Skip to main content
NetApp Solutions
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Considérations relatives à la création de connexions Active Directory

Contributeurs
PDF

Cloud Volumes Service permet de connecter votre instance Cloud Volumes Service à un serveur Active Directory externe pour la gestion des identités tant pour les utilisateurs SMB que UNIX. La création d'une connexion Active Directory est nécessaire pour utiliser SMB dans Cloud Volumes Service.

La configuration offre plusieurs options qui nécessitent d'être prises en compte pour la sécurité. Le serveur Active Directory externe peut être une instance sur site ou un cloud natif. Si vous utilisez un serveur Active Directory sur site, n’exposez pas le domaine au réseau externe (par exemple avec une DMZ ou une adresse IP externe). Au lieu de cela, utilisez des tunnels privés sécurisés ou des VPN, des fiducies forestières à sens unique ou des connexions réseau dédiées aux réseaux sur site avec "Accès privé à Google". Consultez la documentation Google Cloud pour plus d'informations sur "Bonnes pratiques avec Active Directory dans Google Cloud".

Remarque CVS-SW nécessite que les serveurs Active Directory soient situés dans la même région. Si une connexion CC est tentée dans CVS-SW vers une autre région, la tentative échoue. Lorsque vous utilisez CVS-SW, veillez à créer des sites Active Directory incluant les DCS Active Directory, puis spécifiez des sites dans Cloud Volumes Service pour éviter les tentatives de connexion CC entre régions.

Informations d'identification Active Directory

Lorsque SMB ou LDAP pour NFS est activé, Cloud Volumes Service interagit avec les contrôleurs Active Directory pour créer un objet de compte de machine à utiliser pour l'authentification. Ce n'est pas différent de la façon dont un client SMB Windows rejoint un domaine et nécessite les mêmes droits d'accès aux unités organisationnelles (UO) dans Active Directory.

Dans de nombreux cas, les groupes de sécurité n'autorisent pas l'utilisation d'un compte administrateur Windows sur des serveurs externes tels que Cloud Volumes Service. Dans certains cas, l'utilisateur de l'administrateur Windows est entièrement désactivé en tant que meilleure pratique de sécurité.

Autorisations nécessaires pour créer des comptes de machine SMB

Pour ajouter des objets machine Cloud Volumes Service à un Active Directory, un compte qui possède des droits d'administration sur le domaine ou a "autorisations déléguées pour créer et modifier des objets de compte machine" À une UO spécifiée est nécessaire. Pour ce faire, vous pouvez créer une tâche personnalisée avec l’assistant délégation de contrôle d’Active Directory qui fournit un accès utilisateur à la création/suppression d’objets d’ordinateur avec les autorisations d’accès suivantes :

  • Lecture/écriture

  • Créer/Supprimer tous les objets enfants

  • Lire/écrire toutes les propriétés

  • Modifier/Réinitialiser le mot de passe

Cette opération ajoute automatiquement une liste de contrôle d’accès de sécurité pour l’utilisateur défini à l’UO dans Active Directory et réduit l’accès à l’environnement Active Directory. Après la délégation d'un utilisateur, ce nom d'utilisateur et ce mot de passe peuvent être fournis en tant qu'informations d'identification Active Directory dans cette fenêtre.

Remarque Le nom d'utilisateur et le mot de passe transmis au domaine Active Directory exploitent le chiffrement Kerberos lors de la requête et de la création d'objet de compte machine pour une sécurité supplémentaire.

Détails de la connexion à Active Directory

Le "Détails de connexion Active Directory" Indiquez les champs permettant aux administrateurs de fournir des informations spécifiques sur le schéma Active Directory pour le placement de compte machine, par exemple :

  • Type de connexion Active Directory. utilisé pour spécifier si la connexion Active Directory dans une région est utilisée pour les volumes de type de service Cloud Volumes Service ou CVS-Performance. Si ce paramètre n'est pas défini correctement sur une connexion existante, il est possible qu'il ne fonctionne pas correctement lorsqu'il est utilisé ou modifié.

  • Domaine. le nom de domaine Active Directory.

  • Site. limite les serveurs Active Directory à un site spécifique pour la sécurité et les performances "considérations". Ceci est nécessaire lorsque plusieurs serveurs Active Directory s'étendent sur des régions car Cloud Volumes Service ne prend pas en charge actuellement l'autorisation d'autoriser les requêtes d'authentification Active Directory à des serveurs Active Directory dans une région différente de celle de l'instance Cloud Volumes Service. (Par exemple, le contrôleur de domaine Active Directory se trouve dans une région qui ne prend en charge que CVS-Performance mais vous voulez un partage SMB dans une instance CVS-SW.)

  • Serveurs DNS. serveurs DNS à utiliser dans les recherches de noms.

  • Nom NetBIOS (facultatif). si vous le souhaitez, le nom NetBIOS du serveur. Ce qui est utilisé lorsque de nouveaux comptes machine sont créés à l'aide de la connexion Active Directory. Par exemple, si le nom NetBIOS est défini sur CVS-EAST, les noms des comptes machine seront CVS-EAST-{1234}. Voir la section "Comment Cloud Volumes Service s'affiche dans Active Directory" pour en savoir plus.

  • Unité organisationnelle (UO). l'UO spécifique pour créer le compte d'ordinateur. Ceci est utile si vous déléguez le contrôle à un utilisateur pour les comptes machine à une unité d'organisation spécifique.

  • Cryptage AES. vous pouvez également cocher ou décocher la case Activer le cryptage AES pour l'authentification AD. L'activation du cryptage AES pour l'authentification Active Directory offre une sécurité supplémentaire pour la communication entre Cloud Volumes Service et Active Directory au cours des recherches utilisateur et de groupe. Avant d'activer cette option, vérifiez auprès de votre administrateur de domaine que les contrôleurs de domaine Active Directory prennent en charge l'authentification AES.

Remarque Par défaut, la plupart des serveurs Windows ne désactivent pas les chiffrements plus faibles (tels QUE DES ou RC4-HMAC), mais si vous choisissez de désactiver les chiffrements plus faibles, confirmez que la connexion Cloud Volumes Service Active Directory a été configurée pour activer AES. Dans le cas contraire, des échecs d'authentification se produisent. L'activation du cryptage AES ne désactive pas les chiffrements plus faibles mais ajoute au contraire la prise en charge du chiffrement AES au compte de la machine Cloud Volumes Service SMB.

Détails du domaine Kerberos

Cette option ne s'applique pas aux serveurs SMB. Elles sont plutôt utilisées lors de la configuration de Kerberos par NFS pour le système Cloud Volumes Service. Lorsque ces informations sont renseignées, le domaine Kerberos NFS est configuré (similaire à un fichier krb5.conf sous Linux) et utilisé lorsque NFS Kerberos est spécifié dans la création du volume Cloud Volumes Service, car la connexion Active Directory fait office de centre de distribution Kerberos NFS (KDC).

Remarque Actuellement, les KDC non Windows ne sont pas pris en charge pour une utilisation avec Cloud Volumes Service.

Région

Une région vous permet de spécifier l'emplacement où réside la connexion Active Directory. Cette région doit être la même région que le volume Cloud Volumes Service.

  • Utilisateurs NFS locaux avec LDAP. dans cette section, il existe également une option permettant aux utilisateurs NFS locaux avec LDAP. Cette option doit être désélectionnée si vous souhaitez étendre votre prise en charge d'appartenance à un groupe d'utilisateurs UNIX au-delà de la limite de 16 groupes de NFS (groupes étendus). Cependant, l'utilisation de groupes étendus nécessite un serveur LDAP configuré pour les identités UNIX. Si vous ne disposez pas d'un serveur LDAP, laissez cette option non sélectionnée. Si vous disposez d'un serveur LDAP et souhaitez également utiliser des utilisateurs UNIX locaux (comme root), sélectionnez cette option.

Utilisateurs de la sauvegarde

Cette option vous permet de spécifier les utilisateurs Windows disposant d'autorisations de sauvegarde sur le volume Cloud Volumes Service. Les privilèges de sauvegarde (SeBackupPrivilege) sont nécessaires pour que certaines applications puissent sauvegarder et restaurer correctement les données dans des volumes NAS. Cet utilisateur dispose d'un haut niveau d'accès aux données du volume. Vous devez donc tenir compte de cet aspect "activation de l'audit de cet accès utilisateur". Une fois activée, les événements d'audit s'affichent dans Event Viewer > Windows Logs > Security.

Erreur : image graphique manquante

Utilisateurs disposant des privilèges de sécurité

Cette option vous permet de spécifier les utilisateurs Windows disposant d'autorisations de modification de sécurité pour le volume Cloud Volumes Service. Des privilèges de sécurité (SeSecurityPrivilege) sont nécessaires pour certaines applications ("Tels que SQL Server") pour définir correctement les autorisations lors de l'installation. Ce privilège est nécessaire pour gérer le journal de sécurité. Bien que ce privilège ne soit pas aussi puissant que SeBackupPrivilege, NetApp recommande "audit de l'accès des utilisateurs" avec ce niveau de privilège, le cas échéant.

Pour plus d'informations, voir "Privilèges spéciaux attribués à la nouvelle connexion".

Comment Cloud Volumes Service s'affiche dans Active Directory

Cloud Volumes Service apparaît dans Active Directory comme un objet de compte machine normal. Les conventions de nom sont les suivantes.

  • CIFS/SMB et NFS Kerberos créent des objets de compte de machine distincts.

  • Le protocole NFS avec LDAP activé crée un compte machine dans Active Directory pour les liaisons LDAP Kerberos.

  • Les volumes à double protocole avec LDAP partagent le compte de machine CIFS/SMB pour LDAP et SMB.

  • Les comptes de machine CIFS/SMB utilisent une convention de dénomination de NOM-1234 (identifiant aléatoire à quatre chiffres avec tiret ajouté à <10 caractères name) pour le compte de machine. Vous pouvez définir LE NOM à l'aide du paramètre Nom NetBIOS de la connexion Active Directory (voir la section «Détails de la connexion à Active Directory”).

  • NFS Kerberos utilise NFS-NAME-1234 comme convention de nommage (15 caractères au maximum). Si plus de 15 caractères sont utilisés, le nom est NFS-TRONQUÉ-NAME-1234.

  • Les instances CVS-Performance uniquement avec LDAP activées créent un compte de machine SMB pour la liaison au serveur LDAP avec la même convention de nommage que les instances CIFS/SMB.

  • Lorsqu'un compte de machine SMB est créé, les partages admin masqués par défaut (voir la section "« Partages masqués par défaut »") Sont également créés (c$, admin$, ipc$), mais ces partages n'ont pas de listes de contrôle d'accès attribuées et sont inaccessibles.

  • Les objets de compte machine sont placés par défaut dans CN=Computers, mais un vous pouvez spécifier une autre UO si nécessaire. Voir la section «Autorisations nécessaires pour créer des comptes de machine SMB” Pour plus d'informations sur les droits d'accès nécessaires pour ajouter/supprimer des objets de compte machine pour Cloud Volumes Service.

Lorsque Cloud Volumes Service ajoute le compte de machine SMB à Active Directory, les champs suivants sont renseignés :

  • cn (avec le nom de serveur SMB spécifié)

  • DnsHostName (avec SMBserver.domain.com)

  • MSDS-SupportedEncryptionTypes (autorise LES_CBC_MD5, RC4_HMAC_MD5 si le chiffrement AES n'est pas activé ; si le chiffrement AES est activé, DES_CBC_MD5, RC4_HMAC_MD5, AES128_HMAC_SHA1_96, AES256_CTS_HMAC_SHA1 est autorisé pour l'échange avec le compte SMB_96)

  • Nom (avec le nom du serveur SMB)

  • SAMAccountName (avec SMBserver$)

  • ServicePrincipalName (avec hôte/smbserver.domain.com et SPN hôte/smbserver pour Kerberos)

Si vous souhaitez désactiver les types de cryptage Kerberos les plus faibles (type d'enc) sur le compte de la machine, vous pouvez modifier la valeur MSDS-SupportedEncryptionTypes sur le compte de la machine à l'une des valeurs du tableau suivant pour n'autoriser que AES.

MSDS-SupportedEncryptionTypes valeur Type d'encan activé

2

DES_CBC_MD5

4

RC4_HMAC

8

AES128_CTS_HMAC_SHA1_96 UNIQUEMENT

16

AES256_CTS_HMAC_SHA1_96 UNIQUEMENT

24

AES128_CTS_HMAC_SHA1_96 ET AES256_CTS_HMAC_SHA1_96

30

DES_CBC_MD5, RC4_HMAC, AES128_CTS_HMAC_SHA1_96 ET AES256_CTS_HMAC_SHA1_96

Pour activer le cryptage AES pour les comptes de machine SMB, cliquez sur Activer le cryptage AES pour l'authentification AD lors de la création de la connexion Active Directory.

Pour activer le chiffrement AES pour NFS Kerberos, "Consultez la documentation Cloud Volumes Service".