Skip to main content
NetApp public and hybrid cloud solutions
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Considerazioni sulla creazione di connessioni Active Directory

Collaboratori kevin-hoke
PDF

Google Cloud NetApp Volumes offre la possibilità di connettere la tua istanza di Google Cloud NetApp Volumes a un server Active Directory esterno per la gestione delle identità sia per gli utenti SMB che UNIX. Per utilizzare SMB in Google Cloud NetApp Volumes è necessario creare una connessione Active Directory.

La configurazione prevede diverse opzioni che richiedono una certa considerazione per motivi di sicurezza. Il server Active Directory esterno può essere un'istanza locale o nativa del cloud. Se si utilizza un server Active Directory locale, non esporre il dominio alla rete esterna (ad esempio con una DMZ o un indirizzo IP esterno). Utilizzare invece tunnel privati sicuri o VPN, trust forestali unidirezionali o connessioni di rete dedicate alle reti locali con "Accesso privato a Google" . Per ulteriori informazioni su "best practice per l'utilizzo di Active Directory in Google Cloud" .

Nota NetApp Volumes-SW richiede che i server Active Directory si trovino nella stessa regione. Se si tenta una connessione DC in NetApp Volumes-SW a un'altra regione, il tentativo fallisce. Quando si utilizza NetApp Volumes-SW, assicurarsi di creare siti Active Directory che includano i DC di Active Directory e quindi specificare i siti in Google Cloud NetApp Volumes per evitare tentativi di connessione DC tra regioni.

Credenziali di Active Directory

Quando SMB o LDAP per NFS sono abilitati, Google Cloud NetApp Volumes interagisce con i controller di Active Directory per creare un oggetto account macchina da utilizzare per l'autenticazione. Non c'è differenza rispetto al modo in cui un client SMB di Windows si unisce a un dominio e richiede gli stessi diritti di accesso alle unità organizzative (OU) in Active Directory.

In molti casi, i gruppi di sicurezza non consentono l'uso di un account amministratore Windows su server esterni come Google Cloud NetApp Volumes. In alcuni casi, come buona pratica di sicurezza, l'utente amministratore di Windows viene completamente disabilitato.

Autorizzazioni necessarie per creare account macchina SMB

Per aggiungere oggetti macchina Google Cloud NetApp Volumes a un Active Directory, è necessario un account che abbia diritti amministrativi sul dominio o che abbia "autorizzazioni delegate per creare e modificare oggetti account macchina" è richiesto a una OU specificata. È possibile farlo con la procedura guidata Delega del controllo in Active Directory creando un'attività personalizzata che fornisca all'utente l'accesso alla creazione/eliminazione di oggetti computer con le seguenti autorizzazioni di accesso:

  • Lettura/scrittura

  • Crea/Elimina tutti gli oggetti figlio

  • Leggi/scrivi tutte le proprietà

  • Cambia/Reimposta password

In questo modo si aggiunge automaticamente un ACL di sicurezza per l'utente definito all'OU in Active Directory e si riduce al minimo l'accesso all'ambiente Active Directory. Dopo che un utente è stato delegato, è possibile fornire il nome utente e la password come credenziali di Active Directory in questa finestra.

Nota Il nome utente e la password trasmessi al dominio Active Directory sfruttano la crittografia Kerberos durante la query e la creazione dell'oggetto account macchina per una maggiore sicurezza.

Dettagli della connessione Active Directory

IL "Dettagli di connessione ad Active Directory" fornire campi agli amministratori per fornire informazioni specifiche sullo schema di Active Directory per il posizionamento dell'account macchina, come i seguenti:

  • Tipo di connessione Active Directory. Utilizzato per specificare se la connessione Active Directory in una regione viene utilizzata per i volumi del tipo di servizio Google Cloud NetApp Volumes o NetApp Volumes-Performance. Se questa impostazione non è corretta su una connessione esistente, potrebbe non funzionare correttamente se utilizzata o modificata.

  • Dominio. Il nome di dominio di Active Directory.

  • Sito. Limita i server Active Directory a un sito specifico per motivi di sicurezza e prestazioni "considerazioni" . Questa operazione è necessaria quando più server Active Directory si estendono su più regioni, perché Google Cloud NetApp Volumes attualmente non supporta le richieste di autenticazione Active Directory ai server Active Directory in una regione diversa da quella dell'istanza di Google Cloud NetApp Volumes . (Ad esempio, il controller di dominio Active Directory si trova in una regione supportata solo da NetApp Volumes-Performance, ma si desidera una condivisione SMB in un'istanza NetApp Volumes-SW.)

  • Server DNS. Server DNS da utilizzare nelle ricerche dei nomi.

  • Nome NetBIOS (facoltativo). Se lo si desidera, il nome NetBIOS del server. Questo è ciò che viene utilizzato quando vengono creati nuovi account macchina utilizzando la connessione Active Directory. Ad esempio, se il nome NetBIOS è impostato su NetApp Volumes-EAST, i nomi degli account macchina saranno NetApp Volumes-EAST-{1234}. Vedi la sezione"Come Google Cloud NetApp Volumes viene visualizzato in Active Directory" per maggiori informazioni.

  • Unità organizzativa (UO). L'unità organizzativa specifica per creare l'account del computer. Questa funzionalità è utile se si delega il controllo a un utente per gli account macchina di una specifica OU.

  • Crittografia AES. È anche possibile selezionare o deselezionare la casella di controllo Abilita crittografia AES per autenticazione AD. L'abilitazione della crittografia AES per l'autenticazione di Active Directory garantisce una maggiore sicurezza per la comunicazione tra Google Cloud NetApp Volumes e Active Directory durante le ricerche di utenti e gruppi. Prima di abilitare questa opzione, verifica con l'amministratore del tuo dominio che i controller di dominio Active Directory supportino l'autenticazione AES.

Nota Per impostazione predefinita, la maggior parte dei server Windows non disabilita i cifrari più deboli (come DES o RC4-HMAC), ma se si sceglie di disabilitarli, verificare che la connessione di Google Cloud NetApp Volumes Active Directory sia stata configurata per abilitare AES. In caso contrario, si verificheranno errori di autenticazione. L'abilitazione della crittografia AES non disabilita i cifrari più deboli, ma aggiunge il supporto per i cifrari AES all'account macchina SMB Google Cloud NetApp Volumes .

Dettagli del dominio Kerberos

Questa opzione non si applica ai server SMB. Viene invece utilizzato durante la configurazione di NFS Kerberos per il sistema Google Cloud NetApp Volumes . Una volta inseriti questi dettagli, il dominio NFS Kerberos viene configurato (simile a un file krb5.conf su Linux) e viene utilizzato quando NFS Kerberos viene specificato durante la creazione del volume Google Cloud NetApp Volumes , poiché la connessione Active Directory funge da NFS Kerberos Distribution Center (KDC).

Nota Al momento, i KDC non Windows non sono supportati per l'utilizzo con Google Cloud NetApp Volumes.

Regione

Una regione consente di specificare la posizione in cui risiede la connessione Active Directory. Questa regione deve essere la stessa regione del volume Google Cloud NetApp Volumes .

  • Utenti NFS locali con LDAP. In questa sezione è presente anche un'opzione per consentire agli utenti NFS locali con LDAP. Questa opzione deve essere lasciata deselezionata se si desidera estendere il supporto di appartenenza al gruppo utenti UNIX oltre il limite di 16 gruppi di NFS (gruppi estesi). Tuttavia, l'utilizzo di gruppi estesi richiede un server LDAP configurato per le identità UNIX. Se non si dispone di un server LDAP, lasciare questa opzione deselezionata. Se si dispone di un server LDAP e si desidera utilizzare anche utenti UNIX locali (ad esempio root), selezionare questa opzione.

Utenti di backup

Questa opzione consente di specificare gli utenti Windows che dispongono delle autorizzazioni di backup per il volume Google Cloud NetApp Volumes . I privilegi di backup (SeBackupPrivilege) sono necessari per alcune applicazioni per eseguire correttamente il backup e il ripristino dei dati nei volumi NAS. Questo utente ha un livello elevato di accesso ai dati nel volume, quindi dovresti considerare "abilitando la verifica dell'accesso di quell'utente" . Dopo l'abilitazione, gli eventi di controllo vengono visualizzati in Visualizzatore eventi > Registri di Windows > Sicurezza.

Figura che mostra il dialogo di input/output o che rappresenta il contenuto scritto

Utenti con privilegi di sicurezza

Questa opzione consente di specificare gli utenti Windows che dispongono delle autorizzazioni di modifica della sicurezza per il volume Google Cloud NetApp Volumes . I privilegi di sicurezza (SeSecurityPrivilege) sono necessari per alcune applicazioni("come SQL Server" ) per impostare correttamente i permessi durante l'installazione. Questo privilegio è necessario per gestire il registro di sicurezza. Sebbene questo privilegio non sia potente quanto SeBackupPrivilege, NetApp consiglia "controllo dell'accesso degli utenti" con questo livello di privilegio, se necessario.

Per ulteriori informazioni, vedere "Privilegi speciali assegnati al nuovo accesso" .

Come Google Cloud NetApp Volumes viene visualizzato in Active Directory

Google Cloud NetApp Volumes viene visualizzato in Active Directory come un normale oggetto account macchina. Le convenzioni di denominazione sono le seguenti.

  • CIFS/SMB e NFS Kerberos creano oggetti account macchina separati.

  • NFS con LDAP abilitato crea un account macchina in Active Directory per i binding LDAP Kerberos.

  • I volumi a doppio protocollo con LDAP condividono l'account macchina CIFS/SMB per LDAP e SMB.

  • Gli account macchina CIFS/SMB utilizzano una convenzione di denominazione NAME-1234 (ID casuale di quattro cifre con un trattino aggiunto a un nome di <10 caratteri) per l'account macchina. È possibile definire NAME tramite l'impostazione del nome NetBIOS sulla connessione Active Directory (vedere la sezione "Dettagli della connessione Active Directory ").

  • NFS Kerberos utilizza NFS-NAME-1234 come convenzione di denominazione (fino a 15 caratteri). Se vengono utilizzati più di 15 caratteri, il nome è NFS-TRUNCATED-NAME-1234.

  • Le istanze NetApp Volumes-Performance solo NFS con LDAP abilitato creano un account macchina SMB per l'associazione al server LDAP con la stessa convenzione di denominazione delle istanze CIFS/SMB.

  • Quando viene creato un account macchina SMB, le condivisioni amministrative nascoste predefinite (vedere la sezione"Condivisioni nascoste predefinite" ) vengono create anche (c$, admin$, ipc$), ma a tali condivisioni non sono assegnati ACL e sono inaccessibili.

  • Per impostazione predefinita, gli oggetti account macchina vengono posizionati in CN=Computer, ma è possibile specificare un'unità organizzativa diversa quando necessario. Vedi la sezione "Autorizzazioni necessarie per creare account macchina SMB " per informazioni sui diritti di accesso necessari per aggiungere/rimuovere oggetti account macchina per Google Cloud NetApp Volumes.

Quando Google Cloud NetApp Volumes aggiunge l'account macchina SMB ad Active Directory, vengono compilati i seguenti campi:

  • cn (con il nome del server SMB specificato)

  • dNSHostName (con SMBserver.domain.com)

  • msDS-SupportedEncryptionTypes (consente DES_CBC_MD5, RC4_HMAC_MD5 se la crittografia AES non è abilitata; se la crittografia AES è abilitata, DES_CBC_MD5, RC4_HMAC_MD5, AES128_CTS_HMAC_SHA1_96, AES256_CTS_HMAC_SHA1_96 sono consentiti per lo scambio di ticket Kerberos con l'account macchina per SMB)

  • nome (con il nome del server SMB)

  • sAMAccountName (con SMBserver$)

  • servicePrincipalName (con host/smbserver.domain.com e host/smbserver SPN per Kerberos)

Se si desidera disabilitare i tipi di crittografia Kerberos più deboli (enctype) sull'account macchina, è possibile modificare il valore msDS-SupportedEncryptionTypes sull'account macchina impostando uno dei valori nella tabella seguente per consentire solo AES.

valore msDS-SupportedEncryptionTypes Enctype abilitato

2

DES_CBC_MD5

4

RC4_HMAC

8

Solo AES128_CTS_HMAC_SHA1_96

16

Solo AES256_CTS_HMAC_SHA1_96

24

AES128_CTS_HMAC_SHA1_96 e AES256_CTS_HMAC_SHA1_96

30

DES_CBC_MD5, RC4_HMAC, AES128_CTS_HMAC_SHA1_96 e AES256_CTS_HMAC_SHA1_96

Per abilitare la crittografia AES per gli account macchina SMB, fare clic su Abilita crittografia AES per autenticazione AD durante la creazione della connessione Active Directory.

Per abilitare la crittografia AES per NFS Kerberos, "consultare la documentazione Google Cloud NetApp Volumes" .