Observação:
- Este tutorial requer acesso ao Oracle Cloud. Para se inscrever em uma conta gratuita, consulte Conceitos Básicos do Oracle Cloud Infrastructure Free Tier.
- Ele usa valores de exemplo para credenciais, tenancy e compartimentos do Oracle Cloud Infrastructure. Ao concluir seu laboratório, substitua esses valores por valores específicos do seu ambiente de nuvem.
Configurar o Oracle Cloud Infrastructure File Storage Service com Controle de Acesso do Usuário do Active Directory
Introdução
Este tutorial fornece uma abordagem passo a passo para integrar usuários do Active Directory (AD) com mapeamento de ID de usuário exclusivo (UID)/ID de grupo (GID) para acesso seguro ao serviço de Armazenamento de Arquivos do OCI (Oracle Cloud Infrastructure) usando o cliente NFS (Windows Network File System). Ele garante a autenticação e o controle de acesso adequados, aproveitando as permissões do Active Directory, permitindo que as organizações restrinjam o acesso do sistema de arquivos a usuários e grupos específicos, mantendo a conformidade com as políticas de segurança da empresa.
Ativando o mapeamento de UID/GID no Active Directory e usando permissões de segurança do Windows, você pode:
-
Restrinja o acesso do OCI File Storage a usuários/grupos específicos do Active Directory.
-
Certifique-se de que a propriedade do arquivo e o controle de acesso estejam aplicados corretamente.
-
Permitir que clientes Windows baseados em NFS interajam com segurança com o OCI File Storage.
Neste tutorial, criaremos um Armazenamento de Arquivos do OCI e um ponto de acesso NFS na mesma Rede Virtual na Nuvem (VCN) que seus Serviços de Domínio do Active Directory (AD DS) e a máquina virtual do Windows (VM) unida ao domínio para integração perfeita e controle de acesso da Tarefa 1 a 4 e ativar a integração do Active Directory para o OCI File Storage, criar usuários com mapeamentos UID/GID específicos e impor restrições de acesso no nível da pasta da Tarefa 5 a 8.
Objetivos
-
Integre usuários do Active Directory ao mapeamento de UID/GID para acessar com segurança o OCI File Storage usando o cliente NFS do Windows, impondo o controle de acesso com base nas permissões do Active Directory.
-
Crie um Armazenamento de Arquivos do OCI.
-
Configure um ponto de acesso NFS na mesma VCN do controlador de domínio e da VM do Windows.
-
Garanta as regras de segurança adequadas para o acesso NFS.
-
Monte o sistema de arquivos na VM do Windows.
-
Preparar o controle de acesso baseado no Active Directory.
-
Crie usuários do AD com atributos de UID/GID.
-
Configure o OCI File Storage com controle de acesso no nível da pasta.
-
Monte o OCI File Storage em VMs unidas ao domínio.
-
Validar restrições de acesso baseadas no usuário.
Essa configuração garante a integração perfeita do Active Directory com o OCI File Storage, permitindo o compartilhamento seguro de arquivos e o acesso controlado com base em mapeamentos UID/GID. Essa configuração garante um controle de acesso seguro com base em função para o serviço OCI File Storage usando a autenticação do Active Directory e o mapeamento de UID/GID.
-
Pré-requisitos
-
OCI File Storage com um ponto de acesso NFS configurado.
-
AD DS com atributos
RFC2307
ativados. -
Cliente NFS do Windows instalado em máquinas unidas ao domínio.
-
O controlador de domínio do Active Directory e o ponto de acesso NFS do OCI File Storage devem estar na mesma VCN de rede.
Tarefa 1: Criar um Armazenamento de Arquivos do OCI
-
Faça log-in na Console do OCI, navegue até Storage e clique em File Storage.
-
Clique em Criar Sistema de Arquivos e insira as seguintes informações.
- Compartimento: Selecione um compartimento apropriado.
- Nome: informe um nome descritivo. Por exemplo,
AD-Integrated-FSS
.
-
Clique em Criar para provisionar o sistema de arquivos.
Tarefa 2: Criar um Ponto de Acesso NFS na Mesma VCN
-
Vá para a Console do OCI, navegue até File Storage e clique em Pontos de Acesso NFS.
-
Clique em Criar Ponto de Acesso NFS e digite as seguintes informações.
- Compartimento: Selecione o mesmo compartimento do Armazenamento de Arquivos do OCI.
- Nome: Informe um nome. Por exemplo,
AD-MountTarget
. - Rede Virtual na Nuvem (VCN): Selecione a mesma VCN na qual o controlador de domínio e a VM associada ao domínio são implantados.
- Sub-rede: Selecione uma sub-rede privada ou pública na VCN (certifique-se de que ela permita o tráfego NFS).
- Nome do Host: Informe um nome de host para o ponto de acesso NFS.
-
Clique em Criar Ponto de Acesso NFS e aguarde que ele seja provisionado.
Tarefa 3: Configurar Regras de Segurança para Acesso NFS
-
Vá para a Console do OCI, navegue até Rede, Redes Virtuais na Nuvem (VCN) e selecione sua VCN.
-
Clique em Listas de Segurança e atualize as Regras de Entrada da sub-rede do ponto de acesso NFS com as informações a seguir.
- CIDR de Origem: A sub-rede que contém o controlador de domínio e a VM associada ao domínio.
- Protocolo: Selecione TCP.
- Intervalo de Portas: Digite
2049
(para NFS).
-
Adicione uma Regra de Saída para permitir tráfego de saída da sub-rede do ponto de acesso NFS com as informações a seguir.
- CIDR de Destino: Digite
0.0.0.0/0
. - Protocolo: Selecione TCP.
- Port Range: Digite
2049
.
Se estiver usando grupos de segurança, certifique-se de que o controlador de domínio, a VM associada ao domínio e o ponto de acesso NFS estejam no mesmo grupo, com NFS (TCP
2049
) e DNS (TCP/UDP53
) permitidos. - CIDR de Destino: Digite
Tarefa 4: Verificar Conectividade
-
Faça log-in na VM do Windows associada ao domínio.
-
Teste a conectividade com o ponto de acesso NFS usando o comando
ping
ounslookup
.ping <MOUNT_TARGET_IP> nslookup <MOUNT_TARGET_HOSTNAME>
Certifique-se de que o controlador de domínio e a VM do Windows possam resolver o nome do host do ponto de acesso NFS usando DNS.
Tarefa 5: Configurar Usuários do Active Directory com Atributos de UID/GID
-
Abra Active Directory Users and Computers (ADUC).
-
Em Controlador de Domínios, abra o ADUC (
dsa.msc
), clique em Exibir e ative os Recursos Avançados. -
Crie Usuários com atributos
RFC2307
.-
Navegue até Usuários em seu domínio. Por exemplo,
fs-ad.com
. -
Crie os usuários a seguir e defina atributos
RFC2307
.Usuário Número do UID Número do GID Descrição fssadmin 0 0 Administrador do FSS applicationuser1 101 501 Usuário do Aplicativo 1 applicationuser2 102 502 Usuário do Aplicativo 2
-
-
Modificar os atributos do usuário.
-
Clique com o botão direito do mouse em cada usuário e clique em Propriedades.
-
Navegue até Editor de Atributos e atualize os seguintes atributos
RFC2307
.- objectClass: Adicione
posixAccount
. - uidNumber: Atribua valores da tabela na Tarefa 5.3.
- gidNumber: Atribua valores da tabela na Tarefa 5.3.
- uid: Defina como
sAMAccountName
.
- objectClass: Adicione
-
Clique em Aplicar e em OK.
-
Tarefa 6: Configurar Permissões do OCI File Storage
-
Defina a pasta principal do OCI File Storage com o UID/GID
0
(acesso raiz parafssadmin
).-
Vá para a Console do OCI, navegue até File Storage e clique em Sistemas de Arquivos.
-
Clique na instância do OCI File Storage e selecione a pasta principal.
-
Clique em Permissões Avançadas e especifique as informações a seguir.
- UID: Digite
0
. - GID: Digite
0
.
- UID: Digite
-
-
Crie e restrinja pastas específicas do aplicativo.
-
Dentro da pasta principal do OCI File Storage, crie duas pastas com as informações a seguir.
- Folder1: Para
applicationuser1
comuid=101
. - Folder2: Para
applicationuser2
comuid=102
.
- Folder1: Para
-
Clique em Opções Avançadas e defina permissões de pasta.
-
Folder1:
- UID: Digite
101
. - GID: Digite
501
.
- UID: Digite
-
Folder2:
- UID: Digite
102
. - GID: Digite
502
.
- UID: Digite
-
-
Tarefa 7: Montar o Armazenamento de Arquivos do OCI em VMs Windows Juntadas ao Domínio
-
Faça log-in na VM do Windows associada ao domínio como
applicationuser1
ouapplicationuser2
. -
Abra Prompt de Comando como Administrador.
-
Monte o OCI File Storage usando o IP do ponto de acesso NFS.
mount -o sec=sys Mount_Target_IP:/<EXPORT_PATH> S:
Observação:
-
Substitua
<MOUNT_TARGET_IP>
pelo IP do ponto de acesso NFS. -
Substitua
<EXPORT_PATH>
pelo caminho de exportação do OCI File Storage.
-
-
Verifique a montagem usando o comando a seguir.
net use
Certifique-se de que
S:
esteja montado com sucesso.
Tarefa 8: Validar Restrições de Acesso à Pasta
-
Verificação de Acesso do Usuário
-
applicationuser1
:- Acesso: Pode ler e gravar em Folder1 (UID:
101
). - Restrição: não é possível criar arquivos dentro de Folder2 (UID:
102
).
- Acesso: Pode ler e gravar em Folder1 (UID:
-
applicationuser2
:- Acesso: Pode ler e gravar em Folder2 (UID:
102
). - Restrição: não é possível criar arquivos dentro de Folder1 (UID:
101
).
- Acesso: Pode ler e gravar em Folder2 (UID:
Além disso, os usuários não podem criar novas pastas na pasta principal do OCI File Storage, garantindo uma aplicação rigorosa do controle de acesso.
-
-
Configurando o Controle de Acesso Baseado em Grupo para o OCI File Storage (FSS)
Para conceder a um grupo de usuários acesso a uma pasta específica no OCI File Storage (FSS), designe o mesmo GID a todos os usuários do grupo, mantendo seus UIDs exclusivos. Ao criar a pasta no OCI FSS, defina apenas o GID nas Opções Avançadas para corresponder ao GID do grupo designado (Exemplo: GID 501). Isso garante que todos os usuários do grupo possam montar o FSS e acessar a pasta designada, mantendo as identidades individuais dos usuários.
-
Impor Controle de Acesso com o Active Directory
Quando os usuários fazem log-in em uma VM associada ao domínio, eles podem montar a unidade e acessar apenas as pastas do Sistema de Arquivos do OCI para as quais estão autorizados. Qualquer tentativa de acessar ou modificar pastas não autorizadas será restrita com base em permissões definidas.
O controle de acesso é gerenciado centralmente por meio do Active Directory, permitindo que apenas administradores de domínio e administradores de sistema de arquivos (GID/UID:
0
) tenham controle total sobre as pastas do OCI File Storage. Isso garante um modelo de permissão estruturado e seguro. -
Fortaleça a Segurança com Opções de Exportação
Para aumentar ainda mais a segurança, as opções de exportação do OCI devem ser configuradas para permitir o acesso apenas de endereços IP específicos verificados. Restringindo o acesso do ponto de acesso NFS a IPs conhecidos e autorizados, o acesso por padrão a sistemas não autorizados é negado, tornando essa abordagem uma das maneiras mais seguras de controlar o acesso ao OCI File Storage.
Gerenciar Atributos de Arquivo no OCI File Storage para Evitar Anexo :Zone.Identifier
no Windows
Problema: Anexo :Zone.Identifier
aos arquivos do OCI File Storage no Windows.
Ao copiar arquivos para o OCI File Storage montado no Windows, um fluxo de dados alternativo (:Zone.Identifier
) pode ser anexado a arquivos. Isso acontece porque o Windows usa metadados de identificador de zona para rastrear a zona de segurança de arquivos baixados, principalmente para evitar a execução de conteúdo potencialmente inseguro.
Como o OCI File Storage usa o protocolo NFS, que suporta atributos estendidos, mas não trata nativamente os fluxos de dados alternativos NTFS (ADS) específicos do Windows, esses fluxos :Zone.Identifier
podem ser retidos involuntariamente quando os arquivos são copiados. Isso pode causar avisos de segurança inesperados ou problemas ao executar arquivos.
Para evitar isso, siga estas etapas em cada VM cliente que estiver acessando esta unidade de ponto de acesso NFS do OCI File Storage.
-
Clique em Internet (
inetcpl.cpl
) na máquina cliente do domínio. -
Vá para a guia Segurança, selecione Intranet local e clique em Sites.
-
Clique em Avançado e adicione o nome do host do ponto de acesso NFS do OCI File Storage (o ponto de montagem mss
\fss-mount-target
ou\IP-Address-FSS
).
Links Relacionados
-
Configurar Armazenamento de Arquivos para Usuários do Microsoft Windows Active Directory
-
Montando o Sistema de Arquivos com base no Prompt de Comando do Windows Server
Confirmações
- Autors - Akarsha I K (Arquiteto de Nuvem), Mayank Kakani (Arquiteto de Nuvem)
Mais Recursos de Aprendizagem
Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal Oracle Learning YouTube. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.
Para obter a documentação do produto, visite o Oracle Help Center.
Configure Oracle Cloud Infrastructure File Storage Service with Active Directory User Access Control
G27604-01
February 2025
Copyright ©2025, Oracle and/or its affiliates.