Diese Seite wurde von der Cloud Translation API übersetzt.

Active Directory-Integration von Google Cloud NetApp Volumes

Auf dieser Seite wird beschrieben, wie Google Cloud NetApp Volumes in Active Directory integriert wird, um Identitäts- und Authentifizierungsdienste für Ihre Server Message Block (SMB)- und Network File System (NFS)-Volumes bereitzustellen. Wenn Sie diese Integration verstehen, können Sie den sicheren Zugriff auf Ihre Dateifreigaben konfigurieren.

Informationen zur Integration

Google Cloud NetApp Volumes lässt sich in Active Directory einbinden, um Verzeichnisdienste für Dateifreigabeprotokolle wie SMB und NFS bereitzustellen. Active Directory übernimmt die Authentifizierung, die Identitätssuche und die Zuordnung von Sicherheits-Principals über Dienste wie LDAP (Lightweight Directory Access Protocol), DNS (Domain Name System) und Kerberos.

Eine Active Directory-Richtlinie gibt an, wie NetApp Volumes eine Verbindung zu Active Directory herstellt. In Speicherpoolkonfigurationen werden diese Richtlinien verwendet, um die Active Directory-Einstellungen für Volumes zu definieren, die Sie darin erstellen.

Active Directory-Richtlinien sind regionsspezifisch und Sie können bis zu fünf Richtlinien pro Region konfigurieren.

Dateifreigabeprotokolle wie SMB (CIFS), NFSv3 mit erweiterten Gruppen und NFSv4, die Sicherheitsprinzipale verwenden, sind auf externe Verzeichnisdienste angewiesen, um Informationen zur Nutzeridentität bereitzustellen. NetApp Volumes verwendet Active Directory für Verzeichnisdienste. Active Directory bietet die folgenden Dienste:

LDAP-Server: Suchen nach Objekten wie Nutzern, Gruppen oder Computern
DNS-Server: Auflösen von Hostnamen und Ermittlung von Active Directory-Domaincontrollern
Kerberos-Server: führen die Authentifizierung durch

Weitere Informationen finden Sie unter Best Practices für die Ausführung von Active Directory auf Google Cloud.

Anwendungsfälle für Active Directory

NetApp Volumes verwendet Active Directory für mehrere Anwendungsfälle:

Bietet SMB-Domänendienst und ‑Authentifizierung: Active Directory dient als zentraler Domänendienst für SMB, den NetApp Volumes für die Authentifizierung und die Identitätssuche für Nutzer und Gruppen verwendet. NetApp Volumes tritt Ihrer Domain als Mitglied bei, unterstützt aber SMB im Arbeitsgruppenmodus nicht.
Unterstützung erweiterter Gruppen für NFSv3: Für NFSv3 mit Unterstützung erweiterter Gruppen stellt Active Directory den LDAP-Server bereit, der zum Suchen von Objekten wie Nutzern, Gruppen oder Computerkonten erforderlich ist.
- Insbesondere für die Suche nach Nutzer- und Gruppen-IDs ist ein RFC2307bis-kompatibler LDAP-Server erforderlich.
- Die LDAP-Unterstützung wird für Speicherpools während der Poolerstellung aktiviert.
- Bei der Unterstützung erweiterter Gruppen werden alle Gruppen-IDs ignoriert, die vom NFS-Client in einem NFS-Aufruf gesendet werden. Stattdessen wird die Nutzer-ID der Anfrage verwendet und alle Gruppen-IDs für die angegebene Nutzer-ID vom LDAP-Server für die Überprüfung der Dateiberechtigungen abgerufen.
Weitere Informationen finden Sie unter LDAP-POSIX-Attribute verwalten.RFC2307bis
Sicherheitsprinzipale für NFSv4.x Nutzer- und Gruppen-IDs zuordnen: NetApp Volumes verwendet Active Directory, um Sicherheitsprinzipale Nutzer- und Gruppen-IDs für NFSv4.x zuzuordnen.
- NFSv4.x verwendet ein prinzipalbasiertes Authentifizierungsmodell, bei dem Sicherheitsprinzipale Nutzer im Format user@dns_domain identifizieren, wie in RFC 7530 – Sicherheitsüberlegungen beschrieben, anstelle von Nutzer-IDs und Gruppen-IDs. Um Sicherheitsprinzipale Nutzer-IDs und Gruppen-IDs zuzuordnen, wenn Sie mit einem NFSv4.x-Protokoll auf das Volume zugreifen, ist für NetApp Volumes ein RFC2307bis-kompatibler LDAP-Server erforderlich. NetApp Volumes unterstützt nur Active Directory LDAP-Server. Die LDAP-Unterstützung wird für Speicherpools während der Poolerstellung aktiviert.
- Damit Sie Sicherheitsidentitäten verwenden können, müssen die folgenden Anforderungen erfüllt sein:
  - Der NFS-Client und ‑Server müssen mit derselben LDAP-Quelle verbunden sein.
  - Sie müssen die Datei idmapd.conf auf dem NFS-Client konfigurieren. Weitere Informationen zum Konfigurieren der Datei idmapd.conf finden Sie in der Ubuntu-Dokumentation zum Konfigurieren der Datei idmapd.conf für libnfsidmap.
- dns_domain ist der Active Directory-Domainname und user der Name des Active Directory-Nutzers. Verwenden Sie diese Werte, wenn Sie Ihre LDAP-POSIX-Attribute festlegen.
- Numerische IDs für NFSv4.1 verwenden: Wenn Sie NFSv4.1 ohne ID-Zuordnung verwenden und nur Nutzer-IDs und Gruppen-IDs ähnlich wie bei NFSv3 verwenden möchten, verwenden Sie numerische IDs, um Sicherheitsprinzipale zu ignorieren. NetApp Volumes unterstützt numerische IDs. NFS-Clients verwenden standardmäßig numerische IDs, wenn keine ID-Zuordnung konfiguriert ist.
Kerberos-Authentifizierung für NFSv4.x: Wenn Sie Kerberos mit NFSv4.x verwenden, müssen Sie Active Directory als LDAP-Server für die Suche nach Sicherheitsprinzipalen verwenden. Kerberos-Principals werden als Sicherheitskennungen verwendet. Das Kerberos Key Distribution Center verwendet Active Directory.

Wenn Sie Kerberos mit NFSv4.x verwenden möchten, müssen Sie auch die folgenden Schritte ausführen:
- Hängen Sie eine Active Directory-Richtlinie mit Kerberos-Einstellungen an den Pool an.
- Aktivieren Sie die LDAP-Unterstützung für einen Speicherpool, wenn Sie den Pool erstellen.

Erforderliche Berechtigungen zum Erstellen von Active Directory-Computerkonten

Damit Active Directory verwendet werden kann, müssen NetApp-Volumes als Computerkonten mit einem oder mehreren virtuellen Dateiservern in Ihrer Domain verknüpft werden. Um der Domain beizutreten, müssen Sie die Anmeldedaten eines Domainnutzers angeben, der berechtigt ist, Computer mit Ihrer Domain zu verbinden. Standardmäßig können nur Domain Admins-Gruppenmitglieder Computer mit der Domain verbinden. In Active Directory können die erforderlichen Berechtigungen jedoch an einzelne Nutzer oder Gruppen delegiert werden, und zwar auf Ebene der gesamten Domain oder Organisationseinheit (OE).

Für NetApp-Volumes wird empfohlen, ein dediziertes Domaindienstkonto zu erstellen. Delegieren Sie nur die erforderlichen Berechtigungen, um neue Computer einer bestimmten Organisationseinheit hinzuzufügen. Nachdem ein Nutzer mit der Gruppenmitgliedschaft Domain User oder Domain Guest erstellt wurde, folgen Sie der Anleitung unten, um die erforderlichen Berechtigungen zu delegieren.

Melden Sie sich als Domainadministrator für Ihre Active Directory-Domain in Ihrem System an.
Öffnen Sie das MMC-Snap-In Active Directory-Nutzer und -Computer.
Wählen Sie in der Menüleiste Ansicht aus und prüfen Sie, ob Erweiterte Funktionen aktiviert ist.

Wenn Erweiterte Funktionen aktiviert ist, wird ein Häkchen angezeigt.
Maximieren Sie im Aufgabenbereich den Domänenknoten.
Suchen Sie die Organisationseinheit, die Sie ändern möchten, klicken Sie mit der rechten Maustaste darauf und wählen Sie im Kontextmenü Properties (Eigenschaften) aus.
Wählen Sie im Fenster OU-Eigenschaften den Tab Sicherheit aus.
Klicken Sie unter Sicherheit auf Erweitert und dann auf Hinzufügen.
Führen Sie im Dialogfeld Berechtigungseintrag die folgenden Schritte aus:
1. Klicken Sie auf Hauptkonto auswählen.
2. Geben Sie den Namen Ihres Dienstkontos oder Ihrer Gruppe ein und klicken Sie auf OK.
3. Wählen Sie für Gilt für die Option Dieses Objekt und alle untergeordneten Objekte aus.
4. Prüfen Sie, ob die folgenden Berechtigungen ausgewählt sind:
  - Berechtigungen ändern
  - Computerobjekte erstellen
  - Computerobjekte löschen
Klicken Sie auf das Kästchen Übernehmen und dann auf OK.
Schließen Sie das MMC-Snap-in Active Directory-Nutzer und -Computer.

Nachdem das Dienstkonto delegiert wurde, können Sie den Nutzernamen und das Passwort als Anmeldedaten für die Active Directory-Richtlinie angeben.

Zur Erhöhung der Sicherheit wird bei der Abfrage und Erstellung des Maschinenkontos für den Nutzernamen und das Passwort, die an die Active Directory-Domain übergeben werden, die Kerberos-Verschlüsselung verwendet.

Active Directory-Domaincontroller

Um NetApp-Volumes mit Ihrer Domain zu verbinden, verwendet der Dienst die DNS-basierte Suche, um eine Liste der verfügbaren Domaincontroller zu ermitteln.

Der Dienst führt die folgenden Schritte aus, um einen zu verwendenden Domaincontroller zu finden:

Active Directory-Standorterkennung: NetApp Volumes verwendet einen LDAP-Ping an die im DNS-Server angegebene IP-Adresse der Active Directory-Richtlinie, um die Subnetzinformationen des Active Directory-Standorts abzurufen. Es wird eine Liste von CIDRs und den Active Directory-Standorten zurückgegeben, die diesen CIDRs zugewiesen sind.

Hinweis :Sie können die Liste mit dem folgenden Befehl manuell auf einem Windows-System abrufen, das der Domain beigetreten ist:

Get-ADReplicationSubnet -Filter * | Select-Object Name,Site
Standortnamen definieren: Wenn die IP-Adresse des Volumes mit einem der definierten Subnetze übereinstimmt, wird der zugehörige Standortname verwendet. Übereinstimmungen mit kleineren Subnetzen haben Vorrang vor Übereinstimmungen mit größeren Subnetzen. Wenn die IP-Adresse des Volumes unbekannt ist, erstellen Sie manuell ein temporäres Volume mit dem NFS-Protokolltyp, um den verwendeten /28-CIDR zu ermitteln.

Wenn in Active Directory kein Websitename definiert ist, wird der in der Active Directory-Richtlinie konfigurierte Websitename verwendet. Wenn kein Websitename konfiguriert ist, wird für die Service-Levels „Standard“, „Premium“ und „Extreme“ die Website Default-First-Site-Name verwendet. Wenn der Flex-Servicelevel versucht, die Default-First-Site-Name-Website zu verwenden, schlägt dies fehl und der Flex-Servicelevel verwendet stattdessen die vollständige Domänencontrollererkennung. Änderungen am Parameter „Active Directory-Standort“ werden von Speicherpools mit dem Service-Level „Flex“ ignoriert.
Domaincontroller-Erkennung: Nachdem alle erforderlichen Informationen erfasst wurden, identifiziert der Dienst potenzielle Domaincontroller mithilfe der folgenden DNS-Abfrage:

nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>

Für die vollständige Domainermittlung verwendet der Dienst die folgende DNS-Abfrage:

nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>
Generierung der Domaincontrollerliste: Eine Liste der Domaincontroller wird generiert. NetApp-Volumes überwacht alle ständig auf Verfügbarkeit. Aus den verfügbaren Domaincontrollern wird einer für den Domänenbeitritt und die Suche ausgewählt. Wenn der ausgewählte Domaincontroller nicht mehr verfügbar ist, wird automatisch ein anderer Domaincontroller aus der Liste Verfügbar verwendet. Der von Ihnen ausgewählte Domaincontroller ist nicht unbedingt der angegebene DNS-Server.

Sie müssen mindestens einen zugänglichen Domaincontroller für den Dienst angeben. Wir empfehlen mehrere, um die Verfügbarkeit des Domaincontrollers zu verbessern. Achten Sie darauf, dass ein gerouteter Netzwerkpfad zwischen NetApp Volumes und den Domaincontrollern vorhanden ist und dass die Firewallregeln auf Ihren Domaincontrollern Verbindungen von NetApp Volumes zulassen.

Weitere Informationen finden Sie unter Überlegungen zum Active Directory-Design und Best Practices.

Topologien für Active Directory-Domaincontroller

Nachdem Sie eine Verbindung zu Active Directory-Domaincontrollern hergestellt haben, können Sie die folgenden Protokolle für die Dateifreigabe verwenden:

KMU
NFSv3 mit erweiterten Gruppen
NFSv4 mit Sicherheitsprinzipalen und Kerberos

In den folgenden Szenarien werden potenzielle Topologien beschrieben. In diesen Szenarien geht es um den von NetApp Volumes verwendeten Domaincontroller. Andere Domaincontroller für dieselbe Domain werden nur bei Bedarf beschrieben. Wir empfehlen, mindestens zwei Domaincontroller für Redundanz und Verfügbarkeit bereitzustellen.

Topologie	Beschreibung
Active Directory-Domaincontroller und ‑Volumes in einer Region	Dieses Szenario ist die einfachste Bereitstellungsstrategie, bei der sich ein Domaincontroller in derselben Region wie das Volume befindet.
Active Directory-Domaincontroller und ‑Volumes in separaten Regionen	Sie können einen Domaincontroller in einer anderen Region als ein Volume verwenden. Diese Konfiguration kann sich negativ auf die Leistung bei der Authentifizierung und beim Dateizugriff auswirken.
Active Directory-Domaincontroller in mehreren Regionen mit AD-Websites	Wenn Sie Volumes in mehreren Regionen verwenden, empfehlen wir, mindestens einen Domaincontroller in jeder Region zu platzieren. Obwohl der Dienst den Domaincontroller automatisch auswählt, empfehlen wir, die Auswahl des Domaincontrollers mit Active Directory-Websites zu verwalten.
Active Directory-Domaincontroller in einem lokalen Netzwerk	Sie können einen lokalen Domaincontroller über VPN verwenden, dies kann sich jedoch negativ auf die Authentifizierung von Endnutzern und die Leistung des Dateizugriffs auswirken. Fügen Sie Ihrem Netzwerkpfad keine zusätzlichen VPC-Peering-Hops hinzu. Für VPC-Peering gelten Einschränkungen für transitives Routing. Traffic wird nicht über den VPC-Peering-Hop hinaus weitergeleitet, der bereits von NetApp Volumes verwendet wird.
Active Directory-Domaincontroller in einem anderen VPC-Netzwerk	Sie können den Domaincontroller nicht in einem anderen VPC platzieren, da Google Cloud VPC-Peering kein transitives Routing zulässt. Alternativ können Sie die VPCs über VPN verbinden oder NetApp Volumes an ein freigegebenes VPC-Netzwerk anhängen, in dem die Active Directory-Domaincontroller gehostet werden. Wenn Sie NetApp-Volumes an ein freigegebenes VPC-Netzwerk anhängen, ähnelt diese Konfiguration einem der vorherigen Szenarien.

Nächste Schritte

Active Directory-Richtlinie erstellen