Zugriff beim Mounten eines Dateisystems mit Kerberos-Authentifizierung verweigert

Wenn ein Dateisystem gemountet wird, das die Kerberos-Authentifizierung verwendet, wird der Zugriff verweigert.

Das Kerberos-Fehlerdiagramm des Mountziels kann die folgenden Fehlertypen enthalten:

  • Kerberos ohne Schlüsseltabelle
  • Kerberos ohne Schlüssel
  • Nicht übereinstimmende Kerberos-Schlüsselversionsnummer
  • Kerberos-Uhrskew
    • Oracle Cloud Infrastructure File Storage lässt bei Verwendung von Kerberos bis zu 300 Sekunden für Clock Skew zu. Um zu verhindern, dass Eindringlinge Systemuhren zurücksetzen und abgelaufene Tickets verwenden, werden Ticketanforderungen von jedem Host abgelehnt, dessen Uhr nicht innerhalb von 300 Sekunden liegt.

Das Diagramm LDAP-Verbindungsfehler und das Diagramm LDAP-Anforderungsfehler des Mountziels können die folgenden Fehlertypen enthalten:

  • Timeout bei LDAP-Verbindung
  • LDAP-Verbindung abgelehnt/Zurücksetzen
  • Fehler bei der LDAP-Namensauflösung
  • LDAP-Bind-Anmeldung nicht erfolgreich
  • LDAP-Zertifikat konnte nicht validiert werden
  • Benutzernamen nach UID suchen
  • Lookup-UID nach Benutzername
  • Benutzergruppen suchen

Führen Sie die folgenden Aufgaben aus, um dieses Problem zu beheben:

  1. Stellen Sie sicher, dass Kerberos auf dem Mountziel aktiviert ist.
  2. Konfigurieren Sie die AUTH_SYS-Authentifizierung beim Export, und versuchen Sie, das Dateisystem zu mounten, indem Sie -o sec=sys im Mountbefehl verwenden. Mit diesem Test können Sie ermitteln, ob das Problem spezifisch für die Kerberos-Authentifizierung ist.
  3. Prüfen Sie die Gültigkeit des Kerberos-Tickets auf dem Client mit dem Befehl klist -A.
  4. Prüfen Sie die rpc-gssd-Daemon-Logs des NFS-Clients auf Kerberos-bezogene Probleme. Erhöhen Sie den Ausführlichkeitsgrad des Logdämons rpc-gssd nach Bedarf.
  5. Stellen Sie sicher, dass der mount-Befehl den vollqualifizierten Domänennamen verwendet und die richtigen Exportoptionen enthält. Weitere Informationen finden Sie unter Mounten von Kerberos-fähigen Dateisystemen.
  6. Prüfen Sie die Diagramme und Logs des Mountziels, wenn Logging aktiviert ist, auf Fehler oder Kerberos Keytab Load Success-Meldungen im Diagramm "Kerberos-Fehler".
  7. Wenn der anonyme Zugriff deaktiviert ist, prüfen Sie, ob ein Benutzereintrag unter der Suchbasis für Benutzer mit den Attributen uid, uidNumber und gidNumber im LDAP-Server vorhanden ist. Prüfen Sie, ob die Gruppe für den Benutzer in der Suchbasis für Gruppen mit gidNumber und memberUid vorhanden ist.

    Prüfen Sie die Diagramme und Logs des Mountziels, wenn Logging aktiviert ist, auf Fehler im Diagramm "LDAP-Verbindungsfehler" oder im Diagramm "LDAP-Anforderungsfehler".

Weitere Informationen finden Sie unter Mountbefehl nicht erfolgreich.