Skip to main content
NetApp Solutions
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Überlegungen zum Erstellen von Active Directory-Verbindungen

Beitragende
PDFs

Cloud Volumes Service bietet die Möglichkeit, Ihre Cloud Volumes Service Instanz mit einem externen Active Directory Server zu verbinden, um Identitäts-Management für SMB- und UNIX-Benutzer zu ermöglichen. Für die Verwendung von SMB in Cloud Volumes Service ist das Erstellen einer Active Directory-Verbindung erforderlich.

Bei der Konfiguration hierfür stehen verschiedene Optionen zur Verfügung, bei denen die Sicherheit berücksichtigt werden muss. Der externe Active Directory Server kann eine lokale oder Cloud-native Instanz sein. Wenn Sie einen lokalen Active Directory-Server verwenden, setzen Sie die Domäne nicht dem externen Netzwerk (z. B. mit einer DMZ oder einer externen IP-Adresse) aus. Verwenden Sie stattdessen sichere private Tunnel oder VPNs, One-Way-Forest-Trusts oder dedizierte Netzwerkverbindungen zu den On-Premises-Netzwerken mit "Privater Zugriff Auf Google". In der Google Cloud-Dokumentation finden Sie weitere Informationen zu "Best Practices Using Active Directory in Google Cloud".

Hinweis CVS-SW erfordert, dass sich Active Directory-Server in derselben Region befinden. Wenn eine DC-Verbindung in CVS-SW zu einer anderen Region versucht wird, schlägt der Versuch fehl. Wenn Sie CVS-SW verwenden, erstellen Sie Active Directory-Sites, die die Active Directory-Datacenter enthalten, und geben Sie dann Standorte in Cloud Volumes Service an, um regionale DC-Verbindungsversuche zu vermeiden.

Active Directory-Anmeldeinformationen

Wenn SMB oder LDAP für NFS aktiviert ist, interagiert Cloud Volumes Service mit den Active Directory Controllern, um ein Computerkonto-Objekt zu erstellen, das für die Authentifizierung verwendet werden soll. Dies unterscheidet sich nicht von der Verbindung eines Windows SMB-Clients zu einer Domäne und erfordert dieselben Zugriffsrechte für Organisationseinheiten (OUs) in Active Directory.

In vielen Fällen ist die Verwendung eines Windows-Administratorkontos auf externen Servern wie Cloud Volumes Service nicht gestattet. In einigen Fällen ist der Windows Administrator-Benutzer vollständig als bewährte Sicherheitsübung deaktiviert.

Zum Erstellen von SMB-Computerkonten erforderliche Berechtigungen

Um einem Active Directory Cloud Volumes Service-Maschinenobjekte hinzuzufügen, ein Konto, das entweder über Administratorrechte für die Domäne verfügt oder über "Delegierte Berechtigungen zum Erstellen und Ändern von Computerkontontobjekten" Für eine angegebene Organisationseinheit ist erforderlich. Dazu können Sie den Assistenten zur Delegierung von Computerobjekten in Active Directory verwenden, indem Sie eine benutzerdefinierte Aufgabe erstellen, die einem Benutzer den Zugriff auf das Erstellen/Löschen von Computerobjekten mit den folgenden Zugriffsberechtigungen bietet:

  • Lese-/Schreibzugriff

  • Alle Untergeordneten Objekte Erstellen/Löschen

  • Lesen/Schreiben Aller Eigenschaften

  • Passwort Ändern/Zurücksetzen

Dadurch wird der OU in Active Directory automatisch eine Sicherheits-ACL für den definierten Benutzer hinzugefügt und der Zugriff auf die Active Directory-Umgebung wird minimiert. Nachdem ein Benutzer delegiert wurde, können dieser Benutzername und dieses Passwort in diesem Fenster als Active Directory-Anmeldeinformationen angegeben werden.

Hinweis Der Benutzername und das Passwort, das an die Active Directory-Domäne übergeben wird, nutzen die Kerberos-Verschlüsselung während der Abfrage des Computerkontos und der Erstellung für zusätzliche Sicherheit.

Details zur Active Directory-Verbindung

Der "Active Directory-Verbindungsdetails" Bereitstellen von Feldern für Administratoren, um bestimmte Active Directory-Schemainformationen für die Platzierung von Computerkonten bereitzustellen, z. B.:

  • Active Directory-Verbindungstyp. zur Angabe, ob die Active Directory-Verbindung in einer Region für Volumes von entweder Cloud Volumes Service oder CVS-Performance-Diensttypen verwendet wird. Wenn diese Funktion bei einer vorhandenen Verbindung falsch eingestellt ist, funktioniert sie möglicherweise nicht richtig, wenn sie verwendet oder bearbeitet wird.

  • Domain. der Active Directory-Domänenname.

  • Site. beschränkt Active Directory-Server auf einen bestimmten Standort für Sicherheit und Leistung "Überlegungen". Dies ist erforderlich, wenn mehrere Active Directory-Server Regionen umfassen, da Cloud Volumes Service derzeit keine Unterstützung bietet, um Active Directory-Authentifizierungsanforderungen an Active Directory-Server in einer anderen Region als der Cloud Volumes Service-Instanz zu erlauben. (Beispielsweise ist der Active Directory Domain Controller in einer Region, die nur CVS-Performance unterstützt, aber einen SMB-Share in einer CVS-SW-Instanz wünschen.)

  • DNS-Server. DNS-Server zur Verwendung bei der Namensaufsuchen.

  • NetBIOS-Name (optional). auf Wunsch der NetBIOS-Name für den Server. Dies wird verwendet, wenn neue Computerkonten mithilfe der Active Directory-Verbindung erstellt werden. Wenn beispielsweise der NetBIOS-Name auf CVS-EAST gesetzt ist, dann sind die Namen des Computerkontos CVS-EAST-{1234}. Siehe Abschnitt "Wie Cloud Volumes Service in Active Directory angezeigt wird" Finden Sie weitere Informationen.

  • Organisationseinheit (Organisationseinheit). die spezifische Organisationseinheit, die das Computerkonto erstellt. Dies ist nützlich, wenn Sie die Kontrolle an einen Benutzer für Maschinenkonten an eine bestimmte OU delegieren.

  • AES-Verschlüsselung. Sie können auch das Kontrollkästchen AES-Verschlüsselung für AD-Authentifizierung aktivieren oder deaktivieren. Das Aktivieren der AES-Verschlüsselung für die Active Directory-Authentifizierung bietet zusätzliche Sicherheit für die Kommunikation zwischen Cloud Volumes Service und Active Directory bei Benutzer- und Gruppensuchen. Bevor Sie diese Option aktivieren, fragen Sie Ihren Domänenadministrator, ob die Active Directory-Domänencontroller die AES-Authentifizierung unterstützen.

Hinweis Standardmäßig deaktivieren die meisten Windows-Server schwächere Chiffren (wie DES oder RC4-HMAC) nicht, aber wenn Sie schwächere Chiffren deaktivieren möchten, bestätigen Sie, dass die Cloud Volumes Service Active Directory-Verbindung für die Aktivierung von AES konfiguriert wurde. Andernfalls treten Authentifizierungsfehler auf. Die Aktivierung der AES-Verschlüsselung deaktiviert nicht schwächere Chiffren, sondern fügt dem Cloud Volumes Service SMB-Maschinenkonto Unterstützung für AES-Chiffren hinzu.

Kerberos-Bereich – Details

Diese Option gilt nicht für SMB-Server. Es wird vielmehr verwendet, wenn NFS Kerberos für das Cloud Volumes Service System konfiguriert wird. Wenn diese Details ausgefüllt werden, wird der NFS-Kerberos-Bereich konfiguriert (ähnlich einer krb5.conf-Datei unter Linux) und wird verwendet, wenn NFS-Kerberos bei der Erstellung des Cloud Volumes Service-Volumes angegeben wird, da die Active Directory-Verbindung als NFS Kerberos-Verteilzentrum (KDC) fungiert.

Hinweis Nicht-Windows-Rechenzentren werden derzeit nicht für die Verwendung mit Cloud Volumes Service unterstützt.

Region

In einer Region können Sie den Speicherort der Active Directory-Verbindung angeben. Diese Region muss dieselbe Region wie das Cloud Volumes Service-Volumen aufweisen.

  • Lokale NFS-Benutzer mit LDAP. in diesem Abschnitt gibt es auch eine Option, lokale NFS-Benutzer mit LDAP zu erlauben. Diese Option muss nicht ausgewählt werden, wenn Sie Ihre UNIX-Benutzergruppenmitgliedschaft über die 16-Gruppen-Beschränkung von NFS hinaus erweitern möchten (erweiterte Gruppen). Die Verwendung erweiterter Gruppen erfordert jedoch einen konfigurierten LDAP-Server für UNIX-Identitäten. Wenn Sie keinen LDAP-Server haben, lassen Sie diese Option nicht ausgewählt. Wenn Sie über einen LDAP-Server verfügen und auch lokale UNIX-Benutzer verwenden möchten (z. B. Root), wählen Sie diese Option aus.

Backup-Benutzer

Mit dieser Option können Sie Windows-Benutzer angeben, die Sicherungsberechtigungen auf dem Cloud Volumes Service-Volume besitzen. Backup-Berechtigungen (SeBackupPrivilege) sind für einige Anwendungen erforderlich, um Daten in NAS-Volumes ordnungsgemäß zu sichern und wiederherzustellen. Dieser Benutzer hat einen hohen Zugriff auf die Daten des Volumes, daher sollten Sie es in Betracht ziehen "Aktivieren der Prüfung dieses Benutzerzugriffs". Nach Aktivierung werden Audit-Ereignisse in der Ereignisanzeige > Windows-Protokolle > Sicherheit angezeigt.

Fehler: Fehlendes Grafikbild

Benutzer mit Sicherheitsberechtigungen

Mit dieser Option können Sie Windows-Benutzer angeben, die über Sicherheitsberechtigungen für das Cloud Volumes Service-Volume verfügen. Für einige Anwendungen sind Sicherheitsberechtigungen (SeSecurityPrivilege) erforderlich ("Z. B. SQL Server") Die Berechtigungen während der Installation richtig einstellen. Diese Berechtigung ist zur Verwaltung des Sicherheitsprotokolls erforderlich. Obwohl dieses Privilege nicht so mächtig ist wie SeBackupPrivilege, empfiehlt NetApp Folgendes "Prüfung des Benutzerzugriffs von Benutzern" Bei Bedarf mit dieser Berechtigungsebene verfügbar.

Weitere Informationen finden Sie unter "Neue Anmeldung zugewiesene Sonderberechtigungen".

Wie Cloud Volumes Service in Active Directory angezeigt wird

Cloud Volumes Service wird in Active Directory als normales Konto-Objekt angezeigt. Die Namenskonventionen lauten wie folgt.

  • CIFS/SMB und NFS Kerberos erstellen separate Computerkontoobjekte.

  • NFS mit aktiviertem LDAP erstellt ein Maschinenkonto in Active Directory für Kerberos LDAP bindet.

  • Duale Protokoll-Volumes mit LDAP nutzen das CIFS/SMB-Maschinenkonto für LDAP und SMB.

  • CIFS/SMB-Maschinenkonten verwenden eine Namensgebungskonvention von NAME-1234 (zufällige vierstellige ID mit Bindestrich angefügt an <10 Zeichen Name) für das Maschinenkonto. SIE können DEN NAMEN durch die Einstellung des NetBIOS-Namens auf der Active Directory-Verbindung definieren (siehe Abschnitt „Details zur Active Directory-Verbindung„).

  • NFS Kerberos verwendet NFS-NAME-1234 als Namenskonvention (bis zu 15 Zeichen). Wenn mehr als 15 Zeichen verwendet werden, lautet der Name NFS-CAM-NAME-1234.

  • Nur NFS CVS-Performance-Instanzen mit aktiviertem LDAP erstellen ein SMB-Maschinenkonto, um es an den LDAP-Server zu binden, und zwar mit derselben Namenskonvention wie CIFS/SMB-Instanzen.

  • Wenn ein SMB-Computerkonto erstellt wird, werden standardmäßig ausgeblendete Admin-Freigaben verwendet (siehe Abschnitt "„Standard versteckte Freigaben“") Werden auch erstellt (c€, Admin-Dollar, ipc-Dollar), aber diese Aktien haben keine ACLs zugewiesen und sind unzugänglich.

  • Die Rechnungsobjekte werden standardmäßig in CN=Computer platziert, aber eine können Sie bei Bedarf eine andere OU festlegen. Siehe Abschnitt „Zum Erstellen von SMB-Computerkonten erforderliche Berechtigungen“ Informationen darüber, welche Zugriffsrechte zum Hinzufügen/Entfernen von Gerätekontonobjekten für Cloud Volumes Service erforderlich sind.

Wenn Cloud Volumes Service das SMB-Maschinenkonto zu Active Directory hinzufügt, werden die folgenden Felder ausgefüllt:

  • cn (mit dem angegebenen SMB-Servernamen)

  • DNSHostName (mit SMBserver.domain.com)

  • MSDS-SupportedVerschlüsselungTypes (allows DES_CBC_MD5, RC4_HMAC_MD5, wenn die AES-Verschlüsselung nicht aktiviert ist; WENN die AES-Verschlüsselung aktiviert ist, SIND DES_CBC_MD5, RC4_HMAC_MD5, AES128_CTS_HMAC_SHA1_96, AES256_CTS_HMAC_SHA1_96 für den Kerberos-Account zugelassen)

  • Name (mit SMB-Servername)

  • SAMAccountName (mit SMBserver-Kosten)

  • ServicePrincipalName (mit Host/smbserver.domain.com und Host/smbserver-SPNs für Kerberos)

Wenn Sie schwächere Kerberos-Verschlüsselungstypen (Enctype) auf dem Maschinenkonto deaktivieren möchten, können Sie den Wert MSDS-SupportedVerschlüsselungTypes auf dem Maschinenkonto auf einen der Werte in der folgenden Tabelle ändern, um nur AES zu ermöglichen.

MSDS-SupportVerschlüsselungTypes Wert Zuctype aktiviert

2

DES_CBC_MD5

4

RC4_HMAC

8

NUR AES128_CTS_HMAC_SHA1_96

16

NUR AES256_CTS_HMAC_SHA1_96

24

AES128_CTS_HMAC_SHA1_96 UND AES256_CTS_HMAC_SHA1_96

30

DES_CBC_MD5, RC4_HMAC, AES128_CTS_HMAC_SHA1_96 UND AES256_CTS_HMAC_SHA1_96

Um die AES-Verschlüsselung für SMB-Computerkonten zu aktivieren, klicken Sie beim Erstellen der Active Directory-Verbindung auf AES-Verschlüsselung für AD-Authentifizierung aktivieren.

Um die AES-Verschlüsselung für NFS-Kerberos zu aktivieren, "Weitere Informationen finden Sie in der Cloud Volumes Service-Dokumentation".