Configurar Autenticação e Autorização para Usuários do Active Directory

Configure o Oracle Cloud Infrastructure Identity and Access Management, configure a autenticação e a autorização do AD (Active Directory), configure a exportação NFS e configure as permissões do Unix.

Configurar Políticas do Oracle Cloud Infrastructure Identity and Access Management

Crie um grupo dinâmico no Oracle Cloud Infrastructure (OCI) Identity and Access Management e adicione políticas para permitir que os pontos de acesso NFS tenham acesso aos segredos LDAP e Kerberos. Isso é necessário para as configurações Kerberos e LDAP.

Faça log-in no OCI.
Abra o menu de navegação e clique em Identidade e Segurança.
Clique em Grupo Dinâmico.
Clique em Criar grupo dinâmico e, em seguida, digite o Nome e a Descrição.
O nome deve ser exclusivo em todos os grupos de sua tenancy (grupos dinâmicos e grupos de usuários). Não é possível alterar o nome posteriormente. Evite digitar informações confidenciais.

Este exemplo usa o grupo ad-kerberos-mt-group para todos os pontos de acesso NFS no compartimento ad-kerberos.

Informe as Regras de Correspondência para definir os membros do grupo.

Por exemplo,

ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_ocid>' }

Clique em Criar.
Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Políticas.
Clique em Criar Política.
Digite um nome, uma descrição e o compartimento para a nova política.
O nome deve ser exclusivo entre todas as políticas da tenancy. Você não pode alterar isso posteriormente. Evite digitar informações confidenciais.
Use o Policy Builder para criar uma política para permitir o acesso ao ponto de acesso NFS a segredos no compartimento.
Este exemplo usa o grupo ad-kerberos-mt-group para todos os pontos de acesso NFS no compartimento ad-kerberos.
```
allow dynamic-group ad-kerberos-mt-group to read secret-family in compartment ad-kerberos
```
Clique em Criar.

Configurar a Autenticação do Active Directory com o Kerberos

Depois de configurar o Oracle Cloud Infrastructure Identity and Access Management, você configurará o Active Directory. A configuração do Kerberos envolve duas etapas: Una o ponto de acesso NFS ao Active Directory da Microsoft e atualize as configurações do ponto de acesso NFS com a configuração do Kerberos.

Unir o Ponto de Acesso NFS ao Active Directory

Conclua esta tarefa quando a autenticação for necessária para usuários do Active Directory. Este é um processo manual executado fora do serviço Oracle Cloud Infrastructure File Storage. A associação do ponto de acesso NFS ao Active Directory da Microsoft envolve a adição de uma conta de computador ao Active Directory, a configuração da cifragem correta, a extração da keytab e a adição do ponto de acesso NFS ao DNS.

Crie uma conta de computador para o ponto de acesso NFS (MT) no Active Directory.
Você pode criar a conta na linha de comando ou usar o snap-in Active Directory Users and Computers para criar uma nova conta de computador.
Command-Line
```
C:\Users\administrator>djoin /provision /domain fss-ad.com /machine fss-mt-ad-1 /savefile offlinedomainjoin.txt
```
```
Provisioning the computer...
Successfully provisioned [fss-mt-ad-1] in the domain [fss-ad.com].
…
The operation completed successfully.
```
Active Directory Users and Computers
1. Vá para o diretório Active Directory Users and Computers, expanda fs-ad.com e selecione Computadores.
2. Clique em Novo e, em seguida, clique em Computador.
3. Adicione fss-mt-ad-1.
  
  Uma vez feito isso, FSS-MT-AD-1 aparece na árvore Computers no snap-in Active Directory Users and Computers.

Crie uma tabela de chaves usando ktpass.exe.

Observação:

Abra o prompt de comando como Administrador para executar ktpass.exe. Caso contrário, falhará. AES256-SHA1 é o aes256-cts-hmac-sha1-96.

C:\>ktpass -princ nfs/fss-mt-ad-1.fss-ad.com@FSS-AD.COM -mapuser FSS-AD\fss-mt-ad-1 -crypto AES256-SHA1 +rndpass -ptype KRB5_NT_SRV_HST  -out fss-mt-ad-1.keytab
Targeting domain controller: ad-server.fss-ad.com
Successfully mapped nfs/fss-mt-ad-1.fss-ad.com to FSS-MT-AD-1$.
WARNING: Account FSS-MT-AD-1$ is not a user account (uacflags=0x1001).
WARNING: Resetting FSS-MT-AD-1$'s password may cause authentication problems if FSS-MT-AD-1$ is being used as a server.

Reset AD-FSS-MT-2$'s password [y/n]?  y
Password successfully set!
Key created.
Output keytab to fss-mt-ad-1.keytab:
Keytab version: 0x502
keysize 88 nfs/fss-mt-ad-1.fss-ad.com@FSS-AD.COM ptype 3 (KRB5_NT_SRV_HST) vno 2 etype 0x12 (AES256-SHA1) keylength 32

Converta a guia-chave em base64 para usar com a guia-chave ao configurar o Kerberos no destino de montagem.
```
C:\>certutil.exe -encode fss-mt-ad-1.keytab keytab.txt
Input Length = 94
Output Length = 188
CertUtil: -encode command completed successfully.

C:\>notepad keytab.txt
```
1. Abra o arquivo keytab.txt em um bloco de notas.
2. Remova as linhas BEGIN e END CERTIFICATE.
3. Copie o texto base64 para uma linha longa contínua sem espaço em uma única linha.
  Você precisará do texto base64 quando configurar os segredos do ponto de acesso NFS para Kerberos posteriormente.
Modifique o atributo de ponto de acesso NFS (MT) no Active Directory para usar cifras mais seguras. Localize a conta MT e altere o valor do atributo msDS-SupportedEncryptionTypes para 24 para aes256-cts-hmac-sha1-96.
O Active Directory fornece tíquetes com a cifra RC4 por padrão. Se o atributo msDS-SupportedEncryptionTypes não existir, crie um e defina os valores.
Abra o Gerenciador DNS e expanda a árvore do Servidor DNS.
Adicione as Zonas de Pesquisa de Encaminhamento para o Ponto de Acesso NFS. Informe o endereço IP, selecione Criar registro de ponteiro associado (PTR) e clique em Adicionar Host.

Configurar o Ponto de Acesso NFS para Kerberos

Crie um segredo para o keytab. O conteúdo secreto é a tabela de chaves codificada em base64 que você copiou quando entrou no ponto de acesso NFS com o Active Directory.

A seguir estão as etapas básicas necessárias para configurar o ponto de acesso NFS para o Kerberos:

Una o ponto de acesso NFS ao Active Directory (etapa anterior).
Configurar segredos do cofre de guias de chaves.
Configure o Kerberos no ponto de acesso NFS.

Vá para a Console do Oracle Cloud Infrastructure (OCI) e abra o menu de navegação.
Clique em Identidade e Segurança e, em seguida, clique em Vault.
Em Escopo da lista, selecione o compartimento no qual você deseja criar um segredo.
Este exemplo usa o compartimento ad-kerberos.
Em Recursos, clique em Segredos e em Criar Segredo.
Digite as seguintes informações no painel Criar Segredo:
Evite digitar qualquer informação confidencial.
1. Nome: Digite um nome para identificar o segredo. Por exemplo, fss-mt-ad-1-keytab-secret.
2. Descrição: Informe uma breve descrição do segredo para ajudar a identificá-lo. Por exemplo, Keytab para fss-mt-ad-1.
3. Chave de Criptografia: Selecione a chave de criptografia principal que você deseja usar para criptografar o conteúdo do segredo enquanto ele é importado para o vault. Por exemplo, mount-target-secrets.
  A chave deve pertencer ao mesmo vault. A chave também deve ser uma chave simétrica. Você não pode criptografar segredos do vault com chaves assimétricas.
4. Modelo de Tipo de Segredo: Base64.
5. Conteúdo do Segredo: Informe o conteúdo do segredo.
  Esta é a guia de chave codificada em base64 que você salvou anteriormente quando converteu a guia de chave em base64 como parte da junção do ponto de acesso NFS para o Active Directory.
Clique em Criar Segredo.
Vá para a guia NFS do ponto de acesso NFS.
1. Clique em Armazenamento no menu de navegação.
2. Em Armazenamento de Arquivos, clique em Destinos de Montagem.
3. Na seção de escopo Lista, em Compartimento, selecione um compartimento.
  Por exemplo, ad-kerberos.
4. Localize o ponto de acesso NFS e clique na guia NFS.
Clique em Gerenciar ao lado do Kerberos na guia NFS.
Selecione o segredo e a versão do keytab e clique em Validar keytab, exiba os resultados e salve. Selecione Ativar Kerberos.
Neste exemplo, o Segredo da Keytab no compartimento ad-kerberos é fss-mt-ad-1-keytab-secret e a Versão Secreta da keytab Atual é 1.

Montar Exportação NFS Usando o Kerberos

O NFS Kerberos suporta os três mecanismos de segurança a seguir.

krb5: Kerberos somente para autenticação.
krb5i: Autenticado e usa hashes criptográficos com cada transação para garantir integridade. O tráfego ainda pode ser interceptado e examinado, mas não é possível fazer modificações no tráfego.
krb5p: Autenticado e criptografado todo o tráfego entre o cliente e o servidor. O tráfego não pode ser inspecionado e não pode ser modificado.

C:\Users\fss-user-1>mount -o sec=krb5 fss-mt-ad-1.fss-ad.com:/krb-fs-1 T:
T: is now successfully connected to fss-mt-ad-1.fss-ad.com:/krb-fs-1

The command completed successfully.

Se um sabor de segurança (sys, krb5, krb5i e krb5p) não for fornecido durante a montagem, o Windows escolherá o sabor de segurança superior definido na exportação. Use o comando mount para verificar qual sabor o Windows selecionado quando a unidade foi montada.

C:\Users\fss-user-1>mount

Local    Remote                                 Properties
-------------------------------------------------------------------------------
T:       \\fss-mt-ad-1.fss-ad.com\krb-fs-1      UID=0, GID=0
                                                rsize=1048576, wsize=1048576
                                                mount=soft, timeout=0.8
                                                retry=1, locking=yes
                                                fileaccess=755, lang=ANSI
                                                casesensitive=no
                                                sec=krb5


C:\Users\fss-user-1>whoami
fss-ad\fss-user-1

Agora você pode acessar a unidade do Windows Explorer. Observe que os mapeamentos de unidades de disco são feitos por usuário e cada usuário que acessa o compartilhamento do OCI File Storage deve mapear o compartilhamento para a respectiva letra de unidade de disco.

Configurar a Autorização do Active Directory para LDAP

Conclua esta tarefa quando a autorização LDAP for necessária para usuários do Active Directory. Reúna as informações necessárias do Active Directory, defina os atributos RFC2307 para todos os usuários e grupos que acessam o File Storage e, em seguida, configure o LDAP no ponto de acesso NFS.

Veja a seguir as etapas básicas necessárias para configurar a Autorização do Active Directory para LDAP:

Obtenha detalhes da configuração de LDAP do Active Directory.
Configurar segredo do usuário de conexão LDAP.
Criar conector de saída.
Configure o LDAP no ponto de acesso NFS.

Observação:

O ponto de acesso NFS não pode usar um certificado LDAP autoassinado.

Obtenha os sistemas que hospedam o LDAP do DNS e salve-o para uma etapa posterior.

Neste exemplo, o sistema é fss-ad.com.

C:\Users\administrator>nslookup -type=srv _ldap._tcp.fss-ad.com
Server:  localhost
Address:  ::1
_ldap._tcp.fss-ad.com   SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = ad-server.fss-ad.com
    ad-server.fss-ad.com    internet address = 10.9.1.194

No Active Directory, localize a base de pesquisa de atributo distinguishedName (DN) para usuários e grupos.
1. Vá para o diretório Active Directory Users and Computers, expanda fs-ad.com.
2. Clique em Usuários.
Obtenha o DN de usuário de conexão LDAP.

Observação:
Este usuário pode ser um usuário menos privilegiado com recursos de pesquisa de diretório. A senha deste usuário também é necessária posteriormente para configurar o conector de saída.
1. Selecione ldap-user.
2. Clique na guia Editor de Atributos.
3. Selecione o atributo distinguishedName.
4. Copie o valor e salve-o para uma etapa posterior.
Verifique os atributos RFC2307 de todos os usuários e grupos que acessam o OCI File Storage.
Consulte "Configurar Atributos RFC2307 no Active Directory" para obter instruções e a tabela de atributos RFC2307.
Crie um segredo para o usuário de conexão LDAP descoberto na etapa 3 acima.
O segredo contém a senha a ser vinculada pelo usuário LDAP. O formato deve ser texto sem formatação.
Configurar um Conector de Saída. O Conector de Saída está disponível na página Armazenamento de Arquivos em Recursos Adicionais. Crie a saída no mesmo AD do ponto de acesso NFS.
1. Informe o nome do DNS.
  Por exemplo, ad-server.fss.ad.com.
2. Insira a porta DSAPS do serviço LDAP.
  Por exemplo, 636.
3. Informe o nome distinto de vinculação.
  Este é o usuário LDAP para fazer log-in no servidor LDAP. Por exemplo, CN=ldap-user,CN=Users, DC=fss-ad, DC=com.
4. Selecione o vault no compartimento no qual seus Segredos são armazenados.
  Por exemplo, krb-vault no compartimento ad-kerberos.
5. Selecione o Segredo no compartimento.
  Por exemplo, fss-mt-ad-1-ldap-password no compartimento ad-kerberos.
6. Selecione a versão do Segredo.
  Por exemplo, 1.
7. Clique em Criar.
Configure o LDAP para o ponto de acesso NFS.
Você usará o Conector de Saída da etapa anterior.
1. Clique em orage no menu de navegação. Em File Storage, clique em Pontos de Acesso NFS.
2. Selecione um compartimento.
  Por exemplo, ad-kerberos.
3. Localize o ponto de acesso NFS, clique na guia NFS e, em seguida, clique em Gerenciar LDAP.
4. Informe a base de pesquisa nos campos Base de pesquisa para usuários e Base de pesquisa para grupos.
  
  Observação:
  
  A base de pesquisa do usuário e do grupo é o DN obtido dos usuários e do contêiner do grupo do Active Directory.
  
  Por exemplo, Pesquisar base para usuários: CN=Users,DC=fss-ad,DC=com e Pesquisar base para grupos: CN=Users,DC=fss-ad,DC=com.
5. Informe os intervalos de cache e selecione o conector de saída criado no campo Conector de Saída 1.
  Neste exemplo, o Intervalo de atualização do cache, o Tempo de vida do cache e o Tempo de vida do cache negativo são 300 segundos. A conta LDAP no Conector de Saída 1 é fss-ad-ob-1.
6. Salve as definições.

Configurar Exportação NFS

Configure as definições de exportação de acordo com os requisitos de autorização.

Quando a autorização LDAP não é necessária e para mapear todos os usuários autenticados para um único uid/gid, defina as seguintes configurações para agrupar todos os usuários. Use as opções de Exportação do cliente NFS para controlar como os clientes podem acessar o sistema de arquivos. Edite as seguintes configurações para agrupar todos os usuários.
1. Acesso anônimo: Selecione Não permitido
2. Formar: Selecione Sim
3. UID da Squash: Digite 99
4. GID de Quantidade: Informe 99
Com essas definições, todos os usuários autenticados receberão o id de usuário 99 e o id de grupo 99. Nenhuma pesquisa LDAP executada.
Quando os usuários tiverem que ser autorizados usando o LDAP, use as opções de Exportação NFS para mapear os principais do Kerberos para Usuários do Unix.
1. Acesso anônimo: Selecione Permitido
2. Formar: Selecionar Nenhum
3. UID da Squash: Digite 199
4. GID de Quantidade: Informe 199
Com essas configurações, todos os usuários do Kerberos são mapeados para o ID de usuário, o ID de grupo e a associação de grupo do LDAP do Unix. Se o usuário não estiver presente no LDAP, o mapeamento anônimo será usado e o usuário será mapeado para o ID de usuário 199 e o ID de grupo 199 do Unix. Se o acesso anônimo estiver desativado e se o usuário Kerberos não existir no LDAP, um erro de acesso negado será fornecido ao usuário que está acessando o compartilhamento.

Permissão do Unix no Windows

O Oracle Cloud Infrastructure File Storage é acessado usando o protocolo NFSv3. A autorização é executada usando permissões do Unix.

Você pode usar a ferramenta ldp.exe para consultar os atributos RFC2307 do usuário e do grupo para ver associações de uid, gid e grupo. As permissões do Unix são verificadas com base nas associações uid, gid e group armazenadas em LDAP.

Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com 
Filter: (&(objectClass=posixAccount)(uid=fss-user-1))
Attributes: uidNumber;gidNumber

Use o Windows Explorer para ver qual proprietário e grupo possui o arquivo ou pasta e quais permissões são definidas no arquivo ou pasta. Você pode acessar atributos NFS (atributos Unix) nas propriedades de arquivos ou pastas.

Embora o grupo principal do usuário fss-user-1 seja 500, o serviço OCI File Storage considerará todos os grupos que o usuário é membro para verificação de permissão. Use a consulta a seguir para localizar a associação do grupo do usuário fss-user-1.

Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com 
Filter: (&(objectClass=posixGroup)(memberUid=fss-user-1))' gidNumber
Attributes: gidNumber

Criar Permissões da Pasta Inicial

Ao implementar, considere permissões de pasta.

O diretório raiz do OCI File Storage pertence ao uid 0 e às permissões 755 (rwx para root, r-x para root e r-x para outros). O acesso-raiz é necessário para criar pastas adicionais para usuários ou alterar permissões. É uma tarefa de administrador criar e configurar permissões iniciais que atendam aos requisitos.

Você pode usar um dos seguintes métodos para obter acesso de administrador ao sistema de arquivos:

Todos os usuários são apenas usuários regulares, a menos que mapeados para uidNumber 0 e raiz não sejam agrupados. Mapeie um usuário admin para uidNumber 0 nos atributos LDAP do usuário.
Exporte o sistema de arquivos com autenticação SYS para uma estação de trabalho Linux segura. Use o usuário root para criar e gerenciar permissões.