Documentación de Oracle Cloud Infrastructure

Gestión de conectores de salida

File Storage utiliza conectores de salida para la comunicación con un servidor externo, como un servidor LDAP.

Un conector de salida contiene toda la información necesaria para conectarse, autenticarse y obtener la autorización para realizar las funciones requeridas de la cuenta. Actualmente, los conectores de salida solo se utilizan para comunicarse con servidores LDAP. Puede especificar opciones de configuración para el conector al agregar autenticación LDAP a un destino de montaje.

Al conectarse a un servidor LDAP, un destino de montaje utiliza el primer conector de salida especificado en su configuración. Si el destino de montaje no puede iniciar sesión en el servidor LDAP mediante el primer conector de salida, utiliza el segundo conector de salida.

Varios destinos de montaje pueden utilizar el mismo conector de salida. Puede asociar un conector de salida a un destino de montaje solo cuando existe en el mismo dominio de disponibilidad. Puede tener hasta 32 conectores salientes por dominio de disponibilidad.

Consulte los siguientes temas para obtener instrucciones detalladas relacionadas con la gestión de conectores salientes:

Política de IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador debe ser miembro de un grupo al que un administrador de arrendamiento haya otorgado acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador del arrendamiento el tipo de acceso que tiene y en qué compartimento trabaja el acceso.

Para administradores: la política Permitir que los usuarios puedan crear, gestionar y suprimir sistemas de archivos permite a los usuarios gestionar conectores de salida.

Debido a que los conectores salientes también requieren acceso a secretos para conectarse a un servidor externo, como un servidor LDAP, se necesitan políticas de IAM adicionales tanto para el usuario que configura el destino de montaje como para el destino de montaje en sí.
Importante

Estas políticas se deben crear antes de poder configurar destinos de montaje para utilizar LDAP para la autorización.

Política para activar la configuración de destino de montaje

Otorgue al usuario o grupo que configura LDAP en los permisos de un destino de montaje mediante una política como la siguiente:
allow <user|group> to read secret-family in compartment <Compartment_ID> where any { target.secret.id = <LDAP_Password_Secret_ID> }

Esto permite al usuario emitir comandos de File Storage que leerán los secretos de Vault y mostrarán partes del secreto para su validación durante la configuración.

Política para permitir que un destino de montaje recupere secretos

El servicio de almacenamiento de archivos requiere la capacidad de leer los secretos. File Storage utiliza principales de recursos para otorgar acceso a un juego específico de destinos de montaje al secreto de Vault. Se trata de un proceso de dos pasos, en primer lugar, los destinos de montaje que necesitan acceso se deben colocar en un grupo dinámico y, a continuación, se otorga acceso al grupo dinámico para leer los secretos.

  1. Cree un grupo dinámico para los destinos de montaje con una política como la siguiente:

    ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_id>' }
    Nota

    Si tiene más de una regla en un grupo dinámico, asegúrese de utilizar la opción Match any rules defined below.

  2. Cree una política de IAM que proporcione al grupo dinámico de destinos de montaje acceso de lectura a los secretos de Vault:

     allow dynamic-group <dynamic_group_name> to read secret-family in compartment <secret_compartment_name>

Si no está nuevo en las políticas, consulte Introducción a las políticas y Detalles del servicio File Storage.

Detalles sobre un conector de salida

La página de detalles proporciona la siguiente información sobre un conector de salida:

OCID
Los recursos de Oracle Cloud Infrastructure tienen un ID único asignado por Oracle denominado Oracle Cloud Identifier (OCID), Necesita un OCID de conector de salida para utilizar la interfaz de línea de comandos (CLI) o la API. También necesita el OCID al ponerse en contacto con el soporte. Consulte Identificadores de recursos.
FECHA DE CREACIÓN
Fecha y hora de creación del conector de salida.
COMPARTIMENTO
Al crear un conector de salida, especifique el compartimento en el que reside. Un compartimento es una recopilación de recursos relacionados (como redes en la nube, instancias informáticas o sistemas de archivos) a los que solo pueden acceder los grupos a los que haya otorgado permiso un administrador de la organización. Necesita el compartimento del conector de salida para utilizar la interfaz de línea de comandos (CLI) o la API. Para obtener más información, consulte Gestión de compartimentos.
DOMINIO DE DISPONIBILIDAD
Al crear un conector de salida, se especifica el dominio de disponibilidad en el que reside. Un dominio de disponibilidad es uno o más centros de datos de una región. Necesita un dominio de disponibilidad de conector de salida para utilizar la interfaz de línea de comandos (CLI) o la API. Para obtener más información, consulte Regiones y dominios de disponibilidad.
TIPO DE CONECTOR
Tipo de conector de salida. El único tipo admitido es LDAPBIND.
NOMBRE DE DNS DEL SERVIDOR
Nombre de dominio completo de la instancia donde se ejecuta el servicio de LDAP.
PORT
Puerto LDAPS del servicio de LDAP.
NOMBRE DISTINTIVO DE ENLACE
Nombre distintivo de LDAP utilizado para conectarse al servidor de LDAP.
ÁCIDO DE SECRETO
OCID del secreto en Vault que contiene la contraseña asociada al nombre distintivo de enlace.
VERSIÓN DE SECRETO
Número de versión del secreto de contraseña de LDAP.