Inteligencia artificial
Otras dependencias de servicios de infraestructura NAS (KDC, LDAP y DNS)
Sugerir cambios
PDF
Cuando se utiliza Cloud Volumes Service para recursos compartidos NAS, es posible que sea necesario tener dependencias externas para disponer de una funcionalidad adecuada. Estas dependencias están en juego en circunstancias específicas. En la siguiente tabla se muestran diversas opciones de configuración y qué dependencias, si las hay, son necesarias.
| Configuración | Dependencias necesarias |
|---|---|
Solo NFSv3 |
Ninguno |
Solo Kerberos para NFSv3 |
Active Directory de Windows: * KDC * DNS * LDAP |
Solo NFSv4.1 |
Configuración de asignación de ID de cliente (/etc/idmap.conf) |
Solo NFSv4.1 Kerberos |
|
Solo SMB |
Active Directory: * KDC * DNS |
NAS multiprotocolo (NFS y SMB) |
|
Kerberos keytab rotation/password restablecerse para objetos de cuenta de equipo
Con las cuentas de máquina SMB, Cloud Volumes Service programa reinicios periódicos de contraseñas para la cuenta de la máquina SMB. Estos restablecimientos de contraseña se producen utilizando el cifrado Kerberos y funcionan según una programación de cada cuarto domingo a una hora aleatoria entre LAS 11:00 y LAS 01:00. Estos restablecimientos de contraseña cambian las versiones de clave Kerberos, giran las pestañas clave almacenadas en el sistema Cloud Volumes Service y ayudan a mantener un mayor nivel de seguridad para los servidores SMB que se ejecutan en Cloud Volumes Service. Las contraseñas de las cuentas de equipo son aleatorias y no son conocidas por los administradores.
Para las cuentas de máquina NFS Kerberos, los restablecimientos de contraseña sólo tienen lugar cuando se crea o se intercambia una nueva keytab con el KDC. Actualmente, no es posible hacerlo en Cloud Volumes Service.
Puertos de red para su uso con LDAP y Kerberos
Cuando se utilizan LDAP y Kerberos, debe determinar los puertos de red que utilizan estos servicios. En el, puede encontrar una lista completa de los puertos que utiliza Cloud Volumes Service "Documentación de Cloud Volumes Service sobre consideraciones de seguridad".
LDAP
Cloud Volumes Service actúa como un cliente LDAP y utiliza consultas de búsqueda LDAP estándar para búsquedas de usuarios y grupos de identidades de UNIX. LDAP es necesario si tiene la intención de utilizar usuarios y grupos fuera de los usuarios predeterminados estándar proporcionados por Cloud Volumes Service. LDAP también es necesario si tiene previsto utilizar NFS Kerberos con directores de usuario (como user1@domain.com). Actualmente, sólo LDAP con Microsoft Active Directory es compatible.
Para utilizar Active Directory como servidor LDAP de UNIX, debe rellenar los atributos UNIX necesarios en los usuarios y grupos que desee utilizar para las identidades de UNIX. Cloud Volumes Service utiliza una plantilla de esquema LDAP predeterminada en la que consulta atributos basados "RFC-2307-bis". Como resultado, en la siguiente tabla se muestran los atributos de Active Directory mínimos necesarios que se deben rellenar para los usuarios y grupos y para qué se utiliza cada atributo.
Para obtener más información acerca de la configuración de atributos LDAP en Active Directory, consulte "Gestión del acceso de doble protocolo."
| Atributo | Qué hace |
|---|---|
uid* |
Especifica el nombre de usuario UNIX |
UidNumber* |
Especifica el ID numérico del usuario UNIX |
GidNumber* |
Especifica el identificador numérico del grupo principal del usuario UNIX |
ObjectClass* |
Especifica qué tipo de objeto se está utilizando; Cloud Volumes Service requiere que “user” se incluya en la lista de clases de objeto (se incluye de forma predeterminada en la mayoría de implementaciones de Active Directory). |
nombre |
Información general sobre la cuenta (nombre real, número de teléfono, etc., también conocido como gecos) |
UnixUserPassword |
No es necesario configurar esto; no se utiliza en las búsquedas de identidad de UNIX para la autenticación NAS. Al establecer esta opción, el valor de unixUserPassword configurado se coloca en texto sin formato. |
UnixHomeDirectory |
Define la ruta a los directorios iniciales de UNIX cuando un usuario autentica con LDAP desde un cliente Linux. Establezca esta opción si desea utilizar la funcionalidad de directorio raíz de LDAP para UNIX. |
LoginShell |
Define la ruta al shell bash/profile para clientes Linux cuando un usuario autentica de acuerdo con LDAP. |
*Denota atributo es necesario para una funcionalidad adecuada con Cloud Volumes Service. Los atributos restantes son para uso exclusivo del cliente.
| Atributo | Qué hace |
|---|---|
cn* |
Especifica el nombre del grupo UNIX. Cuando se utiliza Active Directory para LDAP, se establece cuando se crea el objeto por primera vez, pero se puede cambiar más tarde. Este nombre no puede ser el mismo que el de otros objetos. Por ejemplo, si su usuario UNIX denominado user1 pertenece a un grupo denominado user1 en su cliente Linux, Windows no permite dos objetos con el mismo atributo cn. Para evitar esto, cambie el nombre del usuario de Windows por un nombre único (como user1-UNIX); LDAP en Cloud Volumes Service utiliza el atributo uid para los nombres de usuario de UNIX. |
GidNumber* |
Especifica el identificador numérico del grupo UNIX. |
ObjectClass* |
Especifica qué tipo de objeto se está utilizando; Cloud Volumes Service requiere que se incluya un grupo en la lista de clases de objeto (este atributo se incluye de forma predeterminada en la mayoría de las implementaciones de Active Directory). |
MemberUid |
Especifica qué usuarios UNIX son miembros del grupo UNIX. Con LDAP de Active Directory en Cloud Volumes Service, este campo no es necesario. El esquema LDAP de Cloud Volumes Service utiliza el campo Miembro para las pertenencias a grupos. |
Miembro* |
Necesario para grupos de miembros/grupos UNIX secundarios. Para rellenar este campo, agregue usuarios de Windows a grupos de Windows. Sin embargo, si los grupos de Windows no tienen atributos UNIX rellenados, no se incluyen en las listas de miembros de grupo del usuario UNIX. Todos los grupos que tengan que estar disponibles en NFS deben rellenar los atributos de grupo UNIX necesarios que aparecen en esta tabla. |
*Denota atributo es necesario para una funcionalidad adecuada con Cloud Volumes Service. Los atributos restantes son para uso exclusivo del cliente.
Información de enlace LDAP
Para consultar a los usuarios en LDAP, Cloud Volumes Service debe enlazar (iniciar sesión) con el servicio LDAP. Este inicio de sesión tiene permisos de sólo lectura y se utiliza para consultar atributos UNIX LDAP para búsquedas de directorios. Actualmente, los vínculos LDAP sólo son posibles mediante una cuenta de máquina SMB.
Solo puede habilitar LDAP para CVS-Performance Y utilícelo para NFSv3, NFSv4.1 o volúmenes de protocolo doble. Debe establecerse una conexión de Active Directory en la misma región que el volumen de Cloud Volumes Service para implementar correctamente el volumen habilitado para LDAP.
Cuando LDAP está habilitado, lo siguiente se produce en situaciones específicas.
-
Si solo se utilizan NFSv3 o NFSv4.1 para el proyecto de Cloud Volumes Service, se crea una nueva cuenta de máquina en la controladora de dominio de Active Directory y el cliente LDAP de Cloud Volumes Service se enlaza a Active Directory mediante las credenciales de la cuenta del equipo. No se crean recursos compartidos de SMB para el volumen NFS ni los recursos compartidos administrativos ocultos predeterminados (consulte la sección ""Recursos compartidos ocultos predeterminados"") Se han eliminado las ACL compartidas.
-
Si se utilizan volúmenes de protocolo doble para el proyecto Cloud Volumes Service, solo se utiliza la cuenta de máquina única creada para el acceso SMB para vincular el cliente LDAP en Cloud Volumes Service a Active Directory. No se crean cuentas de equipo adicionales.
-
Si los volúmenes SMB dedicados se crean por separado (antes o después de que se habilitaron los volúmenes NFS con LDAP), la cuenta de máquina para los vínculos LDAP se comparte con la cuenta de la máquina SMB.
-
Si también está habilitado NFS Kerberos, se crean dos cuentas de máquina: Una para recursos compartidos SMB y/o enlaces LDAP y una para autenticación Kerberos NFS.
Consultas LDAP
Aunque los vínculos LDAP están cifrados, las consultas LDAP se pasan por el cable en texto sin formato utilizando el puerto LDAP 389 común. Este puerto conocido no se puede cambiar actualmente en Cloud Volumes Service. Como resultado, alguien con acceso al rastreo de paquetes en la red puede ver nombres de usuarios y grupos, identificadores numéricos y pertenencias a grupos.
Sin embargo, las máquinas virtuales de Google Cloud no pueden snifar el tráfico unicast de otras máquinas virtuales. Solo las máquinas virtuales que participan activamente en el tráfico LDAP (es decir, que se pueden enlazar) pueden ver tráfico del servidor LDAP. Para obtener más información sobre el rastreo de paquetes en Cloud Volumes Service, consulte la sección "“Consideraciones sobre rastreo y rastreo de paquetes”."
Valores predeterminados de la configuración del cliente LDAP
Cuando se habilita LDAP en una instancia de Cloud Volumes Service, se crea una configuración de cliente LDAP con detalles de configuración específicos de forma predeterminada. En algunos casos, las opciones no se aplican a Cloud Volumes Service (no se admiten) o no son configurables.
| Opción de cliente LDAP | Qué hace | Valor predeterminado | ¿Puede cambiar? |
|---|---|---|---|
Lista de servidores LDAP |
Establece los nombres de servidor LDAP o las direcciones IP que se utilizarán para las consultas. Esto no se utiliza para Cloud Volumes Service. En su lugar, el dominio de Active Directory se utiliza para definir servidores LDAP. |
No configurado |
No |
Dominio de Active Directory |
Establece el dominio de Active Directory que se utilizará para consultas LDAP. Cloud Volumes Service aprovecha los registros SRV para LDAP en DNS para buscar servidores LDAP en el dominio. |
Establezca el dominio de Active Directory especificado en la conexión de Active Directory. |
No |
Servidores de Active Directory preferidos |
Establece los servidores de Active Directory preferidos que se utilizarán para LDAP. Que Cloud Volumes Service no admite. En su lugar, utilice los sitios de Active Directory para controlar la selección del servidor LDAP. |
No configurado. |
No |
Enlazar mediante credenciales de SMB Server |
Enlaza a LDAP mediante la cuenta de máquina SMB. Actualmente, el único método de enlace LDAP admitido en Cloud Volumes Service. |
Verdadero |
No |
Plantilla de esquema |
La plantilla de esquema utilizada para consultas LDAP. |
MS-AD-BIS |
No |
Puerto del servidor LDAP |
El número de puerto utilizado para consultas LDAP. Cloud Volumes Service utiliza actualmente sólo el puerto LDAP estándar 389. LDAPS/el puerto 636 actualmente no es compatible. |
389 |
No |
LDAPS habilitado |
Controla si se utiliza LDAP sobre Secure Sockets Layer (SSL) para consultas y vínculos. Actualmente no es compatible con Cloud Volumes Service. |
Falso |
No |
Tiempo de espera de consulta (s) |
Tiempo de espera para consultas. Si las consultas tardan más tiempo que el valor especificado, las consultas no se pueden realizar. |
3 |
No |
Nivel de autenticación de enlace mínimo |
El nivel de enlace mínimo admitido. Dado que Cloud Volumes Service utiliza cuentas de equipo para los vínculos LDAP y Active Directory no admite enlaces anónimos de forma predeterminada, esta opción no entra en juego para la seguridad. |
Anónimo |
No |
Enlazar DN |
El nombre de usuario/distintivo (DN) utilizado para los vínculos cuando se utiliza el enlace simple. Cloud Volumes Service utiliza cuentas de equipo para enlaces LDAP y actualmente no admite autenticación de enlace simple. |
No configurado |
No |
DN base |
El DN base que se utiliza para las búsquedas LDAP. |
El dominio de Windows se utiliza para la conexión de Active Directory, en formato DN (es decir, DC=dominio, DC=local). |
No |
Ámbito de búsqueda base |
El ámbito de búsqueda para las búsquedas de DN base. Los valores pueden incluir base, onelevel o subárbol. Cloud Volumes Service sólo admite búsquedas en subárboles. |
Subárbol |
No |
DN de usuario |
Define el DN en el que se inician las búsquedas del usuario para las consultas LDAP. Actualmente no es compatible con Cloud Volumes Service, por lo que todas las búsquedas de usuarios comienzan en el DN base. |
No configurado |
No |
Ámbito de búsqueda de usuarios |
El ámbito de búsqueda para las búsquedas de DN de usuario. Los valores pueden incluir base, onelevel o subárbol. Cloud Volumes Service no admite la configuración del ámbito de búsqueda de usuarios. |
Subárbol |
No |
DN de grupo |
Define el DN donde comienzan las búsquedas de grupo para consultas LDAP. Actualmente no es compatible con Cloud Volumes Service, por lo que todas las búsquedas de grupo comienzan en el DN base. |
No configurado |
No |
Ámbito de búsqueda de grupos |
El ámbito de búsqueda para las búsquedas de DN de grupo. Los valores pueden incluir base, onelevel o subárbol. Cloud Volumes Service no admite la configuración del ámbito de búsqueda de grupos. |
Subárbol |
No |
DN de grupo de red |
Define el DN donde comienzan las búsquedas de netgroup para las consultas LDAP. Actualmente no es compatible con Cloud Volumes Service, por lo que todas las búsquedas de netgroup comienzan en el DN base. |
No configurado |
No |
Ámbito de búsqueda de grupos de red |
El ámbito de búsqueda para las búsquedas de DN de grupo de red. Los valores pueden incluir base, onelevel o subárbol. Cloud Volumes Service no admite la configuración del ámbito de búsqueda de netgroup. |
Subárbol |
No |
Utilice start_tls sobre LDAP |
Aprovecha Start TLS para conexiones LDAP basadas en certificados a través del puerto 389. Actualmente no es compatible con Cloud Volumes Service. |
Falso |
No |
Habilite la búsqueda de netgroup-by-host |
Habilita búsquedas de netgroup por nombre de host en lugar de expandir grupos de red para enumerar todos los miembros. Actualmente no es compatible con Cloud Volumes Service. |
Falso |
No |
DN de netgroup por host |
Define el DN donde comienzan las búsquedas netgroup-by-host para las consultas LDAP. Actualmente, netgroup-by-host no es compatible con Cloud Volumes Service. |
No configurado |
No |
Ámbito de búsqueda netgroup-by-host |
El ámbito de búsqueda para las búsquedas DN de netgroup-by-host. Los valores pueden incluir base, onelevel o subárbol. Actualmente, netgroup-by-host no es compatible con Cloud Volumes Service. |
Subárbol |
No |
Seguridad de sesión de cliente |
Define qué nivel de seguridad de sesión utiliza LDAP (firma, sello o ninguno). La firma LDAP es compatible con CVS-Performance, si es solicitada por Active Directory. CVS-SW no admite la firma LDAP. En ambos tipos de servicio, el sellado no es compatible actualmente. |
Ninguno |
No |
Búsqueda de referencias LDAP |
Al usar varios servidores LDAP, la búsqueda de referencias permite al cliente consultar otros servidores LDAP de la lista cuando no se encuentra una entrada en el primer servidor. Actualmente, Cloud Volumes Service no admite esta operación. |
Falso |
No |
Filtro de pertenencia a grupos |
Proporciona un filtro de búsqueda LDAP personalizado que se utilizará al buscar miembros de grupo desde un servidor LDAP. Actualmente no es compatible con Cloud Volumes Service. |
No configurado |
No |
Se utiliza LDAP para la asignación de nombres asimétricos
Cloud Volumes Service, de forma predeterminada, asigna usuarios de Windows y usuarios UNIX con nombres de usuario idénticos de manera bidireccional sin configuración especial. Siempre que Cloud Volumes Service pueda encontrar un usuario UNIX válido (con LDAP), se producirá una asignación de nombre 1:1. Por ejemplo, si el usuario de Windows johnsmith Se utiliza, entonces, si Cloud Volumes Service puede encontrar un usuario UNIX llamado johnsmith En LDAP, la asignación de nombres se realiza correctamente para ese usuario, todos los archivos/carpetas creados por johnsmith Mostrar la propiedad de usuario correcta y todas las ACL que afectan johnsmith Sean honrados independientemente del protocolo NAS que se utilice. Esto se conoce como asignación simétrica de nombres.
La asignación de nombres asimétricos se produce cuando la identidad del usuario de Windows y de UNIX no coinciden. Por ejemplo, si el usuario de Windows johnsmith Tiene una identidad UNIX de jsmith, Cloud Volumes Service necesita una manera de ser contada acerca de la variación. Puesto que Cloud Volumes Service no admite actualmente la creación de reglas estáticas de asignación de nombres, se debe utilizar LDAP para buscar la identidad de los usuarios tanto para las identidades de Windows como UNIX para garantizar la propiedad correcta de los archivos y carpetas y los permisos esperados.
De forma predeterminada, Cloud Volumes Service incluye LDAP En el switch ns de la instancia de la base de datos de asignación de nombres, de modo que para proporcionar la funcionalidad de asignación de nombres mediante el uso de LDAP para nombres asimétricos, sólo es necesario modificar algunos de los atributos de usuario/grupo para reflejar lo que busca Cloud Volumes Service.
En la siguiente tabla se muestran los atributos que se deben rellenar en LDAP para la funcionalidad de asignación de nombres asimétrica. En la mayoría de los casos, Active Directory ya está configurado para hacerlo.
| Atributo Cloud Volumes Service | Qué hace | Valor que utiliza Cloud Volumes Service para la asignación de nombres |
|---|---|---|
Clase de objetos de Windows a UNIX |
Especifica el tipo de objeto que se está utilizando. (Es decir, usuario, grupo, posixcuenta, etc.) |
Debe incluir al usuario (puede contener varios otros valores, si lo desea). |
Atributo de Windows a UNIX |
Que define el nombre de usuario de Windows en el momento de su creación. Cloud Volumes Service lo utiliza para búsquedas de Windows a UNIX. |
No se necesita ningún cambio aquí; sAMAccountName es igual que el nombre de inicio de sesión de Windows. |
UID |
Define el nombre de usuario UNIX. |
Nombre de usuario UNIX deseado. |
Cloud Volumes Service actualmente no utiliza prefijos de dominio en las búsquedas LDAP, de modo que varios entornos LDAP de dominio no funcionan correctamente con las búsquedas del mapa de nombres LDAP.
En el ejemplo siguiente se muestra un usuario con el nombre de Windows asymmetric, El nombre UNIX unix-user, Y el comportamiento que sigue al escribir archivos tanto de SMB como de NFS.
La figura siguiente muestra el aspecto de los atributos LDAP desde el servidor Windows.
Desde un cliente NFS, puede consultar el nombre de UNIX, pero no el nombre de Windows:
# id unix-user uid=1207(unix-user) gid=1220(sharedgroup) groups=1220(sharedgroup) # id asymmetric id: asymmetric: no such user
Cuando se escribe un archivo desde NFS AS unix-user, El siguiente es el resultado del cliente NFS:
sh-4.2$ pwd /mnt/home/ntfssh-4.2$ touch unix-user-file sh-4.2$ ls -la | grep unix-user -rwx------ 1 unix-user sharedgroup 0 Feb 28 12:37 unix-user-nfs sh-4.2$ id uid=1207(unix-user) gid=1220(sharedgroup) groups=1220(sharedgroup)
Desde un cliente Windows, puede ver que el propietario del archivo está establecido en el usuario de Windows correcto:
PS C:\ > Get-Acl \\demo\home\ntfs\unix-user-nfs | select Owner Owner ----- NTAP\asymmetric
Por el contrario, los archivos creados por el usuario de Windows asymmetric Desde un cliente SMB, se muestra el propietario UNIX correcto, tal y como se muestra en el texto siguiente.
SMB:
PS Z:\ntfs> echo TEXT > asymmetric-user-smb.txt
NFS:
sh-4.2$ ls -la | grep asymmetric-user-smb.txt -rwx------ 1 unix-user sharedgroup 14 Feb 28 12:43 asymmetric-user-smb.txt sh-4.2$ cat asymmetric-user-smb.txt TEXT
Enlace de canal LDAP
Debido a una vulnerabilidad en los controladores de dominio de Windows Active Directory, "Aviso de seguridad de Microsoft ADV190023" Cambia la forma en que los DC permiten el enlace LDAP.
El impacto para Cloud Volumes Service es el mismo que para cualquier cliente LDAP. Cloud Volumes Service no admite actualmente el enlace de canal. Dado que Cloud Volumes Service admite la firma LDAP de forma predeterminada a través de la negociación, el enlace al canal LDAP no debe ser un problema. Si tiene problemas con la vinculación a LDAP con el enlace de canal activado, siga los pasos de corrección de ADV190023 para permitir que los enlaces LDAP de Cloud Volumes Service tengan éxito.
DNS
Active Directory y Kerberos tienen dependencias en DNS para el nombre de host a IP/IP para la resolución de nombres de host. DNS requiere que el puerto 53 esté abierto. Cloud Volumes Service no realiza modificaciones en los registros DNS ni admite actualmente el uso de "DNS dinámico" en las interfaces de red.
Puede configurar el DNS de Active Directory para restringir qué servidores pueden actualizar los registros DNS. Para obtener más información, consulte "Proteja el DNS de Windows".
Tenga en cuenta que los recursos de un proyecto de Google utilizan de forma predeterminada Google Cloud DNS, que no está conectado con Active Directory DNS. Los clientes que utilizan DNS cloud no pueden resolver las rutas UNC que devuelve Cloud Volumes Service. Los clientes de Windows Unidos al dominio de Active Directory están configurados para usar DNS de Active Directory y pueden resolver dichas rutas UNC.
Para unirse a un cliente a Active Directory, debe configurar su configuración DNS para utilizar el DNS de Active Directory. Opcionalmente, puede configurar Cloud DNS para reenviar solicitudes a Active Directory DNS. Consulte "¿Por qué mi cliente no puede resolver el nombre NetBIOS de SMB?"si quiere más información.
|
Cloud Volumes Service no admite actualmente las consultas DNSSEC y las consultas DNS se realizan en texto sin formato. |
Auditoría de acceso a los archivos
Actualmente no es compatible con Cloud Volumes Service.
Protección antivirus
Debe realizar análisis antivirus en Cloud Volumes Service en el cliente para un recurso compartido NAS. Actualmente no existe ninguna integración antivirus nativa con Cloud Volumes Service.