1. Configurar o OCI File Storage Service para usuários do Windows Active Directory
  2. Configurar Armazenamento de Arquivos para Usuários do Microsoft Windows Active Directory

Configurar Armazenamento de Arquivos para Usuários do Microsoft Windows Active Directory

Você pode integrar o Armazenamento de Arquivos do Oracle Cloud Infrastructure (OCI) ao Microsoft Windows Active Directory para autenticar e autorizar usuários do Windows.

Os aplicativos executados em servidores Windows geralmente precisam acessar o armazenamento compartilhado simultaneamente para suportar alta disponibilidade e arquitetura de processamento distribuído. Os usuários do Windows também precisam de armazenamento compartilhado para colaborar com outros usuários. Em alguns casos, é necessário compartilhar dados entre sistemas Linux e Windows.

O Windows e o Linux devem usar o NFS, pois ele é o único protocolo de compartilhamento de arquivos disponível no OCI File Storage hoje mesmo. Os clientes estão usando as seguintes soluções alternativas para ativar a autenticação do Active Directory para usuários do Windows com o OCI File Storage:
  • Exporte novamente o sistema de arquivos do OCI File Storage usando o SAMBA em outra instância de computação
  • Crie uma infraestrutura separada para compartilhamento de arquivos do Windows

Os sistemas operacionais Windows a partir do Windows 7 e do Windows Server 2008 têm suporte NFS (Network File System) com o cliente NFS ativado por padrão em versões posteriores.

Antes de Começar

Este manual de soluções pressupõe que você tenha um ambiente do Active Directory e tenha acesso a um controlador de domínio com RDP (Remote Desktop Protocol). Você pode configurar a autenticação sozinho (Kerberos), o LDAP sozinho (autorização sozinha) ou ambos juntos.

Este manual de soluções é uma referência, destinada a demonstrar os requisitos de configuração. Envolva-se com seus respectivos administradores (Windows, Active Directory e Oracle Cloud Infrastructure) para planejar e modificar essa solução de acordo com o ambiente e as melhores práticas da sua organização.

Arquitetura

Essa arquitetura mostra o Microsoft Windows e os serviços em um data center gerenciado pelo cliente e como eles interagem com o ponto de acesso NFS e o Oracle Cloud Infrastructure File Storage localizados no OCI (Oracle Cloud Infrastructure).

Um ambiente de compartilhamento de arquivos do serviço OCI File Storage requer conectividade de rede com o servidor LDAP e integração com sua infraestrutura Kerberos, LDAP e DNS.

Veja a seguir a descrição da ilustração file-storage-windows-ad.png
Descrição da ilustração file-storage-windows-ad.png

file-storage-windows-ad-oracle.zip

A arquitetura usa os seguintes métodos de comunicação:
  • A: comunicação do cliente NFS com ponto de acesso NFS por meio da porta TCP 2048, 2049 e 2050.
  • B: O Cliente NFS fala com o DNS por meio da porta TCP e UDP 53, LDAP sobre a porta 389 ou LDAPS na porta 636. Kerberos sobre a porta TCP e UDP 88.
  • C: Monte a comunicação do destino com o DNS por meio da porta TCP e UDP 53 e LDAP pela porta TCP 636. O ponto de acesso NFS requer que o servidor LDAP tenha um certificado adequado por uma autoridade de certificado adequada. Certificados assinados automaticamente não são aceitos
  • D: Comunicação interna entre o ponto de acesso NFS e o sistema de arquivos no serviço OCI File Storage (infraestrutura Gerenciada pela Oracle).

Essa arquitetura oferece suporte aos seguintes componentes em um data center gerenciado pelo cliente:

  • servidor DNS

    Permite que o ponto de acesso NFS e outros sistemas pesquisem nomes de host, incluindo o servidor LDAP. O servidor DNS é uma entidade gerenciada pelo cliente que fica fora do serviço OCI File Storage. O servidor DNS pode estar localizado na mesma VCN do ponto de acesso NFS, em outra VCN na mesma região ou em outra ou no local. O serviço DNS requer a porta TCP e UDP 53 aberta no firewall.

  • LDAP

    LDAP é o serviço de diretório no qual pontos de acesso NFS e outros sistemas obtêm atributos para os usuários e grupos. Semelhante ao servidor DNS, essa é uma entidade gerenciada pelo cliente e pode ser localizada em qualquer lugar com conectividade com a porta 636 (LDAPS). O Active Directory usa LDAP para serviços de diretório e ponto de acesso NFS usa esses serviços LDAP para autorização do usuário.

  • Kerberos

    O Kerberos é um protocolo de autenticação segura padrão do setor que facilita a autenticação, a integridade dos dados e a criptografia em trânsito. O Kerberos faz parte da infraestrutura do Active Directory e é a autenticação padrão usada pelos usuários do Windows.

  • Diretório Ativo

    O Active Directory é um serviço de diretório para um domínio do Microsoft Windows. Ele permite o gerenciamento centralizado de domínios e vários serviços de identidade baseados em diretório. Os controladores de domínio hospedam os serviços do Active Directory para autenticar e autorizar todos os usuários e computadores no ambiente Windows. Ele implementa o protocolo Kerberos padrão para autenticação que o ponto de acesso NFS usa para autenticar e autorizar usuários do Windows. Esta é uma entidade gerenciada pelo cliente semelhante ao DNS que fica fora do serviço OCI File Storage.

Essa arquitetura suporta os seguintes componentes no OCI:

  • Ponto de acesso NFS

    O ponto de acesso NFS é um componente do OCI File Storage. Ele fica na VCN do cliente e fornece um endereço IP para que os clientes montem o sistema de arquivos.

  • Armazenamento de arquivos

    O serviço Oracle Cloud Infrastructure File Storage fornece um sistema de arquivos de rede durável, escalável e seguro e de nível empresarial. Você pode se conectar a um sistema de arquivos do serviço File Storage de qualquer instância bare metal, de máquina virtual ou de contêiner em uma VCN. Você também pode acessar um sistema de arquivos de fora da VCN usando o Oracle Cloud Infrastructure FastConnect e a IPSec VPN.

Modos de Operação

Com a integração do Kerberos e do LDAP com o File Storage Service, você pode configurar o compartilhamento de arquivos do Windows de uma das seguintes maneiras:

  1. Acesso NFS simples por instâncias do Windows sem autenticação.

    Monte o File Storage de instâncias do Windows sem configuração adicional no ponto de acesso NFS.

    Os usuários e aplicativos do Windows podem acessar o File Storage com um ID de usuário e ID de grupo configurados no registro do Windows, não é necessária nenhuma configuração LDAP ou Kerberos para esse modo de operação. Para obter mais informações, consulte Montando Sistemas de Arquivos com Base em Instâncias do Windows.

  2. Autentique usuários sem autorização.

    Configure o Kerberos para autenticar usuários usando o Active Directory. Todos os usuários autenticados são mapeados para um único id de usuário e id de grupo usando o agrupamento de usuários da exportação do File Storage. Esse id de usuário e id de grupo são usados para autorizar o acesso a arquivos e pastas no File Storage. Esse modo de operação pode simplificar a configuração se apenas a criptografia em trânsito for necessária. Consulte "Configurar o Ponto de Acesso NFS para Kerberos" e "Configurar Usuários e Grupos com Exportação NFS".

  3. Autorize usuários sem autenticação.

    Integre o cliente NFS do Windows com o Active Directory e use uidNumber e gidNumber configurados no Active Directory.

    A configuração LDAP no ponto de acesso NFS não é obrigatória para esse modo de operação. No entanto, se a associação de grupo adicional para o usuário precisar ser considerada para autorização, a configuração LDAP será necessária no ponto de acesso NFS. Consulte "Integrar cliente NFS Windows com o Active Directory" e "Configuração LDAP".

  4. Autentique e autorize usuários com o Active Directory.

    Configure o Kerberos e o LDAP no ponto de acesso NFS para obter autenticação e autorização. Como acontece com outros modos, as verificações de permissão (autorização) são feitas com base nas permissões do Unix (uid, gid e outros). Consulte "Configurar o Ponto de Acesso NFS para Kerberos", "Configuração LDAP" e "Permissão do Unix no Windows".

Sobre o Kerberos, o LDAP e o Windows Active Directory

Você pode integrar o Kerberos e o LDAP (Lightweight Directory Access Protocol) com o Oracle Cloud Infrastructure File Storage para autenticação e autorização centralizadas seguras. A autenticação do Active Directory para usuários do Windows depende do recurso File Storage Kerberos e LDAP.

Estes são alguns dos benefícios da integração entre Kerberos e LDAP:

  • Gerenciamento Centralizado: Organize usuários e ative direitos de acesso personalizados com seu sistema de gerenciamento de identidades LDAP e Windows Active Directory Kerberos.
  • Conformidade de Segurança: Atenda aos requisitos de conformidade de segurança com os seguintes modos de operação:
    • krb5: Autenticação e autorização do Kerberos.
    • krb5i: Integridade para proteger contra ataques de homem no meio e modificação não autorizada.
    • krb5p: Privacidade ou confidencialidade para impedir a espionagem (criptografia em trânsito).
  • Dimensione Usuários com mais grupos: Aumente o número máximo de grupos secundários do Unix que o OCI File Storage suporta para autorização para 256 (de 16).
  • Integrar com o Microsoft Windows Active Directory: Acesse compartilhamentos NFS do OCI File Storage do Active Directory unidos às estações de trabalho do Microsoft Windows e tenha permissões do Unix para Usuários do Active Directory (com base em usuário, grupo e outros).

Resumo dos benefícios usando a integração do Active Directory em um ambiente do Microsoft Windows:

  • Acesso ao Armazenamento de Arquivos do Microsoft Windows, acesso universal no Linux e no Windows e permissões baseadas no Unix (id do usuário, id do grupo e outros).
  • Autenticação do usuário com o Active Directory.
  • Evite usar o Samba em uma instância de computação para reexportar o OCI File Storage com o protocolo SMB (Server Message Block (SMB) para acesso ao Microsoft Windows.
  • Use o Active Directory e o LDAP para gerenciamento centralizado de usuários.
  • Ative a criptografia em trânsito com o Kerberos.

Limitações do Acesso NFS do Windows

Considere as seguintes limitações de acesso ao NFS no Microsoft Windows:

  • O protocolo NFS não é o protocolo de compartilhamento de arquivos padrão e nativo no Windows. O desempenho observado com instâncias individuais pode ser mais lento em comparação com o SMB. Se houver uma diferença no desempenho, ele será de uma perspectiva do cliente NFS, sem efeito sobre o desempenho oferecido pelo serviço Oracle Cloud Infrastructure File Storage.
  • Restrito às permissões do Unix sem suporte a ACL (access control list).
  • Suporte limitado a caracteres internacionais (sem Unicode). Consulte comando de montagem para obter suporte limitado a conjuntos de caracteres internacionais.

Sobre Produtos, Serviços e Atribuições Obrigatórios

Esta solução requer os seguintes produtos e serviços:

  • OCI (Oracle Cloud Infrastructure)
  • Armazenamento de Arquivos no OCI
  • Diretório Ativo
  • LDAP

Estas são as funções necessárias para cada produto e serviço.

Nome do Produto ou Serviço: Permissões Obrigatório para...
Oracle Cloud Infrastructure: Permissões no compartimento. Se as permissões forem segregadas em diferentes atribuições, entre em contato com os administradores apropriados para executar a tarefa.
  • Configure a integração do OCI File Storage com Kerberos e LDAP.
  • Gerenciar o serviço OCI File Storage (gerenciar permissões de família de arquivos). O usuário do OCI deve ter permissão no compartimento.
  • Criar segredos no vault.
  • Crie políticas e grupo dinâmico para o ponto de acesso NFS ler segredos do Vault.
Active Directory: Gravar permissões no Active Directory Crie usuários, adicione atributos de usuário e crie contas de computador.
LDAP: Usuário do Active Directory com DN e senha LDAP

Configure o LDAP nos destinos de montagem.

O ponto de acesso NFS requer um usuário com permissões mínimas somente para leitura para ler usuários, grupos e atributos relacionados usando LDAP.

Consulte Produtos, Soluções e Serviços da Oracle para obter o que você precisa.