تكوين المصادقة والاعتماد لمستخدمي Active Directory
قم بإعداد Oracle Cloud Infrastructure Identity and Access Management، وتكوين مصادقة Active Directory (AD) واعتماده، وتكوين تصدير NFS، وإعداد أذونات Unix.
إعداد سياسات Oracle Cloud Infrastructure Identity and Access Management
قم بتكوين مجموعة ديناميكية في Oracle Cloud Infrastructure (OCI) Identity and Access Management وأضف السياسات للسماح لأهداف التوصيل بالوصول إلى LDAP وأسرار Kerberos. وهذا مطلوب لتكوينات Kerberos وLDAP.
تكوين تصديق Active Directory باستخدام Kerberos
بعد تكوين Oracle Cloud Infrastructure Identity and Access Management، ستقوم بتكوين Active Directory. يتضمن تكوين Kerberos خطوتين: ربط هدف التوصيل بـ Active Directory الخاص بـ Microsoft، ثم تحديث إعدادات هدف التوصيل بتكوين Kerberos.
انضم إلى هدف التثبيت في Active Directory
استكمل هذه المهمة عندما يكون التصديق مطلوبًا لمستخدمي Active Directory. هذه عملية يدوية يتم تنفيذها خارج خدمة Oracle Cloud Infrastructure File Storage. يتضمن ضم هدف التوصيل إلى Active Directory من Microsoft إضافة حساب كمبيوتر إلى Active Directory، وإعداد الشفرة الصحيحة، واستخراج علامة التبويب الرئيسية، وإضافة هدف التوصيل إلى DNS.
تكوين هدف التثبيت لـ Kerberos
إنشاء كلمة سر لعلامة تبويب المفاتيح. المحتوى السري هو علامة تبويب المفاتيح المرمزة base64 التي قمت بنسخها عند الانضمام إلى هدف التوصيل باستخدام Active Directory.
فيما يلي الخطوات الأساسية اللازمة لتكوين هدف التوصيل لـ Kerberos:
- انضم إلى هدف التوصيل في Active Directory (الخطوة السابقة).
- تكوين أسرار مخزن علامات تبويب المفاتيح.
- تكوين Kerberos على هدف التوصيل.
تصدير توصيل NFS باستخدام Kerberos
يدعم Kerberos NFS آليات الأمان الثلاث التالية.
- krb5: Kerberos للتصديق فقط.
- krb5i: مصادقة واستخدام متاعب التشفير مع كل معاملة لضمان التكامل. لا يزال من الممكن اعتراض حركة المرور وفحصها، ولكن لا يمكن إجراء تعديلات على حركة المرور.
- krb5p: مصادقة وتشفير كل حركة المرور بين العميل والخادم. لا يمكن فحص حركة المرور ولا يمكن تعديلها.
C:\Users\fss-user-1>mount -o sec=krb5 fss-mt-ad-1.fss-ad.com:/krb-fs-1 T:
T: is now successfully connected to fss-mt-ad-1.fss-ad.com:/krb-fs-1
The command completed successfully.
sys
وkrb5
وkrb5i
وkrb5p
) أثناء التوصيل، فسيقوم Windows باختيار نوع الأمان الفائق المعين على التصدير. استخدم الأمر mount
للتحقق من نكهة Windows المحددة عند توصيل محرك الأقراص.
C:\Users\fss-user-1>mount
Local Remote Properties
-------------------------------------------------------------------------------
T: \\fss-mt-ad-1.fss-ad.com\krb-fs-1 UID=0, GID=0
rsize=1048576, wsize=1048576
mount=soft, timeout=0.8
retry=1, locking=yes
fileaccess=755, lang=ANSI
casesensitive=no
sec=krb5
C:\Users\fss-user-1>whoami
fss-ad\fss-user-1
يمكنك الآن الوصول إلى محرك الأقراص من Windows Explorer. لاحظ أنه يتم إجراء تعيينات محرك الأقراص لكل مستخدم، ويجب على كل مستخدم يصل إلى مشاركة تخزين ملفات OCI تخطيط المشاركة إلى حرف محرك الأقراص المعني.
تكوين اعتماد Active Directory لـ LDAP
أكمل هذه المهمة عندما يكون اعتماد LDAP مطلوبًا لمستخدمي Active Directory. قم بجمع المعلومات المطلوبة من Active Directory، وقم بتعيين سمات RFC2307 لكل المستخدمين والمجموعات التي تصل إلى تخزين الملفات، ثم قم بتكوين LDAP على هدف التوصيل.
فيما يلي الخطوات الأساسية اللازمة لتكوين اعتماد Active Directory لـ LDAP:
- احصل على تفاصيل إعدادات LDAP من Active Directory.
- تكوين سر مستخدم ربط LDAP.
- قم بإنشاء موصل خارجي.
- تكوين LDAP على هدف التوصيل.
ملاحظة:
لا يمكن لهدف التوصيل استخدام شهادة LDAP موقعة ذاتيًا.إذن Unix في Windows
يمكن الوصول إلى Oracle Cloud Infrastructure File Storage باستخدام بروتوكول NFSv3. يتم تنفيذ الاعتماد باستخدام أذون Unix.
ldp.exe
للاستعلام عن سمات RFC2307 الخاصة بالمستخدم والمجموعة للاطلاع على عضويات uid وgid وgroup. يتم التحقق من أذون Unix استنادًا إلى المعرف الفريد (Uid) والمعرف الفريد (gid) وعضويات المجموعة المخزنة في LDAP.Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixAccount)(uid=fss-user-1))
Attributes: uidNumber;gidNumber
استخدم Windows Explorer لمعرفة المالك والمجموعة المالكة للملف أو المجلد، والأذون المعينة للملف أو المجلد. يمكنك الوصول إلى سمات NFS (سمات Unix) من خصائص الملفات أو المجلدات.
fss-user-1
هي 500، فإن تخزين ملفات OCI سيعتبر كل المجموعات التي يكون المستخدم عضوًا فيها للتحقق من الإذن. استخدم الاستعلام التالي للعثور على عضوية المجموعة لمستخدم fss-user-1
.
Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixGroup)(memberUid=fss-user-1))' gidNumber
Attributes: gidNumber
تكوين أذونات المجلد الأولي
عند التنفيذ، ضع في اعتبارك أذون المجلد.
الدليل الأولي OCI File Storage مملوك لـ uid 0 و755 (rwx للأذونات الجذر وr-x للأصل وr-x للآخرين). الوصول الجذري مطلوب لإنشاء مجلدات إضافية للمستخدمين أو لتغيير الأذونات. وهي مهمة مسئول لتكوين وإعداد الأذون الأولية التي تفي بالمتطلبات.
يمكنك استخدام إحدى الطرق التالية للحصول على وصول المسؤول إلى نظام الملفات:
- جميع المستخدمين هم مجرد مستخدمين عاديين ما لم يتم تعيينهم إلى uidNumber ولا يتم إقصاء الجذر. قم بتخطيط مستخدم مسئول إلى uidNumber 0 في سمات LDAP الخاصة بالمستخدم.
- قم بتصدير نظام الملفات باستخدام مصادقة
SYS
إلى محطة عمل Linux آمنة. استخدم مستخدمroot
لتكوين الأذون وإدارتها.