Oracle Cloud Infrastructure - Dokumentation

LDAP- und Kerberos-Probleme mit NFS-Metriken und -Logs beheben

Verwenden Sie die NFS-Metriken und Servicelogs eines ausgehenden Connectors oder Mountziels, um Probleme mit Dateisystemen zu diagnostizieren, die LDAP für die Autorisierung und Kerberos für die Authentifizierung verwenden.

Ausgehende File Storage-Connectors und -Mountziele, die LDAP verwenden oder sowohl LDAP als auch Kerberos verwenden, geben Metriken aus, mit denen Sie Konnektivität, Performance und Fehler überwachen können. Die folgenden Diagramme dienen zur Erfassung bestimmter Fehler:

Vollständige Details zu File Storage-Metriken und -Diagrammen finden Sie unter Dateisystemmetriken.

Es wird empfohlen, dass Sie NFS-Logs für Mountziele aktivieren, die LDAP oder Kerberos verwenden, und bei Fehlern Alarme festlegen. Weitere Informationen finden Sie unter Details zu File Storage.

LDAP-Verbindungsfehler

Das Diagramm LDAP-Verbindungsfehler erfasst die folgenden Fehlertypen:

  • Timeout bei LDAP-Verbindung
  • LDAP-Verbindung abgelehnt/Zurücksetzen
  • Fehler bei der LDAP-Namensauflösung
  • LDAP-Bind-Anmeldung nicht erfolgreich
  • LDAP-Zertifikat konnte nicht validiert werden

Für die Fehler "LDAP Connection Timeout" und "LDAP Connection Refused/Reset":

  1. Stellen Sie sicher, dass VCN-Sicherheitsregeln die Kommunikation mit Ihren LDAP- und DNS-Servern ermöglichen. Siehe Szenario D: Mountziel verwendet LDAP zur Autorisierung
  2. Prüfen Sie, ob der LDAP-Service auf dem vom Kunden verwalteten LDAP-Server ausgeführt wird.
    Tipp

    Sie können die LDAP-Suchfunktion mit dem Befehl ldapsearch von einer Linux-Instanz im selben Subnetz wie das Mountziel testen. Weitere Informationen finden Sie unter Unterstützung von LDAP-Schemas testen.
  3. Stellen Sie sicher, dass das Mountziel einen ausgehenden Connector mit dem richtigen LDAP-Server und LDAPS-Port verwendet. Weitere Informationen finden Sie unter Ausgehende Connectors verwalten.

Fehler "LDAP-Namensauflösung nicht erfolgreich":

  1. Stellen Sie sicher, dass VCN-Sicherheitsregeln die Kommunikation mit Ihren LDAP- und DNS-Servern ermöglichen. Weitere Informationen finden Sie unter Szenario D: Mountziel verwendet LDAP zur Autorisierung.
  2. Stellen Sie sicher, dass die DNS-Zonendateien auf dem DNS-Server A- und PTR-Datensätze für den LDAP-Server enthalten.
  3. Wenn der konfigurierte DNS-Server vom Kunden verwaltet wird und DHCP-Optionen verwendet, prüfen Sie, ob die DHCP-Optionen korrekt sind und ob sich das Mountziel in dem Subnetz befindet, in dem DHCP-Optionen festgelegt sind.
  4. Stellen Sie sicher, dass der Name Service erreichbar ist und auf Ihrem DNS-Server ausgeführt wird. Sie können einen DNS-Lookup und Reverse Lookup von einer Instanz im selben Subnetz wie das Mountziel verwenden.

Fehler "LDAP-Bind-Anmeldung nicht erfolgreich":

Stellen Sie sicher, dass der ausgehende Connector den richtigen Bind-Distinguished Name und das richtige Kennwort verwendet. Weitere Informationen finden Sie unter Ausgehende Connectors verwalten.

Bei "LDAP-Zertifikatvalidierungsfehler":

Stellen Sie sicher, dass der LDAP-Server über ein gültiges Zertifikat verfügt.

LDAP-Anforderungsfehler

Das Diagramm LDAP-Anforderungsfehler erfasst die folgenden Fehlertypen:

  • Benutzernamen nach UID suchen
  • Lookup-UID nach Benutzername
  • Benutzergruppen suchen

LDAP-Anforderungsfehler können zu Berechtigungsproblemen oder Fehlern beim Mounten von Dateisystemen führen.

Mit dem Befehl ldapsearch von einer Linux-Instanz mit Konnektivität zum LDAP-Server können Sie Folgendes überprüfen:

  1. Unter "Suchbasis für Benutzer mit UID, uidNumber und gidNumber" ist ein Benutzereintrag vorhanden.
  2. Ein Gruppeneintrag des Benutzers ist unter "Suchbasis für Gruppen mit Attribut memberUid" vorhanden.

Weitere Informationen finden Sie unter Auf LDAP-Schemaunterstützung testen.

Kerberos-Fehler

Das Diagramm Kerberos-Fehler erfasst die folgenden Fehlertypen:

  • Kerberos ohne Schlüsseltabelle
  • Kerberos ohne Schlüssel
  • Nicht übereinstimmende Kerberos-Schlüsselversionsnummer
  • Kerberos-Uhrskew

Bei "Kerberos no keytab"-Fehlern:

Stellen Sie sicher, dass Sie eine Kerberos-Schlüsseltabelle in OCI Vault hochgeladen haben, und wählen Sie das Secret aus, wenn Sie die Kerberos-Authentifizierung aktivieren.

Fehler "Kerberos no key":

Die Schlüsseltabelle enthält keine Schlüssel. Weitere Informationen finden Sie in der Kerberos-Schlüsseltabelle.

Bei Fehlern wegen "Nichtübereinstimmung der Kerberos-Schlüsselversionsnummer":

  1. Schlüsselversionsnummern werden verwendet, um zwischen verschiedenen Schlüsseln in derselben Domain zu unterscheiden. Dieser Fehler tritt auf, wenn das System in der Schlüsseltabelle, die dem Ticket entspricht, keine kvno finden kann. Das Ticket ist möglicherweise veraltet oder abgelaufen. Weitere Informationen finden Sie in der Kerberos-Schlüsseltabelle.
  2. Prüfen Sie, ob das ausgewählte Keytab Secret korrekt ist. Wenn nicht, extrahieren Sie die korrekte Schlüsseltabelle für den Mountziel-Principal aus dem KDC, laden Sie die Schlüsseltabelle erneut als Secret hoch, und wählen Sie die neue Secret-Version aus.

Für "Kerberos Clock Skew"-Fehler:

Prüfen Sie, ob Datum und Uhrzeit auf dem Client und im KDC korrekt sind. Um zu verhindern, dass Eindringlinge ihre Systemuhren zurücksetzen und abgelaufene Tickets verwenden, lehnt Kerberos Ticketanforderungen von jedem Host ab, dessen Uhr nicht synchron ist.