Oracle Cloud Infrastructure - Dokumentation

Ausgehende Connectors verwalten

File Storage verwendet ausgehende Connectors für die Kommunikation mit einem externen Server, wie einem LDAP-Server.

Ein ausgehender Connector enthält alle Informationen, die zum Herstellen einer Verbindung, Authentifizierung und Autorisierung erforderlich sind, um die für den Account erforderlichen Funktionen auszuführen. Derzeit werden ausgehende Connectors nur für die Kommunikation mit LDAP-Servern verwendet. Sie geben Konfigurationsoptionen für den Connector an, wenn Sie LDAP-Authentifizierung zu einem Mountziel hinzufügen.

Bei der Verbindung mit einem LDAP-Server verwendet ein Mountziel den ersten ausgehenden Connector, der in seiner Konfiguration angegeben ist. Wenn sich das Mountziel nicht mit dem ersten ausgehenden Connector beim LDAP-Server anmeldet, wird der zweite ausgehende Connector verwendet.

Mehrere Mountziele können denselben ausgehenden Connector verwenden. Sie können einen ausgehenden Connector nur dann mit einem Mountziel verknüpfen, wenn sie in derselben Availability-Domain vorhanden sind. Sie können bis zu 32 ausgehende Connectors pro Availability-Domain verwenden.

Ausführliche Anweisungen zur Verwaltung ausgehender Connectors finden Sie in den folgenden Abschnitten:

Erforderliche IAM Policy

Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der Sicherheitszugriff in einer Policy von einem Mandantenadministrator erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen sie den Mandantenadministrator, welcher Zugriffstyp Ihnen zugewiesen wurde und In welchem Compartment Ihr Zugriff funktioniert.

Für Administratoren: Mit der Policy in Erstellen, Verwalten und Löschen von Dateisystemen durch Benutzer zulassen können Benutzer ausgehende Connectors verwalten.

Da ausgehende Connectors auch Zugriff auf Secrets erfordern, um eine Verbindung zu einem externen Server wie einem LDAP-Server herzustellen, sind zusätzliche IAM-Policys sowohl für den Benutzer erforderlich, der das Mountziel konfiguriert, als auch für das Mountziel selbst.
Wichtig

Diese Policys müssen erstellt werden, bevor Sie Mountziele für die Verwendung von LDAP zur Autorisierung konfigurieren können.

Policy zum Aktivieren der Mountzielkonfiguration

Erteilen Sie dem Benutzer oder der Gruppe die Konfiguration von LDAP für Mountzielberechtigungen mit einer Policy wie der folgenden:
allow <user|group> to read secret-family in compartment <Compartment_ID> where any { target.secret.id = <LDAP_Password_Secret_ID> }

Auf diese Weise kann der Benutzer File Storage-Befehle absetzen, mit denen die Vault Secrets gelesen und Teile des Secrets zur Validierung während der Konfiguration angezeigt werden.

Policy, mit der ein Mountziel Secrets abrufen kann

Der File Storage-Service erfordert die Möglichkeit, die Secrets zu lesen. File Storage verwendet Resource Principals, um einem bestimmten Set von Mountzielen Zugriff auf das Vault Secret zu erteilen. Dies ist ein zweistufiger Prozess. Zuerst müssen die Mountziele, die Zugriff benötigen, in eine dynamische Gruppe gestellt werden, und dann erhält die dynamische Gruppe Zugriff auf das Lesen der Secrets.

  1. Erstellen Sie eine dynamische Gruppe für die Mountziele mit einer Policy wie der folgenden:

    ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_id>' }
    Hinweis

    Wenn eine dynamische Gruppe mehrere Regeln enthält, stellen Sie sicher, dass Sie die Option Match any rules defined below verwenden.

  2. Erstellen Sie eine IAM-Policy, die der dynamischen Gruppe von Mountzielen Lesezugriff auf Vault Secrets erteilt:

     allow dynamic-group <dynamic_group_name> to read secret-family in compartment <secret_compartment_name>

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Details zum File Storage Service.

Details zu einem ausgehenden Connector

Die Detailseite enthält die folgenden Informationen zu einem ausgehenden Connector:

OCID
Jede Oracle Cloud Infrastructure-Ressource besitzt eine von Oracle zugewiesene eindeutige ID, die als Oracle Cloud-ID (OCID) bezeichnet wird. Sie benötigen die OCID eines ausgehenden Connectors, um die Befehlszeilenschnittstelle (CLI) oder API verwenden zu können. Sie benötigen die OCID auch für die Kontaktaufnahme mit dem Support. Siehe Ressourcen-IDs.
ERSTELLT
Datum und Uhrzeit der Erstellung des ausgehenden Connectors.
COMPARTMENT
Wenn Sie einen ausgehenden Connector erstellen, geben Sie das Compartment an, in dem er sich befindet. Ein Compartment ist eine Sammlung aus zusammengehörigen Ressourcen (wie Cloud-Netzwerke, Compute-Instanzen oder Dateisysteme), auf die nur bestimmte Gruppen zugreifen können, denen ein Administrator in Ihrer Organisation eine Berechtigung erteilt hat. Sie benötigen das Compartment des ausgehenden Connectors, um die Befehlszeilenschnittstelle (CLI) oder API verwenden zu können. Weitere Informationen finden Sie unter Compartments verwalten.
AVAILABILITY-DOMAIN
Wenn Sie einen ausgehenden Connector erstellen, geben Sie die Availability-Domain an, in der er sich befindet. Eine Availability-Domain umfasst mindestens ein Data Center innerhalb einer Region. Sie benötigen die Availability-Domain eines ausgehenden Connectors, um die Befehlszeilenschnittstelle (CLI) oder API verwenden zu können. Weitere Informationen finden Sie unter Regionen und Availability-Domains.
CONNECTOR-TYP
Der Typ des ausgehenden Connectors. Der einzige unterstützte Typ ist LDAPBIND.
SERVER-DNS-NAME
Der vollqualifizierte Domainname der Instanz, auf der der LDAP-Service ausgeführt wird.
PORT
Der LDAPS-Port des LDAP-Service.
DISTINGUISHED NAME DES BINDS
Der LDAP-Unterscheidungsname für die Anmeldung beim LDAP-Server.
GEHEIME OCID
Die OCID des Secrets in Vault, das das Kennwort enthält, das mit dem eindeutigen Bind-Namen verknüpft ist.
SECRET-VERSION
Die Versionsnummer des LDAP-Kennwort-Secrets.