Documentación de Oracle Cloud Infrastructure

Gestión de conectores de salida

File Storage utiliza conectores de salida para la comunicación con un servidor externo, como un servidor LDAP.

Un conector de salida contiene toda la información necesaria para conectarse, autenticarse y obtener la autorización para realizar las funciones requeridas de la cuenta. Actualmente, los conectores de salida solo se utilizan para comunicarse con servidores LDAP. Puede especificar opciones de configuración para el conector al agregar autenticación LDAP a un destino de montaje.

Al conectarse a un servidor LDAP, un destino de montaje utiliza el primer conector de salida especificado en su configuración. Si el destino de montaje no puede iniciar sesión en el servidor LDAP mediante el primer conector de salida, utiliza el segundo conector de salida.

Varios destinos de montaje pueden utilizar el mismo conector de salida. Puede asociar un conector de salida a un destino de montaje solo cuando existe en el mismo dominio de disponibilidad. Puede tener hasta 32 conectores salientes por dominio de disponibilidad.

Consulte los siguientes temas para obtener instrucciones detalladas relacionadas con la gestión de conectores salientes:

Política de IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador debe ser miembro de un grupo al que se le haya otorgado acceso de seguridad en una política por parte de un administrador de arrendamiento. Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indique que no tiene permiso o no está autorizado, verifique con su administrador de arrendamiento el tipo de acceso y el compartimento en el que funciona su acceso.

Para administradores: la política Permitir que los usuarios puedan crear, gestionar y suprimir sistemas de archivos permite a los usuarios gestionar conectores de salida.

Dado que los conectores salientes también requieren acceso a secretos para conectarse a un servidor externo, como un servidor LDAP, se necesitan políticas de IAM adicionales para el usuario que configura el destino de montaje y el destino de montaje en sí.
Importante

Estas políticas se deben crear antes de poder configurar destinos de montaje para utilizar LDAP para la autorización.

Política para activar la configuración de destino de montaje

Otorgue al usuario o al grupo la configuración de LDAP en permisos de destino de montaje mediante una política como la siguiente. Esto permite al usuario leer los secretos de Vault necesarios durante la configuración.

allow <user|group> to read secret-family in compartment <Compartment_ID> where any { target.secret.id = <LDAP_Password_Secret_ID>, target.secret.id = <Trusted_Certificate_Secret_ID> }

Esto permite al usuario emitir comandos de File Storage que leerán los secretos de Vault y mostrarán partes del secreto para su validación durante la configuración.

Política para permitir que un destino de montaje recupere secretos

El servicio de almacenamiento de archivos requiere la capacidad de leer los secretos. File Storage utiliza principales de recursos para otorgar acceso a un juego específico de destinos de montaje al secreto de Vault. Se trata de un proceso de dos pasos, en primer lugar, los destinos de montaje que necesitan acceso se deben colocar en un grupo dinámico y, a continuación, se otorga acceso al grupo dinámico para leer los secretos.

  1. Cree un grupo dinámico para los destinos de montaje con una política como la siguiente:

    ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_id>' }
    Nota

    Si tiene más de una regla en un grupo dinámico, asegúrese de utilizar la opción Match any rules defined below.

  2. Cree una política de IAM que proporcione al grupo dinámico de destinos de montaje acceso de lectura a los secretos de Vault:

     allow dynamic-group <dynamic_group_name> to read secret-family in compartment <secret_compartment_name>

Si no está nuevo en las políticas, consulte Introducción a las políticas y Detalles del servicio File Storage.

Detalles sobre un conector de salida

La página de detalles proporciona la siguiente información sobre un conector de salida:

OCID
Los recursos de Oracle Cloud Infrastructure tienen un ID único asignado por Oracle denominado Oracle Cloud Identifier (OCID), Necesita un OCID de conector de salida para utilizar la interfaz de línea de comandos (CLI) o la API. También necesita el OCID al ponerse en contacto con el soporte. Consulte Identificadores de recursos.
FECHA DE CREACIÓN
Fecha y hora de creación del conector de salida.
COMPARTIMENTO
Al crear un conector de salida, especifique el compartimento en el que reside. Un compartimento es una recopilación de recursos relacionados (como redes en la nube, instancias informáticas o sistemas de archivos) a los que solo pueden acceder los grupos a los que haya otorgado permiso un administrador de la organización. Necesita el compartimento del conector de salida para utilizar la interfaz de línea de comandos (CLI) o la API. Para obtener más información, consulte Gestión de compartimentos.
DOMINIO DE DISPONIBILIDAD
Al crear un conector de salida, se especifica el dominio de disponibilidad en el que reside. Un dominio de disponibilidad es uno o más centros de datos de una región. Necesita un dominio de disponibilidad de conector de salida para utilizar la interfaz de línea de comandos (CLI) o la API. Para obtener más información, consulte Regiones y dominios de disponibilidad.
TIPO DE CONECTOR
Tipo de conector de salida. El único tipo admitido es LDAPBIND.
NOMBRE DE DNS DEL SERVIDOR
Nombre de dominio completo de la instancia donde se ejecuta el servicio de LDAP.
PORT
Puerto LDAPS del servicio de LDAP.
NOMBRE DISTINTIVO DE ENLACE
Nombre distintivo de LDAP utilizado para conectarse al servidor de LDAP.
ÁCIDO DE SECRETO
OCID del secreto en Vault que contiene la contraseña asociada al nombre distintivo de enlace.
VERSIÓN DE SECRETO
Número de versión del secreto de contraseña de LDAP.
ACTIVACIÓN DE CERTIFICADO DE CONFIANZA
Indica si el conector de salida está configurado para utilizar un certificado de confianza para las conexiones LDAPS.
SECRETO DE CERTIFICADOS DE CONFIANZA
OCID del secreto en Vault que contiene el certificado de confianza.
VERSIÓN DE SECRETOS DE CERTIFICADOS DE CONFIANZA
Número de versión del secreto de certificado protegido.

Resolución de errores de solicitudes incorrectas (HTTP 400) al configurar un certificado de confianza

Si crea un conector de salida y proporciona un OCID secreto de certificado de confianza y una versión de secreto, la solicitud puede fallar con Bad Request (HTTP 400). Esto suele significar que el servicio no ha podido validar el secreto, la versión o el contenido del certificado.

Aquí hay algunas causas y correcciones comunes:

Causa: OCID secreto de almacén no válido

El OCID de certificado de confianza que ha introducido no es un OCID Secret de almacén (o el nombre del secreto no es válido).

Solución: utilice un OCID secreto de almacén válido

  1. Confirme que el OCID apunta a un secreto de almacén (no a un almacén, clave u otro tipo de recurso).
  2. Actualice el conector de salida para utilizar el OCID secreto de certificado protegido correcto.

Causa: versión de secreto no válida

La versión del secreto de certificado de confianza debe ser mayor que 0. Si utiliza 0 (o un número negativo), la validación falla.

Solución: establezca la versión en un número mayor que 0

  1. En Vault, compruebe las versiones del secreto disponibles para el secreto de certificado de confianza.
  2. Actualice el conector de salida para utilizar una versión de secreto mayor que 0.

Causa: Falta el certificado raíz autofirmado

El servicio lee el certificado (o paquete) del secreto y espera encontrar un certificado (raíz) autofirmado. Si no encuentra uno, la validación falla.

Solución: asegúrese de que el secreto incluye un certificado raíz autofirmado

  1. Compruebe el contenido del secreto y confirme que incluye un certificado de CA raíz autofirmado (ya sea como un único certificado o dentro de un paquete).
  2. Actualice el contenido secreto de Vault si es necesario y, a continuación, vuelva a crear el conector de salida.

Causa: certificado raíz caducado

El certificado (raíz) autofirmado encontrado en el secreto ha caducado. Puede que aparezca el mensaje Root Certificate is expired.

Solución: Sustituya el certificado caducado

  1. Cargue un certificado raíz válido (no caducado) en el secreto de Vault.
  2. Si la actualización crea una nueva versión del secreto, actualice el conector de salida para utilizar esa versión y, a continuación, vuelva a intentarlo.

Causa: fallo de acceso secreto de almacén

El servicio no puede leer el secreto (por ejemplo, debido a que faltan permisos, el secreto no está disponible o problemas de conectividad).

Solución: confirme los permisos y el acceso al secreto

  1. Verifique que las políticas de IAM permiten al usuario que realiza el cambio y al destino de montaje (principal de recurso) leer secret-family en el compartimento del secreto.
  2. Confirme que el secreto existe y está disponible, y que el acceso al almacén funciona desde su entorno.

Causa: formato de certificado X.509 no válido

El contenido secreto no es un certificado X.509 válido (o un paquete de certificados), por lo que el servicio no puede analizarlo.

Remedio: Almacenar un certificado (o paquete) X.509 válido

  1. Confirme que los datos de certificado que ha almacenado son un certificado X.509 (o paquete) con el formato correcto y que no están truncados ni dañados.
  2. Actualice el secreto del almacén con el contenido del certificado corregido y, a continuación, vuelva a intentar la creación/actualización del conector de salida.