Documentación de Oracle Cloud Infrastructure

Configuración de autenticación Kerberos

La información de Kerberos se configura por destino de montaje mediante los siguientes pasos.

Nota

En estos pasos, se asume que está utilizando la autorización LDAP para activar la autenticación Kerberos por usuario. El acceso anónimo con autenticación Kerberos es posible sin los requisitos de LDAP y los pasos correspondientes. Para obtener más información, consulte Búsquedas de LDAP y Acceso Anónimo.
  1. Asegúrese de tener la infraestructura de LDAP y Kerberos necesaria. Consulte Requisitos previos para obtener más información.
    1. Si no se utiliza el solucionador de VCN por defecto, agregue registros de nombres directos e inversos al servidor DNS gestionado por el cliente.
    2. Agregue el principal de destino de montaje al KDC y extraiga una tabla de claves binaria del KDC. Los pasos para extraer una tabla de claves difieren según el tipo de KDC en uso (basado en Linux o Active Directory).
  2. Convierta el separador de claves de Kerberos binario en Base64 y, a continuación, utilícelo para crear un secreto en OCI Vault. Asegúrese de seleccionar Base64 como formato del secreto al pegar en la tabla de claves convertida. Para obtener más información, consulte Visión general de Vault.
  3. Cargue la contraseña de LDAP en OCI Vault como secreto en formato de texto sin formato. Para obtener más información, consulte Visión general de Vault.
  4. Agregue las políticas de IAM necesarias.
  5. Cree dos conectores de salida para ponerse en contacto con el servidor LDAP.
    Nota

    El uso de LDAP para la autorización requiere al menos un conector de salida. Se puede utilizar un segundo conector de salida como copia de seguridad o para failover. Consulte LDAP Lookups and Anonymous Access para obtener detalles sobre cómo responde File Storage cuando no puede acceder a un servidor LDAP.
  6. Agregue detalles de configuración de LDAP a un destino de montaje.
  7. Agregue detalles de autenticación de Kerberos al mismo destino de montaje y valide la tabla de claves.
    Nota

    La configuración de Kerberos no se comparte entre destinos de montaje.
  8. Verifique que el destino de montaje utilizado para la autenticación de Kerberos tenga:
    • Un nombre de dominio completo (FQDN) que coincide con la instancia del principal keytab de Kerberos. Por ejemplo: nfs/<FQDN_of_mount_target>@<REALM>.
      Nota

      Cuando el solucionador de Internet y VCN por defecto, el servicio File Storage crea un FQDN combinando el nombre de host del destino de montaje con el FQDN de la subred en la que se encuentra el destino de montaje. Para obtener más información, consulte Gestión de destinos de montaje.
    • Un FQDN que se ha agregado al servidor DNS con consulta directa e inversa.
  9. Cree o actualice un sistema de archivos mediante el destino de montaje activado para LDAP y Kerberos.
  10. Agregue una export activada para Kerberos al destino de montaje. Consulte Use Kerberos for Authentication para obtener un ejemplo.
  11. Monte el sistema de archivos. Para obtener más información, consulte Montaje de sistemas de archivos con Kerberos activado.
    Nota

    Utilice el FQDN del destino de montaje en lugar de la dirección IP.

Activación de autenticación de Kerberos para un destino de montaje

Configurar la autenticación de Kerberos para un destino de montaje de File Storage.

Nota

Al actualizar un destino de montaje existente para utilizar Kerberos, File Storage puede tardar un tiempo en reflejar por completo las actualizaciones.
    1. Abra el menú de navegación y haga clic en Almacenamiento. En Almacenamiento de archivos, haga clic en Destinos de montaje.
    2. En la sección Ámbito de lista, en Compartimento, seleccione un compartimento.
    3. Busque el destino de montaje que le interesa, haga clic en el menú Acciones (Menú Acciones) y, a continuación, haga clic en Ver detalles.
    4. Haga clic en el separador NFS para ver o editar la configuración de NFS existente para el destino de montaje.
    5. Junto a Kerberos, haga clic en Manage.

    6. En la ventana Gestionar Kerberos, proporcione los siguientes detalles:

      • Dominio de Kerberos: introduzca el dominio de Kerberos al que se une este destino de montaje.
      • En la sección de información de tabla de claves, proporcione los siguientes detalles:
        • Seleccione el almacén que contiene el secreto de tabla de claves que desea utilizar.
        • Seleccione el secreto de tabla de claves.
        • Seleccione la versión de secreto de tabla de claves actual y la versión de secreto de tabla de claves de copia de seguridad.
        Atención

        Asegúrese de realizar una copia de seguridad de los almacenes y las claves. De lo contrario, suprimir un almacén y una clave significa perder la capacidad de descifrar cualquier recurso o datos que la clave haya utilizado para cifrar. Para obtener más información, consulte Copia de seguridad y restauración de almacenes y claves.

    7. Haga clic en Validar tabla de claves antes de activar Kerberos para inspeccionar el contenido de la tabla de claves.

      Atención

      Una tabla de claves configurada incorrectamente puede hacer que los clientes NFS pierdan acceso a los sistemas de archivos.
    8. Activar Kerberos: active esta opción para utilizar Kerberos. Consulte Using Kerberos Authentication para obtener más información.
    9. Haga clic en Guardar.

  • Utilice el comando oci fs mount-target create con las opciones --kerberos, --idmap-type y --ldap-idmap para crear un destino de montaje y proporcionar detalles de Kerberos y LDAP.

    oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    Utilice el comando oci fs mount-target update con las opciones --kerberos, --idmap-type y --ldap-idmap para actualizar un destino de montaje existente con detalles de Kerberos y LDAP.

    oci fs mount-target update --mount-target-id <mount_target_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    A continuación se muestra un ejemplo de archivo krb.json:

    {
  "currentKeyTabSecretVersion": 1,
  "isKerberosEnabled": true,
  "kerberosRealm": "EXAMPLE.COM",
  "keyTabSecretId": "ocid1.vaultsecret.oc1.eu-frankfurt-1.exampleuniqueID"
}

    A continuación se muestra un ejemplo de archivo ldap.json:

    {
  "cacheLifetimeSeconds": 300,
  "cacheRefreshIntervalSeconds": 300,
  "groupSearchBase": "cn=accounts,dc=example,dc=com",
  "negativeCacheLifetimeSeconds": 300,
  "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "userSearchBase": "cn=accounts,dc=example,dc=com",
  "schemaType": "RFC2307"
}

    Utilice el comando oci fs mount-target validate-key-tabs para probar la tabla de claves de Kerberos que utiliza el conector de salida asociado al destino de montaje.

    oci fs mount-target validate-key-tabs --mount-target-id <mount_target_id>

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de CLI.

  • Utilice CreateMountTarget o UpdateMountTarget con las opciones kerberos, idMapType y ldapIdmap para crear o actualizar un destino de montaje con los detalles de LDAP y Kerberos.

    Utilice ValidateKeyTabs para validar la tabla de claves de Kerberos asociada al destino de montaje.

    Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.