Oracle Cloud Infrastructure - Dokumentation

LDAP für die Autorisierung einrichten

Erfahren Sie, wie Sie LDAP für die Autorisierung mit File Storage einrichten.

  1. Stellen Sie sicher, dass Sie über die erforderliche LDAP-Infrastruktur verfügen und die erforderlichen Informationen erfasst haben. Weitere Informationen finden Sie unter Voraussetzungen.
  2. Fügen Sie die erforderlichen IAM-Policys hinzu.
  3. Laden Sie das LDAP-Kennwort im Klartextformat in OCI Vault hoch. Weitere Informationen finden Sie unter Überblick über Vault.
  4. Erstellen Sie zwei ausgehende Connectors, um den LDAP-Server zu kontaktieren.
    Hinweis

    Für die Verwendung von LDAP zur Autorisierung ist mindestens ein ausgehender Connector erforderlich. Ein zweiter ausgehender Connector kann als Backup oder Failover verwendet werden. Details dazu, wie File Storage reagiert, wenn er keinen LDAP-Server erreichen kann, finden Sie unter Suchbegriff für sekundäre Gruppen und Caching.
  5. LDAP-Kommunikationsdetails zu einem Mountziel hinzufügen.
  6. Erstellen oder aktualisieren Sie ein Dateisystem, das das LDAP-fähige Mountziel verwendet.
  7. LDAP im Dateisystemexport aktivieren.
  8. Legen Sie optionale NFS-Exportoptionen fest.
  9. Mounten Sie das Dateisystem.

LDAP für ein Mountziel konfigurieren

Fügen Sie einem Mountziel LDAP-Informationen zur Verwendung bei der Autorisierung hinzu.

Hinweis

Wenn Sie ein vorhandenes Mountziel so aktualisieren, dass LDAP verwendet wird, kann es einige Zeit dauern, bis die Updates vollständig in File Storage widergespiegelt werden.
    1. Öffnen Sie das Navigationsmenü , und wählen Sie Speicher aus. Wählen Sie unter File Storage die Option Mountziele aus.
    2. Wählen Sie im Abschnitt Listenbereich unter Compartment ein Compartment aus.
    3. Suchen Sie das gewünschte Mount-Ziel. Klicken Sie auf das Menü "Aktionen" (Menü Aktionen) und dann auf Details anzeigen.
    4. Klicken Sie auf die Registerkarte NFS, um die vorhandenen NFS-Einstellungen für das Mountziel anzuzeigen oder zu bearbeiten.
    5. Klicken Sie neben LDAP auf Verwalten.

    6. Geben Sie im Fenster LDAP verwalten die folgenden Details an:

      • Schematyp: Der Schematyp des LDAP-Accounts.

        Der einzige zulässige Wert ist RFC2307.

      • Cacheaktualisierungsintervall in Sekunden: Wie oft das Mountziel den LDAP-Server für Updates kontaktieren soll.
      • Cachegültigkeitsdauer in Sekunden: Wie lange können gecachte Einträge verwendet werden.
      • Negative Cache-Lebensdauer in Sekunden: Wie lange wird gecacht, wenn ID-Zuordnungsinformationen fehlen.
      • Suchbasis für Benutzer: Alle LDAP-Suchen sind rekursiv und beginnen bei diesem Benutzer.
      • Suchbasis für Gruppen: Alle LDAP-Suchen sind rekursiv und beginnen bei dieser Gruppe.
      • Ausgehender Connector 1: Der erste Connector, der für die Kommunikation mit dem LDAP-Server verwendet wird.
      • Ausgehender Connector 2: Der zweite Connector, der für die Kommunikation mit dem LDAP-Server verwendet werden soll.
      • LDAP aktivieren: Aktivieren Sie diese Option, damit das Mountziel einen LDAP-Server für die sekundäre Gruppensuche verwenden muss. Für den Export des Dateisystems muss auch LDAP für Gruppenliste verwenden aktiviert sein.
    7. Klicken Sie auf Speichern.

  • Verwenden Sie den Befehl oci fs mount-target create mit den Optionen --idmap-type und --ldap-idmap, um ein Mountziel zu erstellen und LDAP-Details anzugeben.

    oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --idmap-type LDAP --ldap-idmap <file://ldap.json>

    Verwenden Sie den Befehl oci fs mount-target update mit den Optionen --idmap-type und --ldap-idmap, um ein vorhandenes Mountziel mit LDAP-Details zu aktualisieren.

    oci fs mount-target update --mount-target-id <mount_target_id> --idmap-type LDAP --ldap-idmap <file://ldap.json>

    Eine ldap.json-Beispieldatei lautet:

    {
  "cacheLifetimeSeconds": 300,
  "cacheRefreshIntervalSeconds": 300,
  "groupSearchBase": "cn=accounts,dc=example,dc=com",
  "negativeCacheLifetimeSeconds": 300,
  "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "userSearchBase": "cn=accounts,dc=example,dc=com",
  "schemaType": "RFC2307"
}

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Verwenden Sie CreateMountTarget oder UpdateMountTarget mit den Optionen idMapType und ldapIdmap, um ein Mountziel mit LDAP-Details zu erstellen oder zu aktualisieren.

    Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.