※ 本記事は、Aboo Valappilによる”OCI File Storage for Windows Active Directory users“を翻訳したものです。

Oracle Cloud Infrastructure (OCI) File StorageのためのKerberosおよびLightweight Directory Access Protocol (LDAP)機能のリリースにより、WindowsユーザーはActive Directoryを使用して認証および認可できるようになりました。File StorageのKerberosおよびLDAP機能の詳細は、ブログ・シリーズ「KerberosおよびLDAPを使用したOCI File Storageの認証および認可」の最初の部分を参照してください。

このブログ投稿では、Active DirectoryとのFile Storageサービスの統合の詳細と、アーキテクチャ・センターのFile StorageサービスおよびActive Directoryソリューション・プレイブックを介した詳細な構成ステップについて説明します。

Windows環境には、次の利点があります:

• WindowsからのFile Storageアクセス、LinuxおよびWindowsでのユニバーサル・アクセス、およびユーザーIDやグループIDなどのUnixに基づく権限
• Active Directoryを使用したユーザー認証
• コンピュート・インスタンスでSAMBAを使用してWindowsアクセス用にSAMBAを使用してFile Storageを再エクスポートすることの回避
• 一元化されたユーザー管理のためのActive DirectoryおよびLDAPの使用
• Kerberosを使用した転送中暗号化の有効化

背景

Windowsサーバーで実行されているアプリケーションは、高可用性および分散処理アーキテクチャをサポートするために、共有ストレージに同時にアクセスする必要があることがよくあります。Windowsユーザーは、他のユーザーとコラボレーションするために共有ストレージも必要です。場合によっては、LinuxシステムとWindowsシステム間でのデータの共有も必要です。

WindowsおよびLinuxでは、ネットワーク・ファイル・システム(NFS)を使用する必要があります。これは、File Storageで現在使用可能な唯一のファイル共有プロトコルであるためです。お客様は、2つの回避策(別のコンピュート・インスタンスでSambaを使用してFile Storageファイル・システムを再エクスポートするか、Windowsファイル共有用に別のインフラストラクチャを構築します。)のいずれかを使用して、File Storageを使用するWindowsユーザーに対してActive Directory認証を有効にしています。

Windows 7および Windowsサーバー2008以降の Windowsオペレーティング・システムでは、NFSクライアントが以降のバージョンでデフォルトで有効になっているNFSサポートがあります。

操作モード

次のいずれかの方法で、File StorageとのWindowsファイル共有を構成できます:

• 認証なしでWindowsインスタンスからの簡易NFSアクセス: マウント・ターゲットで追加の構成を行わずに、ウィンドウ・インスタンスからFile Storageをマウントします。Windowsユーザーおよびアプリケーションは、Windowsレジストリ内の事前構成済ユーザーIDおよびグループIDを使用してFile Storageにアクセスできます。
• 認可なしでユーザーを認証: Active Directoryを使用してユーザーを認証するようにKerberosを構成します。その後、すべての認証済ユーザーは、File Storageエクスポートのユーザー・スカッシングを使用して、単一のユーザーIDおよびグループIDにマップされます。このユーザーIDおよびグループIDは、File Storageのファイルおよびフォルダへのアクセスを認可できます。この操作モードでは、転送中暗号化のみが必要な場合に構成を簡素化できます。
• 認証なしでユーザーを認可: Windows NFSクライアントをActive Directoryと統合し、Active Directoryで構成されたuidNumberおよびgidNumberユーザー属性を使用します。マウント・ターゲットのLDAP構成は、この操作モードでは必須ではありません。ただし、認可のためにユーザーのグループ・メンバーシップをさらに検討する場合は、マウント・ターゲットでLDAP構成が必要です。
• Active Directoryを使用したユーザーの認証および認可: 認証と認可の両方を実現するように、マウント・ターゲットでKerberosとLDAPの両方を構成します。他のモードと同様に、アクセス権のチェックと承認は Unixのアクセス権に基づいて行われます。

Windows Active Directoryユーザー用のOCI File Storageの構成

構成ステップの詳細は、アーキテクチャ・センターのFile StorageサービスおよびActive Directoryソリューション・プレイブックを参照してください。WindowsからNFSへのアクセスには、次の制限があります:

• NFSプロトコルは、Windowsのデフォルトのネイティブ・ファイル共有プロトコルではありません。個々のインスタンスで監視されるパフォーマンスは、Server Message Block (SMB)と比較して遅くなる可能性があります。パフォーマンスに違いがある場合、これはNFSクライアントの観点から生じ、File Storageから提供されるパフォーマンスには影響しません。
• ACL (アクセス制御リスト)サポートのない Unixアクセス権に制限
• Unicodeを使用しない限定的な国際文字サポート。制限された国際文字セットのサポートについては、mountコマンドを参照してください。

まとめ

Linuxシステムと同様に、WindowsシステムはNFSを使用してFile Storageにアクセスでき、Kerberosを使用したActive Directoryからの強力なユーザー認証が可能です。File Storageは、LDAPを介してActive Directoryと統合して、Unix権限に基づく認可を提供することもできます。この統合により、LinuxおよびWindowsプラットフォーム間でのファイル共有が可能になります。オプションで、WindowsシステムとKerberosを使用したファイル・ストレージ・サービスの間で転送中暗号化を使用できます。

File StorageとOracle Cloud Infrastructure File Storageが提供するエンタープライズグレードの機能すべてをご紹介します。どのように改善を続けることができるかについてのフィードバックをお寄せください。オラクルのクラウド・ストレージ・プラットフォームでは、より多くの機能更新が予定されています。