Documentation sur Oracle Cloud Infrastructure

Utilisation des mesures et des journaux NFS pour dépanner les problèmes LDAP et Kerberos

Utilisez les mesures NFS et les journaux de service d'un connecteur sortant ou d'une cible de montage pour diagnostiquer les problèmes avec les systèmes de fichiers qui utilisent LDAP pour l'autorisation et Kerberos pour l'authentification.

Les connecteurs sortants et les cibles de montage du stockage de fichiers qui utilisent LDAP, ou qui utilisent LDAP et Kerberos, émettent des mesures pour vous aider à surveiller la connectivité, les performances et les erreurs. Les graphiques suivants sont conçus pour capturer des erreurs spécifiques :

Pour des détails complets sur les mesures et les graphiques liés au service de stockage de fichiers, voir Mesures liées au système de fichiers.

Nous vous recommandons d'activer les journaux NFS pour les cibles de montage qui utilisent LDAP ou Kerberos et de définir des alarmes en cas d'erreur. Voir Informations détaillées sur le service de stockage de fichiers pour plus d'informations.

Erreurs de connexion LDAP

Le graphique Erreurs de connexion LDAP capture les types d'erreur suivants :

  • Temporisation de la connexion LDAP
  • Connexion LDAP refusée/réinitialisée
  • Échec de la résolution du nom LDAP
  • Échec de la connexion de liaison LDAP
  • Échec de la validation du certificat LDAP

Pour les erreurs "Temporisation de connexion LDAP" et "Connexion LDAP refusée/réinitialisée" :

  1. Vérifiez que les règles de sécurité de réseau VCN permettent la communication avec vos serveurs LDAP et DNS. Voir Scénario D : La cible de montage utilise LDAP pour l'autorisation
  2. Vérifiez que le service LDAP s'exécute sur le serveur LDAP géré par le client.
    Conseil

    Vous pouvez tester la fonction de recherche LDAP à l'aide de la commande ldapsearch à partir d'une instance Linux dans le même sous-réseau que la cible de montage. Pour plus d'informations, voir Test de la prise en charge des schémas LDAP.
  3. Vérifiez que la cible de montage utilise un connecteur sortant avec le serveur LDAP et le port LDAPS appropriés. Pour plus d'informations, voir Gestion des connecteurs sortants.

Pour les erreurs "LDAP Name Resolution Failed" :

  1. Vérifiez que les règles de sécurité de réseau VCN permettent la communication avec vos serveurs LDAP et DNS. Pour plus d'informations, voir Scénario D : La cible de montage utilise LDAP pour l'autorisation.
  2. Assurez-vous que les fichiers de zone DNS sur le serveur DNS contiennent des enregistrements A et PTR pour le serveur LDAP.
  3. Si le serveur DNS configuré est géré par le client et utilise des options DHCP, vérifiez que les options DHCP sont correctes et que la cible de montage se trouve dans le sous-réseau dont les options DHCP sont définies.
  4. Vérifiez que le service de noms est accessible et s'exécute sur votre serveur DNS. Vous pouvez utiliser une consultation DNS et une consultation inverse à partir d'une instance dans le même sous-réseau que votre cible de montage.

Pour les erreurs "LDAP Bind Login Failed" :

Vérifiez que le connecteur sortant utilise le nom distinctif de liaison et le mot de passe corrects. Pour plus d'informations, voir Gestion des connecteurs sortants.

Pour les erreurs "Échec de validation de certificat LDAP" :

Vérifiez que le serveur LDAP dispose d'un certificat valide.

Erreurs des demandes LDAP

Le graphique Erreurs de demande LDAP capture les types d'erreur suivants :

  • Nom d'utilisateur de consultation par UID
  • UID de consultation par nom d'utilisateur
  • Rechercher des groupes d'utilisateurs

Les erreurs de demande LDAP peuvent entraîner des problèmes d'autorisation ou des erreurs lors du montage de systèmes de fichiers.

Vous pouvez utiliser la commande ldapsearch à partir d'une instance Linux avec connectivité au serveur LDAP pour vérifier que :

  1. Une entrée d'utilisateur est présente sous Search Base for Users with uid, uidNumber and gidNumber.
  2. Une entrée de groupe de l'utilisateur est présente sous Base de recherche pour les groupes avec l'attribut memberUid.

Pour plus d'informations, voir Test de la prise en charge des schémas LDAP.

Erreur Kerberos

Le graphique Erreurs Kerberos capture les types d'erreur suivants :

  • Kerberos - Aucun keytab
  • Kerberos sans clé
  • Non-concordance du numéro de version de clé Kerberos
  • Variation de l'horloge de Kerberos

Pour les erreurs "Kerberos no keytab" :

Vérifiez que vous avez chargé un fichier keytab Kerberos dans le service de chambre forte pour OCI et sélectionné la clé secrète lors de l'activation de l'authentification Kerberos.

Pour les erreurs "Kerberos no key" :

Il n'y a aucune clé dans le keytab. Pour plus d'informations, voir Clavier Kerberos.

Pour les erreurs de non-concordance du numéro de version de clé Kerberos :

  1. Les numéros de version de clé sont utilisés pour distinguer les différentes clés dans le même domaine. Cette erreur se produit lorsque le système ne trouve pas kvno dans le keytab correspondant au ticket. Le ticket peut être obsolète ou expiré. Pour plus d'informations, voir Clavier Kerberos.
  2. Vérifiez que la clé secrète du fichier keytab sélectionnée est correcte. Si ce n'est pas le cas, extrayez le onglet de clé correct pour le principal de cible de montage à partir du KDC, puis rechargez le fichier de clé comme clé secrète et sélectionnez la nouvelle version de clé secrète.

Pour les erreurs "Kerberos clock skew" :

Vérifiez que la date et l'heure sont correctes sur le client et dans le KDC. Pour empêcher les intrus de réinitialiser leurs horloges système et d'utiliser des tickets expirés, Kerberos rejette les demandes de ticket de tout hôte dont l'horloge est désynchronisée.