Oracle Cloud Infrastructure - Dokumentation

Kerberos-Authentifizierung einrichten

Kerberos-Informationen werden anhand der folgenden Schritte pro Mountziel konfiguriert.

Hinweis

Bei diesen Schritten wird davon ausgegangen, dass Sie die LDAP-Autorisierung verwenden, um die Kerberos-Authentifizierung pro Benutzer zu aktivieren. Ein anonymer Zugriff mit Kerberos-Authentifizierung ist ohne LDAP-Anforderungen und entsprechende Schritte möglich. Weitere Informationen finden Sie unter LDAP-Lookups und anonymer Zugriff.
  1. Stellen Sie sicher, dass die LDAP- und Kerberos-Infrastruktur erforderlich ist. Weitere Informationen finden Sie unter Voraussetzungen.
    1. Wenn der Standard-VCN-Resolver nicht verwendet wird, fügen Sie dem vom Kunden verwalteten DNS-Server Namensdatensätze hinzu.
    2. Fügen Sie den Mountziel-Principal zum KDC hinzu, und extrahieren Sie eine binäre Schlüsseltabelle aus KDC. Die Schritte zum Extrahieren einer Schlüsseltabelle unterscheiden sich je nach verwendetem KDC-Typ (Linux-basiert oder Active Directory).
  2. Konvertieren Sie die binäre Kerberos-Schlüsseltabelle in Base64, und erstellen Sie damit ein Secret in OCI Vault. Stellen Sie sicher, dass Sie Base64 als Format des Secrets auswählen, wenn Sie es in die konvertierte Schlüsseltabelle einfügen. Weitere Informationen finden Sie unter Überblick über Vault.
  3. Laden Sie das LDAP-Kennwort als Secret im Klartextformat in OCI Vault hoch. Weitere Informationen finden Sie unter Überblick über Vault.
  4. Fügen Sie die erforderlichen IAM-Policys hinzu.
  5. Erstellen Sie zwei ausgehende Connectors, um den LDAP-Server zu kontaktieren.
    Hinweis

    Für die Verwendung von LDAP zur Autorisierung ist mindestens ein ausgehender Connector erforderlich. Ein zweiter ausgehender Connector kann als Backup oder Failover verwendet werden. Weitere Informationen dazu, wie File Storage reagiert, wenn er keinen LDAP-Server erreichen kann, finden Sie unter LDAP-Lookups und anonymer Zugriff.
  6. LDAP-Konfigurationsdetails zu einem Mountziel hinzufügen.
  7. Fügen Sie Kerberos-Authentifizierungsdetails zu demselben Mountziel hinzu, und validieren Sie die Keytab.
    Hinweis

    Die Kerberos-Konfiguration wird nicht für mehrere Mountziele gemeinsam verwendet.
  8. Prüfen Sie, ob das für die Kerberos-Authentifizierung verwendete Mountziel Folgendes aufweist:
    • Ein vollqualifizierter Domainname (FQDN), der mit der Instanz des Kerberos-Keytab-Principals übereinstimmt. Beispiel: nfs/<FQDN_of_mount_target>@<REALM>.
      Hinweis

      Wenn der Standard-Internet- und VCN-Resolver verwendet wird, erstellt der File Storage-Service einen FQDN, indem der Hostname des Mountziels mit dem FQDN des Subnetzes kombiniert wird, in dem sich das Mountziel befindet. Weitere Informationen finden Sie unter Mountziele verwalten.
    • Ein FQDN, der dem DNS-Server mit Forward- und Reverse-Lookup hinzugefügt wurde.
  9. Erstellen Sie ein Dateisystem mit dem LDAP- und Kerberos-fähigen Mountziel, oder aktualisieren Sie es, oder aktualisieren Sie es.
  10. Fügen Sie dem Mountziel einen Kerberos-fähigen Export hinzu. Ein Beispiel finden Sie unter Kerberos für die Authentifizierung verwenden.
  11. Mounten Sie das Dateisystem. Weitere Informationen finden Sie unter Mounten von Kerberos-fähigen Dateisystemen.
    Hinweis

    Verwenden Sie den FQDN des Mountziels anstelle der IP-Adresse.

Kerberos-Authentifizierung für ein Mount-Ziel aktivieren

Konfigurieren Sie die Kerberos-Authentifizierung für ein File Storage-Mountziel.

Hinweis

Wenn Sie ein vorhandenes Mountziel für die Verwendung von Kerberos aktualisieren, kann es einige Zeit dauern, bis File Storage die Updates vollständig wiedergibt.
    1. Öffnen Sie das Navigationsmenü , und wählen Sie Speicher aus. Wählen Sie unter File Storage die Option Mountziele aus.
    2. Wählen Sie im Abschnitt Listenbereich unter Compartment ein Compartment aus.
    3. Suchen Sie das gewünschte Mountziel. Klicken Sie auf das Menü Aktionen (Menü Aktionen) und dann auf Details anzeigen.
    4. Klicken Sie auf die Registerkarte NFS, um die vorhandenen NFS-Einstellungen für das Mountziel anzuzeigen oder zu bearbeiten.
    5. Klicken Sie neben Kerberos auf Verwalten.

    6. Geben Sie im Fenster Kerberos verwalten die folgenden Details an:

      • Kerberos Realm: Geben Sie die Kerberos Realm ein, mit der dieses Mountziel verknüpft ist.
      • Geben Sie im Abschnitt "Keytab-Informationen" die folgenden Details an:
        • Wählen Sie den Vault aus, der das zu verwendende Keytab Secret enthält.
        • Wählen Sie das Keytab Secret aus.
        • Wählen Sie die Aktuelle Keytab-Secret-Version und die Backup-Keytab-Secret-Version aus.
        Achtung

        Achten Sie darauf, Backups Ihrer Vaults und Schlüssel zu erstellen. Wenn Sie einen Vault und Schlüssel löschen, bedeutet dies andernfalls, dass keine Ressourcen oder Daten entschlüsselt werden können, die mit dem Schlüssel verschlüsselt wurden. Weitere Informationen finden Sie unter Vaults und Schlüssel sichern und wiederherstellen.

    7. Klicken Sie auf Schlüsseltabelle validieren, bevor Kerberos den Inhalt der Schlüsseltabelle prüfen kann.

      Achtung

      Eine falsch konfigurierte Schlüsseltabelle kann dazu führen, dass NFS-Clients den Zugriff auf Dateisysteme verlieren.
    8. Kerberos aktivieren: Aktivieren Sie diese Option, um Kerberos zu verwenden. Weitere Informationen finden Sie unter Kerberos-Authentifizierung verwenden.
    9. Klicken Sie auf Speichern.

  • Verwenden Sie den Befehl oci fs mount-target create mit den Optionen --kerberos, --idmap-type und --ldap-idmap, um ein Mountziel zu erstellen und Kerberos- und LDAP-Details anzugeben.

    oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    Verwenden Sie den Befehl oci fs mount-target update mit den Optionen --kerberos, --idmap-type und --ldap-idmap, um ein vorhandenes Mountziel mit Kerberos- und LDAP-Details zu aktualisieren.

    oci fs mount-target update --mount-target-id <mount_target_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    Eine krb.json-Beispieldatei lautet:

    {
  "currentKeyTabSecretVersion": 1,
  "isKerberosEnabled": true,
  "kerberosRealm": "EXAMPLE.COM",
  "keyTabSecretId": "ocid1.vaultsecret.oc1.eu-frankfurt-1.exampleuniqueID"
}

    Eine ldap.json-Beispieldatei lautet:

    {
  "cacheLifetimeSeconds": 300,
  "cacheRefreshIntervalSeconds": 300,
  "groupSearchBase": "cn=accounts,dc=example,dc=com",
  "negativeCacheLifetimeSeconds": 300,
  "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "userSearchBase": "cn=accounts,dc=example,dc=com",
  "schemaType": "RFC2307"
}

    Verwenden Sie den Befehl oci fs mount-target validate-key-tabs, um die Kerberos-Schlüsseltabelle zu testen, die der ausgehende Connector verwendet, der mit dem Mountziel verknüpft ist.

    oci fs mount-target validate-key-tabs --mount-target-id <mount_target_id>

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Verwenden Sie CreateMountTarget oder UpdateMountTarget mit den Optionen kerberos, idMapType und ldapIdmap, um ein Mountziel mit LDAP- und Kerberos-Details zu erstellen oder zu aktualisieren.

    Verwenden Sie ValidateKeyTabs, um die mit dem Mountziel verknüpfte Kerberos-Schlüsseltabelle zu validieren.

    Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.