Skip to main content
NetApp Solutions
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Considerazioni per la creazione di connessioni Active Directory

Collaboratori
PDF

Google Cloud NetApp Volumes ti consente di connettere l'istanza di Google Cloud NetApp Volumes a un server Active Directory esterno per la gestione delle identità degli utenti SMB e UNIX. Per utilizzare SMB in Google Cloud NetApp Volumes è necessaria la creazione di una connessione Active Directory.

La configurazione fornisce diverse opzioni che richiedono una certa considerazione per la sicurezza. Il server Active Directory esterno può essere un'istanza on-premise o nativo del cloud. Se si utilizza un server Active Directory on-premise, non esporre il dominio alla rete esterna (ad esempio con un DMZ o un indirizzo IP esterno). Utilizzare, invece, tunnel privati o VPN sicuri, trust di foresta unirway o connessioni di rete dedicate alle reti on-premise con "Accesso privato a Google". Per ulteriori informazioni su, consultare la documentazione di Google Cloud "Best practice per l'utilizzo di Active Directory in Google Cloud".

Nota NetApp Volumes-SW richiede che i server Active Directory si trovino nella stessa area geografica. Se si tenta una connessione DC in NetApp Volumes-SW verso un'altra regione, il tentativo non riesce. Quando si utilizza NetApp Volumes-SW, assicurarsi di creare siti di Active Directory che includono i DC di Active Directory, quindi specificare i siti in Google Cloud NetApp Volumes per evitare i tentativi di connessione DC tra aree.

Credenziali di Active Directory

Quando SMB o LDAP per NFS è abilitato, Google Cloud NetApp Volumes interagisce con i controller di Active Directory per creare un oggetto di account macchina da utilizzare per l'autenticazione. Questo non è diverso dal modo in cui un client SMB di Windows si unisce a un dominio e richiede gli stessi diritti di accesso alle unità organizzative (OU) in Active Directory.

In molti casi, i gruppi di sicurezza non consentono l'utilizzo di un account amministratore Windows su server esterni come Google Cloud NetApp Volumes. In alcuni casi, l'utente amministratore di Windows viene disattivato completamente come procedura consigliata per la protezione.

Autorizzazioni necessarie per creare account di macchine SMB

Per aggiungere oggetti macchina Google Cloud NetApp Volumes a un Active Directory, è necessario un account che disponga di diritti amministrativi per il dominio o che disponga di "autorizzazioni delegate per creare e modificare oggetti account macchina" un'unità organizzativa specifica. È possibile eseguire questa operazione con la delega guidata del controllo in Active Directory creando un'attività personalizzata che fornisce all'utente l'accesso alla creazione/eliminazione di oggetti computer con le seguenti autorizzazioni di accesso:

  • Lettura/scrittura

  • Crea/Elimina tutti gli oggetti figlio

  • Lettura/scrittura di tutte le proprietà

  • Modificare/reimpostare la password

Questa operazione consente di aggiungere automaticamente un ACL di sicurezza per l'utente definito all'unità organizzativa in Active Directory e di ridurre al minimo l'accesso all'ambiente Active Directory. Dopo la delega di un utente, il nome utente e la password possono essere forniti come credenziali Active Directory in questa finestra.

Nota Il nome utente e la password passati al dominio Active Directory sfruttano la crittografia Kerberos durante la query e la creazione dell'oggetto account del computer per una maggiore sicurezza.

Dettagli della connessione ad Active Directory

Il "Dettagli connessione Active Directory" Fornire agli amministratori campi per fornire informazioni specifiche sullo schema di Active Directory per il posizionamento degli account del computer, ad esempio:

  • Tipo di connessione ad Active Directory. Utilizzato per specificare se la connessione Active Directory in un'area viene utilizzata per i volumi di Google Cloud NetApp Volumes o di tipo di servizio NetApp Volumes-Performance. Se questa impostazione non è corretta su una connessione esistente, potrebbe non funzionare correttamente quando viene utilizzata o modificata.

  • Domain. il nome di dominio di Active Directory.

  • Sito. Limita i server Active Directory a un sito specifico per la protezione e le prestazioni "considerazioni". Ciò è necessario quando più server Active Directory includono aree, perché al momento Google Cloud NetApp Volumes non supporta la concessione delle richieste di autenticazione di Active Directory ai server Active Directory in un'area diversa rispetto all'istanza dei volumi di Google Cloud NetApp. Ad esempio, il controller di dominio Active Directory si trova in un'area supportata solo da NetApp Volumes-Performance ma in un'istanza NetApp Volumes-SW occorre una condivisione SMB.

  • Server DNS. server DNS da utilizzare nelle ricerche dei nomi.

  • Nome NetBIOS (opzionale). Se lo si desidera, il nome NetBIOS per il server. Questa opzione viene utilizzata quando vengono creati nuovi account computer utilizzando la connessione Active Directory. Ad esempio, se il nome NetBIOS è impostato su NetApp Volumes-EAST, i nomi degli account del computer saranno NetApp Volumes-EAST-{1234}. Per ulteriori informazioni, vedere la sezione "Come viene mostrato Google Cloud NetApp Volumes in Active Directory".

  • Unità organizzativa (OU). unità organizzativa specifica per la creazione dell'account del computer. Ciò è utile se si sta delegando il controllo a un utente per gli account di computer a una specifica unità organizzativa.

  • Crittografia AES. È inoltre possibile selezionare o deselezionare la casella di controllo Enable AES Encryption for ad Authentication (Abilita crittografia AES per autenticazione ad). L'attivazione della crittografia AES per l'autenticazione Active Directory fornisce una maggiore sicurezza per Google Cloud NetApp Volumes alle comunicazioni di Active Directory durante le ricerche di utenti e gruppi. Prima di attivare questa opzione, rivolgersi all'amministratore di dominio per verificare che i controller di dominio Active Directory supportino l'autenticazione AES.

Nota Per impostazione predefinita, la maggior parte dei server Windows non disattiva le crittografie più deboli (come DES o RC4-HMAC), ma se si sceglie di disattivare le crittografie più deboli, verificare che la connessione di Google Cloud NetApp Volumes Active Directory sia stata configurata per attivare AES. In caso contrario, si verificano errori di autenticazione. L'attivazione della crittografia AES non disattiva i cifrari più deboli, ma aggiunge il supporto per i cifrari AES all'account del computer SMB di Google Cloud NetApp Volumes.

Dettagli area di autenticazione Kerberos

Questa opzione non si applica ai server SMB. Ma viene utilizzato quando si configura Kerberos NFS per il sistema Google Cloud NetApp Volumes. Una volta popolati questi dettagli, l'area di autenticazione Kerberos NFS viene configurata (in modo simile a un file krb5.conf in Linux) e viene utilizzata quando viene specificato Kerberos NFS nella creazione del volume dei volumi di Google Cloud NetApp, poiché la connessione Active Directory agisce come Centro di distribuzione Kerberos NFS (KDC).

Nota I KDC non di Windows sono attualmente non supportati per l'utilizzo con Google Cloud NetApp Volumes.

Regione

Una regione consente di specificare la posizione in cui risiede la connessione Active Directory. Questa regione deve trovarsi nella stessa area del volume Google Cloud NetApp Volumes.

  • Local NFS Users with LDAP. in questa sezione è disponibile anche un'opzione per consentire agli utenti NFS locali con LDAP. Questa opzione deve essere lasciata deselezionata se si desidera estendere il supporto dell'appartenenza al gruppo di utenti UNIX oltre la limitazione di 16 gruppi di NFS (gruppi estesi). Tuttavia, l'utilizzo di gruppi estesi richiede un server LDAP configurato per le identità UNIX. Se non si dispone di un server LDAP, lasciare deselezionata questa opzione. Se si dispone di un server LDAP e si desidera utilizzare anche utenti UNIX locali (ad esempio root), selezionare questa opzione.

Utenti di backup

Questa opzione consente di specificare gli utenti Windows che dispongono di autorizzazioni di backup nel volume Google Cloud NetApp Volumes. I privilegi di backup (SeBackupPrivilege) sono necessari per consentire ad alcune applicazioni di eseguire correttamente il backup e il ripristino dei dati nei volumi NAS. Questo utente dispone di un alto livello di accesso ai dati nel volume, pertanto è consigliabile prendere in considerazione "abilitazione del controllo dell'accesso dell'utente". Una volta attivato, gli eventi di controllo vengono visualizzati nel Visualizzatore eventi > Log di Windows > protezione.

Figura che mostra la finestra di dialogo input/output o rappresenta il contenuto scritto

Utenti con privilegi di sicurezza

Questa opzione consente di specificare gli utenti Windows che dispongono di autorizzazioni di modifica della sicurezza per il volume Google Cloud NetApp Volumes. Security Privileges (SeSecurityPrivilege) è necessario ("Ad esempio SQL Server"per alcune applicazioni ) per impostare correttamente le autorizzazioni durante l'installazione. Questo privilegio è necessario per gestire il registro di protezione. Sebbene questo privilegio non sia così potente come SeBackupPrivilege, NetApp consiglia di utilizzare questo livello di privilegi, "controllo dell'accesso degli utenti" se necessario.

Per ulteriori informazioni, vedere "Privilegi speciali assegnati al nuovo accesso".

Come viene mostrato Google Cloud NetApp Volumes in Active Directory

I volumi Google Cloud NetApp vengono visualizzati in Active Directory come un normale oggetto di account macchina. Le convenzioni di denominazione sono le seguenti.

  • CIFS/SMB e NFS Kerberos creano oggetti account macchina separati.

  • NFS con LDAP attivato crea un account macchina in Active Directory per i binding LDAP Kerberos.

  • I volumi a doppio protocollo con LDAP condividono l'account CIFS/SMB per LDAP e SMB.

  • Gli account CIFS/SMB utilizzano una convenzione di naming name-1234 (ID casuale a quattro cifre con trattino aggiunto al nome <10 caratteri) per l'account del computer. È possibile definire IL NOME in base all'impostazione NetBIOS name (Nome NetBIOS) sulla connessione Active Directory (vedere la sezione "Dettagli della connessione ad Active Directory").

  • NFS Kerberos utilizza NFS-NAME-1234 come convenzione di naming (fino a 15 caratteri). Se vengono utilizzati più di 15 caratteri, il nome è NFS-TRONCED-NAME-1234.

  • Le istanze NetApp Volumes-Performance solo NFS con LDAP abilitato creano un account di macchina SMB per il binding al server LDAP con la stessa convenzione di denominazione delle istanze CIFS/SMB.

  • Quando viene creato un account SMB Machine, le condivisioni amministrative nascoste predefinite (vedere la sezione ""Condivisioni nascoste predefinite""), ma tali condivisioni non hanno ACL assegnati e non sono accessibili.

  • Per impostazione predefinita, gli oggetti del centro di costo del computer vengono posizionati in CN=Computers, ma R è possibile specificare un'unità organizzativa diversa quando necessario. Consulta la sezione " "Autorizzazioni necessarie per creare account di macchine SMB per informazioni sui diritti di accesso necessari per aggiungere/rimuovere oggetti di account macchina per Google Cloud NetApp Volumes.

Quando Google Cloud NetApp Volumes aggiunge l'account del computer SMB ad Active Directory, vengono compilati i seguenti campi:

  • cn (con il nome del server SMB specificato)

  • DNSHostName (con SMBserver.domain.com)

  • MSDS-SupportedEncryptionTypes (supporta DES_CBC_MD5, RC4_HMAC_MD5 se la crittografia AES non è attivata; se la crittografia AES è attivata, DES_CBC_MD5, RC4_HMAC_MD5, AES128_CTS_HMAC_SHA1_96, AES256_CTS_HMAC_SHA1_96 sono consentiti per lo scambio di account con il ticket SMB)

  • Nome (con il nome del server SMB)

  • SAMAccountName (con SMBserver)

  • ServicePrincipalName (con host/smbserver.domain.com e host/smbserver SPN per Kerberos)

Se si desidera disattivare i tipi di crittografia Kerberos più deboli (enctype) sull'account del computer, è possibile modificare il valore MSDS-SupportedEncryptionTypes sull'account del computer scegliendo uno dei valori nella tabella seguente per consentire solo AES.

Valore MSDS-SupportedEncryptionTypes Entype attivato

2

DES_CBC_MD5

4

RC4_HMAC

8

SOLO AES128_CTS_HMAC_SHA1_96

16

SOLO AES256_CTS_HMAC_SHA1_96

24

AES128_CTS_HMAC_SHA1_96 E AES256_CTS_HMAC_SHA1_96

30

DES_CBC_MD5, RC4_HMAC, AES128_CTS_HMAC_SHA1_96 E AES256_CTS_HMAC_SHA1_96

Per attivare la crittografia AES per gli account dei computer SMB, fare clic su Enable AES Encryption for ad Authentication (attiva crittografia AES per l'autenticazione ad) quando si crea la connessione Active Directory.

Per attivare la crittografia AES per NFS Kerberos, "Consulta la documentazione di Google Cloud NetApp Volumes".