Questa pagina è stata tradotta dall'API Cloud Translation.

Integrazione di Active Directory con Google Cloud NetApp Volumes

Questa pagina spiega come Google Cloud NetApp Volumes si integra con Active Directory per fornire identità e autenticazione per i volumi Server Message Block (SMB) e Network File System (NFS). Comprendere questa integrazione ti aiuta a configurare l'accesso sicuro alle condivisioni file.

Informazioni sull'integrazione

Google Cloud NetApp Volumes si integra con Active Directory per fornire servizi di directory per protocolli di condivisione file, come SMB e NFS. Active Directory gestisce l'autenticazione, le ricerche di identità e il mapping delle entità di sicurezza tramite servizi come LDAP (Lightweight Directory Access Protocol), DNS (Domain Name System) e Kerberos.

Un criterio di Active Directory specifica in che modo NetApp Volumes si connette ad Active Directory. Le configurazioni del pool di archiviazione utilizzano questi criteri per definire le impostazioni di Active Directory per i volumi che crei al loro interno.

Le policy di Active Directory sono specifiche per regione e puoi configurare fino a cinque policy per regione.

I protocolli di condivisione file, come SMB (CIFS), NFSv3 con gruppi estesi e NFSv4, che utilizzano i principal di sicurezza, si basano su servizi di directory esterni per fornire informazioni sull'identità dell'utente. NetApp Volumes si basa su Active Directory per i servizi di directory. Active Directory fornisce i seguenti servizi:

Server LDAP: cerca oggetti come utenti, gruppi o macchine
Server DNS: risolvono i nomi host e la scoperta dei controller di dominio Active Directory
Server Kerberos: eseguono l'autenticazione

Per saperne di più, consulta le best practice per l'esecuzione di Active Directory su Google Cloud.

Casi d'uso di Active Directory

NetApp Volumes utilizza Active Directory per diversi casi d'uso:

Fornisce servizio di dominio e autenticazione SMB: Active Directory funge da servizio di dominio centrale per SMB, che NetApp Volumes utilizza per l'autenticazione e le ricerche di identità per utenti e gruppi. NetApp Volumes entra a far parte del tuo dominio come membro, ma non supporta SMB in modalità gruppo di lavoro.
Fornisce il supporto dei gruppi estesi per NFSv3: per NFSv3 con supporto dei gruppi estesi, Active Directory fornisce il server LDAP necessario per cercare oggetti come utenti, gruppi o account macchina.
- In particolare, le ricerche di ID utente e ID gruppo richiedono un server LDAP conforme a RFC2307bis.
- Il supporto LDAP è abilitato sui pool di archiviazione durante la creazione del pool.
- Il supporto dei gruppi estesi ignora tutti gli ID gruppo inviati dal client NFS in una chiamata NFS. Al contrario, prende l'ID utente della richiesta e cerca tutti gli ID gruppo per l'ID utente specificato dal server LDAP per i controlli delle autorizzazioni dei file.
Per saperne di più, vedi Gestire gli attributi LDAP RFC2307bis POSIX.
Mappa le entità di sicurezza agli ID utente e di gruppo per NFSv4.x: NetApp Volumes utilizza Active Directory per mappare le entità di sicurezza agli ID utente e di gruppo per NFSv4.x.
- NFSv4.x utilizza un modello di autenticazione basato sulle entità, in cui le entità di sicurezza identificano gli utenti nel formato user@dns_domain, come descritto in RFC 7530 security considerations, anziché ID utente e ID gruppo. Per mappare i principal di sicurezza agli ID utente e agli ID gruppo quando accedi al volume con un protocollo NFSv4.x, NetApp Volumes richiede un server LDAP conforme a RFC2307bis. NetApp Volumes supporta solo i server LDAP di Active Directory. Il supporto LDAP è abilitato sui pool di archiviazione durante la creazione del pool.
- Per utilizzare i principal di sicurezza, devono essere soddisfatti i seguenti requisiti:
  - Il client e il server NFS devono connettersi alla stessa origine LDAP.
  - Devi configurare il file idmapd.conf sul client NFS. Per ulteriori informazioni su come configurare il file idmapd.conf, consulta la documentazione di Ubuntu su come configurare il file idmapd.conf per libnfsidmap.
- dns_domain è il nome del dominio Active Directory e user è il nome dell'utente Active Directory. Utilizza questi valori quando imposti gli attributi LDAP POSIX.
- Utilizzo di ID numerici per NFSv4.1: per utilizzare NFSv4.1 senza mappatura degli ID e utilizzare solo ID utente e ID gruppo simili a NFSv3, utilizza ID numerici per ignorare i principal di sicurezza. NetApp Volumes supporta gli ID numerici. I client NFS utilizzano gli ID numerici per impostazione predefinita se la mappatura degli ID non è configurata.
Fornisce l'autenticazione Kerberos per NFSv4.x: se utilizzi Kerberos con NFSv4.x, devi utilizzare Active Directory come server LDAP per le ricerche di entità di sicurezza. Le entità Kerberos vengono utilizzate come identificatori di sicurezza. Il centro di distribuzione chiavi Kerberos utilizza Active Directory.

Per utilizzare Kerberos con NFSv4.x, devi completare anche i seguenti passaggi:
- Collega al pool una policy Active Directory che contenga le impostazioni Kerberos.
- Abilita il supporto LDAP in un pool di archiviazione quando lo crei.

Autorizzazioni richieste per creare account macchina Active Directory

Per utilizzare Active Directory, i NetApp Volumes devono unirsi a uno o più file server virtuali al tuo dominio come account computer. Per partecipare al dominio, devi fornire le credenziali di un utente del dominio che disponga dell'autorizzazione per unire computer al tuo dominio. Per impostazione predefinita, solo i membri del gruppo Domain Admins possono unire computer al dominio, ma Active Directory ha la capacità di delegare le autorizzazioni richieste a singoli utenti o gruppi a livello di dominio completo o unità organizzativa (UO).

Per i volumi NetApp, ti consigliamo di creare un account di servizio di dominio dedicato. Delega solo le autorizzazioni necessarie per aggiungere nuovi computer a un'UO specifica. Una volta creato un utente con l'appartenenza al gruppo Domain User o Domain Guest, utilizza le seguenti istruzioni per delegare le autorizzazioni richieste.

Accedi al sistema come amministratore di dominio per il dominio Active Directory.
Apri lo snap-in MMC Utenti e computer di Active Directory.
Dalla barra dei menu, seleziona Visualizza e assicurati che l'opzione Funzionalità avanzate sia attivata.

Se le funzionalità avanzate sono attive, viene visualizzato un segno di spunta.
Nel riquadro delle attività, espandi il nodo del dominio.
Individua l'unità organizzativa che vuoi modificare, fai clic con il tasto destro del mouse e seleziona Proprietà dal menu contestuale.
Nella finestra Proprietà unità organizzativa, seleziona la scheda Sicurezza.
In Sicurezza, fai clic su Avanzate e poi su Aggiungi.
Nella finestra di dialogo Voce di autorizzazione, completa i seguenti passaggi:
1. Fai clic su Seleziona un'entità.
2. Inserisci il nome del tuo account di servizio o del tuo gruppo e fai clic su Ok.
3. Per Si applica a:, seleziona Questo oggetto e tutti gli oggetti discendenti.
4. Assicurati che siano selezionate le seguenti autorizzazioni:
  - Modificare le autorizzazioni
  - Creare oggetti computer
  - Eliminare oggetti computer
Seleziona la casella di controllo Applica e poi fai clic su Ok.
Chiudi lo snap-in MMC Utenti e computer di Active Directory.

Dopo la delega del account di servizio, puoi fornire il nome utente e la password come credenziali del criterio Active Directory.

Per una maggiore sicurezza, durante la query e la creazione dell'oggetto account macchina, il nome utente e la password passati al dominio Active Directory utilizzano la crittografia Kerberos.

Domain controller di Active Directory

Per connettere i NetApp Volumes al tuo dominio, il servizio utilizza il rilevamento basato su DNS per identificare un elenco di domain controller disponibili da utilizzare.

Il servizio esegue i seguenti passaggi per trovare un domain controller da utilizzare:

Rilevamento del sito Active Directory: NetApp Volumes utilizza un ping LDAP all'IP del server DNS specificato nella policy di Active Directory per recuperare le informazioni sulla subnet del sito Active Directory. Restituisce un elenco di CIDR e i siti Active Directory assegnati a questi CIDR.

Nota: puoi utilizzare il seguente comando per recuperare manualmente questo elenco su un sistema Windows aggiunto al dominio:

Get-ADReplicationSubnet -Filter * | Select-Object Name,Site
Definisci i nomi dei siti: se l'indirizzo IP del volume corrisponde a una delle subnet definite, viene utilizzato il nome del sito associato. Le corrispondenze con subnet più piccole hanno la precedenza su quelle con subnet più grandi. Se l'indirizzo IP del volume è sconosciuto, crea manualmente un volume temporaneo con il tipo di protocollo NFS per determinare il CIDR /28 utilizzato.

Se non è definito alcun nome del sito in Active Directory, viene utilizzato il nome del sito configurato nel criterio di Active Directory. Se non è configurato alcun nome del sito, i livelli di servizio Standard, Premium ed Extreme utilizzano il sito Default-First-Site-Name. Se il livello di servizio flessibile tenta di utilizzare il sito Default-First-Site-Name, l'operazione non andrà a buon fine e il livello di servizio flessibile utilizzerà invece l'individuazione completa del domain controller. Tieni presente che le modifiche al parametro del sito Active Directory vengono ignorate dai pool di archiviazione con livello di servizio Flex.
Rilevamento del domain controller: acquisite tutte le informazioni necessarie, il servizio identifica i potenziali domain controller utilizzando la seguente query DNS:

nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>

Per l'individuazione completa del dominio, il servizio utilizza la seguente query DNS:

nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>
Generazione dell'elenco dei domain controller: viene generato un elenco di domain controller. NetApp Volumes li monitora costantemente per verificare la disponibilità. Tra i controller di dominio disponibili, ne seleziona uno per l'unione al dominio e le ricerche. Se il controller di dominio selezionato non è più disponibile, viene utilizzato automaticamente un altro controller di dominio dall'elenco Disponibili. Tieni presente che il domain controller che scegli non è necessariamente il server DNS specificato.

Devi fornire almeno un domain controller accessibile da utilizzare per il servizio. Ne consigliamo diversi per una migliore disponibilità del domain controller. Assicurati che esista un percorso di rete instradato tra NetApp Volumes e i controller di dominio e che le regole firewall sui controller di dominio consentano la connessione di NetApp Volumes.

Per saperne di più, consulta Considerazioni e best practice per la progettazione di Active Directory.

Topologie del controller di dominio Active Directory

Una volta connesso correttamente ai domain controller Active Directory, puoi utilizzare i seguenti protocolli di condivisione file:

SMB
NFSv3 con gruppi estesi
NFSv4 con entità di sicurezza e Kerberos

Gli scenari seguenti descrivono le potenziali topologie. Questi scenari si concentrano sul domain controller utilizzato da NetApp Volumes. Gli altri controller di dominio per lo stesso dominio vengono descritti solo se necessario. Ti consigliamo di eseguire il deployment di almeno due domain controller per la ridondanza e la disponibilità.

Topologia	Descrizione
Domain controller Active Directory e volumi in una regione	Questo scenario è la strategia di deployment più semplice, in cui un controller di dominio si trova nella stessa regione del volume.
Domain controller Active Directory e volumi in regioni separate	Puoi utilizzare un domain controller in una regione diversa da un volume. Questa configurazione potrebbe influire negativamente sull'autenticazione e sulle prestazioni di accesso ai file.
Domain controller Active Directory in più regioni che utilizzano siti AD	Se utilizzi volumi in più regioni, ti consigliamo di inserire almeno un domain controller in ogni regione. Sebbene il servizio selezioni automaticamente il domain controller, ti consigliamo di gestire la selezione del domain controller con i siti di Active Directory.
Domain controller Active Directory in una rete on-premise	Puoi utilizzare un domain controller on-premise tramite VPN, ma ciò può influire negativamente sull'autenticazione dell'utente finale e sulle prestazioni di accesso ai file. Non aggiungere altri hop di peering VPC nel percorso di rete. Il peering VPC è soggetto a limitazioni di routing transitivo. Il traffico non viene instradato oltre l'hop di peering VPC che NetApp Volumes utilizza già.
Domain controller Active Directory in una rete VPC diversa	Non puoi posizionare il controller di dominio in un altro VPC perché Google Cloud il peering VPC non consente l'instradamento transitivo. In alternativa, puoi connettere i VPC utilizzando una VPN o collegare iNetApp Volumesp a una rete VPC condivisa che ospita i domain controller Active Directory. Se colleghi NetApp Volumesp a una rete VPC condivisa, questa configurazione è simile a uno degli scenari precedenti.

Passaggi successivi

Crea una policy Active Directory.