Integrazione di Active Directory con Google Cloud NetApp Volumes

Questa pagina descrive l'integrazione di Active Directory con Google Cloud NetApp Volumes.

Informazioni sull'integrazione

Un criterio Active Directory indica a NetApp Volumes come connettersi ad Active Directory. Le configurazioni dei pool di archiviazione utilizzano i criteri Active Directory per definire le impostazioni di Active Directory dei volumi creati al loro interno.

I criteri di Active Directory sono specifici per regione e puoi configurarne fino a cinque per regione.

I protocolli di condivisione file, come SMB (CIFS), NFSv3 con gruppi estesi e NFSv4, che utilizzano i principali della sicurezza, si basano su servizi di directory esterni per fornire informazioni sull'identità utente. NetApp Volumes si basa su Active Directory per i servizi di directory. Active Directory offre i seguenti servizi:

• Server LDAP: cerca oggetti come utenti, gruppi o computer

• Server DNS: risolvono i nomi host e il rilevamento dei controller di dominio Active Directory

• Server Kerberos: eseguono l'autenticazione

Per ulteriori informazioni, consulta le Best practice per l'esecuzione di Active Directory su Google Cloud.

Casi d'uso di Active Directory

NetApp Volumes utilizza Active Directory per diversi casi d'uso:

• Servizio di dominio SMB: Active Directory è il servizio di dominio centrale per SMB. Utilizza SMB per l'autenticazione e la ricerca delle identità per utenti e gruppi. NetApp Volumes si uniscono al dominio come membri, ma non supportano SMB in modalità gruppo di lavoro.

• Supporto dei gruppi estesi NFSv3: per NFSv3 con supporto dei gruppi estesi, Active Directory fornisce il server LDAP necessario per cercare oggetti come utenti, gruppi o account macchina. Nello specifico, le ricerche di ID utente e ID gruppo richiedono un server LDAP conforme a RFC2307bis. Il supporto di LDAP viene attivato nei pool di archiviazione durante la creazione del pool.

  Il supporto dei gruppi estesi ignora tutti gli ID gruppo inviati dal client NFS in una chiamata NFS. ma prende l'ID utente della richiesta e cerca tutti gli ID gruppo per l'ID utente specificato nel server LDAP per eseguire i controlli delle autorizzazioni dei file.

  Per saperne di più, vedi Gestire gli attributi POSIX RFC2307bis LDAP.

• Mappatura del principale della sicurezza NFSv4.x a ID utente e ID gruppo: per NFSv4.x, NetApp Volumes utilizza Active Directory per mappare i principali della sicurezza a ID utente e ID gruppo. NFSv4 utilizza un modello di autenticazione basato su entità. Nell'autenticazione basata su entità, le entità di sicurezza identificano gli utenti che assumono la forma user@dns_domain (vedi RFC 7530 considerazioni sulla sicurezza) anziché gli ID utente e di gruppo. Per mappare i principali di sicurezza agli ID utente e ai gruppi quando accedi al volume con un protocollo NFSv4.x, NetApp Volumes richiede un server LDAP conforme a RFC2307bis. NetApp Volumes supporta solo i server LDAP di Active Directory. Il supporto di LDAP viene attivato nei pool di archiviazione durante la creazione del pool.

  Per utilizzare i principali della sicurezza, il client e il server NFS devono connettersi alla stessa fonte LDAP e devi configurare il file idmapd.conf sul client. Per maggiori informazioni su come configurare il file idmapd.conf, consulta la documentazione di Ubuntu su come configurare il file idmapd.conf per libnfsidmap.

  dns_domain utilizza il nome di dominio Active Directory e user si identifica come il nome dell'utente Active Directory. Utilizza questi valori quando imposte gli attributi POSIX LDAP.

  Per utilizzare NFSv4.1 senza mappatura degli ID e utilizzare solo ID utente e ID gruppo simili a NFSv3, utilizza ID numerici per ignorare i principali della sicurezza. NetApp Volumes supporta gli ID numerici. I client NFS attuali utilizzano per impostazione predefinita ID numerici se la mappatura degli ID non è configurata.

• NFSv4.x con Kerberos:se utilizzi Kerberos, è obbligatorio utilizzare Active Directory come server LDAP per le ricerche delle entità di sicurezza. Le entità Kerberos vengono utilizzate come identificatori di sicurezza. Il Key Distribution Center Kerberos utilizza Active Directory. Per farlo, devi collegare al pool un criterio Active Directory contenente le impostazioni Kerberos e attivare il supporto LDAP su un pool di archiviazione quando lo crei.

Autorizzazioni richieste per creare account macchina Active Directory

Puoi aggiungere oggetti macchina NetApp Volumes a un Active Directory Windows con un account che dispone delle autorizzazioni per aggiungere un computer al dominio. Di solito si tratta del gruppo Domain Admins, ma Active Directory ha la possibilità di delegare le autorizzazioni richieste a singoli utenti o gruppi a livello di dominio o unità organizzativa completo.

Puoi concedere queste autorizzazioni con la procedura guidata di delega del controllo in Active Directory creando un'attività personalizzata che ti consenta di creare ed eliminare oggetti computer con le seguenti autorizzazioni di accesso:

• Lettura e scrittura

• Creare ed eliminare tutti gli oggetti secondari

• Leggere e scrivere in tutte le proprietà

• Modificare e reimpostare la password ("Criteri di blocco e password di dominio di lettura e scrittura")

La delega di un utente aggiunge un elenco di controllo dell'accesso dell'accesso alla sicurezza per l'utente definito all'unità organizzativa in Active Directory e riduce al minimo l'accesso all'ambiente Active Directory. Una volta delegato un utente, puoi fornire il nome utente e la password come credenziali del criterio Active Directory.

Per una maggiore sicurezza, durante la query e la creazione dell'oggetto account macchina, il nome utente e la password trasmessi al dominio Active Directory utilizzano la crittografia Kerberos.

Domain controller Active Directory

Per collegare NetApp Volumes al tuo dominio, il servizio utilizza il rilevamento basato su DNS per identificare un elenco di controller di dominio disponibili da utilizzare.

Il servizio esegue i seguenti passaggi per trovare un controller di dominio da utilizzare:

1. Rilevamento del sito Active Directory: NetApp Volumes utilizza un ping LDAP all'indirizzo IP del server DNS specificato nel criterio Active Directory per recuperare le informazioni sulla sottorete del sito Active Directory. Restituisce un elenco di CIDR e dei siti Active Directory assegnati a questi CIDR.

   Get-ADReplicationSubnet -Filter * | Select-Object Name,Site

2. Definisci i nomi dei siti: se l'indirizzo IP del volume corrisponde a una delle subnet definite, viene utilizzato il nome del sito associato. Le corrispondenze delle subnet più piccole hanno la precedenza sulle corrispondenze delle subnet più grandi. Se l'indirizzo IP del volume è sconosciuto, crea manualmente un volume temporaneo con il tipo di protocollo NFS per determinare il CIDR /28 utilizzato.

   Se in Active Directory non è definito alcun nome di sito, viene utilizzato il nome di sito configurato nel criterio Active Directory. Se non è configurato alcun nome di sito, i livelli di servizio Standard, Premium ed Extreme utilizzano il sito Default-First-Site-Name. Se il livello di servizio Flex tenta di utilizzare il sito Default-First-Site-Name, l'operazione non andrà a buon fine e il livello di servizio Flex utilizzerà la ricerca completa del controller di dominio. Tieni presente che le modifiche al parametro del sito Active Directory vengono ignorate dai pool di archiviazione a livello di servizio Flex.

3. Rilevamento del controller di dominio: con tutte le informazioni necessarie acquisite, il servizio identifica i potenziali controller di dominio utilizzando la seguente query DNS:

   nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>

   Per il rilevamento completo del dominio, il servizio utilizza la seguente query DNS:

   nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>

4. Generare un elenco di controller del dominio: viene generato un elenco di controller del dominio. NetApp Volumes ne monitora costantemente la disponibilità. Tra i controller di dominio disponibili, ne seleziona uno per la partecipazione al dominio e le ricerche. Se il controller di dominio selezionato non è più disponibile, viene utilizzato automaticamente un altro controller di dominio dall'elenco Disponibile. Tieni presente che il controller di dominio scelto non è necessariamente il server DNS specificato.

Devi fornire almeno un controller di dominio accessibile per l'utilizzo del servizio. Consigliamo di utilizzarne diversi per una maggiore disponibilità del controller di dominio. Assicurati che esista un percorso di rete indirizzato tra NetApp Volumes e i controller di dominio e che le regole del firewall sui controller di dominio consentano la connessione dei NetApp Volumes.

Per ulteriori informazioni, consulta Considerazioni e best practice per la progettazione di Active Directory.

Topologie dei controller di dominio Active Directory

Dopo aver eseguito la connessione ai controller di dominio Active Directory, puoi utilizzare i seguenti protocolli di condivisione file:

• PMI

• NFSv3 con gruppi estesi

• NFSv4 con entità di sicurezza e Kerberos

I seguenti scenari descrivono potenziali topologie. Gli scenari descrivono solo il controller di dominio utilizzato da NetApp Volumes. Gli altri controller di dominio per lo stesso dominio sono descritti solo se necessario. Ti consigliamo di implementare almeno due controller di dominio per la ridondanza e la disponibilità.

• Domain controller Active Directory e volumi in una regione: questo scenario è la strategia di implementazione più semplice in cui un controller di dominio si trova nella stessa regione del volume.

• Domain controller Active Directory e volumi in regioni separate: puoi utilizzare un domain controller in una regione diversa da quella di un volume. Ciò potrebbe influire negativamente sulle prestazioni dell'autenticazione e dell'accesso ai file.

• Controller di dominio Active Directory in più regioni che utilizzano i siti AD: se utilizzi volumi in più regioni, ti consigliamo di posizionare almeno un controller di dominio in ogni regione. Sebbene il servizio cerchi di scegliere automaticamente il miglior domain controller da utilizzare, ti consigliamo di gestire la selezione del domain controller con i siti Active Directory.

• Domain controller Active Directory in una rete on-premise: puoi utilizzare un domain controller on-premise tramite VPN, ma questo può influire negativamente sulle prestazioni dell'autenticazione e dell'accesso ai file degli utenti finali. Assicurati di non aggiungere altri hop di peering Virtual Private Cloud nel percorso di rete. Il peering VPC è soggetto a limitazioni di routing transitivo. Il traffico non viene instradato oltre l'hop di peering VPC già utilizzato da NetApp Volumes.

• Controller di dominio Active Directory in una rete VPC diversa: non puoi posizionare il controller di dominio in un VPC diverso perché il peering VPC diGoogle Cloud non consente il routing transitivo. In alternativa, puoi connettere le VPC utilizzando la VPN o collegare i NetApp Volumes a una rete VPC condivisa che ospita i controller di dominio Active Directory. Se colleghi NetApp Volumes a una rete VPC condivisa, dal punto di vista dell'architettura questo scenario diventa uguale a uno degli scenari descritti nelle sezioni precedenti.

Passaggi successivi

Crea un criterio Active Directory.