Documentation sur Oracle Cloud Infrastructure

Rotation des clés

La rotation d'un onglet de clé Kerberos utilisé pour l'authentification du service de stockage de fichiers doit être effectuée avec soin pour éviter une interruption de disponibilité.

Clients NFS utilisant Kerberos pour les tickets d'actualisation d'authentification en fonction d'un intervalle spécifié par l'administrateur KDC. Lors de la rotation des entrées de keytab, la cible de montage doit accepter à la fois les anciennes valeurs et les nouvelles valeurs jusqu'à ce que tous les clients aient actualisé leurs tickets. Si l'ancienne entrée du keytab est retirée trop tôt, les clients qui n'ont pas actualisé leurs billets peuvent subir une interruption de disponibilité.

Pour mettre à jour en toute sécurité un onglet de clé Kerberos utilisé dans l'authentification de stockage de fichiers :

  1. Générez un fichier keytab à partir du KDC avec de nouvelles versions de clé et convertissez-le au format Base64.
  2. Chargez le fichier de clés dans la chambre forte OCI en tant que nouvelle version de clé secrète de la clé secrète existante. Assurez-vous que le format sélectionné pour la nouvelle version de clé secrète est Base64. Pour plus d'informations, voir Aperçu du service de chambre forte.
  3. Mettez à jour les informations sur le fichier keytab de la cible de montage :
    1. Ouvrez le menu de navigation et sélectionnez Stockage. Sous Stockage de fichiers, sélectionnez Cibles de montage.
    2. Sélectionnez un compartiment.
    3. Sélectionnez la cible de montage à mettre à jour.
    4. Sélectionnez le menu Actions, puis Gérer les kerberos.
    5. Dans le panneau Gérer Kerberos, dans la section Informations sur le fichier keytab :
      • Sélectionnez la nouvelle version du fichier keytab en tant que version courante de la clé secrète du fichier keytab
      • Sélectionnez l'ancienne version du fichier keytab en tant que version de clé secrète du fichier keytab de sauvegarde.
    6. Attendez que tous les clients NFS aient actualisé leurs tickets Kerberos.
    7. Supprimez la version de clé secrète du fichier keytab de sauvegarde de la configuration de la cible de montage.
    8. Sélectionnez Mettre à jour.