Configuración de autenticación y autorización para usuarios de Active Directory

Configure la gestión de identidad y acceso de Oracle Cloud Infrastructure, configure la autenticación y autorización de Active Directory (AD), configure la exportación NFS y configure los permisos de Unix.

Configuración de políticas de Oracle Cloud Infrastructure Identity and Access Management

Cree un grupo dinámico en Oracle Cloud Infrastructure (OCI) Identity and Access Management y agregue políticas para permitir que los destinos de montaje tengan acceso a los secretos de LDAP y Kerberos. Esto es necesario para las configuraciones de Kerberos y LDAP.

Conéctese a OCI.
Abra el menú de navegación y haga clic en Identidad y seguridad.
Haga clic en Grupos dinámicos.
Haga clic en Crear grupo dinámico y, a continuación, introduzca el nombre y la descripción.
El nombre debe ser único en todos los grupos de su arrendamiento (grupos dinámicos y grupos de usuarios). No puede cambiar el nombre más adelante. Evite introducir información confidencial.

En este ejemplo se utiliza el grupo ad-kerberos-mt-group para todos los destinos de montaje del compartimento ad-kerberos.

Introduzca las reglas de coincidencia para definir los miembros del grupo.

Por ejemplo,

ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_ocid>' }

Haga clic en Create.
Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Políticas.
Haga clic en Crear política.
Introduzca un nombre, una descripción y el compartimento para la nueva política.
El nombre debe ser único para todas las políticas del arrendamiento. Esto no se puede cambiar posteriormente. Evite introducir información confidencial.
Utilice Policy Builder para crear una política que permita el acceso del destino de montaje a los secretos del compartimento.
En este ejemplo se utiliza el grupo ad-kerberos-mt-group para todos los destinos de montaje del compartimento ad-kerberos.
```
allow dynamic-group ad-kerberos-mt-group to read secret-family in compartment ad-kerberos
```
Haga clic en Create.

Configuración de la autenticación de Active Directory con Kerberos

Después de configurar Oracle Cloud Infrastructure Identity and Access Management, configurará Active Directory. La configuración de Kerberos implica dos pasos: unir el destino de montaje a Active Directory de Microsoft y, a continuación, actualizar la configuración del destino de montaje con la configuración de Kerberos.

Unión del destino de montaje a Active Directory

Complete esta tarea cuando se requiera autenticación para los usuarios de Active Directory. Este es un proceso manual que se realiza fuera del servicio Oracle Cloud Infrastructure File Storage. Unirse al destino de montaje en Active Directory de Microsoft implica agregar una cuenta de equipo a Active Directory, configurar el cifrado correcto, extraer la tabla de claves y agregar el destino de montaje al DNS.

Cree una cuenta de equipo para el destino de montaje (MT) en Active Directory.
Puede crear la cuenta desde la línea de comandos o utilizar el complemento Active Directory Users and Computers para crear una nueva cuenta de equipo.
Command-Line
```
C:\Users\administrator>djoin /provision /domain fss-ad.com /machine fss-mt-ad-1 /savefile offlinedomainjoin.txt
```
```
Provisioning the computer...
Successfully provisioned [fss-mt-ad-1] in the domain [fss-ad.com].
…
The operation completed successfully.
```
Active Directory Users and Computers
1. Vaya al directorio Active Directory Users and Computers, amplíe fs-ad.com y, a continuación, seleccione Computadoras.
2. Haga clic en Nuevo y, a continuación, en Computadora.
3. Agregue fss-mt-ad-1.
  
  Una vez hecho esto, FSS-MT-AD-1 aparece bajo el árbol Computers en el complemento Active Directory Users and Computers.

Cree una tabla de claves con ktpass.exe.

Note:

Debe abrir el símbolo del sistema como administrador para ejecutar ktpass.exe. De lo contrario, fallará. AES256-SHA1 es aes256-cts-hmac-sha1-96.

C:\>ktpass -princ nfs/fss-mt-ad-1.fss-ad.com@FSS-AD.COM -mapuser FSS-AD\fss-mt-ad-1 -crypto AES256-SHA1 +rndpass -ptype KRB5_NT_SRV_HST  -out fss-mt-ad-1.keytab
Targeting domain controller: ad-server.fss-ad.com
Successfully mapped nfs/fss-mt-ad-1.fss-ad.com to FSS-MT-AD-1$.
WARNING: Account FSS-MT-AD-1$ is not a user account (uacflags=0x1001).
WARNING: Resetting FSS-MT-AD-1$'s password may cause authentication problems if FSS-MT-AD-1$ is being used as a server.

Reset AD-FSS-MT-2$'s password [y/n]?  y
Password successfully set!
Key created.
Output keytab to fss-mt-ad-1.keytab:
Keytab version: 0x502
keysize 88 nfs/fss-mt-ad-1.fss-ad.com@FSS-AD.COM ptype 3 (KRB5_NT_SRV_HST) vno 2 etype 0x12 (AES256-SHA1) keylength 32

Convierta la tabla de claves en base64 para utilizarla con la tabla de claves al configurar Kerberos en el destino de montaje.
```
C:\>certutil.exe -encode fss-mt-ad-1.keytab keytab.txt
Input Length = 94
Output Length = 188
CertUtil: -encode command completed successfully.

C:\>notepad keytab.txt
```
1. Abra el archivo keytab.txt en un bloc de notas.
2. Elimine las líneas BEGIN y END CERTIFICATE.
3. Copie el texto base64 en una línea larga continua sin espacio en una sola línea.
  Necesitará el texto base64 cuando configure los secretos para el destino de montaje para Kerberos más adelante.
Modifique el atributo de destino de montaje (MT) en Active Directory para utilizar cifrados más seguros. Localice la cuenta de MT y cambie el valor del atributo msDS-SupportedEncryptionTypes a 24 para aes256-cts-hmac-sha1-96.
Active Directory proporciona tickets con cifrado RC4 por defecto. Si el atributo msDS-SupportedEncryptionTypes no existe, cree uno y defina los valores.
Abra el gestor de DNS y expanda el árbol del servidor DNS.
Agregue las zonas de consulta prospectiva para el destino de montaje. Introduzca la dirección IP, seleccione Crear registro de puntero asociado (PTR) y, a continuación, haga clic en Agregar host.

Configuración del destino de montaje para Kerberos

Cree un secreto para la tabla de claves. El contenido del secreto es la tabla de claves codificada base64 que ha copiado al unir el destino de montaje con Active Directory.

A continuación, se muestran los pasos básicos necesarios para configurar el destino de montaje para Kerberos:

Unir el destino de montaje en Active Directory (paso anterior).
Configure los secretos del almacén de tablas de claves.
Configurar Kerberos en el destino de montaje.

Go to the Oracle Cloud Infrastructure (OCI) Console and open the navigation menu.
Haga clic en Identidad y seguridad y, a continuación, en Almacén.
En Ámbito de lista, seleccione el compartimento en el que desea crear un secreto.
En este ejemplo se utiliza el compartimento ad-kerberos.
En Resources, haga clic en Secrets y, a continuación, en Create Secret.
Introduzca la siguiente información en el panel Crear secreto:
Evite introducir información confidencial.
1. Nombre: introduzca un nombre para identificar el secreto. Por ejemplo, fss-mt-ad-1-keytab-secret.
2. Descripción: introduzca una breve descripción del secreto como ayuda para identificarlo. Por ejemplo, Keytab para fss-mt-ad-1.
3. Clave de cifrado: seleccione la clave de cifrado maestra que desea utilizar para cifrar el contenido del secreto mientras se importa al almacén. Por ejemplo, mount-target-secrets.
  La clave debe pertenecer al mismo almacén. La clave también debe ser simétrica. No puede cifrar secretos de almacén con claves asimétricas.
4. Plantilla de tipo de secreto: Base64.
5. Contenido del secreto: introduzca el contenido.
  Esta es la tabla de claves codificada base64 que guardó anteriormente cuando convirtió la tabla de claves en base64 como parte de la unión del destino de montaje a Active Directory.
Haga clic en Crear secreto.
Vaya al separador NFS del destino de montaje.
1. Haga clic en Almacenamiento en el menú de navegación.
2. En File Storage, haga clic en Mount Targets.
3. En la sección Ámbito de lista, en Compartimento, seleccione un compartimento.
  Por ejemplo, ad-kerberos.
4. Busque el destino de montaje y, a continuación, haga clic en el separador NFS.
Haga clic en Manage (Gestionar) junto a Kerberos en el separador NFS (NFS).
Seleccione el secreto y la versión de la tabla de claves y, a continuación, haga clic en Validar tabla de claves, vea los resultados y guarde. Seleccione Activar Kerberos.
En este ejemplo, el secreto de tabla de claves en el compartimento de ad-kerberos es fss-mt-ad-1-keytab-secret y la versión de secreto de tabla de claves actual es 1.

Montar exportación NFS con Kerberos

NFS con Kerberos admite los siguientes tres mecanismos de seguridad.

krb5: Kerberos sólo para autenticación.
krb5i: autenticado y utiliza hashes criptográficos con cada transacción para garantizar la integridad. El tráfico aún puede ser interceptado y examinado, pero las modificaciones al tráfico no son posibles.
krb5p: autenticado y cifrado de todo el tráfico entre el cliente y el servidor. El tráfico no se puede inspeccionar y no se puede modificar.

C:\Users\fss-user-1>mount -o sec=krb5 fss-mt-ad-1.fss-ad.com:/krb-fs-1 T:
T: is now successfully connected to fss-mt-ad-1.fss-ad.com:/krb-fs-1

The command completed successfully.

Si no se proporciona un tipo de seguridad (sys, krb5, krb5i y krb5p) durante el montaje, Windows elegirá el tipo de seguridad superior definido en la exportación. Utilice el comando mount para verificar el tipo de Windows seleccionado cuando se montó la unidad.

C:\Users\fss-user-1>mount

Local    Remote                                 Properties
-------------------------------------------------------------------------------
T:       \\fss-mt-ad-1.fss-ad.com\krb-fs-1      UID=0, GID=0
                                                rsize=1048576, wsize=1048576
                                                mount=soft, timeout=0.8
                                                retry=1, locking=yes
                                                fileaccess=755, lang=ANSI
                                                casesensitive=no
                                                sec=krb5


C:\Users\fss-user-1>whoami
fss-ad\fss-user-1

Ahora puede acceder a la unidad desde el Explorador de Windows. Tenga en cuenta que las asignaciones de unidades se realizan por usuario y cada usuario que accede al recurso compartido de OCI File Storage debe asignar el recurso compartido a la letra de unidad correspondiente.

Configurar autorización de Active Directory para LDAP

Complete esta tarea cuando se requiera autorización LDAP para los usuarios de Active Directory. Recopile la información necesaria de Active Directory, defina los atributos RFC2307 para todos los usuarios y grupos que acceden a File Storage y, a continuación, configure LDAP en el destino de montaje.

A continuación, se muestran los pasos básicos necesarios para configurar la autorización de Active Directory para LDAP:

Obtenga los detalles de configuración de LDAP de Active Directory.
Configure el secreto de usuario de enlace LDAP.
Cree un conector de salida.
Configure LDAP en el destino de montaje.

Note:

El destino de montaje no puede utilizar un certificado LDAP autofirmado.

Obtenga los sistemas que alojan LDAP de DNS y guárdelo para un paso posterior.

En este ejemplo, el sistema es fss-ad.com.

C:\Users\administrator>nslookup -type=srv _ldap._tcp.fss-ad.com
Server:  localhost
Address:  ::1
_ldap._tcp.fss-ad.com   SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = ad-server.fss-ad.com
    ad-server.fss-ad.com    internet address = 10.9.1.194

En Active Directory, busque la base de búsqueda de atributos distinguishedName (DN) para usuarios y grupos.
1. Vaya al directorio Active Directory Users and Computers y amplíe fs-ad.com.
2. Haga clic en Usuarios.
Obtener el DN de usuario de enlace de LDAP.

Note:
Este usuario puede ser un usuario con menos privilegios con capacidades de búsqueda de directorios. La contraseña de este usuario también es necesaria más adelante para configurar el conector de salida.
1. Seleccione ldap-user.
2. Haga clic en el separador Editor de atributos.
3. Seleccione el atributo distinguishedName.
4. Copie el valor y guárdelo para un paso posterior.
Verifique los atributos RFC2307 de todos los usuarios y grupos que acceden a OCI File Storage.
Consulte "Configuración de atributos RFC2307 en Active Directory" para obtener instrucciones y la tabla de atributos RFC2307.
Cree un secreto para el usuario de enlace LDAP detectado en el paso 3 anterior.
El secreto contiene la contraseña que el usuario de LDAP debe enlazar. El formato debe ser texto sin formato.
Configure un conector de salida. El conector de salida está disponible en la página File Storage en Additional Resources. Cree la salida en el mismo dominio de disponibilidad que el destino de montaje.
1. Introduzca el nombre de DNS.
  Por ejemplo, ad-server.fss.ad.com.
2. Introduzca el puerto DSAPS del servicio LDAP.
  Por ejemplo, 636.
3. Escriba el nombre distintivo de enlace.
  Este es el usuario de LDAP para iniciar sesión en el servidor LDAP. Por ejemplo, CN=ldap-user,CN=Users, DC=fss-ad, DC=com.
4. Seleccione el almacén en el compartimento donde se almacenan los secretos.
  Por ejemplo, krb-vault en el compartimento ad-kerberos.
5. Seleccione el secreto en el compartimento.
  Por ejemplo, fss-mt-ad-1-ldap-password en el compartimento ad-kerberos.
6. Seleccione la versión del secreto.
  Por ejemplo, 1.
7. Haga clic en Create.
Configure LDAP para el destino de montaje.
Utilizará el conector de salida del paso anterior.
1. Haga clic en Almacenamiento en el menú de navegación. En File Storage, haga clic en Destinos de montaje.
2. Seleccione un compartimento.
  Por ejemplo, ad-kerberos.
3. Busque el destino de montaje, haga clic en el separador NFS y, a continuación, haga clic en Manage LDAP.
4. Introduzca la base de búsqueda en los campos Base de búsqueda para usuarios y Base de búsqueda para grupos.
  
  Note:
  
  La base de búsqueda de usuario y grupo es el DN obtenido de los usuarios y el contenedor de grupo de Active Directory.
  
  Por ejemplo, Buscar base para usuarios: CN=Users,DC=fss-ad,DC=com y Buscar base para grupos: CN=Users,DC=fss-ad,DC=com.
5. Introduzca los intervalos de caché y, a continuación, seleccione el conector de salida creado en el campo Conector de salida 1.
  En este ejemplo, el intervalo de refrescamiento de caché, la duración de caché y la duración de caché negativa son cada 300 segundos. La cuenta LDAP en Outbound Connector 1 es fss-ad-ob-1.
6. Guarde la configuración.

Configurar exportación de NFS

Configure los valores de exportación según los requisitos de autorización.

Cuando no se requiere autorización LDAP y para asignar todos los usuarios autenticados a un único uid/gid, configure los siguientes valores para borrar todos los usuarios. Utilice las opciones de exportación de cliente NFS para controlar cómo pueden los clientes acceder al sistema de archivos. Edite la siguiente configuración para aplastar a todos los usuarios.
1. Acceso anónimo: seleccione No permitido
2. Squash: seleccione Yes (Sí)
3. Squash UID: introduzca 99
4. Squash GID: introduzca 99
Con esta configuración, todos los usuarios autenticados recibirán el ID de usuario 99 y el ID de grupo 99. No se realiza ninguna consulta LDAP.
Cuando se va a autorizar a los usuarios mediante LDAP, utilice las opciones de exportación NFS para asignar principales de Kerberos a usuarios de Unix.
1. Acceso anónimo: seleccione Permitido
2. Squash: seleccione Ninguno
3. Squash UID: introduzca 199
4. Squash GID: introduzca 199
Con esta configuración, todos los usuarios de Kerberos se asignan a ID de usuario de Unix, ID de grupo y pertenencia a grupo desde LDAP. Si el usuario no está presente en LDAP, se utiliza la asignación anónima y el usuario se asigna al ID de usuario 199 y al ID de grupo 199 de Unix. Si el acceso anónimo está desactivado y el usuario de Kerberos no existe en LDAP, se otorga un error de acceso denegado al usuario que accede al recurso compartido.

Permiso de Unix en Windows

Se accede a Oracle Cloud Infrastructure File Storage mediante el protocolo NFSv3. La autorización se realiza con permisos de Unix.

Puede utilizar la herramienta ldp.exe para consultar los atributos RFC2307 del usuario y del grupo para ver las afiliaciones a uid, gid y grupo. Los permisos de Unix se comprueban según el uid, el gid y las afiliaciones a grupos almacenados en LDAP.

Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com 
Filter: (&(objectClass=posixAccount)(uid=fss-user-1))
Attributes: uidNumber;gidNumber

Utilice el Explorador de Windows para ver qué propietario y grupo posee el archivo o carpeta y qué permisos se establecen en el archivo o carpeta. Puede acceder a los atributos de NFS (atributos de Unix) desde las propiedades de archivos o carpetas.

Aunque el grupo principal para el usuario fss-user-1 es 500, OCI File Storage tendrá en cuenta todos los grupos de los que el usuario es miembro para la comprobación de permisos. Utilice la siguiente consulta para buscar la pertenencia a grupo del usuario fss-user-1.

Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com 
Filter: (&(objectClass=posixGroup)(memberUid=fss-user-1))' gidNumber
Attributes: gidNumber

Crear permisos de carpeta iniciales

Al implantar, tenga en cuenta los permisos de carpeta.

El directorio raíz de OCI File Storage es propiedad de uid 0 y con permisos 755 (rwx para root, r-x para root y r-x para otros). Se necesita acceso raíz para crear carpetas adicionales para los usuarios o para cambiar permisos. Es una tarea de administrador crear y configurar permisos iniciales que cumplan los requisitos.

Puede utilizar uno de los siguientes métodos para obtener acceso de administrador al sistema de archivos:

Todos los usuarios son solo usuarios comunes a menos que se asignen a uidNumber 0 y la raíz no se coloquen. Asigne un usuario administrador a uidNumber 0 en los atributos LDAP del usuario.
Exporte el sistema de archivos con autenticación SYS a una estación de trabajo Linux segura. Utilice el usuario root para crear y gestionar permisos.