1. Configurare OCI File Storage Service per gli utenti di Windows Active Directory
  2. Pianifica la tua configurazione

Pianifica la tua configurazione

Determinare la modalità di configurazione della condivisione dei file di Windows.

  1. Accesso NFS semplice dalle istanze di Windows senza autenticazione.
  2. Autenticare gli utenti senza autorizzazione.
  3. Autorizzare gli utenti senza autenticazione.
  4. Autenticare e autorizzare gli utenti con Active Directory.

Componenti Infrastructure richiesti

Una corretta configurazione DNS e LDAP è fondamentale per il corretto funzionamento dell'ambiente. Rivedere i prerequisiti e i requisiti dell'infrastruttura riportati di seguito per ulteriori informazioni su come configurare correttamente l'ambiente.

  • Infrastruttura DNS gestita dal cliente. La destinazione di accesso deve essere in grado di comunicare con la porta UDP e TCP 53 sul server DNS.
  • Infrastruttura Active Directory gestita dal cliente per supportare l'autenticazione Kerberos e l'autorizzazione LDAP. I controller di dominio che ospitano il servizio LDAP devono avere LDAPS abilitato sulla porta 636 con certificati firmati appropriati, poiché le destinazioni di accesso non accettano certificati autofirmati.

  • Un account di login al server LDAP (servizio LDAP ospitato sul controller di dominio Active Directory) che una destinazione di accesso OCI File Storage può utilizzare per cercare informazioni di utenti e gruppi conformi a RFC2307.

Configurare il client NFS Windows con Active Directory

Abilita l'integrazione degli utenti di Active Directory su tutte le workstation che utilizzano la condivisione NFS di Oracle Cloud Infrastructure File Storage. Questo passo di configurazione è necessario solo quando si utilizza la modalità 3 (autorizzare gli utenti senza autenticazione).

Una volta abilitata la ricerca in Active Directory, il client NFS Windows utilizzerà uidNumber e gidNumber da Active Directory come uid e gid per ogni utente che accede a OCI File Storage. Il client NFS utilizzerà solo AnonymousUid e AnonymousGid dal registro di Windows quando uidNumber e gidNumber non sono presenti per l'utente.

  1. Abilitare l'integrazione utente di Active Directory dal prompt powershell sul client NFS.
    PS C:\Users\administrator> Set-NfsMappingStore -EnableADLookup $true
PS C:\Users\administrator>
  2. Ripetere il passo 1 su ogni workstation che utilizza la condivisione NFS di OCI File Storage.

Configurare gli attributi RFC2307 in Active Directory

I seguenti attributi RFC2307 sono necessari per integrare Oracle Cloud Infrastructure File Storage con Active Directory (AD), ma non vengono popolati per impostazione predefinita. È necessario popolare questi attributi durante la configurazione per la modalità 3 (autorizzare gli utenti senza autenticazione) e la modalità 4 (Autenticare e autorizzare gli utenti con Active Directory).

Tipo di oggetto Attributo Valore Commento
Utente objectClass posixAccount Aggiungere posixAccount come classe oggetto aggiuntiva
uidNumber ID utente numerico univoco ID utente Unix che rappresenta l'utente
gidNumber ID gruppo numerico ID gruppo numerico primario per l'utente
uid il nome dell'utente; Anche se si chiama uid, non è l'ID Unix dell'utente. Nome utente univoco/sAMAccountName
Raggruppa posixGroup posixGroup Aggiungere posixGroup come classe oggetto aggiuntiva
gidNumber ID gruppo numerico univoco ID gruppo Unix che rappresenta il gruppo
memberUid uid degli utenti che sono membri del gruppo Aggiungere ogni nome utente (uid) come membro del gruppo. Vedere l'attributo uid sopra

È possibile utilizzare lo snap-in Utenti e computer di Active Directory o lo strumento ADSIEdit per modificare gli attributi utente. In questo esempio viene utilizzato lo snap-in Utenti e computer di Active Directory.

  1. Andare alla directory Active Directory Users and Computers in AD.
  2. Espandere fs-ad.com, quindi selezionare Utenti.
  3. Fare clic su Visualizza nella navigazione superiore, quindi su Funzioni avanzate.
  4. Selezionare l'utente.
    In questo esempio, l'utente è fss-user-1.
  5. Modificare gli attributi in base alle esigenze.
  6. Verificare gli attributi da powershell. 
    PS C:\Users\administrator> $Filter = "(&(objectClass=posixAccount)(uid=fss-user-1))"
>> $RootOU = "CN=Users,DC=fss-ad,DC=com"
>> $Searcher = New-Object DirectoryServices.DirectorySearcher
>> $Searcher.SearchRoot = New-Object System.DirectoryServices.DirectoryEntry("LDAP://$($RootOU)")
>> $Searcher.Filter = $Filter
>> $Searcher.SearchScope = "Subtree"
>> $Results = $Searcher.FindAll()
>> $R = foreach  ($line in $Results) {
>>  $line_entry =  $line.GetDirectoryEntry()
>>  $line_entry | Select-Object -Property uid, objectClass, uidNumber, gidNumber
>> }
>> $R

uid          objectClass                                          uidNumber gidNumber
---          -----------                                          --------- ---------
{fss-user-1} {top, posixAccount, person, organizationalPerson...} {901}     {500}


PS C:\Users\administrator> $Filter = "(&(objectClass=posixGroup)(gidNumber=8001))"
>> $RootOU = "CN=Users,DC=fss-ad,DC=com"
>>
>> $Searcher = New-Object DirectoryServices.DirectorySearcher
>> $Searcher.SearchRoot = New-Object System.DirectoryServices.DirectoryEntry("LDAP://$($RootOU)")
>> $Searcher.Filter = $Filter
>> $Searcher.SearchScope = "Subtree"
>> $Results = $Searcher.FindAll()
>> $R = foreach  ($line in $Results) {
>>  $line_entry =  $line.GetDirectoryEntry()
>>  $line_entry | Select-Object -Property gidNumber, objectClass, memberUid
>> }
>> $R

gidNumber objectClass              memberUid
--------- -----------              ---------
{fss-rw-group-1} {8001}    {top, posixGroup, group} {fss-user-2, fss-user-1}