Documentation Oracle Cloud Infrastructure

Configuration de LDAP pour l'autorisation

Découvrez comment configurer LDAP pour l'autorisation avec File Storage.

  1. Assurez-vous que l'infrastructure LDAP est requise et que vous avez collecté les informations requises. Pour plus d'informations, reportez-vous à Prérequis.
  2. Ajoutez les stratégies IAM requises.
  3. Téléchargez le mot de passe LDAP vers OCI Vault au format texte brut. Pour plus d'informations, reportez-vous à Présentation de Vault.
  4. Créez deux connecteurs sortants pour contacter le serveur LDAP.
    Remarque

    L'utilisation de LDAP pour l'autorisation nécessite au moins un connecteur sortant. Un deuxième connecteur sortant peut être utilisé comme sauvegarde ou pour le basculement. Reportez-vous à Recherche de groupe secondaire et à Mise en cache pour plus de détails sur la réponse de File Storage lorsqu'il ne parvient pas à atteindre un serveur LDAP.
  5. Ajoutez les détails de communication LDAP à une cible de montage.
  6. Créez ou mettez à jour un système de fichiers qui utilise la cible de montage LDAP.
  7. Activez LDAP sur l'export du système de fichiers.
  8. Définissez les options d'export NFS facultatives.
  9. Montez le système de fichiers.

Configuration de LDAP pour une cible de montage

Ajoutez des informations LDAP à une cible de montage pour utilisation dans l'autorisation.

Remarque

Lorsque vous mettez à jour une cible de montage existante pour utiliser LDAP, il peut prendre un certain temps pour que les mises à jour soient entièrement reflétées dans File Storage.
    1. Ouvrez le menu de navigation et sélectionnez Stockage. Sous File Storage, sélectionnez Cibles de montage.
    2. Dans la section Portée de la liste, sous Compartiment, sélectionnez un compartiment.
    3. Recherchez la cible de montage qui vous intéresse, cliquez sur le menu Actions (trois points), puis sur Visualiser les détails.
    4. Cliquez sur l'onglet NFS pour afficher ou modifier les paramètres NFS existants pour la cible de montage.
    5. En regard de LDAP, cliquez sur Gérer.

    6. Dans la fenêtre Manage LDAP, fournissez les détails suivants :

      • Type de schéma : type de schéma du compte LDAP.

        La seule valeur autorisée est RFC2307.

      • Intervalle d'actualisation du cache en secondes : fréquence à laquelle la cible de montage doit contacter le serveur LDAP pour les mises à jour.
      • Durée de vie du cache en secondes : durée pendant laquelle les entrées mises en cache peuvent être utilisées.
      • Durée de vie négative du cache en secondes : durée de mise en cache si les informations de mappage d'ID sont manquantes.
      • Base de recherche pour les utilisateurs : toutes les recherches LDAP sont récursives à partir de cet utilisateur.
      • Base de recherche pour les groupes : toutes les recherches LDAP sont récursives à partir de ce groupe.
      • Connecteur sortant 1 : premier connecteur à utiliser pour communiquer avec le serveur LDAP.
      • Connecteur sortant 2 : deuxième connecteur à utiliser pour communiquer avec le serveur LDAP.
      • Activer LDAP : activez cette option pour exiger que la cible de montage utilise un serveur LDAP pour la recherche de groupe secondaire. L'option Utiliser LDAP pour la liste de groupes doit également être activée pour l'export du système de fichiers.
    7. Cliquez sur Enregistrer.

  • Utilisez la commande oci fs mount-target create avec les options --idmap-type et --ldap-idmap pour créer une cible de montage et fournir des détails LDAP.

    oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --idmap-type LDAP --ldap-idmap <file://ldap.json>

    Utilisez la commande oci fs mount-target update avec les options --idmap-type et --ldap-idmap pour mettre à jour une cible de montage existante avec les détails LDAP.

    oci fs mount-target update --mount-target-id <mount_target_id> --idmap-type LDAP --ldap-idmap <file://ldap.json>

    Voici un exemple de fichier ldap.json :

    {
  "cacheLifetimeSeconds": 300,
  "cacheRefreshIntervalSeconds": 300,
  "groupSearchBase": "cn=accounts,dc=example,dc=com",
  "negativeCacheLifetimeSeconds": 300,
  "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "userSearchBase": "cn=accounts,dc=example,dc=com",
  "schemaType": "RFC2307"
}

    Pour obtenir la liste complète des paramètres et des valeurs des commandes d'interface de ligne de commande, reportez-vous à Référence de commande d'interface de ligne de commande.

  • Utilisez CreateMountTarget ou UpdateMountTarget avec les options idMapType et ldapIdmap pour créer ou mettre à jour une cible de montage avec des détails LDAP.

    Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.