構成の計画

Windowsファイル共有の構成方法を決定します。

1. 認証なしでWindowsインスタンスからシンプルなNFSアクセス。
2. 承認なしでユーザーを認証します。
3. 認証なしでユーザーを認可します。
4. Active Directoryを使用してユーザーを認証および承認します。

必要なインフラストラクチャ・コンポーネント

環境が正しく機能するには、適切なDNSおよびLDAP構成が重要です。環境を正しく構成する方法の詳細は、次の前提条件およびインフラストラクチャ要件を確認してください。

• 顧客管理DNSインフラストラクチャ。マウント・ターゲットは、DNSサーバー上のUDPおよびTCPポート53と通信できる必要があります。
• Kerberos認証およびLDAP認可をサポートする顧客管理Active Directoryインフラストラクチャ。LDAPサービスをホストするドメイン・コントローラは、適切な署名証明書を持つポート636でLDAPSを有効にする必要があります。マウント・ターゲットは自己署名証明書を受け入れないためです。

• OCI File Storageマウント・ターゲットがRFC2307準拠のユーザーおよびグループ情報を検索するために使用できるLDAPサーバー(Active Directoryドメイン・コントローラでホストされているLDAPサービス)へのログイン・アカウント。

Active Directoryを使用した Windows NFSクライアントの構成

Oracle Cloud Infrastructure File Storage NFS共有を使用するすべてのワークステーションで、Active Directoryユーザー統合を有効にします。この構成ステップは、モード3 (認証なしでユーザーを認可)を使用する場合にのみ必要です。

Active Directory参照を有効にすると、Windows NFSクライアントは、OCIファイル・ストレージにアクセスする各ユーザーのuidおよびgidとして、Active DirectoryのuidNumberおよびgidNumberを使用します。NFSクライアントは、uidNumberおよびgidNumberがユーザーに存在しない場合に、WindowsレジストリのAnonymousUidおよびAnonymousGidのみを使用します。

1. NFSクライアントのpowershellプロンプトから Active Directoryユーザー統合を有効にします。

   PS C:\Users\administrator> Set-NfsMappingStore -EnableADLookup $true
   PS C:\Users\administrator>

2. OCI File Storage NFS共有を使用する各ワークステーションで、ステップ1を繰り返します。

Active DirectoryでのRFC2307属性の構成

Oracle Cloud Infrastructure File StorageをActive Directory (AD)と統合するには、次のRFC2307属性が必要ですが、デフォルトでは移入されません。モード3 (認証なしでユーザーを承認)およびモード4 (Active Directoryを使用してユーザーを認証および承認)用に構成する場合は、これらの属性を移入する必要があります。

オブジェクトタイプ	属性	Value	Comment
ユーザー	objectClass	posixAccount	追加のオブジェクト・クラスとしてposixAccountを追加します
	uidNumber	一意の数値ユーザーID	ユーザーを表すUnixユーザーID
	gidNumber	数値のグループID	ユーザーのプライマリ数値グループID
	uid	ユーザーの名前	これはuidと呼ばれますが、ユーザーの Unix IDではありません。一意のユーザー名/sAMAccountName
グループ	posixGroup	posixGroup	追加のオブジェクト・クラスとしてposixGroupを追加します
	gidNumber	一意の数値グループID	グループを表すUnixグループID
	memberUid	グループのメンバーであるユーザーのUID。	各ユーザー名(uid)をグループのメンバーとして追加します。上のUID属性を参照

Active DirectoryユーザーとコンピュータのスナップインまたはADSIEditツールを使用して、ユーザー属性を編集できます。この例では、Active Directoryユーザーとコンピュータのスナップインを使用します。

1. ADのActive Directory Users and Computersディレクトリに移動します。
2. fs-ad.comを展開し、「ユーザー」を選択します。
3. 上部のナビゲーションで「表示」をクリックし、「拡張機能」をクリックします。
4. ユーザーを選択します。
   この例では、ユーザーはfss-user-1です。
5. 必要に応じて、属性を変更します。
6. powershellの属性を確認します。

   PS C:\Users\administrator> $Filter = "(&(objectClass=posixAccount)(uid=fss-user-1))"
   >> $RootOU = "CN=Users,DC=fss-ad,DC=com"
   >> $Searcher = New-Object DirectoryServices.DirectorySearcher
   >> $Searcher.SearchRoot = New-Object System.DirectoryServices.DirectoryEntry("LDAP://$($RootOU)")
   >> $Searcher.Filter = $Filter
   >> $Searcher.SearchScope = "Subtree"
   >> $Results = $Searcher.FindAll()
   >> $R = foreach  ($line in $Results) {
   >>  $line_entry =  $line.GetDirectoryEntry()
   >>  $line_entry | Select-Object -Property uid, objectClass, uidNumber, gidNumber
   >> }
   >> $R
   
   uid          objectClass                                          uidNumber gidNumber
   ---          -----------                                          --------- ---------
   {fss-user-1} {top, posixAccount, person, organizationalPerson...} {901}     {500}
   
   
   PS C:\Users\administrator> $Filter = "(&(objectClass=posixGroup)(gidNumber=8001))"
   >> $RootOU = "CN=Users,DC=fss-ad,DC=com"
   >>
   >> $Searcher = New-Object DirectoryServices.DirectorySearcher
   >> $Searcher.SearchRoot = New-Object System.DirectoryServices.DirectoryEntry("LDAP://$($RootOU)")
   >> $Searcher.Filter = $Filter
   >> $Searcher.SearchScope = "Subtree"
   >> $Results = $Searcher.FindAll()
   >> $R = foreach  ($line in $Results) {
   >>  $line_entry =  $line.GetDirectoryEntry()
   >>  $line_entry | Select-Object -Property gidNumber, objectClass, memberUid
   >> }
   >> $R
   
   gidNumber objectClass              memberUid
   --------- -----------              ---------
   {fss-rw-group-1} {8001}    {top, posixGroup, group} {fss-user-2, fss-user-1}