Otras dependencias de servicios de infraestructura NAS (KDC, LDAP y DNS)
Sugerir cambios
PDF
Al utilizar Google Cloud NetApp Volumes para recursos compartidos NAS, es posible que haya dependencias externas para una funcionalidad adecuada. Estas dependencias están en juego en circunstancias específicas. En la siguiente tabla se muestran diversas opciones de configuración y qué dependencias, si las hay, son necesarias.
| Configuración | Dependencias necesarias |
|---|---|
Solo NFSv3 |
Ninguno |
Solo Kerberos para NFSv3 |
Active Directory de Windows: * KDC * DNS * LDAP |
Solo NFSv4.1 |
Configuración de asignación de ID de cliente (/etc/idmap.conf) |
Solo NFSv4.1 Kerberos |
|
Solo SMB |
Active Directory: * KDC * DNS |
NAS multiprotocolo (NFS y SMB) |
|
Kerberos keytab rotation/password restablecerse para objetos de cuenta de equipo
Con las cuentas de máquinas SMB, Google Cloud NetApp Volumes programa un restablecimiento periódico de contraseñas para la cuenta de máquina SMB. Estos restablecimientos de contraseña se producen utilizando el cifrado Kerberos y funcionan según una programación de cada cuarto domingo a una hora aleatoria entre LAS 11:00 y LAS 01:00. Estos restablecimientos de contraseñas cambian las versiones de las claves de Kerberos, rotan las pestañas de claves almacenadas en el sistema NetApp Volumes de Google Cloud y ayudan a mantener un mayor nivel de seguridad para los servidores SMB que se ejecutan en volúmenes de NetApp de Google Cloud. Las contraseñas de las cuentas de equipo son aleatorias y no son conocidas por los administradores.
Para las cuentas de máquina NFS Kerberos, los restablecimientos de contraseña sólo tienen lugar cuando se crea o se intercambia una nueva keytab con el KDC. Actualmente, esto no es posible hacerlo en Google Cloud NetApp Volumes.
Puertos de red para su uso con LDAP y Kerberos
Cuando se utilizan LDAP y Kerberos, debe determinar los puertos de red que utilizan estos servicios. Puede encontrar una lista completa de los puertos utilizados por Google Cloud NetApp Volumes en la "Documentación de Google Cloud NetApp Volumes sobre consideraciones de seguridad".
LDAP
Google Cloud NetApp Volumes funciona como cliente LDAP y utiliza consultas de búsqueda LDAP estándar para búsquedas de usuarios y grupos para identidades UNIX. LDAP es necesario si se pretende usar usuarios y grupos fuera de los usuarios predeterminados estándar que proporciona Google Cloud NetApp Volumes. LDAP también es necesario si tiene previsto utilizar NFS Kerberos con directores de usuario (como user1@domain.com). Actualmente, sólo LDAP con Microsoft Active Directory es compatible.
Para utilizar Active Directory como servidor LDAP de UNIX, debe rellenar los atributos UNIX necesarios en los usuarios y grupos que desee utilizar para las identidades de UNIX. Google Cloud NetApp Volumes utiliza una plantilla de esquema LDAP predeterminada que consulta atributos basados en "RFC-2307-bis" . Como resultado, en la siguiente tabla se muestran los atributos de Active Directory mínimos necesarios que se deben rellenar para los usuarios y grupos y para qué se utiliza cada atributo.
Para obtener más información acerca de la configuración de atributos LDAP en Active Directory, consulte "Gestión del acceso de doble protocolo."
| Atributo | Qué hace |
|---|---|
uid* |
Especifica el nombre de usuario UNIX |
UidNumber* |
Especifica el ID numérico del usuario UNIX |
GidNumber* |
Especifica el identificador numérico del grupo principal del usuario UNIX |
ObjectClass* |
Especifica el tipo de objeto que se va a usar; Google Cloud NetApp Volumes requiere que el «usuario» se incluya en la lista de clases de objeto (se incluye de forma predeterminada en la mayoría de implementaciones de Active Directory). |
nombre |
Información general sobre la cuenta (nombre real, número de teléfono, etc., también conocido como gecos) |
UnixUserPassword |
No es necesario configurar esto; no se utiliza en las búsquedas de identidad de UNIX para la autenticación NAS. Al establecer esta opción, el valor de unixUserPassword configurado se coloca en texto sin formato. |
UnixHomeDirectory |
Define la ruta a los directorios iniciales de UNIX cuando un usuario autentica con LDAP desde un cliente Linux. Establezca esta opción si desea utilizar la funcionalidad de directorio raíz de LDAP para UNIX. |
LoginShell |
Define la ruta al shell bash/profile para clientes Linux cuando un usuario autentica de acuerdo con LDAP. |
*Indica que el atributo es necesario para una funcionalidad adecuada con los volúmenes de NetApp de Google Cloud. Los atributos restantes son para uso exclusivo del cliente.
| Atributo | Qué hace |
|---|---|
cn* |
Especifica el nombre del grupo UNIX. Cuando se utiliza Active Directory para LDAP, se establece cuando se crea el objeto por primera vez, pero se puede cambiar más tarde. Este nombre no puede ser el mismo que el de otros objetos. Por ejemplo, si su usuario UNIX denominado user1 pertenece a un grupo denominado user1 en su cliente Linux, Windows no permite dos objetos con el mismo atributo cn. Para solucionar esto, cambie el nombre del usuario de Windows a un nombre único (como user1-unix); LDAP en Google Cloud NetApp Volumes usa el atributo uid para nombres de usuario de UNIX. |
GidNumber* |
Especifica el identificador numérico del grupo UNIX. |
ObjectClass* |
Especifica el tipo de objeto que se está usando; los volúmenes de Google Cloud NetApp requieren que el grupo se incluya en la lista de clases de objeto (este atributo se incluye en la mayoría de implementaciones de Active Directory de forma predeterminada). |
MemberUid |
Especifica qué usuarios UNIX son miembros del grupo UNIX. Con el LDAP de Active Directory en Google Cloud NetApp Volumes, este campo no es necesario. El esquema de LDAP de NetApp Volumes de Google Cloud utiliza el campo Miembro para las pertenencias a grupos. |
Miembro* |
Necesario para grupos de miembros/grupos UNIX secundarios. Para rellenar este campo, agregue usuarios de Windows a grupos de Windows. Sin embargo, si los grupos de Windows no tienen atributos UNIX rellenados, no se incluyen en las listas de miembros de grupo del usuario UNIX. Todos los grupos que tengan que estar disponibles en NFS deben rellenar los atributos de grupo UNIX necesarios que aparecen en esta tabla. |
*Indica que el atributo es necesario para una funcionalidad adecuada con los volúmenes de NetApp de Google Cloud. Los atributos restantes son para uso exclusivo del cliente.
Información de enlace LDAP
Para consultar a los usuarios en LDAP, los volúmenes de NetApp de Google Cloud deben enlazar (iniciar sesión) al servicio LDAP. Este inicio de sesión tiene permisos de sólo lectura y se utiliza para consultar atributos UNIX LDAP para búsquedas de directorios. Actualmente, los vínculos LDAP sólo son posibles mediante una cuenta de máquina SMB.
Solo puede habilitar LDAP NetApp Volumes-Performance para instancias y usarlo en volúmenes de protocolo dual, NFSv3, NFSv4,1 o. Debe establecerse una conexión de Active Directory en la misma región que el volumen de volúmenes de NetApp de Google Cloud para la implementación correcta del volumen habilitado para LDAP.
Cuando LDAP está habilitado, lo siguiente se produce en situaciones específicas.
-
Si solo se utiliza NFSv3 o NFSv4,1 para el proyecto de volúmenes de NetApp de Google Cloud, se crea una nueva cuenta de máquina en el controlador de dominio de Active Directory y el cliente LDAP en volúmenes de NetApp de Google Cloud se enlaza a Active Directory mediante las credenciales de cuenta del equipo. No se crean recursos compartidos SMB para el volumen NFS y los recursos compartidos administrativos ocultos predeterminados (consulte la sección ""Recursos compartidos ocultos predeterminados"") Se han eliminado las listas de control de acceso compartidas.
-
Si se utilizan volúmenes de protocolo doble para el proyecto de volúmenes de NetApp de Google Cloud, solo se utiliza la cuenta de máquina única creada para el acceso de SMB para enlazar al cliente LDAP en volúmenes de Google Cloud NetApp con Active Directory. No se crean cuentas de equipo adicionales.
-
Si los volúmenes SMB dedicados se crean por separado (antes o después de que se habilitaron los volúmenes NFS con LDAP), la cuenta de máquina para los vínculos LDAP se comparte con la cuenta de la máquina SMB.
-
Si también está habilitado NFS Kerberos, se crean dos cuentas de máquina: Una para recursos compartidos SMB y/o enlaces LDAP y una para autenticación Kerberos NFS.
Consultas LDAP
Aunque los vínculos LDAP están cifrados, las consultas LDAP se pasan por el cable en texto sin formato utilizando el puerto LDAP 389 común. Este puerto conocido no puede cambiarse actualmente en volúmenes de NetApp de Google Cloud. Como resultado, alguien con acceso al rastreo de paquetes en la red puede ver nombres de usuarios y grupos, identificadores numéricos y pertenencias a grupos.
Sin embargo, las máquinas virtuales de Google Cloud no pueden snifar el tráfico unicast de otras máquinas virtuales. Solo las máquinas virtuales que participan activamente en el tráfico LDAP (es decir, que se pueden enlazar) pueden ver tráfico del servidor LDAP. Para obtener más información acerca de la detección de paquetes en Google Cloud NetApp Volumes, consulta la sección "“Consideraciones sobre rastreo y rastreo de paquetes”."
Valores predeterminados de la configuración del cliente LDAP
Cuando LDAP se habilita en una instancia de Google Cloud NetApp Volumes, se crea una configuración de cliente LDAP con detalles de configuración específicos de forma predeterminada. En algunos casos, las opciones no se aplican a volúmenes de Google Cloud NetApp (no son compatibles) o no son configurables.
| Opción de cliente LDAP | Qué hace | Valor predeterminado | ¿Puede cambiar? |
|---|---|---|---|
Lista de servidores LDAP |
Establece los nombres de servidor LDAP o las direcciones IP que se utilizarán para las consultas. Esto no se usa para Google Cloud NetApp Volumes. En su lugar, el dominio de Active Directory se utiliza para definir servidores LDAP. |
No configurado |
No |
Dominio de Active Directory |
Establece el dominio de Active Directory que se utilizará para consultas LDAP. Google Cloud NetApp Volumes aprovecha los registros SRV para LDAP en DNS para encontrar servidores LDAP en el dominio. |
Establezca el dominio de Active Directory especificado en la conexión de Active Directory. |
No |
Servidores de Active Directory preferidos |
Establece los servidores de Active Directory preferidos que se utilizarán para LDAP. No compatible con Google Cloud NetApp Volumes. En su lugar, utilice los sitios de Active Directory para controlar la selección del servidor LDAP. |
No configurado. |
No |
Enlazar mediante credenciales de SMB Server |
Enlaza a LDAP mediante la cuenta de máquina SMB. Actualmente, el único método de enlace LDAP compatible en volúmenes de Google Cloud NetApp. |
Verdadero |
No |
Plantilla de esquema |
La plantilla de esquema utilizada para consultas LDAP. |
MS-AD-BIS |
No |
Puerto del servidor LDAP |
El número de puerto utilizado para consultas LDAP. Google Cloud NetApp Volumes utiliza actualmente solo el puerto LDAP estándar 389. LDAPS/el puerto 636 actualmente no es compatible. |
389 |
No |
LDAPS habilitado |
Controla si se utiliza LDAP sobre Secure Sockets Layer (SSL) para consultas y vínculos. Actualmente no es compatible con Google Cloud NetApp Volumes. |
Falso |
No |
Tiempo de espera de consulta (s) |
Tiempo de espera para consultas. Si las consultas tardan más tiempo que el valor especificado, las consultas no se pueden realizar. |
3 |
No |
Nivel de autenticación de enlace mínimo |
El nivel de enlace mínimo admitido. Como Google Cloud NetApp Volumes usa cuentas de máquina para enlaces LDAP y Active Directory no admite enlaces anónimos de forma predeterminada, esta opción no entra en juego por motivos de seguridad. |
Anónimo |
No |
Enlazar DN |
El nombre de usuario/distintivo (DN) utilizado para los vínculos cuando se utiliza el enlace simple. Google Cloud NetApp Volumes utiliza cuentas de máquina para enlaces LDAP y actualmente no admite la simple autenticación de enlace. |
No configurado |
No |
DN base |
El DN base que se utiliza para las búsquedas LDAP. |
El dominio de Windows se utiliza para la conexión de Active Directory, en formato DN (es decir, DC=dominio, DC=local). |
No |
Ámbito de búsqueda base |
El ámbito de búsqueda para las búsquedas de DN base. Los valores pueden incluir base, onelevel o subárbol. Google Cloud NetApp Volumes solo admite búsquedas de subárbol. |
Subárbol |
No |
DN de usuario |
Define el DN en el que se inician las búsquedas del usuario para las consultas LDAP. Actualmente no es compatible con los volúmenes de NetApp de Google Cloud, por lo que todas las búsquedas de usuarios comienzan en el DN base. |
No configurado |
No |
Ámbito de búsqueda de usuarios |
El ámbito de búsqueda para las búsquedas de DN de usuario. Los valores pueden incluir base, onelevel o subárbol. Google Cloud NetApp Volumes no permite configurar el ámbito de búsqueda del usuario. |
Subárbol |
No |
DN de grupo |
Define el DN donde comienzan las búsquedas de grupo para consultas LDAP. Actualmente no es compatible con los volúmenes de NetApp de Google Cloud, por lo que todas las búsquedas de grupo comienzan en el DN base. |
No configurado |
No |
Ámbito de búsqueda de grupos |
El ámbito de búsqueda para las búsquedas de DN de grupo. Los valores pueden incluir base, onelevel o subárbol. Google Cloud NetApp Volumes no admite la configuración del ámbito de búsqueda del grupo. |
Subárbol |
No |
DN de grupo de red |
Define el DN donde comienzan las búsquedas de netgroup para las consultas LDAP. Actualmente no es compatible con los volúmenes de NetApp de Google Cloud, por lo que todas las búsquedas de grupos de red comienzan en el DN base. |
No configurado |
No |
Ámbito de búsqueda de grupos de red |
El ámbito de búsqueda para las búsquedas de DN de grupo de red. Los valores pueden incluir base, onelevel o subárbol. Google Cloud NetApp Volumes no admite la configuración del ámbito de búsqueda de grupos de red. |
Subárbol |
No |
Utilice start_tls sobre LDAP |
Aprovecha Start TLS para conexiones LDAP basadas en certificados a través del puerto 389. Actualmente no es compatible con Google Cloud NetApp Volumes. |
Falso |
No |
Habilite la búsqueda de netgroup-by-host |
Habilita búsquedas de netgroup por nombre de host en lugar de expandir grupos de red para enumerar todos los miembros. Actualmente no es compatible con Google Cloud NetApp Volumes. |
Falso |
No |
DN de netgroup por host |
Define el DN donde comienzan las búsquedas netgroup-by-host para las consultas LDAP. Netgroup-by-host no es compatible actualmente con volúmenes de NetApp de Google Cloud. |
No configurado |
No |
Ámbito de búsqueda netgroup-by-host |
El ámbito de búsqueda para las búsquedas DN de netgroup-by-host. Los valores pueden incluir base, onelevel o subárbol. Netgroup-by-host no es compatible actualmente con volúmenes de NetApp de Google Cloud. |
Subárbol |
No |
Seguridad de sesión de cliente |
Define qué nivel de seguridad de sesión utiliza LDAP (firma, sello o ninguno). NetApp Volumes-Performance es compatible con la firma LDAP, si lo solicita Active Directory. NetApp Volumes-SW no admite la firma LDAP. En ambos tipos de servicio, el sellado no es compatible actualmente. |
Ninguno |
No |
Búsqueda de referencias LDAP |
Al usar varios servidores LDAP, la búsqueda de referencias permite al cliente consultar otros servidores LDAP de la lista cuando no se encuentra una entrada en el primer servidor. Actualmente, Google Cloud NetApp Volumes no es compatible con esta operación. |
Falso |
No |
Filtro de pertenencia a grupos |
Proporciona un filtro de búsqueda LDAP personalizado que se utilizará al buscar miembros de grupo desde un servidor LDAP. Actualmente no es compatible con Google Cloud NetApp Volumes. |
No configurado |
No |
Se utiliza LDAP para la asignación de nombres asimétricos
Los volúmenes de NetApp de Google Cloud, de forma predeterminada, asignan usuarios de Windows y usuarios de UNIX con nombres de usuario idénticos bidireccionalmente sin una configuración especial. Siempre que los volúmenes de NetApp de Google Cloud puedan encontrar un usuario UNIX válido (con LDAP), se realizará una asignación de nombres de 1:1 KB. Por ejemplo, si se utiliza el usuario de Windows johnsmith, si los volúmenes de NetApp de Google Cloud pueden encontrar un usuario de UNIX denominado johnsmith en LDAP, la asignación de nombres se realiza correctamente para ese usuario, todos los archivos/carpetas creados por johnsmith muestran la propiedad correcta del usuario y todas las ACL que afectan johnsmith se respetan independientemente del protocolo NAS en uso. Esto se conoce como asignación simétrica de nombres.
La asignación de nombres asimétricos se produce cuando la identidad del usuario de Windows y de UNIX no coinciden. Por ejemplo, si un usuario de Windows johnsmith tiene una identidad UNIX de jsmith, los volúmenes de NetApp de Google Cloud necesitan una forma de informar sobre la variación. Como los volúmenes de Google Cloud NetApp no admiten la creación de reglas de asignación de nombres estáticas, se debe utilizar LDAP para buscar la identidad de los usuarios de las identidades de Windows y UNIX y garantizar así la propiedad adecuada de los archivos y carpetas y los permisos esperados.
De forma predeterminada, Google Cloud NetApp Volumes incluye LDAP el switch ns de la instancia de la base de datos de asignación de nombres, de modo que, para proporcionar la funcionalidad de asignación de nombres mediante LDAP para nombres asimétricos, solo es necesario modificar algunos de los atributos de usuario/grupo para reflejar lo que buscan los volúmenes de Google Cloud NetApp.
En la siguiente tabla se muestran los atributos que se deben rellenar en LDAP para la funcionalidad de asignación de nombres asimétrica. En la mayoría de los casos, Active Directory ya está configurado para hacerlo.
| Atributo NetApp Volumes de Google Cloud | Qué hace | Valor que utiliza Google Cloud NetApp Volumes para la asignación de nombres |
|---|---|---|
Clase de objetos de Windows a UNIX |
Especifica el tipo de objeto que se está utilizando. (Es decir, usuario, grupo, posixcuenta, etc.) |
Debe incluir al usuario (puede contener varios otros valores, si lo desea). |
Atributo de Windows a UNIX |
Que define el nombre de usuario de Windows en el momento de su creación. Google Cloud NetApp Volumes lo utiliza en búsquedas de Windows a UNIX. |
No se necesita ningún cambio aquí; sAMAccountName es igual que el nombre de inicio de sesión de Windows. |
UID |
Define el nombre de usuario UNIX. |
Nombre de usuario UNIX deseado. |
Los volúmenes de NetApp de Google Cloud actualmente no utilizan prefijos de dominio en las búsquedas de LDAP, por lo que los entornos LDAP de varios dominios no funcionan correctamente con las búsquedas de mapa de nombres de LDAP.
En el ejemplo siguiente se muestra un usuario con el nombre de Windows asymmetric, El nombre UNIX unix-user, Y el comportamiento que sigue al escribir archivos tanto de SMB como de NFS.
La figura siguiente muestra el aspecto de los atributos LDAP desde el servidor Windows.
Desde un cliente NFS, puede consultar el nombre de UNIX, pero no el nombre de Windows:
# id unix-user uid=1207(unix-user) gid=1220(sharedgroup) groups=1220(sharedgroup) # id asymmetric id: asymmetric: no such user
Cuando se escribe un archivo desde NFS AS unix-user, El siguiente es el resultado del cliente NFS:
sh-4.2$ pwd /mnt/home/ntfssh-4.2$ touch unix-user-file sh-4.2$ ls -la | grep unix-user -rwx------ 1 unix-user sharedgroup 0 Feb 28 12:37 unix-user-nfs sh-4.2$ id uid=1207(unix-user) gid=1220(sharedgroup) groups=1220(sharedgroup)
Desde un cliente Windows, puede ver que el propietario del archivo está establecido en el usuario de Windows correcto:
PS C:\ > Get-Acl \\demo\home\ntfs\unix-user-nfs | select Owner Owner ----- NTAP\asymmetric
Por el contrario, los archivos creados por el usuario de Windows asymmetric Desde un cliente SMB, se muestra el propietario UNIX correcto, tal y como se muestra en el texto siguiente.
SMB:
PS Z:\ntfs> echo TEXT > asymmetric-user-smb.txt
NFS:
sh-4.2$ ls -la | grep asymmetric-user-smb.txt -rwx------ 1 unix-user sharedgroup 14 Feb 28 12:43 asymmetric-user-smb.txt sh-4.2$ cat asymmetric-user-smb.txt TEXT
Enlace de canal LDAP
Debido a una vulnerabilidad en los controladores de dominio de Windows Active Directory, "Aviso de seguridad de Microsoft ADV190023" Cambia la forma en que los DC permiten el enlace LDAP.
El impacto para los volúmenes de NetApp de Google Cloud es el mismo que para cualquier cliente LDAP. Google Cloud NetApp Volumes no admite actualmente la vinculación de canal. Dado que Google Cloud NetApp Volumes admite la firma LDAP de forma predeterminada mediante la negociación, la vinculación del canal LDAP no debería suponer un problema. Si tiene problemas de enlace a LDAP con la vinculación de canal habilitada, siga los pasos de solución descritos en ADV190023 para permitir que los enlaces de LDAP de volúmenes de Google Cloud NetApp se completen correctamente.
DNS
Active Directory y Kerberos tienen dependencias en DNS para el nombre de host a IP/IP para la resolución de nombres de host. DNS requiere que el puerto 53 esté abierto. Google Cloud NetApp Volumes no realiza ninguna modificación en los registros DNS ni admite actualmente el uso de "DNS dinámico" interfaces de red.
Puede configurar el DNS de Active Directory para restringir qué servidores pueden actualizar los registros DNS. Para obtener más información, consulte "Proteja el DNS de Windows".
Tenga en cuenta que los recursos de un proyecto de Google utilizan de forma predeterminada Google Cloud DNS, que no está conectado con Active Directory DNS. Los clientes que usan Cloud DNS no pueden resolver las rutas de UNC que devuelven los volúmenes de Google Cloud NetApp. Los clientes de Windows Unidos al dominio de Active Directory están configurados para usar DNS de Active Directory y pueden resolver dichas rutas UNC.
Para unirse a un cliente a Active Directory, debe configurar su configuración DNS para utilizar el DNS de Active Directory. Opcionalmente, puede configurar Cloud DNS para reenviar solicitudes a Active Directory DNS. Consulte "¿Por qué mi cliente no puede resolver el nombre NetBIOS de SMB?"si quiere más información.
|
Google Cloud NetApp Volumes no es compatible actualmente con DNSSEC y las consultas de DNS se realizan en texto plano. |
Auditoría de acceso a los archivos
Actualmente no es compatible con Google Cloud NetApp Volumes.
Protección antivirus
Debe realizar un análisis antivirus en los volúmenes de Google Cloud NetApp en el cliente en un recurso compartido NAS. Actualmente no existe una integración antivirus nativa con Google Cloud NetApp Volumes.