Documentation Oracle Cloud Infrastructure

Rotation des clés

La rotation d'un fichier keytab Kerberos utilisé pour l'authentification File Storage doit être effectuée avec précaution pour éviter toute coupure de disponibilité.

Clients NFS utilisant Kerberos pour les tickets d'actualisation d'authentification en fonction d'un intervalle spécifié par l'administrateur KDC. Lors de la rotation des entrées keytab, la cible de montage doit accepter à la fois les anciennes valeurs et les nouvelles valeurs jusqu'à ce que tous les clients aient actualisé leurs tickets. Si l'ancienne entrée keytab est supprimée trop tôt, les clients qui n'ont pas actualisé leurs tickets peuvent subir une coupure de disponibilité.

Pour mettre à jour en toute sécurité un fichier keytab Kerberos utilisé dans l'authentification File Storage :

  1. Générez un fichier keytab à partir du KDC avec de nouvelles versions de clé et convertissez-le au format Base64.
  2. Téléchargez le fichier keytab vers OCI Vault en tant que nouvelle version de clé secrète de la clé secrète de fichier keytab existante. Assurez-vous que le format sélectionné de la nouvelle version de clé secrète est Base64. Pour plus d'informations, reportez-vous à Présentation de Vault.
  3. Mettez à jour les informations Keytab de la cible de montage :
    1. Ouvrez le menu de navigation et sélectionnez Stockage. Sous File Storage, sélectionnez Cibles de montage.
    2. Dans la section Portée de la liste, sous Compartiment, sélectionnez un compartiment.
    3. Recherchez la cible de montage pour laquelle vous devez mettre à jour les versions de keytab Kerberos, cliquez sur le menu Actions (trois points), puis sur Afficher les détails.
    4. Cliquez sur l'onglet NFS pour afficher les paramètres NFS existants pour la cible de montage.
    5. En regard de Kerberos, cliquez sur Gérer.
    6. Dans la section Informations sur le fichier keytab, mettez à jour les onglets de clés :
      • Sélectionnez la nouvelle version de fichier keytab en tant que version de clé secrète de fichier keytab en cours.
      • Sélectionnez l'ancienne version de fichier keytab en tant que version de clé secrète de fichier keytab de sauvegarde.
  4. Attendez que tous les clients NFS aient actualisé leurs tickets Kerberos.
  5. Supprimez la version de clé secrète du fichier keytab de sauvegarde de la configuration de la cible de montage.