Skip to main content
NetApp Solutions
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Überlegungen zum Erstellen von Active Directory-Verbindungen

Beitragende
PDFs

Google Cloud NetApp Volumes bietet die Möglichkeit, Ihre Google Cloud NetApp Volumes-Instanz mit einem externen Active Directory-Server zu verbinden, um das Identitätsmanagement für SMB- und UNIX-Benutzer zu ermöglichen. Um SMB in Google Cloud NetApp Volumes zu verwenden, ist das Erstellen einer Active Directory-Verbindung erforderlich.

Bei der Konfiguration hierfür stehen verschiedene Optionen zur Verfügung, bei denen die Sicherheit berücksichtigt werden muss. Der externe Active Directory Server kann eine lokale oder Cloud-native Instanz sein. Wenn Sie einen lokalen Active Directory-Server verwenden, setzen Sie die Domäne nicht dem externen Netzwerk (z. B. mit einer DMZ oder einer externen IP-Adresse) aus. Verwenden Sie stattdessen sichere private Tunnel oder VPNs, One-Way-Forest-Trusts oder dedizierte Netzwerkverbindungen zu den On-Premises-Netzwerken mit "Privater Zugriff Auf Google". In der Google Cloud-Dokumentation finden Sie weitere Informationen zu "Best Practices Using Active Directory in Google Cloud".

Hinweis NetApp Volumes-SW erfordert, dass sich Active Directory-Server in einer Region befinden. Wenn in NetApp Volumes-SW eine DC-Verbindung zu einer anderen Region versucht wird, schlägt der Versuch fehl. Bei der Verwendung von NetApp Volumes-SW müssen Sie unbedingt Active Directory Standorte erstellen, die die Active Directory DCs enthalten, und anschließend Standorte in Google Cloud NetApp Volumes angeben, um regionsübergreifende DC-Verbindungsversuche zu vermeiden.

Active Directory-Anmeldeinformationen

Wenn SMB oder LDAP für NFS aktiviert ist, interagiert Google Cloud NetApp Volumes mit den Active Directory Controllern, um ein Maschinenkontoobjekt zu erstellen, das für die Authentifizierung verwendet werden soll. Dies unterscheidet sich nicht von der Verbindung eines Windows SMB-Clients zu einer Domäne und erfordert dieselben Zugriffsrechte für Organisationseinheiten (OUs) in Active Directory.

In vielen Fällen erlauben Sicherheitsgruppen die Verwendung eines Windows-Administratorkontos auf externen Servern wie Google Cloud NetApp Volumes nicht. In einigen Fällen ist der Windows Administrator-Benutzer vollständig als bewährte Sicherheitsübung deaktiviert.

Zum Erstellen von SMB-Computerkonten erforderliche Berechtigungen

Um einem Active Directory Maschinenobjekte von Google Cloud NetApp Volumes hinzuzufügen, ist ein Konto erforderlich, das entweder über Administratorrechte für die Domäne verfügt oder eine angegebene Organisationseinheit besitzt "Delegierte Berechtigungen zum Erstellen und Ändern von Computerkontontobjekten". Dazu können Sie den Assistenten zur Delegierung von Computerobjekten in Active Directory verwenden, indem Sie eine benutzerdefinierte Aufgabe erstellen, die einem Benutzer den Zugriff auf das Erstellen/Löschen von Computerobjekten mit den folgenden Zugriffsberechtigungen bietet:

  • Lese-/Schreibzugriff

  • Alle Untergeordneten Objekte Erstellen/Löschen

  • Lesen/Schreiben Aller Eigenschaften

  • Passwort Ändern/Zurücksetzen

Dadurch wird der OU in Active Directory automatisch eine Sicherheits-ACL für den definierten Benutzer hinzugefügt und der Zugriff auf die Active Directory-Umgebung wird minimiert. Nachdem ein Benutzer delegiert wurde, können dieser Benutzername und dieses Passwort in diesem Fenster als Active Directory-Anmeldeinformationen angegeben werden.

Hinweis Der Benutzername und das Passwort, das an die Active Directory-Domäne übergeben wird, nutzen die Kerberos-Verschlüsselung während der Abfrage des Computerkontos und der Erstellung für zusätzliche Sicherheit.

Details zur Active Directory-Verbindung

Der "Active Directory-Verbindungsdetails" Bereitstellen von Feldern für Administratoren, um bestimmte Active Directory-Schemainformationen für die Platzierung von Computerkonten bereitzustellen, z. B.:

  • Active Directory Verbindungstyp. Wird verwendet, um anzugeben, ob die Active Directory-Verbindung in einer Region für Volumes des Diensttyps Google Cloud NetApp Volumes oder NetApp Volumes-Performance verwendet wird. Wenn diese Funktion bei einer vorhandenen Verbindung falsch eingestellt ist, funktioniert sie möglicherweise nicht richtig, wenn sie verwendet oder bearbeitet wird.

  • Domain. der Active Directory-Domänenname.

  • Standort. Beschränkt Active Directory-Server auf einen bestimmten Standort, um Sicherheit und Leistung zu "Überlegungen"gewährleisten. Dies ist erforderlich, wenn mehrere Active Directory-Server über mehrere Regionen verteilt sind, da Google Cloud NetApp Volumes derzeit keine Active Directory-Authentifizierungsanforderungen an Active Directory-Server in einer anderen Region als die Instanz von Google Cloud NetApp Volumes unterstützt. (Der Active Directory Domänen-Controller befindet sich beispielsweise in einer Region, die nur NetApp Volumes-Performance unterstützt, aber ein SMB-Share in einer NetApp Volumes-SW-Instanz gewünscht wird.)

  • DNS-Server. DNS-Server zur Verwendung bei der Namensaufsuchen.

  • NetBIOS-Name (optional). Falls gewünscht, den NetBIOS-Namen für den Server. Dies wird verwendet, wenn neue Computerkonten mithilfe der Active Directory-Verbindung erstellt werden. Wenn der NetBIOS-Name beispielsweise auf NetApp Volumes-EAST eingestellt ist, dann lautet der Name des Computerkontos NetApp Volumes-EAST-{1234}. Weitere Informationen finden Sie im Abschnitt"Wie sich Google Cloud NetApp Volumes in Active Directory zeigen".

  • Organisationseinheit (Organisationseinheit). die spezifische Organisationseinheit, die das Computerkonto erstellt. Dies ist nützlich, wenn Sie die Kontrolle an einen Benutzer für Maschinenkonten an eine bestimmte OU delegieren.

  • * AES-Verschlüsselung.* Sie können auch das Kontrollkästchen AES-Verschlüsselung für AD-Authentifizierung aktivieren oder deaktivieren. Die Aktivierung der AES-Verschlüsselung für die Active Directory-Authentifizierung bietet zusätzliche Sicherheit für die Kommunikation zwischen Google Cloud NetApp Volumes und Active Directory während der Suche nach Benutzern und Gruppen. Bevor Sie diese Option aktivieren, fragen Sie Ihren Domänenadministrator, ob die Active Directory-Domänencontroller die AES-Authentifizierung unterstützen.

Hinweis Standardmäßig deaktivieren die meisten Windows-Server keine schwächeren Chiffren (z. B. DES oder RC4-HMAC). Wenn Sie jedoch schwächere Chiffren deaktivieren, bestätigen Sie, dass NetApp die Active Directory-Verbindung für die Aktivierung von AES konfiguriert wurde. Andernfalls treten Authentifizierungsfehler auf. Die Aktivierung der AES-Verschlüsselung deaktiviert nicht schwächere Chiffren, sondern fügt Unterstützung für AES-Chiffren auf die Google Cloud NetApp Volumes SMB-Maschinenkonto.

Kerberos-Bereich – Details

Diese Option gilt nicht für SMB-Server. Vielmehr wird es bei der Konfiguration von NFS-Kerberos für das NetApp-Volumes-System von Google Cloud verwendet. Wenn diese Details ausgefüllt werden, wird der NFS-Kerberos-Bereich konfiguriert (ähnlich einer krb5.conf-Datei unter Linux) und verwendet, wenn NFS-Kerberos auf der NetApp-Volume-Erstellung von Google Cloud angegeben wird, da die Active Directory-Verbindung als NFS-Kerberos-Distributionszentrum (KDC) fungiert.

Hinweis Nicht-Windows-NetApp-Volumes werden derzeit nicht unterstützt.

Region

In einer Region können Sie den Speicherort der Active Directory-Verbindung angeben. Diese Region muss dieselbe Region wie das Google Cloud NetApp Volumes Volume sein.

  • Lokale NFS-Benutzer mit LDAP. in diesem Abschnitt gibt es auch eine Option, lokale NFS-Benutzer mit LDAP zu erlauben. Diese Option muss nicht ausgewählt werden, wenn Sie Ihre UNIX-Benutzergruppenmitgliedschaft über die 16-Gruppen-Beschränkung von NFS hinaus erweitern möchten (erweiterte Gruppen). Die Verwendung erweiterter Gruppen erfordert jedoch einen konfigurierten LDAP-Server für UNIX-Identitäten. Wenn Sie keinen LDAP-Server haben, lassen Sie diese Option nicht ausgewählt. Wenn Sie über einen LDAP-Server verfügen und auch lokale UNIX-Benutzer verwenden möchten (z. B. Root), wählen Sie diese Option aus.

Backup-Benutzer

Mit dieser Option können Sie Windows-Benutzer angeben, die über Backup-Berechtigungen für das NetApp-Volume von Google Cloud verfügen. Backup-Berechtigungen (SeBackupPrivilege) sind für einige Anwendungen erforderlich, um Daten in NAS-Volumes ordnungsgemäß zu sichern und wiederherzustellen. Dieser Benutzer hat ein hohes Maß an Zugriff auf Daten im Volume, daher sollten Sie berücksichtigen "Aktivieren der Prüfung dieses Benutzerzugriffs". Nach Aktivierung werden Audit-Ereignisse in der Ereignisanzeige > Windows-Protokolle > Sicherheit angezeigt.

Die Abbildung zeigt den Input/Output-Dialog oder die Darstellung des schriftlichen Inhalts

Benutzer mit Sicherheitsberechtigungen

Mit dieser Option können Sie Windows-Benutzer angeben, die über Berechtigungen für die Sicherheitsänderung für das NetApp-Volume von Google Cloud verfügen. Security Privileges (SeSecurityPrivilege) sind für einige Anwendungen erforderlich("Z. B. SQL Server", um die Berechtigungen während der Installation korrekt einzustellen. Diese Berechtigung ist zur Verwaltung des Sicherheitsprotokolls erforderlich. Obwohl diese Berechtigung nicht so leistungsstark ist wie SeBackupPrivilege, empfiehlt NetApp "Prüfung des Benutzerzugriffs von Benutzern" bei Bedarf diese Berechtigungsebene.

Weitere Informationen finden Sie unter "Neue Anmeldung zugewiesene Sonderberechtigungen".

Wie sich Google Cloud NetApp Volumes in Active Directory zeigen

Google Cloud NetApp Volumes werden in Active Directory als normales Maschinenkontoobjekt angezeigt. Die Namenskonventionen lauten wie folgt.

  • CIFS/SMB und NFS Kerberos erstellen separate Computerkontoobjekte.

  • NFS mit aktiviertem LDAP erstellt ein Maschinenkonto in Active Directory für Kerberos LDAP bindet.

  • Duale Protokoll-Volumes mit LDAP nutzen das CIFS/SMB-Maschinenkonto für LDAP und SMB.

  • CIFS/SMB-Maschinenkonten verwenden eine Namensgebungskonvention von NAME-1234 (zufällige vierstellige ID mit Bindestrich angefügt an <10 Zeichen Name) für das Maschinenkonto. SIE können DEN NAMEN durch die Einstellung des NetBIOS-Namens auf der Active Directory-Verbindung definieren (siehe Abschnitt „Details zur Active Directory-Verbindung„).

  • NFS Kerberos verwendet NFS-NAME-1234 als Namenskonvention (bis zu 15 Zeichen). Wenn mehr als 15 Zeichen verwendet werden, lautet der Name NFS-CAM-NAME-1234.

  • Reine NFS-NetApp Volumes-Performance-Instanzen mit aktiviertem LDAP erstellen ein SMB-Maschinenkonto für die Bindung an den LDAP-Server mit derselben Namenskonvention wie CIFS/SMB-Instanzen.

  • Wenn ein SMB-Computerkonto erstellt wird, werden standardmäßig ausgeblendete Admin-Freigaben verwendet (siehe Abschnitt "„Standard versteckte Freigaben“") Werden auch erstellt (c€, Admin-Dollar, ipc-Dollar), aber diese Aktien haben keine ACLs zugewiesen und sind unzugänglich.

  • Die Rechnungsobjekte werden standardmäßig in CN=Computer platziert, aber eine können Sie bei Bedarf eine andere OU festlegen. Im Abschnitt „Zum Erstellen von SMB-Computerkonten erforderliche Berechtigungen“ finden Sie Informationen darüber, welche Zugriffsrechte zum Hinzufügen/Entfernen von Computerkontoobjekten für Google Cloud NetApp Volumes erforderlich sind.

Wenn Google Cloud NetApp Volumes das SMB-Maschinenkonto zu Active Directory hinzufügt, werden die folgenden Felder ausgefüllt:

  • cn (mit dem angegebenen SMB-Servernamen)

  • DNSHostName (mit SMBserver.domain.com)

  • MSDS-SupportedVerschlüsselungTypes (allows DES_CBC_MD5, RC4_HMAC_MD5, wenn die AES-Verschlüsselung nicht aktiviert ist; WENN die AES-Verschlüsselung aktiviert ist, SIND DES_CBC_MD5, RC4_HMAC_MD5, AES128_CTS_HMAC_SHA1_96, AES256_CTS_HMAC_SHA1_96 für den Kerberos-Account zugelassen)

  • Name (mit SMB-Servername)

  • SAMAccountName (mit SMBserver-Kosten)

  • ServicePrincipalName (mit Host/smbserver.domain.com und Host/smbserver-SPNs für Kerberos)

Wenn Sie schwächere Kerberos-Verschlüsselungstypen (Enctype) auf dem Maschinenkonto deaktivieren möchten, können Sie den Wert MSDS-SupportedVerschlüsselungTypes auf dem Maschinenkonto auf einen der Werte in der folgenden Tabelle ändern, um nur AES zu ermöglichen.

MSDS-SupportVerschlüsselungTypes Wert Zuctype aktiviert

2

DES_CBC_MD5

4

RC4_HMAC

8

NUR AES128_CTS_HMAC_SHA1_96

16

NUR AES256_CTS_HMAC_SHA1_96

24

AES128_CTS_HMAC_SHA1_96 UND AES256_CTS_HMAC_SHA1_96

30

DES_CBC_MD5, RC4_HMAC, AES128_CTS_HMAC_SHA1_96 UND AES256_CTS_HMAC_SHA1_96

Um die AES-Verschlüsselung für SMB-Computerkonten zu aktivieren, klicken Sie beim Erstellen der Active Directory-Verbindung auf AES-Verschlüsselung für AD-Authentifizierung aktivieren.

Um die AES-Verschlüsselung für NFS Kerberos zu aktivieren, "Weitere Informationen finden Sie in der Dokumentation zu Google Cloud NetApp Volumes".