Gestion des connexions sortantes
File Storage utilise des connecteurs sortants pour communiquer avec un serveur externe, par exemple un serveur LDAP.
Un connecteur sortant contient toutes les informations nécessaires pour se connecter, s'authentifier et obtenir l'autorisation d'exécuter les fonctions requises du compte. Actuellement, les connecteurs sortants sont uniquement utilisés pour communiquer avec les serveurs LDAP. Vous spécifiez les options de configuration du connecteur lorsque vous ajoutez l'authentification LDAP à une cible de montage.
Lors de la connexion à un serveur LDAP, une cible de montage utilise le premier connecteur sortant spécifié dans sa configuration. Si la cible de montage ne parvient pas à se connecter au serveur LDAP à l'aide du premier connecteur sortant, il utilise le deuxième connecteur sortant.
Plusieurs cibles de montage peuvent utiliser le même connecteur sortant. Vous ne pouvez associer un connecteur sortant à une cible de montage que s'ils existent dans le même domaine de disponibilité. Vous pouvez avoir jusqu'à 32 connecteurs sortants par domaine de disponibilité.
Pour obtenir des instructions détaillées sur la gestion des connecteurs sortants, reportez-vous aux rubriques suivantes :
Stratégie IAM requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès sécurisé dans une stratégie. Cet accès est requis que vous utilisiez la console ou l'API REST avec un kit SDK, l'interface de ligne de commande ou un autre outil. Si un message vous indique que vous ne disposez pas des droits d'accès ou des autorisations nécessaires, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.
Pour les administrateurs : la stratégie dans Autoriser les utilisateurs à créer, gérer et supprimer des systèmes de fichiers permet aux utilisateurs de gérer les connecteurs sortants.
Ces stratégies doivent être créées pour que vous puissiez configurer des cibles de montage afin qu'elles utilisent LDAP pour l'autorisation.
Stratégie permettant d'activer la configuration de la cible de montage
Accordez à l'utilisateur ou au groupe qui configure LDAP sur des autorisations de cible de montage à l'aide d'une stratégie telle que la suivante :allow <user|group> to read secret-family in compartment <Compartment_ID> where any { target.secret.id = <LDAP_Password_Secret_ID> }Cela permet à l'utilisateur d'exécuter des commandes File Storage qui liront les clés secrètes Vault et afficheront des parties de la clé secrète pour validation lors de la configuration.
Stratégie permettant à une cible de montage d'extraire des clés secrètes
Le service File Storage nécessite la possibilité de lire les clés secrètes. File Storage utilise des principaux de ressource pour accorder à un ensemble spécifique de cibles de montage l'accès à la clé secrète Vault. Il s'agit d'un processus en deux étapes : les cibles de montage nécessitant un accès doivent d'abord être placées dans un groupe dynamique, puis le groupe dynamique dispose d'un accès en lecture aux clés secrètes.
-
Créez un groupe dynamique pour les cibles de montage avec une stratégie telle que la suivante :
ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_id>' }Remarque
Si vous disposez de plusieurs règles dans un groupe dynamique, veillez à utiliser l'optionMatch any rules defined below. -
Créez une stratégie IAM qui donne au groupe dynamique de cibles de montage un accès en lecture aux clés secrètes Vault :
allow dynamic-group <dynamic_group_name> to read secret-family in compartment <secret_compartment_name>
Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes.
Détails sur un connecteur sortant
La page de détails fournit les informations suivantes sur un connecteur sortant :
- OCID
- Chaque ressource Oracle Cloud Infrastructure dispose d'un ID unique affecté par Oracle appelé Oracle Cloud Identifier (OCID). Vous avez besoin de l'OCID d'un connecteur sortant pour utiliser l'interface de ligne de commande ou l'API. Vous avez également besoin de l'OCID lors de la mise en relation avec le support technique. Reportez-vous à Identificateurs de ressource.
- Date de création
- Date et heure de création du connecteur sortant.
- Compartiment
- Lorsque vous créez un connecteur sortant, vous indiquez le compartiment dans lequel il réside. Un compartiment est un ensemble de ressources associées (comme des réseaux cloud, des instances de calcul ou des systèmes de fichiers) accessibles uniquement aux groupes disposant de droits d'accès octroyés par un administrateur de votre organisation. Vous avez besoin du compartiment du connecteur sortant pour utiliser l'interface de ligne de commande ou l'API. Pour plus d'informations, reportez-vous à Gestion des compartiments.
- DOMAINE DE DISPONIBILITÉ
- Lorsque vous créez un connecteur sortant, vous indiquez le domaine de disponibilité dans lequel il réside. Un domaine de disponibilité désigne des centres de données dans une région. Vous avez besoin du domaine de disponibilité d'un connecteur sortant pour utiliser l'interface de ligne de commande ou l'API. Pour plus d'informations, reportez-vous à Régions et domaines de disponibilité.
- TYPE DE CONNECTEUR
- Type de connecteur sortant. Le seul type pris en charge est LDAPBIND.
- NOM DNS DE SERVEUR
- Nom de domaine qualifié complet de l'instance sur laquelle le service LDAP est en cours d'exécution.
- PORT
- Port LDAPS du service LDAP.
- NOM DISTINCTIF DE LIAISON
- Nom distinctif LDAP utilisé pour la connexion au serveur LDAP.
- OCID SECRET
- OCID de la clé secrète dans Vault, qui contient le mot de passe associé au nom distinctif de liaison.
- VERSION DE LA CLÉ SECRÈTE
- Numéro de version de la clé secrète de mot de passe LDAP.