Documentation sur Oracle Cloud Infrastructure

Accès refusé lors du montage d'un système de fichiers avec l'authentification Kerberos

Lors du montage d'un système de fichiers qui utilise l'authentification Kerberos, l'accès est refusé.

Le graphique Erreurs Kerberos de la cible de montage peut inclure les types d'erreur suivants :

  • Kerberos - Aucun keytab
  • Kerberos sans clé
  • Non-concordance du numéro de version de clé Kerberos
  • Variation de l'horloge de Kerberos
    • Le service de stockage de fichiers d'Oracle Cloud Infrastructure fournit jusqu'à 300 secondes pour l'ajustement d'horloge lors de l'utilisation de Kerberos. Pour empêcher les intrus de réinitialiser les horloges système et d'utiliser des tickets expirés, les demandes de ticket de tout hôte dont l'horloge n'est pas dans les 300 secondes sont rejetées.

Le graphique Erreurs de connexion LDAP de la cible de montage et le graphique Erreurs de demande LDAP peuvent inclure les types d'erreur suivants :

  • Temporisation de la connexion LDAP
  • Connexion LDAP refusée/réinitialisée
  • Échec de la résolution du nom LDAP
  • Échec de la connexion de liaison LDAP
  • Échec de la validation du certificat LDAP
  • Nom d'utilisateur de consultation par UID
  • UID de consultation par nom d'utilisateur
  • Rechercher des groupes d'utilisateurs

Effectuez les tâches suivantes pour résoudre ce problème :

  1. Assurez-vous que Kerberos est activé sur la cible de montage.
  2. Configurez l'authentification AUTH_SYS lors de l'exportation et essayez de monter le système de fichiers à l'aide de -o sec=sys dans la commande de montage. Ce test peut vous aider à déterminer si le problème est spécifique à l'authentification Kerberos.
  3. Vérifiez la validité du ticket Kerberos sur le client à l'aide de la commande klist -A.
  4. Vérifiez les journaux de démon rpc-gssd du client NFS pour les problèmes liés à Kerberos. Augmentez la verbosité de journal du démon rpc-gssd selon les besoins.
  5. Vérifiez que la commande de montage utilise le nom de domaine complet et inclut les options d'exportation appropriées. Pour plus d'informations, voir Montage de systèmes de fichiers compatibles Kerberos.
  6. Vérifiez les graphiques et les journaux de la cible de montage, si la journalisation est activée, pour rechercher les erreurs ou les messages Kerberos Keytab Load Success dans le graphique Errors de Kerberos.
  7. Si l'accès anonyme est désactivé, vérifiez qu'une entrée utilisateur est présente dans la base de recherche des utilisateurs ayant des attributs UID, uidNumber et gidNumber dans le serveur LDAP. Vérifiez que le groupe pour l'utilisateur existe dans la base de recherche de groupes avec gidNumber et memberUid.

    Vérifiez les graphiques et les journaux de la cible de montage, si la journalisation est activée, pour voir les erreurs dans le graphique Erreurs de connexion LDAP ou le graphique Erreurs de demande LDAP.

Pour plus d'informations, voir Échec de la commande de montage.