Configuration de l'authentification et de l'autorisation pour les utilisateurs Active Directory
Configurez Oracle Cloud Infrastructure Identity and Access Management, configurez l'authentification et l'autorisation Active Directory (AD), configurez l'export NFS et configurez les droits d'accès Unix.
Configuration de stratégies Oracle Cloud Infrastructure Identity and Access Management
Créez un groupe dynamique dans Oracle Cloud Infrastructure (OCI) Identity and Access Management et ajoutez des stratégies pour permettre aux cibles de montage d'accéder aux clés secrètes LDAP et Kerberos. Cette opération est requise pour les configurations Kerberos et LDAP.
Configuration de l'authentification Active Directory avec Kerberos
Après avoir configuré Oracle Cloud Infrastructure Identity and Access Management, vous configurez Active Directory. La configuration de Kerberos implique deux étapes : joindre la cible de montage à Active Directory de Microsoft, puis mettre à jour les paramètres de la cible de montage avec la configuration Kerberos.
Jointure de la cible de montage à Active Directory
Terminez cette tâche lorsque l'authentification est requise pour les utilisateurs Active Directory. Il s'agit d'un processus manuel effectué en dehors du service Oracle Cloud Infrastructure File Storage. La jointure de la cible de montage à Active Directory de Microsoft implique l'ajout d'un compte d'ordinateur à Active Directory, la configuration du cryptage correct, l'extraction du fichier keytab et l'ajout de la cible de montage au DNS.
Configuration de la cible de montage pour Kerberos
Créez une clé secrète pour le fichier keytab. Le contenu de clé secrète est l'onglet de clé encodé base64 que vous avez copié lorsque vous avez rejoint la cible de montage avec Active Directory.
Voici les étapes de base nécessaires pour configurer la cible de montage pour Kerberos :
- Rejoignez la cible de montage dans Active Directory (étape précédente).
- Configurez des clés secrètes de coffre de fichier keytab.
- Configurez Kerberos sur la cible de montage.
Montage de l'export NFS à l'aide de Kerberos
Kerberos NFS prend en charge les trois mécanismes de sécurité suivants.
- krb5 : Kerberos pour l'authentification uniquement.
- krb5i : authentifié et utilise des hachages cryptographiques avec chaque transaction pour assurer l'intégrité. Le trafic peut encore être intercepté et examiné, mais des modifications du trafic ne sont pas possibles.
- krb5p : authentifié et crypté tout le trafic entre le client et le serveur. Le trafic ne peut pas être inspecté et ne peut pas être modifié.
C:\Users\fss-user-1>mount -o sec=krb5 fss-mt-ad-1.fss-ad.com:/krb-fs-1 T:
T: is now successfully connected to fss-mt-ad-1.fss-ad.com:/krb-fs-1
The command completed successfully.
sys
, krb5
, krb5i
et krb5p
) n'est fournie lors du montage, Windows choisit la variante de sécurité supérieure définie sur l'export. Utilisez la commande mount
pour vérifier la variante Windows sélectionnée lors du montage du lecteur.
C:\Users\fss-user-1>mount
Local Remote Properties
-------------------------------------------------------------------------------
T: \\fss-mt-ad-1.fss-ad.com\krb-fs-1 UID=0, GID=0
rsize=1048576, wsize=1048576
mount=soft, timeout=0.8
retry=1, locking=yes
fileaccess=755, lang=ANSI
casesensitive=no
sec=krb5
C:\Users\fss-user-1>whoami
fss-ad\fss-user-1
Vous pouvez désormais accéder au lecteur à partir de l'Explorateur Windows. Notez que les mappages de lecteur sont effectués par utilisateur et que chaque utilisateur accédant au partage OCI File Storage doit mapper le partage à la lettre de lecteur correspondante.
Configuration de l'autorisation Active Directory pour LDAP
Effectuez cette tâche lorsque l'autorisation LDAP est requise pour les utilisateurs Active Directory. Collectez les informations nécessaires à partir d'Active Directory, définissez les attributs RFC2307 pour tous les utilisateurs et groupes accédant à File Storage, puis configurez LDAP sur la cible de montage.
Pour configurer l'autorisation Active Directory pour LDAP, procédez comme suit :
- Obtenez les détails de configuration LDAP à partir d'Active Directory.
- Configurez la clé secrète utilisateur de liaison LDAP.
- Créez un connecteur sortant.
- Configurez LDAP sur la cible de montage.
Remarques :
La cible de montage ne peut pas utiliser un certificat LDAP autosigné.Configuration de l'export NFS
Configurez les paramètres d'exportation en fonction des exigences d'autorisation.
Autorisation Unix dans Windows
L'accès à Oracle Cloud Infrastructure File Storage s'effectue à l'aide du protocole NFSv3. L'autorisation est effectuée à l'aide des autorisations Unix.
ldp.exe
pour interroger les attributs RFC2307 de l'utilisateur et du groupe afin d'afficher les appartenances uid, gid et group. Les autorisations Unix sont vérifiées en fonction des appartenances uid, gid et group stockées dans LDAP.Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixAccount)(uid=fss-user-1))
Attributes: uidNumber;gidNumber
Utilisez l'Explorateur Windows pour voir quel propriétaire et groupe possède le fichier ou le dossier, et quelles autorisations sont définies sur le fichier ou le dossier. Vous pouvez accéder aux attributs NFS (attributs Unix) à partir des propriétés des fichiers ou des dossiers.
fss-user-1
soit 500, OCI File Storage prend en compte tous les groupes dont l'utilisateur est membre pour la vérification des droits d'accès. Utilisez la requête suivante pour rechercher l'appartenance au groupe de l'utilisateur fss-user-1
.
Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixGroup)(memberUid=fss-user-1))' gidNumber
Attributes: gidNumber
Créer des autorisations de dossier initiales
Lors de l'implémentation, prenez en compte les autorisations de dossier.
Le répertoire racine OCI File Storage appartient à uid 0 et dispose de droits d'accès de 755 (rwx pour root, r-x pour root et r-x pour les autres). L'accès root est requis pour créer des dossiers supplémentaires pour les utilisateurs ou pour modifier les autorisations. Il s'agit d'une tâche d'administrateur permettant de créer et de configurer des autorisations initiales répondant aux exigences.
Vous pouvez utiliser l'une des méthodes suivantes pour obtenir l'accès administrateur au système de fichiers :
- Tous les utilisateurs ne sont que des utilisateurs standard, sauf s'ils sont mappés à uidNumber 0 et que la racine n'est pas écrasée. Mettez en correspondance un administrateur avec uidNumber 0 dans les attributs LDAP de l'utilisateur.
- Exportez le système de fichiers avec l'authentification
SYS
vers un poste de travail Linux sécurisé. Utilisez l'utilisateurroot
pour créer et gérer des droits d'accès.