Configurando a Autenticação do Kerberos

As informações do Kerberos são configuradas por ponto de acesso NFS usando as etapas a seguir.

Observação

Essas etapas pressupõem que você esteja usando a autorização LDAP para ativar a autenticação Kerberos por usuário. O acesso anônimo com autenticação Kerberos é possível sem os requisitos de LDAP e as etapas correspondentes. Para obter mais informações, consulte Pesquisas LDAP e Acesso Anônimo.
  1. Certifique-se de que você tenha a infraestrutura LDAP e Kerberos necessária. Consulte Pré-requisitos para obter mais informações.
    1. Se o resolvedor de VCN padrão não for usado, adicione registros de nome direto e reverso ao servidor DNS gerenciado pelo cliente.
    2. Adicione o principal do ponto de acesso NFS ao KDC e extraia um keytab binário do KDC. As etapas para extrair um keytab diferem com base no tipo de KDC em uso (baseado no Linux ou no Active Directory).
  2. Converta o keytab binário do Kerberos em Base64 e use-o para criar um segredo no OCI Vault. Certifique-se de selecionar Base64 como o formato do segredo quando colar no keytab convertido. Para obter mais informações, consulte Visão Geral do Serviço Vault.
  3. Faça upload da senha LDAP para o OCI Vault como segredo em formato de texto simples. Para obter mais informações, consulte Visão Geral do Serviço Vault.
  4. Adicione as políticas de IAM necessárias.
  5. Crie dois conectores de saída para entrar em contato com o servidor LDAP.
    Observação

    O uso do LDAP para autorização requer pelo menos um conector de saída. Um segundo conector de saída pode ser usado como backup ou para failover. Consulte Pesquisas LDAP e Acesso Anônimo para obter detalhes sobre como o serviço File Storage responde quando não consegue acessar um servidor LDAP.
  6. Adicionar detalhes de configuração LDAP a um ponto de acesso NFS.
  7. Adicione detalhes de autenticação do Kerberos ao mesmo ponto de acesso NFS e valide o keytab.
    Observação

    A configuração do Kerberos não é compartilhada entre pontos de acesso NFS.
  8. Verifique se o ponto de acesso NFS usado para autenticação do Kerberos tem:
    • Um nome de domínio totalmente qualificado (FQDN) que corresponde à instância do principal do keytab do Kerberos. Por exemplo: nfs/<FQDN_of_mount_target>@<REALM>.
      Observação

      Quando o Resolvedor de Internet e VCN padrão, o serviço File Storage cria um FQDN combinando o nome do host do destino de montagem com o FQDN da sub-rede em que o destino de montagem está localizado. Para obter mais informações, consulte Gerenciando Pontos de Acesso NFS.
    • Um FQDN que foi adicionado ao servidor DNS com pesquisa direta e reversa.
  9. Crie ou atualize um sistema de arquivos usando o ponto de acesso NFS ativado para LDAP e Kerberos.
  10. Adicione uma exportação ativada para Kerberos ao ponto de acesso NFS. Consulte Usar o Kerberos para Autenticação para obter um exemplo.
  11. Monte o sistema de arquivos. Para obter mais informações, consulte Mounting Kerberos-enabled File Systems.
    Observação

    Use o FQDN do ponto de acesso NFS em vez do endereço IP.

Ativar a Autenticação do Kerberos para um Ponto NFS

Configurar a autenticação do Kerberos para um ponto de acesso NFS do File Storage.

Observação

Quando você atualiza um ponto de acesso NFS existente para usar o Kerberos, pode levar algum tempo para que o Armazenamento de Arquivos reflita totalmente as atualizações.
    1. Abra o menu de navegação e selecione Armazenamento. Em Armazenamento de Arquivos, selecione Destinos de Montagem.
    2. Na seção Escopo da lista, em Compartimento, selecione um compartimento.
    3. Localize o ponto de acesso NFS no qual está interessado, clique no menu Ações (três pontos) e, em seguida, clique em Exibir detalhes.
    4. Clique na guia NFS para exibir ou editar as definições NFS existentes para o ponto de acesso NFS.
    5. Ao lado do Kerberos, clique em Manage.
    6. Na janela Gerenciar Kerberos, forneça os seguintes detalhes:

      • realm do Kerberos: Informe o realm do Kerberos ao qual esse ponto de acesso NFS se une.
      • Na seção de informações do Keytab, forneça os seguintes detalhes:
        • Selecione o Vault que contém o segredo do keytab que você deseja usar.
        • Selecione o Segredo do keytab.
        • Selecione a Versão atual do Segredo do keytab e a Versão do segredo do keytab de backup.
        Cuidado

        Certifique-se de fazer backup de seus vaults e chaves. Excluir um vault e uma chave significa perder a capacidade de decriptografar qualquer recurso ou dados para os quais a chave foi usada para criptografar. Para obter mais informações, consulte Backup e Restauração de Vaults e Chaves.
    7. Clique em Validar keytab antes de ativar o Kerberos para inspecionar o conteúdo da keytab.

      Cuidado

      Um keytab configurado incorretamente pode fazer com que os clientes NFS percam o acesso aos sistemas de arquivos.
    8. Ativar Kerberos: Ative esta opção para usar o Kerberos. Consulte Usando Autenticação do Kerberos para obter mais informações.
    9. Clique em Salvar.
  • Use o comando oci fs mount-target create com as opções --kerberos, --idmap-type e --ldap-idmap para criar um ponto de acesso NFS e fornecer detalhes do Kerberos e do LDAP.

    oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    Use o comando oci fs mount-target update com as opções --kerberos, --idmap-type e --ldap-idmap para atualizar um ponto de acesso NFS existente com detalhes do Kerberos e do LDAP.

    oci fs mount-target update --mount-target-id <mount_target_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    Este é um exemplo de arquivo krb.json:

    {
      "currentKeyTabSecretVersion": 1,
      "isKerberosEnabled": true,
      "kerberosRealm": "EXAMPLE.COM",
      "keyTabSecretId": "ocid1.vaultsecret.oc1.eu-frankfurt-1.exampleuniqueID"
    }

    Este é um exemplo de arquivo ldap.json:

    {
      "cacheLifetimeSeconds": 300,
      "cacheRefreshIntervalSeconds": 300,
      "groupSearchBase": "cn=accounts,dc=example,dc=com",
      "negativeCacheLifetimeSeconds": 300,
      "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
      "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
      "userSearchBase": "cn=accounts,dc=example,dc=com",
      "schemaType": "RFC2307"
    }

    Use o comando oci fs mount-target validate-key-tabs para testar a keytab Kerberos usada pelo conector de saída associado ao ponto de acesso NFS.

    oci fs mount-target validate-key-tabs --mount-target-id <mount_target_id>

    Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comandos da CLI.

  • Use CreateMountTarget ou UpdateMountTarget com as opções kerberos, idMapType e ldapIdmap para criar ou atualizar um ponto de acesso NFS com detalhes do LDAP e do Kerberos.

    Use ValidateKeyTabs para validar a keytab Kerberos associada ao ponto de acesso NFS.

    Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.