Acceso denegado al montar un sistema de archivos con autenticación Kerberos
Al montar un sistema de archivos que utiliza la autenticación Kerberos, se deniega el acceso.
El gráfico de errores de Kerberos del destino de montaje puede incluir los siguientes tipos de error:
- Kerberos sin tabla de claves
- Kerberos sin clave
- El número de versión de clave de Kerberos no coincide
- Discrepancia de reloj de Kerberos
- Oracle Cloud Infrastructure File Storage permite hasta 300 segundos de sesgo de reloj al utilizar Kerberos. Para evitar que los intrusos restablezcan los relojes del sistema y usen tickets caducados, se rechazan las solicitudes de tickets de cualquier host cuyo reloj no esté dentro de los 300 segundos.
El gráfico Errores de Conexión de LDAP y el gráfico Errores de Solicitud de LDAP del destino de montaje pueden incluir los siguientes tipos de error:
- Timeout de Conexión de LDAP
- Conexión LDAP rechazada/restablecida
- Fallo de resolución de nombre de LDAP
- Fallo de inicio de sesión de enlace LDAP
- Fallo de validación de certificado LDAP
- Buscar nombre de usuario por UID
- Consultar UID por nombre de usuario
- Buscar grupos de usuarios
Realice las siguientes tareas para ayudar a solucionar este problema:
- Asegúrese de que Kerberos esté activado en el destino de montaje.
- Configure la autenticación AUTH_SYS en la exportación e intente montar el sistema de archivos mediante
-o sec=sys
en el comando mount. Esta prueba puede ayudarle a encontrar si el problema es específico de la autenticación de Kerberos. - Compruebe la validez del ticket de Kerberos en el cliente mediante el comando
klist -A
. - Revise los logs del daemon
rpc-gssd
del cliente NFS para detectar problemas relacionados con Kerberos. Aumente el nivel de detalle del log del daemonrpc-gssd
según sea necesario. - Verifique que el comando mount utilice el nombre de dominio completo e incluya las opciones de exportación correctas. Para obtener más información, consulte Mounting Kerberos-enabled File Systems.
- Compruebe los gráficos y logs del destino de montaje, si el registro está activado, para detectar errores o mensajes Carga correcta de tabla de claves de Kerberos en el gráfico Errores de Kerberos.
- Si el acceso anónimo está desactivado, verifique que haya una entrada de usuario en la base de búsqueda para usuarios con atributos uid, uidNumber y gidNumber en el servidor LDAP. Verifique que el grupo para el usuario existe en la base de búsqueda para grupos con gidNumber y memberUid.
Compruebe los gráficos y logs del destino de montaje, si el registro está activado, en busca de errores en el gráfico Errores de conexión LDAP o el gráfico Errores de solicitud LDAP.