Accesso negato durante il MOUNT di un file system con autenticazione Kerberos

Quando si attiva un file system che utilizza l'autenticazione Kerberos, l'accesso viene negato.

Il grafico degli errori Kerberos della destinazione di accesso può includere i tipi di errore riportati di seguito.

  • Kerberos senza keytab
  • Nessuna chiave Kerberos
  • Mancata corrispondenza del numero di versione della chiave Kerberos
  • Disallineamento clock Kerberos
    • Oracle Cloud Infrastructure File Storage consente fino a 300 secondi di disallineamento del clock quando si utilizza Kerberos. Per evitare che gli intrusi reimpostino gli orologi di sistema e utilizzino biglietti scaduti, le richieste di ticket da qualsiasi host il cui orologio non è entro 300 secondi vengono rifiutate.

Il grafico Errori di connessione LDAP della destinazione di accesso e il grafico Errori di richiesta LDAP possono includere i tipi di errore riportati di seguito.

  • Timeout connessione LDAP
  • Connessione LDAP rifiutata/reimpostata
  • Errore di risoluzione nome LDAP
  • Login autenticazione LDAP non riuscito
  • Errore di convalida del certificato LDAP
  • Nome utente ricerca per UID
  • UID ricerca per nome utente
  • Ricerca gruppi di utenti

Per risolvere questo problema, eseguire i task indicati di seguito.

  1. Accertarsi che Kerberos sia abilitato sulla destinazione di accesso.
  2. Configurare l'autenticazione AUTH_SYS nell'esportazione e provare a eseguire il MOUNT del file system utilizzando -o sec=sys nel comando MOUNT. Questo test consente di determinare se il problema è specifico dell'autenticazione Kerberos.
  3. Controllare la validità del ticket Kerberos sul client utilizzando il comando klist -A.
  4. Esaminare i log del daemon rpc-gssd del client NFS per individuare problemi correlati a Kerberos. Aumentare il livello di dettaglio del log del daemon rpc-gssd in base alle esigenze.
  5. Verificare che il comandomount utilizzi il nome di dominio completamente qualificato e includa le opzioni di esportazione corrette. Per ulteriori informazioni, vedere Attivazione di file system abilitati per Kerberos.
  6. Controllare la presenza di errori nei grafici e nei log della destinazione di accesso, se la funzione di log è abilitata, o i messaggi di Kerberos Keytab Load Success nel grafico degli errori Kerberos.
  7. Se l'accesso anonimo è disabilitato, verificare che una voce utente sia presente in Search Base for Users with uid, uidNumber and gidNumber attributes in the LDAP server. Verificare che il gruppo per l'utente esista nella base di ricerca per i gruppi con gidNumber e memberUid.

    Controllare i grafici e i log della destinazione di accesso, se il log è abilitato, per individuare eventuali errori nel grafico Errori di connessione LDAP o Errori di richiesta LDAP.

Per maggiori informazioni, vedere Mount Command Fails.