人工智慧
其他NAS基礎架構服務相依性(Kdc、LDAP和DNS)
建議變更
PDF
使用Cloud Volumes Service 適用於NAS共享的功能時、可能需要外部相依性才能正常運作。在特定情況下、這些相依關係仍在發揮。下表顯示各種組態選項、以及必要的相依性(如果有)。
| 組態 | 所需相依性 |
|---|---|
僅限NFSv3 |
無 |
僅NFSv3 Kerberos |
Windows Active Directory:* kdc * DNS * LDAP |
僅限NFSv4.1 |
用戶端ID對應組態(/etc/idmap.conf) |
僅NFSv4.1 Kerberos |
|
僅限SMB |
Active Directory:* kdc * dns |
多重傳輸協定NAS(NFS和SMB) |
|
機器帳戶物件的Kerberos Keytab旋轉/密碼重設
利用SMB機器帳戶Cloud Volumes Service 、此資訊可排定SMB機器帳戶的定期密碼重設。這些密碼會使用Kerberos加密進行重設、並在晚上11點到凌晨1點之間的隨機時間、於每四個星期日的排程中運作。這些密碼重設會變更Kerberos金鑰版本、旋轉Cloud Volumes Service 儲存在支援系統上的金鑰索引標籤、並協助維護執行Cloud Volumes Service 於支援更新版本的SMB伺服器的安全性。機器帳戶密碼是隨機配置的、系統管理員不知道。
對於NFS Kerberos機器帳戶、密碼重設只會在建立新的金鑰索引標籤並與Kdc交換時進行。目前Cloud Volumes Service 無法在不執行此動作的情況下進行。
用於LDAP和Kerberos的網路連接埠
使用LDAP和Kerberos時、您應該判斷這些服務所使用的網路連接埠。您可以在中找到Cloud Volumes Service 一份完整的清單、其中列出了供列舉使用的連接埠 "安全考量的相關文件Cloud Volumes Service"。
LDAP
充當LDAP用戶端、並使用標準LDAP搜尋查詢來查詢UNIX身分識別的使用者和群組。Cloud Volumes Service如果您想要使用Cloud Volumes Service 超出由供應之標準預設使用者的使用者和群組、則必須使用LDAP。如果您打算搭配使用者主體使用NFS Kerberos(例如user1@domain.com)、也必須使用LDAP。目前僅支援使用Microsoft Active Directory的LDAP。
若要將Active Directory當作UNIX LDAP伺服器使用、您必須在要用於UNIX身分識別的使用者和群組上填入必要的UNIX屬性。使用預設的LDAP架構範本來查詢屬性Cloud Volumes Service "RFC-2307-bis"。因此、下表顯示使用者和群組所需的最低Active Directory屬性、以及每個屬性的用途。
如需在Active Directory中設定LDAP屬性的詳細資訊、請參閱 "管理雙傳輸協定存取。"
| 屬性 | 它的作用 |
|---|---|
UID* |
指定UNIX使用者名稱 |
uidNumber* |
指定UNIX使用者的數字ID |
gidNumber* |
指定UNIX使用者的主要群組數字ID |
objectClass * |
指定要使用的物件類型;Cloud Volumes Service 物件類別清單中必須包含「使用者」(預設會包含在大部分的Active Directory部署中)。 |
名稱 |
帳戶的一般資訊(真實姓名、電話號碼等、也稱為gecos) |
unixUserPassword |
無需設定、不適用於NAS驗證的UNIX身分識別查詢。設定此選項會將設定的unixUserPassword值設為純文字。 |
unixHomeDirectory |
當使用者從Linux用戶端驗證LDAP時、定義UNIX主目錄的路徑。如果您要使用LDAP來執行UNIX主目錄功能、請設定此選項。 |
LoginShell |
當使用者根據LDAP驗證時、定義Linux用戶端的Basash/profile Shell路徑。 |
*表示屬性是使用Cloud Volumes Service 功能不正確的必要條件。其餘屬性僅供用戶端使用。
| 屬性 | 它的作用 |
|---|---|
CN* |
指定UNIX群組名稱。使用Active Directory for LDAP時、會在第一次建立物件時設定此選項、但稍後可加以變更。此名稱不得與其他物件相同。例如、如果您的UNIX使用者user1屬於Linux用戶端上名為user1的群組、則Windows不允許兩個具有相同CN屬性的物件。若要解決此問題、請將Windows使用者重新命名為唯一名稱(例如user-UNIX);Cloud Volumes Service LDAP in Wesc使用UNIX使用者名稱的uid屬性。 |
gidNumber* |
指定UNIX群組的數字ID。 |
objectClass * |
指定要使用的物件類型;Cloud Volumes Service 使用物件類別清單時、需要將群組包含在物件類別清單中(此屬性預設會包含在大部分的Active Directory部署中)。 |
memberUid |
指定哪些UNIX使用者是UNIX群組的成員。在Active Directory LDAP Cloud Volumes Service 的不實情況下、此欄位是不必要的。「支援組成員資格」功能使用「成員」欄位Cloud Volumes Service 。 |
成員* |
群組成員資格/次要UNIX群組所需。此欄位是透過新增Windows使用者至Windows群組來填入。但是,如果Windows群組未填入UNIX屬性,則不會包含在UNIX使用者的群組成員資格清單中。任何需要在NFS中使用的群組、都必須填入此表格中所列的必要UNIX群組屬性。 |
*表示屬性是使用Cloud Volumes Service 功能不正確的必要條件。其餘屬性僅供用戶端使用。
LDAP連結資訊
若要查詢LDAP中的使用者、Cloud Volumes Service 必須將(登入)連結至LDAP服務。此登入具有唯讀權限、可用於查詢LDAP UNIX屬性以進行目錄查詢。目前只能使用SMB機器帳戶來進行LDAP連結。
您只能針對「CVS效能」執行個體啟用LDAP、並將其用於NFSv3、NFSv4.1或雙傳輸協定磁碟區。Active Directory連線必須與Cloud Volumes Service 支援LDAP的Volume在相同的地區建立、才能成功部署。
啟用LDAP時、會在特定情況下發生下列情況。
-
如果Cloud Volumes Service 僅將NFSv3或NFSv4.1用於該項目、則會在Active Directory網域控制器中建立新的機器帳戶、Cloud Volumes Service 而在其中的LDAP用戶端則會使用機器帳戶認證來繫結至Active Directory。不會為NFS磁碟區和預設的隱藏管理共用建立SMB共用區(請參閱一節) "「預設隱藏共用」")刪除共享ACL。
-
如果Cloud Volumes Service 將雙傳輸協定磁碟區用於執行此項目、則Cloud Volumes Service 只會使用專為SMB存取所建立的單一機器帳戶、將位於的LDAP用戶端連結至Active Directory。不會建立其他機器帳戶。
-
如果專屬SMB磁碟區是分開建立(在啟用LDAP的NFS磁碟區之前或之後)、則LDAP繫結的機器帳戶會與SMB機器帳戶共用。
-
如果也啟用NFS Kerberos、則會建立兩個機器帳戶:一個用於SMB共用和(或)LDAP繫結、另一個用於NFS Kerberos驗證。
LDAP查詢
雖然LDAP繫結已加密、但LDAP查詢會使用通用LDAP連接埠389、以純文字形式透過線路傳送。這個廣為人知的連接埠目前無法在Cloud Volumes Service 更新過程中進行變更。因此、在網路中存取封包偵測功能的人可以看到使用者和群組名稱、數字ID和群組成員資格。
不過、Google Cloud VM無法窺探其他VM的單點傳播流量。只有主動參與LDAP流量(亦即能夠連結)的VM、才能看到來自LDAP伺服器的流量。如需Cloud Volumes Service 更多有關資料包偵測功能的資訊、請參閱一節 "「封包偵測/追蹤考量。」"
LDAP用戶端組態預設值
在Cloud Volumes Service 某個實例中啟用LDAP時、預設會以特定組態詳細資料建立LDAP用戶端組態。在某些情況下、選項可能不適用於Cloud Volumes Service 不支援的功能(不支援)、也可能無法設定。
| LDAP用戶端選項 | 它的作用 | 預設值 | 可以改變嗎? |
|---|---|---|---|
LDAP伺服器清單 |
設定用於查詢的LDAP伺服器名稱或IP位址。這並不適用於Cloud Volumes Service 不適用。而是使用Active Directory網域來定義LDAP伺服器。 |
未設定 |
否 |
Active Directory網域 |
設定Active Directory網域用於LDAP查詢。利用DNS中的SRVs LDAP記錄、在網域中尋找LDAP伺服器。Cloud Volumes Service |
設定為Active Directory連線中指定的Active Directory網域。 |
否 |
慣用的Active Directory伺服器 |
設定要用於LDAP的慣用Active Directory伺服器。不受Cloud Volumes Service 支援。而是使用Active Directory站台來控制LDAP伺服器選擇。 |
未設定。 |
否 |
使用SMB伺服器認證進行連結 |
使用SMB機器帳戶連結至LDAP。目前Cloud Volumes Service 、唯一受支援的LDAP綁定方法就是支援的功能。 |
是的 |
否 |
架構範本 |
用於LDAP查詢的架構範本。 |
MS-AD-BIS |
否 |
LDAP伺服器連接埠 |
用於LDAP查詢的連接埠號碼。目前僅使用標準LDAP連接埠389。Cloud Volumes Service目前不支援LDAPS/Port 636。 |
389 |
否 |
是否已啟用LDAPS |
控制LDAP over Secure Socket Layer(SSL)是否用於查詢和連結。目前不受Cloud Volumes Service 支援。 |
錯 |
否 |
查詢逾時(秒) |
查詢逾時。如果查詢的時間超過指定值、查詢就會失敗。 |
3. |
否 |
最小綁定驗證層級 |
支援的最低連結層級。由於使用機器帳戶進行LDAP連結、且Active Directory預設不支援匿名連結、因此此選項不適用於安全性。Cloud Volumes Service |
匿名 |
否 |
連結DN |
使用簡單繫結時用於繫結的使用者/辨別名稱(DN)。使用機器帳戶進行LDAP連結、目前不支援簡單的連結驗證。Cloud Volumes Service |
未設定 |
否 |
基礎DN |
用於LDAP搜尋的基礎DN。 |
Windows網域用於Active Directory連線、採用DN格式(亦即DC=DOWN, DC=local)。 |
否 |
基礎搜尋範圍 |
基礎DN搜尋的搜尋範圍。值可以包括base、onel海拔 或子樹狀結構。僅支援子樹狀結構搜尋。Cloud Volumes Service |
子樹狀結構 |
否 |
使用者DN |
定義使用者開始搜尋LDAP查詢的DN。目前不支援Cloud Volumes Service 使用此功能、因此所有使用者搜尋都從基礎DN開始。 |
未設定 |
否 |
使用者搜尋範圍 |
使用者DN搜尋的搜尋範圍。值可以包括base、onel海拔 或子樹狀結構。不支援設定使用者搜尋範圍。Cloud Volumes Service |
子樹狀結構 |
否 |
群組DN |
定義群組開始搜尋LDAP查詢的DN。目前不支援Cloud Volumes Service 使用此功能、因此所有群組搜尋都會從基礎DN開始。 |
未設定 |
否 |
群組搜尋範圍 |
群組DN搜尋的搜尋範圍。值可以包括base、onel海拔 或子樹狀結構。不支援設定群組搜尋範圍。Cloud Volumes Service |
子樹狀結構 |
否 |
網路群組DN |
定義netgroup開始搜尋LDAP查詢的DN。目前不支援Cloud Volumes Service 使用此功能、因此所有網路群組搜尋都會從基礎DN開始。 |
未設定 |
否 |
網路群組搜尋範圍 |
netgroup DN搜尋的搜尋範圍。值可以包括base、onel海拔 或子樹狀結構。不支援設定netgroup搜尋範圍。Cloud Volumes Service |
子樹狀結構 |
否 |
透過LDAP使用start_tls |
利用Start TLS透過連接埠389進行憑證型LDAP連線。目前不受Cloud Volumes Service 支援。 |
錯 |
否 |
啟用各主機的網路群組查詢 |
可依主機名稱進行網路群組查詢、而非展開網路群組以列出所有成員。目前不受Cloud Volumes Service 支援。 |
錯 |
否 |
網路群組的主機DN |
定義netgroup by host開始搜尋LDAP查詢的DN。不支援Cloud Volumes Service 以主機為單位的netgroup。 |
未設定 |
否 |
Netgroup依主機搜尋範圍 |
netgroup by主機DN搜尋的搜尋範圍。值可以包括base、onel海拔 或子樹狀結構。不支援Cloud Volumes Service 以主機為單位的netgroup。 |
子樹狀結構 |
否 |
用戶端工作階段安全性 |
定義LDAP使用的工作階段安全性層級(簽署、認證或無)。如果Active Directory要求、則CVS效能可支援LDAP簽署。CVS軟體不支援LDAP簽署。目前不支援這兩種服務類型的密封。 |
無 |
否 |
LDAP參照追蹤 |
使用多個LDAP伺服器時、如果第一個伺服器中找不到項目、參照追蹤功能可讓用戶端參照清單中的其他LDAP伺服器。目前不支援此功能Cloud Volumes Service 。 |
錯 |
否 |
群組成員資格篩選器 |
提供自訂LDAP搜尋篩選器、以便在從LDAP伺服器查詢群組成員資格時使用。目前不支援Cloud Volumes Service 使用此功能。 |
未設定 |
否 |
使用LDAP進行非對稱名稱對應
根據預設、不需特殊組態、即可雙向對應具有相同使用者名稱的Windows使用者和UNIX使用者。Cloud Volumes Service只要Cloud Volumes Service 找到有效的UNIX使用者(使用LDAP)、就會產生1:1名稱對應。例如、如果使用Windows使用者「johnsmith」、Cloud Volumes Service 那麼如果在LDAP中找到名為「johnsmith」的UNIX使用者、則名稱對應會為該使用者成功、所有由「johnsmith」建立的檔案/資料夾都會顯示正確的使用者擁有權、 而影響「johnsmith」的所有ACL、無論使用的是哪種NAS傳輸協定、都是受到尊重的。這稱為對稱名稱對應。
非對稱名稱對應是指Windows使用者和UNIX使用者身分不相符的情況。舉例Cloud Volumes Service 來說、如果Windows使用者「johnsmith」的UNIX身分為「jsmith」、那麼就需要一種方式來瞭解這種差異。由於目前不支援建立靜態名稱對應規則、因此LDAP必須用於查詢Windows和UNIX身分識別的使用者身分、以確保檔案和資料夾擁有適當的所有權、以及預期的權限。Cloud Volumes Service
根據預設Cloud Volumes Service 、在名稱對應資料庫的n-switches中加入「LDAP」、以便使用LDAP提供非對稱名稱的名稱對應功能、您只需修改部分使用者/群組屬性、以反映Cloud Volumes Service 出本產品的外觀。
下表顯示在LDAP中必須填入哪些屬性才能使用非對稱名稱對應功能。在大多數情況下、Active Directory已設定為執行此作業。
| 屬性Cloud Volumes Service | 它的作用 | 供名稱對應之用的值Cloud Volumes Service |
|---|---|---|
Windows到UNIX的objectClass |
指定要使用的物件類型。(也就是使用者、群組、posixAccount等) |
必須包含使用者(如有需要、可包含多個其他值)。 |
Windows至UNIX屬性 |
定義建立時的Windows使用者名稱。可將此功能用於Windows到UNIX的查詢。Cloud Volumes Service |
此處無需變更;sAMAccountName與Windows登入名稱相同。 |
UID |
定義UNIX使用者名稱。 |
所需的UNIX使用者名稱。 |
由於目前無法在LDAP查詢中使用網域前置碼、因此多個網域LDAP環境無法在LDAP namemap查詢中正常運作。Cloud Volumes Service
以下範例顯示Windows名稱為「不對稱」、UNIX名稱為「UNIX使用者」的使用者、以及從SMB和NFS寫入檔案時所遵循的行為。
下圖顯示LDAP屬性從Windows伺服器的外觀。
從NFS用戶端、您可以查詢UNIX名稱、但不能查詢Windows名稱:
# id unix-user uid=1207(unix-user) gid=1220(sharedgroup) groups=1220(sharedgroup) # id asymmetric id: asymmetric: no such user
從NFS將檔案寫入為「UNIX使用者」時、NFS用戶端會產生下列結果:
sh-4.2$ pwd /mnt/home/ntfssh-4.2$ touch unix-user-file sh-4.2$ ls -la | grep unix-user -rwx------ 1 unix-user sharedgroup 0 Feb 28 12:37 unix-user-nfs sh-4.2$ id uid=1207(unix-user) gid=1220(sharedgroup) groups=1220(sharedgroup)
從Windows用戶端、您可以看到檔案擁有者已設定為適當的Windows使用者:
PS C:\ > Get-Acl \\demo\home\ntfs\unix-user-nfs | select Owner Owner ----- NTAP\asymmetric
相反地、Windows使用者從SMB用戶端建立的「非對稱」檔案、會顯示適當的UNIX擁有者、如下文所示。
中小企業:
PS Z:\ntfs> echo TEXT > asymmetric-user-smb.txt
NFS:
sh-4.2$ ls -la | grep asymmetric-user-smb.txt -rwx------ 1 unix-user sharedgroup 14 Feb 28 12:43 asymmetric-user-smb.txt sh-4.2$ cat asymmetric-user-smb.txt TEXT
LDAP通道繫結
由於Windows Active Directory網域控制器存在弱點、 "Microsoft安全性摘要報告ADV190023" 變更DC允許LDAP繫結的方式。
對功能的影響Cloud Volumes Service 與對任何LDAP用戶端的影響相同。目前不支援通道連結。Cloud Volumes Service由於根據預設、透過協商來支援LDAP簽署、因此LDAP通道繫結不應成為問題。Cloud Volumes Service如果您在啟用通道繫結的情況下、無法連結至LDAP、請遵循ADV190023的修正步驟、讓LDAP從Cloud Volumes Service 支援區連結成功。
DNS
Active Directory和Kerberos都依賴DNS來解析主機名稱與IP / IP之間的主機名稱。DNS需要開啟連接埠53。不修改DNS記錄、也不支援使用Cloud Volumes Service "動態DNS" 在網路介面上。
您可以設定Active Directory DNS、限制哪些伺服器可以更新DNS記錄。如需詳細資訊、請參閱 "安全的Windows DNS"。
請注意、Google專案中的資源預設為使用Google Cloud DNS、而Google Cloud DNS並未與Active Directory DNS連線。使用Cloud DNS的用戶端無法解析Cloud Volumes Service 由解決所傳回的UNC路徑。加入Active Directory網域的Windows用戶端已設定為使用Active Directory DNS、並可解析此類的UNC路徑。
若要將用戶端加入Active Directory、您必須將其DNS組態設定為使用Active Directory DNS。您也可以設定Cloud DNS、將要求轉送至Active Directory DNS。請參閱 "為什麼我的用戶端無法解析SMB NetBios名稱?"以取得更多資訊。
|
目前不支援DNSSEC、DNS查詢則以純文字執行。Cloud Volumes Service |
檔案存取稽核
目前不支援Cloud Volumes Service 使用此功能。
防毒保護
您必須在Cloud Volumes Service 用戶端執行「從位向至NAS共享區的」功能中的防毒掃描。目前沒有原生的防毒整合Cloud Volumes Service 功能可搭配使用。