1. OCI File Storage Service für Windows Active Directory-Benutzer konfigurieren
  2. Konfiguration planen

Konfiguration planen

Legen Sie fest, wie Sie die Windows-Dateifreigabe konfigurieren möchten.

  1. Einfacher NFS-Zugriff von Windows-Instanzen ohne Authentifizierung.
  2. Authentifizieren Sie Benutzer ohne Autorisierung.
  3. Benutzer ohne Authentifizierung autorisieren.
  4. Authentifizieren und autorisieren Sie Benutzer mit Active Directory.

Erforderliche Infrastructure-Komponenten

Die richtige DNS- und LDAP-Konfiguration ist für die ordnungsgemäße Funktion der Umgebung von entscheidender Bedeutung. Weitere Informationen zur korrekten Konfiguration der Umgebung finden Sie in den folgenden Voraussetzungen und Infrastrukturanforderungen.

  • Vom Kunden verwaltete DNS-Infrastruktur. Das Mountziel muss mit UDP- und TCP-Port 53 auf dem DNS-Server kommunizieren können.
  • Vom Kunden verwaltete Active Directory-Infrastruktur zur Unterstützung der Kerberos-Authentifizierung und LDAP-Autorisierung. Für die Domaincontroller, die den LDAP-Service hosten, muss LDAPS auf Port 636 mit ordnungsgemäß signierten Zertifikaten aktiviert sein, da Mountziele keine selbstsignierten Zertifikate akzeptieren.

  • Ein Anmeldeaccount beim LDAP-Server (LDAP-Service, der auf dem Active Directory-Domaincontroller gehostet wird), mit dem ein OCI File Storage-Mountziel nach RFC2307-konformen Benutzer- und Gruppeninformationen suchen kann.

Windows NFS-Client mit Active Directory konfigurieren

Aktivieren Sie die Active Directory-Benutzerintegration auf allen Workstations, die das NFS-Share von Oracle Cloud Infrastructure File Storage verwenden. Dieser Konfigurationsschritt ist nur bei Verwendung von Modus 3 erforderlich (Benutzer ohne Authentifizierung autorisieren).

Nachdem der Active Directory-Lookup aktiviert wurde, verwendet der Windows NFS-Client uidNumber und gidNumber aus Active Directory als uid und gid für jeden Benutzer, der auf OCI File Storage zugreift. Der NFS-Client verwendet nur AnonymousUid und AnonymousGid aus der Windows-Registry, wenn uidNumber und gidNumber für den Benutzer nicht vorhanden sind.

  1. Aktivieren Sie die Active Directory-Benutzerintegration über die Powershell-Eingabeaufforderung auf dem NFS-Client.
    PS C:\Users\administrator> Set-NfsMappingStore -EnableADLookup $true
PS C:\Users\administrator>
  2. Wiederholen Sie Schritt 1 auf jeder Workstation, die OCI File Storage-NFS-Freigabe verwendet.

Konfigurieren von RFC2307-Attributen in Active Directory

Die folgenden RFC2307-Attribute sind für die Integration von Oracle Cloud Infrastructure File Storage mit Active Directory (AD) erforderlich, werden jedoch nicht standardmäßig aufgefüllt. Sie müssen diese Attribute bei der Konfiguration für Modus 3 (Benutzer ohne Authentifizierung autorisieren) und Modus 4 (Benutzer mit Active Directory authentifizieren und autorisieren) auffüllen.

Objekttyp Attribut Datum Comment
Benutzer objectClass posixAccount posixAccount als zusätzliche Objektklasse hinzufügen
uidNumber Eindeutige numerische Benutzer-ID Unix-Benutzer-ID für den Benutzer
gidNumber Numerische Gruppen-ID Primäre numerische Gruppen-ID für den Benutzer
uid Name des Benutzers Obwohl es uid genannt wird, ist es nicht die Unix-ID des Benutzers. Eindeutiger Benutzername/sAMAccountName
Gruppieren posixGroup posixGroup posixGroup als zusätzliche Objektklasse hinzufügen
gidNumber Eindeutige numerische Gruppen-ID Unix-Gruppen-ID, die für die Gruppe steht
memberUid UID der Benutzer, die Mitglieder der Gruppe sind Fügen Sie jeden Benutzernamen (uid) als Mitglied der Gruppe hinzu. Siehe uid-Attribut oben

Mit dem Snap-In "Active Directory-Benutzer und -Computer" oder dem Tool ADSIEdit können Sie Benutzerattribute bearbeiten. In diesem Beispiel wird das Snap-In "Active Directory-Benutzer und -Computer" verwendet.

  1. Gehen Sie zum Verzeichnis Active Directory Users and Computers in AD.
  2. Blenden Sie fs-ad.com ein, und wählen Sie Benutzer aus.
  3. Klicken Sie in der oberen Navigation auf Anzeigen und dann auf Erweiterte Features.
  4. Wählen Sie den Benutzer aus.
    In diesem Beispiel ist der Benutzer fss-user-1.
  5. Ändern Sie die Attribute nach Bedarf.
  6. Prüfen Sie die Attribute in der Powershell. 
    PS C:\Users\administrator> $Filter = "(&(objectClass=posixAccount)(uid=fss-user-1))"
>> $RootOU = "CN=Users,DC=fss-ad,DC=com"
>> $Searcher = New-Object DirectoryServices.DirectorySearcher
>> $Searcher.SearchRoot = New-Object System.DirectoryServices.DirectoryEntry("LDAP://$($RootOU)")
>> $Searcher.Filter = $Filter
>> $Searcher.SearchScope = "Subtree"
>> $Results = $Searcher.FindAll()
>> $R = foreach  ($line in $Results) {
>>  $line_entry =  $line.GetDirectoryEntry()
>>  $line_entry | Select-Object -Property uid, objectClass, uidNumber, gidNumber
>> }
>> $R

uid          objectClass                                          uidNumber gidNumber
---          -----------                                          --------- ---------
{fss-user-1} {top, posixAccount, person, organizationalPerson...} {901}     {500}


PS C:\Users\administrator> $Filter = "(&(objectClass=posixGroup)(gidNumber=8001))"
>> $RootOU = "CN=Users,DC=fss-ad,DC=com"
>>
>> $Searcher = New-Object DirectoryServices.DirectorySearcher
>> $Searcher.SearchRoot = New-Object System.DirectoryServices.DirectoryEntry("LDAP://$($RootOU)")
>> $Searcher.Filter = $Filter
>> $Searcher.SearchScope = "Subtree"
>> $Results = $Searcher.FindAll()
>> $R = foreach  ($line in $Results) {
>>  $line_entry =  $line.GetDirectoryEntry()
>>  $line_entry | Select-Object -Property gidNumber, objectClass, memberUid
>> }
>> $R

gidNumber objectClass              memberUid
--------- -----------              ---------
{fss-rw-group-1} {8001}    {top, posixGroup, group} {fss-user-2, fss-user-1}