Active Directory 사용자에 대한 인증 및 권한 부여 구성
Oracle Cloud Infrastructure ID 및 접근 관리를 설정하고, AD(Active Directory) 인증 및 권한 부여를 구성하고, NFS 익스포트를 구성하고, Unix 권한을 설정합니다.
Oracle Cloud Infrastructure Identity and Access Management 정책 설정
Oracle Cloud Infrastructure(OCI) Identity and Access Management에서 동적 그룹을 생성하고 마운트 대상이 LDAP 및 Kerberos 암호에 액세스할 수 있도록 정책을 추가합니다. Kerberos 및 LDAP 구성 모두에 필요합니다.
Kerberos로 Active Directory 인증 구성
Oracle Cloud Infrastructure Identity and Access Management를 구성한 후 Active Directory를 구성합니다. Kerberos 구성에는 마운트 대상을 Microsoft의 Active Directory에 연결하고 마운트 대상 설정을 Kerberos 구성으로 업데이트하는 두 단계가 포함됩니다.
Active Directory에 마운트 대상 연결
Active Directory 사용자에게 인증이 필요한 경우 이 작업을 완료합니다. 이 프로세스는 Oracle Cloud Infrastructure File Storage 서비스 외부에서 수행되는 수동 프로세스입니다. 마운트 대상을 Microsoft의 Active Directory에 연결하려면 컴퓨터 계정을 Active Directory에 추가하고, 올바른 암호를 설정하고, keytab을 추출하고, 마운트 대상을 DNS에 추가하는 작업이 포함됩니다.
Kerberos에 대한 마운트 대상 구성
keytab에 대한 암호를 만듭니다. 암호 컨텐츠는 Active Directory를 사용하여 마운트 대상에 연결할 때 복사한 base64 인코딩 Keytab입니다.
다음은 Kerberos에 대한 마운트 대상을 구성하는 데 필요한 기본 단계입니다.
- 마운트 대상을 Active Directory에 조인합니다(이전 단계).
- Keytab 저장소 암호를 구성합니다.
- 마운트 대상에서 Kerberos를 구성합니다.
Kerberos를 사용하여 NFS 내보내기 마운트
Kerberos NFS는 다음 세 가지 보안 방식을 지원합니다.
- krb5: Kerberos(인증 전용)
- krb5i: 인증되었으며 각 트랜잭션과 함께 암호화 해시를 사용하여 무결성을 보장합니다. 트래픽은 계속 가로채고 검사할 수 있지만 트래픽을 수정할 수는 없습니다.
- krb5p: 클라이언트와 서버 간의 모든 트래픽을 인증하고 암호화합니다. 트래픽은 검사할 수 없으며 수정할 수 없습니다.
C:\Users\fss-user-1>mount -o sec=krb5 fss-mt-ad-1.fss-ad.com:/krb-fs-1 T:
T: is now successfully connected to fss-mt-ad-1.fss-ad.com:/krb-fs-1
The command completed successfully.
sys
, krb5
, krb5i
및 krb5p
)가 제공되지 않은 경우 Windows는 내보내기에 설정된 우수한 보안 종류를 선택합니다. mount
명령을 사용하여 드라이브가 마운트될 때 선택된 flavor Windows를 확인합니다.
C:\Users\fss-user-1>mount
Local Remote Properties
-------------------------------------------------------------------------------
T: \\fss-mt-ad-1.fss-ad.com\krb-fs-1 UID=0, GID=0
rsize=1048576, wsize=1048576
mount=soft, timeout=0.8
retry=1, locking=yes
fileaccess=755, lang=ANSI
casesensitive=no
sec=krb5
C:\Users\fss-user-1>whoami
fss-ad\fss-user-1
이제 Windows 탐색기에서 드라이브에 액세스할 수 있습니다. 드라이브 매핑은 사용자별로 수행되며 OCI File Storage 공유에 액세스하는 모든 사용자는 공유를 각 드라이브 문자에 매핑해야 합니다.
LDAP에 대한 Active Directory 권한 부여 구성
Active Directory 사용자에게 LDAP 권한 부여가 필요한 경우 이 작업을 완료합니다. Active Directory에서 필요한 정보를 수집하고, File Storage에 액세스하는 모든 사용자 및 그룹에 대해 RFC2307 속성을 설정한 다음 마운트 대상에서 LDAP를 구성합니다.
다음은 LDAP에 대한 Active Directory 권한 부여를 구성하는 데 필요한 기본 단계입니다.
- Active Directory에서 LDAP 구성 세부정보를 가져옵니다.
- LDAP 바인드 사용자 암호를 구성합니다.
- 아웃바운드 커넥터를 생성합니다.
- 마운트 대상에서 LDAP를 구성합니다.
주:
마운트 대상은 자체 서명된 LDAP 인증서를 사용할 수 없습니다.Windows의 Unix 권한
Oracle Cloud Infrastructure File Storage는 NFSv3 프로토콜을 사용하여 액세스합니다. 권한 부여는 Unix 권한을 사용하여 수행됩니다.
ldp.exe
도구를 사용하여 사용자 및 그룹의 RFC2307 속성을 질의하여 uid, gid 및 그룹 멤버쉽을 확인할 수 있습니다. Unix 권한은 LDAP에 저장된 uid, gid 및 그룹 멤버쉽에 따라 확인됩니다.Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixAccount)(uid=fss-user-1))
Attributes: uidNumber;gidNumber
Windows 탐색기를 사용하여 파일 또는 폴더를 소유하는 소유자 및 그룹과 파일 또는 폴더에 설정된 권한을 확인합니다. 파일 또는 폴더의 등록 정보에서 NFS 속성(Unix 속성)에 액세스할 수 있습니다.
fss-user-1
사용자의 기본 그룹이 500이지만 OCI File Storage는 사용자가 권한 검사의 멤버인 모든 그룹을 고려합니다. 다음 질의를 사용하여 fss-user-1
사용자의 그룹 멤버쉽을 찾습니다.
Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixGroup)(memberUid=fss-user-1))' gidNumber
Attributes: gidNumber
초기 폴더 권한 생성
구현 시 폴더 권한을 고려하십시오.
OCI File Storage 루트 디렉토리는 uid 0의 소유이며 755(root의 경우 rwx, root의 경우 r-x, 기타의 경우 r-x) 권한이 있습니다. 사용자를 위해 추가 폴더를 생성하거나 권한을 변경하려면 루트 액세스 권한이 필요합니다. 요구 사항에 맞는 초기 권한을 만들고 설정하기 위한 관리자 작업입니다.
다음 방법 중 하나를 사용하여 파일 시스템에 대한 관리 액세스 권한을 얻을 수 있습니다.
- uidNumber 0에 매핑되고 루트가 스쿼시되지 않는 한 모든 사용자는 일반 사용자일 뿐입니다. 관리 사용자를 사용자의 LDAP 속성에서 uidNumber 0에 매핑합니다.
SYS
인증을 사용하여 파일 시스템을 보안 Linux 워크스테이션으로 내보냅니다.root
사용자를 사용하여 권한을 생성하고 관리합니다.