Note :

Configurer le service de stockage de fichiers pour Oracle Cloud Infrastructure avec le contrôle d'accès des utilisateurs Active Directory

Présentation

Ce tutoriel fournit une approche étape par étape pour intégrer des utilisateurs Active Directory (AD) avec un mappage unique d'ID utilisateur/ID groupe (GID) pour un accès sécurisé au service de stockage de fichiers pour Oracle Cloud Infrastructure (OCI) à l'aide du client NFS (Windows Network File System). Il assure une authentification et un contrôle d'accès appropriés en tirant parti des autorisations Active Directory, ce qui permet aux organisations de restreindre l'accès au système de fichiers à des utilisateurs et à des groupes spécifiques tout en respectant les politiques de sécurité de l'entreprise.

En activant le mappage UID/GID dans Active Directory et en utilisant les autorisations de sécurité Windows, vous pouvez :

Dans ce tutoriel, nous allons créer un service de stockage de fichiers OCI et une cible de montage dans le même réseau en nuage virtuel (VCN) que vos services de domaine Active Directory (AD DS) et votre machine virtuelle Windows jointe au domaine. pour une intégration et un contrôle d'accès transparents des tâches 1 à 4 et pour activer l'intégration Active Directory pour le stockage de fichiers OCI, créer des utilisateurs avec des mappages d'UID/GID spécifiques et appliquer des restrictions d'accès au niveau des dossiers des tâches 5 à 8.

Objectifs

Préalables

Tâche 1 : Créer un stockage de fichiers OCI

  1. Connectez-vous à la console OCI, naviguez jusqu'à Stockage et cliquez sur Stockage de fichiers.

  2. Cliquez sur Créer un système de fichiers et entrez les informations suivantes.

    • Compartiment : Sélectionnez un compartiment approprié.
    • Nom : entrez un nom descriptif. Par exemple AD-Integrated-FSS.
  3. Cliquez sur Créer pour provisionner le système de fichiers.

Tâche 2 : Créer une cible de montage dans le même VCN

  1. Allez à la console OCI, naviguez jusqu'à Stockage de fichiers et cliquez sur Cibles de montage.

  2. Cliquez sur Créer une cible de montage et entrez les informations suivantes.

    • Compartiment : Sélectionnez le même compartiment que le service de stockage de fichiers OCI.
    • Nom : Entrez un nom. Par exemple AD-MountTarget.
    • Réseau en nuage virtuel (VCN) : Sélectionnez le même VCN que celui où le contrôleur de domaine et la machine virtuelle jointe au domaine sont déployés.
    • Sous-réseau : Sélectionnez un sous-réseau privé ou public dans le VCN (assurez-vous qu'il autorise le trafic NFS).
    • Nom d'hôte : Entrez un nom d'hôte pour la cible de montage.
  3. Cliquez sur Créer une cible de montage et attendez qu'elle soit provisionnée.

    Create_FSS_Export

Tâche 3 : Configurer les règles de sécurité pour l'accès NFS

  1. Allez à la console OCI, naviguez jusqu'à Réseau, Réseaux en nuage virtuels (VCN) et sélectionnez votre VCN.

  2. Cliquez sur Listes de sécurité et mettez à jour les règles de trafic entrant pour le sous-réseau de la cible de montage avec les informations suivantes.

    • CIDR source : Sous-réseau contenant le contrôleur de domaine et la machine virtuelle jointe au domaine.
    • Protocole : Sélectionnez TCP.
    • Intervalle de ports : Entrez 2049 (pour NFS).
  3. Ajoutez une règle de trafic sortant pour autoriser le trafic sortant à partir du sous-réseau de la cible de montage avec les informations suivantes.

    • CIDR de destination : Entrez 0.0.0.0/0.
    • Protocole : Sélectionnez TCP.
    • Intervalle de ports : Entrez 2049.

    Si vous utilisez des groupes de sécurité, assurez-vous que le contrôleur de domaine, la machine virtuelle jointe au domaine et la cible de montage se trouvent dans le même groupe, avec NFS (TCP 2049) et DNS (TCP/UDP 53) autorisés.

Tâche 4 : Vérifier la connectivité

  1. Connectez-vous à la machine virtuelle Windows jointe au domaine.

  2. Testez la connectivité à la cible de montage à l'aide de la commande ping ou nslookup.

    ping <MOUNT_TARGET_IP>
    nslookup <MOUNT_TARGET_HOSTNAME>
    

    Assurez-vous que le contrôleur de domaine et la machine virtuelle Windows peuvent résoudre le nom d'hôte de la cible de montage à l'aide du DNS.

Tâche 5 : Configurer les utilisateurs Active Directory avec des attributs UID/GID

  1. Ouvrez Utilisateurs et ordinateurs Active Directory (ADUC).

  2. Dans Contrôleur de domaine, ouvrez ADUC (dsa.msc), cliquez sur Voir et activez Fonctions avancées.

    ADUsers_Advance_Setting

  3. Créez des utilisateurs avec les attributs RFC2307.

    1. Naviguez jusqu'à Utilisateurs sous votre domaine. Par exemple fs-ad.com.

    2. Créez les utilisateurs suivants et définissez les attributs RFC2307.

      Utilisateur Numéro UID Numéro d'IDG Description
      fssadmin 0 0 Administrateur FSS
      applicationuser1 101 501 Utilisateur d'application 1
      applicationuser2 102 502 Utilisateur d'application 2

      ADUsers_set_uid

      ADUsers_set_gid

  4. modification des attributs des utilisateurs;

    1. Cliquez avec le bouton droit de la souris sur chaque utilisateur et cliquez sur Propriétés.

    2. Naviguez jusqu'à Éditeur d'attributs et mettez à jour les attributs RFC2307 suivants.

      • objectClass : Ajoutez posixAccount.
      • uidNumber : Affectez des valeurs à partir de la table de la tâche 5.3.
      • gidNumber : Affectez des valeurs à partir de la table de la tâche 5.3.
      • uid : Réglez à sAMAccountName.
    3. Cliquez sur Appliquer et sur OK.

Tâche 6 : Configurer les autorisations pour le stockage de fichiers OCI

  1. Définissez le dossier principal du service de stockage de fichiers OCI avec l'UID/IDG 0 (accès racine pour fssadmin).

    1. Allez à la console OCI, naviguez jusqu'à Stockage de fichiers et cliquez sur Systèmes de fichiers.

    2. Cliquez sur votre instance OCI File Storage et sélectionnez le dossier principal.

    3. Cliquez sur Autorisations avancées et entrez les informations suivantes.

      • UID : Entrez 0.
      • IDG : Entrez 0.
  2. Créer et restreindre des dossiers propres à l'application.

    1. Dans le dossier principal du service de stockage de fichiers pour OCI, créez deux dossiers avec les informations suivantes.

      • Folder1 : Pour applicationuser1 avec uid=101.
      • Folder2 : Pour applicationuser2 avec uid=102.
    2. Cliquez sur Options avancées et définissez les autorisations relatives aux dossiers.

      • Folder1:

        • UID : Entrez 101.
        • IDG : Entrez 501.
      • Folder2:

        • UID : Entrez 102.
        • IDG : Entrez 502.

Tâche 7 : Monter le stockage de fichiers OCI sur des machines virtuelles Windows jointes au domaine

  1. Connectez-vous à la machine virtuelle Windows jointe au domaine en tant que applicationuser1 ou applicationuser2.

  2. Ouvrez Invite de commande en tant qu'administrateur.

  3. Montez le stockage de fichiers OCI à l'aide de l'adresse IP de la cible de montage.

    mount -o sec=sys Mount_Target_IP:/<EXPORT_PATH> S:
    

    Note :

    • Remplacez <MOUNT_TARGET_IP> par l'adresse IP de la cible de montage.

    • Remplacez <EXPORT_PATH> par le chemin d'exportation du service de stockage de fichiers pour OCI.

  4. Vérifiez le montage à l'aide de la commande suivante.

    net use
    

    Assurez-vous que S: est monté.

    Mount_FSS_Export

Tâche 8 : Valider les restrictions d'accès au dossier

Gérer les attributs de fichier dans le stockage de fichiers OCI pour empêcher l'attachement :Zone.Identifier sous Windows

Problème : Attachement :Zone.Identifier aux fichiers de stockage de fichiers OCI sous Windows.

Lors de la copie de fichiers dans le service de stockage de fichiers OCI monté sur Windows, un autre flux de données (:Zone.Identifier) peut être ajouté aux fichiers. Cela se produit parce que Windows utilise les métadonnées d'identificateur de zone pour suivre la zone de sécurité des fichiers téléchargés, principalement pour empêcher l'exécution de contenu potentiellement dangereux.

Comme le service de stockage de fichiers pour OCI utilise le protocole NFS, qui prend en charge les attributs étendus mais ne gère pas de manière native les flux de données de remplacement NTFS propres à Windows (ADS), ces flux :Zone.Identifier peuvent être conservés involontairement lors de la copie des fichiers. Cela peut entraîner des avertissements de sécurité inattendus ou des problèmes lors de l'exécution des fichiers.

Pour éviter cela, suivez ces étapes sur chaque machine virtuelle client accédant à ce lecteur de cible de montage du service de stockage de fichiers pour OCI.

  1. Cliquez sur Internet (inetcpl.cpl) sur l'ordinateur client du domaine.

  2. Allez à l'onglet Sécurité, sélectionnez Intranet local et cliquez sur Sites.

  3. Cliquez sur Avancé et ajoutez le nom d'hôte de la cible de montage du service de stockage de fichiers OCI (point de montage mss \fss-mount-target ou \IP-Address-FSS).

    Zone_Identifier_Issue_Solution

Remerciements

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur le site docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation sur le produit, visitez Oracle Help Center.