Tutorial – Implantar o conector do Ative Directory (AD) no modo keytab gerenciado pelo cliente

Este artigo explica como implantar o conector do Ative Directory (AD) no modo keytab gerenciado pelo cliente. O conector é um componente fundamental para habilitar a autenticação do Ative Directory na Instância Gerenciada SQL habilitada pelo Azure Arc.

Conector do Ative Directory no modo keytab gerenciado pelo cliente

No modo keytab gerenciado pelo cliente, um conector do Ative Directory implanta um serviço de proxy DNS que faz o proxy das solicitações DNS provenientes da instância gerenciada para qualquer um dos dois serviços DNS upstream:

• Servidores DNS do Ative Directory
• Servidores DNS Kubernetes

O AD Connector facilita o ambiente necessário para o SQL autenticar logons do AD.

O diagrama a seguir mostra a funcionalidade do AD Connector e do serviço DNS Proxy no modo keytab gerenciado pelo cliente:

Pré-requisitos

Antes de prosseguir, você deve ter:

• Uma instância do Controlador de Dados implantada em uma versão suportada do Kubernetes
• Um domínio do Ative Directory (AD)

Entrada para implantar o Conector do Ative Directory (AD)

Para implantar uma instância do conector do Ative Directory, várias entradas são necessárias do ambiente de domínio do Ative Directory.

Essas entradas são fornecidas em uma especificação YAML da instância do AD Connector.

Os seguintes metadados sobre o domínio do AD devem estar disponíveis antes de implantar uma instância do AD Connector:

• Nome do domínio do Ative Directory
• Lista dos controladores de domínio (nomes de domínio totalmente qualificados)
• Lista de endereços IP do servidor DNS

Os seguintes campos de entrada são expostos aos usuários na especificação do conector do Ative Directory:

• Obrigatório

  • spec.activeDirectory.realm Nome do domínio do Ative Directory em maiúsculas. Este é o domínio do AD ao qual esta instância do AD Connector será associada.

  • spec.activeDirectory.dns.nameserverIpAddresses Lista de endereços IP do servidor DNS do Ative Directory. O serviço de proxy DNS encaminhará consultas DNS no nome de domínio fornecido para esses servidores.

• Opcional

  • spec.activeDirectory.netbiosDomainName Nome NetBIOS do domínio Ative Directory. Este é o nome de domínio curto (nome anterior ao Windows 2000) do seu domínio do Ative Directory. Isso geralmente é usado para qualificar contas no domínio do AD. Por exemplo, se as contas no domínio são referidas como CONTOSO\admin, então CONTOSO é o nome de domínio NETBIOS.

    Este campo é opcional. Quando não fornecido, seu valor assume como padrão o primeiro rótulo do spec.activeDirectory.realm campo.

    Na maioria dos ambientes de domínio, isso é definido como o valor padrão, mas alguns ambientes de domínio podem ter um valor não padrão. Você precisará usar este campo somente quando o nome NetBIOS do seu domínio não corresponder ao primeiro rótulo de seu nome totalmente qualificado.

  • spec.activeDirectory.dns.domainName Nome de domínio DNS para o qual as pesquisas de DNS devem ser encaminhadas para os servidores DNS do Ative Directory.

    Uma pesquisa de DNS para qualquer nome pertencente a este domínio ou seus domínios descendentes será encaminhada para o Ative Directory.

    Este campo é opcional. Quando não fornecido, o padrão é o valor fornecido para spec.activeDirectory.realm convertido em minúsculas.

  • spec.activeDirectory.dns.replicas Contagem de réplicas para o serviço de proxy DNS. Este campo é opcional e assume como padrão 1 quando não é fornecido.

  • spec.activeDirectory.dns.preferK8sDnsForPtrLookups Sinalizador que indica se a resposta do servidor DNS do Kubernetes deve ser preferida à resposta do servidor DNS do AD para pesquisas de endereços IP.

    O serviço de proxy DNS depende deste campo para determinar qual grupo upstream de servidores DNS preferir para pesquisas de endereços IP.

    Este campo é opcional. Quando não fornecido, o padrão é true ou seja, as pesquisas de DNS de endereços IP serão primeiro encaminhadas para os servidores DNS do Kubernetes. Se os servidores DNS do Kubernetes não responderem à pesquisa, a consulta será encaminhada para os servidores DNS do AD. Quando definido como false, essas pesquisas de DNS serão encaminhadas para os servidores DNS do AD primeiro e, em caso de falha, retornarão ao Kubernetes.

Implantar um conector do Ative Directory (AD) keytab gerenciado pelo cliente

Para implantar um conector AD, crie um arquivo de especificação .yaml chamado active-directory-connector.yaml.

O exemplo a seguir é um exemplo de um conector AD keytab gerenciado pelo cliente usa um domínio de nome CONTOSO.LOCALdo AD. Certifique-se de substituir os valores pelos do seu domínio do AD.

apiVersion: arcdata.microsoft.com/v1beta1
kind: ActiveDirectoryConnector
metadata:
  name: adarc
  namespace: <namespace>
spec:
  activeDirectory:
    realm: CONTOSO.LOCAL
  dns:
    preferK8sDnsForPtrLookups: false
    nameserverIPAddresses:
      - <DNS Server 1 IP address>
      - <DNS Server 2 IP address>

O comando a seguir implanta a instância do conector do AD. Atualmente, apenas a abordagem kube-native de implantação é suportada.

kubectl apply –f active-directory-connector.yaml

Depois de enviar a implantação da instância do AD Connector, você pode verificar o status da implantação usando o seguinte comando.

kubectl get adc -n <namespace>

Conteúdos relacionados

• Implantar um conector do Ative Directory (AD) keytab gerenciado pelo sistema
• Implante a Instância Gerenciada SQL com a Autenticação do Ative Directory.
• Conecte-se à Instância Gerenciada SQL integrada ao AD habilitada pelo Azure Arc.