal melalui VPN, tetapi hal ini dapat berdampak negatif pada performa autentikasi pengguna akhir dan akses file. Pastikan untuk tidak menambahkan hop peering Virtual Private Cloud tambahan di jalur jaringan Anda. Peering VPC tunduk pada batasan perutean transitif. Traffic tidak dirutekan di luar hop peering VPC yang sudah digunakan NetApp Volumes.

  • Pengontrol domain Active Directory di jaringan VPC yang berbeda: Anda tidak dapat menempatkan pengontrol domain di VPC yang berbeda karenaGoogle Cloud peering VPC tidak mengizinkan perutean transitif. Atau, Anda dapat menghubungkan VPC menggunakan VPN atau melampirkan Volume NetApp ke jaringan VPC bersama yang menghosting pengontrol domain Active Directory. Jika Anda melampirkan NetApp Volumes ke jaringan VPC bersama, maka, secara arsitektur, skenario ini menjadi sama dengan salah satu skenario di bagian sebelumnya.

Langkah berikutnya

Buat kebijakan Active Directory.