Documentação do Oracle Cloud Infrastructure

Gerenciando Conectores de Saída

O Armazenamento de Arquivos usa conectores de saída para se comunicar com um servidor externo, como um servidor LDAP.

Um conector de saída contém todas as informações necessárias para conectar, autenticar e obter autorização para executar as funções necessárias da conta. Atualmente, os conectores de saída são usados apenas para comunicação com servidores LDAP. Especifique as opções de configuração do conector ao adicionar autenticação LDAP a um ponto de acesso NFS.

Ao estabelecer conexão com um servidor LDAP, um ponto de acesso NFS usa o primeiro conector de saída especificado em sua configuração. Se o ponto de acesso NFS não fizer log-in no servidor LDAP usando o primeiro conector de saída, ele usará o segundo conector de saída.

Vários pontos de acesso NFS podem usar o mesmo conector de saída. Você só poderá associar um conector de saída a um ponto de acesso NFS quando eles existirem no mesmo domínio de disponibilidade. Você pode ter até 32 conectores de saída por domínio de disponibilidade.

Consulte os seguintes tópicos para obter instruções detalhadas relacionadas ao gerenciamento do conector de saída:

Política do Serviço IAM Necessária

Para usar o Oracle Cloud Infrastructure, um administrador deve ser membro de um grupo ao qual foi concedido acesso de segurança em uma política por um administrador da tenancy. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem informando que não tem permissão ou está não autorizado, verifique com o administrador da tenancy qual tipo de acesso você tem e qual compartimento seu acesso funciona.

Para administradores: A política em Permitir que os usuários criem, gerenciem e excluam sistemas de arquivos permite que os usuários gerenciem conectores de saída.

Como os conectores de saída também exigem acesso a segredos para estabelecer conexão com um servidor externo, como um servidor LDAP, são necessárias políticas adicionais do serviço IAM para o usuário que está configurando o ponto de acesso NFS e o próprio ponto de acesso NFS.
Importante

Essas políticas devem ser criadas para que você possa configurar pontos de acesso NFS para usar o LDAP para autorização.

Política para Ativar a Configuração do Ponto de Acesso NFS

Conceda ao usuário ou grupo que configura o LDAP em permissões de ponto de acesso NFS usando uma política como a seguinte:
allow <user|group> to read secret-family in compartment <Compartment_ID> where any { target.secret.id = <LDAP_Password_Secret_ID> }

Isso permite que o usuário emita comandos do File Storage que lerão os segredos do Vault e exibirão partes do segredo para validação durante a configuração.

Política para Permitir que um Ponto de Acesso NFS Recupere Segredos

O serviço File Storage requer a capacidade de ler os segredos. O File Storage usa controladores de recursos para conceder a um conjunto específico de pontos de acesso NFS acesso ao segredo do Vault. Este é um processo de duas etapas, primeiro os pontos de acesso NFS que precisam de acesso devem ser colocados em um grupo dinâmico e, em seguida, o grupo dinâmico recebe acesso para ler os segredos.

  1. Crie um grupo dinâmico para os pontos de acesso NFS com uma política como a seguinte:

    ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_id>' }
    Observação

    Se você tiver mais de uma regra em um grupo dinâmico, certifique-se de usar a opção Match any rules defined below.

  2. Crie uma política do serviço IAM que dê ao grupo dinâmico de pontos de acesso NFS acesso de leitura aos segredos do Vault:

     allow dynamic-group <dynamic_group_name> to read secret-family in compartment <secret_compartment_name>

Se você não conhece as políticas, consulte Conceitos Básicos de Políticas e Detalhes do Serviço File Storage.

Detalhes sobre um Conector de Saída

A página de detalhes fornece as seguintes informações sobre um conector de saída:

OCID
Cada recurso do Oracle Cloud Infrastructure tem um ID exclusivo designado pela Oracle chamado OCID (Oracle Cloud Identifier). Você precisa do OCID de um conector de saída para usar a Interface da Linha de Comando (CLI) ou a API. Você também precisa do OCID ao entrar em contato com o suporte. Consulte Identificadores de Recursos.
CRIADO EM
A data e a hora em que o conector de saída foi criado.
COMPARTIMENTO
Ao criar um conector de saída, você especifica o compartimento em que ele reside. Um compartimento é um conjunto de recursos relacionados (como redes na nuvem, instâncias de computação ou sistemas de arquivos) que só podem ser acessados por esses grupos que receberam permissão de um administrador em sua organização. Você precisa do compartimento do seu conector de saída para usar a Interface da Linha de Comando (CLI) ou a API. Para obter mais informações, consulte Gerenciando Compartimentos.
DOMÍNIO DE DISPONIBILIDADE
Ao criar um conector de saída, você especifica o domínio de disponibilidade em que ele reside. Um domínio de disponibilidade é um ou mais data centers em uma região. Você precisa do domínio de disponibilidade de um conector de saída para usar a CLI ou a API. Para obter mais informações, consulte Regiões e Domínios de Disponibilidade.
TIPO DE CONECTOR
O tipo de conector de saída. O único tipo suportado é LDAPBIND.
NOME DO DNS DO SERVIDOR
O nome do domínio totalmente qualificado da instância em que o serviço LDAP está em execução.
PORT
a porta LDAPS do serviço LDAP.
NOME EXCLUSIVO DO BIND
O Nome Distinto LDAP usado para fazer log-in no servidor LDAP.
OCID DO SEGREDO
O OCID do segredo no Vault que contém a senha associada ao Nome Distinto do Bind.
VERSÃO DO SEGREDO
O número da versão do segredo da senha LDAP.