Konfiguration planen
Legen Sie fest, wie Sie die Windows-Dateifreigabe konfigurieren möchten.
- Einfacher NFS-Zugriff von Windows-Instanzen ohne Authentifizierung.
- Authentifizieren Sie Benutzer ohne Autorisierung.
- Benutzer ohne Authentifizierung autorisieren.
- Authentifizieren und autorisieren Sie Benutzer mit Active Directory.
Erforderliche Infrastructure-Komponenten
Die richtige DNS- und LDAP-Konfiguration ist für die ordnungsgemäße Funktion der Umgebung von entscheidender Bedeutung. Weitere Informationen zur korrekten Konfiguration der Umgebung finden Sie in den folgenden Voraussetzungen und Infrastrukturanforderungen.
- Vom Kunden verwaltete DNS-Infrastruktur. Das Mountziel muss mit UDP- und TCP-Port 53 auf dem DNS-Server kommunizieren können.
- Vom Kunden verwaltete Active Directory-Infrastruktur zur Unterstützung der Kerberos-Authentifizierung und LDAP-Autorisierung. Für die Domaincontroller, die den LDAP-Service hosten, muss LDAPS auf Port 636 mit ordnungsgemäß signierten Zertifikaten aktiviert sein, da Mountziele keine selbstsignierten Zertifikate akzeptieren.
-
Ein Anmeldeaccount beim LDAP-Server (LDAP-Service, der auf dem Active Directory-Domaincontroller gehostet wird), mit dem ein OCI File Storage-Mountziel nach RFC2307-konformen Benutzer- und Gruppeninformationen suchen kann.
Windows NFS-Client mit Active Directory konfigurieren
Aktivieren Sie die Active Directory-Benutzerintegration auf allen Workstations, die das NFS-Share von Oracle Cloud Infrastructure File Storage verwenden. Dieser Konfigurationsschritt ist nur bei Verwendung von Modus 3 erforderlich (Benutzer ohne Authentifizierung autorisieren).
Nachdem der Active Directory-Lookup aktiviert wurde, verwendet der Windows NFS-Client uidNumber
und gidNumber
aus Active Directory als uid
und gid
für jeden Benutzer, der auf OCI File Storage zugreift. Der NFS-Client verwendet nur AnonymousUid
und AnonymousGid
aus der Windows-Registry, wenn uidNumber
und gidNumber
für den Benutzer nicht vorhanden sind.
Konfigurieren von RFC2307-Attributen in Active Directory
Die folgenden RFC2307-Attribute sind für die Integration von Oracle Cloud Infrastructure File Storage mit Active Directory (AD) erforderlich, werden jedoch nicht standardmäßig aufgefüllt. Sie müssen diese Attribute bei der Konfiguration für Modus 3 (Benutzer ohne Authentifizierung autorisieren) und Modus 4 (Benutzer mit Active Directory authentifizieren und autorisieren) auffüllen.
Objekttyp | Attribut | Datum | Comment |
---|---|---|---|
Benutzer | objectClass | posixAccount | posixAccount als zusätzliche Objektklasse hinzufügen |
uidNumber | Eindeutige numerische Benutzer-ID | Unix-Benutzer-ID für den Benutzer | |
gidNumber | Numerische Gruppen-ID | Primäre numerische Gruppen-ID für den Benutzer | |
uid | Name des Benutzers | Obwohl es uid genannt wird, ist es nicht die Unix-ID des Benutzers. Eindeutiger Benutzername/sAMAccountName | |
Gruppieren | posixGroup | posixGroup | posixGroup als zusätzliche Objektklasse hinzufügen |
gidNumber | Eindeutige numerische Gruppen-ID | Unix-Gruppen-ID, die für die Gruppe steht | |
memberUid | UID der Benutzer, die Mitglieder der Gruppe sind | Fügen Sie jeden Benutzernamen (uid) als Mitglied der Gruppe hinzu. Siehe uid-Attribut oben |
Mit dem Snap-In "Active Directory-Benutzer und -Computer" oder dem Tool ADSIEdit können Sie Benutzerattribute bearbeiten. In diesem Beispiel wird das Snap-In "Active Directory-Benutzer und -Computer" verwendet.