Uso delle metriche e dei log NFS per risolvere i problemi relativi a LDAP e Kerberos

Utilizzare le metriche NFS di un connettore in uscita o la destinazione di accesso e i log del servizio per diagnosticare i problemi con i file system che utilizzano LDAP per l'autorizzazione e Kerberos per l'autenticazione.

I connettori e le destinazioni di accesso in uscita dello storage di file che utilizzano LDAP o che utilizzano LDAP e Kerberos emettono metriche per monitorare connettività, prestazioni ed errori. I grafici riportati di seguito sono progettati per acquisire errori specifici.

Per dettagli completi sulle metriche e sui grafici dello storage di file, vedere Metriche del file system.

Si consiglia di abilitare i log NFS per le destinazioni di accesso che utilizzano LDAP o Kerberos e impostare gli allarmi in caso di errori. Per ulteriori informazioni, vedere Dettagli per lo storage di file.

Errori di connessione LDAP

Il grafico Errori di connessione LDAP acquisisce i tipi di errore riportati di seguito.

  • Timeout connessione LDAP
  • Connessione LDAP rifiutata/reimpostata
  • Errore di risoluzione nome LDAP
  • Login autenticazione LDAP non riuscito
  • Errore di convalida del certificato LDAP

Per gli errori "Timeout connessione LDAP" e "Reimpostazione/rifiuto connessione LDAP":

  1. Verificare che le regole di sicurezza VCN consentano la comunicazione con i server LDAP e DNS. Vedere Scenario D: la destinazione di accesso utilizza LDAP per l'autorizzazione
  2. Verificare che il servizio LDAP sia in esecuzione sul server LDAP gestito dal cliente.
    Suggerimento

    È possibile eseguire il test della funzionalità di ricerca LDAP utilizzando il comando ldapsearch da un'istanza Linux nella stessa subnet della destinazione di accesso. Per ulteriori informazioni, vedere Test per il supporto dello schema LDAP.
  3. Verificare che la destinazione di accesso stia utilizzando un connettore in uscita con il server LDAP e la porta LDAPS corretti. Per ulteriori informazioni, vedere Gestione dei connettori in uscita.

Per gli errori "Risoluzione nome LDAP non riuscita":

  1. Verificare che le regole di sicurezza VCN consentano la comunicazione con i server LDAP e DNS. Per ulteriori informazioni, vedere Scenario D: la destinazione di accesso utilizza LDAP per l'autorizzazione.
  2. Assicurarsi che i file della zona DNS nel server DNS contengano record A e PTR per il server LDAP.
  3. Se il server DNS configurato è gestito dal cliente e utilizza le opzioni DHCP, verificare che le opzioni DHCP siano corrette e che la destinazione di attivazione si trovi nella subnet in cui sono impostate le opzioni DHCP.
  4. Verificare che il servizio di denominazione sia raggiungibile e in esecuzione sul server DNS. È possibile utilizzare una ricerca DNS e la ricerca inversa da un'istanza nella stessa subnet della destinazione di accesso.

Per gli errori "Login autenticazione LDAP non riuscito":

Verificare che il connettore in uscita utilizzi il nome distinto di associazione corretto e la password corretta. Per ulteriori informazioni, vedere Gestione dei connettori in uscita.

Per gli errori "Errore di convalida certificato LDAP":

Verificare che il server LDAP disponga di un certificato valido.

Errori richieste LDAP

Il grafico Errori richiesta LDAP acquisisce i tipi di errore riportati di seguito.

  • Nome utente ricerca per UID
  • UID ricerca per nome utente
  • Ricerca gruppi di utenti

Gli errori di richiesta LDAP possono generare problemi di autorizzazione o errori durante l'attivazione dei file system.

È possibile utilizzare il comando ldapsearch da un'istanza Linux con connettività al server LDAP per verificare che:

  1. Una voce utente è presente nella base di ricerca per gli utenti con UID, uidNumber e gidNumber.
  2. Una voce di gruppo dell'utente è presente nella base di ricerca per i gruppi con attributo memberUid.

Per ulteriori informazioni, vedere Test del supporto dello schema LDAP.

Errori Kerberos

Il grafico Errori Kerberos acquisisce i tipi di errore riportati di seguito.

  • Kerberos senza keytab
  • Nessuna chiave Kerberos
  • Mancata corrispondenza del numero di versione della chiave Kerberos
  • Disallineamento clock Kerberos

Per gli errori "Kerberos no keytab":

Verificare di aver caricato una tabella di chiavi Kerberos nel vault OCI e di aver selezionato il segreto durante l'abilitazione dell'autenticazione Kerberos.

Per gli errori "Kerberos no key":

Nessuna chiave nella tabella chiavi. Per ulteriori informazioni, vedere Tabella chiavi Kerberos.

Per gli errori "Numero di versione della chiave Kerberos non corrispondente":

  1. I numeri di versione delle chiavi vengono utilizzati per distinguere chiavi diverse nello stesso dominio. Questo errore si verifica quando il sistema non riesce a trovare kvno nella tabella chiavi che corrisponde al ticket. Il ticket potrebbe essere obsoleto o scaduto. Per ulteriori informazioni, vedere Tabella chiavi Kerberos.
  2. Verificare che il segreto della tabella chiavi selezionato sia corretto. In caso contrario, estrarre la tabella di chiavi corretta per il nome principale della destinazione di accesso dal KDC, quindi ricaricare la tabella di chiavi come segreto e selezionare la nuova versione del segreto.

Per gli errori "Kerberos clock skew":

Verificare che la data e l'ora siano corrette sul client e nel KDC. Per evitare che gli intrusi reimpostino gli orologi di sistema e utilizzino i ticket scaduti, Kerberos rifiuta le richieste di ticket da qualsiasi host il cui clock non è sincronizzato.