1. Windows Active Directory 사용자에 대한 OCI 파일 스토리지 서비스 구성
  2. 구성 계획

구성 계획

Windows 파일 공유를 구성하는 방법을 결정합니다.

  1. 인증 없이 Windows 인스턴스에서 간단한 NFS 액세스
  2. 권한 부여 없이 유저를 인증합니다.
  3. 인증 없이 사용자에게 권한을 부여합니다.
  4. Active Directory로 사용자를 인증하고 권한을 부여합니다.

필요한 인프라 구성요소

환경이 제대로 작동하려면 적절한 DNS 및 LDAP 구성이 중요합니다. 환경을 올바르게 구성하는 방법에 대한 자세한 내용은 다음 필수 조건 및 기반구조 요구 사항을 검토하십시오.

  • 고객 관리형 DNS 인프라. 마운트 대상은 DNS 서버의 UDP 및 TCP 포트 53과 통신할 수 있어야 합니다.
  • Kerberos 인증 및 LDAP 권한 부여를 지원하기 위한 고객 관리 Active Directory 기반구조입니다. 마운트 대상이 자체 서명된 인증서를 허용하지 않으므로 LDAP 서비스를 호스트하는 도메인 컨트롤러의 포트 636에서 LDAPS가 사용으로 설정되어 있어야 합니다.

  • OCI File Storage 마운트 대상이 RFC2307 호환 사용자 및 그룹 정보를 조회하는 데 사용할 수 있는 LDAP 서버(Active Directory 도메인 컨트롤러에 호스트된 LDAP 서비스)에 대한 로그인 계정입니다.

Active Directory로 Windows NFS 클라이언트 구성

Oracle Cloud Infrastructure File Storage NFS 공유를 사용하는 모든 워크스테이션에서 Active Directory 사용자 통합을 사용으로 설정합니다. 이 구성 단계는 모드 3(인증 없이 사용자 권한 부여)을 사용하는 경우에만 필요합니다.

Active Directory 조회가 사용으로 설정되면 Windows NFS 클라이언트는 OCI File Storage에 액세스하는 각 사용자에 대해 Active Directory의 uidNumbergidNumberuidgid로 사용합니다. NFS 클라이언트는 사용자에 대해 uidNumbergidNumber가 없는 경우 Windows 레지스트리에서 AnonymousUidAnonymousGid만 사용합니다.

  1. NFS 클라이언트의 powerhell 프롬프트에서 Active Directory 사용자 통합을 사용으로 설정합니다.
    PS C:\Users\administrator> Set-NfsMappingStore -EnableADLookup $true
PS C:\Users\administrator>
  2. OCI File Storage NFS 공유를 사용하는 각 워크스테이션에서 1단계를 반복합니다.

Active Directory에서 RFC2307 속성 구성

다음 RFC2307 속성은 Oracle Cloud Infrastructure File Storage를 AD(Active Directory)와 통합하는 데 필요하지만 기본적으로 채워지지 않습니다. 모드 3(인증 없이 사용자 권한 부여) 및 모드 4(Active Directory로 사용자 인증 및 권한 부여)에 대해 구성할 때 이러한 속성을 채워야 합니다.

객체 유형 속성 Comment
User objectClass posixAccount posixAccount를 추가 객체 클래스로 추가
uidNumber 고유한 숫자 사용자 ID 사용자를 나타내는 Unix 사용자 ID
gidNumber 숫자 그룹 ID입니다. 사용자에 대한 기본 숫자 그룹 ID입니다.
uid 사용자 이름 uid라고 하지만 Unix 유저 ID는 아닙니다. 고유 유저 이름/sAMAccountName
그룹화 posixGroup posixGroup posixGroup를 추가 객체 클래스로 추가
gidNumber 고유 숫자 그룹 ID입니다. 그룹을 나타내는 Unix 그룹 ID
memberUid 그룹의 멤버인 사용자의 uid 각 사용자 이름(uid)을 그룹의 멤버로 추가합니다. 위의 uid 속성 참조

Active Directory 사용자 및 컴퓨터 스냅인 또는 ADSIEdit 도구를 사용하여 사용자 속성을 편집할 수 있습니다. 이 예에서는 Active Directory 사용자 및 컴퓨터 스냅인을 사용합니다.

  1. AD의 Active Directory Users and Computers 디렉토리로 이동합니다.
  2. fs-ad.com을 확장하고 사용자를 선택합니다.
  3. 상단 탐색에서 보기를 누른 다음 고급 기능을 누릅니다.
  4. 사용자를 선택합니다.
    이 예에서 사용자는 fss-user-1입니다.
  5. 필요에 따라 속성을 수정합니다.
  6. powerhell에서 속성을 확인합니다. 
    PS C:\Users\administrator> $Filter = "(&(objectClass=posixAccount)(uid=fss-user-1))"
>> $RootOU = "CN=Users,DC=fss-ad,DC=com"
>> $Searcher = New-Object DirectoryServices.DirectorySearcher
>> $Searcher.SearchRoot = New-Object System.DirectoryServices.DirectoryEntry("LDAP://$($RootOU)")
>> $Searcher.Filter = $Filter
>> $Searcher.SearchScope = "Subtree"
>> $Results = $Searcher.FindAll()
>> $R = foreach  ($line in $Results) {
>>  $line_entry =  $line.GetDirectoryEntry()
>>  $line_entry | Select-Object -Property uid, objectClass, uidNumber, gidNumber
>> }
>> $R

uid          objectClass                                          uidNumber gidNumber
---          -----------                                          --------- ---------
{fss-user-1} {top, posixAccount, person, organizationalPerson...} {901}     {500}


PS C:\Users\administrator> $Filter = "(&(objectClass=posixGroup)(gidNumber=8001))"
>> $RootOU = "CN=Users,DC=fss-ad,DC=com"
>>
>> $Searcher = New-Object DirectoryServices.DirectorySearcher
>> $Searcher.SearchRoot = New-Object System.DirectoryServices.DirectoryEntry("LDAP://$($RootOU)")
>> $Searcher.Filter = $Filter
>> $Searcher.SearchScope = "Subtree"
>> $Results = $Searcher.FindAll()
>> $R = foreach  ($line in $Results) {
>>  $line_entry =  $line.GetDirectoryEntry()
>>  $line_entry | Select-Object -Property gidNumber, objectClass, memberUid
>> }
>> $R

gidNumber objectClass              memberUid
--------- -----------              ---------
{fss-rw-group-1} {8001}    {top, posixGroup, group} {fss-user-2, fss-user-1}