Integração do Google Cloud NetApp Volumes com o Active Directory

Esta página descreve a integração do Google Cloud NetApp Volumes com o Active Directory.

Sobre a integração

Uma política do Active Directory informa aos NetApp Volumes como se conectar ao Active Directory. As configurações do pool de armazenamento usam políticas do Active Directory para definir as configurações do Active Directory dos volumes criados neles.

As políticas do Active Directory são específicas da região, e você pode configurar até cinco políticas por região.

Os protocolos de compartilhamento de arquivos, como SMB (CIFS), NFSv3 com grupos estendidos e NFSv4, que usam princípios de segurança, dependem de serviços de diretório externos para fornecer informações de identidade do usuário. O NetApp Volumes depende do Active Directory para serviços de diretório. O Active Directory oferece os seguintes serviços:

• Servidores LDAP: pesquisam objetos, como usuários, grupos ou máquinas.

• Servidores DNS: resolvem nomes de host e a descoberta de controladores de domínio do Active Directory.

• Servidores Kerberos: realizam a autenticação.

Para mais informações, consulte Práticas recomendadas para executar o Active Directory no Google Cloud.

Casos de uso do Active Directory

O NetApp Volumes usa o Active Directory para vários casos de uso:

• Serviço de domínio SMB: o Active Directory é o serviço de domínio central do SMB. Ele usa o SMB para autenticação e pesquisas de identidade para usuários e grupos. NetApp Volumes se juntam ao domínio como membro, mas não têm suporte para SMB no modo de grupo de trabalho.

• Suporte a grupos estendidos do NFSv3: para o NFSv3 com suporte a grupos estendidos, o Active Directory fornece o servidor LDAP necessário para pesquisar objetos, como usuários, grupos ou contas de máquina. Especificamente, as pesquisas de ID de usuário e de grupo exigem um servidor LDAP compatível com RFC2307bis. O suporte a LDAP é ativado nos pools de armazenamento durante a criação.

  O suporte estendido a grupos ignora todos os IDs de grupo enviados pelo cliente NFS em uma chamada NFS. Em vez disso, ele usa o ID do usuário da solicitação e procura todos os IDs de grupo para o ID do usuário fornecido no servidor LDAP para fazer verificações de permissão de arquivo.

  Para mais informações, consulte Gerenciar atributos POSIX RFC2307bis do LDAP.

• Mapeamento de principal de segurança do NFSv4.x para ID de usuário e ID de grupo: para o NFSv4.x, NetApp Volumes usam o Active Directory para mapear principais de segurança para IDs de usuário e de grupo. O NFSv4 usa um modelo de autenticação baseado em principal. Na autenticação baseada em principais, os principais de segurança identificam usuários que têm o formulário user@dns_domain (consulte considerações de segurança RFC 7530) em vez de IDs de usuários e de grupos. Para mapear os principais elementos de segurança para IDs de usuário e IDs de grupo ao acessar o volume com um protocolo NFSv4.x, NetApp Volumes exigem um servidor LDAP compatível com RFC2307bis. O NetApp Volumes só oferece suporte a servidores LDAP do Active Directory. O suporte a LDAP é ativado nos pools de armazenamento durante a criação.

  Para usar os principais componentes de segurança, o cliente e o servidor NFS precisam se conectar à mesma fonte LDAP, e você precisa configurar o arquivo idmapd.conf no cliente. Para mais informações sobre como configurar o arquivo idmapd.conf, consulte a documentação do Ubuntu sobre como configurar o arquivo idmapd.conf para libnfsidmap.

  O dns_domain usa o nome de domínio do Active Directory, e o user identifica como o nome do usuário do Active Directory. Use esses valores ao definir seus atributos POSIX do LDAP.

  Para usar o NFSv4.1 sem o mapeamento de ID e apenas IDs de usuário e de grupo semelhantes ao NFSv3, use IDs numéricos para ignorar os principais de segurança. O NetApp Volumes aceita IDs numéricos. Os clientes NFS atuais usam IDs numéricos por padrão se o mapeamento de ID não estiver configurado.

• NFSv4.x com Kerberos:se você usa o Kerberos, é obrigatório usar o Active Directory como o servidor LDAP para pesquisas de principal de segurança. Os principais do Kerberos são usados como identificadores de segurança. A central de distribuição de chaves do Kerberos usa o Active Directory. Para que isso funcione, anexe uma política do Active Directory que contenha as configurações do Kerberos ao pool e ative o suporte ao LDAP em um pool de armazenamento ao criar o pool.

Permissões necessárias para criar contas de máquina do Active Directory

É possível adicionar objetos de máquina NetApp Volumes a um Active Directory do Windows com uma conta que tenha permissões para associar um computador ao domínio. Esse grupo geralmente é o Domain Admins, mas o Active Directory tem a capacidade de delegar as permissões necessárias a usuários ou grupos individuais em um domínio completo ou unidade organizacional.

É possível conceder essas permissões com o assistente de delegação de controle no Active Directory criando uma tarefa personalizada que permite criar e excluir objetos de computador com as seguintes permissões de acesso:

• Leitura e gravação

• Criar e excluir todos os objetos filhos

• Ler e gravar todas as propriedades

• Mudar e redefinir a senha ("Políticas de bloqueio e leitura e gravação de senhas de domínio")

A delegação de um usuário adiciona uma lista de controle de acesso de segurança para o usuário definido à unidade organizacional no Active Directory e minimiza o acesso ao ambiente do Active Directory. Depois que um usuário for delegado, você poderá fornecer o nome de usuário e a senha como credenciais de política do Active Directory.

Para mais segurança, durante a consulta e a criação do objeto de conta de máquina, o nome de usuário e a senha transmitidos ao domínio do Active Directory usam a criptografia Kerberos.

Controladores de domínio do Active Directory

Para conectar NetApp Volumes ao seu domínio, o serviço usa a descoberta baseada em DNS para identificar uma lista de controladores de domínio disponíveis.

O serviço executa as seguintes etapas para encontrar um controlador de domínio a ser usado:

1. Detecção de site do Active Directory: NetApp Volumes usam um ping LDAP para o IP do servidor DNS especificado na política do Active Directory para buscar as informações da sub-rede do site do Active Directory. Ele retorna uma lista de CIDRs e os sites do Active Directory atribuídos a esses CIDRs.

   Get-ADReplicationSubnet -Filter * | Select-Object Name,Site

2. Definir nomes de sites: se o endereço IP do volume corresponder a qualquer uma das sub-redes definidas, o nome do site associado será usado. As correspondências de sub-redes menores têm precedência sobre as correspondências de sub-redes maiores. Se o endereço IP do volume for desconhecido, crie manualmente um volume temporário com o tipo de protocolo NFS para determinar o CIDR /28 usado.

   Se nenhum nome de site for definido no Active Directory, o nome de site configurado na política do Active Directory será usado. Se nenhum nome de site estiver configurado, os níveis de serviço padrão, Premium e Extreme vão usar o site Default-First-Site-Name. Se o nível de serviço flexível tentar usar o site Default-First-Site-Name, ele falhará e o nível de serviço flexível usará a descoberta completa do controlador de domínio. As mudanças no parâmetro do site do Active Directory são ignoradas pelos pools de armazenamento do nível de serviço Flex.

3. Descoberta de controladores de domínio: com todas as informações necessárias, o serviço identifica possíveis controladores de domínio usando a seguinte consulta DNS:

   nslookup -type=srv _ldap._tcp.<site_name>._sites.dc._msdcs.<domain-name> <dns-server>

   Para a descoberta completa do domínio, o serviço usa a seguinte consulta DNS:

   nslookup -type=srv _ldap._tcp.dc._msdcs.<domain-name> <dns-server>

4. Geração de lista de controladores de domínio: uma lista de controladores de domínio é gerada. NetApp Volumes monitoram constantemente a disponibilidade de todos eles. Entre os controladores de domínio disponíveis, ele seleciona um para a associação e as pesquisas de domínio. Se o controlador de domínio selecionado for removido, outro controlador de domínio da lista Available será usado automaticamente. O controlador de domínio escolhido não é necessariamente o servidor DNS especificado.

É necessário fornecer pelo menos um controlador de domínio acessível para que o serviço seja usado. Recomendamos vários para melhorar a disponibilidade do controlador de domínio. Verifique se há um caminho de rede roteado entre NetApp Volumes e os controladores de domínio e se as regras de firewall nos controladores de domínio permitem a conexão NetApp Volumes.

Para mais informações, consulte Considerações e práticas recomendadas sobre o design do Active Directory.

Topologias de controladores de domínio do Active Directory

Depois de se conectar aos controladores de domínio do Active Directory, você pode usar os seguintes protocolos de compartilhamento de arquivos:

• SMB

• NFSv3 com grupos estendidos

• NFSv4 com principais de segurança e Kerberos

Os cenários a seguir descrevem possíveis topologias. Os cenários descrevem apenas o controlador de domínio usado pelos NetApp Volumes. Outros controladores de domínio para o mesmo domínio são descritos apenas quando necessário. Recomendamos que você implante pelo menos dois controladores de domínio para redundância e disponibilidade.

• Controlador de domínio do Active Directory e volumes em uma região: esse cenário é a estratégia de implantação mais simples em que um controlador de domínio está na mesma região que o volume.

• Controlador de domínio do Active Directory e volumes em regiões separadas: é possível usar um controlador de domínio em uma região diferente de um volume. Isso pode afetar negativamente a autenticação e o desempenho do acesso a arquivos.

• Controladores de domínio do Active Directory em várias regiões usando sites do AD: se você usa volumes em várias regiões, recomendamos que você coloque pelo menos um controlador de domínio em cada região. Embora o serviço tente escolher o melhor controlador de domínio para uso automático, recomendamos que você gerencie a seleção do controlador de domínio com sites do Active Directory.

• Controlador de domínio do Active Directory em uma rede local: é possível usar um controlador de domínio local por VPN, mas isso pode afetar negativamente a autenticação do usuário final e o desempenho do acesso a arquivos. Não adicione outros saltos de peering da nuvem privada virtual no caminho da rede. O peering de VPC está sujeito a restrições de roteamento transitivo. O tráfego não é encaminhado além do salto de peering da VPC que NetApp Volumes já consomem.

• Controlador de domínio do Active Directory em uma rede VPC diferente: não é possível colocar o controlador de domínio em uma VPC diferente porque o Google Cloud VPC não permite o roteamento transitivo. Como alternativa, é possível conectar as VPCs usando VPN ou anexar NetApp Volumes a uma rede VPC compartilhada que hospeda os controladores de domínio do Active Directory. Se você anexar NetApp Volumes a uma rede VPC compartilhada, do ponto de vista da arquitetura, esse cenário será igual a um dos cenários nas seções anteriores.

A seguir

Crie uma política do Active Directory.