为 Active Directory 用户配置验证和授权
设置 Oracle Cloud Infrastructure Identity and Access Management、配置 Active Directory (AD) 验证和授权、配置 NFS 导出以及设置 Unix 权限。
设置 Oracle Cloud Infrastructure Identity and Access Management 策略
在 Oracle Cloud Infrastructure (OCI) 身份和访问管理中创建动态组,并添加策略以允许挂载目标访问 LDAP 和 Kerberos 密钥。这对于 Kerberos 和 LDAP 配置都是必需的。
使用 Kerberos 配置 Active Directory 验证
配置 Oracle Cloud Infrastructure Identity and Access Management 后,您将配置 Active Directory。配置 Kerberos 涉及两个步骤:将挂载目标连接到 Microsoft 的 Active Directory ,然后使用 Kerberos 配置更新挂载目标设置。
将挂载目标加入 Active Directory
Active Directory 用户需要验证时,请完成此任务。这是 Oracle Cloud Infrastructure File Storage 服务外部执行的手动过程。将挂载目标加入 Microsoft 的 Active Directory 涉及将计算机帐户添加到 Active Directory 、设置正确的密码、提取密钥表以及将挂载目标添加到 DNS。
为 Kerberos 配置挂载目标
为密钥表创建密钥。密钥内容是使用 Active Directory 加入挂载目标时复制的 base64 编码密钥表。
以下是为 Kerberos 配置挂载目标所需的基本步骤:
- 将挂载目标联接到 Active Directory(上一步)。
- 配置密钥表 Vault 密钥。
- 在挂载目标上配置 Kerberos。
使用 Kerberos 挂载 NFS 导出
Kerberos NFS 支持以下三种安全机制。
- krb5:Kerberos 仅用于验证。
- krb5i:经过验证,并在每个事务处理中使用加密散列以确保完整性。仍可以拦截和检查流量,但无法修改流量。
- krb5p:验证并加密客户机与服务器之间的所有通信。无法检查流量,无法修改。
C:\Users\fss-user-1>mount -o sec=krb5 fss-mt-ad-1.fss-ad.com:/krb-fs-1 T:
T: is now successfully connected to fss-mt-ad-1.fss-ad.com:/krb-fs-1
The command completed successfully.
sys
、krb5
、krb5i
和 krb5p
),则 Windows 将选择在导出上设置的卓越安全风味。使用 mount
命令验证挂载驱动器时所选的风格 Windows。
C:\Users\fss-user-1>mount
Local Remote Properties
-------------------------------------------------------------------------------
T: \\fss-mt-ad-1.fss-ad.com\krb-fs-1 UID=0, GID=0
rsize=1048576, wsize=1048576
mount=soft, timeout=0.8
retry=1, locking=yes
fileaccess=755, lang=ANSI
casesensitive=no
sec=krb5
C:\Users\fss-user-1>whoami
fss-ad\fss-user-1
现在可以从 Windows 资源管理器访问驱动器。请注意,驱动器映射按用户执行,访问 OCI 文件存储共享的每个用户都应将共享资源映射到相应的驱动器盘符。
为 LDAP 配置 Active Directory 授权
当 Active Directory 用户需要 LDAP 授权时,请完成此任务。收集 Active Directory 所需的信息,为所有访问文件存储的用户和组设置 RFC2307 属性,然后在挂载目标上配置 LDAP。
以下是配置 LDAP 的 Active Directory 授权所需的基本步骤:
- 从 Active Directory 获取 LDAP 配置详细信息。
- 配置 LDAP 绑定用户密钥。
- 创建出站连接器。
- 在挂载目标上配置 LDAP。
注意:
挂载目标不能使用自签名 LDAP 证书。Windows 中的 Unix 权限
使用 NFSv3 协议访问 Oracle Cloud Infrastructure File Storage 。授权使用 Unix 权限执行。
ldp.exe
工具查询用户和组的 RFC2307 属性以查看 uid、gid 和组成员资格。根据存储在 LDAP 中的 uid、gid 和组成员资格检查 Unix 权限。Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixAccount)(uid=fss-user-1))
Attributes: uidNumber;gidNumber
使用 Windows 资源管理器可以查看哪些所有者和组拥有该文件或文件夹,以及对文件或文件夹设置哪些权限。可以从文件或文件夹的属性访问 NFS 属性(Unix 属性)。
fss-user-1
用户的主组为 500,但 OCI 文件存储将考虑用户是权限检查成员的所有组。使用以下查询查找 fss-user-1
用户的组成员资格。
Tool: ldp.exe
Search Base: CN=Users,DC=fss-ad,DC=com
Filter: (&(objectClass=posixGroup)(memberUid=fss-user-1))' gidNumber
Attributes: gidNumber
创建初始文件夹权限
实施时,请考虑文件夹权限。
OCI 文件存储根目录归 uid 0 和 755(rwx 表示 root,r-x 表示 root,r-x 表示其他用户)权限所有。需要 root 访问权限才能为用户创建其他文件夹或更改权限。这是用于创建和设置满足要求的初始权限的管理员任务。
可以使用以下方法之一获取对文件系统的管理访问权限:
- 除非映射到 uidNumber 0 并且不压缩 root 用户,否则所有用户都是普通用户。在用户的 LDAP 属性中将管理员用户映射到 uidNumber 0。
- 使用
SYS
验证将文件系统导出到安全的 Linux 工作站。使用root
用户创建和管理权限。