1. Configuración del servicio OCI File Storage para usuarios de Windows Active Directory
  2. Planificación de la configuración

Planificación de la configuración

Determine cómo desea configurar el uso compartido de archivos de Windows.

  1. Acceso NFS sencillo desde instancias de Windows sin autenticación.
  2. Autenticar usuarios sin autorización.
  3. Autorizar usuarios sin autenticación.
  4. Autenticación y autorización de usuarios con Active Directory.

Componentes de infraestructura necesarios

La configuración adecuada de DNS y LDAP es fundamental para que el entorno funcione correctamente. Revise los siguientes requisitos previos y requisitos de infraestructura para obtener más información sobre cómo configurar el entorno correctamente.

  • Infraestructura de DNS gestionada por el cliente. El destino de montaje debe poder comunicarse con el puerto UDP y TCP 53 en el servidor DNS.
  • Infraestructura de Active Directory gestionada por el cliente para admitir la autenticación de Kerberos y la autorización de LDAP. Los controladores de dominio que alojan el servicio LDAP deben tener activado LDAPS en el puerto 636 con certificados firmados adecuados, ya que los destinos de montaje no aceptan certificados autofirmados.

  • Una cuenta de inicio de sesión en el servidor LDAP (servicio LDAP alojado en el controlador de dominio de Active Directory) que un destino de montaje de OCI File Storage puede utilizar para buscar información de grupo y usuario compatible con RFC2307.

Configuración del cliente NFS de Windows con Active Directory

Active la integración de usuarios de Active Directory en todas las estaciones de trabajo que utilizan el recurso compartido NFS de Oracle Cloud Infrastructure File Storage. Este paso de configuración solo es necesario cuando se utiliza el modo 3 (autorizar usuarios sin autenticación).

Una vez activada la búsqueda de Active Directory, el cliente NFS de Windows utilizará uidNumber y gidNumber de Active Directory como uid y gid para cada usuario que acceda a OCI File Storage. El cliente NFS solo utilizará AnonymousUid y AnonymousGid del registro de Windows cuando uidNumber y gidNumber no estén presentes para el usuario.

  1. Active la integración de usuarios de Active Directory desde el indicador powershell en el cliente NFS.
    PS C:\Users\administrator> Set-NfsMappingStore -EnableADLookup $true
PS C:\Users\administrator>
  2. Repita el paso 1 en cada estación de trabajo que utilice el recurso compartido NFS de OCI File Storage.

Configuración de atributos RFC2307 en Active Directory

Los siguientes atributos RFC2307 son necesarios para integrar Oracle Cloud Infrastructure File Storage con Active Directory (AD), pero no se rellenan por defecto. Debe rellenar estos atributos al configurar el modo 3 (autorizar usuarios sin autenticación) y el modo 4 (Autenticar y autorizar usuarios con Active Directory).

Tipos de objeto Atributo Valor Comentar
Usuario objectClass posixAccount Agregar posixAccount como una clase de objeto adicional
uidNumber ID de usuario numérico único ID de usuario de Unix que representa al usuario
gidNumber ID de grupo numérico ID de grupo numérico principal para el usuario
uid Nombre del usuario. Aunque se llama uid, no es el ID de Unix del usuario. Nombre de usuario único/sAMAccountName
Agrupar posixGroup posixGroup Agregar posixGroup como una clase de objeto adicional
gidNumber Identificador de grupo numérico único ID de grupo de Unix que representa el grupo
memberUid uid de los usuarios que son miembros del grupo Agregue cada nombre de usuario (uid) como miembro del grupo. Consulte el atributo uid anterior

Puede utilizar el complemento Usuarios y equipos de Active Directory o la herramienta ADSIEdit para editar atributos de usuario. En este ejemplo, se utiliza el complemento Usuarios y equipos de Active Directory.

  1. Vaya al directorio Active Directory Users and Computers en AD.
  2. Amplíe fs-ad.com y, a continuación, seleccione Usuarios.
  3. Haga clic en Ver en la navegación superior y, a continuación, en Funciones avanzadas.
  4. Seleccione el usuario.
    En este ejemplo, el usuario es fss-user-1.
  5. Modificar los atributos, según sea necesario.
  6. Verifique los atributos de powershell. 
    PS C:\Users\administrator> $Filter = "(&(objectClass=posixAccount)(uid=fss-user-1))"
>> $RootOU = "CN=Users,DC=fss-ad,DC=com"
>> $Searcher = New-Object DirectoryServices.DirectorySearcher
>> $Searcher.SearchRoot = New-Object System.DirectoryServices.DirectoryEntry("LDAP://$($RootOU)")
>> $Searcher.Filter = $Filter
>> $Searcher.SearchScope = "Subtree"
>> $Results = $Searcher.FindAll()
>> $R = foreach  ($line in $Results) {
>>  $line_entry =  $line.GetDirectoryEntry()
>>  $line_entry | Select-Object -Property uid, objectClass, uidNumber, gidNumber
>> }
>> $R

uid          objectClass                                          uidNumber gidNumber
---          -----------                                          --------- ---------
{fss-user-1} {top, posixAccount, person, organizationalPerson...} {901}     {500}


PS C:\Users\administrator> $Filter = "(&(objectClass=posixGroup)(gidNumber=8001))"
>> $RootOU = "CN=Users,DC=fss-ad,DC=com"
>>
>> $Searcher = New-Object DirectoryServices.DirectorySearcher
>> $Searcher.SearchRoot = New-Object System.DirectoryServices.DirectoryEntry("LDAP://$($RootOU)")
>> $Searcher.Filter = $Filter
>> $Searcher.SearchScope = "Subtree"
>> $Results = $Searcher.FindAll()
>> $R = foreach  ($line in $Results) {
>>  $line_entry =  $line.GetDirectoryEntry()
>>  $line_entry | Select-Object -Property gidNumber, objectClass, memberUid
>> }
>> $R

gidNumber objectClass              memberUid
--------- -----------              ---------
{fss-rw-group-1} {8001}    {top, posixGroup, group} {fss-user-2, fss-user-1}