Microsoft Windows Active Directory 사용자에 대한 파일 스토리지 구성

Oracle Cloud Infrastructure(OCI) File Storage와 Microsoft Windows Active Directory를 통합하여 Windows 사용자를 인증하고 권한을 부여할 수 있습니다.

Windows 서버에서 실행되는 애플리케이션은 고가용성 및 분산 처리 아키텍처를 지원하기 위해 공유 스토리지에 동시에 액세스해야 하는 경우가 많습니다. 또한 Windows 사용자는 다른 사용자와 협업하기 위해 공유 스토리지가 필요합니다. Linux와 Windows 시스템 간에 데이터를 공유해야 하는 경우도 있습니다.

Windows 및 Linux는 현재 OCI File Storage에서 제공하는 유일한 파일 공유 프로토콜이므로 NFS를 사용해야 합니다. 고객은 다음 임시해결책을 사용하여 OCI File Storage를 사용하는 Windows 사용자에 대한 Active Directory 인증을 사용으로 설정합니다.

다른 컴퓨트 인스턴스의 SAMBA를 사용하여 OCI File Storage 파일 시스템 다시 익스포트
Windows 파일 공유를 위한 별도의 인프라 구축

Windows 7 및 Windows 서버 2008로 시작하는 Windows 운영 체제에서는 NFS 클라이언트가 기본적으로 이후 버전에서 사용으로 설정된 NFS(네트워크 파일 시스템)를 지원합니다.

시작하기 전에

이 솔루션 플레이북에서는 Active Directory 환경이 있고 RDP(Remote Desktop Protocol)를 사용하여 도메인 컨트롤러에 액세스할 수 있다고 가정합니다. 인증만(Kerberos), LDAP만(권한 부여만) 또는 둘 다를 함께 구성할 수 있습니다.

이 솔루션 플레이북은 구성 요구 사항을 설명하기 위한 참조 자료입니다. 각 관리자(Windows, Active Directory 및 Oracle Cloud Infrastructure)와 협력하여 조직의 환경과 모범 사례에 맞게 이 솔루션을 계획하고 수정합니다.

구조

이 아키텍처는 고객 관리형 데이터 센터의 Microsoft Windows 및 서비스와 Oracle Cloud Infrastructure(OCI)에 있는 마운트 대상 및 Oracle Cloud Infrastructure File Storage와 상호 작용하는 방법을 보여줍니다.

OCI File Storage 서비스 파일 공유 환경에는 LDAP 서버에 대한 네트워크 연결과 Kerberos, LDAP 및 DNS 인프라와의 통합이 필요합니다.

다음은 file-storage-windows에 대한 설명입니다. ad.png

그림 file-storage-windows-ad.png에 대한 설명

file-storage-windows-ad-oracle.zip

구조는 다음 통신 방법을 사용합니다.

A: TCP 포트 2048, 2049 및 2050을 통해 마운트 대상과의 NFS 클라이언트 통신입니다.
B: NFS 클라이언트가 TCP 및 UDP 포트 53, 포트 389를 통한 LDAP 또는 포트 636을 통한 LDAPS를 통해 DNS와 통신합니다. TCP 및 UDP 포트 88을 통한 Kerberos
C: TCP 및 UDP 포트 53을 통해 DNS에 대한 대상 통신을 마운트하고, TCP 포트 636을 통해 LDAP를 마운트합니다. 마운트 대상에는 LDAP 서버에 적절한 인증 기관의 적절한 인증서가 있어야 합니다. 자체 서명된 인증서는 허용되지 않습니다.
D: OCI File Storage 서비스(Oracle Managed Infrastructure) 내에서 마운트 대상과 파일 시스템 간의 내부 통신입니다.

이 아키텍처는 고객 관리형 데이터 센터에서 다음 구성요소를 지원합니다.

DNS 서버
마운트 대상 및 기타 시스템이 LDAP 서버를 포함한 호스트 이름을 조회할 수 있도록 합니다. DNS 서버는 OCI 파일 스토리지 서비스 외부에 있는 고객 관리 엔티티입니다. DNS 서버는 마운트 대상과 동일한 VCN, 동일한 지역 또는 다른 지역의 다른 VCN 또는 온프레미스에 위치할 수 있습니다. DNS 서비스를 사용하려면 방화벽에서 TCP 및 UDP 포트 53을 열어야 합니다.
LDAP
LDAP은 마운트 대상 및 기타 시스템이 사용자 및 그룹에 대한 속성을 가져오는 디렉토리 서비스입니다. DNS 서버와 마찬가지로 이 엔티티는 고객 관리 엔티티이며 포트 636(LDAPS)에 대한 연결을 사용하여 어디에든 배치할 수 있습니다. Active Directory는 디렉토리 서비스에 LDAP을 사용하고 마운트 대상은 사용자 권한 부여에 이 LDAP 서비스를 사용합니다.
Kerberos
Kerberos는 인증, 데이터 무결성 및 전송 중 암호화를 지원하는 업계 표준 보안 인증 프로토콜입니다. Kerberos는 Active Directory 기반구조의 일부이며 Windows 사용자가 사용하는 표준 인증입니다.
활성 디렉토리
Active Directory는 Microsoft Windows 도메인에 대한 디렉토리 서비스입니다. 이를 통해 중앙화된 도메인 관리 및 다양한 디렉토리 기반 ID 서비스를 사용할 수 있습니다. 도메인 컨트롤러는 Active Directory 서비스를 호스트하여 Windows 환경에서 모든 사용자와 컴퓨터를 인증하고 권한을 부여합니다. 마운트 대상이 Windows 사용자를 인증하고 권한을 부여하는 데 사용하는 인증용 표준 Kerberos 프로토콜을 구현합니다. OCI File Storage 서비스 외부에 있는 DNS와 유사한 고객 관리 엔티티입니다.

이 아키텍처는 OCI에서 다음 구성요소를 지원합니다.

마운트 대상
마운트 대상은 OCI 파일 스토리지의 구성요소입니다. 이 IP 주소는 고객 VCN에 있으며 클라이언트가 파일 시스템을 마운트할 수 있도록 IP 주소를 제공합니다.
파일 스토리지
Oracle Cloud Infrastructure File Storage 서비스는 지속성, 확장성, 보안성, 엔터프라이즈급 네트워크 파일 시스템을 제공합니다. VCN의 베어 메탈, 가상 시스템 또는 컨테이너 인스턴스에서 파일 스토리지 서비스 파일 시스템에 연결할 수 있습니다. Oracle Cloud Infrastructure FastConnect 및 IPSec VPN을 사용하여 VCN 외부에서 파일 시스템에 액세스할 수도 있습니다.

조작 모드

Kerberos 및 LDAP와 파일 스토리지 서비스를 통합하면 다음 방법 중 하나로 Windows 파일 공유를 구성할 수 있습니다.

인증 없이 Windows 인스턴스에서 간단한 NFS 액세스
마운트 대상에 추가 구성 없이 Windows 인스턴스에서 파일 스토리지를 마운트합니다.

Windows 사용자 및 응용 프로그램은 Windows 레지스트리에 구성된 사용자 ID 및 그룹 ID를 사용하여 파일 스토리지에 액세스할 수 있으며, 이 작업 모드에는 LDAP 또는 Kerberos 구성이 필요하지 않습니다. 자세한 내용은 Mounting File Systems From Windows Instances를 참조하십시오.
권한 부여 없이 유저를 인증합니다.
Active Directory를 사용하여 사용자를 인증하도록 Kerberos를 구성합니다. 그러면 모든 인증된 사용자가 파일 스토리지 익스포트의 사용자 스쿼싱을 사용하여 단일 사용자 ID 및 그룹 ID에 매핑됩니다. 이 사용자 ID 및 그룹 ID는 파일 스토리지의 파일 및 폴더에 대한 액세스 권한을 부여하는 데 사용됩니다. 이 작업 모드는 전송 암호화만 필요한 경우 구성을 단순화할 수 있습니다. "Configure the Mount Target for Kerberos" 및 "Configure Users and Groups with NFS Export"를 참조하십시오.
인증 없이 사용자에게 권한을 부여합니다.
Windows NFS 클라이언트를 Active Directory와 통합하고 Active Directory에 구성된 uidNumber 및 gidNumber를 사용합니다.

이 작업 모드에서는 마운트 대상의 LDAP 구성이 필수가 아닙니다. 하지만 권한 부여를 위해 사용자에 대한 추가 그룹 멤버쉽을 고려해야 하는 경우 마운트 대상에 LDAP 구성이 필요합니다. "Integrate Windows NFS client with Active Directory" 및 "LDAP configuration"을 참조하십시오.
Active Directory로 사용자를 인증하고 권한을 부여합니다.
인증 및 권한 부여를 모두 수행하려면 마운트 대상에서 Kerberos와 LDAP를 모두 구성합니다. 다른 모드와 마찬가지로 권한 검사(권한 부여)는 Unix 권한(uid, gid 등)에 따라 수행됩니다. "Configure the Mount Target for Kerberos", "LDAP configuration" 및 "Unix Permission in Windows"를 참조하십시오.

Kerberos, LDAP 및 Windows Active Directory 정보

안전한 중앙 집중식 인증 및 권한 부여를 위해 Kerberos 및 LDAP(Lightweight Directory Access Protocol)를 Oracle Cloud Infrastructure File Storage와 통합할 수 있습니다. Windows 사용자에 대한 Active Directory 인증은 File Storage Kerberos 및 LDAP 기능을 사용합니다.

다음은 Kerberos 및 LDAP 통합의 몇 가지 이점입니다.

중앙 집중식 관리: Windows Active Directory Kerberos 및 LDAP ID 관리 시스템을 통해 사용자를 구성하고 맞춤형 액세스 권한을 활성화합니다.
보안 준수: 다음 작업 모드를 사용하여 보안 준수 요구 사항을 해결합니다.
- krb5: Kerberos 인증 및 권한 부여입니다.
- krb5i: 중간 사용자 공격 및 무단 수정으로부터 보호할 수 있는 무결성.
- krb5p: 도청을 방지하기 위한 개인 정보 보호 또는 기밀성(전송 암호화)입니다.
더 많은 그룹으로 사용자 스케일 조정: 보조 Unix 그룹의 최대 수를 늘리면 OCI File Storage에서 권한 부여를 256(16)으로 지원합니다.
Microsoft Windows Active Directory와 통합: Active Directory에서 OCI File Storage NFS 공유에 액세스하여 Microsoft Windows 워크스테이션에 참가했으며 Active Directory 사용자에 대한 Unix 권한을 갖습니다(사용자, 그룹 등 기준).

Microsoft Windows 환경에서 Active Directory 통합을 사용하여 얻을 수 있는 이점 요약:

Microsoft Windows에서 파일 스토리지 액세스, Linux 및 Windows에서 범용 액세스, Unix 기반 권한(사용자 ID, 그룹 ID 등)
Active Directory를 통한 사용자 인증입니다.
컴퓨팅 인스턴스에서 Samba를 사용하여 Microsoft Windows 액세스를 위해 SMB(Server Message Block) 프로토콜로 OCI File Storage를 다시 내보내지 마십시오.
중앙 집중식 사용자 관리를 위해 Active Directory 및 LDAP를 사용합니다.
Kerberos를 사용하여 전송 중 암호화를 사용으로 설정합니다.

Windows에서 NFS 액세스 제한

Microsoft Windows에서 NFS에 액세스하는 경우 다음 제한 사항을 고려하십시오.

NFS 프로토콜은 Windows에서 기본 및 고유 파일 공유 프로토콜이 아닙니다. 개별 인스턴스에서 관찰된 성능은 SMB에 비해 느릴 수 있습니다. 성능에 차이가 있는 경우 NFS 클라이언트 관점에서 Oracle Cloud Infrastructure File Storage 서비스에서 제공하는 성능에 영향을 주지 않습니다.
ACL(액세스 제어 목록) 지원 없이 Unix 권한으로 제한됩니다.
제한된 국제 문자 지원(유니코드 없음) 제한된 국제 문자 세트 지원은 mount command를 참조하십시오.

필수 제품, 서비스 및 역할 정보

이 솔루션을 사용하려면 다음과 같은 제품과 서비스가 필요합니다.

Oracle Cloud Infrastructure(OCI)
OCI 파일 스토리지
활성 디렉토리
LDAP

각 제품과 서비스에 필요한 역할입니다.

제품 또는 서비스 이름: 권한	다음에 필요...
Oracle Cloud Infrastructure: 구획의 권한입니다. 권한이 다른 역할로 분리된 경우 해당 관리자에게 문의하여 작업을 수행하십시오.	Kerberos 및 LDAP와 OCI File Storage 통합을 구성합니다. OCI File Storage 서비스(파일 제품군 권한 관리)를 관리합니다. OCI 사용자는 구획에 대한 권한이 있어야 합니다. 저장소에 암호를 생성합니다. 마운트 대상에 대한 정책 및 동적 그룹을 생성하여 저장소 암호를 읽습니다.
Active Directory: Active Directory에 대한 쓰기 권한	사용자를 만들고, 사용자 속성을 추가하고, 컴퓨터 계정을 만듭니다.
LDAP: LDAP DN 및 비밀번호를 사용하는 Active Directory 사용자	마운트 대상에서 LDAP를 구성합니다. 마운트 대상에는 LDAP를 사용하여 사용자, 그룹 및 관련 속성을 읽기 위한 최소 읽기 전용 권한이 있는 사용자가 필요합니다.

제품 또는 서비스 이름: 권한

다음에 필요...

Oracle Cloud Infrastructure: 구획의 권한입니다. 권한이 다른 역할로 분리된 경우 해당 관리자에게 문의하여 작업을 수행하십시오.

Kerberos 및 LDAP와 OCI File Storage 통합을 구성합니다.
OCI File Storage 서비스(파일 제품군 권한 관리)를 관리합니다. OCI 사용자는 구획에 대한 권한이 있어야 합니다.
저장소에 암호를 생성합니다.
마운트 대상에 대한 정책 및 동적 그룹을 생성하여 저장소 암호를 읽습니다.

Active Directory: Active Directory에 대한 쓰기 권한

사용자를 만들고, 사용자 속성을 추가하고, 컴퓨터 계정을 만듭니다.

LDAP: LDAP DN 및 비밀번호를 사용하는 Active Directory 사용자

마운트 대상에서 LDAP를 구성합니다.

마운트 대상에는 LDAP를 사용하여 사용자, 그룹 및 관련 속성을 읽기 위한 최소 읽기 전용 권한이 있는 사용자가 필요합니다.

필요한 것을 얻으려면 Oracle 제품, 솔루션 및 서비스를 참조하십시오.