Documentation Oracle Cloud Infrastructure

Gestion des connecteurs sortants

File Storage utilise des connecteurs sortants pour communiquer avec un serveur externe, par exemple un serveur LDAP.

Un connecteur sortant contient toutes les informations nécessaires à la connexion, à l'authentification et à l'obtention de l'autorisation permettant d'exécuter les fonctions requises du compte. Actuellement, les connecteurs sortants sont uniquement utilisés pour communiquer avec les serveurs LDAP. Vous spécifiez les options de configuration du connecteur lorsque vous ajoutez une authentification LDAP à une cible de montage.

Lors de la connexion à un serveur LDAP, une cible de montage utilise le premier connecteur sortant spécifié dans sa configuration. Si la cible de montage ne parvient pas à se connecter au serveur LDAP à l'aide du premier connecteur sortant, elle utilise le deuxième connecteur sortant.

Plusieurs cibles de montage peuvent utiliser le même connecteur sortant. Vous ne pouvez associer un connecteur sortant à une cible de montage que s'ils existent dans le même domaine de disponibilité. Vous pouvez avoir jusqu'à 32 connecteurs sortants par domaine de disponibilité.

Pour obtenir des instructions détaillées sur la gestion des connecteurs sortants, reportez-vous aux rubriques suivantes :

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel un administrateur de location a accordé un accès de sécurité dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous informe que vous n'avez pas d'autorisation ou que vous n'êtes pas autorisé, vérifiez auprès de l'utilisateur le type d'accès qui vous est accordé et le compartiment dans lequel vous travaillez.

Pour les administrateurs : la stratégie dans Autoriser les utilisateurs à créer, gérer et supprimer des systèmes de fichiers permet aux utilisateurs de gérer les connecteurs sortants.

Etant donné que les connecteurs sortants nécessitent également l'accès aux clés secrètes afin de se connecter à un serveur externe, tel qu'un serveur LDAP, des stratégies IAM supplémentaires sont requises pour l'utilisateur qui configure la cible de montage et la cible de montage elle-même.
Important

Ces stratégies doivent être créées pour que vous puissiez configurer des cibles de montage afin qu'elles utilisent LDAP pour l'autorisation.

Stratégie permettant d'activer la configuration de la cible de montage

Accordez à l'utilisateur ou au groupe qui configure LDAP sur une cible de montage des droits d'accès à l'aide d'une stratégie telle que la suivante :
allow <user|group> to read secret-family in compartment <Compartment_ID> where any { target.secret.id = <LDAP_Password_Secret_ID> }

Cela permet à l'utilisateur d'émettre des commandes File Storage qui liront les clés secrètes Vault et afficheront des parties de la clé secrète pour validation lors de la configuration.

Stratégie permettant à une cible de montage d'extraire des clés secrètes

Le service File Storage nécessite la possibilité de lire les clés secrètes. File Storage utilise des principaux de ressource pour accorder à un ensemble spécifique de cibles de montage l'accès à la clé secrète du coffre. Il s'agit d'un processus en deux étapes, d'abord les cibles de montage nécessitant un accès doivent être placées dans un groupe dynamique, puis le groupe dynamique est autorisé à lire les clés secrètes.

  1. Créez un groupe dynamique pour les cibles de montage avec une stratégie telle que la suivante :

    ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_id>' }
    Remarque

    Si un groupe dynamique comporte plusieurs règles, veillez à utiliser l'option Match any rules defined below.

  2. Créez une stratégie IAM qui donne au groupe dynamique de cibles de montage un accès en lecture aux clés secrètes Vault :

     allow dynamic-group <dynamic_group_name> to read secret-family in compartment <secret_compartment_name>

Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Détails du service File Storage.

Détails relatifs à un connecteur sortant

La page de détails fournit les informations suivantes sur un connecteur sortant :

OCID
Chaque ressource Oracle Cloud Infrastructure dispose d'un ID unique affecté par Oracle appelé Oracle Cloud Identifier (OCID). Vous avez besoin de l'OCID d'un connecteur sortant pour utiliser l'interface de ligne de commande ou l'API. Vous avez également besoin de l'OCID lors de la mise en relation avec le support technique. Reportez-vous à Identificateurs de ressource.
Date de création
Date et heure de création du connecteur sortant.
Compartiment
Lorsque vous créez un connecteur sortant, vous indiquez le compartiment dans lequel il réside. Un compartiment est un ensemble de ressources associées (comme des réseaux cloud, des instances de calcul ou des systèmes de fichiers) accessibles uniquement aux groupes disposant de droits d'accès octroyés par un administrateur de votre organisation. Vous avez besoin du compartiment du connecteur sortant pour utiliser l'interface de ligne de commande ou l'API. Pour plus d'informations, reportez-vous à Gestion des compartiments.
DOMAINE DE DISPONIBILITÉ
Lorsque vous créez un connecteur sortant, vous indiquez le domaine de disponibilité dans lequel il réside. Un domaine de disponibilité désigne les centres de données d'une région. Vous avez besoin du domaine de disponibilité d'un connecteur sortant pour utiliser l'interface de ligne de commande ou l'API. Pour plus d'informations, reportez-vous à Régions et domaines de disponibilité.
TYPE DE CONNECTEUR
Type de connecteur sortant. Le seul type pris en charge est LDAPBIND.
NOM DNS DE SERVEUR
Nom de domaine qualifié complet de l'instance sur laquelle le service LDAP est en cours d'exécution.
PORT
Port LDAPS du service LDAP.
NOM DISTINCTIF DE LIAISON
Nom distinctif LDAP utilisé pour la connexion au serveur LDAP.
OCID DE CLÉ SECRÈTE
OCID de la clé secrète dans Vault qui contient le mot de passe associé au nom distinctif de liaison.
VERSION DE LA CLÉ SECRÈTE
Numéro de version de la clé secrète de mot de passe LDAP.