Schlüssel rotieren

Das Rotieren einer Kerberos-Schlüsseltabelle, die für die File Storage-Authentifizierung verwendet wird, muss sorgfältig erfolgen, um einen Verfügbarkeitsausfall zu vermeiden.

NFS-Clients, die Kerberos zur Authentifizierungsaktualisierung von Tickets verwenden, basieren auf einem vom KDC-Administrator angegebenen Intervall. Beim Drehen von Schlüsseltabelleneinträgen muss das Mountziel sowohl die alten als auch die neuen Werte akzeptieren, bis alle Clients ihre Tickets aktualisiert haben. Wenn der alte Keytab-Eintrag zu früh entfernt wird, kann es bei Clients, die ihre Tickets nicht aktualisiert haben, zu einem Ausfall der Verfügbarkeit kommen.

So aktualisieren Sie eine in der File Storage-Authentifizierung verwendete Kerberos-Schlüsseltabelle sicher:

1. Generieren Sie eine Schlüsseltabelle aus dem KDC mit neuen Schlüsselversionen, und konvertieren Sie sie in das Base64-Format.
2. Laden Sie die Keytab als neue Secret-Version des vorhandenen Keytab Secrets in OCI Vault hoch. Stellen Sie sicher, dass das ausgewählte Format der neuen Secret-Version Base64 lautet. Weitere Informationen finden Sie unter Überblick über Vault.
3. Aktualisieren Sie die Keytab-Informationen des Mountziels:
   1. Öffnen Sie das Navigationsmenü , und wählen Sie Speicher aus. Wählen Sie unter File Storage die Option Mountziele aus.
   2. Wählen Sie ein Compartment aus.
   3. Wählen Sie das Mountziel aus, das Sie aktualisieren möchten.
   4. Wählen Sie das Menü "Aktionen", und wählen Sie Kerberos verwalten aus.
   5. Gehen Sie im Bereich Kerberos verwalten im Abschnitt Keytab-Informationen wie folgt vor:
      • Wählen Sie die neue Version der Schlüsseltabelle als Current keytab secret version aus.
      • Wählen Sie die alte Keytab-Version als Secret-Version der Backup-Keytab aus.
   6. Warten Sie, bis alle NFS-Clients ihre Kerberos-Tickets aktualisiert haben.
   7. Entfernen Sie die Secret-Version der Backup-Schlüsseltabelle aus der Mountzielkonfiguration.
   8. Wählen Sie Aktualisieren aus.