Skip to main content
NetApp Solutions
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Consideraciones para crear conexiones de Active Directory

Colaboradores
PDF

Google Cloud NetApp Volumes proporciona la capacidad de conectar tu instancia de volúmenes de Google Cloud NetApp con un servidor de Active Directory externo para la gestión de identidades tanto para usuarios de SMB como UNIX. Es necesario crear una conexión de Active Directory para usar SMB en volúmenes de Google Cloud NetApp.

La configuración para esto ofrece varias opciones que requieren cierta consideración para la seguridad. El servidor de Active Directory externo puede ser una instancia de las instalaciones o una nativa del cloud. Si utiliza un servidor de Active Directory en las instalaciones, no exponga el dominio a la red externa (como con una DMZ o una dirección IP externa). En su lugar, utilice túneles privados seguros o VPN, fideicomisos forestales de un solo sentido o conexiones de red dedicadas a las redes locales con "Acceso privado a Google". Consulte la documentación de Google Cloud para obtener más información acerca de "Prácticas recomendadas con Active Directory en Google Cloud".

Nota NetApp Volumes-SW requiere que los servidores de Active Directory estén ubicados en la misma región. Si se intenta una conexión CC en NetApp Volumes-SW a otra región, el intento fallará. Cuando utilice NetApp Volumes-SW, asegúrese de crear sitios de Active Directory que incluyan DCS de Active Directory y, a continuación, especifique sitios en volúmenes de Google Cloud NetApp para evitar intentos de conexión de CC entre regiones.

Credenciales de Active Directory

Cuando SMB o LDAP para NFS están habilitados, los volúmenes de Google Cloud NetApp interactúan con las controladoras de Active Directory para crear un objeto de cuenta de la máquina que se utilizará para la autenticación. Esto no difiere del modo en que un cliente SMB de Windows se une a un dominio y requiere los mismos derechos de acceso a las unidades organizativas (OU) de Active Directory.

En muchos casos, los grupos de seguridad no permiten el uso de una cuenta de administrador de Windows en servidores externos como Google Cloud NetApp Volumes. En algunos casos, el usuario Administrador de Windows está completamente deshabilitado como una práctica recomendada de seguridad.

Permisos necesarios para crear cuentas de máquina SMB

Para agregar objetos de máquina de volúmenes de NetApp de Google Cloud a un directorio activo, se requiere una cuenta que tenga derechos administrativos para el dominio o que tenga "permisos delegados para crear y modificar objetos de cuenta de equipo" una unidad organizativa especificada. Puede hacerlo con el Asistente para delegación de control de Active Directory creando una tarea personalizada que proporcione a un usuario acceso a la creación o eliminación de objetos del equipo con los siguientes permisos de acceso proporcionados:

  • Lectura/Escritura

  • Crear/eliminar todos los objetos secundarios

  • Todas las propiedades de lectura y escritura

  • Cambiar/restablecer contraseña

Al hacerlo, se agrega automáticamente una ACL de seguridad para el usuario definido a la unidad organizativa de Active Directory y se minimiza el acceso al entorno de Active Directory. Una vez delegado un usuario, ese nombre de usuario y la contraseña se pueden proporcionar como credenciales de Active Directory en esta ventana.

Nota El nombre de usuario y la contraseña que se pasan al dominio de Active Directory aprovechan el cifrado Kerberos durante la consulta del objeto de cuenta de equipo y la creación para mayor seguridad.

Detalles de conexión de Active Directory

La "Detalles de conexión de Active Directory" Proporcione campos para que los administradores proporcionen información específica del esquema de Active Directory para la colocación de la cuenta de la máquina, como los siguientes:

  • Tipo de conexión de Active Directory. Se utiliza para especificar si la conexión de Active Directory en una región se utiliza para volúmenes de Google Cloud NetApp Volumes o el tipo de servicio NetApp Volumes-Performance. Si se establece de forma incorrecta en una conexión existente, es posible que no funcione correctamente cuando se utilice o edite.

  • Dominio. el nombre de dominio de Active Directory.

  • Sitio. Limita los servidores de Active Directory a un sitio específico para la seguridad y el rendimiento "consideraciones". Esto es necesario cuando varios servidores de Active Directory abarcan regiones, porque los volúmenes de NetApp de Google Cloud no admiten actualmente el permitir que se realicen solicitudes de autenticación de Active Directory en servidores de Active Directory en una región diferente a la instancia de volúmenes de NetApp de Google Cloud. (Por ejemplo, la controladora de dominio de Active Directory se encuentra en una región que solo admite NetApp Volumes-Performance, pero si desea un recurso compartido de SMB en una instancia de NetApp Volumes-SW).

  • Servidores DNS. servidores DNS para utilizar en búsquedas de nombre.

  • Nombre de NetBIOS (opcional). Si lo desea, el nombre de NetBIOS para el servidor. Esto se utiliza cuando se crean cuentas de equipo nuevas mediante la conexión de Active Directory. Por ejemplo, si el nombre de NetBIOS se establece en NetApp Volumes-EAST, los nombres de cuenta de la máquina serán NetApp Volumes-EAST-{1234}. Consulte la sección "Cómo se muestra Google Cloud NetApp Volumes en Active Directory" para obtener más información.

  • Unidad organizativa (OU). la unidad organizativa específica para crear la cuenta de equipo. Esto resulta útil si va a delegar el control a un usuario para las cuentas de equipo a una unidad organizativa específica.

  • Cifrado AES. También puede activar o desactivar la casilla de verificación Habilitar cifrado AES para autenticación AD. Habilitar el cifrado AES para la autenticación de Active Directory proporciona una seguridad adicional para los volúmenes de Google Cloud NetApp en la comunicación de Active Directory durante las búsquedas de usuarios y grupos. Antes de habilitar esta opción, consulte con el administrador de dominio para confirmar que los controladores de dominio de Active Directory admiten la autenticación AES.

Nota De forma predeterminada, la mayoría de los servidores de Windows no deshabilitan los cifrados más débiles (como DES o RC4-HMAC), pero si decide deshabilitar los cifrados más débiles, confirme que se haya configurado la conexión a Google Cloud NetApp Volumes Active Directory para habilitar AES. De lo contrario, se producen fallos de autenticación. Al habilitar el cifrado AES no se deshabilitan los cifrados más débiles, sino que se añade compatibilidad con cifrados AES a la cuenta de máquina de Google Cloud NetApp Volumes SMB.

Detalles del dominio de Kerberos

Esta opción no se aplica a los servidores SMB. En su lugar, se utiliza durante la configuración de Kerberos de NFS para el sistema Google Cloud NetApp Volumes. Cuando se rellenan estos detalles, el dominio Kerberos de NFS se configura (similar a un archivo krb5.conf en Linux) y se utiliza cuando se especifica Kerberos de NFS en la creación del volumen de volúmenes de Google Cloud NetApp, ya que la conexión de Active Directory actúa como centro de distribución Kerberos (KDC) de NFS.

Nota Actualmente, los KDC que no sean de Windows no son compatibles para su uso con volúmenes de NetApp de Google Cloud.

Región

Una región le permite especificar la ubicación donde reside la conexión de Active Directory. Esta región debe ser la misma región que el volumen de NetApp Volumes de Google Cloud.

  • Usuarios NFS locales con LDAP. en esta sección también hay una opción para permitir usuarios NFS locales con LDAP. Esta opción debe dejarse sin seleccionar si desea ampliar la compatibilidad con la pertenencia a grupos de usuarios UNIX más allá de la limitación de 16 grupos de NFS (grupos extendidos). Sin embargo, el uso de grupos extendidos requiere un servidor LDAP configurado para identidades UNIX. Si no tiene un servidor LDAP, deje esta opción sin seleccionar. Si tiene un servidor LDAP y desea utilizar usuarios UNIX locales (como root), seleccione esta opción.

Usuarios de backup

Esta opción permite especificar usuarios de Windows con permisos de backup al volumen de volúmenes de NetApp de Google Cloud. Los privilegios de backup (SeBackupPrivilege) son necesarios para que algunas aplicaciones puedan realizar backups y restaurar correctamente los datos en los volúmenes NAS. Este usuario tiene un alto nivel de acceso a los datos en el volumen, por lo que debe tener en cuenta "habilitar la auditoría del acceso de ese usuario". Una vez habilitado, los eventos de auditoría aparecen en el Visor de sucesos > registros de Windows > Seguridad.

Figura que muestra el cuadro de diálogo de entrada/salida o que representa el contenido escrito

Usuarios con privilegios de seguridad

Esta opción permite especificar usuarios de Windows con permisos de modificación de la seguridad para el volumen de volúmenes de NetApp de Google Cloud. Security Privileges (SeSecurityPrivilege) es necesario ("Como SQL Server"para que algunas aplicaciones ) establezcan correctamente los permisos durante la instalación. Este privilegio se necesita para gestionar el registro de seguridad. Aunque este privilegio no es tan potente como SeBackupPrivilege, NetApp recomienda "auditar el acceso de los usuarios" utilizar este nivel de privilegio si es necesario.

Para obtener más información, consulte "Privilegios especiales asignados al nuevo inicio de sesión".

Cómo se muestra Google Cloud NetApp Volumes en Active Directory

Los volúmenes de Google Cloud NetApp se muestran en Active Directory como un objeto de cuenta de máquina normal. Las convenciones de nomenclatura son las siguientes.

  • CIFS/SMB y NFS Kerberos crean objetos de cuentas de equipo independientes.

  • NFS con LDAP habilitado crea una cuenta de máquina en Active Directory para vínculos LDAP de Kerberos.

  • Los volúmenes dobles de protocolo con LDAP comparten la cuenta de máquina CIFS/SMB para LDAP y SMB.

  • Las cuentas de máquina de CIFS/SMB utilizan una convención de nomenclatura del NOMBRE-1234 (ID de cuatro dígitos aleatorio con un guión anexado al nombre de <10 caracteres) para la cuenta de la máquina. Puede definir EL NOMBRE mediante el valor de nombre NetBIOS en la conexión de Active Directory (consulte la sección “Detalles de conexión de Active Directory”).

  • NFS Kerberos utiliza NFS-NAME-1234 como convención de nomenclatura (hasta 15 caracteres). Si se utilizan más de 15 caracteres, el nombre es NFS-TRUNCADO-NAME-1234.

  • Las instancias de NetApp Volumes-Performance solo para NFS con LDAP habilitado crean una cuenta de máquina SMB para vincularla al servidor LDAP con la misma convención de nomenclatura que las instancias de CIFS/SMB.

  • Cuando se crea una cuenta de máquina SMB, los recursos compartidos admin ocultos predeterminados (consulte la sección ""Recursos compartidos ocultos predeterminados"") También se crean (c$, admin$, ipc$), pero esos recursos compartidos no tienen ACL asignados y son inaccesibles.

  • Los objetos de cuenta de equipo se colocan de forma predeterminada en CN=Computers, pero a puede especificar una unidad organizativa diferente cuando sea necesario. Consulte la sección «Permisos necesarios para crear cuentas de máquina SMB» para obtener más información sobre qué derechos de acceso son necesarios para añadir o quitar objetos de cuenta de máquina en volúmenes de Google Cloud NetApp.

Cuando Google Cloud NetApp Volumes añade la cuenta de máquina SMB a Active Directory, se completan los siguientes campos:

  • cn (con el nombre del servidor SMB especificado)

  • DNSHostName (con SMBserver.domain.com)

  • MSDS-SupportedEncryptionTypes (permite DES_CBC_MD5, RC4_HMAC_MD5 si el cifrado AES no está habilitado; si el cifrado AES está habilitado, SE permite EL intercambio DE la cuenta DES_CBC_MD5, RC4_HMAC_MD5, AES128_CTS_HMAC_SHA1_96, AES256_CTS_HMAC_HMAC_96 con la cuenta SMB)

  • Nombre (con el nombre del servidor SMB)

  • SAMAccountName (con smbServer$)

  • ServicePrincipalName (con host/smbserver.domain.com y host/smbServer SPN para Kerberos)

Si desea deshabilitar los tipos de cifrado Kerberos más débiles (enctype) en la cuenta de la máquina, puede cambiar el valor MSDS-SupportedEncryptionTypes de la cuenta de la máquina a uno de los valores de la tabla siguiente para permitir sólo AES.

MSDS-SupportedEncryptionTypes de valor Enctype activado

2

DES_CBC_MD5

4

RC4_HMAC

8

SÓLO AES128_CTS_HMAC_SHA1_96

16

SÓLO AES256_CTS_HMAC_SHA1_96

24

AES128_CTS_HMAC_SHA1_96 Y AES256_CTS_HMAC_SHA1_96

30

DES_CBC_MD5, RC4_HMAC, AES128_CTS_HMAC_SHA1_96 Y AES256_CTS_HMAC_SHA1_96

Para habilitar el cifrado AES para cuentas de equipo SMB, haga clic en Activar cifrado AES para autenticación AD al crear la conexión de Active Directory.

Para habilitar el cifrado AES para NFS Kerberos, "Consulta la documentación de Google Cloud NetApp Volumes".