Configuración de autenticación y autorización para usuarios de Active Directory
Configure la gestión de identidad y acceso de Oracle Cloud Infrastructure, configure la autenticación y autorización de Active Directory (AD), configure la exportación NFS y configure los permisos de Unix.
Configuración de políticas de Oracle Cloud Infrastructure Identity and Access Management
Cree un grupo dinámico en Oracle Cloud Infrastructure (OCI) Identity and Access Management y agregue políticas para permitir que los destinos de montaje tengan acceso a los secretos de LDAP y Kerberos. Esto es necesario para las configuraciones de Kerberos y LDAP.
Configuración de la autenticación de Active Directory con Kerberos
Después de configurar Oracle Cloud Infrastructure Identity and Access Management, configurará Active Directory. La configuración de Kerberos implica dos pasos: unir el destino de montaje a Active Directory de Microsoft y, a continuación, actualizar la configuración del destino de montaje con la configuración de Kerberos.
Unión del destino de montaje a Active Directory
Complete esta tarea cuando se requiera autenticación para los usuarios de Active Directory. Este es un proceso manual que se realiza fuera del servicio Oracle Cloud Infrastructure File Storage. Unirse al destino de montaje en Active Directory de Microsoft implica agregar una cuenta de equipo a Active Directory, configurar el cifrado correcto, extraer la tabla de claves y agregar el destino de montaje al DNS.
Configuración del destino de montaje para Kerberos
Cree un secreto para la tabla de claves. El contenido del secreto es la tabla de claves codificada base64 que ha copiado al unir el destino de montaje con Active Directory.
A continuación, se muestran los pasos básicos necesarios para configurar el destino de montaje para Kerberos:
- Unir el destino de montaje en Active Directory (paso anterior).
- Configure los secretos del almacén de tablas de claves.
- Configurar Kerberos en el destino de montaje.
Montar exportación NFS con Kerberos
NFS con Kerberos admite los siguientes tres mecanismos de seguridad.
- krb5: Kerberos sólo para autenticación.
- krb5i: autenticado y utiliza hashes criptográficos con cada transacción para garantizar la integridad. El tráfico aún puede ser interceptado y examinado, pero las modificaciones al tráfico no son posibles.
- krb5p: autenticado y cifrado de todo el tráfico entre el cliente y el servidor. El tráfico no se puede inspeccionar y no se puede modificar.
C:\Users\fss-user-1>mount -o sec=krb5 fss-mt-ad-1.fss-ad.com:/krb-fs-1 T:
T: is now successfully connected to fss-mt-ad-1.fss-ad.com:/krb-fs-1
The command completed successfully.
sys
, krb5
, krb5i
y krb5p
) durante el montaje, Windows elegirá el tipo de seguridad superior definido en la exportación. Utilice el comando mount
para verificar el tipo de Windows seleccionado cuando se montó la unidad.
C:\Users\fss-user-1>mount
Local Remote Properties
-------------------------------------------------------------------------------
T: \\fss-mt-ad-1.fss-ad.com\krb-fs-1 UID=0, GID=0
rsize=1048576, wsize=1048576
mount=soft, timeout=0.8
retry=1, locking=yes
fileaccess=755, lang=ANSI
casesensitive=no
sec=krb5
C:\Users\fss-user-1>whoami
fss-ad\fss-user-1
Ahora puede acceder a la unidad desde el Explorador de Windows. Tenga en cuenta que las asignaciones de unidades se realizan por usuario y cada usuario que accede al recurso compartido de OCI File Storage debe asignar el recurso compartido a la letra de unidad correspondiente.
Configurar autorización de Active Directory para LDAP
Complete esta tarea cuando se requiera autorización LDAP para los usuarios de Active Directory. Recopile la información necesaria de Active Directory, defina los atributos RFC2307 para todos los usuarios y grupos que acceden a File Storage y, a continuación, configure LDAP en el destino de montaje.
A continuación, se muestran los pasos básicos necesarios para configurar la autorización de Active Directory para LDAP:
- Obtenga los detalles de configuración de LDAP de Active Directory.
- Configure el secreto de usuario de enlace LDAP.
- Cree un conector de salida.
- Configure LDAP en el destino de montaje.
Note:
El destino de montaje no puede utilizar un certificado LDAP autofirmado.Configurar exportación de NFS
Configure los valores de exportación según los requisitos de autorización.
Permiso de Unix en Windows
Se accede a Oracle Cloud Infrastructure File Storage mediante el protocolo NFSv3. La autorización se realiza con permisos de Unix.
ldp.exe
para consultar los atributos RFC2307 del usuario y del grupo para ver las afiliaciones a uid, gid y grupo. Los permisos de Unix se comprueban según el uid, el gid y las afiliaciones a grupos almacenados en LDAP.Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixAccount)(uid=fss-user-1))
Attributes: uidNumber;gidNumber
Utilice el Explorador de Windows para ver qué propietario y grupo posee el archivo o carpeta y qué permisos se establecen en el archivo o carpeta. Puede acceder a los atributos de NFS (atributos de Unix) desde las propiedades de archivos o carpetas.
fss-user-1
es 500, OCI File Storage tendrá en cuenta todos los grupos de los que el usuario es miembro para la comprobación de permisos. Utilice la siguiente consulta para buscar la pertenencia a grupo del usuario fss-user-1
.
Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixGroup)(memberUid=fss-user-1))' gidNumber
Attributes: gidNumber
Crear permisos de carpeta iniciales
Al implantar, tenga en cuenta los permisos de carpeta.
El directorio raíz de OCI File Storage es propiedad de uid 0 y con permisos 755 (rwx para root, r-x para root y r-x para otros). Se necesita acceso raíz para crear carpetas adicionales para los usuarios o para cambiar permisos. Es una tarea de administrador crear y configurar permisos iniciales que cumplan los requisitos.
Puede utilizar uno de los siguientes métodos para obtener acceso de administrador al sistema de archivos:
- Todos los usuarios son solo usuarios comunes a menos que se asignen a uidNumber 0 y la raíz no se coloquen. Asigne un usuario administrador a uidNumber 0 en los atributos LDAP del usuario.
- Exporte el sistema de archivos con autenticación
SYS
a una estación de trabajo Linux segura. Utilice el usuarioroot
para crear y gestionar permisos.