Tutorial – Implantar o AD (Active Directory) Connector no modo de keytab gerenciado pelo cliente

Este artigo explica como implantar o AD (Active Directory) Connector no modo de keytab gerenciado pelo cliente. O conector é um componente fundamental para habilitar a autenticação do Active Directory na Instância Gerenciada de SQL habilitada pelo Azure Arc.

Active Directory Connector no modo de keytab gerenciado pelo cliente

No modo de keytab gerenciado pelo cliente, um Active Directory Connector implanta um serviço de proxy de DNS que faz proxy das solicitações DNS provenientes da Instância Gerenciada para um dos dois serviços DNS upstream:

• Servidores DNS do Active Directory
• Servidores DNS do Kubernetes

O AD Connector facilita o ambiente que o SQL exige para autenticar logons do AD.

O seguinte diagrama mostra o AD Connector e a funcionalidade do serviço de proxy de DNS no modo de keytab gerenciado pelo cliente:

Pré-requisitos

Antes de continuar, você deve ter:

• Uma instância do controlador de dados implantada em uma versão compatível do Kubernetes
• Um domínio do Azure AD (Active Directory)

Entrada para a implantação do AD (Active Directory) Connector

Para implantar uma instância do conector do Active Directory, várias entradas são necessárias do ambiente de domínio do Active Directory.

Essas entradas são fornecidas em uma especificação YAML da instância do AD Connector.

Os metadados a seguir sobre o domínio do AD devem estar disponíveis antes da implantação de uma instância do AD Connector:

• Nome do domínio do Active Directory
• Lista de controladores de domínio (nomes de domínio totalmente qualificados)
• Lista de endereços IP de servidores DNS

Os seguintes campos de entrada são expostos aos usuários na especificação do Active Directory Connector:

• Obrigatório

  • spec.activeDirectory.realm Nome do domínio do Active Directory em maiúsculas. Este é o domínio do AD ao qual esta instância do AD Connector será associada.

  • spec.activeDirectory.dns.nameserverIpAddresses Lista de endereços IP do servidor DNS do Active Directory. O serviço proxy DNS encaminhará as consultas DNS no nome de domínio fornecido para esses servidores.

• Opcional

  • spec.activeDirectory.netbiosDomainName Nome NetBIOS do domínio do Active Directory. Esse é o nome de domínio abreviado (nome anterior ao Windows 2000) do domínio do Active Directory. Isso geralmente é usado para qualificar contas no domínio do AD. Por exemplo, se as contas no domínio forem referidas como CONTOSO\admin, CONTOSO será o nome de domínio NETBIOS.

    Esse campo é opcional. Quando não fornecido, o valor usa como padrão o primeiro rótulo do campo spec.activeDirectory.realm.

    Na maioria dos ambientes de domínio, isso é definido como o valor padrão, mas pode ter um valor não padrão em alguns ambientes de domínio. Você precisará usar esse campo somente quando o nome NetBIOS do domínio não corresponder ao primeiro rótulo do nome totalmente qualificado.

  • spec.activeDirectory.dns.domainName Nome de domínio DNS para o qual as pesquisas DNS devem ser encaminhadas para os servidores DNS do Active Directory.

    Uma pesquisa de DNS para qualquer nome que pertença a este domínio ou aos respectivos domínios descendentes será encaminhada para o Active Directory.

    Esse campo é opcional. Quando não fornecido, ele assume como padrão o valor fornecido para spec.activeDirectory.realm convertido em minúsculas.

  • spec.activeDirectory.dns.replicas Contagem de réplicas para o serviço proxy DNS. Esse campo é opcional e o padrão é 1 quando não fornecido.

  • spec.activeDirectory.dns.preferK8sDnsForPtrLookups Sinalizador indicando se deve-se preferir a resposta do servidor DNS do Kubernetes em vez da resposta do servidor DNS do AD para pesquisas de endereço IP.

    O serviço de proxy DNS depende desse campo para determinar qual grupo upstream de servidores DNS preferir para pesquisas de endereço IP.

    Esse campo é opcional. Quando não fornecido, usará true como padrão, ou seja, as pesquisas de DNS de endereços IP serão encaminhadas primeiro aos servidores DNS do Kubernetes. Se os servidores DNS do Kubernetes falharem em responder à pesquisa, a consulta será encaminhada aos servidores DNS do AD. Quando definido como false, essas pesquisas de DNS serão encaminhadas primeiro para servidores DNS do AD e, em caso de falha, retornarão ao Kubernetes.

Implantar um AD (Active Directory) Connector de keytab gerenciado pelo cliente

Para implantar um conector do AD, crie um arquivo de especificação .yaml chamado active-directory-connector.yaml.

O exemplo a seguir mostra um AD Connector de keytab gerenciado pelo cliente que usa o domínio de nome CONTOSO.LOCAL do AD. Certifique-se de substituir os valores por aqueles que estão para o seu domínio do AD.

apiVersion: arcdata.microsoft.com/v1beta1
kind: ActiveDirectoryConnector
metadata:
  name: adarc
  namespace: <namespace>
spec:
  activeDirectory:
    realm: CONTOSO.LOCAL
  dns:
    preferK8sDnsForPtrLookups: false
    nameserverIPAddresses:
      - <DNS Server 1 IP address>
      - <DNS Server 2 IP address>

O comando a seguir implanta a instância do AD Connector. Atualmente, há suporte apenas para a abordagem nativa do Kube de implantação.

kubectl apply –f active-directory-connector.yaml

Depois de enviar a implantação da instância do AD Connector, você pode verificar o status da implantação usando o comando a seguir.

kubectl get adc -n <namespace>

Conteúdo relacionado

• Implantar um AD (Active Directory) Connector de keytab gerenciado pelo sistema
• Implantar uma Instância Gerenciada de SQL com a autenticação do Active Directory.
• Conecte-se à Instância Gerenciada de SQL integrada ao AD habilitada pelo Azure Arc.