Rotation des clés
La rotation d'un fichier keytab Kerberos utilisé pour l'authentification File Storage doit être effectuée avec précaution pour éviter toute coupure de disponibilité.
Clients NFS utilisant Kerberos pour les tickets d'actualisation d'authentification en fonction d'un intervalle spécifié par l'administrateur KDC. Lors de la rotation des entrées keytab, la cible de montage doit accepter à la fois les anciennes valeurs et les nouvelles valeurs jusqu'à ce que tous les clients aient actualisé leurs tickets. Si l'ancienne entrée keytab est supprimée trop tôt, les clients qui n'ont pas actualisé leurs tickets peuvent subir une coupure de disponibilité.
Pour mettre à jour en toute sécurité un fichier keytab Kerberos utilisé dans l'authentification File Storage :
- Générez un fichier keytab à partir du KDC avec de nouvelles versions de clé et convertissez-le au format Base64.
- Téléchargez le fichier keytab vers OCI Vault en tant que nouvelle version de clé secrète de la clé secrète de fichier keytab existante. Assurez-vous que le format sélectionné de la nouvelle version de clé secrète est Base64. Pour plus d'informations, reportez-vous à Présentation de Vault.
- Mettez à jour les informations Keytab de la cible de montage :
- Ouvrez le menu de navigation et sélectionnez Stockage. Sous File Storage, sélectionnez Cibles de montage.
- Sélectionnez un compartiment.
- Sélectionnez la cible de montage à mettre à jour.
- Sélectionnez le menu Actions, puis Gérer les fonctions kerberos.
- Dans le panneau Manage Kerberos, dans la section Keytab information :
- Sélectionnez la nouvelle version du fichier keytab en tant que version de clé secrète du fichier keytab en cours
- Sélectionnez l'ancienne version de keytab en tant que version de clé secrète de fichier keytab de sauvegarde.
- Attendez que tous les clients NFS aient actualisé leurs tickets Kerberos.
- Supprimez la version de clé secrète de fichier keytab de sauvegarde de la configuration de la cible de montage.
- Sélectionnez Mettre à jour.