Active Directoryユーザーの認証および認可の構成
Oracle Cloud Infrastructure Identity and Access Managementの設定、Active Directory (AD)認証および認可の構成、NFSエクスポートの構成およびUnix権限の設定を行います。
Oracle Cloud Infrastructure Identity and Access Managementポリシーの設定
Oracle Cloud Infrastructure (OCI) Identity and Access Managementで動的グループを作成し、マウント・ターゲットがLDAPおよびKerberosシークレットにアクセスできるようにするポリシーを追加します。これは、Kerberos構成とLDAP構成の両方に必要です。
Kerberosを使用した Active Directory認証の構成
Oracle Cloud Infrastructure Identity and Access Managementを構成したら、Active Directoryを構成します。Kerberosの構成には、マウント・ターゲットをMicrosoftのActive Directoryに結合し、Kerberos構成でマウント・ターゲット設定を更新する2つのステップがあります。
マウントターゲットを Active Directoryに結合する
Active Directoryユーザーに認証が必要な場合は、このタスクを完了します。これは、Oracle Cloud Infrastructure File Storageサービスの外部で実行される手動プロセスです。マウント・ターゲットをMicrosoftのActive Directoryに参加するには、Active Directoryへのコンピュータ・アカウントの追加、正しい暗号の設定、keytabの抽出、およびDNSへのマウント・ターゲットの追加を行います。
Kerberosのマウント・ターゲットの構成
keytabのシークレットを作成します。シークレット・コンテンツは、Active Directoryでマウント・ターゲットに参加したときにコピーしたbase64エンコードされたキータブです。
Kerberosのマウント・ターゲットを構成するために必要な基本ステップは次のとおりです。
- マウント・ターゲットをActive Directoryに結合します(前のステップ)。
- keytabボールトシークレットを構成します。
- マウント・ターゲットでKerberosを構成します。
Kerberosを使用したNFSエクスポートのマウント
Kerberos NFSは、次の3つのセキュリティーメカニズムをサポートしています。
- krb5: 認証専用のKerberos。
- krb5i: 認証され、各トランザクションで暗号化ハッシュを使用して整合性が確保されます。トラフィックは引き続きインターセプトおよび検査できますが、トラフィックを変更することはできません。
- krb5p: クライアントとサーバー間のすべてのトラフィックを認証および暗号化します。トラフィックは検査できず、変更できません。
C:\Users\fss-user-1>mount -o sec=krb5 fss-mt-ad-1.fss-ad.com:/krb-fs-1 T:
T: is now successfully connected to fss-mt-ad-1.fss-ad.com:/krb-fs-1
The command completed successfully.
sys
、krb5
、krb5i
およびkrb5p
)が指定されていない場合、Windowsはエクスポートに設定された優れたセキュリティ・フレーバを選択します。mount
コマンドを使用して、ドライブのマウント時にWindowsが選択されたフレーバを確認します。
C:\Users\fss-user-1>mount
Local Remote Properties
-------------------------------------------------------------------------------
T: \\fss-mt-ad-1.fss-ad.com\krb-fs-1 UID=0, GID=0
rsize=1048576, wsize=1048576
mount=soft, timeout=0.8
retry=1, locking=yes
fileaccess=755, lang=ANSI
casesensitive=no
sec=krb5
C:\Users\fss-user-1>whoami
fss-ad\fss-user-1
これで、Windowsエクスプローラからドライブにアクセスできます。ドライブ・マッピングはユーザーごとに実行され、OCI File Storage共有にアクセスするすべてのユーザーは、共有をそれぞれのドライブ文字にマップする必要があります。
LDAP用のActive Directory認可の構成
Active DirectoryユーザーにLDAP承認が必要な場合は、このタスクを完了します。Active Directoryから必要な情報を収集し、File Storageにアクセスするすべてのユーザーおよびグループに対してRFC2307属性を設定し、マウント・ターゲットでLDAPを構成します。
LDAP用の Active Directory承認を構成するために必要な基本手順を次に示します。
- Active DirectoryからLDAP構成の詳細を取得します。
- LDAPバインド・ユーザー・シークレットを構成します。
- アウトバウンド・コネクタを作成します。
- マウント・ターゲットでLDAPを構成します。
ノート:
マウント・ターゲットは、自己署名付きLDAP証明書を使用できません。WindowsでのUnix権限
Oracle Cloud Infrastructure File Storageには、NFSv3プロトコルを使用してアクセスします。認可は、Unix権限を使用して実行されます。
ldp.exe
ツールを使用して、ユーザーおよびグループのRFC2307属性を問い合せて、uid、gidおよびグループのメンバーシップを表示できます。Unixアクセス権は、LDAPに格納されているuid、gid、およびグループメンバーシップに基づいてチェックされます。Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixAccount)(uid=fss-user-1))
Attributes: uidNumber;gidNumber
Windowsエクスプローラを使用して、ファイルまたはフォルダを所有する所有者とグループ、およびファイルまたはフォルダに設定されている権限を確認します。ファイルまたはフォルダのプロパティからNFS属性(Unix属性)にアクセスできます。
fss-user-1
ユーザーのプライマリ・グループは500ですが、OCI File Storageでは、ユーザーが権限チェックのメンバーであるすべてのグループが考慮されます。次の問合せを使用して、fss-user-1
ユーザーのグループ・メンバーシップを検索します。
Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixGroup)(memberUid=fss-user-1))' gidNumber
Attributes: gidNumber
初期フォルダ権限の作成
実装時には、フォルダ権限を検討します。
OCI File Storageルート・ディレクトリは、uid 0および755 (rootの場合はrwx、rootの場合はr-x、その他の場合はr-x)権限によって所有されます。ユーザーの追加フォルダを作成したり、権限を変更するには、ルート・アクセスが必要です。要件を満たす初期権限を作成および設定するのは管理者タスクです。
次のいずれかの方法を使用して、ファイル・システムへの管理アクセスを取得できます。
- uidNumber 0にマップされ、rootが破棄されないかぎり、すべてのユーザーは通常のユーザーです。管理ユーザーをユーザーのLDAP属性の uidNumber 0にマップします。
SYS
認証を使用してファイル・システムをセキュアなLinuxワークステーションにエクスポートします。root
ユーザーを使用して、権限を作成および管理します。