Documentación de Oracle Cloud Infrastructure

Rotación de las claves

La rotación de una tabla de claves de Kerberos utilizada para la autenticación de File Storage debe realizarse con cuidado para evitar una interrupción de la disponibilidad.

Clientes NFS que utilizan Kerberos para tickets de refrescamiento de autenticación basados en un intervalo especificado por el administrador de KDC. Al rotar entradas keytab, el destino de montaje debe aceptar los valores antiguos y los nuevos hasta que todos los clientes hayan refrescado sus tickets. Si la entrada de tabla de claves antigua se elimina demasiado pronto, los clientes que no hayan refrescado sus tickets pueden experimentar una interrupción de disponibilidad.

Para actualizar de forma segura una tabla de claves de Kerberos utilizada en la autenticación de File Storage:

  1. Genere una tabla de claves desde el KDC con nuevas versiones de claves y conviértala en formato Base64.
  2. Cargue la tabla de claves en OCI Vault como una nueva versión del secreto de la tabla de claves existente. Asegúrese de que el formato seleccionado de la nueva versión del secreto es Base64. Para obtener más información, consulte Visión general de Vault.
  3. Actualice la información de tabla de claves del destino de montaje:
    1. Abra el menú de navegación y haga clic en Almacenamiento. En Almacenamiento de archivos, haga clic en Destinos de montaje.
    2. En la sección Ámbito de lista, en Compartimento, seleccione un compartimento.
    3. Busque el destino de montaje para el que necesita actualizar las versiones de tabla de claves de Kerberos, haga clic en el menú Acciones (Menú Acciones) y, a continuación, haga clic en Ver detalles.
    4. Haga clic en el separador NFS para ver la configuración de NFS existente para el destino de montaje.
    5. Junto a Kerberos, haga clic en Manage.
    6. En la sección Información de tabla de claves, actualice las tablas de claves:
      • Seleccione la nueva versión de tabla de claves como Versión de secreto de tabla de claves actual.
      • Seleccione la versión antigua de la tabla de claves como Versión de secreto de la tabla de claves de copia de seguridad.
  4. Espere hasta que todos los clientes NFS hayan refrescado sus tickets de Kerberos.
  5. Elimine la versión de secreto de tabla de claves de copia de seguridad de la configuración del destino de montaje.