Configuración de autenticación Kerberos
La información de Kerberos se configura por destino de montaje mediante los siguientes pasos.
En estos pasos, se asume que está utilizando la autorización LDAP para activar la autenticación Kerberos por usuario. El acceso anónimo con autenticación Kerberos es posible sin los requisitos de LDAP y los pasos correspondientes. Para obtener más información, consulte Búsquedas de LDAP y Acceso Anónimo.
- Asegúrese de tener la infraestructura de LDAP y Kerberos necesaria. Consulte Requisitos previos para obtener más información.
- Si no se utiliza el solucionador de VCN por defecto, agregue registros de nombres directos e inversos al servidor DNS gestionado por el cliente.
- Agregue el principal de destino de montaje al KDC y extraiga una tabla de claves binaria del KDC. Los pasos para extraer una tabla de claves difieren según el tipo de KDC en uso (basado en Linux o Active Directory).
- Convierta el separador de claves de Kerberos binario en Base64 y, a continuación, utilícelo para crear un secreto en OCI Vault. Asegúrese de seleccionar Base64 como formato del secreto al pegar en la tabla de claves convertida. Para obtener más información, consulte Visión general de Vault.
- Cargue la contraseña de LDAP en OCI Vault como secreto en formato de texto sin formato. Para obtener más información, consulte Visión general de Vault.
- Agregue las políticas de IAM necesarias.
- Cree dos conectores de salida para ponerse en contacto con el servidor LDAP.Nota
El uso de LDAP para la autorización requiere al menos un conector de salida. Se puede utilizar un segundo conector de salida como copia de seguridad o para failover. Consulte LDAP Lookups and Anonymous Access para obtener detalles sobre cómo responde File Storage cuando no puede acceder a un servidor LDAP. - Agregue detalles de configuración de LDAP a un destino de montaje.
- Agregue detalles de autenticación de Kerberos al mismo destino de montaje y valide la tabla de claves.Nota
La configuración de Kerberos no se comparte entre destinos de montaje. -
Verifique que el destino de montaje utilizado para la autenticación de Kerberos tenga:
- Un nombre de dominio completo (FQDN) que coincide con la instancia del principal keytab de Kerberos. Por ejemplo:
nfs/<FQDN_of_mount_target>@<REALM>
.Nota
Cuando el solucionador de Internet y VCN por defecto, el servicio File Storage crea un FQDN combinando el nombre de host del destino de montaje con el FQDN de la subred en la que se encuentra el destino de montaje. Para obtener más información, consulte Gestión de destinos de montaje. - Un FQDN que se ha agregado al servidor DNS con consulta directa e inversa.
- Un nombre de dominio completo (FQDN) que coincide con la instancia del principal keytab de Kerberos. Por ejemplo:
- Cree o actualice un sistema de archivos mediante el destino de montaje activado para LDAP y Kerberos.
- Agregue una export activada para Kerberos al destino de montaje. Consulte Use Kerberos for Authentication para obtener un ejemplo.
- Monte el sistema de archivos. Para obtener más información, consulte Montaje de sistemas de archivos con Kerberos activado.Nota
Utilice el FQDN del destino de montaje en lugar de la dirección IP.
Activación de autenticación de Kerberos para un destino de montaje
Configurar la autenticación de Kerberos para un destino de montaje de File Storage.
Al actualizar un destino de montaje existente para utilizar Kerberos, File Storage puede tardar un tiempo en reflejar por completo las actualizaciones.
- Abra el menú de navegación y haga clic en Almacenamiento. En Almacenamiento de archivos, haga clic en Destinos de montaje.
- En la sección Ámbito de lista, en Compartimento, seleccione un compartimento.
- Busque el destino de montaje que le interesa, haga clic en el y, a continuación, haga clic en Ver detalles.
- Haga clic en el separador NFS para ver o editar la configuración de NFS existente para el destino de montaje.
- Junto a Kerberos, haga clic en Manage.
-
En la ventana Gestionar Kerberos, proporcione los siguientes detalles:
- Dominio de Kerberos: introduzca el dominio de Kerberos al que se une este destino de montaje.
- En la sección de información de tabla de claves, proporcione los siguientes detalles:
- Seleccione el almacén que contiene el secreto de tabla de claves que desea utilizar.
- Seleccione el secreto de tabla de claves.
- Seleccione la versión de secreto de tabla de claves actual y la versión de secreto de tabla de claves de copia de seguridad.
Atención
Asegúrese de realizar una copia de seguridad de los almacenes y las claves. De lo contrario, suprimir un almacén y una clave significa perder la capacidad de descifrar cualquier recurso o datos que la clave haya utilizado para cifrar. Para obtener más información, consulte Copia de seguridad y restauración de almacenes y claves.
-
Haga clic en Validar tabla de claves antes de activar Kerberos para inspeccionar el contenido de la tabla de claves.
Atención
Una tabla de claves configurada incorrectamente puede hacer que los clientes NFS pierdan acceso a los sistemas de archivos. - Activar Kerberos: active esta opción para utilizar Kerberos. Consulte Using Kerberos Authentication para obtener más información.
- Haga clic en Guardar.
Utilice el comando
oci fs mount-target create
con las opciones--kerberos
,--idmap-type
y--ldap-idmap
para crear un destino de montaje y proporcionar detalles de Kerberos y LDAP.oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>
Utilice el comando
oci fs mount-target update
con las opciones--kerberos
,--idmap-type
y--ldap-idmap
para actualizar un destino de montaje existente con detalles de Kerberos y LDAP.oci fs mount-target update --mount-target-id <mount_target_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>
A continuación se muestra un ejemplo de archivo
krb.json
:{ "currentKeyTabSecretVersion": 1, "isKerberosEnabled": true, "kerberosRealm": "EXAMPLE.COM", "keyTabSecretId": "ocid1.vaultsecret.oc1.eu-frankfurt-1.exampleuniqueID" }
A continuación se muestra un ejemplo de archivo
ldap.json
:{ "cacheLifetimeSeconds": 300, "cacheRefreshIntervalSeconds": 300, "groupSearchBase": "cn=accounts,dc=example,dc=com", "negativeCacheLifetimeSeconds": 300, "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID", "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID", "userSearchBase": "cn=accounts,dc=example,dc=com", "schemaType": "RFC2307" }
Utilice el comando
oci fs mount-target validate-key-tabs
para probar la tabla de claves de Kerberos que utiliza el conector de salida asociado al destino de montaje.oci fs mount-target validate-key-tabs --mount-target-id <mount_target_id>
Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de CLI.
Utilice CreateMountTarget o UpdateMountTarget con las opciones
kerberos
,idMapType
yldapIdmap
para crear o actualizar un destino de montaje con los detalles de LDAP y Kerberos.Utilice ValidateKeyTabs para validar la tabla de claves de Kerberos asociada al destino de montaje.
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.