Questa pagina descrive l'integrazione di Google Cloud NetApp Volumes Active Directory.
Informazioni sull'integrazione
Un criterio di Active Directory indica a NetApp Volumes come connettersi ad Active Directory. Le configurazioni del pool di archiviazione utilizzano i criteri di Active Directory per definire le impostazioni di Active Directory dei volumi che crei al loro interno.
Le policy di Active Directory sono specifiche per regione e puoi configurare fino a cinque policy per regione.
I protocolli di condivisione file, come SMB (CIFS), NFSv3 con gruppi estesi e NFSv4, che utilizzano i principal di sicurezza, si basano su servizi di directory esterni per fornire informazioni sull'identità dell'utente. NetApp Volumes si basa su Active Directory per i servizi di directory. Active Directory fornisce i seguenti servizi:
Server LDAP: cerca oggetti come utenti, gruppi o macchine
Server DNS: risolvono i nomi host e la scoperta dei controller di dominio Active Directory
Server Kerberos: eseguono l'autenticazione
Per saperne di più, consulta la sezione Best practice per l'esecuzione di Active Directory su Google Cloud.
Casi d'uso di Active Directory
NetApp Volumes utilizza Active Directory per diversi casi d'uso:
Servizio di dominio SMB: Active Directory è il servizio di dominio centrale per SMB. Utilizza SMB per l'autenticazione e le ricerche di identità per utenti e gruppi. NetApp Volumes entra a far parte del dominio come membro, ma non supporta SMB in modalità gruppo di lavoro.
Supporto dei gruppi estesi NFSv3: per NFSv3 con supporto dei gruppi estesi, Active Directory fornisce il server LDAP necessario per cercare oggetti come utenti, gruppi o account macchina. In particolare, le ricerche di ID utente e ID gruppo richiedono un server LDAP conforme a
RFC2307bis. Il supporto LDAP è abilitato sui pool di archiviazione durante la creazione del pool.Il supporto dei gruppi estesi ignora tutti gli ID gruppo inviati dal client NFS in una chiamata NFS. Al contrario, prende l'ID utente della richiesta e cerca tutti gli ID gruppo per l'ID utente specificato dal server LDAP per eseguire i controlli delle autorizzazioni dei file.
Per saperne di più, vedi Gestire gli attributi LDAP
RFC2307bisPOSIX.Mappatura del principal di sicurezza NFSv4.x all'ID utente e all'ID gruppo: per NFSv4.x, NetApp Volumes utilizza Active Directory per mappare i principal di sicurezza agli ID utente e agli ID gruppo. NFSv4 utilizza un modello di autenticazione basato sul principal. Nell'autenticazione basata sui principal, i principal di sicurezza identificano gli utenti che assumono la forma
user@dns_domain(vedi considerazioni sulla sicurezza diRFC 7530) anziché ID utente e ID gruppo. Per mappare i principal di sicurezza agli ID utente e agli ID gruppo quando accedi al volume con un protocollo NFSv4.x, NetApp Volumes richiede un server LDAP conforme aRFC2307bis. NetApp Volumes supportano solo i server LDAP di Active Directory. Il supporto LDAP è abilitato sui pool di archiviazione durante la creazione del pool.Per utilizzare i principal di sicurezza, il client e il server NFS devono connettersi alla stessa origine LDAP e devi configurare il file
idmapd.confsul client. Per maggiori informazioni su come configurare il fileidmapd.conf, consulta la documentazione di Ubuntu su come configurare il fileidmapd.confperlibnfsidmap.dns_domainutilizza il nome di dominio Active Directory euseridentifica il nome dell'utente Active Directory. Utilizza questi valori quando imposti gli attributi LDAP POSIX.Per utilizzare NFSv4.1 senza mappatura degli ID e utilizzare solo ID utente e ID gruppo simili a NFSv3, utilizza ID numerici per ignorare i principal di sicurezza. NetApp Volumes supporta gli ID numerici. I client NFS attuali utilizzano ID numerici per impostazione predefinita se il mapping degli ID non è configurato.
NFSv4.x con Kerberos:se utilizzi Kerberos, è obbligatorio utilizzare Active Directory come server LDAP per le ricerche delle entità di sicurezza. Le entità Kerberos vengono utilizzate come identificatori di sicurezza. Il centro di distribuzione chiavi Kerberos utilizza Active Directory. Per fare in modo che funzioni, devi collegare un criterio Active Directory che contenga le impostazioni Kerberos al pool e attivare il supporto LDAP su un pool di archiviazione quando lo crei.
Autorizzazioni richieste per creare account macchina Active Directory
Per utilizzare Active Directory, i NetApp Volumes devono unirsi a uno o più
file server virtuali al tuo dominio come account computer. Per partecipare al dominio,
devi fornire le credenziali di un utente del dominio che disponga dell'autorizzazione per unire
computer al tuo dominio. Per impostazione predefinita, solo i membri del gruppo Domain Admins possono
unire computer al dominio, ma Active Directory ha la capacità di
delegare le autorizzazioni richieste a singoli utenti o gruppi a
livello di dominio completo o unità organizzativa (UO).
Per i volumi NetApp, ti consigliamo di creare un account di servizio
di dominio dedicato. Delega solo le autorizzazioni necessarie per aggiungere nuovi computer
a una UO specifica. Una volta creato un utente con l'appartenenza al gruppo Domain User o Domain Guest, utilizza le seguenti istruzioni per delegare le autorizzazioni
richieste.
Accedi al sistema come amministratore di dominio per il dominio Active Directory.
Apri lo snap-in MMC Utenti e computer di Active Directory.
Dalla barra dei menu, seleziona Visualizza e assicurati che l'opzione Funzionalità avanzate sia attivata.
Se le funzionalità avanzate sono attive, viene visualizzato un segno di spunta.
Nel riquadro delle attività, espandi il nodo del dominio.
Individua l'unità organizzativa che vuoi modificare, fai clic con il tasto destro del mouse e seleziona Proprietà dal menu contestuale.
Nella finestra Proprietà unità organizzativa, seleziona la scheda Sicurezza.
In Sicurezza, fai clic su Avanzate e poi su Aggiungi.
Nella finestra di dialogo Voce di autorizzazione, completa i seguenti passaggi:
Fai clic su Seleziona un'entità.
Inserisci il nome del tuo account di servizio o gruppo e fai clic su Ok.
Per Si applica a, seleziona Questo oggetto e tutti gli oggetti discendenti.
Assicurati che siano selezionate le seguenti autorizzazioni:
Modificare le autorizzazioni
Creare oggetti computer
Eliminare oggetti computer
Seleziona la casella di controllo Applica e poi fai clic su Ok.
Chiudi lo snap-in MMC Utenti e computer di Active Directory.
Dopo la delega dell'account di servizio, puoi fornire il nome utente e la password come credenziali del criterio Active Directory.
Per una maggiore sicurezza, durante la query e la creazione dell'oggetto account macchina, il nome utente e la password passati al dominio Active Directory utilizzano la crittografia Kerberos.
Domain controller Active Directory
Per connettere i NetApp Volumes al tuo dominio, il servizio utilizza il rilevamento basato su DNS per identificare un elenco di domain controller disponibili da utilizzare.
Il servizio esegue i seguenti passaggi per trovare un controller di dominio da utilizzare:
Rilevamento del sito Active Directory: NetApp Volumes utilizza un ping LDAP all'IP del server DNS specificato nella policy di Active Directory per recuperare le informazioni sulla subnet del sito Active Directory. Restituisce un elenco di CIDR e i siti Active Directory assegnati a questi CIDR.
Get-ADReplicationSubnet -Filter * | Select-Object Name,SiteDefinisci i nomi dei siti: se l'indirizzo IP del volume corrisponde a una delle subnet definite, viene utilizzato il nome del sito associato. Le corrispondenze con subnet più piccole hanno la precedenza su quelle con subnet più grandi. Se l'indirizzo IP del volume è sconosciuto, crea manualmente un volume temporaneo con il tipo di protocollo NFS per determinare il CIDR
/28utilizzato.Se non è definito alcun nome del sito in Active Directory, viene utilizzato il nome del sito configurato nel criterio di Active Directory. Se non è configurato alcun nome del sito, i livelli di servizio Standard, Premium ed Extreme utilizzano il sito
Default-First-Site-Name. Se il livello di servizio flessibile tenta di utilizzare il sitoDefault-First-Site-Name, l'operazione non andrà a buon fine e il livello di servizio flessibile utilizzerà invece l'individuazione completa del controller di dominio. Tieni presente che le modifiche al parametro del sito Active Directory vengono ignorate dai pool di archiviazione con livello di servizio Flex.Rilevamento del domain controller: dopo aver acquisito tutte le informazioni necessarie, il servizio identifica i potenziali domain controller utilizzando la seguente query DNS:
nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>Per l'individuazione completa del dominio, il servizio utilizza la seguente query DNS:
nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>Generazione dell'elenco dei domain controller: viene generato un elenco di domain controller. NetApp Volumes li monitora costantemente per verificare la disponibilità. Tra i controller di dominio disponibili, ne seleziona uno per l'unione al dominio e le ricerche. Se il controller di dominio selezionato non è più disponibile, viene utilizzato automaticamente un altro controller di dominio dall'elenco Disponibili. Tieni presente che il domain controller che scegli non è necessariamente il server DNS specificato.
Devi fornire almeno un domain controller accessibile da utilizzare per il servizio. Ne consigliamo diversi per una migliore disponibilità del domain controller. Assicurati che esista un percorso di rete instradato tra NetApp Volumes e i controller di dominio e che le regole firewall sui controller di dominio consentano a NetApp Volumes di connettersi.
Per saperne di più, consulta Considerazioni e best practice per la progettazione di Active Directory.
Topologie del controller di dominio Active Directory
Una volta connesso correttamente ai domain controller Active Directory, puoi utilizzare i seguenti protocolli di condivisione file:
SMB
NFSv3 con gruppi estesi
NFSv4 con entità di sicurezza e Kerberos
Gli scenari seguenti descrivono le potenziali topologie. Gli scenari descrivono solo il domain controller utilizzato da NetApp Volumes. Gli altri controller di dominio per lo stesso dominio vengono descritti solo se necessario. Consigliamo di implementare almeno due domain controller per la ridondanza e la disponibilità.
Domain controller Active Directory e volumi in una regione: questo scenario è la strategia di deployment più semplice, in cui un domain controller si trova nella stessa regione del volume.
Domain controller Active Directory e volumi in regioni separate: puoi utilizzare un domain controller in una regione diversa da un volume. Ciò potrebbe influire negativamente sulle prestazioni di autenticazione e accesso ai file.
Domain controller Active Directory in più regioni che utilizzano siti AD: se utilizzi volumi in più regioni, ti consigliamo di posizionare almeno un domain controller in ogni regione. Anche se il servizio tenta di scegliere automaticamente il miglior domain controller da utilizzare, ti consigliamo di gestire la selezione del domain controller con i siti di Active Directory.
Domain controller Active Directory in una rete on-premise: puoi utilizzare un domain controller on-premise tramite VPN, ma ciò può influire negativamente sull'autenticazione dell'utente finale e sulle prestazioni di accesso ai file. Assicurati di non aggiungere ulteriori hop di peering Virtual Private Cloud nel percorso di rete. Il peering VPC è soggetto a limitazioni di routing transitivo. Il traffico non viene instradato oltre l'hop di peering VPC già utilizzato da NetApp Volumes.
Controller di dominio Active Directory in una rete VPC diversa: non puoi inserire il controller di dominio in un VPC diverso perché il peering VPC non consente il routing transitivo.Google Cloud In alternativa, puoi connettere i VPC utilizzando una VPN o collegare iNetApp Volumesp a una rete VPC condivisa che ospita i domain controller Active Directory. Se colleghi NetApp Volumes a una rete VPC condivisa, questo scenario diventa architetturalmente uguale a uno degli scenari nelle sezioni precedenti.
Passaggi successivi
Crea una policy Active Directory.