認可のためのLDAPの設定
ファイル・ストレージを使用して認可用にLDAPを設定する方法を学習します。
- 必要なLDAPインフラストラクチャがあり、必要な情報を収集していることを確認します。詳細は、前提条件を参照してください。
- 必要なIAMポリシーを追加します。
- LDAPパスワードをOCI Vaultにプレーン・テキスト形式でアップロードします。詳細は、ボールトの概要を参照してください。
- LDAPサーバーに接続するには、2つのアウトバウンドコネクタを作成します。ノート
LDAPを認可に使用するには、少なくとも1つのアウトバウンド・コネクタが必要です。2つ目のアウトバウンド・コネクタは、バックアップまたはフェイルオーバーとして使用できます。ファイル・ストレージがLDAPサーバーにアクセスできない場合の応答方法の詳細は、セカンダリ・グループ参照およびキャッシュを参照してください。 - マウント・ターゲットへのLDAP通信詳細の追加。
- LDAP対応のマウント・ターゲットを使用するファイル・システムを作成または更新します。
- ファイル・システム・エクスポートでLDAPを有効にします。
- オプションのNFSエクスポート・オプションを設定します。
- ファイル・システムをマウントします。
マウントターゲット用のLDAPの構成
認可で使用するマウント・ターゲットにLDAP情報を追加します。
ノート
LDAPを使用するように既存のマウント・ターゲットを更新する場合、更新がファイル・ストレージ全体に完全に反映されるまでしばらく時間がかかることがあります。
LDAPを使用するように既存のマウント・ターゲットを更新する場合、更新がファイル・ストレージ全体に完全に反映されるまでしばらく時間がかかることがあります。
- ナビゲーション・メニューを開き、「ストレージ」をクリックします。「ファイル・ストレージ」で、「マウント・ターゲット」をクリックします
- 「リスト・スコープ」セクションで、「コンパートメント」を選択します。
- 目的のマウント・ターゲットを検索し、をクリックして、「詳細の表示」をクリックします。
- 「NFS」タブをクリックして、マウント・ターゲットの既存のNFS設定を表示または編集します。
- 「LDAP」の横にある「管理」をクリックします。
-
「LDAPの管理」ウィンドウで、次の詳細を指定します。
- スキーマ・タイプ: LDAPアカウントのスキーマ・タイプ。
有効な値はRFC2307のみです。
- キャッシュ・リフレッシュ間隔(秒): マウント・ターゲットが更新のためにLDAPサーバーに接続する頻度。
- キャッシュ存続期間(秒): キャッシュされたエントリを使用できる時間。
- 負のキャッシュ存続期間(秒): IDマッピング情報が欠落した場合にキャッシュする時間。
- ユーザーの検索ベース: すべてのLDAP検索は、このユーザーから開始して再帰的です。
- グループの検索ベース: すべてのLDAP検索は、このグループから開始して再帰的です。
- アウトバウンドコネクタ1: LDAPサーバーとの通信に使用する最初のコネクタ。
- アウトバウンドコネクタ2: LDAPサーバーとの通信に使用する2番目のコネクタ。
- LDAPの有効化: マウント・ターゲットがセカンダリ・グループ参照にLDAPサーバーを使用するように要求するには、このオプションを有効にします。ファイル・システムのエクスポートでは、「グループ・リストにLDAPを使用」を有効にする必要もあります。
- スキーマ・タイプ: LDAPアカウントのスキーマ・タイプ。
- 「保存」をクリックします。
oci fs mount-target create
コマンドを--idmap-type
および--LDAP-idmap
オプションとともに使用して、マウントターゲットを作成し、LDAPの詳細を指定します。oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --idmap-type LDAP --ldap-idmap <file://ldap.json>
oci fs mount-target update
コマンドを--idmap-type
および--LDAP-idmap
オプションとともに使用して、既存のマウント・ターゲットをLDAPの詳細で更新します。oci fs mount-target update --mount-target-id <mount_target_id> --idmap-type LDAP --ldap-idmap <file://ldap.json>
次に
ldap.json
ファイルの例を示します。{ "cacheLifetimeSeconds": 300, "cacheRefreshIntervalSeconds": 300, "groupSearchBase": "cn=accounts,dc=example,dc=com", "negativeCacheLifetimeSeconds": 300, "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID", "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID", "userSearchBase": "cn=accounts,dc=example,dc=com", "schemaType": "RFC2307" }
CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。
CreateMountTargetまたはUpdateMountTargetを
idMapType
およびldapIdmap
オプションとともに使用して、LDAPの詳細を含むマウント・ターゲットを作成または更新します。APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。