Documentazione di Oracle Cloud Infrastructure

Impostazione di LDAP per l'autorizzazione

Scopri come impostare LDAP per l'autorizzazione con lo storage di file.

  1. Assicurarsi di disporre dell'infrastruttura LDAP necessaria e di raccogliere le informazioni necessarie. Per ulteriori informazioni, vedere Prerequisiti.
  2. Aggiungere i criteri IAM obbligatori.
  3. Caricare la password LDAP in OCI Vault in formato testo normale. Per ulteriori informazioni, vedere Panoramica del vault.
  4. Creare due connettori in uscita per contattare il server LDAP.
    Nota

    L'uso di LDAP per l'autorizzazione richiede almeno un connettore in uscita. Un secondo connettore in uscita può essere utilizzato come backup o per il failover. Vedere Ricerca di gruppi secondari e Inserimento nella cache per i dettagli su come lo storage di file risponde quando non riesce a raggiungere un server LDAP.
  5. Aggiungere i dettagli di comunicazione LDAP a una destinazione di accesso.
  6. Creare o aggiornare un file system che utilizza la destinazione di accesso abilitata per LDAP.
  7. Abilita LDAP nell'esportazione del file system.
  8. Impostare eventuali opzioni di esportazione NFS opzionali.
  9. Attivare il file system.

Configurazione di LDAP per una destinazione di accesso

Aggiungere le informazioni LDAP a una destinazione di accesso da utilizzare nell'autorizzazione.

Nota

Quando si aggiorna una destinazione di accesso esistente per utilizzare LDAP, può essere necessario del tempo prima che gli aggiornamenti si riflettano completamente nello storage di file.
    1. Aprire il menu di navigazione e selezionare Memorizzazione. In Storage di file, selezionare Attiva destinazioni.
    2. Nella sezione Ambito elenco, in Compartimento selezionare un compartimento.
    3. Trovare la destinazione di accesso desiderata, fare clic sul menu Azioni (Menu Azioni), quindi su Visualizza dettagli.
    4. Fare clic sulla scheda NFS per visualizzare o modificare le impostazioni NFS esistenti per la destinazione di accesso.
    5. Accanto a LDAP, fare clic su Gestisci.

    6. Nella finestra Gestisci LDAP fornire i dettagli riportati di seguito.

      • Tipo di schema: il tipo di schema dell'account LDAP.

        L'unico valore consentito è RFC2307.

      • Intervallo di aggiornamento della cache in secondi: la frequenza con cui la destinazione di accesso deve contattare il server LDAP per gli aggiornamenti.
      • Cache lifetime in secondi: la durata di utilizzo delle voci inserite nella cache.
      • Durata cache negativa in secondi: per quanto tempo inserire nella cache se mancano le informazioni di mapping degli ID.
      • Base di ricerca per gli utenti: tutte le ricerche LDAP sono ricorsive a partire da questo utente.
      • Base di ricerca per i gruppi: tutte le ricerche LDAP sono ricorsive a partire da questo gruppo.
      • Connettore in uscita 1: primo connettore da utilizzare per comunicare con il server LDAP.
      • Connettore in uscita 2: il secondo connettore da utilizzare per comunicare con il server LDAP.
      • Abilita LDAP: abilitare questa opzione per richiedere alla destinazione di accesso di utilizzare un server LDAP per la ricerca di gruppi secondari. Per l'esportazione del file system deve essere abilitata anche l'opzione Usa LDAP per l'elenco di gruppi.
    7. Fare clic su Salva.

  • Utilizzare il comando oci fs mount-target create con le opzioni --idmap-type e --ldap-idmap per creare una destinazione di accesso e fornire i dettagli LDAP.

    oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --idmap-type LDAP --ldap-idmap <file://ldap.json>

    Utilizzare il comando oci fs mount-target update con le opzioni --idmap-type e --ldap-idmap per aggiornare una destinazione di accesso esistente con i dettagli LDAP.

    oci fs mount-target update --mount-target-id <mount_target_id> --idmap-type LDAP --ldap-idmap <file://ldap.json>

    Di seguito viene riportato un file ldap.json di esempio.

    {
  "cacheLifetimeSeconds": 300,
  "cacheRefreshIntervalSeconds": 300,
  "groupSearchBase": "cn=accounts,dc=example,dc=com",
  "negativeCacheLifetimeSeconds": 300,
  "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "userSearchBase": "cn=accounts,dc=example,dc=com",
  "schemaType": "RFC2307"
}

    Per un elenco completo dei parametri e dei valori per i comandi della CLI, vedere il manuale CLI Command Reference.

  • Utilizzare CreateMountTarget o UpdateMountTarget con le opzioni idMapType e ldapIdmap per creare o aggiornare una destinazione di accesso con i dettagli LDAP.

    Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.