Documentation sur Oracle Cloud Infrastructure

Rotation des clés

La rotation d'un onglet de clé Kerberos utilisé pour l'authentification du service de stockage de fichiers doit être effectuée avec soin pour éviter une interruption de disponibilité.

Clients NFS utilisant Kerberos pour les tickets d'actualisation d'authentification en fonction d'un intervalle spécifié par l'administrateur KDC. Lors de la rotation des entrées de keytab, la cible de montage doit accepter à la fois les anciennes valeurs et les nouvelles valeurs jusqu'à ce que tous les clients aient actualisé leurs tickets. Si l'ancienne entrée du keytab est retirée trop tôt, les clients qui n'ont pas actualisé leurs billets peuvent subir une interruption de disponibilité.

Pour mettre à jour en toute sécurité un onglet de clé Kerberos utilisé dans l'authentification de stockage de fichiers :

  1. Générez un fichier keytab à partir du KDC avec de nouvelles versions de clé et convertissez-le au format Base64.
  2. Chargez le fichier de clés dans la chambre forte OCI en tant que nouvelle version de clé secrète de la clé secrète existante. Assurez-vous que le format sélectionné pour la nouvelle version de clé secrète est Base64. Pour plus d'informations, voir Aperçu du service de chambre forte.
  3. Mettez à jour les informations sur le fichier keytab de la cible de montage :
    1. Ouvrez le menu de navigation et sélectionnez Stockage. Sous Stockage de fichiers, sélectionnez Cibles de montage.
    2. Dans la section Portée de la liste, sous Compartiment, sélectionnez un compartiment.
    3. Recherchez la cible de montage pour laquelle vous devez mettre à jour les versions du fichier keytab Kerberos, cliquez sur le menu Actions (trois points), puis cliquez sur Voir les détails.
    4. Cliquez sur l'onglet NFS pour voir les paramètres NFS existants pour la cible de montage.
    5. À côté de Kerberos, cliquez sur Gérer.
    6. Dans la section Informations sur les touches, mettez à jour les touches :
      • Sélectionnez la nouvelle version du fichier keytab comme Version courante de la clé secrète du fichier keytab
      • Sélectionnez l'ancienne version du fichier keytab comme Version de la clé secrète du fichier keytab de sauvegarde.
  4. Attendez que tous les clients NFS aient actualisé leurs tickets Kerberos.
  5. Supprimez la version de clé secrète du fichier de clés de sauvegarde de la configuration de la cible de montage.