Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Ersetzen Sie diese Werte nach Abschluss der Übung durch Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Oracle Cloud Infrastructure File Storage Service mit Active Directory-Benutzerzugriffskontrolle konfigurieren

Einführung

Dieses Tutorial bietet einen schrittweisen Ansatz zur Integration von Active Directory-(AD-)Benutzern mit einer eindeutigen Benutzer-ID-(UID-)/Gruppen-ID-(GID-)Zuordnung für den sicheren Zugriff auf den Oracle Cloud Infrastructure-(OCI-)Dateispeicherservice mit dem Windows Network File System-(NFS-)Client. Es stellt eine ordnungsgemäße Authentifizierung und Zugriffskontrolle sicher, indem Active Directory-Berechtigungen genutzt werden, sodass Unternehmen den Dateisystemzugriff auf bestimmte Benutzer und Gruppen unter Einhaltung der Sicherheitsrichtlinien des Unternehmens einschränken können.

Durch Aktivieren der UID-/GID-Zuordnung in Active Directory und Verwenden von Windows-Sicherheitsberechtigungen können Sie:

• Begrenzen Sie den OCI File Storage-Zugriff auf bestimmte Active Directory-Benutzer/-Gruppen.

• Stellen Sie sicher, dass Dateieigentümerschaft und Zugriffskontrolle korrekt angewendet werden.

• Ermöglichen Sie NFS-basierten Windows-Clients die sichere Interaktion mit OCI File Storage.

In diesem Tutorial erstellen wir einen OCI File Storage und ein Mountziel im selben virtuellen Cloud-Netzwerk (VCN) wie Ihre Active Directory Domain Services (AD DS) und die mit der Domain verbundene Windows Virtual Machine (VM). zur nahtlosen Integration und Zugriffskontrolle von Aufgabe 1 bis 4 und zur Aktivierung der Active Directory-Integration für OCI File Storage, zur Erstellung von Benutzern mit bestimmten UID-/GID-Mappings und zur Durchsetzung von Zugriffsbeschränkungen auf Ordnerebene von Aufgabe 5 bis 8.

Ziele

• Integrieren Sie Active Directory-Benutzer mit der UID-/GID-Zuordnung, um mit dem Windows NFS-Client sicher auf OCI File Storage zuzugreifen und gleichzeitig die Zugriffskontrolle basierend auf Active Directory-Berechtigungen durchzusetzen.

  • Erstellen Sie einen OCI File Storage.

  • Konfigurieren Sie ein Mountziel in demselben VCN wie der Domaincontroller und die Windows-VM.

  • Stellen Sie die richtigen Sicherheitsregeln für den NFS-Zugriff sicher.

  • Mounten Sie das Dateisystem auf der Windows-VM.

  • Bereiten Sie die Active Directory-basierte Zugriffskontrolle vor.

  • AD-Benutzer mit UID-/GID-Attributen erstellen

  • Konfigurieren Sie OCI File Storage mit Zugriffskontrolle auf Ordnerebene.

  • OCI File Storage auf mit der Domain verbundenen VMs mounten.

  • Validieren Sie benutzerbasierte Zugriffsbeschränkungen.

  Dieses Setup gewährleistet eine nahtlose Active Directory-Integration mit OCI File Storage und ermöglicht eine sichere Dateifreigabe und einen kontrollierten Zugriff basierend auf UID-/GID-Mappings. Dieses Setup stellt eine sichere, rollenbasierte Zugriffskontrolle für OCI File Storage-Service mit Active Directory-Authentifizierung und UID-/GID-Zuordnung sicher.

Voraussetzungen

• OCI File Storage mit konfiguriertem Mountziel.

• AD DS mit aktivierten RFC2307-Attributen.

• Windows NFS-Client auf Domänencomputern installiert.

• Sowohl der Active Directory-Domaincontroller als auch das OCI File Storage-Mountziel müssen sich im selben Netzwerk-VCN befinden.

Aufgabe 1: OCI File Storage erstellen

1. Melden Sie sich bei der OCI-Konsole an, navigieren Sie zu Speicher, und klicken Sie auf File Storage.

2. Klicken Sie auf Dateisystem erstellen, und geben Sie die folgenden Informationen ein.

   • Compartment: Wählen Sie ein entsprechendes Compartment aus.
   • Name: Geben Sie einen beschreibenden Namen ein. Beispiel: AD-Integrated-FSS.

3. Klicken Sie auf Erstellen, um das Dateisystem bereitzustellen.

Aufgabe 2: Mountziel im selben VCN erstellen

1. Gehen Sie zur OCI-Konsole, navigieren Sie zu File Storage, und klicken Sie auf Ziele mounten.

2. Klicken Sie auf Mountziel erstellen, und geben Sie die folgenden Informationen ein.

   • Compartment: Wählen Sie dasselbe Compartment wie Ihr OCI File Storage aus.
   • Name: Geben Sie einen Namen ein. Beispiel: AD-MountTarget.
   • Virtuelles Cloud-Netzwerk (VCN): Wählen Sie dasselbe VCN aus, in dem Ihr Domaincontroller und die mit der Domain verbundene VM bereitgestellt werden.
   • Subnetz: Wählen Sie ein privates oder öffentliches Subnetz im VCN aus (stellen Sie sicher, dass NFS-Traffic zulässig ist).
   • Hostname: Geben Sie einen Hostnamen für das Mountziel ein.

3. Klicken Sie auf Mountziel erstellen, und warten Sie, bis es bereitgestellt wird.

   

Aufgabe 3: Sicherheitsregeln für NFS-Zugriff konfigurieren

1. Gehen Sie zur OCI-Konsole, navigieren Sie zu Networking, Virtuelle Cloud-Netzwerke (VCN), und wählen Sie Ihr VCN aus.

2. Klicken Sie auf Sicherheitslisten, und aktualisieren Sie die Ingress-Regeln für das Subnetz des Mountziels mit den folgenden Informationen.

   • Quell-CIDR: Das Subnetz, das Ihren Domaincontroller und die mit der Domain verbundene VM enthält.
   • Protokoll: Wählen Sie TCP aus.
   • Portbereich: Geben Sie 2049 (für NFS) ein.

3. Fügen Sie eine Egress-Regel hinzu, um ausgehenden Traffic aus dem Subnetz des Mountziels mit den folgenden Informationen zuzulassen.

   • Ziel-CIDR: Geben Sie "0.0.0.0/0" ein.
   • Protokoll: Wählen Sie TCP aus.
   • Portbereich: Geben Sie 2049 ein.

   Wenn Sie Sicherheitsgruppen verwenden, stellen Sie sicher, dass sich der Domaincontroller, die mit der Domain verknüpfte VM und das Mountziel in derselben Gruppe befinden, wobei NFS (TCP 2049) und DNS (TCP/UDP 53) zulässig sind.

Aufgabe 4: Konnektivität überprüfen

1. Melden Sie sich bei der mit der Domain verbundenen Windows-VM an.

2. Testen Sie die Konnektivität zum Mountziel mit dem Befehl ping oder nslookup.

   ping <MOUNT_TARGET_IP>
   nslookup <MOUNT_TARGET_HOSTNAME>
   

   Stellen Sie sicher, dass der Domaincontroller und die Windows-VM den Hostnamen des Mountziels mit DNS auflösen können.

Aufgabe 5: Active Directory-Benutzer mit UID-/GID-Attributen konfigurieren

1. Öffnen Sie Active Directory Users and Computers (ADUC).

2. Öffnen Sie unter Domaincontroller ADUC (dsa.msc), klicken Sie auf Anzeigen, und aktivieren Sie Erweiterte Funktionen.

   

3. Erstellen Sie Benutzer mit RFC2307-Attributen.

   1. Navigieren Sie zu Benutzer unter Ihrer Domain. Beispiel: fs-ad.com.

   2. Erstellen Sie die folgenden Benutzer, und legen Sie RFC2307-Attribute fest.

      Benutzer	UID-Nummer	GID-Nummer	Beschreibung
      fssadmin	0	0	FSS-Administrator
      applicationuser1	101	501	App-Benutzer 1
      applicationuser2	102	502	App-Benutzer 2

      

      

4. Benutzerattribute ändern.

   1. Klicken Sie mit der rechten Maustaste auf die einzelnen Benutzer, und klicken Sie auf Eigenschaften.

   2. Navigieren Sie zum Attributeditor, und aktualisieren Sie die folgenden RFC2307-Attribute.

      • objectClass: Fügen Sie posixAccount hinzu.
      • uidNumber: Weisen Sie Werte aus der Tabelle in Aufgabe 5.3 zu.
      • gidNumber: Weisen Sie Werte aus der Tabelle in Aufgabe 5.3 zu.
      • uid: Als sAMAccountName festlegen.

   3. Klicken Sie auf Anwenden und auf OK.

Aufgabe 6: OCI File Storage-Berechtigungen konfigurieren

1. Legen Sie den OCI File Storage-Hauptordner mit der UID/GID 0 (Root-Zugriff für fssadmin) fest.

   1. Navigieren Sie zur OCI-Konsole, navigieren Sie zu File Storage, und klicken Sie auf Dateisysteme.

   2. Klicken Sie auf Ihre OCI File Storage-Instanz, und wählen Sie den Hauptordner aus.

   3. Klicken Sie auf Erweiterte Berechtigungen, und geben Sie die folgenden Informationen ein.

      • UID: Geben Sie 0 ein.
      • GID: Geben Sie 0 ein.

2. Anwendungsspezifische Ordner erstellen und einschränken

   1. Erstellen Sie im Hauptordner von OCI File Storage zwei Ordner mit den folgenden Informationen.

      • Folder1: Für applicationuser1 mit uid=101.
      • Folder2: Für applicationuser2 mit uid=102.

   2. Klicken Sie auf Erweiterte Optionen, und legen Sie Ordnerberechtigungen fest.

      • Folder1:

        • UID: Geben Sie 101 ein.
        • GID: Geben Sie 501 ein.

      • Folder2:

        • UID: Geben Sie 102 ein.
        • GID: Geben Sie 502 ein.

Aufgabe 7: OCI File Storage auf mit der Domain verbundenen Windows-VMs mounten

1. Melden Sie sich bei der mit der Domain verbundenen Windows-VM als applicationuser1 oder applicationuser2 an.

2. Öffnen Sie Eingabeaufforderung als Administrator.

3. OCI File Storage mit der Mountziel-IP mounten.

   mount -o sec=sys Mount_Target_IP:/<EXPORT_PATH> S:
   

   Hinweis:

   • Ersetzen Sie <MOUNT_TARGET_IP> durch die IP des Mountziels.

   • Ersetzen Sie <EXPORT_PATH> durch den OCI File Storage-Exportpfad.

4. Prüfen Sie den Mount mit dem folgenden Befehl.

   net use
   

   Stellen Sie sicher, dass S: erfolgreich gemountet wurde.

   

Aufgabe 8: Zugriffsbeschränkungen für Ordner validieren

• Benutzerzugriffsprüfung

  • applicationuser1:

    • Zugriff: Kann in Folder1 (UID: 101) lesen und schreiben.
    • Einschränkung: Es können keine Dateien in Folder2 (UID: 102) erstellt werden.

  • applicationuser2:

    • Zugriff: Kann in Folder2 (UID: 102) lesen und schreiben.
    • Einschränkung: Es können keine Dateien in Folder1 (UID: 101) erstellt werden.

  Darüber hinaus können Benutzer keine neuen Ordner im OCI File Storage-Hauptordner erstellen, um eine strikte Durchsetzung der Zugriffskontrolle sicherzustellen.

• Gruppenbasierte Zugriffskontrolle für OCI File Storage (FSS) konfigurieren

  Um einer Gruppe von Benutzern Zugriff auf einen bestimmten Ordner in OCI File Storage (FSS) zu erteilen, weisen Sie allen Benutzern in der Gruppe dieselbe GID zu, während ihre UIDs eindeutig bleiben. Legen Sie beim Erstellen des Ordners in OCI FSS nur die GID in den erweiterten Optionen so fest, dass sie mit der zugewiesenen Gruppen-GID übereinstimmt (Beispiel: GID 501). Dadurch wird sichergestellt, dass alle Benutzer in der Gruppe den FSS mounten und auf den angegebenen Ordner zugreifen können, während einzelne Benutzeridentitäten beibehalten werden.

• Zugriffskontrolle mit Active Directory durchsetzen

  Wenn sich Benutzer bei einer mit einer Domain verbundenen VM anmelden, können sie das Laufwerk mounten und nur auf die OCI-Dateisystemordner zugreifen, für die sie autorisiert sind. Jeder Versuch, auf nicht autorisierte Ordner zuzugreifen oder sie zu ändern, wird basierend auf definierten Berechtigungen eingeschränkt.

  Die Zugriffskontrolle wird zentral über Active Directory verwaltet, sodass nur Domainadministratoren und Dateisystemadministratoren (GID/UID: 0) die vollständige Kontrolle über die OCI File Storage-Ordner haben. Dadurch wird ein strukturiertes und sicheres Berechtigungsmodell sichergestellt.

• Sicherheit mit Exportoptionen stärken

  Um die Sicherheit weiter zu verbessern, sollten OCI-Exportoptionen so konfiguriert werden, dass der Zugriff nur von bestimmten, verifizierten IP-Adressen aus zulässig ist. Durch die Einschränkung des Mountzielzugriffs auf bekannte und autorisierte IPs wird nicht autorisierten Systemen standardmäßig der Zugriff verweigert, sodass dieser Ansatz eine der sichersten Möglichkeiten zur Kontrolle des OCI File Storage-Zugriffs darstellt.

  

Dateiattribute in OCI File Storage verwalten, um :Zone.Identifier-Anhänge unter Windows zu verhindern

Problem: Anhang :Zone.Identifier an OCI File Storage-Dateien unter Windows.

Beim Kopieren von Dateien in OCI File Storage, der unter Windows gemountet ist, kann ein alternativer Datenstrom (:Zone.Identifier) an Dateien angehängt werden. Dies geschieht, weil Windows Zonen-ID-Metadaten verwendet, um die Sicherheitszone heruntergeladener Dateien zu verfolgen, hauptsächlich um die Ausführung potenziell unsicherer Inhalte zu verhindern.

Da OCI File Storage das NFS-Protokoll verwendet, das erweiterte Attribute unterstützt, aber nicht nativ Windows-spezifische alternative NTFS-Datenstreams (ADS) verarbeitet, werden diese :Zone.Identifier-Streams beim Kopieren von Dateien möglicherweise unbeabsichtigt beibehalten. Dies kann bei der Ausführung von Dateien zu unerwarteten Sicherheitswarnungen oder -problemen führen.

Um dies zu verhindern, führen Sie die folgenden Schritte aus, wenn jede Client-VM auf dieses OCI File Storage-Mountziellaufwerk zugreift.

1. Klicken Sie auf dem Domainclientrechner auf Internet (inetcpl.cpl).

2. Gehen Sie zur Registerkarte Sicherheit, wählen Sie Lokales Intranet aus, und klicken Sie auf Sites.

3. Klicken Sie auf Erweitert, und fügen Sie den Hostnamen des OCI File Storage-Mountziels (mss-Mount Point \fss-mount-target oder \IP-Address-FSS) hinzu.

   

Verwandte Links

• File Storage für Microsoft Windows Active Directory-Benutzer konfigurieren

• Einhängen des Dateisystems über die Eingabeaufforderung des Windows Servers

Danksagungen

• Autoren – Akarsha I K (Cloud Architect), Mayank Kakani (Cloud Architect)

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie im Oracle Learning YouTube-Channel auf weitere kostenlose Lerninhalte zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Configure Oracle Cloud Infrastructure File Storage Service with Active Directory User Access Control

G27597-01

February 2025

Copyright ©2025, Oracle and/or its affiliates.