Documentación de Oracle Cloud Infrastructure

Configuración de LDAP para Autorización

Obtener información sobre cómo configurar LDAP para autorización con File Storage.

  1. Asegúrese de tener la infraestructura LDAP necesaria y de haber recopilado la información necesaria. Consulte Requisitos previos para obtener más información.
  2. Agregue las políticas de IAM necesarias.
  3. Cargue la contraseña de LDAP en OCI Vault en formato de texto sin formato. Para obtener más información, consulte Visión general de Vault.
  4. Cree dos conectores salientes para ponerse en contacto con el servidor LDAP.
    Nota

    El uso de LDAP para la autorización requiere al menos un conector de salida. Se puede utilizar un segundo conector de salida como copia de seguridad o para failover. Consulte Secondary Group Lookup y Caching para obtener detalles sobre cómo responde File Storage cuando no puede acceder a un servidor LDAP.
  5. Agregue detalles de comunicación LDAP a un destino de montaje.
  6. Cree o actualice un sistema de archivos que utilice el destino de montaje activado para LDAP.
  7. Active LDAP en la exportación del sistema de archivos.
  8. Configure las opciones de exportación NFS opcionales.
  9. Monte el sistema de archivos.

Configuración de LDAP para un destino de montaje

Agregue información de LDAP a un destino de montaje para utilizarla en la autorización.

Nota

Al actualizar un destino de montaje existente para utilizar LDAP, las actualizaciones pueden tardar un tiempo en reflejarse por completo en File Storage.
    1. Abra el menú de navegación y seleccione Almacenamiento. En File Storage, seleccione Mount Targets.
    2. En la sección Ámbito de lista, en Compartimento, seleccione un compartimento.
    3. Busque el destino de montaje que le interesa, haga clic en el menú Acciones (Menú Acciones) y, a continuación, haga clic en Ver detalles.
    4. Haga clic en el separador NFS para ver o editar la configuración de NFS existente para el destino de montaje.
    5. Junto a LDAP, haga clic en Manage (Gestionar).

    6. En la ventana Manage LDAP (Gestionar LDAP), proporcione los siguientes detalles:

      • Tipo de esquema: el tipo de esquema de la cuenta de LDAP.

        El único valor permitido es RFC2307.

      • Intervalo de refrescamiento de caché en segundos: frecuencia con la que el destino de montaje debe ponerse en contacto con el servidor LDAP para obtener actualizaciones.
      • Duración de caché en segundos: tiempo que se pueden utilizar las entradas almacenadas en caché.
      • Vida útil de caché negativa en segundos: cuánto tiempo se almacena en caché si falta la información de asignación de ID.
      • Buscar base para usuarios: todas las búsquedas LDAP son recursivas, empezando por este usuario.
      • Buscar base para grupos: todas las búsquedas LDAP son recursivas, empezando por este grupo.
      • Conector de salida 1: primer conector que se utiliza para comunicarse con el servidor LDAP.
      • Conector de salida 2: el segundo conector que se utilizará para comunicarse con el servidor LDAP.
      • Activar LDAP: active esta opción para requerir que el destino de montaje utilice un servidor LDAP para la consulta de grupo secundario. La exportación del sistema de archivos también debe tener activada la opción Usar LDAP para lista de grupos.
    7. Haga clic en Guardar.

  • Utilice el comando oci fs mount-target create con las opciones --idmap-type y --ldap-idmap para crear un destino de montaje y proporcionar detalles de LDAP.

    oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --idmap-type LDAP --ldap-idmap <file://ldap.json>

    Utilice el comando oci fs mount-target update con las opciones --idmap-type y --ldap-idmap para actualizar un destino de montaje existente con detalles de LDAP.

    oci fs mount-target update --mount-target-id <mount_target_id> --idmap-type LDAP --ldap-idmap <file://ldap.json>

    A continuación se muestra un ejemplo de archivo ldap.json:

    {
  "cacheLifetimeSeconds": 300,
  "cacheRefreshIntervalSeconds": 300,
  "groupSearchBase": "cn=accounts,dc=example,dc=com",
  "negativeCacheLifetimeSeconds": 300,
  "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "userSearchBase": "cn=accounts,dc=example,dc=com",
  "schemaType": "RFC2307"
}

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de CLI.

  • Utilice CreateMountTarget o UpdateMountTarget con las opciones idMapType y ldapIdmap para crear o actualizar un destino de montaje con detalles de LDAP.

    Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.