Configurare l'autenticazione e l'autorizzazione per gli utenti di Active Directory
Impostare Oracle Cloud Infrastructure Identity and Access Management, configurare l'autenticazione e l'autorizzazione Active Directory (AD), configurare l'esportazione NFS e impostare le autorizzazioni Unix.
Impostare i criteri di Oracle Cloud Infrastructure Identity and Access Management
Creare un gruppo dinamico in Oracle Cloud Infrastructure (OCI) Identity and Access Management e aggiungere criteri per consentire alle destinazioni di accesso di accedere ai segreti LDAP e Kerberos. Questa operazione è necessaria sia per le configurazioni Kerberos che per quelle LDAP.
Configurare l'autenticazione Active Directory con Kerberos
Dopo aver configurato Oracle Cloud Infrastructure Identity and Access Management, sarà possibile configurare Active Directory. La configurazione di Kerberos prevede due passi: unire la destinazione di accesso a Active Directory di Microsoft, quindi aggiornare le impostazioni della destinazione di accesso con la configurazione Kerberos.
Unire la destinazione di accesso a Active Directory
Completare questo task quando è richiesta l'autenticazione per gli utenti di Active Directory. Si tratta di un processo manuale eseguito al di fuori del servizio Oracle Cloud Infrastructure File Storage. Il join della destinazione di accesso a Active Directory di Microsoft implica l'aggiunta di un account computer a Active Directory, l'impostazione della cifra corretta, l'estrazione della tabella chiavi e l'aggiunta della destinazione di accesso al DNS.
Configurare la destinazione di accesso per Kerberos
Creare un segreto per la tabella chiavi. Il contenuto segreto è la tabella di chiavi codificata base64 copiata quando si è uniti alla destinazione di accesso con Active Directory.
Di seguito sono riportati i passi di base necessari per configurare la destinazione di accesso per Kerberos.
- Unire la destinazione di accesso in Active Directory (passo precedente).
- Configurare i segreti del vault della tabella chiavi.
- Configurare Kerberos sulla destinazione di accesso.
Attivare l'esportazione NFS mediante Kerberos
Kerberos NFS supporta i tre meccanismi di sicurezza indicati di seguito.
- krb5: Kerberos solo per l'autenticazione.
- krb5i: autenticato e utilizza hash crittografici con ogni transazione per garantire l'integrità. Il traffico può ancora essere intercettato ed esaminato, ma le modifiche al traffico non sono possibili.
- krb5p: autenticazione e cifratura di tutto il traffico tra client e server. Il traffico non può essere ispezionato e non può essere modificato.
C:\Users\fss-user-1>mount -o sec=krb5 fss-mt-ad-1.fss-ad.com:/krb-fs-1 T:
T: is now successfully connected to fss-mt-ad-1.fss-ad.com:/krb-fs-1
The command completed successfully.
sys
, krb5
, krb5i
e krb5p
), Windows sceglierà il tipo di protezione superiore impostato sull'esportazione. Utilizzare il comando mount
per verificare il sapore di Windows selezionato al momento dell'installazione dell'unità.
C:\Users\fss-user-1>mount
Local Remote Properties
-------------------------------------------------------------------------------
T: \\fss-mt-ad-1.fss-ad.com\krb-fs-1 UID=0, GID=0
rsize=1048576, wsize=1048576
mount=soft, timeout=0.8
retry=1, locking=yes
fileaccess=755, lang=ANSI
casesensitive=no
sec=krb5
C:\Users\fss-user-1>whoami
fss-ad\fss-user-1
È ora possibile accedere all'unità da Esplora risorse. Tenere presente che i mapping dell'unità vengono eseguiti per ciascun utente e che ogni utente che accede alla condivisione di OCI File Storage deve mappare la condivisione alla lettera dell'unità corrispondente.
Configurare l'autorizzazione Active Directory per LDAP
Completare questo task quando è richiesta l'autorizzazione LDAP per gli utenti di Active Directory. Raccogliere le informazioni necessarie da Active Directory, impostare gli attributi RFC2307 per tutti gli utenti e i gruppi che accedono allo storage di file, quindi configurare LDAP nella destinazione di accesso.
Di seguito sono riportati i passi di base necessari per configurare l'autorizzazione Active Directory per LDAP.
- Ottenere i dettagli di configurazione LDAP da Active Directory.
- Configurare il segreto utente di autenticazione LDAP.
- Crea il connettore in uscita.
- Configurare LDAP sulla destinazione di accesso.
Nota
La destinazione di accesso non può utilizzare un certificato LDAP con firma automatica.Configura esportazione NFS
Configurare le impostazioni di esportazione in base ai requisiti di autorizzazione.
Autorizzazione Unix in Windows
È possibile accedere a Oracle Cloud Infrastructure File Storage utilizzando il protocollo NFSv3. L'autorizzazione viene eseguita utilizzando le autorizzazioni Unix.
ldp.exe
per eseguire una query sugli attributi RFC2307 dell'utente e del gruppo per visualizzare le appartenenze a uid, gid e gruppi. Le autorizzazioni Unix vengono controllate in base all'uid, al gid e alle appartenenze ai gruppi memorizzati in LDAP.Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixAccount)(uid=fss-user-1))
Attributes: uidNumber;gidNumber
Utilizzare Esplora risorse per vedere quale proprietario e gruppo possiede il file o la cartella e quali autorizzazioni sono impostate sul file o sulla cartella. È possibile accedere agli attributi NFS (attributi Unix) dalle proprietà di file o cartelle.
fss-user-1
sia 500, OCI File Storage prenderà in considerazione tutti i gruppi di cui l'utente è membro per la verifica delle autorizzazioni. Utilizzare la query seguente per trovare l'appartenenza al gruppo dell'utente fss-user-1
.
Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixGroup)(memberUid=fss-user-1))' gidNumber
Attributes: gidNumber
Crea autorizzazioni cartella iniziale
Durante l'implementazione, considerare le autorizzazioni delle cartelle.
La directory root di OCI File Storage è di proprietà dell'uid 0 e dispone delle autorizzazioni 755 (rwx per root, r-x per root e r-x per altri). L'accesso root è necessario per creare cartelle aggiuntive per gli utenti o per modificare le autorizzazioni. È un task dell'amministratore creare e impostare le autorizzazioni iniziali che soddisfano i requisiti.
Per ottenere l'accesso amministratore al file system, è possibile utilizzare uno dei seguenti metodi:
- Tutti gli utenti sono solo utenti normali a meno che non siano mappati a uidNumber 0 e root non vengano schiacciati. Mappare un utente amministratore a uidNumber 0 negli attributi LDAP dell'utente.
- Esportare il file system con l'autenticazione
SYS
in una workstation Linux sicura. Utilizzare l'utenteroot
per creare e gestire le autorizzazioni.