附註：

• 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱 Oracle Cloud Infrastructure Free Tier 入門。
• 它使用 Oracle Cloud Infrastructure 證明資料、租用戶及區間的範例值。完成實驗室時，請將這些值取代為您雲端環境特定的值。

設定 Oracle Cloud Infrastructure File Storage Service 與 Active Directory 使用者存取控制

簡介

本教學課程提供整合具有唯一使用者 ID (UID) / 群組 ID (GID) 對應的 Active Directory (AD) 使用者的逐步方法，以便使用 Windows 網路檔案系統 (NFS) 從屬端安全地存取 Oracle Cloud Infrastructure (OCI) 檔案儲存服務。它透過利用 Active Directory 權限來確保正確的驗證和存取控制，使組織能夠將檔案系統存取限制為特定使用者和群組，同時保持符合企業安全策略的規範。

藉由在 Active Directory 中啟用 UID/GID 對應並使用 Windows 安全性權限，您可以：

• 限制 OCI 檔案儲存對特定 Active Directory 使用者 / 群組的存取。

• 確定已正確套用檔案擁有權和存取控制。

• 讓 NFS 型 Windows 從屬端能夠安全地與 OCI File Storage 互動。

在本教學課程中，我們將在與 Active Directory 網域服務 (AD DS) 和網域結合的 Windows 虛擬機器 (VM) 相同的虛擬雲端網路 (VCN) 中建立一個 OCI 檔案儲存和掛載目標用於從任務 1 到 4 順暢整合和存取控制，並啟用 OCI 檔案儲存的 Active Directory 整合、建立具有特定 UID/GID 對應的使用者，以及強制執行任務 5 到 8 的資料夾層級存取限制。

目標

• 整合 Active Directory 使用者與 UID/GID 對應，使用 Windows NFS 從屬端安全地存取 OCI 檔案儲存，同時根據 Active Directory 權限強制實行存取控制。

  • 建立 OCI 檔案儲存。

  • 在與網域控制器和 Windows VM 相同的 VCN 中設定掛載目標。

  • 確定正確的 NFS 存取安全規則。

  • 將檔案系統掛載至 Windows VM 上。

  • 準備以 Active Directory 為基礎的存取控制。

  • 使用 UID/GID 屬性建立 AD 使用者。

  • 使用資料夾層級存取控制設定 OCI 檔案儲存。

  • 在網域結合的 VM 上掛載 OCI 檔案儲存。

  • 驗證使用者存取限制。

  此設定可確保 Active Directory 與 OCI File Storage 的整合順暢，以根據 UID/GID 對應進行安全的檔案共用和控制存取。此設定使用 Active Directory 認證和 UID/GID 對應，確保 OCI 檔案儲存服務的安全、以角色為基礎的存取控制。

必要條件

• 已設定掛載目標的 OCI 檔案儲存。

• 啟用 RFC2307 屬性的 AD DS。

• 安裝在網域結合機器上的 Windows NFS 從屬端。

• Active Directory 網域控制器和 OCI 檔案儲存掛載目標應位於相同的網路 VCN 上。

作業 1：建立 OCI 檔案儲存

1. 登入 OCI 主控台，瀏覽至儲存並按一下檔案儲存。

2. 按一下建立檔案系統，然後輸入下列資訊。

   • 區間： 選取適當的區間。
   • 名稱：輸入說明名稱。例如 AD-Integrated-FSS。

3. 按一下建立來啟動設定檔案系統。

作業 2：在相同的 VCN 中建立掛載目標

1. 移至 OCI 主控台，瀏覽至檔案儲存並按一下掛載目標。

2. 按一下建立掛載目標，然後輸入下列資訊。

   • 區間： 選取與 OCI 檔案儲存相同的區間。
   • 名稱： 輸入名稱。例如 AD-MountTarget。
   • 虛擬雲端網路 (VCN)：選取部署網域控制器和網域結合 VM 的相同 VCN。
   • 子網路： 選取 VCN 中的專用或公用子網路 (確定允許 NFS 流量)。
   • 主機名稱：輸入掛載目標的主機名稱。

3. 按一下建立掛載目標，然後等待佈建。

   

作業 3：設定 NFS 存取的安全規則

1. 前往 OCI 主控台，瀏覽至網路、虛擬雲端網路 (VCN) ，然後選取您的 VCN。

2. 按一下安全清單，並且使用下列資訊更新掛載目標子網路的傳入規則。

   • 來源 CIDR：包含網域控制器和網域結合 VM 的子網路。
   • 協定：選取 TCP 。
   • 連接埠範圍：輸入 2049 (適用於 NFS)。

3. 新增傳出規則，以允許來自掛載目標子網路的外送流量包含以下資訊。

   • 目的地 CIDR：輸入 0.0.0.0/0。
   • 協定：選取 TCP 。
   • 連接埠範圍：輸入 2049。

   如果使用安全群組，請確定您的網域控制器、網域結合的 VM 和掛載目標位於相同的群組，並且允許使用 NFS (TCP 2049) 和 DNS (TCP/UDP 53)。

作業 4：驗證連線

1. 登入網域結合的 Windows VM。

2. 使用 ping 或 nslookup 指令測試與掛載目標的連線。

   ping <MOUNT_TARGET_IP>
   nslookup <MOUNT_TARGET_HOSTNAME>
   

   請確定網域控制器和 Windows VM 能夠使用 DNS 解析掛載目標主機名稱。

工作 5：設定具有 UID/GID 屬性的 Active Directory 使用者

1. 開啟 Active Directory Users and Computers (ADUC) 。

2. 在網域控制器中，開啟 ADUC (dsa.msc)，按一下檢視並啟用進階功能。

   

3. 建立含有 RFC2307 屬性的使用者。

   1. 瀏覽至您網域底下的使用者。例如 fs-ad.com。

   2. 建立下列使用者並設定 RFC2307 屬性。

      User	UID 號碼	GID 編號	描述
      fssadmin	0	0	FSS 管理員
      applicationuser1	101	501	App 使用者 1
      applicationuser2	102	502	App 使用者 2

      

      

4. 修改使用者屬性。

   1. 在每位使用者上按一下滑鼠右鍵，然後按一下特性。

   2. 瀏覽至屬性編輯器並更新下列 RFC2307 屬性。

      • objectClass：新增 posixAccount。
      • uidNumber：從「工作 5.3」中的表格指派值。
      • gidNumber：從「工作 5.3」中的表格指派值。
      • uid：設為 sAMAccountName。

   3. 按一下套用，然後按一下確定。

作業 6：設定 OCI 檔案儲存權限

1. 將 OCI 檔案儲存主要資料夾設為 0 UID/GID (fssadmin 的根存取權)。

   1. 移至 OCI 主控台，瀏覽至檔案儲存，然後按一下檔案系統。

   2. 按一下您的 OCI 檔案儲存執行處理，然後選取主要資料夾。

   3. 按一下進階權限，然後輸入下列資訊。

      • UID：輸入 0。
      • GID：輸入 0。

2. 建立並限制應用程式特定的資料夾。

   1. 在 OCI File Storage 主資料夾內，使用下列資訊建立兩個資料夾。

      • Folder1：適用於含有 uid=101 的 applicationuser1。
      • Folder2：適用於含有 uid=102 的 applicationuser2。

   2. 按一下進階選項，然後設定資料夾權限。

      • Folder1:

        • UID：輸入 101。
        • GID：輸入 501。

      • Folder2:

        • UID：輸入 102。
        • GID：輸入 502。

作業 7：在網域結合的 Windows VM 上掛載 OCI 檔案儲存

1. 以 applicationuser1 或 applicationuser2 身分登入網域結合的 Windows VM。

2. 以管理員身分開啟命令提示。

3. 使用掛載目標 IP 掛載 OCI 檔案儲存。

   mount -o sec=sys Mount_Target_IP:/<EXPORT_PATH> S:
   

   注意：

   • 將 <MOUNT_TARGET_IP> 取代為掛載目標的 IP。

   • 將 <EXPORT_PATH> 取代為 OCI 檔案儲存匯出路徑。

4. 使用下列指令來驗證掛載。

   net use
   

   確定已順利掛載 S:。

   

工作 8：驗證資料夾存取限制

• 使用者存取驗證

  • applicationuser1:

    • 存取：可以在 Folder1 內讀取和寫入 (UID：101)。
    • 限制：無法在 Folder2 內建立檔案 (UID：102)。

  • applicationuser2:

    • 存取：可以在 Folder2 內讀取和寫入 (UID：102)。
    • 限制：無法在 Folder1 內建立檔案 (UID：101)。

  此外，使用者無法在 OCI File Storage 主資料夾中建立新資料夾，確保嚴格執行存取控制。

• 設定 OCI 檔案儲存 (FSS) 的以群組為基礎的存取控制

  若要將一組使用者存取權授予 OCI 檔案儲存 (FSS) 中的特定資料夾，請將相同的 GID 指定給群組中的所有使用者，同時保有其 UID 的唯一性。在 OCI FSS 中建立資料夾時，請只在「進階選項」中設定符合指定群組 GID 的 GID (範例：GID 501)。這可確保群組內的所有使用者都可以掛載 FSS 並存取指定的資料夾，同時維護個別的使用者識別。

• 使用 Active Directory 強制存取控制

  當使用者登入網域結合的 VM 時，可以掛載磁碟機，並且只存取已授權的 OCI 檔案系統資料夾。根據定義的權限，任何存取或修改未授權資料夾的嘗試都會受到限制。

  存取控制會透過 Active Directory 集中管理，只允許網域管理員和檔案系統管理員 (GID/UID：0) 完全控制 OCI File Storage 資料夾。這可確保結構化且安全的權限模型。

• 透過匯出選項強化安全性

  為了進一步增強安全性，應將 OCI 匯出選項設定為只允許從特定經過驗證的 IP 位址存取。藉由限制對已知和授權 IP 的掛載目標存取，未授權的系統預設會被拒絕存取，因此以此方式控制 OCI 檔案儲存存取的最安全方式之一。

  

管理 OCI 檔案儲存中的檔案屬性，以避免在 Windows 上連附 :Zone.Identifier

問題： Windows 上 OCI 檔案儲存檔案的 :Zone.Identifier 附件。

將檔案複製到 Windows 上掛載的 OCI 檔案儲存時，可以將替代資料串流 (:Zone.Identifier) 附加至檔案。這是因為 Windows 會使用區域 ID 中繼資料來追蹤已下載檔案的安全區域，主要是防止執行可能不安全的內容。

由於 OCI File Storage 使用支援延伸屬性的 NFS 通訊協定，但不原生處理 Windows 特定的 NTFS 替代資料串流 (ADS)，因此複製檔案時，可能會無意間保留這些 :Zone.Identifier 串流。這可能會在執行檔案時造成未預期的安全警告或問題。

為避免發生此情況，請依照每個從屬端 VM 存取此 OCI 檔案儲存掛載目標磁碟機的步驟進行。

1. 按一下網域從屬端機器上的網際網路 (inetcpl.cpl)。

2. 移至安全性頁籤，選取本機內部網路，然後按一下網站。

3. 按一下進階並新增您的 OCI 檔案儲存掛載目標主機名稱 (MSS 掛載點 \fss-mount-target 或 \IP-Address-FSS)。

   

相關連結

• 設定 Microsoft Windows Active Directory 使用者的檔案儲存

• 從 Windows 伺服器命令提示字元掛載檔案系統

認可

• 作者 - Akarsha I K (雲端架構師)、Mayank Kakani (雲端架構師)

其他學習資源

探索 docs.oracle.com/learn 上的其他實驗室，或存取 Oracle Learning YouTube 頻道上的更多免費學習內容。此外，請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與著作權資訊

Configure Oracle Cloud Infrastructure File Storage Service with Active Directory User Access Control

G27606-01

February 2025

Copyright ©2025, Oracle and/or its affiliates.