En esta página se explica cómo se integra Google Cloud NetApp Volumes con Active Directory para proporcionar identidad y autenticación a tus volúmenes de Server Message Block (SMB) y Network File System (NFS). Conocer esta integración te ayudará a configurar un acceso seguro a tus recursos compartidos de archivos.
Acerca de la integración
Google Cloud NetApp Volumes se integra con Active Directory para proporcionar servicios de directorio para protocolos de uso compartido de archivos, como SMB y NFS. Active Directory gestiona la autenticación, las búsquedas de identidades y la asignación de entidades de seguridad a través de servicios como el protocolo ligero de acceso a directorios (LDAP), el sistema de nombres de dominio (DNS) y Kerberos.
Una política de Active Directory especifica cómo se conecta NetApp Volumes a Active Directory. Las configuraciones de grupos de almacenamiento usan estas políticas para definir los ajustes de Active Directory de los volúmenes que crees en ellas.
Las políticas de Active Directory son específicas de cada región y puede configurar hasta cinco políticas por región.
Los protocolos de uso compartido de archivos, como SMB (CIFS), NFSv3 con grupos ampliados y NFSv4, que utilizan entidades de seguridad, dependen de servicios de directorio externos para proporcionar información de identidad de los usuarios. NetApp Volumes se basa en Active Directory para los servicios de directorio. Active Directory ofrece los siguientes servicios:
Servidores LDAP: buscan objetos como usuarios, grupos o máquinas.
Servidores DNS: resuelven nombres de host y detectan controladores de dominio de Active Directory.
Servidores Kerberos: realizan la autenticación.
Para obtener más información, consulta las prácticas recomendadas para ejecutar Active Directory en Google Cloud.
Casos prácticos de Active Directory
NetApp Volumes usa Active Directory en varios casos prácticos:
Proporciona servicio de dominio y autenticación SMB: Active Directory actúa como servicio de dominio central para SMB, que los volúmenes de NetApp usan para la autenticación y las búsquedas de identidad de usuarios y grupos. NetApp Volumes se une a tu dominio como miembro, pero no admite SMB en el modo de grupo de trabajo.
Proporciona compatibilidad con grupos ampliados para NFSv3: en el caso de NFSv3 con compatibilidad con grupos ampliados, Active Directory proporciona el servidor LDAP necesario para buscar objetos, como usuarios, grupos o cuentas de máquinas.
En concreto, las búsquedas de ID de usuario e ID de grupo requieren un servidor LDAP compatible con
RFC2307bis.La compatibilidad con LDAP se habilita en los grupos de almacenamiento durante la creación del grupo.
La asistencia de grupos ampliada ignora todos los IDs de grupo enviados por el cliente NFS en una llamada NFS. En su lugar, toma el ID de usuario de la solicitud y busca todos los IDs de grupo del ID de usuario proporcionado en el servidor LDAP para comprobar los permisos de archivo.
Para obtener más información, consulta el artículo Gestionar atributos POSIX de
RFC2307bisLDAP.Asigna las entidades de seguridad a los IDs de usuario y de grupo de NFSv4.x: NetApp Volumes usa Active Directory para asignar las entidades de seguridad a los IDs de usuario y de grupo de NFSv4.x.
NFSv4.x usa un modelo de autenticación basado en entidades principales, donde las entidades principales de seguridad identifican a los usuarios en el formato
user@dns_domain, tal como se describe en las consideraciones de seguridad de RFC 7530, en lugar de usar IDs de usuario e IDs de grupo. Para asignar principales de seguridad a IDs de usuario e IDs de grupo al acceder al volumen con un protocolo NFSv4.x, los volúmenes de NetApp requieren un servidor LDAP compatible conRFC2307bis. NetApp Volumes solo admite servidores LDAP de Active Directory. La compatibilidad con LDAP se habilita en los grupos de almacenamiento durante la creación del grupo.Para usar las entidades de seguridad, se deben cumplir los siguientes requisitos:
El cliente y el servidor NFS deben conectarse a la misma fuente LDAP.
Debes configurar el archivo
idmapd.confen el cliente NFS. Para obtener más información sobre cómo configurar el archivoidmapd.conf, consulta la documentación de Ubuntu sobre cómo configurar el archivoidmapd.confparalibnfsidmap.
dns_domaines el nombre de dominio de Active Directory yuseres el nombre del usuario de Active Directory. Usa estos valores al definir tus atributos POSIX de LDAP.Usar IDs numéricos para NFSv4.1: para usar NFSv4.1 sin mapeo de IDs y solo usar IDs de usuario e IDs de grupo similares a NFSv3, usa IDs numéricos para ignorar principales de seguridad. NetApp Volumes admite IDs numéricos. Los clientes de NFS usan IDs numéricos de forma predeterminada si no se ha configurado la asignación de IDs.
Proporciona autenticación Kerberos para NFSv4.x: si usas Kerberos con NFSv4.x, debes usar Active Directory como servidor LDAP para las búsquedas de principales de seguridad. Los principales de Kerberos se usan como identificadores de seguridad. El centro de distribución de claves de Kerberos usa Active Directory.
Para usar Kerberos con NFSv4.x, también debes completar los siguientes pasos:
Asocia una política de Active Directory que contenga ajustes de Kerberos al grupo.
Habilita la compatibilidad con LDAP en un grupo de almacenamiento al crear el grupo.
Permisos necesarios para crear cuentas de máquina de Active Directory
Para usar Active Directory, los volúmenes de NetApp deben unirse a uno o varios servidores de archivos virtuales de tu dominio como cuentas de ordenador. Para unirte al dominio, debes proporcionar las credenciales de un usuario del dominio que tenga permiso para unir ordenadores a tu dominio. De forma predeterminada, solo los miembros del grupo Domain Admins pueden unir ordenadores al dominio, pero Active Directory puede delegar los permisos necesarios a usuarios o grupos concretos a nivel de dominio completo o de unidad organizativa (UO).
En el caso de los volúmenes de NetApp, se recomienda crear una cuenta de servicio de dominio específica. Delega solo los permisos necesarios para unir nuevos ordenadores a una unidad organizativa específica. Una vez que se haya creado un usuario con la pertenencia al grupo Domain User o Domain Guest, sigue estas instrucciones para delegar los permisos necesarios.
Inicia sesión en tu sistema como administrador de dominio de tu dominio de Active Directory.
Abre el complemento MMC Usuarios y equipos de Active Directory.
En la barra de menú, selecciona Ver y comprueba que la opción Funciones avanzadas esté habilitada.
Si la opción Funciones avanzadas está habilitada, se muestra una marca de verificación.
En el panel de tareas, despliega el nodo de dominio.
Busca la unidad organizativa que quieras modificar, haz clic con el botón derecho y selecciona Propiedades en el menú contextual.
En la ventana Propiedades de la unidad organizativa, selecciona la pestaña Seguridad.
En Seguridad, haz clic en Avanzado y, a continuación, en Añadir.
En el cuadro de diálogo Entrada de permiso, sigue estos pasos:
Haz clic en Seleccionar un principal.
Introduce el nombre de tu cuenta de servicio o grupo y haz clic en Aceptar.
En Se aplica a:, selecciona Este objeto y todos los objetos descendientes.
Asegúrate de que estén seleccionados los siguientes permisos:
Modificar permisos
Crear objetos de equipo
Eliminar objetos de ordenador
Seleccione la casilla Aplicar y, a continuación, haga clic en Aceptar.
Cierra el complemento MMC Usuarios y equipos de Active Directory.
Una vez que se haya delegado la cuenta de servicio, puedes proporcionar el nombre de usuario y la contraseña como credenciales de la política de Active Directory.
Para mayor seguridad, durante la consulta y la creación del objeto de cuenta de máquina, el nombre de usuario y la contraseña que se transfieren al dominio de Active Directory usan el cifrado Kerberos.
Controladores de dominio de Active Directory
Para conectar volúmenes de NetApp a tu dominio, el servicio usa la detección basada en DNS para identificar una lista de controladores de dominio disponibles.
El servicio sigue estos pasos para encontrar un controlador de dominio que pueda usar:
Detección de sitios de Active Directory: NetApp Volumes usa un ping LDAP a la IP del servidor DNS especificada en la política de Active Directory para obtener la información de la subred del sitio de Active Directory. Devuelve una lista de CIDRs y los sitios de Active Directory que se han asignado a esos CIDRs.
Get-ADReplicationSubnet -Filter * | Select-Object Name,SiteDefinir nombres de sitio: si la dirección IP del volumen coincide con alguna de las subredes definidas, se usará el nombre de sitio asociado. Las coincidencias de subredes más pequeñas tienen prioridad sobre las de subredes más grandes. Si no se conoce la dirección IP del volumen, crea manualmente un volumen temporal con el tipo de protocolo NFS para determinar el
/28CIDR utilizado.Si no se define ningún nombre de sitio en Active Directory, se usará el nombre de sitio configurado en la política de Active Directory. Si no se configura ningún nombre de sitio, los niveles de servicio Estándar, Premium y Extremo usarán el sitio
Default-First-Site-Name. Si el nivel de servicio de Flex intenta usar el sitioDefault-First-Site-Name, se producirá un error y, en su lugar, usará la detección completa del controlador de dominio. Ten en cuenta que los cambios en el parámetro de sitio de Active Directory se ignoran en los grupos de almacenamiento a nivel de servicio de Flex.Descubrimiento de controladores de dominio: una vez que se ha obtenido toda la información necesaria, el servicio identifica los posibles controladores de dominio mediante la siguiente consulta DNS:
nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>Para descubrir el dominio completo, el servicio usa la siguiente consulta DNS:
nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>Generación de la lista de controladores de dominio: se genera una lista de controladores de dominio. NetApp Volumes monitoriza constantemente la disponibilidad de todos ellos. De los controladores de dominio disponibles, selecciona uno para las uniones y las búsquedas de dominio. Si el controlador de dominio seleccionado deja de estar disponible, se usará automáticamente otro controlador de dominio de la lista Disponible. Nota: El controlador de dominio que elijas no tiene por qué ser el servidor DNS especificado.
Debes proporcionar al menos un controlador de dominio accesible para que el servicio lo use. Recomendamos varios para mejorar la disponibilidad del controlador de dominio. Asegúrate de que haya una ruta de red entre los volúmenes de NetApp y los controladores de dominio, y de que las reglas de cortafuegos de tus controladores de dominio permitan que los volúmenes de NetApp se conecten.
Para obtener más información, consulta las consideraciones de diseño y las prácticas recomendadas de Active Directory.
Topologías de controladores de dominio de Active Directory
Una vez que te hayas conectado correctamente a los controladores de dominio de Active Directory, podrás usar los siguientes protocolos para compartir archivos:
Pymes
NFSv3 con grupos ampliados
NFSv4 con principales de seguridad y Kerberos
En los siguientes casos se describen posibles topologías. Estos casos se centran en el controlador de dominio que usan los volúmenes de NetApp. Otros controladores de dominio del mismo dominio se describen solo cuando es necesario. Te recomendamos que implementes al menos dos controladores de dominio para que haya redundancia y disponibilidad.
| Topología | Descripción |
|---|---|
| Controlador de dominio y volúmenes de Active Directory en una región | Este escenario es la estrategia de implementación más sencilla, en la que un controlador de dominio se encuentra en la misma región que el volumen. |
| Controlador de dominio de Active Directory y volúmenes en regiones independientes | Puedes usar un controlador de dominio en una región diferente a la de un volumen. Esta configuración puede afectar negativamente al rendimiento de la autenticación y el acceso a los archivos. |
| Controladores de dominio de Active Directory en varias regiones mediante sitios de AD | Si usas volúmenes en varias regiones, te recomendamos que coloques al menos un controlador de dominio en cada región. Aunque el servicio selecciona automáticamente el controlador de dominio, te recomendamos que gestiones la selección del controlador de dominio con sitios de Active Directory. |
| Controlador de dominio de Active Directory en una red local | Puedes usar un controlador de dominio local a través de una VPN, pero puede afectar negativamente al rendimiento de la autenticación de los usuarios finales y del acceso a los archivos. No añadas saltos de interconexión de nube privada virtual adicionales en la ruta de tu red. El emparejamiento de VPC está sujeto a restricciones de enrutamiento transitivo. El tráfico no se enruta más allá del salto de emparejamiento de VPC que ya consumen los volúmenes de NetApp. |
| Controlador de dominio de Active Directory en otra red de VPC | No puedes colocar el controlador de dominio en otra VPC porque el emparejamiento de VPCs no permite el enrutamiento transitivo. Google Cloud También puedes conectar las VPCs mediante una VPN o adjuntar volúmenes de NetApp a una red de VPC compartida que aloje los controladores de dominio de Active Directory. Si asocias volúmenes de NetApp a una red de VPC compartida, esta configuración será similar a uno de los escenarios anteriores. |
Siguientes pasos
Crea una política de Active Directory.