Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Active Directory接続の作成に関する考慮事項

共同作成者
PDF

Google Cloud NetApp Volumesを使用すると、Google Cloud NetApp Volumesインスタンスを外部のActive Directoryサーバに接続して、SMBユーザとUNIXユーザの両方のIDを管理できます。Google Cloud NetApp VolumeでSMBを使用するには、Active Directory接続を作成する必要があります。

この構成には、セキュリティについて考慮する必要があるいくつかのオプションがあります。外部Active Directoryサーバは、オンプレミスインスタンスでもクラウドネイティブでもかまいません。オンプレミスのActive Directoryサーバを使用している場合は、ドメインを外部ネットワーク(DMZや外部IPアドレスなど)に公開しないでください。代わりに、を使用して、セキュアなプライベートトンネルまたはVPN、一方向フォレストトラスト、またはオンプレミスネットワークへの専用ネットワーク接続を使用します "プライベート Google アクセス"。詳細については、Google Cloudのドキュメントを参照してください "Google CloudでActive Directoryを使用する際のベストプラクティス"

メモ NetApp Volumes-SWでは、Active Directoryサーバが同じリージョンに配置されている必要があります。NetApp Volumes-SWで別のリージョンへのDC接続を試行すると、接続は失敗します。NetApp Volumes-SWを使用する場合は、Active Directory DCを含むActive Directoryサイトを作成してから、Google Cloud NetApp Volumeでサイトを指定して、リージョン間でのDC接続の試行を回避してください。

Active Directoryのクレデンシャル

SMBまたはLDAP for NFSが有効な場合、Google Cloud NetApp VolumeはActive Directoryコントローラと通信して、認証に使用するマシンアカウントオブジェクトを作成します。これは、Windows SMBクライアントがドメインに参加する方法とまったく異なり、Active Directoryの組織単位(OU)への同じアクセス権を必要とします。

多くの場合、セキュリティグループでは、Google Cloud NetApp Volumeなどの外部サーバでのWindows管理者アカウントの使用が許可されていません。場合によっては、セキュリティのベストプラクティスとして、Windows Administratorユーザが完全に無効になっていることもあります。

SMBマシンアカウントの作成に必要な権限

Google Cloud NetApp VolumesのマシンオブジェクトをActive Directoryに追加するには、ドメインに対する管理者権限を持つアカウント、または指定したOUに対する権限を持つアカウントが "マシンアカウントオブジェクトを作成および変更する権限を委譲しました"必要です。Active Directoryの制御の委任ウィザードでこれを行うには、次のアクセス権限を持つコンピュータオブジェクトの作成/削除へのユーザーアクセスを提供するカスタムタスクを作成します。

  • 読み取り / 書き込み

  • すべての子オブジェクトを作成/削除します

  • すべてのプロパティの読み取り/書き込み

  • パスワードの変更/リセット

これにより、定義済みのユーザのセキュリティACLがActive DirectoryのOUに自動的に追加され、Active Directory環境へのアクセスが最小限に抑えられます。ユーザを委任した後、そのユーザ名とパスワードをActive Directoryクレデンシャルとしてこのウィンドウに入力できます。

メモ Active Directoryドメインに渡されるユーザ名とパスワードは、マシンアカウントオブジェクトのクエリおよび作成時にKerberos暗号化を利用してセキュリティを強化します。

Active Directory接続の詳細

"Active Directory接続の詳細" 管理者がマシンアカウントの配置に関する特定のActive Directoryスキーマ情報を指定するためのフィールドを指定します。次に例を示します。

  • * Active Directory接続タイプ*サービスタイプがGoogle Cloud NetApp VolumeまたはNetApp Volumes-Performanceのボリュームに対して、リージョン内のActive Directory接続を使用するかどうかを指定します。既存の接続で正しく設定しないと、使用または編集時に正しく機能しないことがあります。

  • ドメイン。 Active Directoryドメイン名。

  • *サイト。*セキュリティとパフォーマンスを確保するために、Active Directoryサーバを特定のサイトに制限します "考慮事項"。これは、複数のActive Directoryサーバがリージョンにまたがっている場合に必要です。これは、Google Cloud NetApp NetApp Volumesインスタンスとは異なるリージョンにあるActive DirectoryサーバへのActive Directory認証要求の許可が現在サポートされていないためです。(たとえば、Active Directoryドメインコントローラが、NetApp Volumes-Performanceでのみサポートされるリージョンにあり、NetApp Volumes-SWインスタンスにはSMB共有が必要です)。

  • * DNSサーバ。*名前検索で使用するDNSサーバ。

  • * NetBIOS名(オプション)。*必要に応じて、サーバのNetBIOS名を指定します。これは、Active Directory接続を使用して新しいマシンアカウントを作成するときに使用されます。たとえば、NetBIOS名がNetApp Volumes-Eastに設定されている場合、マシンアカウント名はNetApp Volumes-East-{1234}になります。詳細については、を参照してください"Google Cloud NetApp VolumeがActive Directoryに表示される仕組み"

  • *組織単位(OU)。*コンピュータアカウントを作成するための特定のOU。この機能は、マシンアカウントの制御を特定のOUに委任する場合に便利です。

  • * AES暗号化。*[Enable AES Encryption for AD Authentication]チェックボックスをオンまたはオフにすることもできます。Active Directory認証のAES暗号化を有効にすると、Google Cloud NetApp VolumeからActive Directoryへのユーザおよびグループの検索時の通信のセキュリティが強化されます。このオプションを有効にする前に、ドメイン管理者に問い合わせて、Active DirectoryドメインコントローラがAES認証をサポートしていることを確認してください。

メモ デフォルトでは、ほとんどのWindowsサーバは弱い暗号(DESやRC4-HMACなど)を無効にしませんが、弱い暗号を無効にする場合は、Google Cloud NetApp VolumesのActive Directory接続がAESを有効にするように設定されていることを確認してください。そうしないと、認証エラーが発生します。AES暗号化を有効にしても弱い暗号は無効になるのではなく、Google Cloud NetApp Volumes SMBマシンアカウントでAES暗号のサポートが追加されます。

Kerberos Realmの詳細

このオプションはSMBサーバには適用されません。Google Cloud NetApp Volumesシステムに対してNFS Kerberosを設定する場合に使用されます。これらの詳細を入力すると、NFS Kerberos Realmが設定され(Linuxのkrb5.confファイルと同様)、Google Cloud NetApp Volumeボリューム作成時にNFS Kerberosが指定された場合に使用されます。これは、Active Directory接続がNFS Kerberosキー配布センター(KDC)として機能するためです。

メモ Windows以外のKDCをGoogle Cloud NetApp Volumeで使用することは現在サポートされていません。

地域

リージョンを使用すると、Active Directory接続が存在する場所を指定できます。このリージョンは、Google Cloud NetApp Volumeボリュームと同じリージョンである必要があります。

  • *このセクションでは、LDAPを使用するローカルNFSユーザを許可するオプションもあります。*このセクションでは、LDAPを使用するローカルNFSユーザを許可するオプションもあります。NFS(拡張グループ)の16グループの制限を超えてUNIXユーザグループメンバーシップのサポートを拡張する場合は、このオプションを選択しないでください。ただし、拡張グループを使用するには、UNIX ID用のLDAPサーバを設定する必要があります。LDAPサーバがない場合は、このオプションを選択しないでください。LDAPサーバがあり、ローカルUNIXユーザ(rootなど)も使用する場合は、このオプションを選択します。

バックアップユーザ

このオプションを使用すると、Google Cloud NetAppボリュームへのバックアップ権限を持つWindowsユーザを指定できます。一部のアプリケーションでNASボリュームのデータを正しくバックアップおよびリストアするには、バックアップ権限(SeBackupPrivilege)が必要です。このユーザにはボリューム内のデータへのアクセスレベルが高いため、を考慮する必要があります。 "そのユーザアクセスの監査を有効にします"有効にすると、Event Viewer > Windows Logs > Securityに監査イベントが表示されます。

入力/出力ダイアログを示す図、または書き込まれた内容を表す図

セキュリティ権限ユーザ

このオプションを使用すると、Google Cloud NetApp Volumeボリュームに対するセキュリティ変更権限を持つWindowsユーザを指定できます。("たとえば、SQL Serverなどです"インストール時に権限を適切に設定するには、一部のアプリケーションでSecurity Privileges(SeSecurityPrivilege)が必要です。この権限は、セキュリティログを管理するために必要です。この権限はSeBackupPrivilegeほど強力ではありませんが、NetAppでは必要に応じてこの権限レベルを使用することを推奨しています "ユーザのユーザアクセスを監査する"

詳細については、を参照してください "新しいログオンに割り当てられた特別な権限"

Google Cloud NetApp VolumeがActive Directoryに表示される仕組み

Google Cloud NetApp Volumeは、Active Directoryに通常のマシンアカウントオブジェクトとして表示されます。命名規則は次のとおりです。

  • CIFS/SMBおよびNFS Kerberosでは、個別のマシンアカウントオブジェクトが作成されます。

  • NFSでLDAPが有効になっている場合、Kerberos LDAPバインド用にActive Directoryにマシンアカウントが作成されます。

  • LDAPを使用したデュアルプロトコルボリュームでは、LDAPとSMBのCIFS / SMBマシンアカウントが共有されます。

  • CIFS / SMBマシンアカウントでは、マシンアカウントの名前付け規則として、name-1234(ランダムな4桁のIDに10文字未満の名前をハイフンで付加)を使用します。Active Directory接続では、NetBIOS名の設定で名前を定義できます(「」を参照)Active Directory接続の詳細」)をクリックします。

  • NFS Kerberosでは、命名規則としてnfs-name-1234を使用します(最大15文字)。15文字を超える文字が使用されている場合、名前はnfs-truncated-name-1234になります。

  • NFSのみのNetAppボリューム- LDAPが有効なパフォーマンスインスタンスでは、CIFS / SMBインスタンスと同じ命名規則で、LDAPサーバにバインドするためのSMBマシンアカウントが作成されます。

  • SMBマシンアカウントを作成すると、デフォルトの非表示の管理共有が表示されます(を参照) "「デフォルトの非表示共有」")も作成されます(c$、admin$、ipc$)が、ACLが割り当てられておらず、アクセスできない共有です。

  • マシンアカウントオブジェクトはデフォルトではCN=Computersに配置されますが、必要に応じて別のOUを指定できます。Google Cloud NetApp Volumeのマシンアカウントオブジェクトを追加/削除するために必要なアクセス権については、を参照してSMBマシンアカウントの作成に必要な権限ください。

Google Cloud NetApp VolumesがSMBマシンアカウントをActive Directoryに追加すると、次のフィールドが入力されます。

  • CN(指定したSMBサーバ名を使用)

  • dNSHostName(SMBserver.domain.comを使用)

  • msDs-SupportedEncryptionTypes(AES暗号化が有効でない場合は、DES-CBC_MD5、RC4_HMAC_MD5を許可します。AES暗号化が有効の場合は、DES-CBC_MD5、RC4_HMAC_MD5、AES128_CTS_HMAC_SHA1、AES256_CTC_HMAC_SHA1 96を許可します)

  • 名前(SMBサーバ名を使用)

  • sAMAccountName(SMBserver$を使用)

  • servicePrincipalName(Kerberosのホスト/ smbserver.domain.comおよびホスト/ smbserver SPNを使用)

マシンアカウントで弱いKerberos暗号化タイプ(enctype)を無効にする場合は、マシンアカウントのmsDS-SupportedEncryptionTypes値を次の表のいずれかの値に変更してAESのみを許可することができます。

msDs-SupportedEncryptionTypesの値 暗号化タイプが有効です

2.

des_cbc_md5

4.

RC4_HMAC

8.

AES128_CTS_HMAC_SHA1 96のみ

16

AES256_CTS_HMAC_SHA1_96のみ

24

AES128_CTS_HMAC_SHA1_96およびAES256_CTS_HMAC_SHA1_96です

30

DES_CBC_MD5、RC4_HMAC、AES128_CTS_HMAC_SHA1 96およびAES256_CTS_HMAC_SHA1 96

SMBマシンアカウントのAES暗号化を有効にするには、Active Directory接続の作成時にAD認証のAES暗号化を有効にするをクリックします。

NFS KerberosのAES暗号化を有効にするには、を参照してください "Google Cloud NetApp Volumeのドキュメントを参照"