注意：

• 本教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure 免费套餐。
• 它对 Oracle Cloud Infrastructure 身份证明、租户和区间使用示例值。完成实验室后，请使用特定于云环境的那些值替换这些值。

使用 Active Directory 用户访问控制配置 Oracle Cloud Infrastructure File Storage Service

简介

本教程提供了一种分步方法，用于将 Active Directory (AD) 用户与唯一用户 ID (UID)/组 ID (GID) 映射集成，以便使用 Windows 网络文件系统 (NFS) 客户端安全访问 Oracle Cloud Infrastructure (OCI) 文件存储服务。它通过利用 Active Directory 权限确保正确的验证和访问控制，使组织能够限制对特定用户和组的文件系统访问，同时保持企业安全策略的合规性。

通过在 Active Directory 中启用 UID/GID 映射并使用 Windows 安全权限，您可以：

• 将 OCI 文件存储访问权限限制为特定的 Active Directory 用户/组。

• 确保正确应用文件所有权和访问控制。

• 允许基于 NFS 的 Windows 客户端与 OCI 文件存储安全交互。

在本教程中，我们将在与 Active Directory 域服务 (AD DS) 和域联接的 Windows 虚拟机 (VM) 相同的虚拟云网络 (VCN) 中创建 OCI 文件存储和挂载目标实现从任务 1 到 4 的无缝集成和访问控制，为 OCI 文件存储启用 Active Directory 集成，创建具有特定 UID/GID 映射的用户，以及强制执行从任务 5 到 8 的文件夹级别访问限制。

目标

• 将 Active Directory 用户与 UID/GID 映射集成，以使用 Windows NFS 客户端安全访问 OCI 文件存储，同时基于 Active Directory 权限实施访问控制。

  • 创建 OCI 文件存储。

  • 在与域控制器和 Windows VM 相同的 VCN 中配置挂载目标。

  • 确保 NFS 访问的正确安全规则。

  • 在 Windows VM 上挂载文件系统。

  • 为基于 Active Directory 的访问控制做准备。

  • 使用 UID/GID 属性创建 AD 用户。

  • 使用文件夹级访问控制配置 OCI 文件存储。

  • 在加入域的 VM 上装载 OCI 文件存储。

  • 验证基于用户的访问限制。

  此设置可确保 Active Directory 与 OCI File Storage 无缝集成，支持基于 UID/GID 映射进行安全文件共享和受控访问。此设置使用 Active Directory 验证和 UID/GID 映射确保对 OCI 文件存储服务进行安全、基于角色的访问控制。

先决条件

• 配置了装载目标的 OCI 文件存储。

• 启用了 RFC2307 属性的 AD DS。

• 安装在域连接的计算机上的 Windows NFS 客户机。

• Active Directory 域控制器和 OCI 文件存储装载目标应位于同一网络 VCN 上。

任务 1：创建 OCI 文件存储

1. 登录到 OCI 控制台，导航到存储，然后单击文件存储。

2. 单击创建文件系统并输入以下信息。

   • 区间：选择适当的区间。
   • 名称：输入说明性名称。例如，AD-Integrated-FSS。

3. 单击创建可预配文件系统。

任务 2：在同一 VCN 中创建装载目标

1. 转到 OCI 控制台，导航到文件存储，然后单击挂载目标。

2. 单击创建装载目标并输入以下信息。

   • 区间：选择与 OCI 文件存储相同的区间。
   • 名称：输入名称。例如，AD-MountTarget。
   • 虚拟云网络 (Virtual Cloud Network，VCN)：选择部署域控制器和域连接 VM 的同一 VCN。
   • 子网：在 VCN 中选择专用或公共子网（确保允许 NFS 流量）。
   • 主机名：输入装载目标的主机名。

3. 单击创建装载目标并等待预配。

   

任务 3：为 NFS 访问配置安全规则

1. 转到 OCI 控制台，导航到网络、虚拟云网络 (Virtual Cloud Networks，VCN) 并选择 VCN。

2. 单击安全列表，然后使用以下信息更新装载目标的子网的入站规则。

   • 源 CIDR：包含域控制器和域连接 VM 的子网。
   • Protocol（协议）：选择 TCP 。
   • 端口范围：输入 2049（对于 NFS）。

3. 添加出站规则以允许来自装载目标的子网的出站流量，并包含以下信息。

   • 目标 CIDR：输入 0.0.0.0/0。
   • Protocol（协议）：选择 TCP 。
   • 端口范围：输入 2049。

   如果使用安全组，请确保域控制器、域连接的 VM 和挂载目标位于同一组中，允许使用 NFS (TCP 2049) 和 DNS (TCP/UDP 53)。

任务 4：验证连接

1. 登录到域连接的 Windows VM。

2. 使用 ping 或 nslookup 命令测试与挂载目标的连接。

   ping <MOUNT_TARGET_IP>
   nslookup <MOUNT_TARGET_HOSTNAME>
   

   确保域控制器和 Windows VM 可以使用 DNS 解析挂载目标主机名。

任务 5：使用 UID/GID 属性配置 Active Directory 用户

1. 打开 Active Directory Users and Computers (ADUC) 。

2. 在 Domain Controller（域控制器）中，打开 ADUC (dsa.msc)，单击 View（查看）并启用 Advanced Features（高级功能）。

   

3. 创建具有 RFC2307 属性的用户。

   1. 导航到域下的用户。例如，fs-ad.com。

   2. 创建以下用户并设置 RFC2307 属性。

      User	UID 编号	GID 编号	说明
      Fssadmin	0	0	FSS 管理员
      applicationuser1	101	501	应用用户 1
      applicationuser2	102	502	应用用户 2

      

      

4. 修改用户属性。

   1. 右键单击每个用户，然后单击属性。

   2. 导航到属性编辑器并更新以下 RFC2307 属性。

      • objectClass：添加 posixAccount。
      • uidNumber：从任务 5.3 中的表中分配值。
      • gidNumber：从任务 5.3 中的表中分配值。
      • uid：设置为 sAMAccountName。

   3. 单击应用和确定。

任务 6：配置 OCI 文件存储权限

1. 使用 0 UID/GID（fssadmin 的根访问权限）设置 OCI 文件存储主文件夹。

   1. 转到 OCI 控制台，导航到文件存储，然后单击文件系统。

   2. 单击 OCI 文件存储实例并选择主文件夹。

   3. 单击 Advanced Permissions（高级权限），然后输入以下信息。

      • UID：输入 0。
      • GID：输入 0。

2. 创建和限制特定于应用程序的文件夹。

   1. 在 OCI 文件存储主文件夹内，使用以下信息创建两个文件夹。

      • Folder1：对于带 uid=101 的 applicationuser1。
      • Folder2：对于带 uid=102 的 applicationuser2。

   2. 单击高级选项并设置文件夹权限。

      • Folder1:

        • UID：输入 101。
        • GID：输入 501。

      • Folder2:

        • UID：输入 102。
        • GID：输入 502。

任务 7：在域联接的 Windows VM 上挂载 OCI 文件存储

1. 以 applicationuser1 或 applicationuser2 身份登录到域连接的 Windows VM。

2. 以管理员身份打开命令提示符。

3. 使用装载目标 IP 装载 OCI 文件存储。

   mount -o sec=sys Mount_Target_IP:/<EXPORT_PATH> S:
   

   注:

   • 将 <MOUNT_TARGET_IP> 替换为挂载目标的 IP。

   • 将 <EXPORT_PATH> 替换为 OCI 文件存储导出路径。

4. 使用以下命令检验挂载。

   net use
   

   确保成功挂载 S:。

   

任务 8：验证文件夹访问限制

• 用户访问验证

  • applicationuser1:

    • 访问：可以在 Folder1 (UID：101) 内读取和写入。
    • 限制：无法在 Folder2 (UID：102) 内创建文件。

  • applicationuser2:

    • 访问：可以在 Folder2 (UID：102) 内读取和写入。
    • 限制：无法在 Folder1 (UID：101) 内创建文件。

  此外，用户无法在 OCI 文件存储主文件夹中创建新的文件夹，从而确保严格实施访问控制。

• 为 OCI 文件存储 (FSS) 配置基于组的访问控制

  要授予一组用户对 OCI 文件存储 (FSS) 中特定文件夹的访问权限，请将相同的 GID 分配给组中的所有用户，同时保持其 UID 的唯一性。在 OCI FSS 中创建文件夹时，在“高级选项”中仅设置 GID 以匹配分配的组 GID（示例：GID 501）。这样可以确保组中的所有用户都可以挂载 FSS 并访问指定的文件夹，同时维护单个用户身份。

• 使用 Active Directory 强制实施访问控制

  当用户登录到域连接的 VM 时，他们可以挂载驱动器并仅访问他们已获授权使用的 OCI 文件系统文件夹。任何访问或修改未授权文件夹的尝试都将根据定义的权限受到限制。

  访问控制通过 Active Directory 集中管理，仅允许域管理员和文件系统管理员 (GID/UID：0) 完全控制 OCI 文件存储文件夹。这可确保构建结构化和安全的权限模型。

• 通过出口选项加强安全性

  为了进一步增强安全性，应将 OCI 导出选项配置为仅允许从经过验证的特定 IP 地址进行访问。通过限制装载目标对已知和授权 IP 的访问，默认情况下，未经授权的系统被拒绝访问，从而使此方法成为控制 OCI 文件存储访问的最安全方法之一。

  

在 OCI 文件存储中管理文件属性以防止 Windows 上的 :Zone.Identifier 附加

问题： Windows 上 OCI 文件存储文件的 :Zone.Identifier 附件。

将文件复制到 Windows 上挂载的 OCI 文件存储时，可能会将备用数据流 (:Zone.Identifier) 附加到文件。这是因为 Windows 使用区域标识符元数据来跟踪已下载文件的安全区域，主要是为了防止执行可能不安全的内容。

由于 OCI 文件存储使用 NFS 协议，该协议支持扩展属性，但不本地处理特定于 Windows 的 NTFS 备用数据流 (ADS)，因此在复制文件时可能会意外保留这些 :Zone.Identifier 流。这可能会导致执行文件时出现意外安全警告或问题。

要防止发生这种情况，请在每个客户端 VM 访问此 OCI 文件存储装载目标驱动器时执行以下步骤。

1. 单击域客户机上的 Internet (inetcpl.cpl)。

2. 转到“安全性”选项卡，选择本地内联网并单击站点。

3. 单击高级并添加 OCI 文件存储装载目标主机名（MSS 装载点 \fss-mount-target 或 \IP-Address-FSS）。

   

相关链接

• 为 Microsoft Windows Active Directory 用户配置文件存储

• 从 Windows Server 命令提示符挂载文件系统

确认

• Authors — Akarsha I K（云架构师），Mayank Kakani（云架构师）

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室，或者访问 Oracle Learning YouTube 渠道上的更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Configure Oracle Cloud Infrastructure File Storage Service with Active Directory User Access Control

G27605-01

February 2025

Copyright ©2025, Oracle and/or its affiliates.