Integrasi Active Directory Google Cloud NetApp Volumes

Halaman ini menjelaskan cara Google Cloud NetApp Volumes terintegrasi dengan Active Directory untuk menyediakan identitas dan autentikasi bagi volume Server Message Block (SMB) dan Network File System (NFS) Anda. Memahami integrasi ini akan membantu Anda mengonfigurasi akses yang aman ke berbagi file Anda.

Tentang integrasi

Google Cloud NetApp Volumes terintegrasi dengan Active Directory untuk menyediakan layanan direktori bagi protokol berbagi file, seperti SMB dan NFS. Active Directory menangani autentikasi, pencarian identitas, dan pemetaan prinsipal keamanan melalui layanan seperti Lightweight Directory Access Protocol (LDAP), Domain Name System (DNS), dan Kerberos.

Kebijakan Active Directory menentukan cara NetApp Volumes terhubung ke Active Directory. Konfigurasi pool penyimpanan menggunakan kebijakan ini untuk menentukan setelan Active Directory untuk volume yang Anda buat di dalamnya.

Kebijakan Active Directory bersifat spesifik per wilayah, dan Anda dapat mengonfigurasi hingga lima kebijakan per wilayah.

Protokol berbagi file—seperti SMB (CIFS), NFSv3 dengan grup yang diperluas, dan NFSv4—yang menggunakan prinsipal keamanan, mengandalkan layanan direktori eksternal untuk memberikan informasi identitas pengguna. NetApp Volumes mengandalkan Active Directory untuk layanan direktori. Active Directory menyediakan layanan berikut:

• Server LDAP: mencari objek seperti pengguna, grup, atau komputer

• Server DNS: menyelesaikan nama host dan penemuan pengontrol domain Active Directory

• Server Kerberos: melakukan autentikasi

Untuk mengetahui informasi selengkapnya, lihat Praktik terbaik untuk menjalankan Active Directory di Google Cloud.

Kasus penggunaan untuk Active Directory

NetApp Volumes menggunakan Active Directory untuk beberapa kasus penggunaan:

• Menyediakan layanan dan autentikasi domain SMB: Active Directory berfungsi sebagai layanan domain pusat untuk SMB, yang digunakan NetApp Volumes untuk autentikasi dan pencarian identitas bagi pengguna dan grup. NetApp Volumes bergabung ke domain Anda sebagai anggota, tetapi tidak mendukung SMB dalam mode grup kerja.

• Menyediakan dukungan grup yang diperluas untuk NFSv3: untuk NFSv3 dengan dukungan grup yang diperluas, Active Directory menyediakan server LDAP yang diperlukan untuk mencari objek seperti pengguna, grup, atau akun mesin.

  • Secara khusus, pencarian ID pengguna dan ID grup memerlukan server LDAP yang kompatibel dengan RFC2307bis.

  • Dukungan LDAP diaktifkan di pool penyimpanan selama pembuatan pool.

  • Dukungan grup yang diperluas mengabaikan semua ID grup yang dikirim oleh klien NFS dalam panggilan NFS. Sebagai gantinya, sistem akan mengambil ID pengguna permintaan dan mencari semua ID grup untuk ID pengguna tertentu dari server LDAP untuk pemeriksaan izin file.

  Untuk mengetahui informasi selengkapnya, lihat Mengelola atribut POSIX RFC2307bis LDAP.

• Memetakan prinsipal keamanan ke ID pengguna dan grup untuk NFSv4.x: NetApp Volumes menggunakan Active Directory untuk memetakan prinsipal keamanan ke ID pengguna dan ID grup untuk NFSv4.x.

  • NFSv4.x menggunakan model autentikasi berbasis prinsipal, di mana prinsipal keamanan mengidentifikasi pengguna dalam format user@dns_domain, seperti yang dijelaskan dalam pertimbangan keamanan RFC 7530, bukan ID pengguna dan ID grup. Untuk memetakan prinsipal keamanan ke ID pengguna dan ID grup saat Anda mengakses volume dengan protokol NFSv4.x, NetApp Volumes memerlukan server LDAP yang kompatibel dengan RFC2307bis. NetApp Volumes hanya mendukung server LDAP Active Directory. Dukungan LDAP diaktifkan di pool penyimpanan selama pembuatan pool.

  • Untuk menggunakan prinsipal keamanan, persyaratan berikut harus dipenuhi:

    • Klien dan server NFS harus terhubung ke sumber LDAP yang sama.

    • Anda harus mengonfigurasi file idmapd.conf di klien NFS. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi file idmapd.conf, lihat dokumentasi Ubuntu tentang cara mengonfigurasi file idmapd.conf untuk libnfsidmap.

  • dns_domain adalah nama domain Active Directory, dan user adalah nama pengguna Active Directory. Gunakan nilai ini saat Anda menetapkan atribut POSIX LDAP.

  • Menggunakan ID numerik untuk NFSv4.1: untuk menggunakan NFSv4.1 tanpa pemetaan ID dan hanya menggunakan ID pengguna dan ID grup yang mirip dengan NFSv3, gunakan ID numerik untuk mengabaikan principal keamanan. NetApp Volumes mendukung ID numerik. Klien NFS menggunakan ID numerik secara default jika pemetaan ID tidak dikonfigurasi.

• Menyediakan autentikasi Kerberos untuk NFSv4.x: jika Anda menggunakan Kerberos dengan NFSv4.x, Anda harus menggunakan Active Directory sebagai server LDAP untuk pencarian principal keamanan. Akun utama Kerberos digunakan sebagai ID keamanan. Key Distribution Center Kerberos menggunakan Active Directory.

  Untuk menggunakan Kerberos dengan NFSv4.x, Anda juga harus menyelesaikan langkah-langkah berikut:

  • Lampirkan kebijakan Active Directory yang berisi setelan Kerberos ke kumpulan.

  • Aktifkan dukungan LDAP di penyimpanan gabungan saat Anda membuat penyimpanan gabungan.

Izin yang diperlukan untuk membuat akun komputer Active Directory

Untuk menggunakan Active Directory, NetApp Volumes harus bergabung dengan satu atau beberapa server file virtual ke domain Anda sebagai akun komputer. Untuk bergabung ke domain, Anda harus memberikan kredensial pengguna domain yang memiliki izin untuk menggabungkan komputer ke domain Anda. Secara default, hanya anggota grup Domain Admins yang dapat menggabungkan komputer ke domain, tetapi Active Directory memiliki kemampuan untuk mendelegasikan izin yang diperlukan kepada pengguna atau grup tertentu di tingkat domain penuh atau unit organisasi (OU).

Untuk NetApp Volumes, sebaiknya buat akun layanan domain khusus. Delegasikan hanya izin yang diperlukan untuk menggabungkan komputer baru ke OU tertentu. Setelah pengguna dengan keanggotaan grup Domain User atau Domain Guest dibuat, gunakan petunjuk berikut untuk mendelegasikan izin yang diperlukan.

1. Login ke sistem Anda sebagai administrator domain untuk domain Active Directory Anda.

2. Buka snap-in MMC Active Directory Users and Computers.

3. Dari panel menu, pilih Tampilan dan pastikan Fitur Lanjutan diaktifkan.

   Tanda centang akan ditampilkan jika Fitur Lanjutan diaktifkan.

4. Di panel tugas, luaskan node domain.

5. Temukan OU yang ingin Anda ubah, klik kanan, lalu pilih Properties dari menu konteks.

6. Di jendela OU properties, pilih tab Security.

7. Di bagian Keamanan, klik Lanjutan, lalu klik Tambahkan.

8. Dalam dialog Permission Entry, selesaikan langkah-langkah berikut:

   1. Klik Select a principal.

   2. Masukkan nama akun layanan atau grup Anda, lalu klik OKE.

   3. Untuk Berlaku untuk:, pilih Objek ini dan semua objek turunan.

   4. Pastikan izin berikut dipilih:

      • Mengubah izin

      • Membuat objek komputer

      • Menghapus objek komputer

9. Centang kotak Apply, lalu klik OK.

10. Tutup snap-in MMC Active Directory Users and Computers.

Setelah akun layanan didelegasikan, Anda dapat memberikan nama pengguna dan sandi sebagai kredensial kebijakan Active Directory.

Untuk keamanan tambahan, selama kueri dan pembuatan objek akun mesin, nama pengguna dan sandi yang diteruskan ke domain Active Directory menggunakan enkripsi Kerberos.

Pengontrol domain Active Directory

Untuk menghubungkan NetApp Volumes ke domain Anda, layanan ini menggunakan penemuan berbasis DNS untuk mengidentifikasi daftar pengontrol domain yang tersedia untuk digunakan.

Layanan menjalankan langkah-langkah berikut untuk menemukan pengendali domain yang akan digunakan:

1. Penemuan Situs Active Directory: NetApp Volumes menggunakan ping LDAP ke IP server DNS yang ditentukan dalam kebijakan Active Directory untuk mengambil informasi subnet Situs Active Directory. Fungsi ini menampilkan daftar CIDR dan Situs Active Directory yang ditetapkan ke CIDR tersebut.

   Get-ADReplicationSubnet -Filter * | Select-Object Name,Site

2. Tentukan nama situs: jika alamat IP volume cocok dengan salah satu subnet yang ditentukan, nama situs terkait akan digunakan. Kecocokan subnet yang lebih kecil lebih diutamakan daripada kecocokan subnet yang lebih besar. Jika alamat IP volume tidak diketahui, buat volume sementara secara manual dengan jenis protokol NFS untuk menentukan CIDR yang digunakan./28

   Jika tidak ada nama situs yang ditentukan di Active Directory, nama situs yang dikonfigurasi dalam kebijakan Active Directory akan digunakan. Jika tidak ada nama situs yang dikonfigurasi, tingkat layanan Standar, Premium, dan Extreme akan menggunakan situs Default-First-Site-Name. Jika tingkat layanan Flex mencoba menggunakan situs Default-First-Site-Name, tindakan tersebut akan gagal dan tingkat layanan Flex akan menggunakan penemuan pengontrol domain lengkap. Perhatikan bahwa perubahan pada parameter situs Active Directory diabaikan oleh kumpulan penyimpanan tingkat layanan Flex.

3. Penemuan pengontrol domain: setelah semua informasi yang diperlukan diperoleh, layanan mengidentifikasi potensi pengontrol domain menggunakan kueri DNS berikut:

   nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>

   Untuk penemuan domain penuh, layanan menggunakan kueri DNS berikut:

   nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>

4. Pembuatan daftar pengontrol domain: daftar pengontrol domain dibuat. NetApp Volumes terus memantau ketersediaan semuanya. Dari pengontrol domain yang tersedia, perangkat akan memilih salah satu pengontrol domain untuk bergabung dengan domain dan melakukan pencarian. Jika pengontrol domain yang dipilih tidak tersedia, pengontrol domain lain dari daftar Tersedia akan digunakan secara otomatis. Perhatikan bahwa pengendali domain yang Anda pilih tidak harus merupakan server DNS yang ditentukan.

Anda harus menyediakan setidaknya satu pengontrol domain yang dapat diakses agar layanan dapat menggunakannya. Sebaiknya gunakan beberapa pengontrol domain untuk meningkatkan ketersediaan pengontrol domain. Pastikan ada jalur jaringan yang dirutekan antara NetApp Volumes dan pengontrol domain, serta aturan firewall di pengontrol domain Anda mengizinkan NetApp Volumes untuk terhubung.

Untuk mengetahui informasi selengkapnya, lihat Pertimbangan desain dan praktik terbaik Active Directory.

Topologi pengontrol domain Active Directory

Setelah berhasil terhubung ke pengontrol domain Active Directory, Anda dapat menggunakan protokol berbagi file berikut:

• SMB

• NFSv3 dengan grup yang diperluas

• NFSv4 dengan principal keamanan dan Kerberos

Skenario berikut menjelaskan potensi topologi. Skenario ini berfokus pada pengontrol domain yang digunakan oleh NetApp Volumes. Pengontrol domain lain untuk domain yang sama hanya dijelaskan jika diperlukan. Sebaiknya Anda men-deploy minimal dua pengontrol domain untuk redundansi dan ketersediaan.

Topologi	Deskripsi
Pengontrol domain dan volume Active Directory di satu region	Skenario ini adalah strategi deployment paling sederhana di mana pengontrol domain berada di region yang sama dengan volume.
Pengontrol domain dan volume Active Directory di region terpisah	Anda dapat menggunakan pengontrol domain di region yang berbeda dari volume. Konfigurasi ini dapat berdampak negatif pada performa autentikasi dan akses file.
Pengontrol domain Active Directory di beberapa region menggunakan situs AD	Jika Anda menggunakan volume di beberapa region, sebaiknya tempatkan setidaknya satu pengontrol domain di setiap region. Meskipun layanan secara otomatis memilih pengontrol domain, sebaiknya Anda mengelola pemilihan pengontrol domain dengan situs Active Directory.
Pengontrol domain Active Directory di jaringan lokal	Anda dapat menggunakan pengontrol domain lokal melalui VPN, tetapi hal ini dapat berdampak negatif terhadap performa autentikasi pengguna akhir dan akses file. Jangan menambahkan hop peering Virtual Private Cloud tambahan di jalur jaringan Anda. Peering VPC tunduk pada batasan perutean transitif. Traffic tidak dirutekan di luar hop peering VPC yang sudah digunakan NetApp Volumes.
Pengontrol domain Active Directory di jaringan VPC yang berbeda	Anda tidak dapat menempatkan pengendali domain di VPC yang berbeda karena Google Cloud peering VPC tidak mengizinkan perutean transitif. Atau, Anda dapat menghubungkan VPC menggunakan VPN atau melampirkan Volume NetApp ke jaringan VPC bersama yang menghosting pengontrol domain Active Directory. Jika Anda melampirkan NetApp Volumes ke jaringan VPC bersama, maka konfigurasi ini mirip dengan salah satu skenario sebelumnya.

Langkah berikutnya

Buat kebijakan Active Directory.