1. Configurare OCI File Storage Service per gli utenti di Windows Active Directory
  2. Configurare l'autenticazione e l'autorizzazione per gli utenti di Active Directory

Configurare l'autenticazione e l'autorizzazione per gli utenti di Active Directory

Impostare Oracle Cloud Infrastructure Identity and Access Management, configurare l'autenticazione e l'autorizzazione Active Directory (AD), configurare l'esportazione NFS e impostare le autorizzazioni Unix.

Impostare i criteri di Oracle Cloud Infrastructure Identity and Access Management

Creare un gruppo dinamico in Oracle Cloud Infrastructure (OCI) Identity and Access Management e aggiungere criteri per consentire alle destinazioni di accesso di accedere ai segreti LDAP e Kerberos. Questa operazione è necessaria sia per le configurazioni Kerberos che per quelle LDAP.

  1. Eseguire il login a OCI.
  2. Aprire il menu di navigazione e fare clic su Identità e sicurezza.
  3. Fare clic su Gruppi dinamici.
  4. Fare clic su Crea gruppo dinamico, quindi immettere Nome e Descrizione.
    Il nome deve essere univoco in tutti i gruppi della tenancy (gruppi dinamici e gruppi di utenti). Impossibile modificare questo nome in seguito. Evitare di fornire informazioni riservate.
    In questo esempio viene utilizzato il gruppo ad-kerberos-mt-group per tutte le destinazioni di accesso nel compartimento ad-kerberos.
  5. Inserire le regole di corrispondenza per definire i membri del gruppo.
    Di seguito sono riportati alcuni esempi. 
    ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_ocid>' }
  6. Fare clic su Crea.
  7. Aprire il menu di navigazione e fare clic su Identità e sicurezza. In Identità fare clic su Criteri.
  8. Fare clic su Crea criterio.
  9. Immettere il nome, la descrizione e il compartimento per il nuovo criterio.
    Il nome deve essere univoco in tutti i criteri nella tenancy. Non è possibile modificare in seguito. Evitare di fornire informazioni riservate.
  10. Utilizzare Policy Builder per creare un criterio per consentire l'accesso della destinazione di accesso ai segreti nel compartimento.
    In questo esempio viene utilizzato il gruppo ad-kerberos-mt-group per tutte le destinazioni di accesso nel compartimento ad-kerberos. 
    allow dynamic-group ad-kerberos-mt-group to read secret-family in compartment ad-kerberos
  11. Fare clic su Crea.

Configurare l'autenticazione Active Directory con Kerberos

Dopo aver configurato Oracle Cloud Infrastructure Identity and Access Management, sarà possibile configurare Active Directory. La configurazione di Kerberos prevede due passi: unire la destinazione di accesso a Active Directory di Microsoft, quindi aggiornare le impostazioni della destinazione di accesso con la configurazione Kerberos.

Unire la destinazione di accesso a Active Directory

Completare questo task quando è richiesta l'autenticazione per gli utenti di Active Directory. Si tratta di un processo manuale eseguito al di fuori del servizio Oracle Cloud Infrastructure File Storage. Il join della destinazione di accesso a Active Directory di Microsoft implica l'aggiunta di un account computer a Active Directory, l'impostazione della cifra corretta, l'estrazione della tabella chiavi e l'aggiunta della destinazione di accesso al DNS.

  1. Creare un account computer per la destinazione di accesso (MT) in Active Directory.
    È possibile creare l'account dalla riga di comando oppure utilizzare lo snap-in Active Directory Users and Computers per creare un nuovo account computer.
    Command-Line
    C:\Users\administrator>djoin /provision /domain fss-ad.com /machine fss-mt-ad-1 /savefile offlinedomainjoin.txt
    Provisioning the computer...
Successfully provisioned [fss-mt-ad-1] in the domain [fss-ad.com].
…
The operation completed successfully.
    Active Directory Users and Computers
    1. Andare alla directory Active Directory Users and Computers, espandere fs-ad.com, quindi selezionare Computer.
    2. Fare clic su Nuovo, quindi su Computer.
    3. Aggiungere fss-mt-ad-1.

      Al termine, FSS-MT-AD-1 viene visualizzato sotto la struttura Computers nello snap-in Active Directory Users and Computers.

  2. Creare una tabella chiavi utilizzando ktpass.exe.

    Nota

    È necessario aprire il prompt dei comandi come amministratore per eseguire ktpass.exe. Altrimenti, fallirà. AES256-SHA1 è aes256-cts-hmac-sha1-96. 
    C:\>ktpass -princ nfs/fss-mt-ad-1.fss-ad.com@FSS-AD.COM -mapuser FSS-AD\fss-mt-ad-1 -crypto AES256-SHA1 +rndpass -ptype KRB5_NT_SRV_HST  -out fss-mt-ad-1.keytab
Targeting domain controller: ad-server.fss-ad.com
Successfully mapped nfs/fss-mt-ad-1.fss-ad.com to FSS-MT-AD-1$.
WARNING: Account FSS-MT-AD-1$ is not a user account (uacflags=0x1001).
WARNING: Resetting FSS-MT-AD-1$'s password may cause authentication problems if FSS-MT-AD-1$ is being used as a server.

Reset AD-FSS-MT-2$'s password [y/n]?  y
Password successfully set!
Key created.
Output keytab to fss-mt-ad-1.keytab:
Keytab version: 0x502
keysize 88 nfs/fss-mt-ad-1.fss-ad.com@FSS-AD.COM ptype 3 (KRB5_NT_SRV_HST) vno 2 etype 0x12 (AES256-SHA1) keylength 32
  3. Convertire la tabella chiavi in base64 da utilizzare con la tabella chiavi durante la configurazione di Kerberos sulla destinazione di accesso.
    C:\>certutil.exe -encode fss-mt-ad-1.keytab keytab.txt
Input Length = 94
Output Length = 188
CertUtil: -encode command completed successfully.

C:\>notepad keytab.txt
    1. Aprire il file keytab.txt in un blocco note.
    2. Rimuovere le righe BEGIN e END CERTIFICATE.
    3. Copiare il testo base64 in una riga lunga continua senza spazio in una singola riga.
      Il testo base64 sarà necessario quando si configurano i segreti per la destinazione di accesso per Kerberos in un secondo momento.
  4. Modificare l'attributo della destinazione di accesso (MT) in Active Directory per utilizzare cifrature più sicure. Individuare l'account MT e modificare il valore dell'attributo msDS-SupportedEncryptionTypes in 24 per aes256-cts-hmac-sha1-96.
    Active Directory fornisce i ticket con la cifra RC4 per impostazione predefinita. Se l'attributo msDS-SupportedEncryptionTypes non esiste, crearne uno e impostare i valori.
  5. Aprire DNS Manager ed espandere la struttura del server DNS.
  6. Aggiungere le zone di ricerca in avanti per la destinazione di accesso. Immettere l'indirizzo IP, selezionare Crea record puntatore associato (PTR), quindi fare clic su Aggiungi host.

Configurare la destinazione di accesso per Kerberos

Creare un segreto per la tabella chiavi. Il contenuto segreto è la tabella di chiavi codificata base64 copiata quando si è uniti alla destinazione di accesso con Active Directory.

Di seguito sono riportati i passi di base necessari per configurare la destinazione di accesso per Kerberos.

  • Unire la destinazione di accesso in Active Directory (passo precedente).
  • Configurare i segreti del vault della tabella chiavi.
  • Configurare Kerberos sulla destinazione di accesso.
  1. Vai alla console di Oracle Cloud Infrastructure (OCI) e apri il menu di navigazione.
  2. Fare clic su Identità e sicurezza, quindi su Vault.
  3. In Ambito lista, selezionare il compartimento in cui si desidera creare un segreto.
    In questo esempio viene utilizzato il compartimento ad-kerberos.
  4. In Risorse, fare clic su Secret, quindi su Crea segreto.
  5. Immettere le seguenti informazioni nel pannello Crea segreto:
    Evitare di inserire informazioni riservate.
    1. Nome: immettere un nome per identificare il segreto. Ad esempio, fss-mt-ad-1-keytab-secret.
    2. Descrizione: immettere una breve descrizione del segreto per facilitare l'identificazione. Ad esempio, Keytab per fss-mt-ad-1.
    3. Chiave di cifratura: selezionare la chiave di cifratura master che si desidera utilizzare per cifrare il contenuto segreto durante l'importazione nel vault. Ad esempio, mount-target-secrets.
      La chiave deve appartenere allo stesso vault. La chiave deve essere anche una chiave simmetrica. Non è possibile cifrare i segreti vault con chiavi asimmetriche.
    4. Modello del tipo di segreto: Base64.
    5. Sommario segreto: immettere il contenuto del segreto.
      Questa è la tabella di chiavi codificata in base64 salvata in precedenza durante la conversione della tabella di chiavi in base64 nell'ambito del join della destinazione di accesso in Active Directory.
  6. Fare clic su Crea segreto.
  7. Andare alla scheda NFS per la destinazione di accesso.
    1. Fare clic su Memorizzazione nel menu di navigazione.
    2. In Storage di file fare clic su Attiva destinazioni.
    3. Nella sezione Elenca ambito, in Compartimento, selezionare un compartimento.
      Ad esempio, ad-kerberos.
    4. Trovare la destinazione di accesso, quindi fare clic sulla scheda NFS.
  8. Fare clic su Manage accanto a Kerberos nella scheda NFS.
  9. Selezionare il segreto e la versione della tabella chiavi, quindi fare clic su Convalida tabella chiavi, visualizzare i risultati e salvare. Selezionare Abilita Kerberos.
    In questo esempio, il segreto keytab nel compartimento ad-kerberos è fss-mt-ad-1-keytab-secret e la versione del segreto keytab corrente è 1.

Attivare l'esportazione NFS mediante Kerberos

Kerberos NFS supporta i tre meccanismi di sicurezza indicati di seguito.

  • krb5: Kerberos solo per l'autenticazione.
  • krb5i: autenticato e utilizza hash crittografici con ogni transazione per garantire l'integrità. Il traffico può ancora essere intercettato ed esaminato, ma le modifiche al traffico non sono possibili.
  • krb5p: autenticazione e cifratura di tutto il traffico tra client e server. Il traffico non può essere ispezionato e non può essere modificato. 
C:\Users\fss-user-1>mount -o sec=krb5 fss-mt-ad-1.fss-ad.com:/krb-fs-1 T:
T: is now successfully connected to fss-mt-ad-1.fss-ad.com:/krb-fs-1

The command completed successfully.
Se durante l'installazione non viene fornito un tipo di protezione (sys, krb5, krb5i e krb5p), Windows sceglierà il tipo di protezione superiore impostato sull'esportazione. Utilizzare il comando mount per verificare il sapore di Windows selezionato al momento dell'installazione dell'unità. 
C:\Users\fss-user-1>mount

Local    Remote                                 Properties
-------------------------------------------------------------------------------
T:       \\fss-mt-ad-1.fss-ad.com\krb-fs-1      UID=0, GID=0
                                                rsize=1048576, wsize=1048576
                                                mount=soft, timeout=0.8
                                                retry=1, locking=yes
                                                fileaccess=755, lang=ANSI
                                                casesensitive=no
                                                sec=krb5


C:\Users\fss-user-1>whoami
fss-ad\fss-user-1

È ora possibile accedere all'unità da Esplora risorse. Tenere presente che i mapping dell'unità vengono eseguiti per ciascun utente e che ogni utente che accede alla condivisione di OCI File Storage deve mappare la condivisione alla lettera dell'unità corrispondente.

Configurare l'autorizzazione Active Directory per LDAP

Completare questo task quando è richiesta l'autorizzazione LDAP per gli utenti di Active Directory. Raccogliere le informazioni necessarie da Active Directory, impostare gli attributi RFC2307 per tutti gli utenti e i gruppi che accedono allo storage di file, quindi configurare LDAP nella destinazione di accesso.

Di seguito sono riportati i passi di base necessari per configurare l'autorizzazione Active Directory per LDAP.

  • Ottenere i dettagli di configurazione LDAP da Active Directory.
  • Configurare il segreto utente di autenticazione LDAP.
  • Crea il connettore in uscita.
  • Configurare LDAP sulla destinazione di accesso.

Nota

La destinazione di accesso non può utilizzare un certificato LDAP con firma automatica.
  1. Ottenere i sistemi che ospitano LDAP da DNS e salvarlo per un passo successivo.
    In questo esempio il sistema è fss-ad.com.
    C:\Users\administrator>nslookup -type=srv _ldap._tcp.fss-ad.com
Server:  localhost
Address:  ::1
_ldap._tcp.fss-ad.com   SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = ad-server.fss-ad.com
    ad-server.fss-ad.com    internet address = 10.9.1.194
  2. In Active Directory, individuare la base di ricerca degli attributi distinguishedName (DN) per utenti e gruppi.
    1. Andare alla directory Active Directory Users and Computers, espandere fs-ad.com.
    2. Fare clic su Utenti.
  3. Recupera il DN utente di autenticazione LDAP.

    Nota

    Questo utente può essere un utente con privilegi minimi con funzionalità di ricerca delle directory. La password per questo utente viene richiesta anche in un secondo momento per configurare il connettore in uscita.
    1. Selezionare ldap-user.
    2. Fare clic sulla scheda Editor attributi.
    3. Selezionare l'attributo distinguishedName.
    4. Copiare il valore e salvarlo per un passo successivo.
  4. Verificare gli attributi RFC2307 per tutti gli utenti e i gruppi che accedono a OCI File Storage.
    Per istruzioni e la tabella degli attributi RFC2307, vedere "Configurare gli attributi RFC2307 in Active Directory".
  5. Creare un segreto per l'utente di autenticazione LDAP rilevato nel passo 3 precedente.
    Il segreto contiene la password per l'utente LDAP da associare. Il formato deve essere di testo normale.
  6. Configurare un connettore in uscita. Il connettore in uscita è disponibile nella pagina Storage di file in Risorse aggiuntive. Creare in uscita nello stesso dominio di disponibilità della destinazione di accesso.
    1. Immettere il nome DNS.
      Ad esempio, ad-server.fss.ad.com.
    2. Immettere la porta DSAPS del servizio LDAP.
      Di seguito sono riportati alcuni esempi. 636.
    3. Immettere il nome distinto di associazione.
      L'utente LDAP che deve eseguire il login al server LDAP. Ad esempio, CN=ldap-user,CN=Utenti, DC=fss-ad, DC=com.
    4. Selezionare il vault nel compartimento in cui vengono memorizzati i segreti.
      Ad esempio, krb-vault nel compartimento ad-kerberos.
    5. Selezionare il segreto nel compartimento.
      Ad esempio, password-fss-mt-ad-1-ldap nel compartimento ad-kerberos.
    6. Selezionare la versione del segreto.
      Di seguito sono riportati alcuni esempi. 1.
    7. Fare clic su Crea.
  7. Configurare LDAP per la destinazione di accesso.
    Verrà utilizzato il connettore in uscita dal passo precedente.
    1. Fare clic su Memorizzazione nel menu di navigazione. In Storage di file fare clic su Attiva destinazioni.
    2. Selezionare un compartimento.
      Ad esempio, ad-kerberos.
    3. Trovare la destinazione di accesso, fare clic sulla scheda NFS, quindi fare clic su Gestisci LDAP.
    4. Immettere la base di ricerca nei campi base di ricerca per gli utenti e base di ricerca per i gruppi.

      Nota

      La base di ricerca per utente e gruppo è il DN ottenuto dagli utenti e dal contenitore dei gruppi di Active Directory.

      Ad esempio, Cerca utenti nella base: CN=Users,DC=fss-ad,DC=com e Cerca gruppi nella base: CN=Users,DC=fss-ad,DC=com.
    5. Immettere gli intervalli di cache, quindi selezionare il connettore in uscita creato nel campo Connettore in uscita 1.
      In questo esempio, l'intervallo di aggiornamento della cache, la vita della cache e la vita della cache negativa corrispondono a ogni 300 secondi. L'account LDAP nel connettore in uscita 1 è fss-ad-ob-1.
    6. Salva impostazioni.

Configura esportazione NFS

Configurare le impostazioni di esportazione in base ai requisiti di autorizzazione.

  • Quando non è richiesta l'autorizzazione LDAP e per mappare tutti gli utenti autenticati a un singolo uid/gid, configurare le seguenti impostazioni per schiacciare tutti gli utenti. Utilizzare le opzioni di esportazione del client NFS per controllare le modalità di accesso al file system da parte dei client. Modificare le seguenti impostazioni per schiacciare tutti gli utenti.
    1. Accesso anonimo: selezionare Non consentito
    2. Squash: selezionare
    3. UID squash: immettere 99
    4. GID squash: immettere 99
    Con queste impostazioni, a tutti gli utenti autenticati verranno assegnati l'ID utente 99 e l'ID gruppo 99. Nessuna ricerca LDAP eseguita.
  • Quando gli utenti devono essere autorizzati utilizzando LDAP, utilizzare le opzioni di esportazione NFS per mappare le principal Kerberos agli utenti Unix.
    1. Accesso anonimo: selezionare Consentito
    2. Squash: selezionare Nessuno
    3. UID squash: immettere 199
    4. GID squash: immettere 199
    Con queste impostazioni, tutti gli utenti Kerberos vengono mappati all'ID utente Unix, all'ID gruppo e all'appartenenza al gruppo da LDAP. Se l'utente non è presente in LDAP, viene utilizzato il mapping anonimo e l'utente viene mappato all'ID utente Unix 199 e all'ID gruppo 199. Se l'accesso anonimo è disabilitato e l'utente Kerberos non esiste in LDAP, all'utente che accede alla condivisione viene assegnato un errore di accesso negato.

Autorizzazione Unix in Windows

È possibile accedere a Oracle Cloud Infrastructure File Storage utilizzando il protocollo NFSv3. L'autorizzazione viene eseguita utilizzando le autorizzazioni Unix.

È possibile utilizzare lo strumento ldp.exe per eseguire una query sugli attributi RFC2307 dell'utente e del gruppo per visualizzare le appartenenze a uid, gid e gruppi. Le autorizzazioni Unix vengono controllate in base all'uid, al gid e alle appartenenze ai gruppi memorizzati in LDAP.
Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com 
Filter: (&(objectClass=posixAccount)(uid=fss-user-1))
Attributes: uidNumber;gidNumber

Utilizzare Esplora risorse per vedere quale proprietario e gruppo possiede il file o la cartella e quali autorizzazioni sono impostate sul file o sulla cartella. È possibile accedere agli attributi NFS (attributi Unix) dalle proprietà di file o cartelle.

Sebbene il gruppo primario per l'utente fss-user-1 sia 500, OCI File Storage prenderà in considerazione tutti i gruppi di cui l'utente è membro per la verifica delle autorizzazioni. Utilizzare la query seguente per trovare l'appartenenza al gruppo dell'utente fss-user-1. 
Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com 
Filter: (&(objectClass=posixGroup)(memberUid=fss-user-1))' gidNumber
Attributes: gidNumber

Crea autorizzazioni cartella iniziale

Durante l'implementazione, considerare le autorizzazioni delle cartelle.

La directory root di OCI File Storage è di proprietà dell'uid 0 e dispone delle autorizzazioni 755 (rwx per root, r-x per root e r-x per altri). L'accesso root è necessario per creare cartelle aggiuntive per gli utenti o per modificare le autorizzazioni. È un task dell'amministratore creare e impostare le autorizzazioni iniziali che soddisfano i requisiti.

Per ottenere l'accesso amministratore al file system, è possibile utilizzare uno dei seguenti metodi:

  • Tutti gli utenti sono solo utenti normali a meno che non siano mappati a uidNumber 0 e root non vengano schiacciati. Mappare un utente amministratore a uidNumber 0 negli attributi LDAP dell'utente.
  • Esportare il file system con l'autenticazione SYS in una workstation Linux sicura. Utilizzare l'utente root per creare e gestire le autorizzazioni.