Esta página explica como os volumes NetApp do Google Cloud se integram com o Active Directory para fornecer identidade e autenticação para os seus volumes de blocos de mensagens do servidor (SMB) e do sistema de ficheiros de rede (NFS). A compreensão desta integração ajuda a configurar o acesso seguro às suas partilhas de ficheiros.
Acerca da integração
Os Google Cloud NetApp Volumes integram-se com o Active Directory para fornecer serviços de diretório para protocolos de partilha de ficheiros, como SMB e NFS. O Active Directory processa a autenticação, as pesquisas de identidade e o mapeamento de entidades de segurança através de serviços como o Protocolo LDAP (Lightweight Directory Access Protocol), o Sistema de Nomes de Domínio (DNS) e o Kerberos.
Uma política do Active Directory especifica como os volumes do NetApp se ligam ao Active Directory. As configurações do conjunto de armazenamento usam estas políticas para definir as definições do Active Directory para os volumes que criar nas mesmas.
As políticas do Active Directory são específicas da região e pode configurar até cinco políticas por região.
Os protocolos de partilha de ficheiros, como SMB (CIFS), NFSv3 com grupos alargados e NFSv4, que usam princípios de segurança, baseiam-se em serviços de diretório externos para fornecer informações de identidade do utilizador. Os volumes do NetApp baseiam-se no Active Directory para serviços de diretório. O Active Directory oferece os seguintes serviços:
Servidores LDAP: pesquisam objetos, como utilizadores, grupos ou máquinas
Servidores DNS: resolvem nomes de anfitriões e a deteção de controladores de domínio do Active Directory
Servidores Kerberos: realizam a autenticação
Para mais informações, consulte o artigo Práticas recomendadas para executar o Active Directory no Google Cloud.
Exemplos de utilização do Active Directory
Os volumes da NetApp usam o Active Directory para vários exemplos de utilização:
Fornece autenticação e serviço de domínio SMB: o Active Directory funciona como o serviço de domínio central para o SMB, que os volumes NetApp usam para autenticação e pesquisas de identidade para utilizadores e grupos. O NetApp Volumes junta-se ao seu domínio como membro, mas não suporta SMB no modo de grupo de trabalho.
Oferece suporte de grupo alargado para NFSv3: para NFSv3 com suporte de grupo alargado, o Active Directory fornece o servidor LDAP necessário para procurar objetos, como utilizadores, grupos ou contas de máquinas.
Especificamente, as pesquisas de ID do utilizador e ID do grupo requerem um servidor LDAP compatível com a norma
RFC2307bis.O suporte de LDAP é ativado nos conjuntos de armazenamento durante a criação do conjunto.
O suporte de grupos alargado ignora todos os IDs de grupos enviados pelo cliente NFS numa chamada NFS. Em vez disso, usa o ID do utilizador do pedido e procura todos os IDs dos grupos para o ID do utilizador especificado no servidor LDAP para verificações de autorizações de ficheiros.
Para mais informações, consulte o artigo Faça a gestão dos atributos POSIX
RFC2307bisLDAP.Mapeia os responsáveis pela segurança para IDs de utilizadores e IDs de grupos para NFSv4.x: Os volumes da NetApp usam o Active Directory para mapear os responsáveis pela segurança para IDs de utilizadores e IDs de grupos para NFSv4.x.
O NFSv4.x usa um modelo de autenticação baseado em diretor, em que os diretores de segurança identificam os utilizadores no formato
user@dns_domain, conforme descrito nas considerações de segurança do RFC 7530, em vez de IDs de utilizadores e IDs de grupos. Para mapear os principais de segurança para IDs de utilizadores e IDs de grupos quando acede ao volume com um protocolo NFSv4.x, os volumes NetApp requerem um servidor LDAP compatível comRFC2307bis. Os volumes NetApp só suportam servidores LDAP do Active Directory. O suporte de LDAP é ativado nos conjuntos de armazenamento durante a criação do conjunto.Para usar os principais de segurança, têm de ser cumpridos os seguintes requisitos:
O cliente e o servidor NFS têm de estabelecer ligação à mesma origem LDAP.
Tem de configurar o ficheiro
idmapd.confno cliente NFS. Para mais informações sobre como configurar o ficheiroidmapd.conf, consulte a documentação do Ubuntu sobre como configurar o ficheiroidmapd.confpara olibnfsidmap.
O
dns_domainé o nome do domínio do Active Directory e ouseré o nome do utilizador do Active Directory. Use estes valores quando definir os atributos POSIX do LDAP.Usar IDs numéricos para NFSv4.1: para usar NFSv4.1 sem mapeamento de IDs e usar apenas IDs de utilizadores e IDs de grupos semelhantes ao NFSv3, use IDs numéricos para ignorar os principais de segurança. O NetApp Volumes suporta IDs numéricos. Os clientes NFS usam IDs numéricos por predefinição se o mapeamento de IDs não estiver configurado.
Fornece autenticação Kerberos para NFSv4.x: se usar o Kerberos com o NFSv4.x, tem de usar o Active Directory como o servidor LDAP para pesquisas de principal de segurança. Os principais do Kerberos são usados como identificadores de segurança. O centro de distribuição de chaves do Kerberos usa o Active Directory.
Para usar o Kerberos com o NFSv4.x, também tem de concluir os seguintes passos:
Anexe uma política do Active Directory que contenha definições do Kerberos ao conjunto.
Ative o suporte de LDAP num conjunto de armazenamento quando criar o conjunto.
Autorizações necessárias para criar contas de máquinas do Active Directory
Para usar o Active Directory, os volumes NetApp têm de associar um ou mais servidores de ficheiros virtuais ao seu domínio como contas de computador. Para aderir ao domínio,
tem de fornecer as credenciais de um utilizador do domínio que tenha autorização para aderir
a computadores no seu domínio. Por predefinição, apenas os membros do grupo Domain Admins podem juntar computadores ao domínio, mas o Active Directory tem a capacidade de delegar as autorizações necessárias a utilizadores ou grupos individuais ao nível de um domínio completo ou de uma unidade organizacional (UO).
Para os volumes NetApp, recomenda-se que crie uma conta de serviço de domínio dedicada. Delegue apenas as autorizações necessárias para associar novos computadores
a uma UO específica. Depois de criar um utilizador com a associação ao grupo Domain User ou Domain Guest, use as instruções seguintes para delegar as autorizações necessárias.
Inicie sessão no seu sistema como administrador de domínio para o domínio do Active Directory.
Abra o snap-in MMC Utilizadores e computadores do Active Directory.
Na barra de menu, selecione Ver e certifique-se de que a opção Funcionalidades avançadas está ativada.
É apresentada uma marca de verificação se as Funcionalidades avançadas estiverem ativadas.
No painel de tarefas, expanda o nó de domínio.
Localize a UO que quer modificar, clique com o botão direito do rato e selecione Propriedades no menu de contexto.
Na janela Propriedades da UO, selecione o separador Segurança.
Em Segurança, clique em Avançadas e, de seguida, em Adicionar.
Na caixa de diálogo Entrada de autorização, conclua os seguintes passos:
Clique em Selecionar um principal.
Introduza o nome da sua conta de serviço ou grupo e clique em OK.
Em Aplica-se a:, selecione Este objeto e todos os objetos descendentes.
Certifique-se de que as seguintes autorizações estão selecionadas:
Modifique as autorizações
Crie objetos de computador
Elimine objetos de computador
Selecione a caixa de verificação Aplicar e, de seguida, clique em OK.
Feche o snap-in MMC Utilizadores e computadores do Active Directory.
Depois de delegar a conta de serviço, pode fornecer o nome de utilizador e a palavra-passe como credenciais da política do Active Directory.
Para maior segurança, durante a consulta e a criação do objeto da conta de máquina, o nome de utilizador e a palavra-passe transmitidos ao domínio do Active Directory usam a encriptação Kerberos.
Controladores de domínio do Active Directory
Para associar volumes NetApp ao seu domínio, o serviço usa a deteção baseada em DNS para identificar uma lista de controladores de domínio disponíveis para utilização.
O serviço executa os seguintes passos para encontrar um controlador de domínio a usar:
Deteção do site do Active Directory: os volumes da NetApp usam um ping LDAP para o IP do servidor DNS especificado na política do Active Directory para obter as informações da sub-rede do site do Active Directory. Devolve uma lista de CIDRs e os sites do Active Directory que estão atribuídos a esses CIDRs.
Get-ADReplicationSubnet -Filter * | Select-Object Name,SiteDefinir nomes de sites: se o endereço IP do volume corresponder a alguma das sub-redes definidas, é usado o nome do site associado. As correspondências de sub-redes mais pequenas têm precedência sobre as correspondências de sub-redes maiores. Se o endereço IP do volume for desconhecido, crie manualmente um volume temporário com o tipo de protocolo NFS para determinar o CIDR
/28usado.Se não for definido nenhum nome do site no Active Directory, é usado o nome do site configurado na política do Active Directory. Se não for configurado nenhum nome do site, os níveis de serviço Standard, Premium e Extreme usam o site
Default-First-Site-Name. Se o nível de serviço Flex tentar usar o siteDefault-First-Site-Name, vai falhar e o nível de serviço Flex usa, em alternativa, a deteção completa do controlador de domínio. Tenha em atenção que as alterações ao parâmetro do site do Active Directory são ignoradas pelos conjuntos de armazenamento ao nível do serviço Flex.Deteção de controladores de domínio: com todas as informações necessárias adquiridas, o serviço identifica potenciais controladores de domínio através da seguinte consulta DNS:
nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>Para a deteção completa de domínios, o serviço usa a seguinte consulta DNS:
nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>Geração da lista de controladores de domínio: é gerada uma lista de controladores de domínio. Os volumes do NetApp monitorizam constantemente todos os volumes para verificar a disponibilidade. Dos controladores de domínio disponíveis, seleciona um para a associação ao domínio e as pesquisas. Se o controlador de domínio selecionado desaparecer, é usado automaticamente outro controlador de domínio da lista Disponível. Tenha em atenção que o controlador de domínio que escolher não é necessariamente o servidor DNS especificado.
Tem de fornecer, pelo menos, um controlador de domínio acessível para o serviço usar. Recomendamos vários para uma melhor disponibilidade do controlador de domínio. Certifique-se de que existe um caminho de rede encaminhado entre os volumes NetApp e os controladores de domínio e que as regras de firewall nos controladores de domínio permitem que os volumes NetApp se liguem.
Para mais informações, consulte o artigo Considerações de design e práticas recomendadas do Active Directory.
Topologias de controladores de domínio do Active Directory
Depois de se ligar com êxito aos controladores de domínio do Active Directory, pode usar os seguintes protocolos de partilha de ficheiros:
SMB
NFSv3 com grupos alargados
NFSv4 com principais de segurança e Kerberos
Os cenários seguintes descrevem potenciais topologias. Estes cenários focam-se no controlador de domínio usado pelos volumes NetApp. Outros controladores de domínio para o mesmo domínio são descritos apenas quando necessário. Recomendamos que implemente, pelo menos, dois controladores de domínio para redundância e disponibilidade.
| Topologia | Descrição |
|---|---|
| Controlador de domínio do Active Directory e volumes numa região | Este cenário é a estratégia de implementação mais simples, em que um controlador de domínio está na mesma região que o volume. |
| Controlador de domínio do Active Directory e volumes em regiões separadas | Pode usar um controlador de domínio numa região diferente de um volume. Esta configuração pode afetar negativamente o desempenho da autenticação e do acesso a ficheiros. |
| Controladores de domínio do Active Directory em várias regiões através de sites do AD | Se usar volumes em várias regiões, recomendamos que coloque, pelo menos, um controlador de domínio em cada região. Embora o serviço selecione automaticamente o controlador de domínio, recomendamos que faça a gestão da seleção do controlador de domínio com sites do Active Directory. |
| Controlador de domínio do Active Directory numa rede no local | Pode usar um controlador de domínio no local através de VPN, mas pode afetar negativamente a autenticação do utilizador final e o desempenho do acesso a ficheiros. Não adicione saltos de interligação de nuvem privada virtual adicionais no caminho da sua rede. O peering de VPC está sujeito a restrições de encaminhamento transitivas. O tráfego não é encaminhado para além do salto de interligação de VPC que os volumes NetApp já consomem. |
| Controlador de domínio do Active Directory numa rede VPC diferente | Não pode colocar o controlador de domínio numa VPC diferente porque o intercâmbio de VPC não permite o encaminhamento transitivo. Google Cloud Em alternativa, pode ligar as VPCs através de VPN ou anexar volumes NetApp a uma rede VPC partilhada que aloja os controladores de domínio do Active Directory. Se anexar volumes NetApp a uma rede VPC partilhada, então esta configuração é semelhante a um dos cenários anteriores. |
O que se segue?
Crie uma política do Active Directory.