Integración de Active Directory en Google Cloud NetApp Volumes

En esta página, se explica cómo se integran Google Cloud NetApp Volumes con Active Directory para proporcionar identidad y autenticación a tus volúmenes de bloque de mensajes del servidor (SMB) y sistema de archivos de red (NFS). Comprender esta integración te ayuda a configurar un acceso seguro a tus recursos compartidos de archivos.

Acerca de la integración

Google Cloud NetApp Volumes se integra con Active Directory para proporcionar servicios de directorio para protocolos de uso compartido de archivos, como SMB y NFS. Active Directory controla la autenticación, las búsquedas de identidad y la asignación de entidades de seguridad a través de servicios como el Protocolo ligero de acceso a directorios (LDAP), el Sistema de nombres de dominio (DNS) y Kerberos.

Una política de Active Directory especifica cómo se conectan NetApp Volumes a Active Directory. Las configuraciones de grupos de almacenamiento usan estas políticas para definir la configuración de Active Directory para los volúmenes que creas en ellos.

Las políticas de Active Directory son específicas de la región, y puedes configurar hasta cinco políticas por región.

Los protocolos de uso compartido de archivos, como SMB (CIFS), NFSv3 con grupos extendidos y NFSv4, que usan principales de seguridad, dependen de servicios de directorio externos para proporcionar información de identidad del usuario. NetApp Volumes depende de Active Directory para los servicios de directorio. Active Directory proporciona los siguientes servicios:

  • Servidores LDAP: Buscan objetos como usuarios, grupos o máquinas.

  • Servidores DNS: Resuelven nombres de host y detectan controladores de dominio de Active Directory

  • Servidores de Kerberos: Realizan la autenticación

Para obtener más información, consulta Prácticas recomendadas para ejecutar Active Directory en Google Cloud.

Casos de uso de Active Directory

NetApp Volumes usa Active Directory para varios casos de uso:

  • Proporciona servicio y autenticación de dominio SMB: Active Directory funciona como el servicio de dominio central para SMB, que NetApp Volumes usa para la autenticación y las búsquedas de identidad de usuarios y grupos. NetApp Volumes se une a tu dominio como miembro, pero no admite SMB en el modo de grupo de trabajo.

  • Proporciona compatibilidad con grupos extendidos para NFSv3: Para NFSv3 con compatibilidad con grupos extendidos, Active Directory proporciona el servidor LDAP necesario para buscar objetos, como usuarios, grupos o cuentas de máquinas.

    • Específicamente, las búsquedas de ID de usuario y de ID de grupo requieren un servidor LDAP que cumpla con RFC2307bis.

    • La compatibilidad con LDAP se habilita en los grupos de almacenamiento durante la creación del grupo.

    • La compatibilidad con grupos extendidos ignora todos los IDs de grupo que envía el cliente de NFS en una llamada a NFS. En su lugar, toma el ID de usuario de la solicitud y busca todos los IDs de grupo para el ID de usuario determinado en el servidor LDAP para las verificaciones de permisos de archivos.

    Para obtener más información, consulta Administra atributos POSIX de RFC2307bis de LDAP.

  • Asigna entidades de seguridad a IDs de usuarios y grupos para NFSv4.x: NetApp Volumes usan Active Directory para asignar entidades de seguridad a IDs de usuarios y grupos para NFSv4.x.

    • NFSv4.x usa un modelo de autenticación basado en entidades principales, en el que las entidades principales de seguridad identifican a los usuarios en el formato user@dns_domain, como se describe en RFC 7530 security considerations, en lugar de IDs de usuario y de grupo. Para asignar entidades de seguridad a IDs de usuarios y de grupos cuando accedes al volumen con un protocolo NFSv4.x, NetApp Volumes requiere un servidor LDAP compatible con RFC2307bis. NetApp Volumes solo admiten servidores LDAP de Active Directory. La compatibilidad con LDAP se habilita en los grupos de almacenamiento durante la creación del grupo.

    • Para usar entidades de seguridad, se deben cumplir los siguientes requisitos:

    • dns_domain es el nombre de dominio de Active Directory y user es el nombre del usuario de Active Directory. Usa estos valores cuando configures tus atributos POSIX de LDAP.

    • Usa IDs numéricos para NFSv4.1: Para usar NFSv4.1 sin asignación de IDs y solo usar IDs de usuario y de grupo similares a NFSv3, usa IDs numéricos para ignorar las entidades de seguridad. NetApp Volumes admite IDs numéricos. Los clientes de NFS usan IDs numéricos de forma predeterminada si no se configura la asignación de IDs.

  • Proporciona autenticación de Kerberos para NFSv4.x: Si usas Kerberos con NFSv4.x, debes usar Active Directory como el servidor LDAP para las búsquedas de entidades de seguridad. Los principales de Kerberos se usan como identificadores de seguridad. El centro de distribución de claves de Kerberos usa Active Directory.

    Para usar Kerberos con NFSv4.x, también debes completar los siguientes pasos:

    • Adjunta una política de Active Directory que contenga la configuración de Kerberos al grupo.

    • Habilita la compatibilidad con LDAP en un grupo de almacenamiento cuando crees el grupo.

Permisos necesarios para crear cuentas de máquinas de Active Directory

Para usar Active Directory, NetApp Volumes deben unir uno o más servidores de archivos virtuales a tu dominio como cuentas de computadora. Para unirte al dominio, debes proporcionar las credenciales de un usuario del dominio que tenga permiso para unir computadoras a tu dominio. De forma predeterminada, solo los miembros del grupo Domain Admins pueden unir computadoras al dominio, pero Active Directory tiene la capacidad de delegar los permisos necesarios a usuarios o grupos individuales a nivel de un dominio completo o una unidad organizativa (UO).

En el caso de los volúmenes de NetApp, se recomienda crear una cuenta de servicio de dominio dedicada. Delega solo los permisos necesarios para unir computadoras nuevas a una UO específica. Una vez que se cree un usuario con membresía en el grupo Domain User o Domain Guest, usa las siguientes instrucciones para delegar los permisos requeridos.

  1. Accede a tu sistema como administrador de dominio para tu dominio de Active Directory.

  2. Abre el complemento de MMC Usuarios y computadoras de Active Directory.

  3. En la barra de menú, selecciona Ver y asegúrate de que Funciones avanzadas esté habilitada.

    Si la opción Funciones avanzadas está habilitada, se mostrará una marca de verificación.

  4. En el panel de tareas, expande el nodo del dominio.

  5. Busca la UO que deseas modificar, haz clic con el botón derecho y selecciona Propiedades en el menú contextual.

  6. En la ventana Propiedades de la OU, selecciona la pestaña Seguridad.

  7. En Seguridad, haz clic en Avanzada y, luego, en Agregar.

  8. En el cuadro de diálogo Entrada de permiso, completa los siguientes pasos:

    1. Haz clic en Selecciona un principal.

    2. Ingresa el nombre de tu cuenta de servicio o grupo y haz clic en Aceptar.

    3. En Se aplica a:, selecciona Este objeto y todos los objetos descendientes.

    4. Asegúrate de que estén seleccionados los siguientes permisos:

      • Modificar permisos

      • Crea objetos de computadora

      • Borra objetos de la computadora

  9. Selecciona la casilla de verificación Aplicar y, luego, haz clic en Aceptar.

  10. Cierra el complemento de MMC Usuarios y computadoras de Active Directory.

Después de delegar la cuenta de servicio, puedes proporcionar el nombre de usuario y la contraseña como credenciales de la política de Active Directory.

Para mayor seguridad, durante la consulta y la creación del objeto de la cuenta de la máquina, el nombre de usuario y la contraseña que se pasan al dominio de Active Directory usan la encriptación de Kerberos.

Controladores de dominio de Active Directory

Para conectar NetApp Volumes a tu dominio, el servicio usa el descubrimiento basado en DNS para identificar una lista de controladores de dominio disponibles que se pueden usar.

El servicio ejecuta los siguientes pasos para encontrar un controlador de dominio que se pueda usar:

  1. Detección de sitios de Active Directory: NetApp Volumes usa un ping de LDAP a la IP del servidor DNS especificada en la política de Active Directory para recuperar la información de la subred del sitio de Active Directory. Devuelve una lista de CIDR y los sitios de Active Directory que se asignan a esos CIDR.

    Get-ADReplicationSubnet -Filter * | Select-Object Name,Site

  2. Definir nombres de sitios: Si la dirección IP del volumen coincide con alguna de las subredes definidas, se usa el nombre del sitio asociado. Las coincidencias de subredes más pequeñas tienen prioridad sobre las coincidencias de subredes más grandes. Si se desconoce la dirección IP del volumen, crea manualmente un volumen temporal con el tipo de protocolo NFS para determinar el CIDR /28 que se usa.

    Si no se define ningún nombre de sitio en Active Directory, se usará el nombre de sitio configurado en la política de Active Directory. Si no se configura ningún nombre de sitio, los niveles de servicio Estándar, Premium y Extremo usan el sitio Default-First-Site-Name. Si el nivel de servicio de Flex intenta usar el sitio Default-First-Site-Name, fallará y, en su lugar, usará la detección completa del controlador de dominio. Ten en cuenta que los cambios en el parámetro del sitio de Active Directory se ignoran en los grupos de almacenamiento con el nivel de servicio Flex.

  3. Descubrimiento de controladores de dominio: Con toda la información necesaria adquirida, el servicio identifica los posibles controladores de dominio con la siguiente consulta de DNS:

    nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>

    Para el descubrimiento completo del dominio, el servicio usa la siguiente consulta de DNS:

    nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>

  4. Generación de la lista de controladores de dominio: Se genera una lista de controladores de dominio. NetApp Volumes supervisa constantemente todos los volúmenes para garantizar su disponibilidad. De los controladores de dominio disponibles, selecciona uno para la unión al dominio y las búsquedas. Si el controlador de dominio seleccionado deja de estar disponible, se usará automáticamente otro controlador de dominio de la lista Available. Ten en cuenta que el controlador de dominio que elijas no necesariamente es el servidor DNS especificado.

Debes proporcionar al menos un controlador de dominio accesible para que el servicio lo use. Recomendamos varios para mejorar la disponibilidad del controlador de dominio. Asegúrate de que haya una ruta de red enrutada entre NetApp Volumes y los controladores de dominio, y de que las reglas de firewall de tus controladores de dominio permitan que NetApp Volumes se conecte.

Para obtener más información, consulta Consideraciones de diseño y prácticas recomendadas de Active Directory.

Topologías de controladores de dominio de Active Directory

Una vez que te conectes correctamente a los controladores de dominio de Active Directory, podrás usar los siguientes protocolos de uso compartido de archivos:

  • SMB

  • NFSv3 con grupos extendidos

  • NFSv4 con principales de seguridad y Kerberos

En las siguientes situaciones, se describen las posibles topologías. Estas situaciones se centran en el controlador de dominio que usan NetApp Volumes. Los demás controladores de dominio del mismo dominio se describen solo cuando es necesario. Te recomendamos que implementes al menos dos controladores de dominio para garantizar la redundancia y la disponibilidad.

Topología Descripción
Controlador de dominio y volúmenes de Active Directory en una región Este caso es la estrategia de implementación más simple, en la que un controlador de dominio se encuentra en la misma región que el volumen.
Controlador de dominio de Active Directory y volúmenes en regiones separadas Puedes usar un controlador de dominio en una región diferente de la de un volumen. Esta configuración podría afectar negativamente el rendimiento de la autenticación y el acceso a los archivos.
Controladores de dominio de Active Directory en varias regiones que usan sitios de AD Si usas volúmenes en varias regiones, te recomendamos que coloques al menos un controlador de dominio en cada región. Si bien el servicio selecciona automáticamente el controlador de dominio, te recomendamos que administres la selección de controladores de dominio con sitios de Active Directory.
Controlador de dominio de Active Directory en una red local Puedes usar un controlador de dominio local a través de una VPN, pero esto puede afectar negativamente la autenticación del usuario final y el rendimiento del acceso a los archivos. No agregues saltos de intercambio de tráfico de nube privada virtual adicionales en la ruta de red. El intercambio de tráfico entre VPC está sujeto a restricciones de enrutamiento transitivo. El tráfico no se enruta más allá del salto de intercambio de tráfico de VPC que ya consumen NetApp Volumes.
Controlador de dominio de Active Directory en una red de VPC diferente No puedes colocar el controlador de dominio en una VPC diferente, ya que Google Cloud el intercambio de tráfico entre VPC no permite el enrutamiento transitivo. Como alternativa, puedes conectar las VPC a través de una VPN o adjuntar NetApp Volumes a una red de VPC compartida que aloje los controladores de dominio de Active Directory. Si adjuntas NetApp Volumes a una red de VPC compartida, esta configuración será similar a una de las situaciones anteriores.

¿Qué sigue?

Crea una política de Active Directory.