Configuration de l'authentification et de l'autorisation pour les utilisateurs Active Directory

Configurez Oracle Cloud Infrastructure Identity and Access Management, configurez l'authentification et l'autorisation Active Directory (AD), configurez l'export NFS et configurez les droits d'accès Unix.

Configuration de stratégies Oracle Cloud Infrastructure Identity and Access Management

Créez un groupe dynamique dans Oracle Cloud Infrastructure (OCI) Identity and Access Management et ajoutez des stratégies pour permettre aux cibles de montage d'accéder aux clés secrètes LDAP et Kerberos. Cette opération est requise pour les configurations Kerberos et LDAP.

Connectez-vous à OCI.
Ouvrez le menu de navigation et cliquez sur Identité et sécurité.
Cliquez sur Dynamic Groups.
Cliquez sur Créer un groupe dynamique, puis saisissez le nom et la description.
Le nom doit être unique parmi tous les groupes de votre location (groupes dynamiques et groupes d'utilisateurs). Vous ne pouvez pas modifier le nom ultérieurement. Evitez de saisir des informations confidentielles.

Cet exemple utilise le groupe ad-kerberos-mt-group pour toutes les cibles de montage du compartiment ad-kerberos.

Entrez les règles de correspondance pour définir les membres du groupe.

Exemple :

ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_ocid>' }

Cliquez sur Créer.
Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Stratégies.
Cliquez sur Créer une stratégie.
Entrez le nom, la description et le compartiment de la nouvelle stratégie.
Le nom doit être unique parmi toutes les stratégies de la location. Vous ne pouvez pas modifier cette valeur ultérieurement. Evitez de saisir des informations confidentielles.
Utilisez Policy Builder pour créer une stratégie permettant à la cible de montage d'accéder aux clés secrètes du compartiment.
Cet exemple utilise le groupe ad-kerberos-mt-group pour toutes les cibles de montage du compartiment ad-kerberos.
```
allow dynamic-group ad-kerberos-mt-group to read secret-family in compartment ad-kerberos
```
Cliquez sur Créer.

Configuration de l'authentification Active Directory avec Kerberos

Après avoir configuré Oracle Cloud Infrastructure Identity and Access Management, vous configurez Active Directory. La configuration de Kerberos implique deux étapes : joindre la cible de montage à Active Directory de Microsoft, puis mettre à jour les paramètres de la cible de montage avec la configuration Kerberos.

Jointure de la cible de montage à Active Directory

Terminez cette tâche lorsque l'authentification est requise pour les utilisateurs Active Directory. Il s'agit d'un processus manuel effectué en dehors du service Oracle Cloud Infrastructure File Storage. La jointure de la cible de montage à Active Directory de Microsoft implique l'ajout d'un compte d'ordinateur à Active Directory, la configuration du cryptage correct, l'extraction du fichier keytab et l'ajout de la cible de montage au DNS.

Créez un compte d'ordinateur pour la cible de montage (MT) dans Active Directory.
Vous pouvez créer le compte à partir de la ligne de commande ou utiliser le composant logiciel enfichable Active Directory Users and Computers pour créer un compte d'ordinateur.
Command-Line
```
C:\Users\administrator>djoin /provision /domain fss-ad.com /machine fss-mt-ad-1 /savefile offlinedomainjoin.txt
```
```
Provisioning the computer...
Successfully provisioned [fss-mt-ad-1] in the domain [fss-ad.com].
…
The operation completed successfully.
```
Active Directory Users and Computers
1. Accédez au répertoire Active Directory Users and Computers, développez fs-ad.com, puis sélectionnez Ordinateurs.
2. Cliquez sur Nouveau, puis sur Ordinateur.
3. Ajoutez fss-mt-ad-1.
  
  Une fois cette opération effectuée, FSS-MT-AD-1 apparaît sous l'arborescence Computers dans le composant logiciel enfichable Active Directory Users and Computers.

Créez un fichier keytab à l'aide de ktpass.exe.

Remarques :

Vous devez ouvrir l'invite de commande en tant qu'administrateur pour exécuter ktpass.exe. Sinon, elle échoue. AES256-SHA1 correspond à aes256-cts-hmac-sha1-96.

C:\>ktpass -princ nfs/fss-mt-ad-1.fss-ad.com@FSS-AD.COM -mapuser FSS-AD\fss-mt-ad-1 -crypto AES256-SHA1 +rndpass -ptype KRB5_NT_SRV_HST  -out fss-mt-ad-1.keytab
Targeting domain controller: ad-server.fss-ad.com
Successfully mapped nfs/fss-mt-ad-1.fss-ad.com to FSS-MT-AD-1$.
WARNING: Account FSS-MT-AD-1$ is not a user account (uacflags=0x1001).
WARNING: Resetting FSS-MT-AD-1$'s password may cause authentication problems if FSS-MT-AD-1$ is being used as a server.

Reset AD-FSS-MT-2$'s password [y/n]?  y
Password successfully set!
Key created.
Output keytab to fss-mt-ad-1.keytab:
Keytab version: 0x502
keysize 88 nfs/fss-mt-ad-1.fss-ad.com@FSS-AD.COM ptype 3 (KRB5_NT_SRV_HST) vno 2 etype 0x12 (AES256-SHA1) keylength 32

Convertissez le fichier keytab en fichier base64 à utiliser avec le fichier keytab lors de la configuration de Kerberos sur la cible de montage.
```
C:\>certutil.exe -encode fss-mt-ad-1.keytab keytab.txt
Input Length = 94
Output Length = 188
CertUtil: -encode command completed successfully.

C:\>notepad keytab.txt
```
1. Ouvrez le fichier keytab.txt dans un bloc-notes.
2. Supprimez les lignes BEGIN et END CERTIFICATE.
3. Copiez le texte base64 sur une ligne longue continue sans espace sur une seule ligne.
  Vous aurez besoin du texte base64 lorsque vous configurerez les clés secrètes de la cible de montage pour Kerberos ultérieurement.
Modifiez l'attribut de cible de montage (MT) dans Active Directory pour utiliser des chiffrements plus sécurisés. Localisez le compte MT et remplacez la valeur de l'attribut msDS-SupportedEncryptionTypes par 24 pour aes256-cts-hmac-sha1-96.
Active Directory fournit des tickets avec le cryptage RC4 par défaut. Si l'attribut msDS-SupportedEncryptionTypes n'existe pas, créez-en un et définissez les valeurs.
Ouvrez le gestionnaire DNS et développez l'arborescence du serveur DNS.
Ajoutez les zones de recherche aval pour la cible de montage. Entrez l'adresse IP, sélectionnez Créer un enregistrement de pointeur associé, puis cliquez sur Ajouter un hôte.

Configuration de la cible de montage pour Kerberos

Créez une clé secrète pour le fichier keytab. Le contenu de clé secrète est l'onglet de clé encodé base64 que vous avez copié lorsque vous avez rejoint la cible de montage avec Active Directory.

Voici les étapes de base nécessaires pour configurer la cible de montage pour Kerberos :

Rejoignez la cible de montage dans Active Directory (étape précédente).
Configurez des clés secrètes de coffre de fichier keytab.
Configurez Kerberos sur la cible de montage.

Accédez à la console Oracle Cloud Infrastructure (OCI) et ouvrez le menu de navigation.
Cliquez sur Identité et sécurité, puis cliquez sur Coffre.
Sous Portée de la liste, sélectionnez le compartiment dans lequel créer la clé secrète.
Cet exemple utilise le compartiment ad-kerberos.
Sous Ressources, cliquez sur Clés secrètes, puis sur Créer une clé secrète.
Entrez les informations suivantes dans le panneau Créer une clé secrète :
Evitez de saisir des informations confidentielles.
1. Nom : entrez un nom pour identifier la clé secrète. Par exemple, fss-mt-ad-1-keytab-secret.
2. Description : entrez une brève description de la clé secrète pour vous aider à l'identifier. Par exemple, Keytab pour fss-mt-ad-1.
3. Clé de cryptage : sélectionnez la clé de cryptage maître à utiliser pour crypter le contenu de la clé secrète pendant l'import vers le coffre. Par exemple, mount-target-secrets.
  La clé doit appartenir au même coffre. La clé doit également être une clé symétrique. Vous ne pouvez pas crypter des clés secrètes de coffre avec des clés asymétriques.
4. Modèle de type de clé secrète : Base64.
5. Contenu de clé secrète : entrez le contenu de la clé secrète.
  Il s'agit du fichier keytab encodé base64 que vous avez enregistré précédemment lors de la conversion du fichier keytab en base64 dans le cadre de la jointure de la cible de montage vers Active Directory.
Cliquez sur Créer une clé secrète.
Accédez à l'onglet NFS de la cible de montage.
1. Cliquez sur Stockage dans le menu de navigation.
2. Sous File Storage, cliquez sur Cibles de montage.
3. Dans la section de portée de liste, sous Compartiment, sélectionnez un compartiment.
  Par exemple, ad-kerberos.
4. Recherchez la cible de montage, puis cliquez sur l'onglet NFS.
Cliquez sur Gérer en regard de Kerberos dans l'onglet NFS.
Sélectionnez la clé secrète et la version du fichier keytab, puis cliquez sur Valider le fichier keytab, affichez les résultats et enregistrez. Sélectionnez Activer Kerberos.
Dans cet exemple, la clé secrète du fichier keytab dans le compartiment ad-kerberos est fss-mt-ad-1-keytab-secret et la version de clé secrète du fichier keytab en cours est 1.

Montage de l'export NFS à l'aide de Kerberos

Kerberos NFS prend en charge les trois mécanismes de sécurité suivants.

krb5 : Kerberos pour l'authentification uniquement.
krb5i : authentifié et utilise des hachages cryptographiques avec chaque transaction pour assurer l'intégrité. Le trafic peut encore être intercepté et examiné, mais des modifications du trafic ne sont pas possibles.
krb5p : authentifié et crypté tout le trafic entre le client et le serveur. Le trafic ne peut pas être inspecté et ne peut pas être modifié.

C:\Users\fss-user-1>mount -o sec=krb5 fss-mt-ad-1.fss-ad.com:/krb-fs-1 T:
T: is now successfully connected to fss-mt-ad-1.fss-ad.com:/krb-fs-1

The command completed successfully.

Si aucune variante de sécurité (sys, krb5, krb5i et krb5p) n'est fournie lors du montage, Windows choisit la variante de sécurité supérieure définie sur l'export. Utilisez la commande mount pour vérifier la variante Windows sélectionnée lors du montage du lecteur.

C:\Users\fss-user-1>mount

Local    Remote                                 Properties
-------------------------------------------------------------------------------
T:       \\fss-mt-ad-1.fss-ad.com\krb-fs-1      UID=0, GID=0
                                                rsize=1048576, wsize=1048576
                                                mount=soft, timeout=0.8
                                                retry=1, locking=yes
                                                fileaccess=755, lang=ANSI
                                                casesensitive=no
                                                sec=krb5


C:\Users\fss-user-1>whoami
fss-ad\fss-user-1

Vous pouvez désormais accéder au lecteur à partir de l'Explorateur Windows. Notez que les mappages de lecteur sont effectués par utilisateur et que chaque utilisateur accédant au partage OCI File Storage doit mapper le partage à la lettre de lecteur correspondante.

Configuration de l'autorisation Active Directory pour LDAP

Effectuez cette tâche lorsque l'autorisation LDAP est requise pour les utilisateurs Active Directory. Collectez les informations nécessaires à partir d'Active Directory, définissez les attributs RFC2307 pour tous les utilisateurs et groupes accédant à File Storage, puis configurez LDAP sur la cible de montage.

Pour configurer l'autorisation Active Directory pour LDAP, procédez comme suit :

Obtenez les détails de configuration LDAP à partir d'Active Directory.
Configurez la clé secrète utilisateur de liaison LDAP.
Créez un connecteur sortant.
Configurez LDAP sur la cible de montage.

Remarques :

La cible de montage ne peut pas utiliser un certificat LDAP autosigné.

Obtenez les systèmes hébergeant LDAP à partir de DNS et enregistrez-le pour une étape ultérieure.

Dans cet exemple, le système est fss-ad.com.

C:\Users\administrator>nslookup -type=srv _ldap._tcp.fss-ad.com
Server:  localhost
Address:  ::1
_ldap._tcp.fss-ad.com   SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = ad-server.fss-ad.com
    ad-server.fss-ad.com    internet address = 10.9.1.194

Dans Active Directory, localisez la base de recherche d'attributs distinguishedName (DN) pour les utilisateurs et les groupes.
1. Accédez au répertoire Active Directory Users and Computers et développez fs-ad.com.
2. Cliquez sur Utilisateurs.
Obtenez le DN de l'utilisateur de liaison LDAP.

Remarques :
Cet utilisateur peut être un utilisateur disposant des privilèges les moins élevés avec des capacités de recherche d'annuaire. Le mot de passe de cet utilisateur est également requis ultérieurement pour configurer le connecteur sortant.
1. Sélectionnez ldap-user.
2. Cliquez sur l'onglet Editeur d'attributs.
3. Sélectionnez l'attribut distinguishedName.
4. Copiez la valeur et enregistrez-la pour une étape ultérieure.
Vérifiez les attributs RFC2307 de tous les utilisateurs et groupes accédant à OCI File Storage.
Pour obtenir des instructions et la table d'attributs RFC2307, reportez-vous à Configuration des attributs RFC2307 dans Active Directory.
Créez une clé secrète pour l'utilisateur de liaison LDAP repéré à l'étape 3 ci-dessus.
La clé secrète contient le mot de passe de l'utilisateur LDAP à lier. Le format doit être en texte brut.
Configurer un connecteur sortant. Le connecteur sortant est disponible sur la page File Storage sous Ressources supplémentaires. Créez les données sortantes dans le même domaine de disponibilité que la cible de montage.
1. Entrez le nom DNS.
  Par exemple, ad-server.fss.ad.com.
2. Entrez le port DSAPS du service LDAP.
  Exemple : 636.
3. Entrez le nom distinctif de liaison.
  Il s'agit de l'utilisateur LDAP qui doit se connecter au serveur LDAP. Par exemple, CN=ldap-user,CN=Users, DC=fss-ad, DC=com.
4. Sélectionnez le coffre dans le compartiment dans lequel vos clés secrètes sont stockées.
  Par exemple, krb-vault dans le compartiment ad-kerberos.
5. Sélectionnez la clé secrète dans le compartiment.
  Par exemple, fss-mt-ad-1-ldap-password dans le compartiment ad-kerberos.
6. Sélectionnez la version de la clé secrète.
  Exemple : 1.
7. Cliquez sur Créer.
Configurez LDAP pour la cible de montage.
Vous allez utiliser le connecteur sortant de l'étape précédente.
1. Cliquez sur Stockage dans le menu de navigation. Sous File Storage, cliquez sur Cibles de montage.
2. Sélectionnez un compartiment.
  Par exemple, ad-kerberos.
3. Recherchez la cible de montage, cliquez sur l'onglet NFS, puis sur Gérer LDAP.
4. Entrez la base de recherche dans les champs Base de recherche pour les utilisateurs et Base de recherche pour les groupes.
  
  Remarques :
  
  La base de recherche pour l'utilisateur et le groupe est le nom distinctif obtenu auprès des utilisateurs et du conteneur de groupe Active Directory.
  
  Par exemple, Base de recherche pour les utilisateurs : CN=Users,DC=fss-ad,DC=com et Base de recherche pour les groupes : CN=Users,DC=fss-ad,DC=com.
5. Entrez les intervalles de cache, puis sélectionnez le connecteur sortant créé dans le champ Connecteur sortant 1.
  Dans cet exemple, l'intervalle d'actualisation du cache, la durée de vie du cache et la durée de vie négative du cache sont de 300 secondes. Le compte LDAP dans le Connecteur sortant 1 est fss-ad-ob-1.
6. Enregistrez les paramètres.

Configuration de l'export NFS

Configurez les paramètres d'exportation en fonction des exigences d'autorisation.

Lorsque l'autorisation LDAP n'est pas requise et pour mettre en correspondance tous les utilisateurs authentifiés avec un uid/gid unique, configurez les paramètres suivants pour écraser tous les utilisateurs. Utilisez les options d'export de client NFS pour contrôler la façon dont les clients peuvent accéder au système de fichiers. Modifiez les paramètres suivants pour écraser tous les utilisateurs.
1. Accès anonyme : sélectionnez Non autorisé
2. Squash : sélectionnez Yes (Oui).
3. UID de séquence : entrez 99
4. IDG de la séquence : entrez 99
Avec ces paramètres, tous les utilisateurs authentifiés reçoivent l'ID utilisateur 99 et l'ID de groupe 99. Aucune recherche LDAP n'est effectuée.
Lorsque les utilisateurs doivent être autorisés à l'aide de LDAP, utilisez les options d'export NFS pour mapper les principaux Kerberos aux utilisateurs Unix.
1. Accès anonyme : sélectionnez Autorisé
2. Squash : sélectionnez None.
3. UID de séquence : entrez 199
4. IDG de la séquence : entrez 199
Avec ces paramètres, tous les utilisateurs Kerberos sont mappés avec l'ID utilisateur Unix, l'ID de groupe et l'appartenance à un groupe à partir de LDAP. Si l'utilisateur n'est pas présent dans LDAP, le mappage anonyme est utilisé et l'utilisateur est mappé avec l'ID utilisateur Unix 199 et l'ID de groupe 199. Si l'accès anonyme est désactivé et si l'utilisateur Kerberos n'existe pas dans LDAP, une erreur de refus d'accès est signalée à l'utilisateur qui accède au partage.

Autorisation Unix dans Windows

L'accès à Oracle Cloud Infrastructure File Storage s'effectue à l'aide du protocole NFSv3. L'autorisation est effectuée à l'aide des autorisations Unix.

Vous pouvez utiliser l'outil ldp.exe pour interroger les attributs RFC2307 de l'utilisateur et du groupe afin d'afficher les appartenances uid, gid et group. Les autorisations Unix sont vérifiées en fonction des appartenances uid, gid et group stockées dans LDAP.

Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com 
Filter: (&(objectClass=posixAccount)(uid=fss-user-1))
Attributes: uidNumber;gidNumber

Utilisez l'Explorateur Windows pour voir quel propriétaire et groupe possède le fichier ou le dossier, et quelles autorisations sont définies sur le fichier ou le dossier. Vous pouvez accéder aux attributs NFS (attributs Unix) à partir des propriétés des fichiers ou des dossiers.

Bien que le groupe principal de l'utilisateur fss-user-1 soit 500, OCI File Storage prend en compte tous les groupes dont l'utilisateur est membre pour la vérification des droits d'accès. Utilisez la requête suivante pour rechercher l'appartenance au groupe de l'utilisateur fss-user-1.

Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com 
Filter: (&(objectClass=posixGroup)(memberUid=fss-user-1))' gidNumber
Attributes: gidNumber

Créer des autorisations de dossier initiales

Lors de l'implémentation, prenez en compte les autorisations de dossier.

Le répertoire racine OCI File Storage appartient à uid 0 et dispose de droits d'accès de 755 (rwx pour root, r-x pour root et r-x pour les autres). L'accès root est requis pour créer des dossiers supplémentaires pour les utilisateurs ou pour modifier les autorisations. Il s'agit d'une tâche d'administrateur permettant de créer et de configurer des autorisations initiales répondant aux exigences.

Vous pouvez utiliser l'une des méthodes suivantes pour obtenir l'accès administrateur au système de fichiers :

Tous les utilisateurs ne sont que des utilisateurs standard, sauf s'ils sont mappés à uidNumber 0 et que la racine n'est pas écrasée. Mettez en correspondance un administrateur avec uidNumber 0 dans les attributs LDAP de l'utilisateur.
Exportez le système de fichiers avec l'authentification SYS vers un poste de travail Linux sécurisé. Utilisez l'utilisateur root pour créer et gérer des droits d'accès.