1. Configuración del servicio OCI File Storage para usuarios de Windows Active Directory
  2. Configuración de File Storage para usuarios de Microsoft Windows Active Directory

Configuración de File Storage para usuarios de Microsoft Windows Active Directory

Puede integrar Oracle Cloud Infrastructure (OCI) File Storage con Microsoft Windows Active Directory para autenticar y autorizar usuarios de Windows.

Las aplicaciones que se ejecutan en servidores Windows a menudo necesitan acceder al almacenamiento compartido simultáneamente para admitir una arquitectura de procesamiento distribuido y de alta disponibilidad. Los usuarios de Windows también necesitan almacenamiento compartido para colaborar con otros usuarios. En algunos casos, es necesario compartir datos entre sistemas Linux y Windows.

Windows y Linux deben utilizar NFS, ya que es el único protocolo de uso compartido de archivos disponible en OCI File Storage actualmente. Los clientes están utilizando las siguientes soluciones alternativas para activar la autenticación de Active Directory para usuarios de Windows con OCI File Storage:
  • Volver a exportar el sistema de archivos de OCI File Storage mediante SAMBA en otra instancia informática
  • Crear una infraestructura independiente para el uso compartido de archivos de Windows

Los sistemas operativos Windows que comienzan con Windows 7 y Windows Server 2008 admiten el sistema de archivos de red (NFS) con el cliente NFS activado de manera predeterminada en versiones posteriores.

Antes de empezar

En este manual de soluciones, se asume que tiene un entorno de Active Directory y que tiene acceso a un controlador de dominio con el protocolo de escritorio remoto (RDP). Puede configurar la autenticación solo (Kerberos), LDAP solo (autorización sola) o ambos juntos.

Esta guía de soluciones es una referencia, destinada a demostrar los requisitos de configuración. Interactúe con sus respectivos administradores (Windows, Active Directory y Oracle Cloud Infrastructure) para planificar y modificar esta solución para que coincida con el entorno y las mejores prácticas de su organización.

Arquitectura

Esta arquitectura muestra Microsoft Windows y los servicios en un centro de datos gestionado por el cliente y cómo interactúan con el destino de montaje y Oracle Cloud Infrastructure File Storage ubicado en Oracle Cloud Infrastructure (OCI).

Un entorno de uso compartido de archivos del servicio OCI File Storage requiere conectividad de red al servidor LDAP e integración con su infraestructura de Kerberos, LDAP y DNS.

A continuación se muestra la descripción de file-storage-windows-ad.png
Descripción de la ilustración file-storage-windows-ad.png

archivo-almacenamiento-ventanas-ad-oracle.zip

La arquitectura utiliza los siguientes métodos de comunicación:
  • A: comunicación del cliente NFS con el destino de montaje mediante los puertos TCP 2048, 2049 y 2050.
  • B: el cliente NFS habla con DNS mediante el puerto TCP y UDP 53, LDAP mediante el puerto 389 o LDAPS mediante el puerto 636. Kerberos sobre TCP y puerto UDP 88.
  • C: monte la comunicación de destino a DNS mediante el puerto TCP y UDP 53, y LDAP mediante el puerto TCP 636. El destino de montaje requiere que el servidor LDAP tenga un certificado adecuado por una autoridad de certificación adecuada. No se aceptan certificados autofirmados
  • D: comunicación interna entre el destino de montaje y el sistema de archivos en el servicio OCI File Storage (infraestructura gestionada por Oracle).

Esta arquitectura soporta los siguientes componentes en un centro de datos gestionado por el cliente:

  • Servidor DNS

    Permite que el destino de montaje y otros sistemas busquen nombres de host, incluido el servidor LDAP. El servidor DNS es una entidad gestionada por el cliente que se encuentra fuera del servicio OCI File Storage. El servidor DNS se puede ubicar en la misma VCN que el destino de montaje, en una VCN diferente en la misma región u otra región o de forma local. El servicio DNS requiere que el puerto TCP y UDP 53 estén abiertos en el firewall.

  • LDAP

    LDAP es el servicio de directorios donde los destinos de montaje y otros sistemas obtienen atributos para los usuarios y los grupos. Al igual que el servidor DNS, se trata de una entidad gestionada por el cliente y se puede ubicar en cualquier lugar con conectividad al puerto 636 (LDAPS). Active Directory utiliza LDAP para los servicios de directorio y el destino de montaje utiliza estos servicios LDAP para la autorización de usuarios.

  • Kerberos

    Kerberos es un protocolo de autenticación segura estándar del sector que facilita la autenticación, la integridad de datos y el cifrado en tránsito. Kerberos forma parte de la infraestructura de Active Directory y es la autenticación estándar utilizada por los usuarios de Windows.

  • Directorio Activo

    Active Directory es un servicio de directorio para un dominio de Microsoft Windows. Permite la gestión de dominios centralizada y varios servicios de identidad basados en directorios. Los controladores de dominio alojan servicios de Active Directory para autenticar y autorizar a todos los usuarios y equipos del entorno de Windows. Implementa el protocolo Kerberos estándar para la autenticación que utiliza el destino de montaje para autenticar y autorizar usuarios de Windows. Se trata de una entidad gestionada por el cliente similar a DNS que se encuentra fuera del servicio OCI File Storage.

Esta arquitectura soporta los siguientes componentes en OCI:

  • Destino de montaje

    El destino de montaje es un componente de OCI File Storage. Se encuentra en la VCN del cliente y proporciona una dirección IP para que los clientes monten el sistema de archivos.

  • Almacenamiento de archivos

    El servicio Oracle Cloud Infrastructure File Storage ofrece un sistema de archivos de red duradero, escalable, seguro y empresarial. Puede conectarse a un sistema de archivos del servicio File Storage desde cualquier instancia con hardware dedicado, de máquina virtual o de contenedor en una VCN. También puede acceder a un sistema de archivos desde fuera de la VCN mediante Oracle Cloud Infrastructure FastConnect y la VPN IPSec.

Modos de operación

Con la integración de Kerberos y LDAP con el servicio de almacenamiento de archivos, puede configurar el uso compartido de archivos de Windows de una de las siguientes maneras:

  1. Acceso NFS sencillo desde instancias de Windows sin autenticación.

    Monte File Storage desde instancias de Windows sin configuración adicional en el destino de montaje.

    Los usuarios y la aplicación de Windows pueden acceder a File Storage con un ID de usuario y un ID de grupo configurados en el registro de Windows. No se necesita ninguna configuración de LDAP o Kerberos para este modo de operación. Para obtener más información, consulte Mounting File Systems From Windows Instances.

  2. Autenticar usuarios sin autorización.

    Configure Kerberos para autenticar usuarios mediante Active Directory. A continuación, todos los usuarios autenticados se asignan a un único ID de usuario y de grupo mediante el squash de usuario de la exportación de File Storage. Este ID de usuario y de grupo se utilizan para autorizar el acceso a archivos y carpetas en File Storage. Este modo de operación puede simplificar la configuración si solo se necesita cifrado en tránsito. Consulte "Configure the Mount Target for Kerberos" y "Configure Users and Groups with NFS Export".

  3. Autorizar usuarios sin autenticación.

    Integre el cliente NFS de Windows con Active Directory y utilice uidNumber y gidNumber configurados en Active Directory.

    La configuración de LDAP en el destino de montaje no es obligatoria para este modo de operación. Sin embargo, si se debe tener en cuenta la pertenencia a grupos adicionales para el usuario para la autorización, se requiere la configuración de LDAP en el destino de montaje. Consulte "Integrate Windows NFS client with Active Directory" y "LDAP configuration".

  4. Autenticación y autorización de usuarios con Active Directory.

    Configure Kerberos y LDAP en el destino de montaje para lograr la autenticación y la autorización. Al igual que con otros modos, las comprobaciones de permisos (autorización) se realizan en función de los permisos de Unix (uid, gid y otros). Consulte "Configure the Mount Target for Kerberos", "LDAP configuration" y "Unix Permission in Windows".

Acerca de Kerberos, LDAP y Windows Active Directory

Puede integrar Kerberos y el protocolo ligero de acceso a directorios (LDAP) con Oracle Cloud Infrastructure File Storage para la autenticación y autorización centralizadas seguras. La autenticación de Active Directory para usuarios de Windows se basa en la función Kerberos y LDAP de File Storage.

A continuación, se muestran algunas de las ventajas de integrar Kerberos y LDAP:

  • Gestión centralizada: Organice usuarios y active derechos de acceso personalizados con su sistema de gestión de identidad LDAP y Kerberos de Windows Active Directory.
  • Conformidad de seguridad: aborde los requisitos de conformidad de seguridad con los siguientes modos de operaciones:
    • krb5: autenticación y autorización de Kerberos.
    • krb5i: integridad para proteger contra ataques de tipo man-in-the-middle y modificaciones no autorizadas.
    • krb5p: privacidad o confidencialidad para evitar escuchas (cifrado en tránsito).
  • Escalar usuarios con más grupos: aumente el número máximo de grupos de Unix secundarios que soporta OCI File Storage para la autorización a 256 (de 16).
  • Integración con Microsoft Windows Active Directory: acceda a recursos compartidos NFS de OCI File Storage desde estaciones de trabajo de Active Directory unidas a Microsoft Windows y tenga permisos Unix para usuarios de Active Directory (basados en usuarios, grupos y otros).

Resumen de ventajas con la integración de Active Directory en un entorno de Microsoft Windows:

  • Acceso al almacenamiento de archivos desde Microsoft Windows, acceso universal en Linux y Windows y permisos basados en Unix (ID de usuario, ID de grupo, etc.).
  • Autenticación de usuarios con Active Directory.
  • Evite utilizar Samba en una instancia informática para volver a exportar OCI File Storage con el protocolo Server Message Block (SMB) para el acceso a Microsoft Windows.
  • Utilice Active Directory y LDAP para la gestión de usuarios centralizada.
  • Active el cifrado en tránsito con Kerberos.

Limitaciones del acceso NFS desde Windows

Tenga en cuenta las siguientes limitaciones para acceder a NFS desde Microsoft Windows:

  • El protocolo NFS no es el protocolo predeterminado y nativo de uso compartido de archivos en Windows. El rendimiento observado en instancias individuales puede ser más lento en comparación con SMB. Si hay una diferencia en el rendimiento, es desde la perspectiva de un cliente NFS y no afecta al rendimiento que ofrece el servicio Oracle Cloud Infrastructure File Storage.
  • Restringido a permisos de Unix sin soporte de lista de control de acceso (ACL).
  • Soporte limitado de caracteres internacionales (sin Unicode). Consulte mount command para obtener compatibilidad limitada con juegos de caracteres internacionales.

Acerca de los productos, los servicios y los roles necesarios

Esta solución requiere los siguientes productos y servicios:

  • Oracle Cloud Infrastructure (OCI)
  • Almacenamiento de archivos de OCI
  • Directorio Activo
  • LDAP

Estos son los roles necesarios para cada producto y servicio.

Nombre de Producto o Servicio: Permisos Necesario para...
Oracle Cloud Infrastructure: permisos en el compartimento. Si los permisos se separan en diferentes roles, póngase en contacto con los administradores adecuados para realizar la tarea.
  • Configurar la integración de OCI File Storage con Kerberos y LDAP.
  • Gestione el servicio OCI File Storage (gestione permisos de familia de archivos). El usuario de OCI debe tener permiso en el compartimento.
  • Cree secretos en el almacén.
  • Cree políticas y grupos dinámicos para que el destino de montaje lea secretos de Vault.
Active Directory: permisos de escritura para Active Directory Cree usuarios, agregue atributos de usuario y cree cuentas de equipo.
LDAP: usuario de Active Directory con DN y contraseña de LDAP

Configurar LDAP en destinos de montaje.

El destino de montaje requiere un usuario con permisos mínimos de solo lectura para leer usuarios, grupos y atributos relacionados mediante LDAP.

Consulte Productos, soluciones y servicios de Oracle para obtener lo que necesita.