1. تكوين خدمة تخزين ملفات OCI لمستخدمي Windows Active Directory
  2. تكوين المصادقة والاعتماد لمستخدمي Active Directory

تكوين المصادقة والاعتماد لمستخدمي Active Directory

قم بإعداد Oracle Cloud Infrastructure Identity and Access Management، وتكوين مصادقة Active Directory (AD) واعتماده، وتكوين تصدير NFS، وإعداد أذونات Unix.

إعداد سياسات Oracle Cloud Infrastructure Identity and Access Management

قم بتكوين مجموعة ديناميكية في Oracle Cloud Infrastructure (OCI) Identity and Access Management وأضف السياسات للسماح لأهداف التوصيل بالوصول إلى LDAP وأسرار Kerberos. وهذا مطلوب لتكوينات Kerberos وLDAP.

  1. تسجيل الدخول إلى OCI.
  2. افتح قائمة التنقل وانقر على الهوية والأمان.
  3. انقر على المجموعات الديناميكية.
  4. انقر على تكوين مجموعة ديناميكية، ثم أدخل الاسم والوصف.
    يجب أن يكون الاسم فريدًا على مستوى كل المجموعات في الإيجار (المجموعات الديناميكية ومجموعات المستخدمين). لا يمكن تغيير الاسم لاحقًا. تجنب إدخال بيانات الصلاحية.
    يستخدم هذا المثال المجموعة ad-kerberos-mt-group لجميع أهداف التوصيل في قسم ad-kerberos.
  5. أدخل قواعد المطابقة لتحديد أعضاء المجموعة.
    على سبيل المثال؜، 
    ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_ocid>' }
  6. انقر تكوين.
  7. افتح قائمة التنقل وانقر على الهوية والأمان. ضمن الهوية، انقر على السياسات.
  8. انقر على تكوين نظام.
  9. أدخل اسمًا ووصفًا وقسمًا للنظام الجديد.
    يجب أن يكون الاسم فريدًا على مستوى كل السياسات في الإيجار الخاص بك. لا يمكن التغيير فيما بعد. تجنب إدخال بيانات الصلاحية.
  10. استخدم Policy Builder لإنشاء نظام للسماح بتركيب الوصول المستهدف إلى الأسرار في الحجرة.
    يستخدم هذا المثال المجموعة ad-kerberos-mt-group لجميع أهداف التوصيل في قسم ad-kerberos. 
    allow dynamic-group ad-kerberos-mt-group to read secret-family in compartment ad-kerberos
  11. انقر تكوين.

تكوين تصديق Active Directory باستخدام Kerberos

بعد تكوين Oracle Cloud Infrastructure Identity and Access Management، ستقوم بتكوين Active Directory. يتضمن تكوين Kerberos خطوتين: ربط هدف التوصيل بـ Active Directory الخاص بـ Microsoft، ثم تحديث إعدادات هدف التوصيل بتكوين Kerberos.

انضم إلى هدف التثبيت في Active Directory

استكمل هذه المهمة عندما يكون التصديق مطلوبًا لمستخدمي Active Directory. هذه عملية يدوية يتم تنفيذها خارج خدمة Oracle Cloud Infrastructure File Storage. يتضمن ضم هدف التوصيل إلى Active Directory من Microsoft إضافة حساب كمبيوتر إلى Active Directory، وإعداد الشفرة الصحيحة، واستخراج علامة التبويب الرئيسية، وإضافة هدف التوصيل إلى DNS.

  1. أنشئ حساب كمبيوتر لهدف التوصيل (MT) في Active Directory.
    يمكنك إنشاء الحساب من سطر الأوامر أو استخدام البرنامج الإضافي Active Directory Users and Computers لإنشاء حساب كمبيوتر جديد.
    Command-Line
    C:\Users\administrator>djoin /provision /domain fss-ad.com /machine fss-mt-ad-1 /savefile offlinedomainjoin.txt
    Provisioning the computer...
Successfully provisioned [fss-mt-ad-1] in the domain [fss-ad.com].
…
The operation completed successfully.
    Active Directory Users and Computers
    1. انتقل إلى الدليل Active Directory Users and Computers وقم بتوسيع fs-ad.com ثم حدد أجهزة الكمبيوتر.
    2. انقر على جديد، ثم انقر على الكمبيوتر.
    3. أضف fss-mt-ad-1.

      وبمجرد الانتهاء من ذلك، يظهر FSS-MT-AD-1 أسفل الشجرة Computers في الأداة الإضافية Active Directory Users and Computers.

  2. قم بتكوين علامة تبويب مفتاح باستخدام ktpass.exe.

    ملاحظة:

    يجب فتح مطالبة الأمر كمسئول لتشغيل ktpass.exe. وإلا، فسيفشل. AES256-SHA1 هو aes256-cts-hmac-sha1-96. 
    C:\>ktpass -princ nfs/fss-mt-ad-1.fss-ad.com@FSS-AD.COM -mapuser FSS-AD\fss-mt-ad-1 -crypto AES256-SHA1 +rndpass -ptype KRB5_NT_SRV_HST  -out fss-mt-ad-1.keytab
Targeting domain controller: ad-server.fss-ad.com
Successfully mapped nfs/fss-mt-ad-1.fss-ad.com to FSS-MT-AD-1$.
WARNING: Account FSS-MT-AD-1$ is not a user account (uacflags=0x1001).
WARNING: Resetting FSS-MT-AD-1$'s password may cause authentication problems if FSS-MT-AD-1$ is being used as a server.

Reset AD-FSS-MT-2$'s password [y/n]?  y
Password successfully set!
Key created.
Output keytab to fss-mt-ad-1.keytab:
Keytab version: 0x502
keysize 88 nfs/fss-mt-ad-1.fss-ad.com@FSS-AD.COM ptype 3 (KRB5_NT_SRV_HST) vno 2 etype 0x12 (AES256-SHA1) keylength 32
  3. قم بتحويل علامة تبويب المفاتيح إلى base64 لاستخدامها مع علامة تبويب المفاتيح عند تكوين Kerberos في هدف التوصيل.
    C:\>certutil.exe -encode fss-mt-ad-1.keytab keytab.txt
Input Length = 94
Output Length = 188
CertUtil: -encode command completed successfully.

C:\>notepad keytab.txt
    1. افتح ملف keytab.txt في مفكرة.
    2. قم بإزالة السطرين BEGIN وEND CERTIFICATE.
    3. انسخ نص base64 إلى سطر واحد طويل مستمر بدون مسافة في سطر واحد.
      ستحتاج إلى نص base64 عند تكوين أسرار هدف التوصيل لـ Kerberos لاحقًا.
  4. قم بتعديل سمة هدف التوصيل (MT) في Active Directory لاستخدام شيفرات أكثر أمانًا. حدد موقع حساب MT وقم بتغيير قيمة السمة msDS-SupportedEncryptionTypes إلى 24 لـ aes256-cts-hmac-sha1-96.
    يوفر Active Directory تذاكر ذات شفرة RC4 بشكل افتراضي. إذا كانت السمة msDS-SupportedEncryptionTypes غير موجودة، فقم بتكوين سمة وتعيين القيم.
  5. افتح مدير DNS وقم بتوسيع شجرة خادم DNS.
  6. أضف مناطق البحث المتقدم لهدف التوصيل. أدخل عنوان IP، ثم حدد تكوين سجل مؤشر مقترن (PTR)، ثم انقر على إضافة مضيف.

تكوين هدف التثبيت لـ Kerberos

إنشاء كلمة سر لعلامة تبويب المفاتيح. المحتوى السري هو علامة تبويب المفاتيح المرمزة base64 التي قمت بنسخها عند الانضمام إلى هدف التوصيل باستخدام Active Directory.

فيما يلي الخطوات الأساسية اللازمة لتكوين هدف التوصيل لـ Kerberos:

  • انضم إلى هدف التوصيل في Active Directory (الخطوة السابقة).
  • تكوين أسرار مخزن علامات تبويب المفاتيح.
  • تكوين Kerberos على هدف التوصيل.
  1. انتقل إلى وحدة تحكم Oracle Cloud Infrastructure OCI وافتح قائمة التنقل.
  2. انقر على الهوية والأمان، ثم انقر على المخزن.
  3. أسفل نطاق القائمة، حدد القسم الذي تريد تكوين كلمة سر فيه.
    يستخدم هذا المثال المقصورة ad-kerberos.
  4. ضمن الموارد، انقر على الأسرار ثم انقر على تكوين كلمة سر.
  5. أدخل المعلومات التالية في لوحة تكوين كلمة سر:
    تجنب إدخال أي معلومات سرية.
    1. الاسم: أدخل اسمًا لتحديد كلمة السر. على سبيل المثال، fss-mt-ad-1-keytab-secret.
    2. الوصف: أدخل وصفًا مختصرًا للسر للمساعدة في تحديده. على سبيل المثال، Keytab لـ fss-mt-ad-1.
    3. مفتاح التشفير: حدد مفتاح التشفير الرئيسي الذي تريد استخدامه لتشفير المحتويات السرية أثناء استيرادها إلى المخزن. على سبيل المثال، mount-target-secrets.
      يجب أن ينتمي المفتاح إلى نفس المخزن. يجب أن يكون المفتاح أيضًا مفتاحًا متناظرًا. لا يمكنك تشفير أسرار المخزن باستخدام مفاتيح غير متماثلة.
    4. قالب نوع السرية: Base64.
    5. المحتويات السرية: أدخل محتويات السر.
      هذا هو علامة تبويب المفاتيح المرمزة base64 التي قمت بحفظها سابقًا عند تحويل علامة تبويب المفاتيح إلى base64 كجزء من ربط هدف التوصيل بـ Active Directory.
  6. انقر على تكوين كلمة سر.
  7. انتقل إلى علامة تبويب NFS لهدف التوصيل.
    1. انقر على تخزين في قائمة الاستكشاف.
    2. ضمن File Storage، انقر على Mount Targets.
    3. في قسم نطاق القائمة، أسفل المقصورة، حدد قسمًا.
      على سبيل المثال، ad-kerberos.
    4. ابحث عن هدف التوصيل، ثم انقر على علامة التبويب NFS.
  8. انقر على إدارة بجوار Kerberos في علامة التبويب NFS.
  9. حدد كلمة سر وإصدار علامة تبويب المفاتيح، ثم انقر على تدقيق علامة تبويب المفاتيح، ثم اعرض النتائج واحفظها. حدد تمكين Kerberos.
    في هذا المثال، سر Keytab في مقصورة ad-kerberos هو fss-mt-ad-1-keytab-secret والإصدار السري لعلامة تبويب المفاتيح الحالية هو 1.

تصدير توصيل NFS باستخدام Kerberos

يدعم Kerberos NFS آليات الأمان الثلاث التالية.

  • krb5: Kerberos للتصديق فقط.
  • krb5i: مصادقة واستخدام متاعب التشفير مع كل معاملة لضمان التكامل. لا يزال من الممكن اعتراض حركة المرور وفحصها، ولكن لا يمكن إجراء تعديلات على حركة المرور.
  • krb5p: مصادقة وتشفير كل حركة المرور بين العميل والخادم. لا يمكن فحص حركة المرور ولا يمكن تعديلها. 
C:\Users\fss-user-1>mount -o sec=krb5 fss-mt-ad-1.fss-ad.com:/krb-fs-1 T:
T: is now successfully connected to fss-mt-ad-1.fss-ad.com:/krb-fs-1

The command completed successfully.
إذا لم يتم توفير نوع أمان (sys وkrb5 وkrb5i وkrb5p) أثناء التوصيل، فسيقوم Windows باختيار نوع الأمان الفائق المعين على التصدير. استخدم الأمر mount للتحقق من نكهة Windows المحددة عند توصيل محرك الأقراص. 
C:\Users\fss-user-1>mount

Local    Remote                                 Properties
-------------------------------------------------------------------------------
T:       \\fss-mt-ad-1.fss-ad.com\krb-fs-1      UID=0, GID=0
                                                rsize=1048576, wsize=1048576
                                                mount=soft, timeout=0.8
                                                retry=1, locking=yes
                                                fileaccess=755, lang=ANSI
                                                casesensitive=no
                                                sec=krb5


C:\Users\fss-user-1>whoami
fss-ad\fss-user-1

يمكنك الآن الوصول إلى محرك الأقراص من Windows Explorer. لاحظ أنه يتم إجراء تعيينات محرك الأقراص لكل مستخدم، ويجب على كل مستخدم يصل إلى مشاركة تخزين ملفات OCI تخطيط المشاركة إلى حرف محرك الأقراص المعني.

تكوين اعتماد Active Directory لـ LDAP

أكمل هذه المهمة عندما يكون اعتماد LDAP مطلوبًا لمستخدمي Active Directory. قم بجمع المعلومات المطلوبة من Active Directory، وقم بتعيين سمات RFC2307 لكل المستخدمين والمجموعات التي تصل إلى تخزين الملفات، ثم قم بتكوين LDAP على هدف التوصيل.

فيما يلي الخطوات الأساسية اللازمة لتكوين اعتماد Active Directory لـ LDAP:

  • احصل على تفاصيل إعدادات LDAP من Active Directory.
  • تكوين سر مستخدم ربط LDAP.
  • قم بإنشاء موصل خارجي.
  • تكوين LDAP على هدف التوصيل.

ملاحظة:

لا يمكن لهدف التوصيل استخدام شهادة LDAP موقعة ذاتيًا.
  1. احصل على الأنظمة التي تستضيف LDAP من DNS وقم بحفظه لخطوة لاحقة.
    في هذا المثال، النظام هو fss-ad.com.
    C:\Users\administrator>nslookup -type=srv _ldap._tcp.fss-ad.com
Server:  localhost
Address:  ::1
_ldap._tcp.fss-ad.com   SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = ad-server.fss-ad.com
    ad-server.fss-ad.com    internet address = 10.9.1.194
  2. في Active Directory، حدد موقع قاعدة بحث السمة distinguishedName (DN) للمستخدمين والمجموعات.
    1. انتقل إلى دليل Active Directory Users and Computers، وسّع fs-ad.com.
    2. انقر على المستخدمين.
  3. إحضار الاسم المميز لمستخدم ربط LDAP.

    ملاحظة:

    يمكن أن يكون هذا المستخدم أقل امتيازات من حيث إمكانيات البحث في الدليل. يجب أيضًا إدخال كلمة مرور هذا المستخدم لاحقًا لتكوين الموصل الخارجي.
    1. حدد ldap-user.
    2. انقر على علامة التبويب محرر السمات.
    3. حدد السمة distinguishedName.
    4. نسخ القيمة وحفظها في خطوة لاحقة.
  4. تحقق من سمات RFC2307 لكل المستخدمين والمجموعات الذين يصلون إلى تخزين ملفات OCI.
    راجع "تكوين سمات RFC2307 في Active Directory" للحصول على الإرشادات وجدول السمات RFC2307.
  5. أنشئ كلمة سر لمستخدم ربط LDAP الذي تم اكتشافه في الخطوة 3 أعلاه.
    تحتفظ كلمة السر بكلمة سر مستخدم LDAP المطلوب ربطها. يجب أن تكون الصيغة نصًا عاديًا.
  6. تكوين موصل صادر. يتوفر الموصل الخارجي في صفحة تخزين الملفات ضمن الموارد الإضافية. قم بتكوين الصادر بنفس AD مثل هدف التوصيل.
    1. أدخل اسم DNS.
      على سبيل المثال، ad-server.fss.ad.com.
    2. أدخل منفذ DSAPS الخاص بخدمة LDAP.
      على سبيل المثال؜، 636.
    3. أدخل الاسم المميز للربط.
      هذا هو مستخدم LDAP لتسجيل الدخول إلى خادم LDAP. على سبيل المثال، CN=ldap-user،CN=Users، DC=fss-ad، DC=com.
    4. حدد الخزانة الموجودة في المقصورة حيث يتم تخزين أسرارك.
      على سبيل المثال، krb-vault في قسم ad-kerberos.
    5. حدد السر في المقصورة.
      على سبيل المثال، fss-mt-ad-1-ldap-password في قسم ad-kerberos.
    6. حدد الإصدار السري.
      على سبيل المثال؜، 1.
    7. انقر تكوين.
  7. تكوين LDAP لهدف التوصيل.
    سوف تستخدم الموصل الخارجي من الخطوة السابقة.
    1. انقر على تخزين في قائمة التنقل. ضمن File Storage، انقر على Mount Targets.
    2. حدد قسمًا.
      على سبيل المثال، ad-kerberos.
    3. ابحث عن هدف التوصيل، انقر على علامة تبويب NFS، ثم انقر على إدارة LDAP.
    4. أدخل قاعدة البحث في حقلي قاعدة البحث للمستخدمين وقاعدة البحث عن المجموعات.

      ملاحظة:

      قاعدة البحث الخاصة بالمستخدم والمجموعة هي الاسم المميز الذي تم الحصول عليه من مستخدمي Active Directory وحاوية المجموعة.

      على سبيل المثال، قاعدة البحث للمستخدمين: CN=Users،DC=fss-ad،DC=com وقاعدة البحث عن المجموعات: CN=Users،DC=fss-ad،DC=com.
    5. أدخل الفواصل الزمنية للذاكرة المخبئية ثم حدد الموصل الخارجي الذي تم تكوينه في حقل الموصل الخارجي 1.
      في هذا المثال، الفاصل الزمني لتجديد الذاكرة المخبئية وفترة عمر الذاكرة المخبئية وفترة عمر الذاكرة المخبئية السالبة هي كل 300 ثانية. حساب LDAP في موصل صادر 1 هو fss-ad-ob-1.
    6. حفظ الإعدادات.

تكوين تصدير NFS

قم بتكوين إعدادات التصدير وفقًا لمتطلبات الصلاحية.

  • عند عدم طلب ترخيص LDAP وتخطيط كل المستخدمين المصدق عليهم إلى معرف uid/gid واحد، قم بتكوين الإعدادات التالية لضغط كل المستخدمين. استخدم خيارات تصدير عميل NFS للتحكم في كيفية وصول العملاء إلى نظام الملفات. قم بتحرير الإعدادات التالية للضغط على كل المستخدمين.
    1. الوصول المجهول: حدد غير مسموح به
    2. الاسكواش: حدد نعم
    3. المعرف الفريد للتسلسل: أدخل 99
    4. Squash GID: أدخل 99
    باستخدام هذه الإعدادات، سيتم منح كافة المستخدمين المصدق عليهم معرف المستخدم 99 ومعرف المجموعة 99. لم يتم إجراء بحث LDAP.
  • عندما يتم اعتماد المستخدمين باستخدام LDAP، استخدم خيارات تصدير NFS لتعيين مديري Kerberos لمستخدمي Unix.
    1. الوصول المجهول: حدد مسموح به
    2. الاسكواش: حدد لا شيء
    3. المعرف الفريد للتسلسل: أدخل 199
    4. Squash GID: أدخل 199
    باستخدام هذه الإعدادات، يتم تعيين جميع مستخدمي Kerberos إلى معرف مستخدم Unix ومعرف المجموعة وعضوية المجموعة من LDAP. إذا كان المستخدم غير موجود في LDAP، يتم استخدام تخطيط مجهول ويتم تعيين المستخدم إلى معرف مستخدم Unix 199 ومعرف المجموعة 199. في حالة تعطيل الوصول المجهول وفي حالة عدم وجود مستخدم Kerberos في LDAP، يتم إعطاء خطأ رفض الوصول للمستخدم الذي يصل إلى المشاركة.

إذن Unix في Windows

يمكن الوصول إلى Oracle Cloud Infrastructure File Storage باستخدام بروتوكول NFSv3. يتم تنفيذ الاعتماد باستخدام أذون Unix.

يمكنك استخدام أداة ldp.exe للاستعلام عن سمات RFC2307 الخاصة بالمستخدم والمجموعة للاطلاع على عضويات uid وgid وgroup. يتم التحقق من أذون Unix استنادًا إلى المعرف الفريد (Uid) والمعرف الفريد (gid) وعضويات المجموعة المخزنة في LDAP.
Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com 
Filter: (&(objectClass=posixAccount)(uid=fss-user-1))
Attributes: uidNumber;gidNumber

استخدم Windows Explorer لمعرفة المالك والمجموعة المالكة للملف أو المجلد، والأذون المعينة للملف أو المجلد. يمكنك الوصول إلى سمات NFS (سمات Unix) من خصائص الملفات أو المجلدات.

على الرغم من أن المجموعة الأساسية لمستخدم fss-user-1 هي 500، فإن تخزين ملفات OCI سيعتبر كل المجموعات التي يكون المستخدم عضوًا فيها للتحقق من الإذن. استخدم الاستعلام التالي للعثور على عضوية المجموعة لمستخدم fss-user-1. 
Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com 
Filter: (&(objectClass=posixGroup)(memberUid=fss-user-1))' gidNumber
Attributes: gidNumber

تكوين أذونات المجلد الأولي

عند التنفيذ، ضع في اعتبارك أذون المجلد.

الدليل الأولي OCI File Storage مملوك لـ uid 0 و755 (rwx للأذونات الجذر وr-x للأصل وr-x للآخرين). الوصول الجذري مطلوب لإنشاء مجلدات إضافية للمستخدمين أو لتغيير الأذونات. وهي مهمة مسئول لتكوين وإعداد الأذون الأولية التي تفي بالمتطلبات.

يمكنك استخدام إحدى الطرق التالية للحصول على وصول المسؤول إلى نظام الملفات:

  • جميع المستخدمين هم مجرد مستخدمين عاديين ما لم يتم تعيينهم إلى uidNumber ولا يتم إقصاء الجذر. قم بتخطيط مستخدم مسئول إلى uidNumber 0 في سمات LDAP الخاصة بالمستخدم.
  • قم بتصدير نظام الملفات باستخدام مصادقة SYS إلى محطة عمل Linux آمنة. استخدم مستخدم root لتكوين الأذون وإدارتها.