Documentazione di Oracle Cloud Infrastructure

Configurazione dell'autenticazione Kerberos

Le informazioni Kerberos vengono configurate in base alla destinazione in base all'installazione mediante i passi riportati di seguito.

Nota

Questa procedura presuppone che si stia utilizzando l'autorizzazione LDAP per abilitare l'autenticazione Kerberos per ciascun utente. L'accesso anonimo con autenticazione Kerberos è possibile senza i requisiti LDAP e le operazioni corrispondenti. Per ulteriori informazioni, vedere Ricerche LDAP e accesso anonimo.
  1. Assicurarsi di disporre dell'infrastruttura LDAP e Kerberos necessaria. Per ulteriori informazioni, vedere Prerequisiti.
    1. Se il resolver VCN predefinito non viene utilizzato, aggiungere i record di nomi inoltra e inverti al server DNS gestito dal cliente.
    2. Aggiungere il nome principale della destinazione di accesso al KDC ed estrarre una tabella chiavi binaria dal KDC. I passi per estrarre una tabella chiavi variano in base al tipo di KDC in uso (basato su Linux o Active Directory).
  2. Convertire la tabella chiavi binaria Kerberos in Base64, quindi utilizzarla per creare un segreto nel vault OCI. Assicurarsi di selezionare Base64 come formato del segreto quando si incolla nella tabella chiavi convertita. Per ulteriori informazioni, vedere Panoramica del vault.
  3. Caricare la password LDAP in OCI Vault come segreto in formato testo normale. Per ulteriori informazioni, vedere Panoramica del vault.
  4. Aggiungere i criteri IAM obbligatori.
  5. Creare due connettori in uscita per contattare il server LDAP.
    Nota

    L'uso di LDAP per l'autorizzazione richiede almeno un connettore in uscita. Un secondo connettore in uscita può essere utilizzato come backup o per il failover. Per informazioni dettagliate su come lo storage di file risponde quando non riesce a raggiungere un server LDAP, vedere Ricerche LDAP e accesso anonimo.
  6. Aggiungere i dettagli di configurazione LDAP a una destinazione di accesso.
  7. Aggiungere i dettagli di autenticazione Kerberos alla stessa destinazione di accesso e convalidare la tabella chiavi.
    Nota

    La configurazione Kerberos non è condivisa tra le destinazioni di accesso.
  8. Verificare che la destinazione di accesso utilizzata per l'autenticazione Kerberos disponga dei requisiti riportati di seguito.
    • Nome di dominio completamente qualificato (FQDN) che corrisponde all'istanza del nome principale della tabella di chiavi Kerberos. Ad esempio: nfs/<FQDN_of_mount_target>@<REALM>.
      Nota

      Quando il resolver Internet e VCN predefinito, il servizio di storage di file crea un FQDN combinando il nome host della destinazione di accesso con il FQDN della subnet in cui si trova la destinazione di accesso. Per ulteriori informazioni, vedere Gestione delle destinazioni di accesso.
    • Un nome FQDN aggiunto al server DNS con ricerca in avanti e inversa.
  9. Creare o aggiornare un file system utilizzando la destinazione di accesso abilitata per LDAP e Kerberos.
  10. Aggiungere una esportazione abilitata per Kerberos alla destinazione di accesso. Per un esempio, vedere Usa Kerberos per l'autenticazione.
  11. Attivare il file system. Per ulteriori informazioni, vedere Attivazione di file system abilitati per Kerberos.
    Nota

    Utilizzare il nome FQDN della destinazione di accesso anziché l'indirizzo IP.

Abilitare l'autenticazione Kerberos per una destinazione di accesso

Configurare l'autenticazione Kerberos per una destinazione di accesso allo storage di file.

Nota

Quando si aggiorna una destinazione di accesso esistente per utilizzare Kerberos, lo storage di file può richiedere del tempo per riflettere completamente gli aggiornamenti.
    1. Aprire il menu di navigazione e selezionare Memorizzazione. In Storage di file, selezionare Attiva destinazioni.
    2. Nella sezione Ambito elenco, in Compartimento selezionare un compartimento.
    3. Trovare la destinazione di accesso desiderata, fare clic sul menu Azioni (Menu Azioni), quindi su Visualizza dettagli.
    4. Fare clic sulla scheda NFS per visualizzare o modificare le impostazioni NFS esistenti per la destinazione di accesso.
    5. Accanto a Kerberos, fare clic su Gestisci.

    6. Nella finestra Gestisci Kerberos fornire i dettagli riportati di seguito.

      • Reame di Kerberos: immettere il realm Kerberos a cui si unisce questa destinazione di accesso.
      • Specificare i dettagli riportati di seguito nella sezione Informazioni keytab.
        • Selezionare il Vault contenente il segreto della tabella chiavi che si desidera utilizzare.
        • Selezionare il segreto scheda chiave.
        • Selezionare la versione del segreto keytab corrente e la versione del segreto keytab di backup.
        Attenzione

        Assicurarsi di eseguire il backup dei vault e delle chiavi. L'eliminazione di un vault e di una chiave significa altrimenti perdere la possibilità di decifrare qualsiasi risorsa o dato utilizzato per cifrare la chiave. Per ulteriori informazioni, vedere Backup e ripristino di vault e chiavi.

    7. Fare clic su Convalida tabella chiavi prima di abilitare Kerberos per ispezionare il contenuto della tabella chiavi.

      Attenzione

      Una tabella di chiavi configurata in modo non corretto può causare la perdita dell'accesso dei client NFS ai file system.
    8. Abilita Kerberos: abilitare questa opzione per utilizzare Kerberos. Per ulteriori informazioni, vedere Uso dell'autenticazione Kerberos.
    9. Fare clic su Salva.

  • Utilizzare il comando oci fs mount-target create con le opzioni --kerberos, --idmap-type e --ldap-idmap per creare una destinazione di accesso e fornire i dettagli Kerberos e LDAP.

    oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    Utilizzare il comando oci fs mount-target update con le opzioni --kerberos, --idmap-type e --ldap-idmap per aggiornare una destinazione di accesso esistente con i dettagli Kerberos e LDAP.

    oci fs mount-target update --mount-target-id <mount_target_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    Di seguito viene riportato un file krb.json di esempio.

    {
  "currentKeyTabSecretVersion": 1,
  "isKerberosEnabled": true,
  "kerberosRealm": "EXAMPLE.COM",
  "keyTabSecretId": "ocid1.vaultsecret.oc1.eu-frankfurt-1.exampleuniqueID"
}

    Di seguito viene riportato un file ldap.json di esempio.

    {
  "cacheLifetimeSeconds": 300,
  "cacheRefreshIntervalSeconds": 300,
  "groupSearchBase": "cn=accounts,dc=example,dc=com",
  "negativeCacheLifetimeSeconds": 300,
  "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "userSearchBase": "cn=accounts,dc=example,dc=com",
  "schemaType": "RFC2307"
}

    Utilizzare il comando oci fs mount-target validate-key-tabs per eseguire il test della tabella di chiavi Kerberos utilizzata dal connettore in uscita associato alla destinazione di accesso.

    oci fs mount-target validate-key-tabs --mount-target-id <mount_target_id>

    Per un elenco completo dei parametri e dei valori per i comandi della CLI, vedere il manuale CLI Command Reference.

  • Utilizzare CreateMountTarget o UpdateMountTarget con le opzioni kerberos, idMapType e ldapIdmap per creare o aggiornare una destinazione di accesso con i dettagli LDAP e Kerberos.

    Utilizzare ValidateKeyTabs per convalidare la tabella di chiavi Kerberos associata alla destinazione di accesso.

    Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.