Oracle Cloud Infrastructure - Dokumentation

Ausgehende Connectors verwalten

File Storage verwendet ausgehende Connectors für die Kommunikation mit einem externen Server, wie einem LDAP-Server.

Ein ausgehender Connector enthält alle Informationen, die zum Herstellen einer Verbindung, Authentifizierung und Autorisierung erforderlich sind, um die für den Account erforderlichen Funktionen auszuführen. Derzeit werden ausgehende Connectors nur für die Kommunikation mit LDAP-Servern verwendet. Sie geben Konfigurationsoptionen für den Connector an, wenn Sie LDAP-Authentifizierung zu einem Mountziel hinzufügen.

Bei der Verbindung mit einem LDAP-Server verwendet ein Mountziel den ersten ausgehenden Connector, der in seiner Konfiguration angegeben ist. Wenn sich das Mountziel nicht mit dem ersten ausgehenden Connector beim LDAP-Server anmeldet, wird der zweite ausgehende Connector verwendet.

Mehrere Mountziele können denselben ausgehenden Connector verwenden. Sie können einen ausgehenden Connector nur dann mit einem Mountziel verknüpfen, wenn sie in derselben Availability-Domain vorhanden sind. Sie können bis zu 32 ausgehende Connectors pro Availability-Domain verwenden.

Ausführliche Anweisungen zur Verwaltung ausgehender Connectors finden Sie in den folgenden Abschnitten:

Erforderliche IAM Policy

Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der Sicherheitszugriff in einer Policy von einem Mandantenadministrator erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen sie den Mandantenadministrator, welcher Zugriffstyp Ihnen zugewiesen wurde und In welchem Compartment Ihr Zugriff funktioniert.

Für Administratoren: Mit der Policy in Erstellen, Verwalten und Löschen von Dateisystemen durch Benutzer zulassen können Benutzer ausgehende Connectors verwalten.

Da ausgehende Connectors auch Zugriff auf Secrets benötigen, um eine Verbindung zu einem externen Server wie einem LDAP-Server herzustellen, sind zusätzliche IAM-Policys für den Benutzer erforderlich, der das Mountziel und das Mountziel selbst konfiguriert.
Wichtig

Diese Policys müssen erstellt werden, bevor Sie Mountziele für die Verwendung von LDAP zur Autorisierung konfigurieren können.

Policy zum Aktivieren der Mountzielkonfiguration

Erteilen Sie dem Benutzer oder der Gruppe, der LDAP auf einem Mountziel konfiguriert, Berechtigungen mit einer Policy wie der folgenden. Dadurch kann der Benutzer die Vault Secrets lesen, die während der Konfiguration erforderlich sind.

allow <user|group> to read secret-family in compartment <Compartment_ID> where any { target.secret.id = <LDAP_Password_Secret_ID>, target.secret.id = <Trusted_Certificate_Secret_ID> }

Auf diese Weise kann der Benutzer File Storage-Befehle absetzen, mit denen die Vault Secrets gelesen und Teile des Secrets zur Validierung während der Konfiguration angezeigt werden.

Policy, mit der ein Mountziel Secrets abrufen kann

Der File Storage-Service erfordert die Möglichkeit, die Secrets zu lesen. File Storage verwendet Resource Principals, um einem bestimmten Set von Mountzielen Zugriff auf das Vault Secret zu erteilen. Dies ist ein zweistufiger Prozess. Zuerst müssen die Mountziele, die Zugriff benötigen, in eine dynamische Gruppe gestellt werden, und dann erhält die dynamische Gruppe Zugriff auf das Lesen der Secrets.

  1. Erstellen Sie eine dynamische Gruppe für die Mountziele mit einer Policy wie der folgenden:

    ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_id>' }
    Hinweis

    Wenn eine dynamische Gruppe mehrere Regeln enthält, stellen Sie sicher, dass Sie die Option Match any rules defined below verwenden.

  2. Erstellen Sie eine IAM-Policy, die der dynamischen Gruppe von Mountzielen Lesezugriff auf Vault Secrets erteilt:

     allow dynamic-group <dynamic_group_name> to read secret-family in compartment <secret_compartment_name>

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Details zum File Storage Service.

Details zu einem ausgehenden Connector

Die Detailseite enthält die folgenden Informationen zu einem ausgehenden Connector:

OCID
Jede Oracle Cloud Infrastructure-Ressource besitzt eine von Oracle zugewiesene eindeutige ID, die als Oracle Cloud-ID (OCID) bezeichnet wird. Sie benötigen die OCID eines ausgehenden Connectors, um die Befehlszeilenschnittstelle (CLI) oder API verwenden zu können. Sie benötigen die OCID auch für die Kontaktaufnahme mit dem Support. Siehe Ressourcen-IDs.
ERSTELLT
Datum und Uhrzeit der Erstellung des ausgehenden Connectors.
COMPARTMENT
Wenn Sie einen ausgehenden Connector erstellen, geben Sie das Compartment an, in dem er sich befindet. Ein Compartment ist eine Sammlung aus zusammengehörigen Ressourcen (wie Cloud-Netzwerke, Compute-Instanzen oder Dateisysteme), auf die nur bestimmte Gruppen zugreifen können, denen ein Administrator in Ihrer Organisation eine Berechtigung erteilt hat. Sie benötigen das Compartment des ausgehenden Connectors, um die Befehlszeilenschnittstelle (CLI) oder API verwenden zu können. Weitere Informationen finden Sie unter Compartments verwalten.
AVAILABILITY-DOMAIN
Wenn Sie einen ausgehenden Connector erstellen, geben Sie die Availability-Domain an, in der er sich befindet. Eine Availability-Domain umfasst mindestens ein Data Center innerhalb einer Region. Sie benötigen die Availability-Domain eines ausgehenden Connectors, um die Befehlszeilenschnittstelle (CLI) oder API verwenden zu können. Weitere Informationen finden Sie unter Regionen und Availability-Domains.
CONNECTOR-TYP
Der Typ des ausgehenden Connectors. Der einzige unterstützte Typ ist LDAPBIND.
SERVER-DNS-NAME
Der vollqualifizierte Domainname der Instanz, auf der der LDAP-Service ausgeführt wird.
PORT
Der LDAPS-Port des LDAP-Service.
DISTINGUISHED NAME DES BINDS
Der LDAP-Unterscheidungsname für die Anmeldung beim LDAP-Server.
GEHEIME OCID
Die OCID des Secrets in Vault, das das Kennwort enthält, das mit dem eindeutigen Bind-Namen verknüpft ist.
SECRET-VERSION
Die Versionsnummer des LDAP-Kennwort-Secrets.
GESCHÜTZTES ZERTIFIKAT AKTIVIEREN
Gibt an, ob der ausgehende Connector für die Verwendung eines vertrauenswürdigen Zertifikats für LDAPS-Verbindungen konfiguriert ist.
VERTRAUENSWÜRDIGES ZERTIFIKAT SECRET
Die OCID des Secrets in Vault, das das vertrauenswürdige Zertifikat enthält.
SECRET-VERSION VON VERTRAUENSWÜRDIGEM ZERTIFIKAT
Die Versionsnummer des vertrauenswürdigen Zertifikat-Secrets.

Fehlerbehebung bei Fehlern bei fehlerhaften Anforderungen (HTTP 400) bei der Konfiguration eines vertrauenswürdigen Zertifikats

Wenn Sie einen ausgehenden Connector erstellen und eine Secret-OCID und Secret-Version des vertrauenswürdigen Zertifikats angegeben haben, kann die Anforderung mit Bad Request (HTTP 400) nicht erfolgreich ausgeführt werden. Das bedeutet normalerweise, dass der Service das Secret, die Version oder den Zertifikatsinhalt nicht validieren konnte.

Hier sind einige häufige Ursachen und Korrekturen:

Ursache: Ungültige Vault-Secret-OCID

Die eingegebene OCID des vertrauenswürdigen Zertifikats ist keine Vault-OCID Secret (oder der Secret-Name ist ungültig).

Abhilfe: Gültige Vault-Secret-OCID verwenden

  1. Bestätigen Sie, dass die OCID auf ein Vault Secret verweist (kein Vault, Schlüssel oder ein anderer Ressourcentyp).
  2. Aktualisieren Sie den ausgehenden Connector, um die korrekte Secret-OCID des vertrauenswürdigen Zertifikats zu verwenden.

Ursache: Ungültige Secret-Version

Die Secret-Version des vertrauenswürdigen Zertifikats muss größer als 0 sein. Wenn Sie 0 (oder eine negative Zahl) verwenden, verläuft die Validierung nicht erfolgreich.

Abhilfe: Setzen Sie die Version auf eine Zahl größer als 0

  1. Prüfen Sie in Vault die Secret-Versionen, die für Ihr vertrauenswürdiges Zertifikats-Secret verfügbar sind.
  2. Aktualisieren Sie den ausgehenden Connector, um eine Secret-Version größer als 0 zu verwenden.

Ursache: Fehlendes selbstsigniertes Root-Zertifikat

Der Service liest das Zertifikat (oder Bundle) aus dem Secret und erwartet, dass ein selbstsigniertes (Root-)Zertifikat gefunden wird. Wenn keine gefunden werden kann, ist die Validierung nicht erfolgreich.

Abhilfe: Stellen Sie sicher, dass das Secret ein selbstsigniertes Root-Zertifikat enthält

  1. Prüfen Sie den Secret-Inhalt, und stellen Sie sicher, dass er ein selbstsigniertes Root-CA-Zertifikat enthält (entweder als einzelnes Zertifikat oder in einem Bundle).
  2. Aktualisieren Sie gegebenenfalls den Vault-Secret-Content, und erstellen Sie den ausgehenden Connector erneut.

Ursache: Abgelaufenes Stammzertifikat

Das selbstsignierte (Root-)Zertifikat, das im Secret gefunden wurde, ist abgelaufen. Möglicherweise wird die Meldung Root Certificate is expired angezeigt.

Abhilfe: Ersetzen des abgelaufenen Zertifikats

  1. Laden Sie ein gültiges (nicht abgelaufenes) Root-Zertifikat in das Vault Secret hoch.
  2. Wenn das Update eine neue Secret-Version erstellt, aktualisieren Sie den ausgehenden Connector, um diese Version zu verwenden, und wiederholen Sie den Vorgang.

Ursache: Fehler beim Zugriff auf Vault Secret

Der Service kann das Secret nicht lesen (z.B. aufgrund fehlender Berechtigungen, weil das Secret nicht verfügbar ist oder Konnektivitätsprobleme auftreten).

Abhilfe: Berechtigungen und Zugriff auf das Secret bestätigen

  1. Prüfen Sie, ob IAM-Policys zulassen, dass der Benutzer, der die Änderung vornimmt, und das Mountziel (Resource Principal) secret-family im Compartment des Secrets liest.
  2. Stellen Sie sicher, dass das Secret vorhanden und verfügbar ist und dass der Vault-Zugriff von Ihrer Umgebung aus funktioniert.

Ursache: Ungültiges X.509-Zertifikatsformat

Der Secret-Inhalt ist kein gültiges X.509-Zertifikat (oder Zertifikats-Bundle), sodass er vom Service nicht geparst werden kann.

Abhilfe: Speichern Sie ein gültiges X.509-Zertifikat (oder Bundle)

  1. Bestätigen Sie, dass die gespeicherten Zertifikatsdaten ein korrekt formatiertes X.509-Zertifikat (oder Bundle) sind und nicht abgeschnitten oder beschädigt sind.
  2. Aktualisieren Sie das Vault Secret mit dem korrigierten Zertifikatsinhalt, und wiederholen Sie die Erstellung/Aktualisierung des ausgehenden Connectors.