Documentation Oracle Cloud Infrastructure

Gestion des connecteurs sortants

File Storage utilise des connecteurs sortants pour communiquer avec un serveur externe, par exemple un serveur LDAP.

Un connecteur sortant contient toutes les informations nécessaires à la connexion, à l'authentification et à l'obtention de l'autorisation permettant d'exécuter les fonctions requises du compte. Actuellement, les connecteurs sortants sont uniquement utilisés pour communiquer avec les serveurs LDAP. Vous spécifiez les options de configuration du connecteur lorsque vous ajoutez une authentification LDAP à une cible de montage.

Lors de la connexion à un serveur LDAP, une cible de montage utilise le premier connecteur sortant spécifié dans sa configuration. Si la cible de montage ne parvient pas à se connecter au serveur LDAP à l'aide du premier connecteur sortant, elle utilise le deuxième connecteur sortant.

Plusieurs cibles de montage peuvent utiliser le même connecteur sortant. Vous ne pouvez associer un connecteur sortant à une cible de montage que s'ils existent dans le même domaine de disponibilité. Vous pouvez avoir jusqu'à 32 connecteurs sortants par domaine de disponibilité.

Pour obtenir des instructions détaillées sur la gestion des connecteurs sortants, reportez-vous aux rubriques suivantes :

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel un administrateur de location a accordé un accès de sécurité dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous informe que vous n'avez pas d'autorisation ou que vous n'êtes pas autorisé, vérifiez auprès de l'utilisateur le type d'accès qui vous est accordé et le compartiment dans lequel vous travaillez.

Pour les administrateurs : la stratégie dans Autoriser les utilisateurs à créer, gérer et supprimer des systèmes de fichiers permet aux utilisateurs de gérer les connecteurs sortants.

Etant donné que les connecteurs sortants doivent également accéder aux clés secrètes pour se connecter à un serveur externe, tel qu'un serveur LDAP, des stratégies IAM supplémentaires sont requises pour l'utilisateur qui configure la cible de montage et la cible de montage elle-même.
Important

Ces stratégies doivent être créées pour que vous puissiez configurer des cibles de montage afin qu'elles utilisent LDAP pour l'autorisation.

Stratégie permettant d'activer la configuration de la cible de montage

Accordez à l'utilisateur ou au groupe qui configure LDAP sur des droits d'accès de cible de montage à l'aide d'une stratégie telle que la suivante. Cela permet à l'utilisateur de lire les clés secrètes Vault nécessaires lors de la configuration.

allow <user|group> to read secret-family in compartment <Compartment_ID> where any { target.secret.id = <LDAP_Password_Secret_ID>, target.secret.id = <Trusted_Certificate_Secret_ID> }

Cela permet à l'utilisateur d'émettre des commandes File Storage qui liront les clés secrètes Vault et afficheront des parties de la clé secrète pour validation lors de la configuration.

Stratégie permettant à une cible de montage d'extraire des clés secrètes

Le service File Storage nécessite la possibilité de lire les clés secrètes. File Storage utilise des principaux de ressource pour accorder à un ensemble spécifique de cibles de montage l'accès à la clé secrète du coffre. Il s'agit d'un processus en deux étapes, d'abord les cibles de montage nécessitant un accès doivent être placées dans un groupe dynamique, puis le groupe dynamique est autorisé à lire les clés secrètes.

  1. Créez un groupe dynamique pour les cibles de montage avec une stratégie telle que la suivante :

    ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_id>' }
    Remarque

    Si un groupe dynamique comporte plusieurs règles, veillez à utiliser l'option Match any rules defined below.

  2. Créez une stratégie IAM qui donne au groupe dynamique de cibles de montage un accès en lecture aux clés secrètes Vault :

     allow dynamic-group <dynamic_group_name> to read secret-family in compartment <secret_compartment_name>

Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Détails du service File Storage.

Détails relatifs à un connecteur sortant

La page de détails fournit les informations suivantes sur un connecteur sortant :

OCID
Chaque ressource Oracle Cloud Infrastructure dispose d'un ID unique affecté par Oracle appelé Oracle Cloud Identifier (OCID). Vous avez besoin de l'OCID d'un connecteur sortant pour utiliser l'interface de ligne de commande ou l'API. Vous avez également besoin de l'OCID lors de la mise en relation avec le support technique. Reportez-vous à Identificateurs de ressource.
Date de création
Date et heure de création du connecteur sortant.
Compartiment
Lorsque vous créez un connecteur sortant, vous indiquez le compartiment dans lequel il réside. Un compartiment est un ensemble de ressources associées (comme des réseaux cloud, des instances de calcul ou des systèmes de fichiers) accessibles uniquement aux groupes disposant de droits d'accès octroyés par un administrateur de votre organisation. Vous avez besoin du compartiment du connecteur sortant pour utiliser l'interface de ligne de commande ou l'API. Pour plus d'informations, reportez-vous à Gestion des compartiments.
DOMAINE DE DISPONIBILITÉ
Lorsque vous créez un connecteur sortant, vous indiquez le domaine de disponibilité dans lequel il réside. Un domaine de disponibilité désigne les centres de données d'une région. Vous avez besoin du domaine de disponibilité d'un connecteur sortant pour utiliser l'interface de ligne de commande ou l'API. Pour plus d'informations, reportez-vous à Régions et domaines de disponibilité.
TYPE DE CONNECTEUR
Type de connecteur sortant. Le seul type pris en charge est LDAPBIND.
NOM DNS DE SERVEUR
Nom de domaine qualifié complet de l'instance sur laquelle le service LDAP est en cours d'exécution.
PORT
Port LDAPS du service LDAP.
NOM DISTINCTIF DE LIAISON
Nom distinctif LDAP utilisé pour la connexion au serveur LDAP.
OCID DE CLÉ SECRÈTE
OCID de la clé secrète dans Vault qui contient le mot de passe associé au nom distinctif de liaison.
VERSION DE LA CLÉ SECRÈTE
Numéro de version de la clé secrète de mot de passe LDAP.
ACTIVER UN CERTIFICAT SÉCURISÉ
Indique si le connecteur sortant est configuré pour utiliser un certificat sécurisé pour les connexions LDAPS.
CLÉ SECRÈTE DU CERTIFICAT SÉCURISÉ
OCID de la clé secrète dans le coffre qui contient le certificat sécurisé.
VERSION DE CLÉ SECRET DE CERTIFICAT SÉCURISÉ
Numéro de version de la clé secrète de certificat sécurisé.

Dépannage des erreurs de demande incorrecte (HTTP 400) lors de la configuration d'un certificat sécurisé

Si vous créez un connecteur sortant et que vous avez fourni un OCID de clé secrète de certificat sécurisé et une version de clé secrète, la demande peut échouer avec Demande incorrecte (HTTP 400). Cela signifie généralement que le service n'a pas pu valider la clé secrète, la version ou le contenu du certificat.

Voici quelques causes et corrections courantes :

Cause : OCID de clé secrète de coffre non valide

L'OCID de certificat sécurisé que vous avez saisi n'est pas un OCID Secret de coffre (ou le nom de clé secrète n'est pas valide).

Solution : utiliser un OCID de clé secrète de coffre valide

  1. Vérifiez que l'OCID pointe vers une clé secrète de coffre (pas un coffre, une clé ou un autre type de ressource).
  2. Mettez à jour le connecteur sortant pour utiliser l'OCID de clé secrète de certificat sécurisé correct.

Cause : version de clé secrète non valide

La version de la clé secrète de certificat sécurisé doit être supérieure à 0. Si vous utilisez 0 (ou un nombre négatif), la validation échoue.

Solution : définissez la version sur un nombre supérieur à 0

  1. Dans Vault, vérifiez les versions de clé secrète disponibles pour la clé secrète de certificat sécurisé.
  2. Mettez à jour le connecteur sortant pour utiliser une version de clé secrète supérieure à 0.

Cause : certificat racine auto-signé manquant

Le service lit le certificat (ou le groupe) à partir de la clé secrète et s'attend à trouver un certificat autosigné (racine). S'il n'en trouve pas, la validation échoue.

Solution : assurez-vous que la clé secrète inclut un certificat racine auto-signé

  1. Vérifiez le contenu de la clé secrète et assurez-vous qu'il inclut un certificat d'autorité de certification racine auto-signé (sous la forme d'un certificat unique ou d'un bundle).
  2. Mettez à jour le contenu de clé secrète du coffre si nécessaire, puis recréez le connecteur sortant.

Cause : certificat racine expiré

Le certificat autosigné (racine) trouvé dans la clé secrète a expiré. Le message Root Certificate is expired peut s'afficher.

Solution : remplacer le certificat expiré

  1. Téléchargez un certificat racine valide (non expiré) dans la clé secrète du coffre.
  2. Si la mise à jour crée une version de clé secrète, mettez à jour le connecteur sortant pour utiliser cette version, puis réessayez.

Cause : échec de l'accès à la clé secrète Vault

Le service ne peut pas lire la clé secrète (par exemple, en raison de droits d'accès manquants, de l'indisponibilité de la clé secrète ou de problèmes de connectivité).

Solution : confirmez les autorisations et l'accès au secret

  1. Vérifiez que les stratégies IAM permettent à l'utilisateur qui effectue la modification et à la cible de montage (principal de ressource) de lire secret-family dans le compartiment de la clé secrète.
  2. Vérifiez que la clé secrète existe et qu'elle est disponible, et que l'accès au coffre fonctionne à partir de votre environnement.

Cause : format de certificat X.509 non valide

Le contenu de clé secrète n'est pas un certificat X.509 (ou un groupe de certificats) valide, le service ne peut donc pas l'analyser.

Solution : stockez un certificat X.509 (ou un lot) valide

  1. Vérifiez que les données de certificat que vous avez stockées sont un certificat X.509 (ou un bundle) correctement formaté et qu'elles ne sont pas tronquées ou corrompues.
  2. Mettez à jour la clé secrète du coffre avec le contenu du certificat corrigé, puis réessayez de créer/mettre à jour le connecteur sortant.