Configurar Autenticação e Autorização para Usuários do Active Directory
Configure o Oracle Cloud Infrastructure Identity and Access Management, configure a autenticação e a autorização do AD (Active Directory), configure a exportação NFS e configure as permissões do Unix.
Configurar Políticas do Oracle Cloud Infrastructure Identity and Access Management
Crie um grupo dinâmico no Oracle Cloud Infrastructure (OCI) Identity and Access Management e adicione políticas para permitir que os pontos de acesso NFS tenham acesso aos segredos LDAP e Kerberos. Isso é necessário para as configurações Kerberos e LDAP.
Configurar a Autenticação do Active Directory com o Kerberos
Depois de configurar o Oracle Cloud Infrastructure Identity and Access Management, você configurará o Active Directory. A configuração do Kerberos envolve duas etapas: Una o ponto de acesso NFS ao Active Directory da Microsoft e atualize as configurações do ponto de acesso NFS com a configuração do Kerberos.
Unir o Ponto de Acesso NFS ao Active Directory
Conclua esta tarefa quando a autenticação for necessária para usuários do Active Directory. Este é um processo manual executado fora do serviço Oracle Cloud Infrastructure File Storage. A associação do ponto de acesso NFS ao Active Directory da Microsoft envolve a adição de uma conta de computador ao Active Directory, a configuração da cifragem correta, a extração da keytab e a adição do ponto de acesso NFS ao DNS.
Configurar o Ponto de Acesso NFS para Kerberos
Crie um segredo para o keytab. O conteúdo secreto é a tabela de chaves codificada em base64 que você copiou quando entrou no ponto de acesso NFS com o Active Directory.
A seguir estão as etapas básicas necessárias para configurar o ponto de acesso NFS para o Kerberos:
- Una o ponto de acesso NFS ao Active Directory (etapa anterior).
- Configurar segredos do cofre de guias de chaves.
- Configure o Kerberos no ponto de acesso NFS.
Montar Exportação NFS Usando o Kerberos
O NFS Kerberos suporta os três mecanismos de segurança a seguir.
- krb5: Kerberos somente para autenticação.
- krb5i: Autenticado e usa hashes criptográficos com cada transação para garantir integridade. O tráfego ainda pode ser interceptado e examinado, mas não é possível fazer modificações no tráfego.
- krb5p: Autenticado e criptografado todo o tráfego entre o cliente e o servidor. O tráfego não pode ser inspecionado e não pode ser modificado.
C:\Users\fss-user-1>mount -o sec=krb5 fss-mt-ad-1.fss-ad.com:/krb-fs-1 T:
T: is now successfully connected to fss-mt-ad-1.fss-ad.com:/krb-fs-1
The command completed successfully.
sys
, krb5
, krb5i
e krb5p
) não for fornecido durante a montagem, o Windows escolherá o sabor de segurança superior definido na exportação. Use o comando mount
para verificar qual sabor o Windows selecionado quando a unidade foi montada.
C:\Users\fss-user-1>mount
Local Remote Properties
-------------------------------------------------------------------------------
T: \\fss-mt-ad-1.fss-ad.com\krb-fs-1 UID=0, GID=0
rsize=1048576, wsize=1048576
mount=soft, timeout=0.8
retry=1, locking=yes
fileaccess=755, lang=ANSI
casesensitive=no
sec=krb5
C:\Users\fss-user-1>whoami
fss-ad\fss-user-1
Agora você pode acessar a unidade do Windows Explorer. Observe que os mapeamentos de unidades de disco são feitos por usuário e cada usuário que acessa o compartilhamento do OCI File Storage deve mapear o compartilhamento para a respectiva letra de unidade de disco.
Configurar a Autorização do Active Directory para LDAP
Conclua esta tarefa quando a autorização LDAP for necessária para usuários do Active Directory. Reúna as informações necessárias do Active Directory, defina os atributos RFC2307 para todos os usuários e grupos que acessam o File Storage e, em seguida, configure o LDAP no ponto de acesso NFS.
Veja a seguir as etapas básicas necessárias para configurar a Autorização do Active Directory para LDAP:
- Obtenha detalhes da configuração de LDAP do Active Directory.
- Configurar segredo do usuário de conexão LDAP.
- Criar conector de saída.
- Configure o LDAP no ponto de acesso NFS.
Observação:
O ponto de acesso NFS não pode usar um certificado LDAP autoassinado.Configurar Exportação NFS
Configure as definições de exportação de acordo com os requisitos de autorização.
Permissão do Unix no Windows
O Oracle Cloud Infrastructure File Storage é acessado usando o protocolo NFSv3. A autorização é executada usando permissões do Unix.
ldp.exe
para consultar os atributos RFC2307 do usuário e do grupo para ver associações de uid, gid e grupo. As permissões do Unix são verificadas com base nas associações uid, gid e group armazenadas em LDAP.Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixAccount)(uid=fss-user-1))
Attributes: uidNumber;gidNumber
Use o Windows Explorer para ver qual proprietário e grupo possui o arquivo ou pasta e quais permissões são definidas no arquivo ou pasta. Você pode acessar atributos NFS (atributos Unix) nas propriedades de arquivos ou pastas.
fss-user-1
seja 500, o serviço OCI File Storage considerará todos os grupos que o usuário é membro para verificação de permissão. Use a consulta a seguir para localizar a associação do grupo do usuário fss-user-1
.
Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixGroup)(memberUid=fss-user-1))' gidNumber
Attributes: gidNumber
Criar Permissões da Pasta Inicial
Ao implementar, considere permissões de pasta.
O diretório raiz do OCI File Storage pertence ao uid 0 e às permissões 755 (rwx para root, r-x para root e r-x para outros). O acesso-raiz é necessário para criar pastas adicionais para usuários ou alterar permissões. É uma tarefa de administrador criar e configurar permissões iniciais que atendam aos requisitos.
Você pode usar um dos seguintes métodos para obter acesso de administrador ao sistema de arquivos:
- Todos os usuários são apenas usuários regulares, a menos que mapeados para uidNumber 0 e raiz não sejam agrupados. Mapeie um usuário admin para uidNumber 0 nos atributos LDAP do usuário.
- Exporte o sistema de arquivos com autenticação
SYS
para uma estação de trabalho Linux segura. Use o usuárioroot
para criar e gerenciar permissões.