Documentation Oracle Cloud Infrastructure

Configuration de l'authentification Kerberos

Les informations Kerberos sont configurées sur une base cible par montage à l'aide des étapes suivantes.

Remarque

Ces étapes supposent que vous utilisez l'autorisation LDAP pour activer l'authentification Kerberos par utilisateur. L'accès anonyme à l'authentification Kerberos est possible sans les exigences LDAP et les étapes correspondantes. Pour plus d'informations, reportez-vous à la section LDAP Lookups and Anonymous Access.
  1. Assurez-vous que l'infrastructure LDAP et Kerberos est requise. Pour plus d'informations, reportez-vous à Prérequis.
    1. Si le résolveur VCN par défaut n'est pas utilisé, ajoutez les enregistrements de nom de transfert et d'inverse au serveur DNS géré par le client.
    2. Ajoutez le principal de cible de montage au KDC et extrayez un fichier keytab binaire du KDC. Les étapes d'extraction d'un fichier keytab diffèrent en fonction du type de KDC utilisé (basé sur Linux ou Active Directory).
  2. Convertissez le fichier keytab Kerberos binaire en Base64, puis utilisez-le pour créer une clé secrète dans OCI Vault. Veillez à sélectionner Base64 comme format de la clé secrète lorsque vous collez le fichier keytab converti. Pour plus d'informations, reportez-vous à Présentation de Vault.
  3. Téléchargez le mot de passe LDAP vers OCI Vault en tant que clé secrète au format texte brut. Pour plus d'informations, reportez-vous à Présentation de Vault.
  4. Ajoutez les stratégies IAM requises.
  5. Créez deux connecteurs sortants pour contacter le serveur LDAP.
    Remarque

    L'utilisation de LDAP pour l'autorisation nécessite au moins un connecteur sortant. Un deuxième connecteur sortant peut être utilisé comme sauvegarde ou pour le basculement. Reportez-vous à la section LDAP Lookups and Anonymous Access pour plus de détails sur la réponse de File Storage lorsqu'il ne parvient pas à atteindre un serveur LDAP.
  6. Ajoutez les détails de configuration LDAP à une cible de montage.
  7. Ajoutez les détails d'authentification Kerberos à la même cible de montage et validez le fichier keytab.
    Remarque

    La configuration Kerberos n'est pas partagée entre les cibles de montage.
  8. Vérifiez que la cible de montage utilisée pour l'authentification Kerberos comporte :
    • Nom de domaine qualifié complet qui correspond à l'instance du principal keytab Kerberos. Par exemple : nfs/<FQDN_of_mount_target>@<REALM>.
      Remarque

      Lorsque le résolveur Internet et VCN par défaut, le service File Storage construit un nom de domaine qualifié complet en combinant le nom d'hôte de la cible de montage avec le nom de domaine qualifié complet du sous-réseau dans lequel se trouve la cible de montage. Pour plus d'informations, reportez-vous à Gestion des cibles de montage.
    • Nom de domaine qualifié complet ajouté au serveur DNS avec recherche directe et inverse.
  9. Créez ou mettez à jour un système de fichiers à l'aide de la cible de montage LDAP et Kerberos.
  10. Ajoutez un export activé par Kerberos à la cible de montage. Pour obtenir un exemple, reportez-vous à la section Use Kerberos for Authentication.
  11. Montez le système de fichiers. Pour plus d'informations, reportez-vous à la section Mounting Kerberos-enabled File Systems.
    Remarque

    Utilisez le nom de domaine qualifié complet de la cible de montage au lieu de l'adresse IP.

Activation de l'authentification Kerberos pour une cible de montage

Configurez l'authentification Kerberos pour une cible de montage File Storage.

Remarque

Lorsque vous mettez à jour une cible de montage existante pour qu'elle utilise Kerberos, File Storage peut mettre un certain temps à refléter entièrement les mises à jour.
    1. Ouvrez le menu de navigation et sélectionnez Stockage. Sous File Storage, sélectionnez Cibles de montage.
    2. Dans la section Portée de la liste, sous Compartiment, sélectionnez un compartiment.
    3. Recherchez la cible de montage qui vous intéresse, cliquez sur le menu Actions (trois points), puis sur Visualiser les détails.
    4. Cliquez sur l'onglet NFS pour afficher ou modifier les paramètres NFS existants pour la cible de montage.
    5. En regard de Kerberos, cliquez sur Gérer.

    6. Dans la fenêtre Gérer Kerberos, fournissez les détails suivants :

      • Domaine Kerberos : entrez le domaine Kerberos joint à cette cible de montage.
      • Dans la section Informations sur le fichier keytab, indiquez les détails suivants :
        • Sélectionnez le coffre qui contient la clé secrète du fichier keytab à utiliser.
        • Sélectionnez la clé secrète de fichier keytab.
        • Sélectionnez la version de clé secrète de fichier keytab en cours et la version de clé secrète de fichier keytab de sauvegarde.
        Attention

        Veillez à sauvegarder vos coffres et clés. Si un coffre et une clé sont supprimés, vous ne pouvez plus décrypter les ressources ou les données cryptées par la clé. Pour plus d'informations, reportez-vous à Sauvegarde et restauration de coffres et de clés.

    7. Cliquez sur Valider le fichier keytab avant d'activer Kerberos pour inspecter le contenu du fichier keytab.

      Attention

      Un keytab mal configuré peut entraîner la perte de l'accès des clients NFS aux systèmes de fichiers.
    8. Activer Kerberos : activez cette option pour utiliser Kerberos. Pour plus d'informations, reportez-vous à la section Using Kerberos Authentication.
    9. Cliquez sur Enregistrer.

  • Utilisez la commande oci fs mount-target create avec les options --kerberos, --idmap-type et --ldap-idmap pour créer une cible de montage et fournir des détails Kerberos et LDAP.

    oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    Utilisez la commande oci fs mount-target update avec les options --kerberos, --idmap-type et --ldap-idmap pour mettre à jour une cible de montage existante avec les détails Kerberos et LDAP.

    oci fs mount-target update --mount-target-id <mount_target_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    Voici un exemple de fichier krb.json :

    {
  "currentKeyTabSecretVersion": 1,
  "isKerberosEnabled": true,
  "kerberosRealm": "EXAMPLE.COM",
  "keyTabSecretId": "ocid1.vaultsecret.oc1.eu-frankfurt-1.exampleuniqueID"
}

    Voici un exemple de fichier ldap.json :

    {
  "cacheLifetimeSeconds": 300,
  "cacheRefreshIntervalSeconds": 300,
  "groupSearchBase": "cn=accounts,dc=example,dc=com",
  "negativeCacheLifetimeSeconds": 300,
  "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "userSearchBase": "cn=accounts,dc=example,dc=com",
  "schemaType": "RFC2307"
}

    Utilisez la commande oci fs mount-target validate-key-tabs pour tester le fichier keytab Kerberos utilisé par le connecteur sortant associé à la cible de montage.

    oci fs mount-target validate-key-tabs --mount-target-id <mount_target_id>

    Pour obtenir la liste complète des paramètres et des valeurs des commandes d'interface de ligne de commande, reportez-vous à Référence de commande d'interface de ligne de commande.

  • Utilisez CreateMountTarget ou UpdateMountTarget avec les options kerberos, idMapType et ldapIdmap pour créer ou mettre à jour une cible de montage avec des détails LDAP et Kerberos.

    Utilisez ValidateKeyTabs pour valider le fichier keytab Kerberos associé à la cible de montage.

    Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.