Microsoft Windows Active Directoryユーザーのファイル・ストレージの構成
Oracle Cloud Infrastructure (OCI) File StorageをMicrosoft Windows Active Directoryと統合して、Windowsユーザーを認証および認可できます。
Windowsサーバーで実行されているアプリケーションは、高可用性および分散処理アーキテクチャをサポートするために、共有ストレージに同時にアクセスする必要があることがよくあります。Windowsユーザーは、他のユーザーとコラボレーションするために共有ストレージも必要です。場合によっては、Linuxシステムと Windowsシステム間でデータを共有する必要があります。
- 別のコンピュート・インスタンスでSAMBAを使用してOCI File Storageファイル・システムを再エクスポートします
- Windowsファイル共有用の個別のインフラストラクチャの構築
Windows 7および Windowsサーバー2008以降の Windowsオペレーティングシステムでは、NFSクライアントが以降のバージョンでデフォルトで有効になっているネットワークファイルシステム(NFS)がサポートされています。
開始する前に
このソリューション・プレイブックは、Active Directory環境があり、Remote Desktop Protocol (RDP)を使用してドメイン・コントローラにアクセスできることを前提としています。認証のみ(Kerberos)、LDAPのみ(認可のみ)、またはその両方を同時に構成できます。
アーキテクチャ
このアーキテクチャは、顧客管理データ・センター上のMicrosoft Windowsとサービス、およびOracle Cloud Infrastructure (OCI)にあるマウント・ターゲットとOracle Cloud Infrastructure File Storageとの対話方法を示しています。
OCIファイル・ストレージ・サービス・ファイル共有環境では、LDAPサーバーへのネットワーク接続と、Kerberos、LDAPおよびDNSインフラストラクチャとの統合が必要です。
図file-storage-windows-ad.pngの説明
file-storage-windows-ad-oracle.zip
- A: TCPポート2048、2049および2050を介したマウント・ターゲットとのNFSクライアント通信。
- B: NFSクライアントは、TCPおよびUDPポート53、ポート389を介したLDAP、またはポート636を介したLDAPSを介してDNSと通信します。Kerberos over TCPおよび UDPポート88。
- C: TCPおよびUDPポート53およびLDAP over TCPポート636を介してDNSへのターゲット通信をマウントします。マウント・ターゲットでは、LDAPサーバーが適切な認証局によって適切な証明書を持っている必要があります。自己署名証明書は受け入れられません
- D: OCI File Storageサービス(Oracle Managed infrastructure)内のマウント・ターゲットとファイル・システム間の内部通信。
このアーキテクチャは、顧客管理データ・センター上の次のコンポーネントをサポートします。
- DNSサーバー
マウント・ターゲットおよび他のシステムが、LDAPサーバーを含むホスト名を検索できるようにします。DNSサーバーは、OCI File Storageサービスの外部に位置する顧客管理エンティティです。DNSサーバーは、マウント・ターゲットと同じVCN、同じリージョンまたは別のリージョン内の別のVCN、またはオンプレミスに配置できます。DNSサービスでは、ファイアウォールでTCPおよび UDPポート53が開いている必要があります。
- LDAP
LDAPは、マウント・ターゲットおよびその他のシステムがユーザーおよびグループの属性を取得するディレクトリ・サービスです。DNSサーバーと同様に、これは顧客の管理対象エンティティであり、ポート636 (LDAPS)への接続を持つ任意の場所に配置できます。Active Directoryはディレクトリ・サービスにLDAPを使用し、マウント・ターゲットはユーザー認可にこのLDAPサービスを使用します。
- Kerberos
Kerberosは、認証、データ整合性、および転送中の暗号化を容易にする、業界標準のセキュアな認証プロトコルです。KerberosはActive Directoryインフラストラクチャの一部であり、Windowsユーザーが使用する標準認証です。
- Active Directory
Active Directoryは、Microsoft Windowsドメインのディレクトリ・サービスです。集中管理されたドメイン管理および様々なディレクトリ・ベースのアイデンティティ・サービスを有効にします。ドメインコントローラは Active Directoryサービスをホストし、Windows環境内のすべてのユーザーおよびコンピュータを認証および承認します。マウント・ターゲットがWindowsユーザーの認証および認可に使用する認証用の標準のKerberosプロトコルを実装します。これは、OCI File Storageサービスの外部にあるDNSに似た顧客管理エンティティです。
このアーキテクチャは、OCIの次のコンポーネントをサポートしています。
- マウント・ターゲット
マウント・ターゲットは、OCI File Storageのコンポーネントです。顧客VCNに配置され、クライアントがファイル・システムをマウントするためのIPアドレスを提供します。
- ファイル・ストレージ
Oracle Cloud Infrastructure File Storage Serviceは、永続的でスケーラブルなエンタープライズ規模のネットワーク・ファイル・システムを提供します。File Storageサービスのファイル・システムは、VCN内の任意のベア・メタル、仮想マシンまたはコンテナ・インスタンスから接続できます。また、Oracle Cloud Infrastructure FastConnectおよびIPSec VPNを使用してVCNの外部からファイル・システムにアクセスすることもできます。
操作モード
KerberosおよびLDAPをFile Storage Serviceと統合すると、次のいずれかの方法でWindowsファイル共有を構成できます。
- 認証なしでWindowsインスタンスからシンプルなNFSアクセス。
マウント・ターゲットに追加の構成を行わずに、Windowsインスタンスからファイル・ストレージをマウントします。
Windowsユーザーおよびアプリケーションは、Windowsレジストリで構成されたユーザーIDおよびグループIDを使用してファイル・ストレージにアクセスできます。この操作モードでは、LDAPまたはKerberos構成は必要ありません。詳細は、Windowsインスタンスからのファイル・システムのマウントを参照してください。
- 承認なしでユーザーを認証します。
Active Directoryを使用してユーザーを認証するように Kerberosを構成します。認証されたすべてのユーザーは、ファイル・ストレージ・エクスポートのユーザー・スカッシングを使用して、単一のユーザーIDおよびグループIDにマップされます。このユーザーIDおよびグループIDは、ファイル・ストレージ内のファイルおよびフォルダへのアクセスを認可するために使用されます。この操作モードでは、転送中暗号化のみが必要な場合に構成を簡素化できます。「Kerberosのマウント・ターゲットの構成」および「NFSエクスポートを使用したユーザーおよびグループの構成」を参照してください。
- 認証なしでユーザーを認可します。
Windows NFSクライアントを Active Directoryと統合し、Active Directoryで構成された uidNumberおよび gidNumberを使用します。
この操作モードでは、マウント・ターゲットのLDAP構成は必須ではありません。ただし、ユーザーの追加のグループ・メンバーシップを承認のために考慮する必要がある場合は、マウント・ターゲットでLDAP構成が必要です。「Windows NFSクライアントと Active Directoryの統合」および「LDAP構成」を参照してください。
- Active Directoryを使用してユーザーを認証および承認します。
認証と認可の両方を実現するように、マウント・ターゲットでKerberosとLDAPの両方を構成します。他のモードと同様に、権限チェック(認可)はUnix権限(
uid、gidなど)に基づいて実行されます。「Kerberosのマウント・ターゲットの構成」、「LDAP構成」および「WindowsのUnix権限」を参照してください。
Kerberos、LDAPおよびWindows Active Directoryについて
KerberosおよびLightweight Directory Access Protocol (LDAP)をOracle Cloud Infrastructure File Storageと統合して、セキュアな集中認証および認可を実現できます。WindowsユーザーのActive Directory認証は、ファイル・ストレージのKerberosおよびLDAP機能に依存します。
次に、KerberosとLDAPを統合する利点の一部を示します。
- 集中管理: Windows Active Directory KerberosおよびLDAPアイデンティティ管理システムでユーザーを編成し、カスタマイズされたアクセス権を有効にします。
- セキュリティ・コンプライアンス: 次の操作モードでセキュリティ・コンプライアンス要件に対応します。
- krb5: Kerberos認証および認可。
- krb5i: 中間者攻撃および認可されていない変更から保護する整合性。
- krb5p: 盗聴(転送中暗号化)を防ぐためのプライバシまたは機密性。
- より多くのグループを持つユーザーのスケーリング: OCI File StorageでサポートされているセカンダリUnixグループの最大数を256 (16)に増やします。
- Microsoft Windows Active Directoryとの統合: Active DirectoryからOCIファイル・ストレージNFS共有にアクセスし、Microsoft Windowsワークステーションに参加し、Active Directoryユーザー(ユーザー、グループなどに基づく)に対するUnix権限を持ちます。
Microsoft Windows環境でのActive Directory統合を使用する利点の概要:
- Microsoft Windowsからのファイル・ストレージ・アクセス、LinuxとWindows間のユニバーサル・アクセス、Unixに基づく権限(ユーザーID、グループIDなど)。
- Active Directoryを使用したユーザー認証。
- コンピュート・インスタンスでSambaを使用して、Microsoft Windowsアクセス用のServer Message Block (SMB)プロトコルでOCI File Storageを再エクスポートすることは避けてください。
- 一元化されたユーザー管理には、Active DirectoryおよびLDAPを使用します。
- Kerberosを使用した転送中暗号化を有効にします。
WindowsからのNFSアクセスの制限
Microsoft WindowsからNFSにアクセスする場合、次の制限を考慮してください。
- Windowsでは、NFSプロトコルがデフォルトおよびネイティブのファイル共有プロトコルではありません。個々のインスタンスから観察されたパフォーマンスは、SMBと比較して遅くなる可能性があります。パフォーマンスに違いがある場合、これはNFSクライアントの観点から行われ、Oracle Cloud Infrastructure File Storageサービスから提供されるパフォーマンスには影響しません。
- アクセス制御リスト(ACL)のサポートがない Unixアクセス権に制限されます。
- 制限された国際文字サポート(Unicodeなし)。制限された国際文字セットのサポートについては、mount commandを参照してください。
必要な製品、サービスおよびロールについて
このソリューションには、次の製品およびサービスが必要です。
- Oracle Cloud Infrastructure (OCI)
- OCIファイル・ストレージ
- Active Directory
- LDAP
各製品およびサービスに必要なロールは次のとおりです。
| 製品またはサービス名: 権限 | 必須... |
|---|---|
| Oracle Cloud Infrastructure: コンパートメント内の権限。権限が別のロールに分離されている場合は、適切な管理者に連絡してタスクを実行します。 |
|
| Active Directory: Active Directoryへの書き込み権限 | ユーザーの作成、ユーザー属性の追加、およびコンピュータアカウントの作成を行います。 |
| LDAP: LDAP DNおよびパスワードを持つActive Directoryユーザー |
マウント・ターゲットでLDAPを構成します。 マウント・ターゲットには、LDAPを使用してユーザー、グループおよび関連属性を読み取るための最小限の読取り専用権限を持つユーザーが必要です。 |
必要なものを取得するには、Oracle製品、ソリューションおよびサービスを参照してください。