Configuration de l'authentification Kerberos

Les informations Kerberos sont configurées sur une base cible par montage en suivant les étapes suivantes.

Note

Ces étapes supposent que vous utilisez l'autorisation LDAP pour activer l'authentification Kerberos par utilisateur. L'accès anonyme à l'authentification Kerberos est possible sans les exigences LDAP et les étapes correspondantes. Pour plus d'informations, voir Consultations LDAP et accès anonyme.
  1. Assurez-vous que l'infrastructure LDAP et Kerberos est requise. Pour plus d'informations, voir Préalables.
    1. Si le résolveur de VCN par défaut n'est pas utilisé, ajoutez des enregistrements de nom aval et inverse au serveur DNS géré par le client.
    2. Ajoutez le principal de la cible de montage au KDC et extrayez un fichier keytab binaire du KDC. Les étapes d'extraction d'un keytab diffèrent en fonction du type de KDC utilisé (basé sur Linux ou Active Directory).
  2. Convertissez le fichier keytab binaire Kerberos en Base64, puis utilisez-le pour créer une clé secrète dans la chambre forte OCI. Assurez-vous de sélectionner Base64 comme format de la clé secrète lorsque vous collez le fichier keytab converti. Pour plus d'informations, voir Aperçu du service de chambre forte.
  3. Chargez le mot de passe LDAP dans la chambre forte OCI en tant que clé secrète au format texte brut. Pour plus d'informations, voir Aperçu du service de chambre forte.
  4. Ajoutez les politiques IAM requises.
  5. Créez deux connecteurs sortants pour communiquer avec le serveur LDAP.
    Note

    L'utilisation de LDAP pour l'autorisation nécessite au moins un connecteur sortant. Un second connecteur sortant peut être utilisé comme sauvegarde ou comme basculement. Voir Consultations LDAP et accès anonyme pour plus de détails sur la réponse du stockage de fichiers lorsqu'il ne peut pas atteindre un serveur LDAP.
  6. Ajouter des détails de configuration LDAP à une cible de montage.
  7. Ajoutez les détails d'authentification Kerberos à la même cible de montage et validez l'onglet de clé.
    Note

    La configuration Kerberos n'est pas partagée entre les cibles de montage.
  8. Vérifiez que la cible de montage utilisée pour l'authentification Kerberos comporte :
    • Nom de domaine complet qui correspond à l'instance du principal du fichier keytab Kerberos. Par exemple : nfs/<FQDN_of_mount_target>@<REALM>.
      Note

      Lorsque le résolveur Internet et VCN par défaut, le service de stockage de fichiers construit un nom de domaine complet en combinant le nom d'hôte de la cible de montage et le nom de domaine complet du sous-réseau dans lequel la cible de montage se trouve. Pour plus d'informations, voir Gestion des cibles de montage.
    • Un nom de domaine complet qui a été ajouté au serveur DNS avec une recherche à la fois vers l'avant et vers l'arrière.
  9. Créer ou mettre à jour un système de fichiers à l'aide de la cible de montage LDAP et activée pour Kerberos.
  10. Ajoutez une exportation activée pour Kerberos à la cible de montage. Voir Utiliser Kerberos pour l'authentification pour un exemple.
  11. Montez le système de fichiers. Pour plus d'informations, voir Montage de systèmes de fichiers compatibles Kerberos.
    Note

    Utilisez le nom de domaine complet de la cible de montage au lieu de l'adresse IP.

Activer l'authentification Kerberos pour une cible de montage

Configurer l'authentification Kerberos pour une cible de montage du service de stockage de fichiers.

Note

Lorsque vous mettez à jour une cible de montage existante pour utiliser Kerberos, le stockage de fichiers peut prendre un certain temps pour refléter entièrement les mises à jour.
    1. Ouvrez le menu de navigation et sélectionnez Stockage. Sous Stockage de fichiers, sélectionnez Cibles de montage.
    2. Dans la section Portée de la liste, sous Compartiment, sélectionnez un compartiment.
    3. Trouvez la cible de montage qui vous intéresse, cliquez sur le menu Actions (trois points), puis sur Voir les détails.
    4. Cliquez sur l'onglet NFS pour voir ou modifier les paramètres NFS existants pour la cible de montage.
    5. À côté de Kerberos, cliquez sur Gérer.
    6. Dans la fenêtre Gérer Kerberos, fournissez les détails suivants :

      • domaine Kerberos : Entrez le domaine Kerberos joint par cette cible de montage.
      • Dans la section d'informations Keytab, fournissez les détails suivants :
        • Sélectionnez la chambre forte qui contient la clé secrète du fichier keytab à utiliser.
        • Sélectionnez la clé secrète de fichier clé.
        • Sélectionnez la version courante de la clé secrète de fichier keytab et la version de la clé secrète de fichier keytab de sauvegarde.
        Attention

        Veillez à sauvegarder vos chambres fortes et vos clés. Lorsque vous supprimez une chambre forte et une clé, vous ne pouvez plus déchiffrer les ressources ou les données qui ont été chiffrées avec la clé. Pour plus d'informations, voir Sauvegarde et restauration des chambres fortes et des clés.
    7. Cliquez sur Valider le fichier keytab avant d'activer Kerberos pour inspecter le contenu du fichier keytab.

      Attention

      Un keytab configuré de manière incorrecte peut entraîner la perte d'accès des clients NFS aux systèmes de fichiers.
    8. Activer Kerberos : Activez cette option pour utiliser Kerberos. Pour plus d'informations, voir Utilisation de l'authentification Kerberos.
    9. Cliquez sur Enregistrer.
  • Utilisez la commande oci fs mount-target create avec les options --kerberos, --idmap-type et --ldap-idmap pour créer une cible de montage et fournir des détails Kerberos et LDAP.

    oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    Utilisez la commande oci fs mount-target update avec les options --kerberos, --idmap-type et --ldap-idmap pour mettre à jour une cible de montage existante avec les détails Kerberos et LDAP.

    oci fs mount-target update --mount-target-id <mount_target_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    Voici un exemple de fichier krb.json :

    {
      "currentKeyTabSecretVersion": 1,
      "isKerberosEnabled": true,
      "kerberosRealm": "EXAMPLE.COM",
      "keyTabSecretId": "ocid1.vaultsecret.oc1.eu-frankfurt-1.exampleuniqueID"
    }

    Voici un exemple de fichier ldap.json :

    {
      "cacheLifetimeSeconds": 300,
      "cacheRefreshIntervalSeconds": 300,
      "groupSearchBase": "cn=accounts,dc=example,dc=com",
      "negativeCacheLifetimeSeconds": 300,
      "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
      "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
      "userSearchBase": "cn=accounts,dc=example,dc=com",
      "schemaType": "RFC2307"
    }

    Utilisez la commande oci fs mount-target validate-key-tabs pour tester le fichier keytab Kerberos utilisé par le connecteur sortant associé à la cible de montage.

    oci fs mount-target validate-key-tabs --mount-target-id <mount_target_id>

    Pour la liste complète des paramètres et des valeurs pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

  • Utilisez CreateMountTarget ou UpdateMountTarget avec les options kerberos, idMapType et ldapIdmap pour créer ou mettre à jour une cible de montage avec les détails LDAP et Kerberos.

    Utilisez ValidateKeyTabs pour valider le fichier keytab Kerberos associé à la cible de montage.

    Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.