Observação:

Configurar o Oracle Cloud Infrastructure File Storage Service com Controle de Acesso do Usuário do Active Directory

Introdução

Este tutorial fornece uma abordagem passo a passo para integrar usuários do Active Directory (AD) com mapeamento de ID de usuário exclusivo (UID)/ID de grupo (GID) para acesso seguro ao serviço de Armazenamento de Arquivos do OCI (Oracle Cloud Infrastructure) usando o cliente NFS (Windows Network File System). Ele garante a autenticação e o controle de acesso adequados, aproveitando as permissões do Active Directory, permitindo que as organizações restrinjam o acesso do sistema de arquivos a usuários e grupos específicos, mantendo a conformidade com as políticas de segurança da empresa.

Ativando o mapeamento de UID/GID no Active Directory e usando permissões de segurança do Windows, você pode:

Neste tutorial, criaremos um Armazenamento de Arquivos do OCI e um ponto de acesso NFS na mesma Rede Virtual na Nuvem (VCN) que seus Serviços de Domínio do Active Directory (AD DS) e a máquina virtual do Windows (VM) unida ao domínio para integração perfeita e controle de acesso da Tarefa 1 a 4 e ativar a integração do Active Directory para o OCI File Storage, criar usuários com mapeamentos UID/GID específicos e impor restrições de acesso no nível da pasta da Tarefa 5 a 8.

Objetivos

Pré-requisitos

Tarefa 1: Criar um Armazenamento de Arquivos do OCI

  1. Faça log-in na Console do OCI, navegue até Storage e clique em File Storage.

  2. Clique em Criar Sistema de Arquivos e insira as seguintes informações.

    • Compartimento: Selecione um compartimento apropriado.
    • Nome: informe um nome descritivo. Por exemplo, AD-Integrated-FSS.
  3. Clique em Criar para provisionar o sistema de arquivos.

Tarefa 2: Criar um Ponto de Acesso NFS na Mesma VCN

  1. Vá para a Console do OCI, navegue até File Storage e clique em Pontos de Acesso NFS.

  2. Clique em Criar Ponto de Acesso NFS e digite as seguintes informações.

    • Compartimento: Selecione o mesmo compartimento do Armazenamento de Arquivos do OCI.
    • Nome: Informe um nome. Por exemplo, AD-MountTarget.
    • Rede Virtual na Nuvem (VCN): Selecione a mesma VCN na qual o controlador de domínio e a VM associada ao domínio são implantados.
    • Sub-rede: Selecione uma sub-rede privada ou pública na VCN (certifique-se de que ela permita o tráfego NFS).
    • Nome do Host: Informe um nome de host para o ponto de acesso NFS.
  3. Clique em Criar Ponto de Acesso NFS e aguarde que ele seja provisionado.

    Create_FSS_Export

Tarefa 3: Configurar Regras de Segurança para Acesso NFS

  1. Vá para a Console do OCI, navegue até Rede, Redes Virtuais na Nuvem (VCN) e selecione sua VCN.

  2. Clique em Listas de Segurança e atualize as Regras de Entrada da sub-rede do ponto de acesso NFS com as informações a seguir.

    • CIDR de Origem: A sub-rede que contém o controlador de domínio e a VM associada ao domínio.
    • Protocolo: Selecione TCP.
    • Intervalo de Portas: Digite 2049 (para NFS).
  3. Adicione uma Regra de Saída para permitir tráfego de saída da sub-rede do ponto de acesso NFS com as informações a seguir.

    • CIDR de Destino: Digite 0.0.0.0/0.
    • Protocolo: Selecione TCP.
    • Port Range: Digite 2049.

    Se estiver usando grupos de segurança, certifique-se de que o controlador de domínio, a VM associada ao domínio e o ponto de acesso NFS estejam no mesmo grupo, com NFS (TCP 2049) e DNS (TCP/UDP 53) permitidos.

Tarefa 4: Verificar Conectividade

  1. Faça log-in na VM do Windows associada ao domínio.

  2. Teste a conectividade com o ponto de acesso NFS usando o comando ping ou nslookup.

    ping <MOUNT_TARGET_IP>
    nslookup <MOUNT_TARGET_HOSTNAME>
    

    Certifique-se de que o controlador de domínio e a VM do Windows possam resolver o nome do host do ponto de acesso NFS usando DNS.

Tarefa 5: Configurar Usuários do Active Directory com Atributos de UID/GID

  1. Abra Active Directory Users and Computers (ADUC).

  2. Em Controlador de Domínios, abra o ADUC (dsa.msc), clique em Exibir e ative os Recursos Avançados.

    ADUsers_Advance_Setting

  3. Crie Usuários com atributos RFC2307.

    1. Navegue até Usuários em seu domínio. Por exemplo, fs-ad.com.

    2. Crie os usuários a seguir e defina atributos RFC2307.

      Usuário Número do UID Número do GID Descrição
      fssadmin 0 0 Administrador do FSS
      applicationuser1 101 501 Usuário do Aplicativo 1
      applicationuser2 102 502 Usuário do Aplicativo 2

      ADUsers_set_uid

      ADUsers_set_gid

  4. Modificar os atributos do usuário.

    1. Clique com o botão direito do mouse em cada usuário e clique em Propriedades.

    2. Navegue até Editor de Atributos e atualize os seguintes atributos RFC2307.

      • objectClass: Adicione posixAccount.
      • uidNumber: Atribua valores da tabela na Tarefa 5.3.
      • gidNumber: Atribua valores da tabela na Tarefa 5.3.
      • uid: Defina como sAMAccountName.
    3. Clique em Aplicar e em OK.

Tarefa 6: Configurar Permissões do OCI File Storage

  1. Defina a pasta principal do OCI File Storage com o UID/GID 0 (acesso raiz para fssadmin).

    1. Vá para a Console do OCI, navegue até File Storage e clique em Sistemas de Arquivos.

    2. Clique na instância do OCI File Storage e selecione a pasta principal.

    3. Clique em Permissões Avançadas e especifique as informações a seguir.

      • UID: Digite 0.
      • GID: Digite 0.
  2. Crie e restrinja pastas específicas do aplicativo.

    1. Dentro da pasta principal do OCI File Storage, crie duas pastas com as informações a seguir.

      • Folder1: Para applicationuser1 com uid=101.
      • Folder2: Para applicationuser2 com uid=102.
    2. Clique em Opções Avançadas e defina permissões de pasta.

      • Folder1:

        • UID: Digite 101.
        • GID: Digite 501.
      • Folder2:

        • UID: Digite 102.
        • GID: Digite 502.

Tarefa 7: Montar o Armazenamento de Arquivos do OCI em VMs Windows Juntadas ao Domínio

  1. Faça log-in na VM do Windows associada ao domínio como applicationuser1 ou applicationuser2.

  2. Abra Prompt de Comando como Administrador.

  3. Monte o OCI File Storage usando o IP do ponto de acesso NFS.

    mount -o sec=sys Mount_Target_IP:/<EXPORT_PATH> S:
    

    Observação:

    • Substitua <MOUNT_TARGET_IP> pelo IP do ponto de acesso NFS.

    • Substitua <EXPORT_PATH> pelo caminho de exportação do OCI File Storage.

  4. Verifique a montagem usando o comando a seguir.

    net use
    

    Certifique-se de que S: esteja montado com sucesso.

    Mount_FSS_Export

Tarefa 8: Validar Restrições de Acesso à Pasta

Gerenciar Atributos de Arquivo no OCI File Storage para Evitar Anexo :Zone.Identifier no Windows

Problema: Anexo :Zone.Identifier aos arquivos do OCI File Storage no Windows.

Ao copiar arquivos para o OCI File Storage montado no Windows, um fluxo de dados alternativo (:Zone.Identifier) pode ser anexado a arquivos. Isso acontece porque o Windows usa metadados de identificador de zona para rastrear a zona de segurança de arquivos baixados, principalmente para evitar a execução de conteúdo potencialmente inseguro.

Como o OCI File Storage usa o protocolo NFS, que suporta atributos estendidos, mas não trata nativamente os fluxos de dados alternativos NTFS (ADS) específicos do Windows, esses fluxos :Zone.Identifier podem ser retidos involuntariamente quando os arquivos são copiados. Isso pode causar avisos de segurança inesperados ou problemas ao executar arquivos.

Para evitar isso, siga estas etapas em cada VM cliente que estiver acessando esta unidade de ponto de acesso NFS do OCI File Storage.

  1. Clique em Internet (inetcpl.cpl) na máquina cliente do domínio.

  2. Vá para a guia Segurança, selecione Intranet local e clique em Sites.

  3. Clique em Avançado e adicione o nome do host do ponto de acesso NFS do OCI File Storage (o ponto de montagem mss \fss-mount-target ou \IP-Address-FSS).

    Zone_Identifier_Issue_Solution

Confirmações

Mais Recursos de Aprendizagem

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal Oracle Learning YouTube. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.