Configurando a Autenticação do Kerberos
As informações do Kerberos são configuradas por ponto de acesso NFS usando as etapas a seguir.
Essas etapas pressupõem que você esteja usando a autorização LDAP para ativar a autenticação Kerberos por usuário. O acesso anônimo com autenticação Kerberos é possível sem os requisitos de LDAP e as etapas correspondentes. Para obter mais informações, consulte Pesquisas LDAP e Acesso Anônimo.
- Verifique se você tem a infraestrutura LDAP e Kerberos necessária. Consulte Pré-requisitos para obter mais informações.
- Se o resolvedor de VCN padrão não for usado, adicione registros de nome direto e reverso ao servidor DNS gerenciado pelo cliente.
- Adicione o principal do ponto de acesso NFS ao KDC e extraia um keytab binário do KDC. As etapas para extrair um keytab diferem com base no tipo de KDC em uso (baseado no Linux ou no Active Directory).
- Converta a keytab binária do Kerberos em Base64 e use-a para criar um segredo no OCI Vault. Certifique-se de selecionar Base64 como o formato do segredo ao colar no keytab convertido. Para obter mais informações, consulte Visão Geral do Serviço Vault.
- Faça upload da senha LDAP para o OCI Vault como segredo em formato de texto simples. Para obter mais informações, consulte Visão Geral do Serviço Vault.
- Adicione as políticas necessárias do serviço IAM.
- Crie dois conectores de saída para entrar em contato com o servidor LDAP.Observação
O uso de LDAP para autorização requer pelo menos um conector de saída. Um segundo conector de saída pode ser usado como backup ou para failover. Consulte Pesquisas LDAP e Acesso Anônimo para obter detalhes sobre como o serviço File Storage responde quando ele não consegue acessar um servidor LDAP. - Adicione detalhes da configuração LDAP a um ponto de acesso NFS.
- Adicione detalhes de autenticação do Kerberos ao mesmo ponto de acesso NFS e valide o keytab.Observação
A configuração do Kerberos não é compartilhada entre pontos de acesso NFS. -
Verifique se o ponto de acesso NFS usado para autenticação do Kerberos tem:
- Um nome de domínio totalmente qualificado (FQDN) que corresponde à instância do principal do keytab do Kerberos. Por exemplo:
nfs/<FQDN_of_mount_target>@<REALM>
.Observação
Quando o Resolvedor padrão de Internet e VCN, o serviço File Storage constrói um FQDN combinando o nome do host do ponto de acesso NFS com o FQDN da sub-rede na qual o ponto de acesso NFS está localizado. Para obter mais informações, consulte Gerenciando Pontos de Acesso NFS. - Um FQDN que foi adicionado ao servidor DNS com pesquisa direta e reversa.
- Um nome de domínio totalmente qualificado (FQDN) que corresponde à instância do principal do keytab do Kerberos. Por exemplo:
- Crie ou atualize um sistema de arquivos usando o ponto de acesso NFS ativado para LDAP e Kerberos.
- Adicione uma exportação ativada para Kerberos ao ponto de acesso NFS. Consulte Usar o Kerberos para Autenticação para obter um exemplo.
- Monte o sistema de arquivos. Para obter mais informações, consulte Montando Sistemas de Arquivos Ativados para Kerberos.Observação
Use o FQDN do ponto de acesso NFS em vez do endereço IP.
Ativar a Autenticação do Kerberos para um Ponto NFS
Configure a autenticação Kerberos para um ponto de acesso NFS do serviço File Storage.
Quando você atualiza um ponto de acesso NFS existente para usar o Kerberos, pode levar algum tempo para o serviço File Storage refletir totalmente as atualizações.
- Abra o menu de navegação e clique em Armazenamento. Em Armazenamento de Arquivos, clique em Pontos de Montagem.
- Na seção Escopo da lista, em Compartimento, selecione um compartimento.
- Localize o destino de montagem desejado, clique no e, em seguida, clique em Exibir detalhes.
- Clique na guia NFS para exibir ou editar as definições NFS existentes para o ponto de acesso NFS.
- Ao lado do Kerberos, clique em Manage.
-
Na janela Gerenciar Kerberos, forneça os seguintes detalhes:
- realm do Kerberos: Informe o realm do Kerberos ao qual esse ponto de acesso NFS se une.
- Na seção de informações do Keytab, forneça os seguintes detalhes:
- Selecione o Vault que contém o segredo do keytab que você deseja usar.
- Selecione o Segredo do keytab.
- Selecione a Versão atual do Segredo do keytab e a Versão do segredo do keytab de backup.
Cuidado
Certifique-se de fazer backup de seus vaults e chaves. Excluir um vault e uma chave significa perder a capacidade de decriptografar qualquer recurso ou dados para os quais a chave foi usada para criptografar. Para obter mais informações, consulte Backup e Restauração de Vaults e Chaves.
-
Clique em Validar keytab antes de ativar o Kerberos para inspecionar o conteúdo da keytab.
Cuidado
Um keytab configurado incorretamente pode fazer com que os clientes NFS percam o acesso aos sistemas de arquivos. - Ativar Kerberos: Ative esta opção para usar Kerberos. Consulte Usando a Autenticação do Kerberos para obter mais informações.
- Clique em Salvar.
Use o comando
oci fs mount-target create
com as opções--kerberos
,--idmap-type
e--ldap-idmap
para criar um ponto de acesso NFS e fornecer detalhes do Kerberos e do LDAP.oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>
Use o comando
oci fs mount-target update
com as opções--kerberos
,--idmap-type
e--ldap-idmap
para atualizar um ponto de acesso NFS existente com detalhes do Kerberos e do LDAP.oci fs mount-target update --mount-target-id <mount_target_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>
Este é um exemplo de arquivo
krb.json
:{ "currentKeyTabSecretVersion": 1, "isKerberosEnabled": true, "kerberosRealm": "EXAMPLE.COM", "keyTabSecretId": "ocid1.vaultsecret.oc1.eu-frankfurt-1.exampleuniqueID" }
Este é um exemplo de arquivo
ldap.json
:{ "cacheLifetimeSeconds": 300, "cacheRefreshIntervalSeconds": 300, "groupSearchBase": "cn=accounts,dc=example,dc=com", "negativeCacheLifetimeSeconds": 300, "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID", "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID", "userSearchBase": "cn=accounts,dc=example,dc=com", "schemaType": "RFC2307" }
Use o comando
oci fs mount-target validate-key-tabs
para testar a keytab Kerberos usada pelo conector de saída associado ao ponto de acesso NFS.oci fs mount-target validate-key-tabs --mount-target-id <mount_target_id>
Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comando da CLI.
Use CreateMountTarget ou UpdateMountTarget com as opções
kerberos
,idMapType
eldapIdmap
para criar ou atualizar um ponto de acesso NFS com detalhes do LDAP e do Kerberos.Use ValidateKeyTabs para validar a keytab Kerberos associada ao ponto de acesso NFS.
Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.