Dateispeicher für Microsoft Windows Active Directory-Benutzer konfigurieren

Sie können Oracle Cloud Infrastructure (OCI) File Storage in Microsoft Windows Active Directory integrieren, um Windows-Benutzer zu authentifizieren und zu autorisieren.

Anwendungen, die auf Windows-Servern ausgeführt werden, müssen häufig gleichzeitig auf Shared Storage zugreifen, um High Availability und verteilte Verarbeitungsarchitektur zu unterstützen. Windows-Benutzer benötigen auch Shared Storage, um mit anderen Benutzern zusammenzuarbeiten. In einigen Fällen ist es notwendig, Daten zwischen Linux- und Windows-Systemen zu teilen.

Windows und Linux müssen NFS verwenden, da es das einzige Dateifreigabeprotokoll ist, das heute in OCI File Storage verfügbar ist. Kunden verwenden die folgenden Workarounds, um die Active Directory-Authentifizierung für Windows-Benutzer mit OCI File Storage zu aktivieren:

OCI File Storage-Dateisystem mit SAMBA auf einer anderen Compute-Instanz erneut exportieren
Erstellen einer separaten Infrastruktur für Windows-Dateifreigabe

Windows-Betriebssysteme, die mit Windows 7 und Windows Server 2008 beginnen, unterstützen Network File System (NFS) mit NFS-Client, der in späteren Versionen standardmäßig aktiviert ist.

Bevor Sie beginnen

In diesem Lösungs-Playbook wird davon ausgegangen, dass Sie über eine Active Directory-Umgebung verfügen und Zugriff auf einen Domänencontroller mit Remote Desktop Protocol (RDP) haben. Sie können die Authentifizierung allein (Kerberos), nur LDAP (Autorisierung allein) oder beides zusammen konfigurieren.

Dieses Lösungs-Playbook ist eine Referenz, mit der die Konfigurationsanforderungen demonstriert werden sollen. Wenden Sie sich an Ihre jeweiligen Administratoren (Windows, Active Directory und Oracle Cloud Infrastructure), um diese Lösung entsprechend der Umgebung und den Best Practices Ihres Unternehmens zu planen und zu ändern.

Architektur

Diese Architektur zeigt Microsoft Windows und Services in einem vom Kunden verwalteten Data Center und deren Interaktion mit dem Mountziel und Oracle Cloud Infrastructure File Storage auf Oracle Cloud Infrastructure (OCI).

Eine OCI File Storage-Service-Dateifreigabeumgebung erfordert Netzwerkkonnektivität zum LDAP-Server und Integration mit Ihrer Kerberos-, LDAP- und DNS-Infrastruktur.

Beschreibung von file-storage-windows-ad.png folgt

Beschreibung der Abbildung file-storage-windows-ad.png

Datei-Speicher-Fenster-ad-oracle.zip

Die Architektur verwendet die folgenden Kommunikationsmethoden:

A: NFS-Clientkommunikation mit dem Mountziel über TCP-Port 2048, 2049 und 2050.
B: NFS-Client spricht über TCP- und UDP-Port 53, LDAP über Port 389 oder LDAPS über Port 636 mit DNS. Kerberos über TCP und UDP-Port 88.
C: Mounten Sie die Zielkommunikation mit DNS über TCP- und UDP-Port 53 und LDAP über TCP-Port 636. Für das Mountziel muss der LDAP-Server über ein ordnungsgemäßes Zertifikat von einer geeigneten Certificate Authority verfügen. Selbstsignierte Zertifikate werden nicht akzeptiert
D: Interne Kommunikation zwischen Mountziel und Dateisystem in OCI File Storage Service (Oracle Managed Infrastructure).

Diese Architektur unterstützt die folgenden Komponenten in einem vom Kunden verwalteten Data Center:

DNS-Server
Ermöglicht dem Mountziel und anderen Systemen die Suche nach Hostnamen, einschließlich des LDAP-Servers. Der DNS-Server ist eine vom Kunden verwaltete Entity, die sich außerhalb von OCI File Storage Service befindet. Der DNS-Server kann sich in demselben VCN wie das Mountziel, einem anderen VCN in derselben Region oder einer anderen Region oder On Premise befinden. Für den DNS-Service sind TCP und UDP-Port 53 auf Firewall geöffnet.
LDAP
LDAP ist der Directory Service, bei dem Mountziele und andere Systeme Attribute für die Benutzer und Gruppen abrufen. Ähnlich wie der DNS-Server ist dies eine vom Kunden verwaltete Entity und kann überall mit Konnektivität zu Port 636 (LDAPS) lokalisiert werden. Active Directory verwendet LDAP für Directory-Services, und das Mountziel verwendet diese LDAP-Services zur Benutzerautorisierung.
Kerberos
Kerberos ist ein sicheres Authentifizierungsprotokoll nach Branchenstandard, das Authentifizierung, Datenintegrität und Verschlüsselung während der Übertragung erleichtert. Kerberos ist Teil der Active Directory-Infrastruktur und ist die Standardauthentifizierung, die von Windows-Benutzern verwendet wird.
Aktives Directory
Active Directory ist ein Verzeichnisdienst für eine Microsoft Windows-Domäne. Es ermöglicht eine zentralisierte Domainverwaltung und verschiedene verzeichnisbasierte Identitätsservices. Domänencontroller hostet Active Directory-Dienste zur Authentifizierung und Autorisierung aller Benutzer und Computer in der Windows-Umgebung. Es implementiert ein Kerberos-Standardprotokoll für die Authentifizierung, mit dem das Mountziel zur Authentifizierung und Autorisierung von Windows-Benutzern verwendet wird. Dies ist eine vom Kunden verwaltete Entity ähnlich DNS, die sich außerhalb von OCI File Storage Service befindet.

Diese Architektur unterstützt die folgenden Komponenten in OCI:

Mount-Ziel
Mountziel ist eine Komponente von OCI File Storage. Es befindet sich im Kunden-VCN und stellt eine IP-Adresse für die Clients zum Mounten des Dateisystems bereit.
Dateispeicher
Der Oracle Cloud Infrastructure File Storage Service stellt ein dauerhaftes, skalierbares, sicheres Netzwerkdateisystem der Unternehmensklasse bereit. Sie können über jede Bare-Metal-, VM- oder Containerinstanz in einem VCN eine Verbindung zu einem File Storage Service-Dateisystem herstellen. Sie können auch außerhalb des VCN mit Oracle Cloud Infrastructure FastConnect und IPSec VPN auf ein Dateisystem zugreifen.

Betriebsmodi

Bei der Integration von Kerberos und LDAP mit File Storage Service können Sie die Windows-Dateifreigabe auf eine der folgenden Arten konfigurieren:

Einfacher NFS-Zugriff von Windows-Instanzen ohne Authentifizierung.
Mounten Sie File Storage von Windows-Instanzen ohne zusätzliche Konfiguration auf dem Mountziel.

Windows-Benutzer und -Anwendungen können mit einer konfigurierten Benutzer-ID und Gruppen-ID in der Windows-Registry auf File Storage zugreifen. Für diesen Betriebsmodus ist keine LDAP- oder Kerberos-Konfiguration erforderlich. Weitere Informationen finden Sie unter Dateisysteme von Windows-Instanzen aus mounten.
Authentifizieren Sie Benutzer ohne Autorisierung.
Konfigurieren Sie Kerberos zur Authentifizierung von Benutzern mit Active Directory. Alle authentifizierten Benutzer werden dann einer einzelnen Benutzer-ID und Gruppen-ID zugeordnet, indem der Benutzer den File Storage-Export komprimiert. Mit dieser Benutzer-ID und Gruppen-ID wird der Zugriff auf Dateien und Ordner in File Storage autorisiert. Dieser Betriebsmodus kann die Konfiguration vereinfachen, wenn nur eine Verschlüsselung während der Übertragung erforderlich ist. Siehe "Mountziel für Kerberos konfigurieren" und "Benutzer und Gruppen mit NFS-Export konfigurieren".
Benutzer ohne Authentifizierung autorisieren.
Integrieren Sie den Windows NFS-Client mit Active Directory, und verwenden Sie uidNumber und gidNumber, die in Active Directory konfiguriert sind.

LDAP-Konfiguration auf dem Mountziel ist für diesen Betriebsmodus nicht obligatorisch. Wenn jedoch zusätzliche Gruppenmitgliedschaft für den Benutzer zur Autorisierung in Betracht gezogen werden soll, ist eine LDAP-Konfiguration auf dem Mountziel erforderlich. Siehe "Windows NFS-Client mit Active Directory integrieren" und "LDAP-Konfiguration".
Authentifizieren und autorisieren Sie Benutzer mit Active Directory.
Konfigurieren Sie Kerberos und LDAP auf dem Mountziel, um Authentifizierung und Autorisierung zu erreichen. Wie bei anderen Modi werden die Berechtigungsprüfungen (Autorisierung) basierend auf Unix-Berechtigungen (uid, gid und andere) durchgeführt. Siehe "Mountziel für Kerberos konfigurieren", "LDAP-Konfiguration" und "Unix-Berechtigung in Windows".

Informationen zu Kerberos, LDAP und Windows Active Directory

Sie können Kerberos und Lightweight Directory Access Protocol (LDAP) mit Oracle Cloud Infrastructure File Storage integrieren, um eine sichere, zentralisierte Authentifizierung und Autorisierung zu gewährleisten. Die Active Directory-Authentifizierung für Windows-Benutzer basiert auf der File Storage Kerberos- und LDAP-Funktion.

Im Folgenden werden einige der Vorteile der Integration von Kerberos und LDAP aufgeführt:

Zentrale Verwaltung: Organisieren Sie Benutzer und ermöglichen Sie maßgeschneiderte Zugriffsrechte mit Ihrem Windows Active Directory Kerberos- und LDAP-Identitätsmanagementsystem.
Sicherheitscompliance: Erfüllen Sie die Anforderungen an die Sicherheitscompliance mit den folgenden Betriebsarten:
- krb5: Kerberos-Authentifizierung und -Autorisierung.
- krb5i: Integrität zum Schutz vor Man-in-the-Middle-Angriffen und nicht autorisierten Änderungen.
- krb5p: Datenschutz oder Vertraulichkeit, um Lauschangriffe (Verschlüsselung während der Übertragung) zu verhindern.
Benutzer mit weiteren Gruppen skalieren: Erhöhen Sie die maximale Anzahl von sekundären Unix-Gruppen, die OCI File Storage für die Autorisierung unterstützt, auf 256 (von 16).
Integration mit Microsoft Windows Active Directory: Zugriff auf OCI File Storage NFS-Freigaben von Active Directory auf Microsoft Windows-Workstations und Unix-Berechtigungen für Active Directory-Benutzer (basierend auf Benutzer, Gruppe und anderen).

Zusammenfassung der Vorteile mit der Active Directory-Integration in einer Microsoft Windows-Umgebung:

File Storage-Zugriff von Microsoft Windows, universeller Zugriff über Linux und Windows und Berechtigungen basierend auf Unix (Benutzer-ID, Gruppen-ID und andere).
Benutzerauthentifizierung mit Active Directory.
Vermeiden Sie die Verwendung von Samba auf einer Compute-Instanz, um OCI File Storage mit dem Server Message Block (SMB)-Protokoll für den Microsoft Windows-Zugriff erneut zu exportieren.
Verwenden Sie Active Directory und LDAP für eine zentrale Benutzerverwaltung.
Aktivieren Sie Verschlüsselung während der Übertragung mit Kerberos.

Einschränkungen des NFS-Zugriffs von Windows

Beachten Sie die folgenden Einschränkungen beim Zugriff auf NFS von Microsoft Windows:

NFS-Protokoll ist nicht das standardmäßige und native Dateifreigabeprotokoll in Windows. Die von einzelnen Instanzen beobachtete Performance kann im Vergleich zu SMB langsamer sein. Wenn es einen Performanceunterschied gibt, erfolgt dies aus Sicht eines NFS-Clients, ohne dass sich dies auf die Performance aus dem Oracle Cloud Infrastructure File Storage-Service auswirkt.
Beschränkt auf Unix-Berechtigungen ohne ACL-Unterstützung.
Begrenzte internationale Zeichenunterstützung (kein Unicode). Informationen zur begrenzten Unterstützung internationaler Zeichensätze finden Sie unter mount command.

Erforderliche Produkte, Services und Rollen

Diese Lösung erfordert die folgenden Produkte und Dienstleistungen:

Oracle Cloud Infrastructure (OCI)
OCI-Dateispeicher
Aktives Directory
LDAP

Dies sind die Rollen, die für jedes Produkt und jeden Service erforderlich sind.

Produkt- oder Servicename: Berechtigungen	Erforderlich für...
Oracle Cloud Infrastructure: Berechtigungen im Compartment. Wenn Berechtigungen in verschiedene Rollen unterteilt sind, wenden Sie sich an die entsprechenden Administratoren, um die Aufgabe auszuführen.	Konfigurieren Sie die OCI File Storage-Integration mit Kerberos und LDAP. OCI File Storage-Service verwalten (Dateifamilienberechtigungen verwalten). OCI-Benutzer muss über Berechtigungen im Compartment verfügen. Erstellen Sie Secrets im Vault. Erstellen Sie Policys und dynamische Gruppe für das Mountziel, um Vault Secrets zu lesen.
Active Directory: Schreibberechtigungen für das Active Directory	Erstellen Sie Benutzer, fügen Sie Benutzerattribute hinzu, und erstellen Sie Computerkonten.
LDAP: Active Directory-Benutzer mit LDAP-DN und Kennwort	Konfigurieren Sie LDAP auf Mountzielen. Das Mountziel erfordert einen Benutzer mit mindestens schreibgeschützten Berechtigungen zum Lesen von Benutzern, Gruppen und zugehörigen Attributen mit LDAP.

Produkt- oder Servicename: Berechtigungen

Erforderlich für...

Oracle Cloud Infrastructure: Berechtigungen im Compartment. Wenn Berechtigungen in verschiedene Rollen unterteilt sind, wenden Sie sich an die entsprechenden Administratoren, um die Aufgabe auszuführen.

Konfigurieren Sie die OCI File Storage-Integration mit Kerberos und LDAP.
OCI File Storage-Service verwalten (Dateifamilienberechtigungen verwalten). OCI-Benutzer muss über Berechtigungen im Compartment verfügen.
Erstellen Sie Secrets im Vault.
Erstellen Sie Policys und dynamische Gruppe für das Mountziel, um Vault Secrets zu lesen.

Active Directory: Schreibberechtigungen für das Active Directory

Erstellen Sie Benutzer, fügen Sie Benutzerattribute hinzu, und erstellen Sie Computerkonten.

LDAP: Active Directory-Benutzer mit LDAP-DN und Kennwort

Konfigurieren Sie LDAP auf Mountzielen.

Das Mountziel erfordert einen Benutzer mit mindestens schreibgeschützten Berechtigungen zum Lesen von Benutzern, Gruppen und zugehörigen Attributen mit LDAP.

Unter Oracle-Produkte, -Lösungen und -Services erfahren Sie, was Sie benötigen.