Skip to main content
NetApp Solutions
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Consideraciones para crear conexiones de Active Directory

Colaboradores
PDF

Cloud Volumes Service permite conectar la instancia de Cloud Volumes Service a un servidor de Active Directory externo para la gestión de identidades tanto para usuarios de SMB como UNIX. Se requiere crear una conexión de Active Directory para utilizar SMB en Cloud Volumes Service.

La configuración para esto ofrece varias opciones que requieren cierta consideración para la seguridad. El servidor de Active Directory externo puede ser una instancia de las instalaciones o una nativa del cloud. Si utiliza un servidor de Active Directory en las instalaciones, no exponga el dominio a la red externa (como con una DMZ o una dirección IP externa). En su lugar, utilice túneles privados seguros o VPN, fideicomisos forestales de un solo sentido o conexiones de red dedicadas a las redes locales con "Acceso privado a Google". Consulte la documentación de Google Cloud para obtener más información acerca de "Prácticas recomendadas con Active Directory en Google Cloud".

Nota CVS-SW requiere que los servidores de Active Directory se encuentren en la misma región. Si se intenta una conexión de CC en CVS-SW a otra región, el intento falla. Cuando utilice CVS-SW, asegúrese de crear sitios de Active Directory que incluyan los DC de Active Directory y, a continuación, especifique los sitios en Cloud Volumes Service para evitar intentos de conexión de DC entre regiones.

Credenciales de Active Directory

Cuando se habilita SMB o LDAP para NFS, Cloud Volumes Service interactúa con los controladores de Active Directory para crear un objeto de cuenta de máquina que se usará para la autenticación. Esto no difiere del modo en que un cliente SMB de Windows se une a un dominio y requiere los mismos derechos de acceso a las unidades organizativas (OU) de Active Directory.

En muchos casos, los grupos de seguridad no permiten el uso de una cuenta de administrador de Windows en servidores externos como Cloud Volumes Service. En algunos casos, el usuario Administrador de Windows está completamente deshabilitado como una práctica recomendada de seguridad.

Permisos necesarios para crear cuentas de máquina SMB

Para agregar objetos de máquina Cloud Volumes Service a un Active Directory, una cuenta que tenga derechos administrativos en el dominio o tiene "permisos delegados para crear y modificar objetos de cuenta de equipo" A una unidad organizativa especificada es necesaria. Puede hacerlo con el Asistente para delegación de control de Active Directory creando una tarea personalizada que proporcione a un usuario acceso a la creación o eliminación de objetos del equipo con los siguientes permisos de acceso proporcionados:

  • Lectura/Escritura

  • Crear/eliminar todos los objetos secundarios

  • Todas las propiedades de lectura y escritura

  • Cambiar/restablecer contraseña

Al hacerlo, se agrega automáticamente una ACL de seguridad para el usuario definido a la unidad organizativa de Active Directory y se minimiza el acceso al entorno de Active Directory. Una vez delegado un usuario, ese nombre de usuario y la contraseña se pueden proporcionar como credenciales de Active Directory en esta ventana.

Nota El nombre de usuario y la contraseña que se pasan al dominio de Active Directory aprovechan el cifrado Kerberos durante la consulta del objeto de cuenta de equipo y la creación para mayor seguridad.

Detalles de conexión de Active Directory

La "Detalles de conexión de Active Directory" Proporcione campos para que los administradores proporcionen información específica del esquema de Active Directory para la colocación de la cuenta de la máquina, como los siguientes:

  • Tipo de conexión de Active Directory. se utiliza para especificar si la conexión de Active Directory en una región se utiliza para volúmenes de tipo de servicio Cloud Volumes Service o CVS-Performance. Si se establece de forma incorrecta en una conexión existente, es posible que no funcione correctamente cuando se utilice o edite.

  • Dominio. el nombre de dominio de Active Directory.

  • Sitio. limita los servidores de Active Directory a un sitio específico para seguridad y rendimiento "consideraciones". Esto es necesario cuando varios servidores de Active Directory abarcan regiones porque Cloud Volumes Service no admite actualmente la activación de solicitudes de autenticación de Active Directory a servidores de Active Directory en una región diferente a la instancia de Cloud Volumes Service. (Por ejemplo, el controlador de dominio de Active Directory se encuentra en una región que sólo soporta CVS-Performance pero desea un recurso compartido SMB en una instancia CVS-SW.)

  • Servidores DNS. servidores DNS para utilizar en búsquedas de nombre.

  • Nombre NetBIOS (opcional). Si lo desea, el nombre NetBIOS del servidor. Esto se utiliza cuando se crean cuentas de equipo nuevas mediante la conexión de Active Directory. Por ejemplo, si el nombre NetBIOS se establece en CVS-EAST, los nombres de la cuenta de la máquina serán CVS-EAST-{1234}. Consulte la sección "Cómo se muestra Cloud Volumes Service en Active Directory" si quiere más información.

  • Unidad organizativa (OU). la unidad organizativa específica para crear la cuenta de equipo. Esto resulta útil si va a delegar el control a un usuario para las cuentas de equipo a una unidad organizativa específica.

  • Cifrado AES. también puede activar o desactivar la casilla de verificación Activar cifrado AES para autenticación AD. Habilitar el cifrado AES para la autenticación de Active Directory proporciona seguridad adicional para la comunicación de Cloud Volumes Service a Active Directory durante las búsquedas de usuarios y grupos. Antes de habilitar esta opción, consulte con el administrador de dominio para confirmar que los controladores de dominio de Active Directory admiten la autenticación AES.

Nota De forma predeterminada, la mayoría de los servidores Windows no desactivan los cifrados más débiles (COMO DES o RC4-HMAC), pero si decide deshabilitar los cifrados más débiles, confirme que la conexión a Active Directory de Cloud Volumes Service se ha configurado para habilitar AES. De lo contrario, se producen fallos de autenticación. Al habilitar el cifrado AES, no se deshabilitan las cifrados, sino que se añade compatibilidad con AES a la cuenta de equipo SMB de Cloud Volumes Service.

Detalles del dominio de Kerberos

Esta opción no se aplica a los servidores SMB. En su lugar, se utiliza al configurar NFS Kerberos para el sistema Cloud Volumes Service. Cuando se rellenan estos detalles, el Reino de Kerberos de NFS se configura (similar al archivo krb5.conf en Linux) y se utiliza cuando se especifica NFS Kerberos en la creación de volúmenes de Cloud Volumes Service, ya que la conexión de Active Directory actúa como el Centro de distribución de Kerberos de NFS (KDC).

Nota Actualmente no se admiten los KDC que no son de Windows para su uso con Cloud Volumes Service.

Región

Una región le permite especificar la ubicación donde reside la conexión de Active Directory. Esta región debe ser la misma región que el volumen Cloud Volumes Service.

  • Usuarios NFS locales con LDAP. en esta sección también hay una opción para permitir usuarios NFS locales con LDAP. Esta opción debe dejarse sin seleccionar si desea ampliar la compatibilidad con la pertenencia a grupos de usuarios UNIX más allá de la limitación de 16 grupos de NFS (grupos extendidos). Sin embargo, el uso de grupos extendidos requiere un servidor LDAP configurado para identidades UNIX. Si no tiene un servidor LDAP, deje esta opción sin seleccionar. Si tiene un servidor LDAP y desea utilizar usuarios UNIX locales (como root), seleccione esta opción.

Usuarios de backup

Esta opción permite especificar usuarios de Windows que tienen permisos de backup en el volumen de Cloud Volumes Service. Los privilegios de backup (SeBackupPrivilege) son necesarios para que algunas aplicaciones puedan realizar backups y restaurar correctamente los datos en los volúmenes NAS. Este usuario tiene un alto nivel de acceso a los datos del volumen, por lo que debe tenerse en cuenta "habilitar la auditoría del acceso de ese usuario". Una vez habilitado, los eventos de auditoría aparecen en el Visor de sucesos > registros de Windows > Seguridad.

Error: Falta la imagen gráfica

Usuarios con privilegios de seguridad

Esta opción permite especificar usuarios de Windows que tienen permisos de modificación de seguridad en el volumen de Cloud Volumes Service. Los privilegios de seguridad (SeSecurityPrivilege) son necesarios para algunas aplicaciones ("Como SQL Server") para establecer correctamente los permisos durante la instalación. Este privilegio se necesita para gestionar el registro de seguridad. Aunque este privilegio no es tan potente como SeBackupPrivilege, NetApp recomienda "auditar el acceso de los usuarios" con este nivel de privilegio, si es necesario.

Para obtener más información, consulte "Privilegios especiales asignados al nuevo inicio de sesión".

Cómo se muestra Cloud Volumes Service en Active Directory

Cloud Volumes Service aparece en Active Directory como un objeto de cuenta de equipo normal. Las convenciones de nomenclatura son las siguientes.

  • CIFS/SMB y NFS Kerberos crean objetos de cuentas de equipo independientes.

  • NFS con LDAP habilitado crea una cuenta de máquina en Active Directory para vínculos LDAP de Kerberos.

  • Los volúmenes dobles de protocolo con LDAP comparten la cuenta de máquina CIFS/SMB para LDAP y SMB.

  • Las cuentas de máquina de CIFS/SMB utilizan una convención de nomenclatura del NOMBRE-1234 (ID de cuatro dígitos aleatorio con un guión anexado al nombre de <10 caracteres) para la cuenta de la máquina. Puede definir EL NOMBRE mediante el valor de nombre NetBIOS en la conexión de Active Directory (consulte la sección “Detalles de conexión de Active Directory”).

  • NFS Kerberos utiliza NFS-NAME-1234 como convención de nomenclatura (hasta 15 caracteres). Si se utilizan más de 15 caracteres, el nombre es NFS-TRUNCADO-NAME-1234.

  • Las instancias de CVS-Performance de NFS solo con LDAP habilitado crean una cuenta de máquina SMB para enlazar al servidor LDAP con la misma convención de nomenclatura que las instancias de CIFS/SMB.

  • Cuando se crea una cuenta de máquina SMB, los recursos compartidos admin ocultos predeterminados (consulte la sección ""Recursos compartidos ocultos predeterminados"") También se crean (c$, admin$, ipc$), pero esos recursos compartidos no tienen ACL asignados y son inaccesibles.

  • Los objetos de cuenta de equipo se colocan de forma predeterminada en CN=Computers, pero a puede especificar una unidad organizativa diferente cuando sea necesario. Consulte la sección “Permisos necesarios para crear cuentas de máquina SMB” Para obtener información sobre los derechos de acceso necesarios para agregar/eliminar objetos de cuenta de máquina para Cloud Volumes Service.

Cuando Cloud Volumes Service agrega la cuenta de la máquina SMB a Active Directory, se rellenan los siguientes campos:

  • cn (con el nombre del servidor SMB especificado)

  • DNSHostName (con SMBserver.domain.com)

  • MSDS-SupportedEncryptionTypes (permite DES_CBC_MD5, RC4_HMAC_MD5 si el cifrado AES no está habilitado; si el cifrado AES está habilitado, SE permite EL intercambio DE la cuenta DES_CBC_MD5, RC4_HMAC_MD5, AES128_CTS_HMAC_SHA1_96, AES256_CTS_HMAC_HMAC_96 con la cuenta SMB)

  • Nombre (con el nombre del servidor SMB)

  • SAMAccountName (con smbServer$)

  • ServicePrincipalName (con host/smbserver.domain.com y host/smbServer SPN para Kerberos)

Si desea deshabilitar los tipos de cifrado Kerberos más débiles (enctype) en la cuenta de la máquina, puede cambiar el valor MSDS-SupportedEncryptionTypes de la cuenta de la máquina a uno de los valores de la tabla siguiente para permitir sólo AES.

MSDS-SupportedEncryptionTypes de valor Enctype activado

2

DES_CBC_MD5

4

RC4_HMAC

8

SÓLO AES128_CTS_HMAC_SHA1_96

16

SÓLO AES256_CTS_HMAC_SHA1_96

24

AES128_CTS_HMAC_SHA1_96 Y AES256_CTS_HMAC_SHA1_96

30

DES_CBC_MD5, RC4_HMAC, AES128_CTS_HMAC_SHA1_96 Y AES256_CTS_HMAC_SHA1_96

Para habilitar el cifrado AES para cuentas de equipo SMB, haga clic en Activar cifrado AES para autenticación AD al crear la conexión de Active Directory.

Para habilitar el cifrado AES para Kerberos de NFS, "Consulte la documentación de Cloud Volumes Service".