Documentazione di Oracle Cloud Infrastructure

Gestione dei connettori in uscita

Lo storage di file utilizza connettori in uscita per comunicare con un server esterno, ad esempio un server LDAP.

Un connettore in uscita contiene tutte le informazioni necessarie per connettersi, autenticare e ottenere l'autorizzazione per eseguire le funzioni richieste dall'account. Attualmente, i connettori in uscita vengono utilizzati solo per la comunicazione con i server LDAP. È possibile specificare le opzioni di configurazione per il connettore quando si aggiunge l'autenticazione LDAP a una destinazione di accesso.

Quando si esegue la connessione a un server LDAP, una destinazione di accesso utilizza il primo connettore in uscita specificato nella relativa configurazione. Se la destinazione di accesso non riesce a eseguire il login al server LDAP utilizzando il primo connettore in uscita, utilizza il secondo connettore in uscita.

Più destinazioni di accesso possono utilizzare lo stesso connettore in uscita. È possibile associare un connettore in uscita a una destinazione di accesso solo quando esiste nello stesso dominio di disponibilità. Puoi avere fino a 32 connettori in uscita per dominio di disponibilità.

Per istruzioni dettagliate sulla gestione dei connettori in uscita, vedere gli argomenti riportati di seguito.

Criteri IAM necessari

Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o unaltro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.

Per gli amministratori: il criterio in Consenti agli utenti di creare, gestire ed eliminare file system consente agli utenti di gestire i connettori in uscita.

Poiché i connettori in uscita richiedono anche l'accesso ai segreti per connettersi a un server esterno, ad esempio un server LDAP, sono necessari criteri IAM aggiuntivi per l'utente che configura la destinazione di accesso e la destinazione di accesso stessa.
Importante

Per poter configurare le destinazioni di accesso in modo che utilizzino LDAP per l'autorizzazione, è necessario creare questi criteri.

Criterio per abilitare la configurazione della destinazione di accesso

Concedere all'utente o al gruppo che configura LDAP su autorizzazioni di destinazione di accesso utilizzando un criterio quale quello riportato di seguito. Ciò consente all'utente di leggere i segreti del vault necessari durante la configurazione.

allow <user|group> to read secret-family in compartment <Compartment_ID> where any { target.secret.id = <LDAP_Password_Secret_ID>, target.secret.id = <Trusted_Certificate_Secret_ID> }

Ciò consente all'utente di eseguire comandi di storage di file che leggeranno i segreti del vault e visualizzeranno parti del segreto per la convalida durante la configurazione.

Criterio che consente a una destinazione di accesso di recuperare i segreti

Il servizio di storage di file richiede la possibilità di leggere i segreti. Lo storage di file utilizza i principal delle risorse per concedere a un set specifico di destinazioni di accesso l'accesso al segreto del vault. Si tratta di un processo in due fasi, in primo luogo le destinazioni di accesso che richiedono l'accesso devono essere inserite in un gruppo dinamico, quindi al gruppo dinamico viene concesso l'accesso per leggere i segreti.

  1. Creare un gruppo dinamico per le destinazioni di accesso con un criterio, ad esempio:

    ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_id>' }
    Nota

    Se in un gruppo dinamico sono presenti più regole, assicurarsi di utilizzare l'opzione Match any rules defined below.

  2. Creare un criterio IAM che fornisca al gruppo dinamico di destinazioni di accesso l'accesso in lettura ai segreti del vault:

     allow dynamic-group <dynamic_group_name> to read secret-family in compartment <secret_compartment_name>

Se non conosci i criteri, consulta la Guida introduttiva ai criteri e i dettagli del servizio di storage di file.

Dettagli su un connettore in uscita

La pagina dei dettagli fornisce le informazioni riportate di seguito su un connettore in uscita.

OCID
Ogni risorsa Oracle Cloud Infrastructure ha un ID univoco assegnato da Oracle chiamato OCID (Oracle Cloud Identifier). Per utilizzare l'interfaccia CLI (Command Line Interface) o l'API, è necessario disporre dell'OCID di un connettore in uscita. È inoltre necessario l'OCID quando si contatta il supporto. Vedere Identificativi risorsa.
DATA CREAZIONE
La data e l'ora di creazione del connettore in uscita.
COMPARTIMENTO
Quando si crea un connettore in uscita, è necessario specificare il compartimento in cui si trova. Un compartimento è una raccolta di risorse correlate (ad esempio reti cloud, istanze di computazione o file system) accessibili solo ai gruppi autorizzati da un amministratore dell'organizzazione. Per utilizzare l'interfaccia CLI (Command Line Interface) o l'API, è necessario disporre del compartimento del connettore in uscita. Per ulteriori informazioni, vedere Gestione dei compartimenti.
DOMINIO DI DISPONIBILITÀ
Quando si crea un connettore in uscita, si specifica il dominio di disponibilità in cui risiede. Un dominio di disponibilità è uno o più data center all'interno di un'area regionale. Per utilizzare l'interfaccia CLI (Command Line Interface) o l'API, è necessario disporre di un dominio di disponibilità di un connettore in uscita. Per ulteriori informazioni, vedere Aree e domini di disponibilità.
TIPO DI CONNETTORE
Tipo di connettore in uscita. L'unico tipo supportato è LDAPBIND.
NOME DNS DEL SERVER
Il nome dominio completamente qualificato dell'istanza in cui è in esecuzione il servizio LDAP.
PORT
La porta LDAPS del servizio LDAP.
NOME DISTINTO AUTENTICAZIONE
Nome distinto LDAP utilizzato per eseguire il login al server LDAP.
OCID SEGRETO
OCID del segreto nel vault che contiene la password associata al nome distinto di autenticazione.
VERSIONE DEL SEGRETO
Numero di versione del segreto password LDAP.
ABILITA CERTIFICATO DIGITALE
Indica se il connettore in uscita è configurato per utilizzare un certificato protetto per le connessioni LDAPS.
SEGRETO CERTIFICATO SICURO
OCID del segreto nel vault che contiene il certificato protetto.
VERSIONE DEL SEGRETO CERTIFICATO SICURO
Numero di versione del segreto certificato attendibile.

Risoluzione dei problemi di richieste non valide (HTTP 400) durante la configurazione di un certificato protetto

Se si crea un connettore in uscita e si fornisce un OCID segreto certificato protetto e una versione segreta, la richiesta può non riuscire con Richiesta non valida (HTTP 400). In genere, ciò significa che il servizio non è in grado di convalidare il segreto, la versione o il contenuto del certificato.

Ecco alcune cause e correzioni comuni:

Causa: OCID segreto vault non valido

L'OCID certificato protetto immesso non è un OCID Secret del vault (o il nome segreto non è valido).

Rimedio: utilizzare un OCID segreto vault valido

  1. Confermare che l'OCID punta a un segreto vault (non a un vault, a una chiave o a un altro tipo di risorsa).
  2. Aggiornare il connettore in uscita per utilizzare l'OCID segreto certificato protetto corretto.

Causa: versione del segreto non valida

La versione del segreto certificato trusted deve essere maggiore di 0. Se si utilizza 0 (o un numero negativo), la convalida non riesce.

Rimedio: impostare la versione su un numero maggiore di 0

  1. Nel vault controllare le versioni dei segreti disponibili per il segreto certificato protetto.
  2. Aggiornare il connettore in uscita per utilizzare una versione del segreto maggiore di 0.

Causa: certificato radice autofirmato mancante

Il servizio legge il certificato (o il bundle) dal segreto e prevede di trovare un certificato (root) autofirmato. Se non riesce a trovarne uno, la convalida non riesce.

Rimedio: assicurarsi che il segreto includa un certificato radice autofirmato

  1. Controllare il contenuto del segreto e verificare che includa un certificato CA root autofirmato (come singolo certificato o all'interno di un bundle).
  2. Aggiornare il contenuto del segreto vault, se necessario, quindi ricreare il connettore in uscita.

Causa: certificato radice scaduto

Il certificato (root) autofirmato trovato nel segreto è scaduto. Il messaggio potrebbe essere visualizzato in Root Certificate is expired.

Rimedio: sostituire il certificato scaduto

  1. Caricare un certificato radice valido (non scaduto) nel segreto vault.
  2. Se l'aggiornamento crea una nuova versione del segreto, aggiornare il connettore in uscita per utilizzare tale versione, quindi riprovare.

Causa: accesso al segreto vault non riuscito

Il servizio non è in grado di leggere il segreto, ad esempio a causa di autorizzazioni mancanti, del segreto non disponibile o di problemi di connettività.

Rimedio: conferma autorizzazioni e accesso al segreto

  1. Verificare che i criteri IAM consentano all'utente che apporta la modifica e alla destinazione di accesso (principal risorsa) di leggere secret-family nel compartimento del segreto.
  2. Verificare che il segreto esista e sia disponibile e che l'accesso al vault funzioni dall'ambiente in uso.

Causa: formato del certificato X.509 non valido

Il contenuto segreto non è un certificato X.509 valido (o un bundle di certificati), pertanto il servizio non può analizzarlo.

Rimedio: Conservare un certificato X.509 valido (o pacchetto)

  1. Verificare che i dati del certificato memorizzati siano un certificato X.509 (o un bundle) formattato correttamente e che non siano troncati o danneggiati.
  2. Aggiornare il segreto vault con il contenuto del certificato corretto, quindi riprovare a creare/aggiornare il connettore in uscita.