Nota

• Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriverti a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.

Configurare Oracle Cloud Infrastructure File Storage Service con il controllo dell'accesso utente di Active Directory

Introduzione

Questa esercitazione fornisce un approccio dettagliato all'integrazione degli utenti Active Directory (AD) con mapping ID utente (UID)/ID gruppo (GID) univoco per l'accesso sicuro al servizio di storage di file Oracle Cloud Infrastructure (OCI) mediante il client NFS (Windows Network File System). Garantisce l'autenticazione e il controllo dell'accesso corretti sfruttando le autorizzazioni di Active Directory, consentendo alle organizzazioni di limitare l'accesso al file system a utenti e gruppi specifici mantenendo la conformità ai criteri di sicurezza aziendali.

Abilitando il mapping UID/GID in Active Directory e utilizzando le autorizzazioni di sicurezza Windows, è possibile effettuare le operazioni riportate di seguito.

• Limitare l'accesso allo storage di file OCI a utenti/gruppi specifici di Active Directory.

• Assicurarsi che la proprietà dei file e il controllo dell'accesso siano applicati correttamente.

• Consenti ai client Windows basati su NFS di interagire in modo sicuro con OCI File Storage.

In questa esercitazione verranno creati uno storage di file OCI e una destinazione di accesso nella stessa rete VCN (Virtual Cloud Network) dei servizi di dominio Active Directory (AD DS) e della virtual machine (VM) Windows con join di dominio per una perfetta integrazione e controllo degli accessi da Task 1 a 4 e abilitare l'integrazione di Active Directory per OCI File Storage, creare utenti con mapping UID/GID specifici e applicare restrizioni di accesso a livello di cartella da Task 5 a 8.

Obiettivi

• Integra gli utenti Active Directory con il mapping UID/GID per accedere in modo sicuro a OCI File Storage utilizzando il client NFS Windows, applicando al contempo il controllo dell'accesso basato sulle autorizzazioni di Active Directory.

  • Creare uno storage di file OCI.

  • Configurare una destinazione di accesso nella stessa VCN del controller di dominio e della VM Windows.

  • Assicurarsi che le regole di sicurezza appropriate per l'accesso NFS.

  • Attivare il file system sulla VM Windows.

  • Preparare il controllo dell'accesso basato su Active Directory.

  • Creare utenti AD con attributi UID/GID.

  • Configura OCI File Storage con controllo dell'accesso a livello di cartella.

  • Esegue il MOUNT dello storage di file OCI sulle VM collegate al dominio.

  • Convalidare le limitazioni di accesso basate sull'utente.

  Questa impostazione garantisce la perfetta integrazione di Active Directory con OCI File Storage, consentendo la condivisione sicura dei file e l'accesso controllato in base ai mapping UID/GID. Questa impostazione garantisce un controllo dell'accesso sicuro e basato sui ruoli per il servizio OCI File Storage che utilizza l'autenticazione Active Directory e il mapping UID/GID.

Prerequisiti

• Storage di file OCI con una destinazione di accesso configurata.

• DS AD con attributi RFC2307 abilitati.

• Client NFS Windows installato su computer con join di dominio.

• Sia il controller di dominio Active Directory che la destinazione di accesso allo storage di file OCI devono trovarsi nella stessa VCN di rete.

Task 1: Creare uno storage di file OCI

1. Eseguire il login a OCI Console, passare a Storage e fare clic su Storage di file.

2. Fare clic su Crea file system e immettere le informazioni seguenti.

   • Compartimento: selezionare un compartimento appropriato.
   • Nome: immettere un nome descrittivo. Ad esempio, AD-Integrated-FSS.

3. Fare clic su Crea per eseguire il provisioning del file system.

Task 2: creare una destinazione di accesso nella stessa VCN

1. Andare a OCI Console, andare a Storage di file e fare clic su Attiva destinazioni.

2. Fare clic su Crea destinazione di accesso e immettere le informazioni seguenti.

   • Compartimento: selezionare lo stesso compartimento dello storage di file OCI.
   • Nome: immettere un nome. Ad esempio, AD-MountTarget.
   • Rete cloud virtuale (VCN): selezionare la stessa VCN in cui vengono distribuiti il controller del dominio e la VM collegata al dominio.
   • Subnet: selezionare una subnet privata o pubblica nella VCN (assicurarsi che consenta il traffico NFS).
   • Nome host: immettere un nome host per la destinazione di accesso.

3. Fare clic su Crea destinazione di accesso e attendere il provisioning.

   

Task 3: Configurare le regole di sicurezza per l'accesso NFS

1. Andare alla console OCI, andare a Networking, Reti cloud virtuali (VCN) e selezionare la VCN.

2. Fare clic su Elenchi di sicurezza e aggiornare le regole di entrata per la subnet della destinazione di accesso con le informazioni riportate di seguito.

   • CIDR di origine: subnet contenente il controller del dominio e la VM collegata al dominio.
   • Protocollo: selezionare TCP.
   • Intervallo porte: immettere 2049 (per NFS).

3. Aggiungere una regola di uscita per consentire il traffico in uscita dalla subnet della destinazione di accesso con le informazioni riportate di seguito.

   • CIDR di destinazione: immettere 0.0.0.0/0.
   • Protocollo: selezionare TCP.
   • Intervallo porte: immettere 2049.

   Se si utilizzano i gruppi di sicurezza, assicurarsi che il controller di dominio, la VM con join di dominio e la destinazione di accesso si trovino nello stesso gruppo, con le autorizzazioni NFS (TCP 2049) e DNS (TCP/UDP 53).

Task 4: Verifica della connettività

1. Eseguire il login alla VM Windows collegata al dominio.

2. Eseguire il test della connettività alla destinazione di accesso utilizzando il comando ping o nslookup.

   ping <MOUNT_TARGET_IP>
   nslookup <MOUNT_TARGET_HOSTNAME>
   

   Assicurarsi che il controller di dominio e la VM Windows siano in grado di risolvere il nome host della destinazione di accesso utilizzando il DNS.

Task 5: configurare gli utenti di Active Directory con attributi UID/GID

1. Aprire Active Directory Users and Computers (ADUC).

2. In Controller dominio, aprire ADUC (dsa.msc), fare clic su Visualizza e abilitare Funzioni avanzate.

   

3. Creare Utenti con attributi RFC2307.

   1. Passare a Utenti sotto il dominio. Ad esempio, fs-ad.com.

   2. Creare i seguenti utenti e impostare gli attributi RFC2307.

      User	Numero UID	Numero GID	Descrizione
      fssadmin	0	0	Amministratore FSS
      applicationuser1	101	501	Utente applicazione 1
      applicationuser2	102	502	Utente applicazione 2

      

      

4. Modificare gli attributi dell'utente.

   1. Fare clic con il pulsante destro del mouse su ciascun utente e fare clic su Proprietà.

   2. Passare a Editor attributi e aggiornare i seguenti attributi RFC2307.

      • objectClass: aggiungere posixAccount.
      • uidNumber: assegnare i valori dalla tabella nel task 5.3.
      • gidNumber: assegnare i valori dalla tabella nel task 5.3.
      • uid: impostare come sAMAccountName.

   3. Fare clic su Applica e su OK.

Task 6: Configurare le autorizzazioni dello storage di file OCI

1. Impostare la cartella principale dello storage di file OCI con 0 UID/GID (accesso root per fssadmin).

   1. Andare a OCI Console, andare a Storage di file e fare clic su File system.

   2. Fare clic sull'istanza di storage di file OCI e selezionare la cartella principale.

   3. Fare clic su Autorizzazioni avanzate e immettere le informazioni riportate di seguito.

      • UID: immettere 0.
      • GID: immettere 0.

2. Crea e limita cartelle specifiche dell'applicazione.

   1. All'interno della cartella principale di OCI File Storage, creare due cartelle con le informazioni riportate di seguito.

      • Folder1: per applicationuser1 con uid=101.
      • Folder2: per applicationuser2 con uid=102.

   2. Fare clic su Opzioni avanzate e impostare le autorizzazioni delle cartelle.

      • Folder1:

        • UID: immettere 101.
        • GID: immettere 501.

      • Folder2:

        • UID: immettere 102.
        • GID: immettere 502.

Task 7: eseguire il MOUNT dello storage di file OCI sulle VM Windows con join al dominio

1. Eseguire il login alla VM Windows collegata al dominio come applicationuser1 o applicationuser2.

2. Aprire Prompt dei comandi come amministratore.

3. Eseguire il MOUNT dello storage di file OCI utilizzando l'IP di destinazione di accesso.

   mount -o sec=sys Mount_Target_IP:/<EXPORT_PATH> S:
   

   Nota:

   • Sostituire <MOUNT_TARGET_IP> con l'IP della destinazione di accesso.

   • Sostituire <EXPORT_PATH> con il percorso di esportazione dello storage di file OCI.

4. Verificare l'installazione utilizzando il comando seguente.

   net use
   

   Assicurarsi che il MOUNT di S: sia riuscito.

   

Task 8: Convalida limitazioni di accesso alle cartelle

• Verifica accesso utente

  • applicationuser1:

    • Accesso: può leggere e scrivere all'interno di Folder1 (UID: 101).
    • Limitazione: impossibile creare i file in Folder2 (UID: 102).

  • applicationuser2:

    • Accesso: può leggere e scrivere all'interno di Folder2 (UID: 102).
    • Limitazione: impossibile creare i file in Folder1 (UID: 101).

  Inoltre, gli utenti non possono creare nuove cartelle nella cartella principale di OCI File Storage, garantendo un'applicazione rigorosa del controllo dell'accesso.

• Configurazione del controllo dell'accesso basato su gruppi per OCI File Storage (FSS)

  Per concedere a un gruppo di utenti l'accesso a una cartella specifica in OCI File Storage (FSS), assegnare lo stesso GID a tutti gli utenti del gruppo mantenendo i relativi UID univoci. Quando si crea la cartella in OCI FSS, impostare solo il GID nelle opzioni avanzate in modo che corrisponda al GID del gruppo assegnato (esempio: GID 501). Ciò garantisce che tutti gli utenti all'interno del gruppo possano montare il FSS e accedere alla cartella designata, pur mantenendo le identità dei singoli utenti.

• Applica controllo dell'accesso con Active Directory

  Quando gli utenti eseguono il login a una VM collegata al dominio, possono eseguire il MOUNT dell'unità e accedere solo alle cartelle del file system OCI per le quali sono autorizzati. Qualsiasi tentativo di accesso o modifica di cartelle non autorizzate verrà limitato in base alle autorizzazioni definite.

  Il controllo dell'accesso viene gestito centralmente tramite Active Directory, consentendo solo agli amministratori di dominio e agli amministratori di file system (GID/UID: 0) di avere il controllo completo sulle cartelle di OCI File Storage. Ciò garantisce un modello di autorizzazione strutturato e sicuro.

• Rafforza la sicurezza con le opzioni di esportazione

  Per migliorare ulteriormente la sicurezza, è necessario configurare le opzioni di esportazione OCI in modo da consentire l'accesso solo da indirizzi IP specifici e verificati. Limitando l'accesso della destinazione di accesso agli IP noti e autorizzati, ai sistemi non autorizzati viene negato l'accesso per impostazione predefinita, rendendo questo approccio uno dei modi più sicuri per controllare l'accesso a OCI File Storage.

  

Gestire gli attributi dei file in OCI File Storage per impedire l'allegato :Zone.Identifier in Windows

Problema: allegato :Zone.Identifier ai file di storage di file OCI in Windows.

Durante la copia dei file nello storage di file OCI attivato su Windows, è possibile aggiungere un flusso di dati alternativo (:Zone.Identifier) ai file. Questo accade perché Windows utilizza i metadati degli identificatori di zona per tenere traccia della zona di sicurezza dei file scaricati, principalmente per impedire l'esecuzione di contenuti potenzialmente non sicuri.

Poiché OCI File Storage utilizza il protocollo NFS, che supporta gli attributi estesi ma non gestisce in modo nativo i flussi di dati alternativi NTFS (ADS) specifici di Windows, questi flussi :Zone.Identifier possono essere involontariamente conservati quando i file vengono copiati. Ciò può causare avvisi o problemi di sicurezza imprevisti durante l'esecuzione dei file.

Per evitare questo problema, attenersi alla procedura riportata di seguito su ogni VM client che accede a questa unità di destinazione di accesso allo storage di file OCI.

1. Fare clic su Internet (inetcpl.cpl) nel computer client del dominio.

2. Andare alla scheda Sicurezza, selezionare Intranet locale e fare clic su Siti.

3. Fare clic su Avanzate e aggiungere il nome host della destinazione di accesso allo storage di file OCI (il punto di accesso mss \fss-mount-target o \IP-Address-FSS).

   

Collegamenti correlati

• Configurare lo storage di file per gli utenti di Microsoft Windows Active Directory

• Attivazione del file system dal prompt dei comandi di Windows Server

Conferme

• Autori - Akarsha I K (Cloud Architect), Mayank Kakani (Cloud Architect)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione del prodotto, visita l'Oracle Help Center.

---

Titolo e informazioni sul copyright

Configure Oracle Cloud Infrastructure File Storage Service with Active Directory User Access Control

G27601-01

February 2025

Copyright ©2025, Oracle and/or its affiliates.