Oracle Cloud Infrastructureドキュメント

認可のためのLDAPの設定

ファイル・ストレージで認可用にLDAPを設定する方法について学習します。

  1. 必要なLDAPインフラストラクチャがあることを確認し、必要な情報を収集します。詳細は、前提条件を参照してください。
  2. 必要なIAMポリシーを追加します。
  3. LDAPパスワードをプレーン・テキスト形式でOCI Vaultにアップロードします。詳細は、ボールトの概要を参照してください。
  4. LDAPサーバーに接続するには、2つのアウトバウンド・コネクタを作成します
    ノート

    LDAPを認可に使用するには、少なくとも1つのアウトバウンド・コネクタが必要です。2つ目のアウトバウンド・コネクタは、バックアップまたはフェイルオーバーとして使用できます。LDAPサーバーにアクセスできない場合のファイル・ストレージの応答方法の詳細は、セカンダリ・グループ参照およびキャッシュを参照してください。
  5. マウント・ターゲットにLDAP通信の詳細を追加します
  6. LDAP対応のマウント・ターゲットを使用するファイル・システムを作成または更新します。
  7. ファイル・システム・エクスポートでLDAPを有効にします
  8. オプションのNFSエクスポート・オプションを設定します。
  9. ファイル・システムをマウントします

マウント・ターゲットのLDAPの構成

認可で使用するためにLDAP情報をマウント・ターゲットに追加します。

ノート

LDAPを使用するように既存のマウント・ターゲットを更新する場合、更新がファイル・ストレージ全体に完全に反映されるまでしばらく時間がかかることがあります。
    1. ナビゲーション・メニューを開き、「ストレージ」をクリックします。「File Storage」で、「Mount Targets」をクリックします。
    2. 「リスト範囲」セクションの「コンパートメント」を選択します。
    3. 目的のマウント・ターゲットを検索し、「アクション・メニュー(アクション・メニュー)」をクリックして、「詳細の表示」をクリックします。
    4. 「NFS」タブをクリックして、マウント・ターゲットの既存のNFS設定を表示または編集します。
    5. LDAPの横にある「管理」をクリックします。

    6. 「LDAPの管理」ウィンドウで、次の詳細を指定します。

      • スキーマ・タイプ: LDAPアカウントのスキーマ・タイプ。

        有効な値はRFC2307のみです。

      • キャッシュ・リフレッシュ間隔(秒): マウント・ターゲットが更新のためにLDAPサーバーに接続する必要がある頻度。
      • キャッシュ存続期間(秒): キャッシュされたエントリを使用できる時間。
      • 負のキャッシュ存続期間(秒): IDマッピング情報が欠落している場合にキャッシュする時間。
      • ユーザーの検索ベース: すべてのLDAP検索は、このユーザー以降に再帰的です。
      • グループの検索ベース: すべてのLDAP検索は、このグループから開始して再帰的です。
      • アウトバウンド・コネクタ1: LDAPサーバーとの通信に使用する最初のコネクタ。
      • アウトバウンド・コネクタ2: LDAPサーバーとの通信に使用する2番目のコネクタ。
      • LDAPの有効化: セカンダリ・グループ参照にLDAPサーバーを使用するようにマウント・ターゲットに要求するには、このオプションを有効にします。ファイル・システムのエクスポートでは、「グループ・リストにLDAPを使用」も有効にする必要があります。
    7. 「保存」をクリックします。

  • oci fs mount-target createコマンドを--idmap-typeおよび--ldap-idmapオプションとともに使用して、マウント・ターゲットを作成し、LDAPの詳細を指定します。

    oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --idmap-type LDAP --ldap-idmap <file://ldap.json>

    oci fs mount-target updateコマンドを--idmap-typeおよび--ldap-idmapオプションとともに使用して、既存のマウント・ターゲットをLDAPの詳細で更新します。

    oci fs mount-target update --mount-target-id <mount_target_id> --idmap-type LDAP --ldap-idmap <file://ldap.json>

    次にldap.jsonファイルの例を示します。

    {
  "cacheLifetimeSeconds": 300,
  "cacheRefreshIntervalSeconds": 300,
  "groupSearchBase": "cn=accounts,dc=example,dc=com",
  "negativeCacheLifetimeSeconds": 300,
  "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "userSearchBase": "cn=accounts,dc=example,dc=com",
  "schemaType": "RFC2307"
}

    CLIコマンドのパラメータおよび値のリストは、CLIコマンド・リファレンスを参照してください。

  • CreateMountTargetまたはUpdateMountTargetidMapTypeおよびldapIdmapオプションとともに使用して、LDAPの詳細を含むマウント・ターゲットを作成または更新します。

    APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。