Documentazione di Oracle Cloud Infrastructure

Rotazione delle chiavi

La rotazione di una tabella di chiavi Kerberos utilizzata per l'autenticazione dello storage di file deve essere eseguita con attenzione per evitare un'indisponibilità.

Client NFS che utilizzano Kerberos per i ticket di aggiornamento dell'autenticazione in base a un intervallo specificato dall'amministratore del KDC. Quando si ruotano le voci della tabella chiavi, la destinazione di accesso deve accettare sia i vecchi valori che i nuovi valori finché tutti i client non avranno aggiornato i propri ticket. Se la vecchia voce della tabella chiavi viene rimossa troppo presto, i client che non hanno aggiornato i propri ticket possono riscontrare un'indisponibilità.

Per aggiornare in modo sicuro una tabella di chiavi Kerberos utilizzata nell'autenticazione dello storage di file:

  1. Generare una tabella di chiavi dal KDC con nuove versioni di chiavi e convertirla in formato Base64.
  2. Caricare la tabella di chiavi nel vault OCI come nuova versione del segreto della tabella di chiavi esistente. Assicurarsi che il formato selezionato della nuova versione del segreto sia Base64. Per ulteriori informazioni, vedere Panoramica del vault.
  3. Aggiornare le informazioni sulla tabella chiavi della destinazione di accesso:
    1. Aprire il menu di navigazione e selezionare Memorizzazione. In Storage di file, selezionare Attiva destinazioni.
    2. Nella sezione Ambito elenco, in Compartimento selezionare un compartimento.
    3. Trovare la destinazione di accesso per la quale è necessario aggiornare le versioni della tabella chiavi Kerberos, fare clic sul menu Azioni (Menu Azioni), quindi fare clic su Visualizza dettagli.
    4. Fare clic sulla scheda NFS per visualizzare le impostazioni NFS esistenti per la destinazione di accesso.
    5. Accanto a Kerberos, fare clic su Gestisci.
    6. Nella sezione Informazioni sulla scheda chiave, aggiornare le schede chiave:
      • Selezionare la nuova versione della tabella chiavi come Versione del segreto tabella chiavi corrente
      • Selezionare la vecchia versione della tabella di chiavi come Versione del segreto keytab di backup.
  4. Attendere che tutti i client NFS abbiano aggiornato i propri ticket Kerberos.
  5. Rimuovere la versione del segreto keytab di backup dalla configurazione della destinazione di accesso.