Remarques :

• Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction à Oracle Cloud Infrastructure Free Tier.
• Il utilise des exemples de valeurs pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous terminez votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.

Configuration d'Oracle Cloud Infrastructure File Storage Service avec le contrôle d'accès utilisateur Active Directory

Introduction

Ce tutoriel présente une approche étape par étape de l'intégration des utilisateurs Active Directory (AD) avec une correspondance d'ID utilisateur/ID de groupe unique pour un accès sécurisé au service Oracle Cloud Infrastructure (OCI) File Storage à l'aide du client NFS (Windows Network File System). Il garantit une authentification et un contrôle d'accès appropriés en utilisant les autorisations Active Directory, ce qui permet aux organisations de restreindre l'accès au système de fichiers à des utilisateurs et groupes spécifiques tout en maintenant la conformité avec les stratégies de sécurité d'entreprise.

En activant le mappage UID/GID dans Active Directory et en utilisant les autorisations de sécurité Windows, vous pouvez :

• Limitez l'accès à OCI File Storage à des utilisateurs/groupes Active Directory spécifiques.

• Assurez-vous que la propriété des fichiers et le contrôle d'accès sont correctement appliqués.

• Autorisez les clients Windows basés sur NFS à interagir en toute sécurité avec OCI File Storage.

Dans ce tutoriel, nous allons créer un stockage de fichiers OCI et une cible de montage dans le même réseau cloud virtuel (VCN) que vos services de domaine Active Directory (AD DS) et votre machine virtuelle Windows associée au domaine (VM) pour une intégration et un contrôle d'accès transparents de la tâche 1 à 4, et pour activer l'intégration Active Directory pour OCI File Storage, créer des utilisateurs avec des mises en correspondance UID/GID spécifiques et appliquer des restrictions d'accès au niveau du dossier de la tâche 5 à 8.

Objectifs

• Intégrez les utilisateurs Active Directory avec la mise en correspondance UID/GID pour accéder en toute sécurité à OCI File Storage à l'aide du client NFS Windows, tout en appliquant le contrôle d'accès basé sur les droits d'accès Active Directory.

  • Créez un stockage de fichiers OCI.

  • Configurez une cible de montage dans le même VCN que le contrôleur de domaine et la machine virtuelle Windows.

  • Assurez-vous des règles de sécurité appropriées pour l'accès NFS.

  • Montez le système de fichiers sur la machine virtuelle Windows.

  • Préparez-vous au contrôle d'accès basé sur Active Directory.

  • Créez des utilisateurs AD avec des attributs UID/GID.

  • Configurez OCI File Storage avec un contrôle d'accès au niveau du dossier.

  • Montez OCI File Storage sur des machines virtuelles jointes au domaine.

  • Valider les restrictions d'accès basées sur l'utilisateur.

  Cette configuration garantit une intégration transparente d'Active Directory avec OCI File Storage, permettant un partage de fichiers sécurisé et un accès contrôlé en fonction des mappages UID/GID. Cette configuration garantit un contrôle d'accès sécurisé basé sur les rôles pour le service OCI File Storage à l'aide de l'authentification Active Directory et du mappage UID/GID.

Prérequis

• OCI File Storage avec une cible de montage configurée.

• AD DS avec attributs RFC2307 activés.

• Client NFS Windows installé sur des machines jointes au domaine.

• Le contrôleur de domaine Active Directory et la cible de montage OCI File Storage doivent se trouver sur le même VCN réseau.

Tâche 1 : créer un stockage de fichiers OCI

1. Connectez-vous à la console OCI, accédez à Stockage et cliquez sur Stockage de fichiers.

2. Cliquez sur Créer un système de fichiers et entrez les informations suivantes.

   • Compartiment : sélectionnez un compartiment approprié.
   • Nom : entrez un nom descriptif. Par exemple, AD-Integrated-FSS.

3. Cliquez sur Créer pour provisionner le système de fichiers.

Tâche 2 : création d'une cible de montage dans le même VCN

1. Accédez à la console OCI, accédez à File Storage et cliquez sur Cibles de montage.

2. Cliquez sur Créer une cible de montage et entrez les informations suivantes.

   • Compartiment : sélectionnez le même compartiment que votre stockage de fichiers OCI.
   • Nom : entrez un nom. Par exemple, AD-MountTarget.
   • Réseau cloud virtuel (VCN) : sélectionnez le même VCN où votre contrôleur de domaine et la machine virtuelle associée au domaine sont déployés.
   • Sous-réseau : sélectionnez un sous-réseau privé ou public dans le VCN (assurez-vous qu'il autorise le trafic NFS).
   • Nom d'hôte : entrez le nom d'hôte de la cible de montage.

3. Cliquez sur Créer une cible de montage et attendez qu'elle soit provisionnée.

   

Tâche 3 : configuration des règles de sécurité pour l'accès NFS

1. Accédez à la console OCI, accédez à Fonctions de réseau, Réseaux cloud virtuels (VCN) et sélectionnez votre VCN.

2. Cliquez sur Listes de sécurité et mettez à jour les règles entrantes du sous-réseau de la cible de montage avec les informations suivantes.

   • CIDR source : sous-réseau contenant le contrôleur de domaine et la machine virtuelle associée au domaine.
   • Protocole : sélectionnez TCP.
   • Plage de ports : entrez 2049 (pour NFS).

3. Ajoutez une règle sortante pour autoriser le trafic sortant à partir du sous-réseau de la cible de montage avec les informations suivantes.

   • CIDR de destination : entrez 0.0.0.0/0.
   • Protocole : sélectionnez TCP.
   • Plage de ports : entrez 2049.

   Si vous utilisez des groupes de sécurité, assurez-vous que le contrôleur de domaine, la machine virtuelle associée au domaine et la cible de montage se trouvent dans le même groupe, avec NFS (TCP 2049) et DNS (TCP/UDP 53) autorisés.

Tâche 4 : vérifier la connectivité

1. Connectez-vous à la machine virtuelle Windows associée au domaine.

2. Testez la connectivité à la cible de montage à l'aide de la commande ping ou nslookup.

   ping <MOUNT_TARGET_IP>
   nslookup <MOUNT_TARGET_HOSTNAME>
   

   Assurez-vous que le contrôleur de domaine et la machine virtuelle Windows peuvent résoudre le nom d'hôte de la cible de montage à l'aide du DNS.

Tâche 5 : configurer les utilisateurs Active Directory avec des attributs UID/GID

1. Ouvrez Active Directory Users and Computers (ADUC).

2. Dans Contrôleur de domaine, ouvrez ADUC (dsa.msc), cliquez sur Visualiser et activez Fonctionnalités avancées.

   

3. Créez des utilisateurs avec les attributs RFC2307.

   1. Accédez à Utilisateurs sous votre domaine. Par exemple, fs-ad.com.

   2. Créez les utilisateurs suivants et définissez les attributs RFC2307.

      User	Numéro d'UID	Numéro GID	Description
      fssadmin	0	0	Administrateur FSS
      applicationuser1	101	501	Utilisateur d'application 1
      applicationuser2	102	502	Utilisateur d'application 2

      

      

4. Modifiez les attributs utilisateur.

   1. Cliquez avec le bouton droit de la souris sur chaque utilisateur et cliquez sur Propriétés.

   2. Accédez à l'éditeur d'attribut et mettez à jour les attributs RFC2307 suivants.

      • objectClass : ajoutez posixAccount.
      • uidNumber : affectez des valeurs à partir de la table de la tâche 5.3.
      • gidNumber : affectez des valeurs à partir de la table de la tâche 5.3.
      • uid : définissez-le sur sAMAccountName.

   3. Cliquez sur Appliquer et sur OK.

Tâche 6 : configuration des droits d'accès OCI File Storage

1. Définissez le dossier principal OCI File Storage avec l'UID/GID 0 (accès root pour fssadmin).

   1. Accédez à la console OCI, accédez à File Storage et cliquez sur Systèmes de fichiers.

   2. Cliquez sur votre instance OCI File Storage et sélectionnez le dossier principal.

   3. Cliquez sur Autorisations avancées et entrez les informations suivantes.

      • UID : entrez 0.
      • GID : entrez 0.

2. Créer et restreindre des dossiers propres à l'application.

   1. Dans le dossier principal OCI File Storage, créez deux dossiers avec les informations suivantes.

      • Folder1 : pour applicationuser1 avec uid=101.
      • Folder2 : pour applicationuser2 avec uid=102.

   2. Cliquez sur Options avancées et définissez les autorisations de dossier.

      • Folder1:

        • UID : entrez 101.
        • GID : entrez 501.

      • Folder2:

        • UID : entrez 102.
        • GID : entrez 502.

Tâche 7 : montage d'OCI File Storage sur des machines virtuelles Windows jointes au domaine

1. Connectez-vous à la machine virtuelle Windows associée au domaine en tant que applicationuser1 ou applicationuser2.

2. Ouvrez Invite de commande en tant qu'Administrateur.

3. Montez OCI File Storage à l'aide de l'adresse IP de la cible de montage.

   mount -o sec=sys Mount_Target_IP:/<EXPORT_PATH> S:
   

   Remarque :

   • Remplacez <MOUNT_TARGET_IP> par l'adresse IP de la cible de montage.

   • Remplacez <EXPORT_PATH> par le chemin d'export OCI File Storage.

4. Vérifiez le montage à l'aide de la commande suivante.

   net use
   

   Assurez-vous que S: est monté.

   

Tâche 8 : Valider les restrictions d'accès aux dossiers

• Vérification de l'accès utilisateur

  • applicationuser1:

    • Accès : peut lire et écrire dans Folder1 (UID : 101).
    • Restriction : impossible de créer des fichiers dans Folder2 (UID : 102).

  • applicationuser2:

    • Accès : peut lire et écrire dans Folder2 (UID : 102).
    • Restriction : impossible de créer des fichiers dans Folder1 (UID : 101).

  En outre, les utilisateurs ne peuvent pas créer de dossiers dans le dossier principal OCI File Storage, ce qui garantit une application stricte du contrôle d'accès.

• Configuration du contrôle d'accès basé sur un groupe pour OCI File Storage (FSS)

  Pour accorder à un groupe d'utilisateurs l'accès à un dossier spécifique dans OCI File Storage (FSS), affectez le même GID à tous les utilisateurs du groupe tout en conservant leurs UID uniques. Lors de la création du dossier dans OCI FSS, définissez uniquement le GID dans les options avancées pour qu'il corresponde au GID du groupe affecté (exemple : GID 501). Cela garantit que tous les utilisateurs du groupe peuvent monter l'ordonnanceur FSS et accéder au dossier désigné tout en conservant les identités des utilisateurs individuels.

• Application du contrôle d'accès avec Active Directory

  Lorsque les utilisateurs se connectent à une machine virtuelle associée à un domaine, ils peuvent monter le lecteur et accéder uniquement aux dossiers du système de fichiers OCI pour lesquels ils disposent d'une autorisation. Toute tentative d'accès ou de modification de dossiers non autorisés sera limitée en fonction des autorisations définies.

  Le contrôle d'accès est géré de manière centralisée via Active Directory, ce qui permet uniquement aux administrateurs de domaine et aux administrateurs de système de fichiers (GID/UID : 0) d'avoir un contrôle total sur les dossiers OCI File Storage. Cela garantit un modèle d'autorisation structuré et sécurisé.

• Renforcer la sécurité grâce aux options d'exportation

  Pour améliorer encore la sécurité, les options d'export OCI doivent être configurées pour autoriser l'accès uniquement à partir d'adresses IP vérifiées spécifiques. En limitant l'accès à la cible de montage aux adresses IP connues et autorisées, les systèmes non autorisés se voient refuser l'accès par défaut, ce qui en fait l'un des moyens les plus sécurisés de contrôler l'accès à OCI File Storage.

  

Gestion des attributs de fichier dans OCI File Storage pour empêcher l'attachement :Zone.Identifier sous Windows

Problème : attachement de :Zone.Identifier aux fichiers OCI File Storage sous Windows.

Lors de la copie de fichiers vers OCI File Storage monté sur Windows, un autre flux de données (:Zone.Identifier) peut être ajouté aux fichiers. Cela se produit parce que Windows utilise des métadonnées d'identificateur de zone pour suivre la zone de sécurité des fichiers téléchargés, principalement pour empêcher l'exécution de contenu potentiellement dangereux.

Etant donné qu'OCI File Storage utilise le protocole NFS, qui prend en charge les attributs étendus mais ne gère pas de manière native les flux de données alternatifs NTFS propres à Windows, ces flux de données :Zone.Identifier peuvent être conservés involontairement lors de la copie des fichiers. Cela peut entraîner des avertissements ou des problèmes de sécurité inattendus lors de l'exécution des fichiers.

Pour éviter cela, suivez ces étapes sur chaque machine virtuelle client accédant à ce lecteur de cible de montage OCI File Storage.

1. Cliquez sur Internet (inetcpl.cpl) sur l'ordinateur client du domaine.

2. Accédez à l'onglet Sécurité, sélectionnez Intranet local et cliquez sur Sites.

3. Cliquez sur Avancé et ajoutez le nom d'hôte de la cible de montage OCI File Storage (point de montage mss \fss-mount-target ou \IP-Address-FSS).

   

Liens connexes

• Configuration de File Storage pour les utilisateurs de Microsoft Windows Active Directory

• Montage d'un système de fichiers à partir de l'invite de commandes Windows Server

Remerciements

• Auteurs - Akarsha I K (architecte cloud), Mayank Kakani (architecte cloud)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation produit, consultez le site Oracle Help Center.

---

Informations relatives au titre et au copyright

Configure Oracle Cloud Infrastructure File Storage Service with Active Directory User Access Control

G27600-01

February 2025

Copyright ©2025, Oracle and/or its affiliates.