Configurare lo storage di file per gli utenti di Microsoft Windows Active Directory

È possibile integrare Oracle Cloud Infrastructure (OCI) File Storage con Microsoft Windows Active Directory per autenticare e autorizzare gli utenti Windows.

Le applicazioni in esecuzione sui server Windows spesso devono accedere allo storage condiviso contemporaneamente per supportare l'architettura di elaborazione distribuita e ad alta disponibilità. Per collaborare con altri utenti, gli utenti di Windows devono disporre di memoria condivisa. In alcuni casi, è necessario condividere i dati tra i sistemi Linux e Windows.

Windows e Linux devono utilizzare NFS, in quanto è l'unico protocollo di condivisione dei file disponibile oggi in OCI File Storage. I clienti utilizzano le soluzioni seguenti per abilitare l'autenticazione Active Directory per gli utenti Windows con OCI File Storage:

• Esportare di nuovo il file system OCI File Storage utilizzando SAMBA in un'altra istanza di computazione
• Creare un'infrastruttura separata per la condivisione di file Windows

I sistemi operativi Windows che iniziano con Windows 7 e Windows server 2008 dispongono del supporto NFS (Network File System) con client NFS abilitato per impostazione predefinita nelle versioni successive.

Operazioni preliminari

Questa guida della soluzione presuppone che si disponga di un ambiente Active Directory e che si disponga dell'accesso a un controller di dominio con RDP (Remote Desktop Protocol). È possibile configurare l'autenticazione da sola (Kerberos), solo LDAP (solo autorizzazione) o entrambi insieme.

Questo playbook di soluzioni è un riferimento, destinato a dimostrare i requisiti di configurazione. Collabora con i rispettivi amministratori (Windows, Active Directory e Oracle Cloud Infrastructure) per pianificare e modificare questa soluzione in base all'ambiente e alle best practice della tua organizzazione.

Architettura

Questa architettura mostra Microsoft Windows e i servizi in un data center gestito dal cliente e come interagiscono con la destinazione di accesso e Oracle Cloud Infrastructure File Storage situati su Oracle Cloud Infrastructure (OCI).

Un ambiente di condivisione dei file del servizio OCI File Storage richiede la connettività di rete al server LDAP e l'integrazione con l'infrastruttura Kerberos, LDAP e DNS.

Descrizione dell'immagine file-storage-windows-ad.png

file-storage-windows-ad-oracle.zip

L'architettura utilizza i metodi di comunicazione indicati di seguito.

• A: comunicazione del client NFS con la destinazione di accesso tramite le porte TCP 2048, 2049 e 2050.
• B: il client NFS parla al DNS tramite la porta TCP e UDP 53, LDAP sulla porta 389 o LDAPS sulla porta 636. Kerberos su TCP e UDP porta 88.
• C: attiva la comunicazione della destinazione a DNS tramite la porta TCP e UDP 53 e LDAP sulla porta TCP 636. La destinazione di accesso richiede che il server LDAP disponga di un certificato appropriato da parte di un'autorità di certificazione appropriata. I certificati con firma automatica non sono accettati
• D: comunicazione interna tra la destinazione di accesso e il file system all'interno del servizio di storage di file OCI (infrastruttura gestita da Oracle).

Questa architettura supporta i componenti elencati di seguito su un centro dati gestito dal cliente.

• server DNS

  Consente alla destinazione di accesso e ad altri sistemi di cercare i nomi host, incluso il server LDAP. Il server DNS è un'entità gestita dal cliente che si trova al di fuori del servizio di storage di file OCI. Il server DNS può trovarsi nella stessa VCN della destinazione di accesso, in una VCN diversa nella stessa area o in un'altra area oppure in locale. Il servizio DNS richiede la porta TCP e UDP 53 aperta sul firewall.

• LDAP

  LDAP è il servizio di directory in cui le destinazioni di accesso e altri sistemi ottengono gli attributi per gli utenti e i gruppi. Simile al server DNS, questa è un'entità gestita dal cliente e può essere posizionata ovunque con connettività alla porta 636 (LDAPS). Active Directory utilizza LDAP per i servizi di directory e la destinazione di accesso utilizza questi servizi LDAP per l'autorizzazione utente.

• Kerberos

  Kerberos è un protocollo di autenticazione sicura standard del settore che facilita l'autenticazione, l'integrità dei dati e la cifratura in transito. Kerberos fa parte dell'infrastruttura Active Directory ed è l'autenticazione standard utilizzata dagli utenti Windows.

• Active Directory

  Active Directory è un servizio di directory per un dominio Microsoft Windows. Consente la gestione centralizzata dei domini e vari servizi di identità basati su directory. I controller di dominio ospitano i servizi Active Directory per autenticare e autorizzare tutti gli utenti e i computer nell'ambiente Windows. Implementa il protocollo Kerberos standard per l'autenticazione utilizzata dalla destinazione di accesso per autenticare e autorizzare gli utenti Windows. Si tratta di un'entità gestita dal cliente simile al DNS che si trova al di fuori del servizio di storage di file OCI.

Questa architettura supporta i seguenti componenti in OCI:

• Destinazione di accesso

  La destinazione di accesso è un componente di OCI File Storage. Si trova nella VCN del cliente e fornisce un indirizzo IP per i client per l'installazione del file system.

• Storage file

  Il servizio Oracle Cloud Infrastructure File Storage offre un file system di rete duraturo, scalabile, sicuro e di livello aziendale. Puoi connetterti a un file system del servizio di storage di file da qualsiasi istanza Bare Metal, virtual machine o container in una rete VCN. Inoltre, puoi accedere a un file system dall'esterno della VCN utilizzando Oracle Cloud Infrastructure FastConnect e IPSec VPN.

Modalità operative

Con l'integrazione Kerberos e LDAP con File Storage Service, è possibile configurare la condivisione dei file Windows in uno dei modi riportati di seguito.

1. Accesso NFS semplice dalle istanze di Windows senza autenticazione.

   Esegui il MOUNT dello storage di file dalle istanze di Windows senza configurazione aggiuntiva nella destinazione di accesso.

   Gli utenti e le applicazioni Windows possono accedere allo storage di file con un ID utente e un ID gruppo configurati nel registro di Windows. Per questa modalità di funzionamento non è richiesta alcuna configurazione LDAP o Kerberos. Per ulteriori informazioni, vedere Attivazione dei file system dalle istanze di Windows.

2. Autenticare gli utenti senza autorizzazione.

   Configurare Kerberos per autenticare gli utenti utilizzando Active Directory. Tutti gli utenti autenticati vengono quindi mappati a un singolo ID utente e ID gruppo utilizzando lo schiacciamento dell'utente dell'esportazione dello storage di file. Questo ID utente e questo ID gruppo vengono utilizzati per autorizzare l'accesso a file e cartelle nello storage di file. Questa modalità operativa può semplificare la configurazione se è richiesta solo la cifratura in transito. Vedere "Configura destinazione di accesso per Kerberos" e "Configura utenti e gruppi con esportazione NFS".

3. Autorizzare gli utenti senza autenticazione.

   Integra il client NFS Windows con Active Directory e utilizza uidNumber e gidNumber configurati in Active Directory.

   La configurazione LDAP nella destinazione di accesso non è obbligatoria per questa modalità di operazione. Tuttavia, se l'appartenenza al gruppo aggiuntiva per l'utente deve essere considerata per l'autorizzazione, la configurazione LDAP è necessaria nella destinazione di accesso. Vedere "Integra client NFS Windows con Active Directory" e "Configurazione LDAP".

4. Autenticare e autorizzare gli utenti con Active Directory.

   Configurare sia Kerberos che LDAP sulla destinazione di accesso per ottenere sia l'autenticazione che l'autorizzazione. Come per altre modalità, i controlli delle autorizzazioni (autorizzazione) vengono eseguiti in base alle autorizzazioni Unix (uid, gid e altre). Vedere "Configura la destinazione di accesso per Kerberos", "Configurazione LDAP" e "Autorizzazione Unix in Windows".

Informazioni su Kerberos, LDAP e Windows Active Directory

È possibile integrare Kerberos e LDAP (Lightweight Directory Access Protocol) con Oracle Cloud Infrastructure File Storage per l'autenticazione e l'autorizzazione centralizzate sicure. L'autenticazione Active Directory per gli utenti Windows si basa sulla funzione Kerberos e LDAP di File Storage.

Di seguito sono riportati alcuni dei vantaggi dell'integrazione di Kerberos e LDAP.

• Gestione centralizzata: organizza gli utenti e abilita diritti di accesso personalizzati con il tuo sistema di gestione delle identità Kerberos e LDAP di Windows Active Directory.
• Conformità alla sicurezza: soddisfare i requisiti di conformità alla sicurezza con le modalità di operazioni indicate di seguito.
  • krb5: autenticazione e autorizzazione Kerberos.
  • krb5i: integrità da proteggere dagli attacchi man-in-the-middle e dalle modifiche non autorizzate.
  • krb5p: privacy o riservatezza per evitare intercettazioni (crittografia in transito).
• Ridimensiona utenti con più gruppi: aumenta il numero massimo di gruppi Unix secondari che OCI File Storage supporta per l'autorizzazione a 256 (da 16).
• Integrazione con Microsoft Windows Active Directory: le condivisioni NFS di OCI File Storage di Active Directory sono entrate nelle workstation di Microsoft Windows e dispongono delle autorizzazioni Unix per gli utenti di Active Directory (in base a utente, gruppo e altri).

Riepilogo dei vantaggi che utilizzano l'integrazione di Active Directory in un ambiente Microsoft Windows:

• Accesso allo storage di file da Microsoft Windows, accesso universale a Linux e Windows e autorizzazioni basate su Unix (ID utente, ID gruppo e altri).
• Autenticazione dell'utente con Active Directory.
• Evitare di utilizzare Samba in un'istanza di computazione per riesportare OCI File Storage con il protocollo SMB (Server Message Block (SMB) per l'accesso a Microsoft Windows.
• Utilizzare Active Directory e LDAP per la gestione centralizzata degli utenti.
• Abilita la cifratura in transito con Kerberos.

Limitazioni dell'accesso NFS da Windows

Considerare le seguenti limitazioni per l'accesso a NFS da Microsoft Windows:

• Il protocollo NFS non è il protocollo di condivisione file predefinito e nativo in Windows. Le prestazioni osservate da singole istanze possono essere più lente rispetto a SMB. Se c'è una differenza nelle prestazioni, è dal punto di vista del client NFS senza alcun effetto sulle prestazioni offerte dal servizio Oracle Cloud Infrastructure File Storage.
• Limitato alle autorizzazioni Unix senza supporto ACL (Access Control List).
• Supporto limitato di caratteri internazionali (nessun Unicode). Per un supporto limitato per i set di caratteri internazionali, vedere comando mount.

Informazioni su prodotti, servizi e ruoli richiesti

Questa soluzione richiede i seguenti prodotti e servizi:

• Oracle Cloud Infrastructure (OCI)
• Storage file OCI
• Active Directory
• LDAP

Questi sono i ruoli necessari per ogni prodotto e servizio.

Nome prodotto o servizio: autorizzazioni	Richiesto per...
Oracle Cloud Infrastructure: autorizzazioni nel compartimento. Se le autorizzazioni sono separate in ruoli diversi, contattare gli amministratori appropriati per eseguire il task.	Configura l'integrazione di OCI File Storage con Kerberos e LDAP. Gestire il servizio Memorizzazione file OCI (gestire le autorizzazioni della famiglia di file). L'utente OCI deve disporre dell'autorizzazione nel compartimento. Creare segreti nel vault. Creare criteri e gruppo dinamico per la destinazione di accesso per leggere i segreti del vault.
Active Directory: consente di scrivere le autorizzazioni in Active Directory	Creare utenti, aggiungere attributi utente e creare account computer.
LDAP: utente di Active Directory con DN e password LDAP	Configurare LDAP nelle destinazioni di accesso. La destinazione di accesso richiede che un utente con autorizzazioni di sola lettura minime legga utenti, gruppi e attributi correlati utilizzando LDAP.

Consulta i prodotti, le soluzioni e i servizi Oracle per ottenere ciò di cui hai bisogno.