Authentifizierung und Autorisierung für Active Directory-Benutzer konfigurieren
Richten Sie Oracle Cloud Infrastructure Identity and Access Management ein, konfigurieren Sie die Active Directory-(AD-)Authentifizierung und -Autorisierung, konfigurieren Sie den NFS-Export, und richten Sie Unix-Berechtigungen ein.
Oracle Cloud Infrastructure Identity and Access Management-Policys einrichten
Erstellen Sie eine dynamische Gruppe in Oracle Cloud Infrastructure (OCI) Identity and Access Management, und fügen Sie Policys hinzu, damit die Mountziele Zugriff auf die LDAP- und Kerberos-Secrets haben. Dies ist sowohl für Kerberos- als auch für LDAP-Konfigurationen erforderlich.
Konfigurieren der Active Directory-Authentifizierung mit Kerberos
Nachdem Sie Oracle Cloud Infrastructure Identity and Access Management konfiguriert haben, konfigurieren Sie Active Directory. Die Konfiguration von Kerberos umfasst zwei Schritte: Verknüpfen Sie das Mountziel mit dem Active Directory von Microsoft, und aktualisieren Sie dann die Mountzieleinstellungen mit der Kerberos-Konfiguration.
Mountziel mit Active Directory verknüpfen
Führen Sie diese Aufgabe aus, wenn die Authentifizierung für Active Directory-Benutzer erforderlich ist. Dies ist ein manueller Prozess, der außerhalb des Oracle Cloud Infrastructure File Storage-Service ausgeführt wird. Das Verknüpfen des Mountziels mit Active Directory von Microsoft umfasst das Hinzufügen eines Computerkontos zu Active Directory, das Einrichten der richtigen Cipher, das Extrahieren der Schlüsseltabelle und das Hinzufügen des Mountziels zum DNS.
Mountziel für Kerberos konfigurieren
Erstellen Sie ein Secret für die Schlüsseltabelle. Der Secret-Inhalt ist die codierte Schlüsseltabelle base64, die Sie kopiert haben, als Sie dem Mountziel mit dem Active Directory beigetreten sind.
Im Folgenden werden die grundlegenden Schritte zur Konfiguration des Mountziels für Kerberos aufgeführt:
- Mountziel mit Active Directory verknüpfen (vorheriger Schritt).
- Keytab Vault Secrets konfigurieren
- Kerberos auf dem Mountziel konfigurieren
NFS-Export mit Kerberos mounten
Kerberos NFS unterstützt die folgenden drei Sicherheitsmechanismen.
- krb5: Kerberos nur zur Authentifizierung.
- krb5i: Authentifiziert und verwendet kryptografische Hashes mit jeder Transaktion, um die Integrität sicherzustellen. Der Verkehr kann noch abgefangen und untersucht werden, Änderungen am Verkehr sind jedoch nicht möglich.
- krb5p: Authentifiziert und verschlüsselt den gesamten Datenverkehr zwischen Client und Server. Der Traffic kann nicht geprüft und nicht geändert werden.
C:\Users\fss-user-1>mount -o sec=krb5 fss-mt-ad-1.fss-ad.com:/krb-fs-1 T:
T: is now successfully connected to fss-mt-ad-1.fss-ad.com:/krb-fs-1
The command completed successfully.
sys
, krb5
, krb5i
und krb5p
) angegeben wird, wählt Windows den überlegenen Sicherheitsgeschmack für den Export. Verwenden Sie den Befehl mount
, um zu prüfen, welches Flavor Windows beim Einhängen des Laufwerks ausgewählt wurde.
C:\Users\fss-user-1>mount
Local Remote Properties
-------------------------------------------------------------------------------
T: \\fss-mt-ad-1.fss-ad.com\krb-fs-1 UID=0, GID=0
rsize=1048576, wsize=1048576
mount=soft, timeout=0.8
retry=1, locking=yes
fileaccess=755, lang=ANSI
casesensitive=no
sec=krb5
C:\Users\fss-user-1>whoami
fss-ad\fss-user-1
Sie können jetzt über Windows Explorer auf das Laufwerk zugreifen. Beachten Sie, dass die Laufwerkszuordnungen pro Benutzer ausgeführt werden und jeder Benutzer, der auf die OCI File Storage-Freigabe zugreift, die Freigabe dem jeweiligen Laufwerksbuchstaben zuordnen muss.
Active Directory-Autorisierung für LDAP konfigurieren
Führen Sie diese Aufgabe aus, wenn für Active Directory-Benutzer eine LDAP-Autorisierung erforderlich ist. Erfassen Sie die erforderlichen Informationen aus dem Active Directory, legen Sie die Attribute RFC2307 für alle Benutzer und Gruppen fest, die auf File Storage zugreifen, und konfigurieren Sie LDAP auf dem Mountziel.
Zur Konfiguration der Active Directory-Autorisierung für LDAP sind die folgenden grundlegenden Schritte erforderlich:
- Rufen Sie die LDAP-Konfigurationsdetails aus Active Directory ab.
- LDAP-Bind-Benutzer-Secret konfigurieren.
- Erstellen Sie einen ausgehenden Connector.
- Konfigurieren Sie LDAP auf dem Mountziel.
Hinweis:
Das Mountziel kann kein selbstsigniertes LDAP-Zertifikat verwenden.NFS-Export konfigurieren
Konfigurieren Sie die Exporteinstellungen entsprechend den Autorisierungsanforderungen.
Unix-Berechtigung in Windows
Auf Oracle Cloud Infrastructure File Storage wird mit dem Protokoll NFSv3 zugegriffen. Die Autorisierung wird mit Unix-Berechtigungen ausgeführt.
ldp.exe
können Sie die RFC2307-Attribute des Benutzers und der Gruppe abfragen, um UID-, GID- und Gruppenmitgliedschaften anzuzeigen. Die Unix-Berechtigungen werden auf Basis der in LDAP gespeicherten UID-, GID- und Gruppenmitgliedschaften geprüft.Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixAccount)(uid=fss-user-1))
Attributes: uidNumber;gidNumber
Verwenden Sie Windows Explorer, um zu sehen, welcher Eigentümer und welche Gruppe Eigentümer der Datei oder des Ordners ist und welche Berechtigungen für die Datei oder den Ordner festgelegt sind. Sie können über die Eigenschaften von Dateien oder Ordnern auf NFS-Attribute (Unix-Attribute) zugreifen.
fss-user-1
500 beträgt, berücksichtigt OCI File Storage alle Gruppen, bei denen der Benutzer Mitglied ist, zur Berechtigungsprüfung. Verwenden Sie die folgende Abfrage, um die Gruppenmitgliedschaft des Benutzers fss-user-1
zu suchen.
Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixGroup)(memberUid=fss-user-1))' gidNumber
Attributes: gidNumber
Erste Ordnerberechtigungen erstellen
Berücksichtigen Sie bei der Implementierung die Ordnerberechtigungen.
Eigentümer des OCI File Storage-Root-Verzeichnisses ist uid 0 und mit 755 (rwx für root, r-x für root und r-x für andere) Berechtigungen. Root-Zugriff ist erforderlich, um zusätzliche Ordner für Benutzer zu erstellen oder Berechtigungen zu ändern. Es ist eine Administratoraufgabe, anfängliche Berechtigungen zu erstellen und einzurichten, die den Anforderungen entsprechen.
Sie können eine der folgenden Methoden verwenden, um Admin-Zugriff auf das Dateisystem zu erhalten:
- Alle Benutzer sind nur reguläre Benutzer, es sei denn, sie sind uidNumber 0 zugeordnet und Root wird nicht gequetscht. Ordnen Sie einen Admin-Benutzer in LDAP-Attributen des Benutzers uidNumber 0 zu.
- Exportieren Sie das Dateisystem mit der
SYS
-Authentifizierung in eine sichere Linux-Workstation. Verwenden Sie den Benutzerroot
, um Berechtigungen zu erstellen und zu verwalten.