Documentação do Oracle Cloud Infrastructure

Acesso Negado ao Montar um Sistema de Arquivos com Autenticação Kerberos

Ao montar um sistema de arquivos que use autenticação Kerberos, o acesso é negado.

O gráfico de Erros do Kerberos do ponto de acesso NFS pode incluir os seguintes tipos de erro:

  • Kerberos sem keytab
  • Kerberos sem chave
  • Incompatibilidade do número da versão da chave Kerberos
  • Diferença de relógio do Kerberos
    • O Oracle Cloud Infrastructure File Storage permite até 300 segundos para desvio de relógio ao usar o Kerberos. Para evitar que intrusos redefinam os relógios do sistema e usem tickets expirados, as solicitações de ticket de qualquer host cujo relógio não esteja dentro de 300 segundos são rejeitadas.

O gráfico Erros de Conexão LDAP do ponto de acesso NFS e o gráfico Erros de Solicitação LDAP podem incluir os seguintes tipos de erro:

  • Timeout da Conexão LDAP
  • Conexão LDAP Recusada/Redefinida
  • Falha na Resolução do Nome LDAP
  • Falha de Log-in de Bind LDAP
  • Falha de validação de certificado LDAP
  • Nome de usuário da pesquisa por UID
  • Pesquisar UID por Nome de Usuário
  • Pesquisar Grupos de Usuários

Execute as seguintes tarefas para ajudar a solucionar esse problema:

  1. Certifique-se de que o Kerberos esteja ativado no ponto de acesso NFS.
  2. Configure a autenticação AUTH_SYS na exportação e tente montar o sistema de arquivos usando -o sec=sys no comando de montagem. Este teste pode ajudá-lo a descobrir se o problema é específico da autenticação do Kerberos.
  3. Verifique a validade do ticket do Kerberos no cliente usando o comando klist -A.
  4. Revise os logs do daemon rpc-gssd do cliente NFS para problemas relacionados ao Kerberos. Aumente o nível de detalhamento do log do daemon rpc-gssd conforme necessário.
  5. Verifique se o comando de montagem usa o nome de domínio totalmente qualificado e inclui as opções de exportação corretas. Para obter mais informações, consulte Montando Sistemas de Arquivos Ativados para Kerberos.
  6. Verifique os gráficos e os logs do ponto de acesso NFS, se o log estiver ativado, em busca de erros ou mensagens de Êxito na Carga do Kerberos Keytab no gráfico de Erros do Kerberos.
  7. Se o acesso anônimo estiver desativado, verifique se uma entrada de usuário está presente na Base de Pesquisa para Usuários com atributos uid, uidNumber e gidNumber no servidor LDAP. Verifique se o grupo do usuário existe na Base de Pesquisa de Grupos com gidNumber e memberUid.

    Verifique os gráficos e logs do ponto de acesso NFS, se o logging estiver ativado, para ver se há erros no gráfico Erros de Conexão LDAP ou no gráfico Erros de Solicitação LDAP.

Para obter mais informações, consulte Falha no Comando de Montagem.