Esta página foi traduzida pela API Cloud Translation.

Integração do Active Directory do Google Cloud NetApp Volumes

Esta página descreve a integração do Active Directory do Google Cloud NetApp Volumes.

Acerca da integração

Uma política do Active Directory indica aos volumes do NetApp como estabelecer ligação ao Active Directory. As configurações do conjunto de armazenamento usam políticas do Active Directory para definir as definições do Active Directory dos volumes que cria nas mesmas.

As políticas do Active Directory são específicas da região e pode configurar até cinco políticas por região.

Os protocolos de partilha de ficheiros, como SMB (CIFS), NFSv3 com grupos alargados e NFSv4, que usam princípios de segurança, baseiam-se em serviços de diretório externos para fornecer informações de identidade do utilizador. Os volumes NetApp baseiam-se no Active Directory para serviços de diretório. O Active Directory oferece os seguintes serviços:

Servidores LDAP: pesquisam objetos, como utilizadores, grupos ou máquinas
Servidores DNS: resolvem nomes de anfitriões e a deteção de controladores de domínio do Active Directory
Servidores Kerberos: realizam a autenticação

Para mais informações, consulte as práticas recomendadas para executar o Active Directory no Google Cloud.

Exemplos de utilização do Active Directory

Os volumes da NetApp usam o Active Directory para vários exemplos de utilização:

Serviço de domínio SMB: o Active Directory é o serviço de domínio central para o SMB. Usa o SMB para autenticação e pesquisas de identidade para utilizadores e grupos. Os volumes NetApp juntam-se ao domínio como membro, mas não suportam o SMB no modo de grupo de trabalho.
Suporte de grupos alargado do NFSv3: para o NFSv3 com suporte de grupos alargado, o Active Directory fornece o servidor LDAP necessário para procurar objetos, como utilizadores, grupos ou contas de máquinas. Especificamente, as pesquisas de ID do utilizador e ID do grupo requerem um servidor LDAP compatível com RFC2307bis. O suporte de LDAP está ativado nos conjuntos de armazenamento durante a criação do conjunto.

O suporte de grupos alargado ignora todos os IDs de grupos enviados pelo cliente NFS numa chamada NFS. Em vez disso, usa o ID do utilizador do pedido e procura todos os IDs dos grupos para o ID do utilizador fornecido no servidor LDAP para fazer verificações de autorizações de ficheiros.

Para mais informações, consulte o artigo Faça a gestão dos atributos POSIX RFC2307bis do LDAP.
Mapeamento do principal de segurança NFSv4.x para o ID do utilizador e o ID do grupo: para NFSv4.x, os volumes NetApp usam o Active Directory para mapear os principais de segurança para os IDs dos utilizadores e os IDs dos grupos. O NFSv4 usa um modelo de autenticação baseado em diretor. Na autenticação baseada em diretor, os diretores de segurança identificam os utilizadores que tomam a forma user@dns_domain (consulte as RFC 7530 considerações de segurança) em vez de IDs de utilizadores e IDs de grupos. Para mapear os principais de segurança para IDs de utilizadores e IDs de grupos quando acede ao volume com um protocolo NFSv4.x, os volumes NetApp requerem um servidor LDAP compatível com RFC2307bis. Os NetApp Volumes só são compatíveis com servidores LDAP do Active Directory. O suporte de LDAP está ativado nos conjuntos de armazenamento durante a criação do conjunto.

Para usar os principais de segurança, o cliente e o servidor NFS têm de estabelecer ligação à mesma origem LDAP, e tem de configurar o ficheiro idmapd.conf no cliente. Para mais informações sobre como configurar o ficheiro idmapd.conf, consulte a documentação do Ubuntu sobre como configurar o ficheiro idmapd.conf para o libnfsidmap.

O dns_domain usa o nome do domínio do Active Directory e o user identifica-se como o nome do utilizador do Active Directory. Use estes valores quando definir os atributos POSIX do LDAP.

Para usar o NFSv4.1 sem mapeamento de IDs e usar apenas IDs de utilizadores e IDs de grupos semelhantes ao NFSv3, use IDs numéricos para ignorar os principais de segurança. O NetApp Volumes suporta IDs numéricos. Os clientes NFS atuais usam IDs numéricos por predefinição se o mapeamento de IDs não estiver configurado.
NFSv4.x com Kerberos: se usar o Kerberos, é obrigatório usar o Active Directory como o servidor LDAP para procuras de principais de segurança. Os principais do Kerberos são usados como identificadores de segurança. O centro de distribuição de chaves do Kerberos usa o Active Directory. Para que isto funcione, tem de anexar uma política do Active Directory que contenha definições do Kerberos ao conjunto e ativar o suporte LDAP num conjunto de armazenamento quando criar o conjunto.

Autorizações necessárias para criar contas de máquinas do Active Directory

Para usar o Active Directory, os volumes NetApp têm de associar um ou mais servidores de ficheiros virtuais ao seu domínio como contas de computador. Para aderir ao domínio, tem de fornecer as credenciais de um utilizador do domínio que tenha autorização para aderir a computadores no seu domínio. Por predefinição, apenas os membros do grupo Domain Admins podem juntar computadores ao domínio, mas o Active Directory tem a capacidade de delegar as autorizações necessárias a utilizadores ou grupos individuais ao nível de um domínio completo ou de uma unidade organizacional (UO).

Para os volumes NetApp, recomenda-se que crie uma conta de serviço de domínio dedicada. Delegue apenas as autorizações necessárias para associar novos computadores a uma UO específica. Depois de criar um utilizador com a associação ao grupo Domain User ou Domain Guest, use as instruções seguintes para delegar as autorizações necessárias.

Inicie sessão no seu sistema como administrador de domínio para o domínio do Active Directory.
Abra o snap-in MMC Utilizadores e computadores do Active Directory.
Na barra de menu, selecione Ver e certifique-se de que a opção Funcionalidades avançadas está ativada.

É apresentada uma marca de verificação se as Funcionalidades avançadas estiverem ativadas.
No painel de tarefas, expanda o nó de domínio.
Localize a UO que quer modificar, clique com o botão direito do rato e selecione Propriedades no menu de contexto.
Na janela Propriedades da UO, selecione o separador Segurança.
Em Segurança, clique em Avançadas e, de seguida, em Adicionar.
Na caixa de diálogo Entrada de autorização, conclua os seguintes passos:
1. Clique em Selecionar um principal.
2. Introduza o nome da sua conta de serviço ou grupo e clique em OK.
3. Em Aplica-se a:, selecione Este objeto e todos os objetos descendentes.
4. Certifique-se de que as seguintes autorizações estão selecionadas:
  - Modifique as autorizações
  - Crie objetos de computador
  - Elimine objetos de computador
Selecione a caixa de verificação Aplicar e, de seguida, clique em OK.
Feche o snap-in MMC Utilizadores e computadores do Active Directory.

Depois de delegar a conta de serviço, pode fornecer o nome de utilizador e a palavra-passe como credenciais da política do Active Directory.

Para maior segurança, durante a consulta e a criação do objeto da conta de máquina, o nome de utilizador e a palavra-passe transmitidos ao domínio do Active Directory usam a encriptação Kerberos.

Controladores de domínio do Active Directory

Para associar volumes NetApp ao seu domínio, o serviço usa a deteção baseada em DNS para identificar uma lista de controladores de domínio disponíveis para utilização.

O serviço executa os seguintes passos para encontrar um controlador de domínio a usar:

Deteção do site do Active Directory: os volumes da NetApp usam um ping LDAP para o IP do servidor DNS especificado na política do Active Directory para obter as informações da sub-rede do site do Active Directory. Devolve uma lista de CIDRs e os sites do Active Directory que estão atribuídos a esses CIDRs.

Nota: pode usar o seguinte comando para obter manualmente esta lista num sistema Windows associado ao domínio:

Get-ADReplicationSubnet -Filter * | Select-Object Name,Site
Definir nomes de sites: se o endereço IP do volume corresponder a alguma das sub-redes definidas, é usado o nome do site associado. As correspondências de sub-redes mais pequenas têm precedência sobre as correspondências de sub-redes maiores. Se o endereço IP do volume for desconhecido, crie manualmente um volume temporário com o tipo de protocolo NFS para determinar o CIDR /28 usado.

Se não for definido nenhum nome do site no Active Directory, é usado o nome do site configurado na política do Active Directory. Se não for configurado nenhum nome do site, os níveis de serviço Standard, Premium e Extreme usam o site Default-First-Site-Name. Se o nível de serviço Flex tentar usar o site Default-First-Site-Name, vai falhar e, em alternativa, o nível de serviço Flex usa a deteção completa do controlador de domínio. Tenha em atenção que as alterações ao parâmetro do site do Active Directory são ignoradas pelos conjuntos de armazenamento ao nível do serviço Flex.
Deteção de controladores de domínio: com todas as informações necessárias adquiridas, o serviço identifica potenciais controladores de domínio através da seguinte consulta DNS:

nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>

Para a deteção completa de domínios, o serviço usa a seguinte consulta DNS:

nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>
Geração da lista de controladores de domínio: é gerada uma lista de controladores de domínio. Os volumes do NetApp monitorizam constantemente todos os volumes para verificar a disponibilidade. Dos controladores de domínio disponíveis, seleciona um para a associação ao domínio e as pesquisas. Se o controlador de domínio selecionado for removido, é usado automaticamente outro controlador de domínio da lista Disponível. Tenha em atenção que o controlador de domínio que escolher não é necessariamente o servidor DNS especificado.

Tem de fornecer, pelo menos, um controlador de domínio acessível para o serviço usar. Recomendamos vários para uma melhor disponibilidade do controlador de domínio. Certifique-se de que existe um caminho de rede encaminhado entre os volumes NetApp e os controladores de domínio e que as regras de firewall nos controladores de domínio permitem que os volumes NetApp se liguem.

Para mais informações, consulte o artigo Considerações de design e práticas recomendadas do Active Directory.

Topologias de controladores de domínio do Active Directory

Depois de se ligar com êxito aos controladores de domínio do Active Directory, pode usar os seguintes protocolos de partilha de ficheiros:

SMB
NFSv3 com grupos alargados
NFSv4 com principais de segurança e Kerberos

Os cenários seguintes descrevem potenciais topologias. Os cenários descrevem apenas o controlador de domínio usado pelos volumes NetApp. Outros controladores de domínio para o mesmo domínio são descritos apenas quando necessário. Recomendamos que implemente, pelo menos, dois controladores de domínio para redundância e disponibilidade.

Controlador de domínio do Active Directory e volumes numa região: este cenário é a estratégia de implementação mais simples, em que um controlador de domínio está na mesma região que o volume.
Controlador de domínio do Active Directory e volumes em regiões separadas: pode usar um controlador de domínio numa região diferente de um volume. Isto pode afetar negativamente o desempenho da autenticação e do acesso a ficheiros.
Controladores de domínio do Active Directory em várias regiões com sites do AD: se usar volumes em várias regiões, recomendamos que coloque, pelo menos, um controlador de domínio em cada região. Embora o serviço tente escolher automaticamente o controlador de domínio mais adequado, recomendamos que faça a gestão da seleção do controlador de domínio com sites do Active Directory.
Controlador de domínio do Active Directory numa rede no local: pode usar um controlador de domínio no local através de VPN, mas pode afetar negativamente a autenticação do utilizador final e o desempenho do acesso a ficheiros. Certifique-se de que não adiciona saltos de interligação da nuvem privada virtual adicionais no caminho da rede. O peering de VPC está sujeito a restrições de encaminhamento transitivas. O tráfego não é encaminhado além do salto de peering de VPC que os volumes da NetApp já consomem.
Controlador de domínio do Active Directory numa rede VPC diferente: não pode colocar o controlador de domínio numa VPC diferente porqueGoogle Cloud o intercâmbio de VPC não permite o encaminhamento transitivo. Em alternativa, pode ligar as VPCs através de VPN ou anexar volumes NetApp a uma rede VPC partilhada que alberge os controladores de domínio do Active Directory. Se anexar volumes NetApp a uma rede VPC partilhada, do ponto de vista da arquitetura, este cenário torna-se igual a um dos cenários nas secções anteriores.

O que se segue?

Crie uma política do Active Directory.