1. Configurer le service OCI File Storage pour les utilisateurs Windows Active Directory
  2. Planification de la configuration

Planification de la configuration

Déterminez comment configurer le partage de fichiers Windows.

  1. Accès NFS simple à partir d'instances Windows sans authentification.
  2. Authentifier les utilisateurs sans autorisation.
  3. Autoriser les utilisateurs sans authentification.
  4. Authentification et autorisation des utilisateurs avec Active Directory.

Composants d'infrastructure requis

Une configuration DNS et LDAP appropriée est essentielle au bon fonctionnement de l'environnement. Pour plus d'informations sur la configuration correcte de l'environnement, consultez les prérequis et les exigences d'infrastructure suivants.

  • Infrastructure DNS gérée par le client. La cible de montage doit pouvoir communiquer avec UDP et le port TCP 53 sur le serveur DNS.
  • Infrastructure Active Directory gérée par le client pour prendre en charge l'authentification Kerberos et l'autorisation LDAP. Les contrôleurs de domaine hébergeant le service LDAP doivent avoir LDAPS activé sur le port 636 avec des certificats signés appropriés, car les cibles de montage n'acceptent pas les certificats autosignés.

  • Compte de connexion au serveur LDAP (service LDAP hébergé sur le contrôleur de domaine Active Directory) qu'une cible de montage OCI File Storage peut utiliser pour rechercher des informations sur les utilisateurs et les groupes compatibles RFC2307.

Configuration du client NFS Windows avec Active Directory

Activez l'intégration utilisateur Active Directory sur tous les postes de travail qui utilisent le partage NFS Oracle Cloud Infrastructure File Storage. Cette étape de configuration n'est requise que lors de l'utilisation du mode 3 (autorisation des utilisateurs sans authentification).

Une fois la recherche Active Directory activée, le client NFS Windows utilise uidNumber et gidNumber d'Active Directory en tant que uid et gid pour chaque utilisateur accédant à OCI File Storage. Le client NFS utilise uniquement AnonymousUid et AnonymousGid du registre Windows lorsque uidNumber et gidNumber ne sont pas présents pour l'utilisateur.

  1. Activez l'intégration utilisateur Active Directory à partir de l'invite powerhell sur le client NFS.
    PS C:\Users\administrator> Set-NfsMappingStore -EnableADLookup $true
PS C:\Users\administrator>
  2. Répétez l'étape 1 sur chaque station de travail qui utilise le partage NFS OCI File Storage.

Configuration des attributs RFC2307 dans Active Directory

Les attributs RFC2307 suivants sont requis pour intégrer Oracle Cloud Infrastructure File Storage à Active Directory (AD), mais ils ne sont pas renseignés par défaut. Vous devez renseigner ces attributs lors de la configuration pour le mode 3 (autoriser les utilisateurs sans authentification) et le mode 4 (authentifier et autoriser les utilisateurs avec Active Directory).

Type d'objet Attribut Value Comment
Utilisateur objectClass posixAccount Ajouter posixAccount en tant que classe d'objet supplémentaire
uidNumber ID utilisateur numérique unique ID utilisateur Unix représentant l'utilisateur
gidNumber ID de groupe numérique ID de groupe numérique principal pour l'utilisateur
uid Nom de l'utilisateur Bien qu'il soit appelé uid, il ne s'agit pas de l'ID Unix de l'utilisateur. Nom utilisateur unique/sAMAccountName
Grouper posixGroup posixGroup Ajouter posixGroup en tant que classe d'objet supplémentaire
gidNumber ID de groupe numérique unique ID de groupe Unix représentant le groupe
memberUid uid des utilisateurs qui sont membres du groupe Ajoutez chaque nom d'utilisateur (uid) en tant que membre du groupe. Voir l'attribut uid ci-dessus

Vous pouvez utiliser le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ou l'outil ADSIEdit pour modifier les attributs utilisateur. Cet exemple utilise le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

  1. Accédez au répertoire Active Directory Users and Computers dans AD.
  2. Développez fs-ad.com, puis sélectionnez Utilisateurs.
  3. Cliquez sur Afficher dans la barre de navigation supérieure, puis sur Fonctionnalités avancées.
  4. Sélectionnez l'utilisateur.
    Dans cet exemple, l'utilisateur est fss-user-1.
  5. Modifiez les attributs selon vos besoins.
  6. Vérifiez les attributs à partir de powershell. 
    PS C:\Users\administrator> $Filter = "(&(objectClass=posixAccount)(uid=fss-user-1))"
>> $RootOU = "CN=Users,DC=fss-ad,DC=com"
>> $Searcher = New-Object DirectoryServices.DirectorySearcher
>> $Searcher.SearchRoot = New-Object System.DirectoryServices.DirectoryEntry("LDAP://$($RootOU)")
>> $Searcher.Filter = $Filter
>> $Searcher.SearchScope = "Subtree"
>> $Results = $Searcher.FindAll()
>> $R = foreach  ($line in $Results) {
>>  $line_entry =  $line.GetDirectoryEntry()
>>  $line_entry | Select-Object -Property uid, objectClass, uidNumber, gidNumber
>> }
>> $R

uid          objectClass                                          uidNumber gidNumber
---          -----------                                          --------- ---------
{fss-user-1} {top, posixAccount, person, organizationalPerson...} {901}     {500}


PS C:\Users\administrator> $Filter = "(&(objectClass=posixGroup)(gidNumber=8001))"
>> $RootOU = "CN=Users,DC=fss-ad,DC=com"
>>
>> $Searcher = New-Object DirectoryServices.DirectorySearcher
>> $Searcher.SearchRoot = New-Object System.DirectoryServices.DirectoryEntry("LDAP://$($RootOU)")
>> $Searcher.Filter = $Filter
>> $Searcher.SearchScope = "Subtree"
>> $Results = $Searcher.FindAll()
>> $R = foreach  ($line in $Results) {
>>  $line_entry =  $line.GetDirectoryEntry()
>>  $line_entry | Select-Object -Property gidNumber, objectClass, memberUid
>> }
>> $R

gidNumber objectClass              memberUid
--------- -----------              ---------
{fss-rw-group-1} {8001}    {top, posixGroup, group} {fss-user-2, fss-user-1}