Documentation sur Oracle Cloud Infrastructure

Gestion des connecteurs sortants

Le stockage de fichiers utilise des connecteurs sortants pour communiquer avec un serveur externe, tel qu'un serveur LDAP.

Un connecteur sortant contient toutes les informations nécessaires pour se connecter, s'authentifier et obtenir les autorisations afin d'effectuer les fonctions requises du compte. Actuellement, les connecteurs sortants ne sont utilisés que pour la communication avec les serveurs LDAP. Vous spécifiez les options de configuration du connecteur lors de l'ajout de l'authentification LDAP à une cible de montage.

Lors de la connexion à un serveur LDAP, une cible de montage utilise le premier connecteur sortant spécifié dans sa configuration. Si la cible de montage ne parvient pas à se connecter au serveur LDAP à l'aide du premier connecteur sortant, elle utilise le deuxième connecteur sortant.

Plusieurs cibles de montage peuvent utiliser le même connecteur sortant. Vous ne pouvez associer un connecteur sortant à une cible de montage que s'il existe dans le même domaine de disponibilité. Vous pouvez avoir jusqu'à 32 connecteurs sortants par domaine de disponibilité.

Voir les rubriques suivantes pour obtenir des instructions détaillées sur la gestion des connecteurs sortants :

Politique IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel l'accès de sécurité est accordé dans une politique par un administrateur de location. Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur de la location quel type d'accès vous avez et dans quel compartiment votre accès fonctionne.

Pour les administrateurs : La politique présentée à la rubrique Permettre aux utilisateurs de créer, gérer et supprimer des systèmes de fichiers permet aux utilisateurs de gérer les connecteurs sortants.

Comme les connecteurs sortants nécessitent également l'accès à des clés secrètes pour se connecter à un serveur externe, tel qu'un serveur LDAP, des politiques IAM supplémentaires sont requises pour l'utilisateur configurant la cible de montage et la cible de montage elle-même.
Important

Ces politiques doivent être créées pour que vous puissiez configurer des cibles de montage afin qu'elles utilisent LDAP pour l'autorisation.

Politique pour activer la configuration de la cible de montage

Accordez à l'utilisateur ou au groupe configurant LDAP sur une cible de montage des autorisations à l'aide d'une politique telle que la suivante :
allow <user|group> to read secret-family in compartment <Compartment_ID> where any { target.secret.id = <LDAP_Password_Secret_ID> }

L'utilisateur peut ainsi exécuter des commandes de stockage de fichiers qui liront les clés secrètes du service de chambre forte et afficheront des parties de la clé secrète pour validation lors de la configuration.

Politique permettant à une cible de montage d'extraire des clés secrètes

Le service File Storage nécessite la possibilité de lire les clés secrètes. Le service de stockage de fichiers utilise des principaux de ressource pour accorder à un jeu spécifique de cibles de montage l'accès à la clé secrète de la chambre forte. Il s'agit d'un processus en deux étapes, d'abord les cibles de montage qui ont besoin d'accès doivent être placées dans un groupe dynamique, puis le groupe dynamique est autorisé à lire les clés secrètes.

  1. Créez un groupe dynamique pour les cibles de montage avec une politique telle que :

    ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_id>' }
    Note

    Si vous avez plusieurs règles dans un groupe dynamique, assurez-vous d'utiliser l'option Match any rules defined below.

  2. Créez une politique IAM qui donne au groupe dynamique de cibles de montage l'accès en lecture aux clés secrètes du service de chambre forte :

     allow dynamic-group <dynamic_group_name> to read secret-family in compartment <secret_compartment_name>

Pour plus d'informations sur les politiques, voir Configuration des politiques et Détails pour le service de stockage de fichiers.

Détails sur un connecteur sortant

La page de détails fournit les informations suivantes sur un connecteur sortant :

OCID
Chaque ressource Oracle Cloud Infrastructure possède un ID unique affecté par Oracle, appelé identificateur Oracle Cloud (OCID). Vous avez besoin de l'OCID d'un connecteur sortant pour utiliser l'interface de ligne de commande ou l'API. Vous avez également besoin de l'OCID lorsque vous communiquez avec le soutien technique. Voir Identificateurs de ressources.
CRÉATION
Date et heure de création du connecteur sortant.
COMPARTIMENT
Lorsque vous créez un connecteur sortant, vous spécifiez le compartiment dans lequel il réside. Un compartiment est une collection de ressources connexes (telles que des réseaux en nuage, des instances de calcul ou des volumes par blocs) accessibles uniquement aux groupes auxquels un administrateur de votre organisation a accordé une autorisation. Vous avez besoin du compartiment du connecteur sortant pour utiliser l'interface de ligne de commande (CLI) ou l'API. Pour plus d'informations, voir Gestion des compartiments.
DOMAINE DE DISPONIBILITÉ
Lorsque vous créez un connecteur sortant, vous spécifiez le domaine de disponibilité dans lequel il réside. Un domaine de disponibilité comprend un ou plusieurs centres de données dans une région. Vous avez besoin du domaine de disponibilité d'un connecteur sortant pour utiliser l'interface de ligne de commande (CLI) ou l'API. Pour plus d'informations, voir Régions et domaines de disponibilité.
TYPE DE CONNECTEUR
Type de connecteur sortant. Le seul type pris en charge est LDAPBIND.
NOM DU DNS DU SERVEUR
Nom de domaine complet de l'instance sur laquelle le service LDAP est en cours d'exécution.
PORT
Port LDAPS du service LDAP.
NOM DISTINCTIF DE LA LIAISON
Nom distinctif LDAP utilisé pour se connecter au serveur LDAP.
OCID DE LA CLÉ SECRÈTE
OCID de la clé secrète dans la chambre forte qui contient le mot de passe associé au nom distinctif de liaison.
VERSION DE LA CLÉ SECRÈTE
Numéro de version de la clé secrète du mot de passe LDAP.