Documentation Oracle Cloud Infrastructure

Accès refusé lors du montage d'un système de fichiers avec l'authentification Kerberos

Lors du montage d'un système de fichiers qui utilise l'authentification Kerberos, l'accès est refusé.

Le graphique Erreurs Kerberos de la cible de montage peut inclure les types d'erreur suivants :

  • Kerberos pas de fichier keytab
  • Kerberos sans clé
  • Non-concordance du numéro de version de la clé Kerberos
  • Ecart d'horloge Kerberos
    • Oracle Cloud Infrastructure File Storage permet jusqu'à 300 secondes d'écart d'horloge lors de l'utilisation de Kerberos. Pour empêcher les intrus de réinitialiser les horloges système et d'utiliser des tickets expirés, les demandes de tickets de tout hôte dont l'horloge n'est pas dans les 300 secondes sont rejetées.

Le graphique Erreurs de connexion LDAP et le graphique Erreurs de demande LDAP de la cible de montage peuvent inclure les types d'erreur suivants :

  • Délai d'expiration de la connexion LDAP
  • Connexion LDAP refusée/réinitialisation
  • Echec de la résolution du nom LDAP
  • Echec de la connexion de liaison LDAP
  • Echec de validation de certificat LDAP
  • Rechercher le nom utilisateur par UID
  • UID de recherche par nom utilisateur
  • Rechercher des groupes d'utilisateurs

Pour résoudre ce problème, effectuez les tâches suivantes :

  1. Assurez-vous que Kerberos est activé sur la cible de montage.
  2. Configurez l'authentification AUTH_SYS sur l'export et essayez de monter le système de fichiers à l'aide de -o sec=sys dans la commande de montage. Ce test peut vous aider à déterminer si le problème est spécifique à l'authentification Kerberos.
  3. Vérifiez la validité du ticket Kerberos sur le client à l'aide de la commande klist -A.
  4. Consultez les journaux du démon rpc-gssd du client NFS pour connaître les problèmes liés à Kerberos. Augmentez la verbosité du journal du démon rpc-gssd si nécessaire.
  5. Vérifiez que la commande mount utilise le nom de domaine complet et inclut les options d'export correctes. Pour plus d'informations, reportez-vous à la section Mounting Kerberos-enabled File Systems.
  6. Vérifiez les graphiques et les journaux de la cible de montage, si la journalisation est activée, pour les erreurs ou les messages Kerberos Keytab Load Success dans le graphique Erreurs Kerberos.
  7. Si l'accès anonyme est désactivé, vérifiez qu'une entrée utilisateur est présente dans la base de recherche pour les utilisateurs avec des attributs uid, uidNumber et gidNumber dans le serveur LDAP. Vérifiez que le groupe de l'utilisateur existe dans la base de recherche des groupes avec gidNumber et memberUid.

    Consultez les graphiques et les journaux de la cible de montage, si la journalisation est activée, pour connaître les erreurs dans le graphique Erreurs de connexion LDAP ou Erreurs de demande LDAP.

Pour plus d'informations, reportez-vous à la section Mount Command Fails.