SMB
Änderungen vorschlagen
PDFs
"SMB" Das von Microsoft entwickelte Netzwerk-File-Sharing-Protokoll bietet zentralisierte Benutzer-/Gruppenauthentifizierung, Berechtigungen, Sperren und Dateifreigabe für mehrere SMB-Clients über ein Ethernet-Netzwerk. Dateien und Ordner werden Clients über Freigaben angezeigt, die mit einer Vielzahl von Freigabeeigenschaften konfiguriert werden können und die Zugriffskontrolle über Berechtigungen auf Share-Ebene bietet. SMB kann jedem Client angezeigt werden, der Protokolle unterstützt, einschließlich Windows-, Apple- und Linux-Clients.
Google Cloud NetApp Volumes unterstützt die Versionen SMB 2.1 und 3.x des Protokolls.
Zugriffssteuerung/SMB-Freigaben
-
Wenn ein Windows-Benutzername den Zugriff auf das NetApp-Volume von Google Cloud Volumes anfordert, sucht Google Cloud NetApp Volumes nach einem UNIX-Benutzernamen mithilfe der von den Administratoren von Google Cloud NetApp Volumes konfigurierten Methoden.
-
Wenn ein externer UNIX Identity Provider (LDAP) konfiguriert ist und Windows/UNIX Nutzernamen identisch sind, werden Windows-Benutzernamen ohne zusätzliche Konfiguration 1:1 zu UNIX Benutzernamen mappen. Wenn LDAP aktiviert ist, wird Active Directory verwendet, um die UNIX-Attribute für Benutzer- und Gruppenobjekte zu hosten.
-
Wenn die Windows- und UNIX-Namen nicht identisch sind, muss LDAP konfiguriert werden, damit Google Cloud NetApp Volumes die LDAP-Namenszuordnungskonfiguration verwenden können (siehe Abschnitt "„LDAP für asymmetrisches Namenszuordnungen verwenden“").
-
Wenn LDAP nicht verwendet wird, ordnen Windows SMB-Benutzer einem lokalen Standard-UNIX-Benutzer mit dem Namen
pcuserin Google Cloud NetApp Volumes zu. Dies bedeutet, dass in Windows geschriebene Dateien von Benutzern mit einer entsprechenden UNIX-Eigentümerschaft wiepcuserin Multiprotokoll-NAS-Umgebungen zugeordnetpcuserwerden.pcuserHier ist effektiv dernobodyBenutzer in Linux-Umgebungen (UID 65534).
Bei Implementierungen nur mit SMB gilt das pcuser Mapping tritt immer noch auf, aber es wird keine Rolle spielen, weil Windows-Benutzer und Gruppen-Eigentum korrekt angezeigt wird und NFS-Zugriff auf das SMB-only Volumen ist nicht erlaubt. Außerdem unterstützen SMB-only Volumes nach der Erstellung keine Konvertierung in NFS- oder Dual-Protokoll-Volumes.
Windows nutzt Kerberos für die Benutzerauthentifizierung mit den Active Directory-Domänencontrollern, die einen Austausch von Benutzernamen und Passwort mit den AD-DCs erfordert, die außerhalb der Instanz von Google Cloud NetApp Volumes liegt. Kerberos-Authentifizierung wird verwendet, wenn der UNC-Pfad von den SMB-Clients verwendet wird \\SERVERNAME, und Folgendes ist wahr:
-
DNS A/AAAA-Eintrag für SERVERNAME vorhanden
-
Für SERVERNAME ist ein gültiger SPN für SMB/CIFS-Zugriff vorhanden
Wenn ein SMB-Volume von Google Cloud NetApp Volumes erstellt wird, wird der Computerkontoname wie im Abschnitt definiert erstellt"„How Google Cloud NetApp Volumes Are Up in Active Directory.“", dass der Computerkontoname auch der Zugriffspfad für die SMB-Freigabe wird, da Google Cloud NetApp Volumes dynamisches DNS (DDNS) nutzen, um die erforderlichen A/AAAA- und PTR-Einträge in DNS und die erforderlichen SPN-Einträge auf dem Rechnerkontoprincipal zu erstellen.
|
Damit PTR-Einträge erstellt werden können, muss die Reverse-Lookup-Zone für die IP-Adresse der Google Cloud NetApp Volumes Instanz auf dem DNS-Server vorhanden sein. |
Beispielsweise verwendet dieses NetApp-Volumes-Volume von Google Cloud den folgenden UNC-Freigabepfad: \\cvs-east- 433d.cvsdemo.local.
In Active Directory sind dies die von Google Cloud NetApp Volumes generierten SPN-Einträge:
Dies ist das Ergebnis des DNS-Vorwärts-/Reverse-Lookups:
PS C:\> nslookup NetApp Volumes-EAST-433D Server: activedirectory. region. lab. internal Address: 10. xx.0. xx Name: NetApp Volumes-EAST-433D.cvsdemo.local Address: 10. xxx.0. x PS C:\> nslookup 10. xxx.0. x Server: activedirectory.region.lab.internal Address: 10.xx.0.xx Name: NetApp Volumes-EAST-433D.CVSDEMO.LOCAL Address: 10. xxx.0. x
Optional kann zusätzliche Zugriffssteuerung eingesetzt werden, indem für SMB-Freigaben in Google Cloud NetApp Volumes eine SMB-Verschlüsselung aktiviert/erforderlich wird. Wenn die SMB-Verschlüsselung von einem der Endpunkte nicht unterstützt wird, ist der Zugriff nicht zulässig.
Verwenden von SMB-Namenaliasen
In manchen Fällen besteht ein Sicherheitsbedenken für Endbenutzer, den für Google Cloud NetApp Volumes verwendeten Computerkontonamen zu kennen. In anderen Fällen möchten Sie Ihren Endbenutzern möglicherweise lediglich einen einfacheren Zugriffspfad bieten. In diesen Fällen können Sie SMB-Aliase erstellen.
Wenn Sie Aliase für den SMB-Freigabepfad erstellen möchten, können Sie den Namen CNAME-Datensatz in DNS verwenden. Beispiel: Wenn Sie den Namen verwenden möchten \\CIFS Auf Freigaben statt auf \\cvs-east- 433d.cvsdemo.local, Aber Sie möchten immer noch Kerberos-Authentifizierung verwenden, ein CNAME in DNS, der auf den vorhandenen A/AAAA-Datensatz verweist, und ein zusätzlicher SPN, der dem bestehenden Computerkonto hinzugefügt wurde, bietet Kerberos-Zugriff.
Dies ist das resultierende DNS-Weitersuchergebnis nach dem Hinzufügen eines CNAME:
PS C:\> nslookup cifs Server: ok-activedirectory.us-east4-a.c.cv-solution-architect-lab.internal Address: 10. xx.0. xx Name: NetApp Volumes-EAST-433D.cvsdemo.local Address: 10. xxx.0. x Aliases: cifs.cvsdemo.local
Dies ist die resultierende SPN-Abfrage nach dem Hinzufügen neuer SPNs:
In einer Paketerfassung können wir die Session-Setup-Anforderung mit dem SPN sehen, der an den CNAME gebunden ist.
SMB-Authentifizierungsdialekte
Google Cloud NetApp Volumes unterstützt für die SMB-Authentifizierung Folgendes "Dialekte":
-
LM
-
NTLM
-
NTLMv2
-
Kerberos
Kerberos-Authentifizierung für SMB-Freigabe-Zugriff ist die sicherste Authentifizierungsstufe, die Sie verwenden können. Mit AES- und SMB-Verschlüsselung wird die Sicherheit weiter erhöht.
Google Cloud NetApp Volumes unterstützt auch Rückwärtskompatibilität für LM- und NTLM-Authentifizierung. Wenn Kerberos falsch konfiguriert ist (z. B. beim Erstellen von SMB-Aliasen), geht der Zugriff auf Shares auf schwächere Authentifizierungsmethoden zurück (z. B. NTLMv2). Da diese Mechanismen weniger sicher sind, sind sie in einigen Active Directory-Umgebungen deaktiviert. Wenn schwächere Authentifizierungsmethoden deaktiviert sind und Kerberos nicht richtig konfiguriert ist, schlägt der Zugriff auf die Freigabe fehl, da keine gültige Authentifizierungsmethode vorhanden ist, auf die Sie zurückgreifen können.
Informationen zum Konfigurieren/Anzeigen der unterstützten Authentifizierungsstufen in Active Directory finden Sie unter "Netzwerksicherheit: Authentifizierungsebene des LAN Managers".
Berechtigungsmodelle
NTFS/Dateiberechtigungen
NTFS-Berechtigungen sind die Berechtigungen, die auf Dateien und Ordner in Dateisystemen angewendet werden, die der NTFS-Logik entsprechen. Sie können NTFS-Berechtigungen in anwenden Basic Oder Advanced Und kann auf festgelegt werden Allow Oder Deny Für die Zugriffssteuerung.
Grundlegende Berechtigungen beinhalten Folgendes:
-
Volle Kontrolle
-
Ändern
-
Lesen Und Ausführen
-
Lesen
-
Schreiben
Wenn Sie Berechtigungen für einen Benutzer oder eine Gruppe festlegen, die als ACE bezeichnet wird, befindet sie sich in einer ACL. NTFS-Berechtigungen verwenden die gleichen Grundlagen zum Lesen/Schreiben/Ausführen wie UNIX-Mode-Bits, können aber auch auf granularere und erweiterte Zugriffskontrollen (auch bekannt als Spezialberechtigungen), wie zum Beispiel Besitzrechte übernehmen, Ordner erstellen/Daten anhängen, Attribute schreiben usw. erweitern.
Bits des Standard-UNIX-Modus bieten nicht dieselbe Granularität wie NTFS-Berechtigungen (beispielsweise die Möglichkeit, Berechtigungen für einzelne Benutzer und Gruppenobjekte in einer ACL festzulegen oder erweiterte Attribute festzulegen). NFSv4.1 ACLs bieten jedoch dieselben Funktionen wie NTFS ACLs.
NTFS-Berechtigungen sind spezifischer als Freigabeberechtigungen und können in Verbindung mit Freigabeberechtigungen verwendet werden. Bei NTFS-Berechtigungsstrukturen gilt die restriktivere Vorgehensweise. Als solche überschreibt explizite Denals für einen Benutzer oder eine Gruppe sogar die volle Kontrolle, wenn die Zugriffsrechte definiert werden.
NTFS-Berechtigungen werden von Windows SMB Clients gesteuert.
Freigabeberechtigungen
Freigabeberechtigungen sind allgemeiner als NTFS-Berechtigungen (nur Lesen/Ändern/Vollzugriff) und steuern den anfänglichen Eintrag in eine SMB-Freigabe – ähnlich wie die NFS-Exportrichtlinien funktionieren.
Obwohl die NFS-Exportrichtlinien den Zugriff über hostbasierte Informationen wie IP-Adressen oder Hostnamen steuern, können SMB-Freigabe-Berechtigungen den Zugriff über Benutzer- und Gruppennamen in einer Share-ACL steuern. Sie können Freigabe-ACLs entweder über den Windows-Client oder über die Management-UI von Google Cloud NetApp festlegen.
Standardmäßig enthalten alle ACLs und Initial Volume ACLs mit vollständiger Kontrolle. Die Datei ACLs sollten geändert werden, aber Freigabeberechtigungen werden durch die Dateiberechtigungen für Objekte in der Freigabe überbeherrscht.
Wenn ein Benutzer beispielsweise nur Lesezugriff auf die NetApp-Volume-Datei-ACL von Google Cloud Volumes erhält, wird ihm der Zugriff auf die Erstellung von Dateien und Ordnern verweigert, obwohl die Freigabe-ACL auf „Alle mit voller Kontrolle“ eingestellt ist, wie in der folgenden Abbildung dargestellt.
Gehen Sie wie folgt vor, um die besten Sicherheitsergebnisse zu erzielen:
-
Entfernen Sie alle aus den Freigabe- und Datei-ACLs und legen Sie stattdessen den Freigaberzugriff für Benutzer oder Gruppen fest.
-
Verwenden Sie Gruppen zur Zugriffssteuerung anstelle einzelner Benutzer, um das Management zu vereinfachen und das Entfernen bzw. Hinzufügen von Benutzern zu beschleunigen, um ACLs über das Gruppenmanagement zu teilen.
-
Weniger restriktiver, allgemeiner Zugriff auf die Asse auf den Freigabeberechtigungen und Sperrung des Zugriffs auf Benutzer und Gruppen mit Dateiberechtigungen für eine granularere Zugriffskontrolle.
-
Die allgemeine Verwendung von expliziten Ablehnen von ACLs vermeiden, da sie ACLs außer Kraft setzen. Beschränken Sie die Verwendung expliziter Ablehnen von ACLs für Benutzer oder Gruppen, die schnell vom Zugriff auf ein Dateisystem eingeschränkt werden müssen.
-
Achten Sie darauf, dass Sie auf die achten "ACL-Vererbung" Einstellungen beim Ändern von Berechtigungen; das Festlegen des Vererbungsfahs auf der obersten Ebene eines Verzeichnisses oder Volumes mit hoher Dateianzahl bedeutet, dass jede Datei unter diesem Verzeichnis oder Volume über geerbte Berechtigungen verfügt, die ihr hinzugefügt wurden. Dies kann unerwünschte Verhaltensweisen wie unbeabsichtigten Zugriff/Denial-of-DoS und lange Abgänge von Berechtigungsänderungen verursachen, wenn jede Datei angepasst wird.
Sicherheitsfunktionen für die SMB-Freigabe
Wenn Sie zum ersten Mal ein Volume mit SMB-Zugriff in Google Cloud NetApp Volumes erstellen, stehen Ihnen eine Reihe von Möglichkeiten zur Sicherung dieses Volumes zur Verfügung.
Einige dieser Möglichkeiten hängen von der Ebene der Google Cloud NetApp Volumes (Performance oder Software) ab. Folgende Optionen stehen zur Auswahl:
-
Snapshot-Verzeichnis sichtbar machen (verfügbar sowohl für NetApp-Volumen-Performance als auch für NetApp-Volumen-SW). Diese Option steuert, ob SMB-Clients auf das Snapshot-Verzeichnis in einer SMB-Freigabe und/oder auf der Registerkarte „frühere Versionen“ zugreifen (
\\server\share\~snapshot`können.) Die Standardeinstellung ist nicht aktiviert, was bedeutet, dass das Volume standardmäßig den Zugriff auf das Verzeichnis ausblendet und den Zugriff darauf unterlässt `~snapshot. Auf der Registerkarte Vorherige Versionen für das Volume werden keine Snapshot Kopien angezeigt.
Das Ausblenden von Snapshot Kopien vor Endbenutzern kann aus Sicherheitsgründen oder aus Performance-Gründen (Ausblenden dieser Ordner vor AV-Scans) oder unter Voreinstellung gewünscht werden. Snapshots von Google Cloud NetApp Volumes sind schreibgeschützt. Selbst wenn diese Snapshots sichtbar sind, können die Endbenutzer daher keine Dateien im Snapshot-Verzeichnis löschen oder ändern. Dateiberechtigungen auf die Dateien oder Ordner beim Erstellen der Snapshot Kopie. Wenn sich die Berechtigungen einer Datei oder eines Ordners zwischen Snapshot Kopien ändern, gelten die Änderungen auch für die Dateien oder Ordner im Snapshot Verzeichnis. Benutzer und Gruppen können auf Basis von Berechtigungen auf diese Dateien oder Ordner zugreifen. Das Löschen oder Modifizierungen von Dateien im Snapshot Verzeichnis ist zwar nicht möglich, aber es ist möglich, Dateien oder Ordner aus dem Snapshot Verzeichnis zu kopieren.
-
SMB-Verschlüsselung aktivieren (sowohl für NetApp Volumes-Performance als auch für NetApp Volumes-SW verfügbar). Die SMB-Verschlüsselung ist in der SMB-Freigabe standardmäßig deaktiviert (deaktiviert). Wenn Sie das Kontrollkästchen aktiviert SMB-Verschlüsselung aktivieren, bedeutet dies, dass der Datenverkehr zwischen dem SMB-Client und dem -Server im laufenden Vorgang verschlüsselt wird, wobei die am höchsten unterstützten Verschlüsselungsstufen ausgehandelt werden. Google Cloud NetApp Volumes unterstützt AES-256-Verschlüsselung für SMB. Durch die Aktivierung der SMB-Verschlüsselung kommen Performance-Einbußen mit sich, die für Ihre SMB-Clients möglicherweise nicht spürbar sind – in etwa im Bereich von 10 bis 20 %. NetApp empfiehlt Tests nachdrücklich, um zu prüfen, ob diese Performance-Einbußen akzeptabel sind.
-
SMB-Freigabe ausblenden (sowohl für NetApp Volumes-Performance als auch für NetApp Volumes-SW verfügbar). Wenn Sie diese Option aktivieren, wird der SMB-Freigabepfad vom normalen Browsen ausgeblendet. Dies bedeutet, dass Clients, die den Freigabepfad nicht kennen, die Freigaben beim Zugriff auf den Standard-UNC-Pfad (z. B. ) nicht sehen können
\\NetApp Volumes-SMB. Wenn das Kontrollkästchen aktiviert ist, können nur Clients darauf zugreifen, die den SMB-Freigabepfad explizit kennen oder über den von einem Gruppenrichtlinienobjekt definierten Freigabepfad verfügen (Sicherheit durch Obfuscation). -
Access-Based Enumeration (ABE) aktivieren (nur NetApp Volumes-SW). Dies ähnelt dem Ausblenden der SMB-Freigabe, mit der Ausnahme, dass die Freigaben oder Dateien nur für Benutzer oder Gruppen ausgeblendet werden, die nicht über die Berechtigungen zum Zugriff auf die Objekte verfügen. Wenn Windows-Benutzer beispielsweise
joenicht mindestens Lesezugriff über die Berechtigungen erhalten, kann der Windows-Benutzerjoedie SMB-Freigabe oder Dateien überhaupt nicht sehen. Dies ist standardmäßig deaktiviert und Sie können sie durch Aktivieren des Kästchens aktivieren. Weitere Informationen zu ABE finden Sie im Artikel der NetApp-Wissensdatenbank "Wie funktioniert Access Based Enumeration (ABE)?" -
Unterstützung für kontinuierlich verfügbare (CA)-Freigaben aktivieren (nur NetApp Volumes-Performance). "Kontinuierlich verfügbare SMB-Freigaben" eine Möglichkeit zur Minimierung von Applikationsunterbrechungen bei Failover-Ereignissen, indem Sperrzustände über Nodes im Backend-System Google Cloud NetApp Volumes repliziert werden. Dies ist keine Sicherheitsfunktion, bietet aber insgesamt eine höhere Ausfallsicherheit. Derzeit werden nur SQL Server- und FSLogix-Anwendungen unterstützt.
Ausgeblendete Standardfreigaben
Wenn ein SMB-Server in Google Cloud NetApp Volumes erstellt wird, gibt es "Versteckte administrative Freigaben" (unter Verwendung der Namenskonvention des Unternehmens), die zusätzlich zu der SMB-Freigabe für das Datenvolumen erstellt werden. Dazu gehören C€ (Namespace Access) und IPC€ (gemeinsame Nutzung von benannten Rohren für die Kommunikation zwischen Programmen, wie z. B. die Remote Procedure Calls (RPC), die für den Zugriff auf die Microsoft Management Console (MMC) verwendet werden).
Die IPC-USD-Freigabe enthält keine Share-ACLs und kann nicht geändert werden – sie wird streng für RPC-Aufrufe und verwendet "Windows deaktiviert standardmäßig den anonymen Zugriff auf diese Freigaben".
Die Freigabe ermöglicht BUILTIN/Administratoren standardmäßig den Zugriff, aber die Automatisierung von Google Cloud NetApp Volumes entfernt die Freigabe-ACL und lässt niemanden zu, da der Zugriff auf die Freigabe Einblick in alle gemounteten Volumes in den Dateisystemen von Google Cloud NetApp Volumes ermöglicht. Daher schlägt die Navigation \\SERVER\C$ fehl.
Konten mit lokalen/BUILTIN-Administrator/Backup-Rechten
Die SMB-Server von Google Cloud NetApp Volumes verfügen über ähnliche Funktionen wie normale Windows-SMB-Server, da es lokale Gruppen (wie BUILTIN\Administratoren) gibt, die Zugriffsrechte auf ausgewählte Domänenbenutzer und -Gruppen anwenden.
Wenn Sie einen Benutzer angeben, der zu Backup-Benutzern hinzugefügt werden soll, wird der Benutzer in der Google Cloud NetApp Volumes-Instanz zur Gruppe BUILTIN\Backup Operatoren hinzugefügt, die diese Active Directory-Verbindung verwendet, die dann die erhält "SeBackupPrivilege und SeRestorePrivilege".
Wenn Sie Benutzern von Sicherheitsberechtigungen einen Benutzer hinzufügen, erhält der Benutzer die SeSecurityPrivilege, die in einigen Anwendungsanwendungsfällen, wie z. B., nützlich ist "SQL Server auf SMB-Freigaben".
Über die MMC können die lokalen Gruppenmitgliedschaften von Google Cloud NetApp Volumes mit den entsprechenden Privileges angezeigt werden. Die folgende Abbildung zeigt Benutzer, die mit der Konsole von Google Cloud NetApp Volumes hinzugefügt wurden.
Die folgende Tabelle zeigt die Liste der Standard-BUILTIN-Gruppen und welche Benutzer/Gruppen standardmäßig hinzugefügt werden.
| Lokale/BUILTIN-Gruppe | Standardmitglieder |
|---|---|
BUILTIN\Administratoren* |
DOMAIN\Domänen-Administratoren |
BUILTIN\Backup Operators* |
Keine |
BAUEN Sie\Gäste |
DOMAIN\Domain-Gäste |
BUILTIN\Power-User |
Keine |
BUILTIN\Domain-Benutzer |
DOMAIN\Domain-Benutzer |
*Gruppenmitgliedschaft wird in der Konfiguration der Google Cloud NetApp Volumes Active Directory-Verbindung gesteuert.
Sie können lokale Benutzer und Gruppen (und Gruppenmitglieder) im MMC-Fenster anzeigen, aber Sie können keine Objekte hinzufügen oder löschen oder Gruppenmitgliedschaften von dieser Konsole aus ändern. Standardmäßig werden in Google Cloud NetApp Volumes nur die Gruppe „Domänenadministratoren“ und „Administrator“ zur Gruppe „BUILTIN\Administratoren“ hinzugefügt. Derzeit können Sie dies nicht ändern.
MMC-/Computermanagement-Zugriff
SMB-Zugriff in Google Cloud NetApp Volumes bietet Konnektivität mit der Computer Management MMC, damit Sie Freigaben anzeigen, ACLs gemeinsam managen und SMB-Sitzungen und offene Dateien anzeigen/managen können.
Damit Sie mit MMC SMB-Freigaben und Sitzungen in Google Cloud NetApp Volumes anzeigen können, muss der aktuell angemeldete Benutzer ein Domänenadministrator sein. Andere Benutzer können über MMC den SMB-Server anzeigen oder managen und erhalten beim Versuch, Freigaben oder Sitzungen auf der SMB-Instanz von Google Cloud NetApp Volumes anzuzeigen, ein Dialogfeld „Sie haben keine Berechtigungen“.
Um eine Verbindung zum SMB-Server herzustellen, öffnen Sie Computerverwaltung, klicken Sie mit der rechten Maustaste auf Computerverwaltung, und wählen Sie dann Verbindung zu einem anderen Computer herstellen. Daraufhin wird das Dialogfeld „Computer auswählen“ geöffnet, in das Sie den SMB-Servernamen eingeben können (siehe Volume-Informationen zu Google Cloud NetApp Volumes).
Wenn Sie SMB-Freigaben mit den entsprechenden Berechtigungen anzeigen, werden alle verfügbaren Freigaben in der Google Cloud NetApp Volumes-Instanz angezeigt, die die Active Directory-Verbindung gemeinsam nutzen. Um dieses Verhalten zu steuern, legen Sie in der Volume-Instanz von Google Cloud NetApp Volumes die Option SMB-Freigaben ausblenden fest.
Denken Sie daran, dass pro Region nur eine Active Directory-Verbindung zulässig ist.
Die folgende Tabelle zeigt eine Liste der unterstützten/nicht unterstützten Funktionen für MMC.
| Unterstützte Funktionen | Nicht unterstützte Funktionen |
|---|---|
|
|
Sicherheitsinformationen für SMB-Server
Der SMB-Server in Google Cloud NetApp Volumes verwendet eine Reihe von Optionen, mit denen Sicherheitsrichtlinien für SMB-Verbindungen definiert werden, z. B. Kerberos-Zeitskew, Ticketalter, Verschlüsselung usw.
Die folgende Tabelle enthält eine Liste dieser Optionen, ihrer Funktionen und Standardkonfigurationen und falls sie mit Google Cloud NetApp Volumes geändert werden können. Einige Optionen gelten nicht für Google Cloud NetApp Volumes.
| Sicherheitsoption | Das macht es | Standardwert | Können Sie Veränderungen vornehmen? |
|---|---|---|---|
Maximale Kerberos-Uhr-Skew (Minuten) |
Maximale Zeitskew zwischen Google Cloud NetApp Volumes und Domänen-Controllern. Wenn die Zeitskew 5 Minuten überschreitet, schlägt die Kerberos-Authentifizierung fehl. Dieser Wert ist auf den Standardwert von Active Directory gesetzt. |
5 |
Nein |
Lebensdauer von Kerberos-Tickets (Stunden) |
Maximale Zeit, bis ein Kerberos-Ticket gültig bleibt, bevor eine Erneuerung erforderlich ist. Wenn keine Verlängerung vor 10 Stunden erfolgt, müssen Sie ein neues Ticket einholen. In Google Cloud NetApp Volumes werden diese Erneuerungen automatisch durchgeführt. 10 Stunden ist der Standardwert von Active Directory. |
10 |
Nein |
Maximale Kerberos-Ticketverlängerung (Tage) |
Maximale Anzahl der Tage, an denen ein Kerberos-Ticket erneuert werden kann, bevor eine neue Autorisierungsanforderung erforderlich ist. Google Cloud NetApp Volumes erneuert automatisch Tickets für SMB-Verbindungen. Sieben Tage ist der Standardwert von Active Directory. |
7 |
Nein |
Kerberos KDC-Verbindungszeitlimit (Sek.) |
Die Anzahl der Sekunden, bevor eine KDC-Verbindung ausgeht. |
3 |
Nein |
Für eingehenden SMB-Datenverkehr müssen signiert werden |
Für SMB-Datenverkehr muss eine Signatur erforderlich sein. Wenn auf „true“ gesetzt ist, unterstützen Clients, die keine Verbindung zum Signieren von Fehlschlagen unterstützen. |
Falsch |
|
Komplexität des Kennworts für lokale Benutzerkonten erforderlich |
Wird für Passwörter für lokale SMB-Benutzer verwendet. Google Cloud NetApp Volumes unterstützt keine lokale Benutzererstellung. Daher gilt diese Option nicht für Google Cloud NetApp Volumes. |
Richtig |
Nein |
Verwenden Sie Start_tls für Active Directory-LDAP-Verbindungen |
Wird zum Starten von TLS-Verbindungen für Active Directory LDAP verwendet. Google Cloud NetApp Volumes unterstützen derzeit keine Aktivierung dieses Systems. |
Falsch |
Nein |
AES-128- und AES-256-Verschlüsselung für Kerberos aktiviert |
Dies steuert, ob AES-Verschlüsselung für Active Directory-Verbindungen verwendet wird und wird über die Option AES-Verschlüsselung für Active Directory-Authentifizierung aktivieren bei der Erstellung/Änderung der Active Directory-Verbindung gesteuert. |
Falsch |
Ja. |
LM-Kompatibilitätsstufe |
Ebene der unterstützten Authentifizierungsdialekte für Active Directory-Verbindungen. Siehe Abschnitt „SMB-Authentifizierungsdialekte„ Weitere Informationen. |
ntlmv2-krb |
Nein |
SMB-Verschlüsselung für eingehenden CIFS-Datenverkehr erforderlich |
SMB-Verschlüsselung für alle Freigaben erforderlich Dies wird nicht von Google Cloud NetApp Volumes genutzt, sondern setzen Sie die Verschlüsselung auf Volume-Basis ein (siehe Abschnitt „Sicherheitsfunktionen für die SMB-Freigabe“). |
Falsch |
Nein |
Sicherheit Der Client-Sitzung |
Legt das Signing und/oder Sealing für die LDAP-Kommunikation fest. Dies ist derzeit nicht in Google Cloud NetApp Volumes eingestellt, könnte aber in zukünftigen Versionen benötigt werden, um zu adressieren . Behebung von Problemen mit der LDAP-Authentifizierung aufgrund des Windows-Patches wird im Abschnitt behandelt"„LDAP-Kanalbindung.“". |
Keine |
Nein |
SMB2 aktivieren für Gleichstromverbindungen |
Verwendet SMB2 für DC-Verbindungen. Standardmäßig aktiviert. |
Systemstandard |
Nein |
LDAP Referral Chasing |
Bei der Verwendung mehrerer LDAP-Server ermöglicht die Verweisungsjagd dem Client, auf andere LDAP-Server in der Liste zu verweisen, wenn ein Eintrag nicht im ersten Server gefunden wird. Dies wird derzeit von Google Cloud NetApp Volumes nicht unterstützt. |
Falsch |
Nein |
Verwenden Sie LDAPS für sichere Active Directory-Verbindungen |
Aktiviert die Verwendung von LDAP über SSL. Derzeit nicht von Google Cloud NetApp Volumes unterstützt. |
Falsch |
Nein |
Für DC-Verbindung ist eine Verschlüsselung erforderlich |
Verschlüsselung für erfolgreiche DC-Verbindungen erforderlich. Standardmäßig in Google Cloud NetApp Volumes deaktiviert. |
Falsch |
Nein |