Note:

• Este tutorial requiere acceso a Oracle Cloud. Para registrarse para obtener una cuenta gratuita, consulte Introducción a la cuenta gratuita de Oracle Cloud Infrastructure.
• Utiliza valores de ejemplo para credenciales, arrendamiento y compartimentos de Oracle Cloud Infrastructure. Al finalizar la práctica, sustituya estos valores por otros específicos de su entorno en la nube.

Configuración de Oracle Cloud Infrastructure File Storage Service con Active Directory User Access Control

Introducción

En este tutorial se proporciona un enfoque paso a paso para integrar a los usuarios de Active Directory (AD) con una asignación de ID de usuario único (UID)/ID de grupo (GID) para un acceso seguro al servicio Oracle Cloud Infrastructure (OCI) File Storage mediante el cliente del sistema de archivos de red de Windows (NFS). Garantiza la autenticación y el control de acceso adecuados aprovechando los permisos de Active Directory, lo que permite a las organizaciones restringir el acceso al sistema de archivos a usuarios y grupos específicos, al tiempo que se mantiene el cumplimiento de las políticas de seguridad de la empresa.

Al activar la asignación de UID/GID en Active Directory y utilizar permisos de seguridad de Windows, puede:

• Restrinja el acceso a OCI File Storage a usuarios/grupos específicos de Active Directory.

• Asegúrese de que la propiedad del archivo y el control de acceso se aplican correctamente.

• Permitir que los clientes de Windows basados en NFS interactúen de forma segura con OCI File Storage.

En este tutorial, crearemos un OCI File Storage y un destino de montaje en la misma red virtual en la nube (VCN) que los servicios de dominio de Active Directory (AD DS) y la máquina virtual de Windows (VM) unida al dominio. para una integración perfecta y un control de acceso de la tarea 1 a la 4 y activar la integración de Active Directory para OCI File Storage, crear usuarios con asignaciones de UID/GID específicas y aplicar restricciones de acceso de nivel de carpeta de la tarea 5 a la 8.

Objetivos

• Integre los usuarios de Active Directory con la asignación de UID/GID para acceder de forma segura a OCI File Storage mediante el cliente NFS de Windows, al tiempo que aplica el control de acceso basado en permisos de Active Directory.

  • Cree un OCI File Storage.

  • Configure un destino de montaje en la misma VCN que el controlador de dominio y la máquina virtual de Windows.

  • Garantice reglas de seguridad adecuadas para el acceso NFS.

  • Monte el sistema de archivos en la VM de Windows.

  • Prepárese para el control de acceso basado en Active Directory.

  • Cree usuarios de AD con atributos de UID/GID.

  • Configure OCI File Storage con control de acceso de nivel de carpeta.

  • Monte OCI File Storage en máquinas virtuales unidas al dominio.

  • Valide las restricciones de acceso basadas en el usuario.

  Esta configuración garantiza una integración perfecta de Active Directory con OCI File Storage, lo que permite compartir archivos de forma segura y un acceso controlado basado en asignaciones de UID/GID. Esta configuración garantiza un control de acceso seguro y basado en roles para el servicio OCI File Storage mediante la autenticación de Active Directory y la asignación de UID/GID.

Requisitos

• OCI File Storage con un destino de montaje configurado.

• DS de AD con atributos RFC2307 activados.

• Cliente NFS de Windows instalado en máquinas unidas al dominio.

• Tanto el controlador de dominio de Active Directory como el destino de montaje de OCI File Storage deben estar en la misma VCN de red.

Tarea 1: Creación de un almacenamiento de archivos de OCI

1. Conéctese a la consola de OCI, vaya a Almacenamiento y haga clic en Almacenamiento de archivos.

2. Haga clic en Crear sistema de archivos e introduzca la siguiente información.

   • Compartimento: seleccione un compartimento adecuado.
   • Nombre: Introduzca un nombre descriptivo. Por ejemplo, AD-Integrated-FSS.

3. Haga clic en Crear para aprovisionar el sistema de archivos.

Tarea 2: Creación de un destino de montaje en la misma VCN

1. Vaya a la consola de OCI, vaya a File Storage y haga clic en Mount Targets.

2. Haga clic en Crear destino de montaje e introduzca la siguiente información.

   • Compartimento: seleccione el mismo compartimento que OCI File Storage.
   • Nombre: introduzca un nombre. Por ejemplo, AD-MountTarget.
   • Red virtual en la nube (VCN): seleccione la misma VCN en la que se despliegan el controlador de dominio y la VM unida al dominio.
   • Subred: seleccione una subred privada o pública en la VCN (asegúrese de que permite el tráfico NFS).
   • Nombre de host: introduzca un nombre de host para el destino de montaje.

3. Haga clic en Crear destino de montaje y espere a que se aprovisione.

   

Tarea 3: Configuración de reglas de seguridad para el acceso a NFS

1. Vaya a la consola de OCI, vaya a Networking, Virtual Cloud Networks (VCN) y seleccione su VCN.

2. Haga clic en Listas de seguridad y actualice las reglas de entrada de la subred del destino de montaje con la siguiente información.

   • CIDR de origen: subred que contiene el controlador de dominio y la VM unida al dominio.
   • Protocolo: seleccione TCP.
   • Rango de puertos: introduzca 2049 (para NFS).

3. Agregue una regla de salida para permitir el tráfico saliente desde la subred del destino de montaje con la siguiente información.

   • Destination CIDR: introduzca 0.0.0.0/0.
   • Protocolo: seleccione TCP.
   • Rango de puertos: introduzca 2049.

   Si utiliza grupos de seguridad, asegúrese de que el controlador de dominio, la VM unida al dominio y el destino de montaje estén en el mismo grupo, con NFS (TCP 2049) y DNS (TCP/UDP 53) permitidos.

Tarea 4: Verificación de la conectividad

1. Inicie sesión en la VM de Windows unida al dominio.

2. Pruebe la conectividad al destino de montaje mediante el comando ping o nslookup.

   ping <MOUNT_TARGET_IP>
   nslookup <MOUNT_TARGET_HOSTNAME>
   

   Asegúrese de que el controlador de dominio y la máquina virtual de Windows puedan resolver el nombre de host de destino de montaje mediante DNS.

Tarea 5: Configuración de usuarios de Active Directory con atributos UID/GID

1. Abra Usuarios y computadoras de Active Directory (ADUC).

2. En Controlador de dominio, abra ADUC (dsa.msc), haga clic en Ver y active Funciones avanzadas.

   

3. Cree usuarios con atributos RFC2307.

   1. Navegue hasta Usuarios en el dominio. Por ejemplo, fs-ad.com.

   2. Cree los siguientes usuarios y defina los atributos RFC2307.

      Usuario	Número de UID	Número de GID	Descripción
      fssadmin	0	0	Administrador de FSS
      applicationuser1	101	501	Usuario de aplicación 1
      applicationuser2	102	502	Usuario de aplicación 2

      

      

4. Modificar los atributos de un usuario.

   1. Haga clic con el botón derecho en cada usuario y haga clic en Propiedades.

   2. Vaya al Editor de atributos y actualice los siguientes atributos RFC2307.

      • objectClass: agregue posixAccount.
      • uidNumber: asigne valores de la tabla en la tarea 5.3.
      • gidNumber: asigne valores de la tabla en la tarea 5.3.
      • uid: establecido como sAMAccountName.

   3. Haga clic en Aplicar y en Aceptar.

Tarea 6: Configuración de permisos de OCI File Storage

1. Defina la carpeta principal de OCI File Storage con el UID/GID 0 (acceso raíz para fssadmin).

   1. Vaya a la consola de OCI, vaya a File Storage y haga clic en File Systems.

   2. Haga clic en la instancia de OCI File Storage y seleccione la carpeta principal.

   3. Haga clic en Permisos avanzados e introduzca la siguiente información.

      • UID: introduzca 0.
      • GID: introduzca 0.

2. Crear y restringir carpetas específicas de la aplicación.

   1. Dentro de la carpeta principal de OCI File Storage, cree dos carpetas con la siguiente información.

      • Folder1: para applicationuser1 con uid=101.
      • Folder2: para applicationuser2 con uid=102.

   2. Haga clic en Opciones avanzadas y defina los permisos de carpeta.

      • Folder1:

        • UID: introduzca 101.
        • GID: introduzca 501.

      • Folder2:

        • UID: introduzca 102.
        • GID: introduzca 502.

Tarea 7: Montaje de OCI File Storage en máquinas virtuales de Windows unidas por dominio

1. Inicie sesión en la VM de Windows unida al dominio como applicationuser1 o applicationuser2.

2. Abra Símbolo del sistema como Administrador.

3. Monte OCI File Storage mediante la IP de destino de montaje.

   mount -o sec=sys Mount_Target_IP:/<EXPORT_PATH> S:
   

   Nota:

   • Sustituya <MOUNT_TARGET_IP> por la IP del destino de montaje.

   • Sustituya <EXPORT_PATH> por la ruta de exportación de OCI File Storage.

4. Verifique el montaje con el siguiente comando.

   net use
   

   Asegúrese de que S: se ha montado correctamente.

   

Tarea 8: Validación de restricciones de acceso a carpetas

• Verificación de acceso de usuario

  • applicationuser1:

    • Acceso: puede leer y escribir en Folder1 (UID: 101).
    • Restricción: no se pueden crear archivos dentro de Folder2 (UID: 102).

  • applicationuser2:

    • Acceso: puede leer y escribir en Folder2 (UID: 102).
    • Restricción: no se pueden crear archivos dentro de Folder1 (UID: 101).

  Además, los usuarios no pueden crear nuevas carpetas en la carpeta principal de OCI File Storage, lo que garantiza una aplicación estricta del control de acceso.

• Configuración de control de acceso basado en grupos para OCI File Storage (FSS)

  Para otorgar a un grupo de usuarios acceso a una carpeta específica de OCI File Storage (FSS), asigne el mismo GID a todos los usuarios del grupo manteniendo sus UID únicos. Al crear la carpeta en OCI FSS, defina solo el GID de las opciones avanzadas para que coincida con el GID del grupo asignado (ejemplo: GID 501). Esto garantiza que todos los usuarios del grupo puedan montar el FSS y acceder a la carpeta designada, manteniendo al mismo tiempo identidades de usuario individuales.

• Aplicación de control de acceso con Active Directory

  Cuando los usuarios se conectan a una VM unida al dominio, pueden montar la unidad y acceder solo a las carpetas del sistema de archivos de OCI para las que están autorizados. Cualquier intento de acceder o modificar carpetas no autorizadas se restringirá en función de los permisos definidos.

  El control de acceso se gestiona de forma centralizada a través de Active Directory, lo que permite que solo los administradores de dominio y los administradores del sistema de archivos (GID/UID: 0) tengan control total sobre las carpetas de OCI File Storage. Esto garantiza un modelo de permisos estructurado y seguro.

• Fortalezca la seguridad con opciones de exportación

  Para mejorar aún más la seguridad, las opciones de exportación de OCI se deben configurar para permitir el acceso solo desde direcciones IP verificadas específicas. Al restringir el acceso del destino de montaje a IP conocidas y autorizadas, se deniega el acceso a los sistemas no autorizados por defecto, lo que convierte a este enfoque en una de las formas más seguras de controlar el acceso a OCI File Storage.

  

Gestión de atributos de archivo en OCI File Storage para evitar la asociación :Zone.Identifier en Windows

Problema: asociación :Zone.Identifier a archivos de OCI File Storage en Windows.

Al copiar archivos en OCI File Storage montado en Windows, se puede agregar un flujo de datos alternativo (:Zone.Identifier) a los archivos. Esto sucede porque Windows utiliza metadatos de identificador de zona para realizar un seguimiento de la zona de seguridad de los archivos descargados, principalmente para evitar la ejecución de contenido potencialmente inseguro.

Dado que OCI File Storage utiliza el protocolo NFS, que soporta atributos ampliados pero no maneja de forma nativa flujos de datos alternativos NTFS (ADS) específicos de Windows, estos flujos :Zone.Identifier se pueden retener involuntariamente cuando se copian archivos. Esto puede causar advertencias o problemas de seguridad inesperados al ejecutar archivos.

Para evitarlo, siga estos pasos en cada máquina virtual de cliente que acceda a esta unidad de destino de montaje de OCI File Storage.

1. Haga clic en Internet (inetcpl.cpl) en la máquina cliente de dominio.

2. Vaya al separador Security, seleccione Local intranet y haga clic en Sites.

3. Haga clic en Avanzado y agregue el nombre de host de destino de montaje de OCI File Storage (el punto de montaje mss \fss-mount-target o \IP-Address-FSS).

   

Enlaces relacionados

• Configuración de File Storage para usuarios de Microsoft Windows Active Directory

• Montaje del sistema de archivos desde el símbolo del sistema de Windows Server

Agradecimientos

• Autores: Akarsha I K (arquitecto de nube), Mayank Kakani (arquitecto de nube)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de formación gratuita en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Configure Oracle Cloud Infrastructure File Storage Service with Active Directory User Access Control

G27598-01

February 2025

Copyright ©2025, Oracle and/or its affiliates.