Note :
- Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, voir Démarrer avec le niveau gratuit d'Oracle Cloud Infrastructure.
- Il utilise des exemples de valeurs pour les données d'identification, la location et les compartiments d'Oracle Cloud Infrastructure. À la fin de votre laboratoire, remplacez ces valeurs par celles qui sont propres à votre environnement en nuage.
Configurer le service de stockage de fichiers pour Oracle Cloud Infrastructure avec le contrôle d'accès des utilisateurs Active Directory
Présentation
Ce tutoriel fournit une approche étape par étape pour intégrer des utilisateurs Active Directory (AD) avec un mappage unique d'ID utilisateur/ID groupe (GID) pour un accès sécurisé au service de stockage de fichiers pour Oracle Cloud Infrastructure (OCI) à l'aide du client NFS (Windows Network File System). Il assure une authentification et un contrôle d'accès appropriés en tirant parti des autorisations Active Directory, ce qui permet aux organisations de restreindre l'accès au système de fichiers à des utilisateurs et à des groupes spécifiques tout en respectant les politiques de sécurité de l'entreprise.
En activant le mappage UID/GID dans Active Directory et en utilisant les autorisations de sécurité Windows, vous pouvez :
-
Restreindre l'accès au service de stockage de fichiers OCI à des utilisateurs/groupes Active Directory spécifiques.
-
Assurez-vous que la propriété et le contrôle d'accès du fichier sont correctement appliqués.
-
Autorisez les clients Windows basés sur NFS à interagir en toute sécurité avec le service de stockage de fichiers pour OCI.
Dans ce tutoriel, nous allons créer un service de stockage de fichiers OCI et une cible de montage dans le même réseau en nuage virtuel (VCN) que vos services de domaine Active Directory (AD DS) et votre machine virtuelle Windows jointe au domaine. pour une intégration et un contrôle d'accès transparents des tâches 1 à 4 et pour activer l'intégration Active Directory pour le stockage de fichiers OCI, créer des utilisateurs avec des mappages d'UID/GID spécifiques et appliquer des restrictions d'accès au niveau des dossiers des tâches 5 à 8.
Objectifs
-
Intégrez les utilisateurs Active Directory au mappage UID/GID pour accéder en toute sécurité au service de stockage de fichiers OCI à l'aide du client Windows NFS, tout en appliquant le contrôle d'accès basé sur les autorisations Active Directory.
-
Créez un stockage de fichiers OCI.
-
Configurez une cible de montage dans le même VCN que le contrôleur de domaine et la machine virtuelle Windows.
-
Assurer des règles de sécurité appropriées pour l'accès NFS.
-
Montez le système de fichiers sur la machine virtuelle Windows.
-
Se préparer pour le contrôle d'accès basé sur Active Directory.
-
Créer des utilisateurs AD avec des attributs d'UID/GID.
-
Configurez le stockage de fichiers OCI avec un contrôle d'accès au niveau du dossier.
-
Montez le stockage de fichiers OCI sur des machines virtuelles jointes au domaine.
-
Valider les restrictions d'accès basées sur l'utilisateur.
Cette configuration assure une intégration transparente d'Active Directory dans le stockage de fichiers OCI, ce qui permet un partage sécurisé des fichiers et un accès contrôlé en fonction des mappages UID/GID. Cette configuration garantit un contrôle d'accès sécurisé basé sur les rôles pour le service de stockage de fichiers OCI à l'aide de l'authentification Active Directory et du mappage UID/GID.
-
Préalables
-
Stockage de fichiers OCI avec une cible de montage configurée.
-
AD DS avec attributs
RFC2307
activés. -
Client NFS Windows installé sur des machines jointes au domaine.
-
Le contrôleur de domaine Active Directory et la cible de montage du service de stockage de fichiers pour OCI doivent se trouver sur le même VCN de réseau.
Tâche 1 : Créer un stockage de fichiers OCI
-
Connectez-vous à la console OCI, naviguez jusqu'à Stockage et cliquez sur Stockage de fichiers.
-
Cliquez sur Créer un système de fichiers et entrez les informations suivantes.
- Compartiment : Sélectionnez un compartiment approprié.
- Nom : entrez un nom descriptif. Par exemple
AD-Integrated-FSS
.
-
Cliquez sur Créer pour provisionner le système de fichiers.
Tâche 2 : Créer une cible de montage dans le même VCN
-
Allez à la console OCI, naviguez jusqu'à Stockage de fichiers et cliquez sur Cibles de montage.
-
Cliquez sur Créer une cible de montage et entrez les informations suivantes.
- Compartiment : Sélectionnez le même compartiment que le service de stockage de fichiers OCI.
- Nom : Entrez un nom. Par exemple
AD-MountTarget
. - Réseau en nuage virtuel (VCN) : Sélectionnez le même VCN que celui où le contrôleur de domaine et la machine virtuelle jointe au domaine sont déployés.
- Sous-réseau : Sélectionnez un sous-réseau privé ou public dans le VCN (assurez-vous qu'il autorise le trafic NFS).
- Nom d'hôte : Entrez un nom d'hôte pour la cible de montage.
-
Cliquez sur Créer une cible de montage et attendez qu'elle soit provisionnée.
Tâche 3 : Configurer les règles de sécurité pour l'accès NFS
-
Allez à la console OCI, naviguez jusqu'à Réseau, Réseaux en nuage virtuels (VCN) et sélectionnez votre VCN.
-
Cliquez sur Listes de sécurité et mettez à jour les règles de trafic entrant pour le sous-réseau de la cible de montage avec les informations suivantes.
- CIDR source : Sous-réseau contenant le contrôleur de domaine et la machine virtuelle jointe au domaine.
- Protocole : Sélectionnez TCP.
- Intervalle de ports : Entrez
2049
(pour NFS).
-
Ajoutez une règle de trafic sortant pour autoriser le trafic sortant à partir du sous-réseau de la cible de montage avec les informations suivantes.
- CIDR de destination : Entrez
0.0.0.0/0
. - Protocole : Sélectionnez TCP.
- Intervalle de ports : Entrez
2049
.
Si vous utilisez des groupes de sécurité, assurez-vous que le contrôleur de domaine, la machine virtuelle jointe au domaine et la cible de montage se trouvent dans le même groupe, avec NFS (TCP
2049
) et DNS (TCP/UDP53
) autorisés. - CIDR de destination : Entrez
Tâche 4 : Vérifier la connectivité
-
Connectez-vous à la machine virtuelle Windows jointe au domaine.
-
Testez la connectivité à la cible de montage à l'aide de la commande
ping
ounslookup
.ping <MOUNT_TARGET_IP> nslookup <MOUNT_TARGET_HOSTNAME>
Assurez-vous que le contrôleur de domaine et la machine virtuelle Windows peuvent résoudre le nom d'hôte de la cible de montage à l'aide du DNS.
Tâche 5 : Configurer les utilisateurs Active Directory avec des attributs UID/GID
-
Ouvrez Utilisateurs et ordinateurs Active Directory (ADUC).
-
Dans Contrôleur de domaine, ouvrez ADUC (
dsa.msc
), cliquez sur Voir et activez Fonctions avancées. -
Créez des utilisateurs avec les attributs
RFC2307
.-
Naviguez jusqu'à Utilisateurs sous votre domaine. Par exemple
fs-ad.com
. -
Créez les utilisateurs suivants et définissez les attributs
RFC2307
.Utilisateur Numéro UID Numéro d'IDG Description fssadmin 0 0 Administrateur FSS applicationuser1 101 501 Utilisateur d'application 1 applicationuser2 102 502 Utilisateur d'application 2
-
-
modification des attributs des utilisateurs;
-
Cliquez avec le bouton droit de la souris sur chaque utilisateur et cliquez sur Propriétés.
-
Naviguez jusqu'à Éditeur d'attributs et mettez à jour les attributs
RFC2307
suivants.- objectClass : Ajoutez
posixAccount
. - uidNumber : Affectez des valeurs à partir de la table de la tâche 5.3.
- gidNumber : Affectez des valeurs à partir de la table de la tâche 5.3.
- uid : Réglez à
sAMAccountName
.
- objectClass : Ajoutez
-
Cliquez sur Appliquer et sur OK.
-
Tâche 6 : Configurer les autorisations pour le stockage de fichiers OCI
-
Définissez le dossier principal du service de stockage de fichiers OCI avec l'UID/IDG
0
(accès racine pourfssadmin
).-
Allez à la console OCI, naviguez jusqu'à Stockage de fichiers et cliquez sur Systèmes de fichiers.
-
Cliquez sur votre instance OCI File Storage et sélectionnez le dossier principal.
-
Cliquez sur Autorisations avancées et entrez les informations suivantes.
- UID : Entrez
0
. - IDG : Entrez
0
.
- UID : Entrez
-
-
Créer et restreindre des dossiers propres à l'application.
-
Dans le dossier principal du service de stockage de fichiers pour OCI, créez deux dossiers avec les informations suivantes.
- Folder1 : Pour
applicationuser1
avecuid=101
. - Folder2 : Pour
applicationuser2
avecuid=102
.
- Folder1 : Pour
-
Cliquez sur Options avancées et définissez les autorisations relatives aux dossiers.
-
Folder1:
- UID : Entrez
101
. - IDG : Entrez
501
.
- UID : Entrez
-
Folder2:
- UID : Entrez
102
. - IDG : Entrez
502
.
- UID : Entrez
-
-
Tâche 7 : Monter le stockage de fichiers OCI sur des machines virtuelles Windows jointes au domaine
-
Connectez-vous à la machine virtuelle Windows jointe au domaine en tant que
applicationuser1
ouapplicationuser2
. -
Ouvrez Invite de commande en tant qu'administrateur.
-
Montez le stockage de fichiers OCI à l'aide de l'adresse IP de la cible de montage.
mount -o sec=sys Mount_Target_IP:/<EXPORT_PATH> S:
Note :
-
Remplacez
<MOUNT_TARGET_IP>
par l'adresse IP de la cible de montage. -
Remplacez
<EXPORT_PATH>
par le chemin d'exportation du service de stockage de fichiers pour OCI.
-
-
Vérifiez le montage à l'aide de la commande suivante.
net use
Assurez-vous que
S:
est monté.
Tâche 8 : Valider les restrictions d'accès au dossier
-
Vérification de l'accès de l'utilisateur
-
applicationuser1
:- Accès : Permet de lire et d'écrire dans Folder1 (UID :
101
). - Restriction : Impossible de créer des fichiers dans Folder2 (UID :
102
).
- Accès : Permet de lire et d'écrire dans Folder1 (UID :
-
applicationuser2
:- Accès : Permet de lire et d'écrire dans Folder2 (UID :
102
). - Restriction : Impossible de créer des fichiers dans Folder1 (UID :
101
).
- Accès : Permet de lire et d'écrire dans Folder2 (UID :
En outre, les utilisateurs ne peuvent pas créer de nouveaux dossiers dans le dossier principal du service de stockage de fichiers OCI, ce qui garantit une application stricte du contrôle d'accès.
-
-
Configuration du contrôle d'accès basé sur les groupes pour le service de stockage de fichiers pour OCI (FSS)
Pour accorder à un groupe d'utilisateurs l'accès à un dossier spécifique dans le service de stockage de fichiers pour OCI (FSS), affectez le même IDG à tous les utilisateurs du groupe tout en conservant leurs UID uniques. Lors de la création du dossier dans OCI FSS, définissez uniquement l'IDG dans les options avancées pour qu'il corresponde à l'IDG de groupe affecté (par exemple : IDG 501). Cela garantit que tous les utilisateurs du groupe peuvent monter le FSS et accéder au dossier désigné tout en conservant les identités individuelles des utilisateurs.
-
Appliquer le contrôle d'accès avec Active Directory
Lorsque les utilisateurs se connectent à une machine virtuelle jointe au domaine, ils peuvent monter le lecteur et accéder uniquement aux dossiers du système de fichiers OCI pour lesquels ils disposent d'une autorisation. Toute tentative d'accès ou de modification de dossiers non autorisés sera restreinte en fonction des autorisations définies.
Le contrôle d'accès est géré de manière centralisée au moyen d'Active Directory, ce qui permet uniquement aux administrateurs de domaine et aux administrateurs de système de fichiers (GID/UID :
0
) d'avoir un contrôle total sur les dossiers du service de stockage de fichiers OCI. Cela garantit un modèle d'autorisation structuré et sécurisé. -
Renforcer la sécurité grâce aux options d'exportation
Pour améliorer davantage la sécurité, les options d'exportation OCI doivent être configurées pour autoriser l'accès uniquement à partir d'adresses IP spécifiques vérifiées. En limitant l'accès de la cible de montage aux adresses IP connues et autorisées, les systèmes non autorisés se voient refuser l'accès par défaut, ce qui fait de cette approche l'un des moyens les plus sécurisés de contrôler l'accès au service de stockage de fichiers pour OCI.
Gérer les attributs de fichier dans le stockage de fichiers OCI pour empêcher l'attachement :Zone.Identifier
sous Windows
Problème : Attachement :Zone.Identifier
aux fichiers de stockage de fichiers OCI sous Windows.
Lors de la copie de fichiers dans le service de stockage de fichiers OCI monté sur Windows, un autre flux de données (:Zone.Identifier
) peut être ajouté aux fichiers. Cela se produit parce que Windows utilise les métadonnées d'identificateur de zone pour suivre la zone de sécurité des fichiers téléchargés, principalement pour empêcher l'exécution de contenu potentiellement dangereux.
Comme le service de stockage de fichiers pour OCI utilise le protocole NFS, qui prend en charge les attributs étendus mais ne gère pas de manière native les flux de données de remplacement NTFS propres à Windows (ADS), ces flux :Zone.Identifier
peuvent être conservés involontairement lors de la copie des fichiers. Cela peut entraîner des avertissements de sécurité inattendus ou des problèmes lors de l'exécution des fichiers.
Pour éviter cela, suivez ces étapes sur chaque machine virtuelle client accédant à ce lecteur de cible de montage du service de stockage de fichiers pour OCI.
-
Cliquez sur Internet (
inetcpl.cpl
) sur l'ordinateur client du domaine. -
Allez à l'onglet Sécurité, sélectionnez Intranet local et cliquez sur Sites.
-
Cliquez sur Avancé et ajoutez le nom d'hôte de la cible de montage du service de stockage de fichiers OCI (point de montage mss
\fss-mount-target
ou\IP-Address-FSS
).
Liens connexes
-
Configurer le stockage de fichiers pour les utilisateurs Microsoft Windows Active Directory
-
Montage du système de fichiers à partir de l'invite de commande Windows Server
Remerciements
- Auteurs - Akarsha I K (architecte en nuage), Mayank Kakani (architecte en nuage).
Autres ressources d'apprentissage
Explorez d'autres laboratoires sur le site docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.
Pour obtenir la documentation sur le produit, visitez Oracle Help Center.
Configure Oracle Cloud Infrastructure File Storage Service with Active Directory User Access Control
G27599-01
February 2025
Copyright ©2025, Oracle and/or its affiliates.