Documentação do Oracle Cloud Infrastructure

Configurando a Autenticação do Kerberos

As informações do Kerberos são configuradas por ponto de acesso NFS usando as etapas a seguir.

Observação

Essas etapas pressupõem que você esteja usando a autorização LDAP para ativar a autenticação Kerberos por usuário. O acesso anônimo com autenticação Kerberos é possível sem os requisitos de LDAP e as etapas correspondentes. Para obter mais informações, consulte Pesquisas LDAP e Acesso Anônimo.
  1. Verifique se você tem a infraestrutura LDAP e Kerberos necessária. Consulte Pré-requisitos para obter mais informações.
    1. Se o resolvedor de VCN padrão não for usado, adicione registros de nome direto e reverso ao servidor DNS gerenciado pelo cliente.
    2. Adicione o principal do ponto de acesso NFS ao KDC e extraia um keytab binário do KDC. As etapas para extrair um keytab diferem com base no tipo de KDC em uso (baseado no Linux ou no Active Directory).
  2. Converta a keytab binária do Kerberos em Base64 e use-a para criar um segredo no OCI Vault. Certifique-se de selecionar Base64 como o formato do segredo ao colar no keytab convertido. Para obter mais informações, consulte Visão Geral do Serviço Vault.
  3. Faça upload da senha LDAP para o OCI Vault como segredo em formato de texto simples. Para obter mais informações, consulte Visão Geral do Serviço Vault.
  4. Adicione as políticas necessárias do serviço IAM.
  5. Crie dois conectores de saída para entrar em contato com o servidor LDAP.
    Observação

    O uso de LDAP para autorização requer pelo menos um conector de saída. Um segundo conector de saída pode ser usado como backup ou para failover. Consulte Pesquisas LDAP e Acesso Anônimo para obter detalhes sobre como o serviço File Storage responde quando ele não consegue acessar um servidor LDAP.
  6. Adicione detalhes da configuração LDAP a um ponto de acesso NFS.
  7. Adicione detalhes de autenticação do Kerberos ao mesmo ponto de acesso NFS e valide o keytab.
    Observação

    A configuração do Kerberos não é compartilhada entre pontos de acesso NFS.
  8. Verifique se o ponto de acesso NFS usado para autenticação do Kerberos tem:
    • Um nome de domínio totalmente qualificado (FQDN) que corresponde à instância do principal do keytab do Kerberos. Por exemplo: nfs/<FQDN_of_mount_target>@<REALM>.
      Observação

      Quando o Resolvedor padrão de Internet e VCN, o serviço File Storage constrói um FQDN combinando o nome do host do ponto de acesso NFS com o FQDN da sub-rede na qual o ponto de acesso NFS está localizado. Para obter mais informações, consulte Gerenciando Pontos de Acesso NFS.
    • Um FQDN que foi adicionado ao servidor DNS com pesquisa direta e reversa.
  9. Crie ou atualize um sistema de arquivos usando o ponto de acesso NFS ativado para LDAP e Kerberos.
  10. Adicione uma exportação ativada para Kerberos ao ponto de acesso NFS. Consulte Usar o Kerberos para Autenticação para obter um exemplo.
  11. Monte o sistema de arquivos. Para obter mais informações, consulte Montando Sistemas de Arquivos Ativados para Kerberos.
    Observação

    Use o FQDN do ponto de acesso NFS em vez do endereço IP.

Ativar a Autenticação do Kerberos para um Ponto NFS

Configure a autenticação Kerberos para um ponto de acesso NFS do serviço File Storage.

Observação

Quando você atualiza um ponto de acesso NFS existente para usar o Kerberos, pode levar algum tempo para o serviço File Storage refletir totalmente as atualizações.
    1. Abra o menu de navegação e clique em Armazenamento. Em Armazenamento de Arquivos, clique em Pontos de Montagem.
    2. Na seção Escopo da lista, em Compartimento, selecione um compartimento.
    3. Localize o destino de montagem desejado, clique no menu Ações (Menu Ações) e, em seguida, clique em Exibir detalhes.
    4. Clique na guia NFS para exibir ou editar as definições NFS existentes para o ponto de acesso NFS.
    5. Ao lado do Kerberos, clique em Manage.

    6. Na janela Gerenciar Kerberos, forneça os seguintes detalhes:

      • realm do Kerberos: Informe o realm do Kerberos ao qual esse ponto de acesso NFS se une.
      • Na seção de informações do Keytab, forneça os seguintes detalhes:
        • Selecione o Vault que contém o segredo do keytab que você deseja usar.
        • Selecione o Segredo do keytab.
        • Selecione a Versão atual do Segredo do keytab e a Versão do segredo do keytab de backup.
        Cuidado

        Certifique-se de fazer backup de seus vaults e chaves. Excluir um vault e uma chave significa perder a capacidade de decriptografar qualquer recurso ou dados para os quais a chave foi usada para criptografar. Para obter mais informações, consulte Backup e Restauração de Vaults e Chaves.

    7. Clique em Validar keytab antes de ativar o Kerberos para inspecionar o conteúdo da keytab.

      Cuidado

      Um keytab configurado incorretamente pode fazer com que os clientes NFS percam o acesso aos sistemas de arquivos.
    8. Ativar Kerberos: Ative esta opção para usar Kerberos. Consulte Usando a Autenticação do Kerberos para obter mais informações.
    9. Clique em Salvar.

  • Use o comando oci fs mount-target create com as opções --kerberos, --idmap-type e --ldap-idmap para criar um ponto de acesso NFS e fornecer detalhes do Kerberos e do LDAP.

    oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    Use o comando oci fs mount-target update com as opções --kerberos, --idmap-type e --ldap-idmap para atualizar um ponto de acesso NFS existente com detalhes do Kerberos e do LDAP.

    oci fs mount-target update --mount-target-id <mount_target_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    Este é um exemplo de arquivo krb.json:

    {
  "currentKeyTabSecretVersion": 1,
  "isKerberosEnabled": true,
  "kerberosRealm": "EXAMPLE.COM",
  "keyTabSecretId": "ocid1.vaultsecret.oc1.eu-frankfurt-1.exampleuniqueID"
}

    Este é um exemplo de arquivo ldap.json:

    {
  "cacheLifetimeSeconds": 300,
  "cacheRefreshIntervalSeconds": 300,
  "groupSearchBase": "cn=accounts,dc=example,dc=com",
  "negativeCacheLifetimeSeconds": 300,
  "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "userSearchBase": "cn=accounts,dc=example,dc=com",
  "schemaType": "RFC2307"
}

    Use o comando oci fs mount-target validate-key-tabs para testar a keytab Kerberos usada pelo conector de saída associado ao ponto de acesso NFS.

    oci fs mount-target validate-key-tabs --mount-target-id <mount_target_id>

    Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comando da CLI.

  • Use CreateMountTarget ou UpdateMountTarget com as opções kerberos, idMapType e ldapIdmap para criar ou atualizar um ponto de acesso NFS com detalhes do LDAP e do Kerberos.

    Use ValidateKeyTabs para validar a keytab Kerberos associada ao ponto de acesso NFS.

    Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.