주:

• 이 자습서에서는 Oracle Cloud에 액세스해야 합니다. 무료 계정에 등록하려면 Oracle Cloud Infrastructure Free Tier 시작하기를 참조하십시오.
• Oracle Cloud Infrastructure 자격 증명, 테넌시 및 구획에 예제 값을 사용합니다. 실습을 완료했으면 이러한 값을 자신의 클라우드 환경과 관련된 값으로 대체하십시오.

Active Directory 사용자 액세스 제어로 Oracle Cloud Infrastructure File Storage Service 구성

소개

이 사용지침서에서는 Windows NFS(Network File System) 클라이언트를 사용하여 OCI(Oracle Cloud Infrastructure) 파일 스토리지 서비스에 안전하게 액세스할 수 있도록 AD(Active Directory) 사용자를 고유 사용자 ID(UID)/그룹 ID(GID) 매핑과 통합하는 단계별 접근 방식을 제공합니다. Active Directory 권한을 활용하여 적절한 인증 및 액세스 제어를 보장하므로 조직은 엔터프라이즈 보안 정책을 준수하면서 특정 사용자 및 그룹에 대한 파일 시스템 액세스를 제한할 수 있습니다.

Active Directory에서 UID/GID 매핑을 사용으로 설정하고 Windows 보안 권한을 사용하여 다음을 수행할 수 있습니다.

• OCI File Storage 액세스를 특정 Active Directory 사용자/그룹으로 제한합니다.

• 파일 소유권 및 액세스 제어가 올바르게 적용되었는지 확인합니다.

• NFS 기반 Windows 클라이언트가 OCI File Storage와 안전하게 상호 작용할 수 있도록 허용합니다.

이 사용지침서에서는 Active Directory 도메인 서비스(AD DS) 및 도메인 연결 Windows VM(가상 머신)과 동일한 VCN(가상 클라우드 네트워크)에 OCI 파일 스토리지 및 마운트 대상을 생성합니다. 작업 1에서 4까지의 원활한 통합 및 액세스 제어를 지원하고, OCI File Storage용 Active Directory 통합을 사용으로 설정하고, 특정 UID/GID 매핑을 가진 사용자를 생성하고, 작업 5에서 8까지의 폴더 레벨 액세스 제한을 적용합니다.

목표

• Active Directory 사용자를 UID/GID 매핑과 통합하여 Windows NFS 클라이언트를 사용하여 OCI File Storage에 안전하게 액세스하면서 Active Directory 권한을 기반으로 액세스 제어를 적용합니다.

  • OCI File Storage를 생성합니다.

  • 도메인 컨트롤러 및 Windows VM과 동일한 VCN에서 마운트 대상을 구성합니다.

  • NFS 액세스를 위한 적절한 보안 규칙을 확인합니다.

  • Windows VM에서 파일 시스템을 마운트합니다.

  • Active Directory 기반 액세스 제어를 준비합니다.

  • UID/GID 속성을 가진 AD 사용자를 생성합니다.

  • 폴더 레벨 액세스 제어로 OCI File Storage를 구성합니다.

  • 도메인으로 연결된 VM에 OCI File Storage를 마운트합니다.

  • 유저 기반 액세스 제한 사항을 검증합니다.

  이 설정은 OCI File Storage와의 원활한 Active Directory 통합을 보장하므로 UID/GID 매핑을 기반으로 보안 파일 공유 및 액세스 제어가 가능합니다. 이 설정은 Active Directory 인증 및 UID/GID 매핑을 사용하여 OCI File Storage 서비스에 대한 역할 기반 보안 액세스 제어를 보장합니다.

필요 조건

• 마운트 대상이 구성된 OCI File Storage입니다.

• RFC2307 속성이 사용으로 설정된 AD DS입니다.

• 도메인이 연결된 시스템에 설치된 Windows NFS 클라이언트

• Active Directory 도메인 컨트롤러와 OCI File Storage 마운트 대상은 모두 동일한 네트워크 VCN에 있어야 합니다.

작업 1: OCI 파일 스토리지 생성

1. OCI 콘솔에 로그인하여 스토리지로 이동하고 파일 스토리지를 누릅니다.

2. 파일 시스템 생성을 누르고 다음 정보를 입력합니다.

   • 구획: 적합한 컴파트먼트를 선택합니다.
   • 이름: 구체적인 이름을 입력합니다. 예: AD-Integrated-FSS.

3. 생성을 눌러 파일 시스템을 프로비전합니다.

작업 2: 동일한 VCN에 마운트 대상 생성

1. OCI 콘솔로 이동하여 파일 스토리지로 이동하고 마운트 대상을 누릅니다.

2. 마운트 대상 생성을 누르고 다음 정보를 입력합니다.

   • 구획: OCI File Storage와 동일한 컴파트먼트를 선택합니다.
   • 이름: 이름을 입력합니다. 예: AD-MountTarget.
   • VCN(가상 클라우드 네트워크): 도메인 컨트롤러 및 도메인으로 연결된 VM이 배포된 동일한 VCN을 선택합니다.
   • 서브넷: VCN에서 전용 또는 공용 서브넷을 선택합니다(NFS 트래픽이 허용되는지 확인).
   • 호스트 이름: 마운트 대상에 대한 호스트 이름을 입력합니다.

3. 마운트 대상 생성을 누르고 프로비전될 때까지 기다립니다.

   

작업 3: NFS 액세스에 대한 보안 규칙 구성

1. OCI 콘솔로 이동하여 네트워킹, VCN(가상 클라우드 네트워크)으로 이동하고 VCN을 선택합니다.

2. 보안 목록을 누르고 다음 정보로 마운트 대상의 서브넷에 대한 송신 규칙을 업데이트합니다.

   • 소스 CIDR: 도메인 컨트롤러 및 도메인 연결 VM이 포함된 서브넷입니다.
   • 프로토콜: TCP를 선택합니다.
   • 포트 범위: 2049(NFS의 경우)를 입력합니다.

3. 다음 정보를 사용하여 마운트 대상 서브넷의 아웃바운드 트래픽을 허용하려면 송신 규칙을 추가합니다.

   • 대상 CIDR: 0.0.0.0/0을 입력합니다.
   • 프로토콜: TCP를 선택합니다.
   • 포트 범위: 2049를 입력합니다.

   보안 그룹을 사용하는 경우 도메인 컨트롤러, 도메인 연결 VM 및 마운트 대상이 NFS(TCP 2049) 및 DNS(TCP/UDP 53)가 허용된 동일한 그룹에 있는지 확인합니다.

작업 4: 연결 확인

1. 도메인으로 연결된 Windows VM에 로그인합니다.

2. ping 또는 nslookup 명령을 사용하여 마운트 대상에 대한 접속을 테스트합니다.

   ping <MOUNT_TARGET_IP>
   nslookup <MOUNT_TARGET_HOSTNAME>
   

   도메인 컨트롤러와 Windows VM이 DNS를 사용하여 마운트 대상 호스트 이름을 분석할 수 있는지 확인합니다.

작업 5: UID/GID 속성을 사용하여 Active Directory 사용자 구성

1. Active Directory Users and Computers (ADUC)를 엽니다.

2. Domain Controller에서 ADUC(dsa.msc)를 열고 View를 누른 다음 Advanced Features를 사용으로 설정합니다.

   

3. RFC2307 속성을 사용하여 사용자를 생성합니다.

   1. 도메인 아래의 Users(사용자)로 이동합니다. 예: fs-ad.com.

   2. 다음 유저를 생성하고 RFC2307 속성을 설정합니다.

      User	UID 번호	GID 번호	설명
      fssadmin	0	0	FSS 관리자
      applicationuser1	101	501	앱 사용자 1
      applicationuser2	102	502	앱 사용자 2

      

      

4. 사용자 속성을 수정합니다.

   1. 각 사용자를 마우스 오른쪽 단추로 누르고 속성을 누릅니다.

   2. 속성 편집기로 이동하여 다음 RFC2307 속성을 업데이트합니다.

      • objectClass: posixAccount를 추가합니다.
      • uidNumber: 작업 5.3의 테이블에서 값을 지정합니다.
      • gidNumber: 작업 5.3의 테이블에서 값을 지정합니다.
      • uid: sAMAccountName로 설정합니다.

   3. 적용 및 확인을 누릅니다.

작업 6: OCI File Storage 권한 구성

1. 0 UID/GID(fssadmin의 루트 액세스)로 OCI File Storage 기본 폴더를 설정합니다.

   1. OCI 콘솔로 이동하여 파일 스토리지로 이동하고 파일 시스템을 누릅니다.

   2. OCI File Storage Instance를 누르고 기본 폴더를 선택합니다.

   3. 고급 권한을 누르고 다음 정보를 입력합니다.

      • UID: 0를 입력합니다.
      • GID: 0를 입력합니다.

2. 애플리케이션별 폴더를 생성하고 제한합니다.

   1. OCI File Storage 기본 폴더 내에 다음 정보가 포함된 두 개의 폴더를 생성합니다.

      • Folder1: uid=101가 있는 applicationuser1의 경우
      • Folder2: uid=102가 있는 applicationuser2의 경우

   2. 고급 옵션을 누르고 폴더 권한을 설정합니다.

      • Folder1:

        • UID: 101를 입력합니다.
        • GID: 501를 입력합니다.

      • Folder2:

        • UID: 102를 입력합니다.
        • GID: 502를 입력합니다.

작업 7: 도메인으로 연결된 Windows VM에 OCI File Storage 마운트

1. 도메인으로 연결된 Windows VM에 applicationuser1 또는 applicationuser2으로 로그인합니다.

2. 관리자로 명령 프롬프트를 엽니다.

3. 마운트 대상 IP를 사용하여 OCI File Storage를 마운트합니다.

   mount -o sec=sys Mount_Target_IP:/<EXPORT_PATH> S:
   

   참고:

   • <MOUNT_TARGET_IP>를 마운트 대상의 IP로 바꿉니다.

   • <EXPORT_PATH>을 OCI File Storage 익스포트 경로로 바꿉니다.

4. 다음 명령을 사용하여 마운트를 확인합니다.

   net use
   

   S:가 성공적으로 마운트되었는지 확인합니다.

   

작업 8: 폴더 액세스 제한 검증

• 사용자 액세스 확인

  • applicationuser1:

    • 액세스: Folder1(UID: 101) 내에서 읽고 쓸 수 있습니다.
    • 제한 사항: Folder2(UID: 102) 내에 파일을 만들 수 없습니다.

  • applicationuser2:

    • 액세스: Folder2(UID: 102) 내에서 읽고 쓸 수 있습니다.
    • 제한 사항: Folder1(UID: 101) 내에 파일을 만들 수 없습니다.

  또한 사용자는 OCI File Storage 기본 폴더에 새 폴더를 생성할 수 없으므로 엄격한 액세스 제어가 적용됩니다.

• OCI File Storage(FSS)에 대한 그룹 기반 액세스 제어 구성

  사용자 그룹에 OCI FSS(파일 스토리지)의 특정 폴더에 대한 액세스 권한을 부여하려면 UID를 고유하게 유지하면서 그룹의 모든 사용자에게 동일한 GID를 지정합니다. OCI FSS에서 폴더를 생성할 때 Advanced Options에서 GID만 지정된 그룹 GID(예: GID 501)와 일치하도록 설정합니다. 이렇게 하면 그룹 내의 모든 사용자가 개별 사용자 ID를 유지하면서 FSS를 마운트하고 지정된 폴더에 액세스할 수 있습니다.

• Active Directory로 액세스 제어 적용

  사용자가 도메인으로 연결된 VM에 로그인하면 드라이브를 마운트하고 권한이 부여된 OCI 파일 시스템 폴더에만 액세스할 수 있습니다. 무단 폴더에 액세스하거나 수정하려는 시도는 정의된 권한에 따라 제한됩니다.

  액세스 제어는 Active Directory를 통해 중앙에서 관리되므로 도메인 관리자와 파일 시스템 관리자(GID/UID: 0)만 OCI File Storage 폴더를 완전히 제어할 수 있습니다. 이를 통해 구조화되고 안전한 권한 모델을 보장합니다.

• 익스포트 옵션으로 보안 강화

  보안을 강화하려면 확인된 특정 IP 주소에서만 액세스를 허용하도록 OCI 익스포트 옵션을 구성해야 합니다. 마운트 대상 액세스를 알려진 권한이 부여된 IP로 제한하면 권한이 부여되지 않은 시스템에 기본적으로 액세스가 거부되므로 이 접근 방식은 OCI File Storage 액세스를 제어하는 가장 안전한 방법 중 하나입니다.

  

Windows에서 :Zone.Identifier 연결을 방지하기 위해 OCI File Storage에서 파일 속성 관리

문제: Windows의 OCI File Storage 파일에 :Zone.Identifier을 첨부합니다.

Windows에 마운트된 OCI File Storage에 파일을 복사할 때 대체 데이터 스트림(:Zone.Identifier)이 파일에 추가될 수 있습니다. 이는 Windows에서 다운로드한 파일의 보안 영역을 추적하기 위해 영역 식별자 메타데이터를 사용하므로 주로 안전하지 않은 콘텐츠의 실행을 방지하기 위해 발생합니다.

OCI File Storage는 확장 속성을 지원하지만 Windows 특정 NTFS ADS(대체 데이터 스트림)를 기본적으로 처리하지 않는 NFS 프로토콜을 사용하므로 파일을 복사할 때 이러한 :Zone.Identifier 스트림이 의도치 않게 보존될 수 있습니다. 이로 인해 파일을 실행할 때 예상치 않은 보안 경고 또는 문제가 발생할 수 있습니다.

이를 방지하려면 모든 클라이언트 VM에서 이 OCI File Storage 마운트 대상 드라이브에 액세스하는 다음 단계를 수행하십시오.

1. 도메인 클라이언트 시스템에서 Internet(inetcpl.cpl)을 누릅니다.

2. 보안 탭으로 이동하여 로컬 인트라넷을 선택하고 사이트를 누릅니다.

3. 고급을 누르고 OCI 파일 스토리지 마운트 대상 호스트 이름(MSS 마운트 위치 \fss-mount-target 또는 \IP-Address-FSS)을 추가합니다.

   

관련 링크

• Microsoft Windows Active Directory 사용자에 대한 파일 스토리지 구성

• Windows Server 명령 프롬프트에서 파일 시스템 마운트

확인

• Authors - Akarsha I K(클라우드 아키텍트), Mayank Kakani(클라우드 아키텍트)

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하세요. 또한 Oracle Learning Explorer가 되려면 education.oracle.com/learning-explorer을 방문하십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.

---

제목 및 저작권 정보

Configure Oracle Cloud Infrastructure File Storage Service with Active Directory User Access Control

G27603-01

February 2025

Copyright ©2025, Oracle and/or its affiliates.