En esta página, se describe la integración de Active Directory en Google Cloud NetApp Volumes.
Acerca de la integración
Una política de Active Directory le indica a NetApp Volumes cómo conectarse a Active Directory. Las configuraciones de grupos de almacenamiento usan políticas de Active Directory para definir la configuración de Active Directory de los volúmenes que creas en ellos.
Las políticas de Active Directory son específicas de la región y puedes configurar hasta cinco políticas por región.
Los protocolos de uso compartido de archivos, como SMB (CIFS), NFSv3 con grupos extendidos y NFSv4, que usan principios de seguridad, dependen de servicios de directorio externos para proporcionar información de identidad del usuario. NetApp Volumes se basa en Active Directory para los servicios de directorio. Active Directory proporciona los siguientes servicios:
Servidores LDAP: Busca objetos, como usuarios, grupos o máquinas.
Servidores DNS: Resuelve los nombres de host y el descubrimiento de controladores de dominio de Active Directory.
Servidores de Kerberos: Realizan la autenticación.
Para obtener más información, consulta Prácticas recomendadas para ejecutar Active Directory en Google Cloud.
Casos de uso de Active Directory
NetApp Volumes usa Active Directory para varios casos de uso:
Servicio de dominio de pymes: Active Directory es el servicio de dominio central para las pymes. Usa SMB para la autenticación y la búsqueda de identidad de usuarios y grupos. NetApp Volumes se une al dominio como miembro, pero no es compatible con SMB en modo de grupo de trabajo.
Compatibilidad con grupos extendidos de NFSv3: Para NFSv3 con compatibilidad con grupos extendidos, Active Directory proporciona el servidor LDAP necesario para buscar objetos, como usuarios, grupos o cuentas de máquinas. Específicamente, las búsquedas de ID de usuario y de ID de grupo requieren un servidor LDAP compatible con
RFC2307bis. La compatibilidad con LDAP se habilita en los grupos de almacenamiento durante su creación.La compatibilidad con grupos extendidos ignora todos los IDs de grupo que envía el cliente NFS en una llamada NFS. En su lugar, toma el ID de usuario de la solicitud y busca todos los IDs de grupo para el ID de usuario determinado en el servidor de LDAP para realizar verificaciones de permisos de archivos.
Para obtener más información, consulta Administra atributos POSIX de
RFC2307bisde LDAP.Asignación de principal de seguridad de NFSv4.x a ID de usuario y ID de grupo: En el caso de NFSv4.x, NetApp Volumes usa Active Directory para asignar principales de seguridad a IDs de usuario y de grupo. NFSv4 usa un modelo de autenticación basado en el principal. En la autenticación basada en principales, los principales de seguridad identifican a los usuarios que tienen el formato
user@dns_domain(consulta las consideraciones de seguridad deRFC 7530) en lugar de los IDs de usuario y de grupo. Para asignar principales de seguridad a IDs de usuario y de grupo cuando accedes al volumen con un protocolo NFSv4.x, NetApp Volumes requiere un servidor LDAP compatible conRFC2307bis. NetApp Volumes solo admite servidores LDAP de Active Directory. La compatibilidad con LDAP se habilita en los grupos de almacenamiento durante su creación.Para usar principales de seguridad, el cliente y el servidor de NFS deben conectarse a la misma fuente de LDAP, y debes configurar el archivo
idmapd.confen el cliente. Para obtener más información sobre cómo configurar el archivoidmapd.conf, consulta la documentación de Ubuntu sobre cómo configurar el archivoidmapd.confparalibnfsidmap.dns_domainusa el nombre de dominio de Active Directory yuserse identifica como el nombre del usuario de Active Directory. Usa estos valores cuando configures tus atributos POSIX de LDAP.Para usar NFSv4.1 sin asignación de ID y solo usar IDs de usuario y de grupo similares a NFSv3, usa IDs numéricos para ignorar los principales de seguridad. NetApp Volumes admite IDs numéricos. Los clientes de NFS actuales usan IDs numéricos de forma predeterminada si no se configura la asignación de IDs.
NFSv4.x con Kerberos: Si usas Kerberos, es obligatorio usar Active Directory como servidor LDAP para las búsquedas de principales de seguridad. Los principales de Kerberos se usan como identificadores de seguridad. El centro de distribución de claves de Kerberos usa Active Directory. Para que esto funcione, debes adjuntar una política de Active Directory que contenga la configuración de Kerberos al grupo y habilitar la compatibilidad con LDAP en un grupo de almacenamiento cuando lo crees.
Permisos necesarios para crear cuentas de máquinas de Active Directory
Puedes agregar objetos de máquinas de NetApp Volumes a un Active Directory de Windows con una cuenta que tenga permisos para unir una computadora al dominio. Por lo general, este grupo es el grupo Domain Admins, pero Active Directory tiene la capacidad de delegar los permisos necesarios a usuarios o grupos individuales a nivel de un dominio completo o de una unidad organizativa.
Puedes otorgar estos permisos con el Asistente de delegación de control en Active Directory. Para ello, crea una tarea personalizada que te permita crear y borrar objetos de computadoras con los siguientes permisos de acceso:
Escritura y lectura
Crea y borra todos los objetos secundarios
Lee y escribe todas las propiedades
Cambiar y restablecer la contraseña ("Leer y escribir políticas de bloqueo y contraseña del dominio")
Cuando delegas un usuario, se agrega una lista de control de acceso de seguridad para el usuario definido a la unidad organizacional en Active Directory y se minimiza el acceso al entorno de Active Directory. Una vez que se delegue un usuario, puedes proporcionar el nombre de usuario y la contraseña como credenciales de la directiva de Active Directory.
Para mayor seguridad, durante la consulta y la creación de objetos de cuenta de máquina, el nombre de usuario y la contraseña que se pasan al dominio de Active Directory usan la encriptación de Kerberos.
Controladores de dominio de Active Directory
Para conectar NetApp Volumes a tu dominio, el servicio usa el descubrimiento basado en DNS para identificar una lista de controladores de dominio disponibles que se pueden usar.
El servicio ejecuta los siguientes pasos para encontrar un controlador de dominio que usar:
Descubrimiento de sitios de Active Directory: NetApp Volumes usan un ping de LDAP a la IP del servidor DNS especificada en la política de Active Directory para recuperar la información de la subred del sitio de Active Directory. Muestra una lista de los CIDR y los sitios de Active Directory asignados a esos CIDR.
Get-ADReplicationSubnet -Filter * | Select-Object Name,SiteDefine nombres de sitios: Si la dirección IP del volumen coincide con alguna de las subredes definidas, se usa el nombre de sitio asociado. Las coincidencias de subredes más pequeñas tienen prioridad sobre las coincidencias de subredes más grandes. Si no se conoce la dirección IP del volumen, crea un volumen temporal de forma manual con el tipo de protocolo NFS para determinar el CIDR
/28que se usa.Si no se define un nombre de sitio en Active Directory, se usa el nombre de sitio configurado en la política de Active Directory. Si no se configura un nombre de sitio, los niveles de servicio estándar, Premium y extremo usan el sitio
Default-First-Site-Name. Si el nivel de servicio de Flex intenta usar el sitioDefault-First-Site-Name, fallará y, en su lugar, usará el descubrimiento completo del controlador de dominio. Ten en cuenta que los grupos de almacenamiento a nivel del servicio de Flex ignoran los cambios en el parámetro de sitio de Active Directory.Descubrimiento de controladores de dominio: Con toda la información necesaria adquirida, el servicio identifica posibles controladores de dominio con la siguiente consulta de DNS:
nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>Para el descubrimiento de dominio completo, el servicio usa la siguiente consulta de DNS:
nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>Generación de la lista de controladores de dominio: Se genera una lista de controladores de dominio. NetApp Volumes supervisa todos ellos de forma constante para verificar su disponibilidad. De los controladores de dominio disponibles, selecciona uno para la unión y las búsquedas de dominios. Si desaparece el controlador de dominio seleccionado, se usará automáticamente otro controlador de dominio de la lista Disponible. Ten en cuenta que el controlador de dominio que elijas no es necesariamente el servidor DNS especificado.
Debes proporcionar al menos un controlador de dominio accesible para que el servicio lo use. Te recomendamos que uses varios para mejorar la disponibilidad del controlador de dominio. Asegúrate de que haya una ruta de red enrutable entre NetApp Volumes y los controladores de dominio, y de que las reglas de firewall de los controladores de dominio permitan que NetApp Volumes se conecten.
Para obtener más información, consulta Consideraciones y prácticas recomendadas de diseño de Active Directory.
Topologías de controladores de dominio de Active Directory
Una vez que te conectes correctamente a los controladores de dominio de Active Directory, puedes usar los siguientes protocolos de uso compartido de archivos:
SMB
NFSv3 con grupos extendidos
NFSv4 con principales de seguridad y Kerberos
En las siguientes situaciones, se describen posibles topologías. En las situaciones, solo se describe el controlador de dominio que usan NetApp Volumes. Los demás controladores de dominio para el mismo dominio se describen solo cuando es necesario. Te recomendamos que implementes al menos dos controladores de dominio para la redundancia y la disponibilidad.
Controlador de dominio de Active Directory y volúmenes en una región: Esta situación es la estrategia de implementación más simple en la que un controlador de dominio se encuentra en la misma región que el volumen.
Controlador de dominio de Active Directory y volúmenes en regiones separadas: Puedes usar un controlador de dominio en una región diferente de un volumen. Esto podría afectar negativamente el rendimiento de la autenticación y el acceso a los archivos.
Controladores de dominio de Active Directory en varias regiones que usan sitios de AD: Si usas volúmenes en varias regiones, te recomendamos que coloques al menos un controlador de dominio en cada región. Mientras el servicio intenta elegir el mejor controlador de dominio para usar automáticamente, te recomendamos que administres la selección de controladores de dominio con los sitios de Active Directory.
Controlador de dominio de Active Directory en una red local: Puedes usar un controlador de dominio local a través de una VPN, pero puede afectar negativamente la autenticación del usuario final y el rendimiento del acceso a los archivos. Asegúrate de no agregar saltos de intercambio de tráfico de nube privada virtual adicionales en la ruta de red. El intercambio de tráfico de VPC está sujeto a restricciones de enrutamiento transitivo. El tráfico no se enruta más allá del salto de intercambio de tráfico de VPC que NetApp Volumes ya consume.
Controlador de dominio de Active Directory en una red de VPC diferente: No puedes colocar el controlador de dominio en una VPC diferente porque el intercambio de tráfico entre VPC deGoogle Cloud no permite el enrutamiento tránsito. Como alternativa, puedes conectar las VPC con una VPN o conectar NetApp Volumes a una red de VPC compartida que aloje los controladores de dominio de Active Directory. Si conectas NetApp Volumes a una red de VPC compartida, esta situación se convierte, desde el punto de vista arquitectónico, en la misma que una de las situaciones de las secciones anteriores.
¿Qué sigue?
Crea una política de Active Directory.