Acesso Negado ao Montar um Sistema de Arquivos com Autenticação Kerberos
Ao montar um sistema de arquivos que use autenticação Kerberos, o acesso é negado.
O gráfico de Erros do Kerberos do ponto de acesso NFS pode incluir os seguintes tipos de erro:
- Kerberos sem keytab
- Kerberos sem chave
- Incompatibilidade do número da versão da chave Kerberos
- Diferença de relógio do Kerberos
- O Oracle Cloud Infrastructure File Storage permite até 300 segundos para desvio de relógio ao usar o Kerberos. Para evitar que intrusos redefinam os relógios do sistema e usem tickets expirados, as solicitações de ticket de qualquer host cujo relógio não esteja dentro de 300 segundos são rejeitadas.
O gráfico Erros de Conexão LDAP do ponto de acesso NFS e o gráfico Erros de Solicitação LDAP podem incluir os seguintes tipos de erro:
- Timeout da Conexão LDAP
- Conexão LDAP Recusada/Redefinida
- Falha na Resolução do Nome LDAP
- Falha de Log-in de Bind LDAP
- Falha de validação de certificado LDAP
- Nome de usuário da pesquisa por UID
- Pesquisar UID por Nome de Usuário
- Pesquisar Grupos de Usuários
Execute as seguintes tarefas para ajudar a solucionar esse problema:
- Certifique-se de que o Kerberos esteja ativado no ponto de acesso NFS.
- Configure a autenticação AUTH_SYS na exportação e tente montar o sistema de arquivos usando
-o sec=sys
no comando de montagem. Este teste pode ajudá-lo a descobrir se o problema é específico da autenticação do Kerberos. - Verifique a validade do ticket do Kerberos no cliente usando o comando
klist -A
. - Revise os logs do daemon
rpc-gssd
do cliente NFS para problemas relacionados ao Kerberos. Aumente o nível de detalhamento do log do daemonrpc-gssd
conforme necessário. - Verifique se o comando de montagem usa o nome de domínio totalmente qualificado e inclui as opções de exportação corretas. Para obter mais informações, consulte Montando Sistemas de Arquivos Ativados para Kerberos.
- Verifique os gráficos e os logs do ponto de acesso NFS, se o log estiver ativado, em busca de erros ou mensagens de Êxito na Carga do Kerberos Keytab no gráfico de Erros do Kerberos.
- Se o acesso anônimo estiver desativado, verifique se uma entrada de usuário está presente na Base de Pesquisa para Usuários com atributos uid, uidNumber e gidNumber no servidor LDAP. Verifique se o grupo do usuário existe na Base de Pesquisa de Grupos com gidNumber e memberUid.
Verifique os gráficos e logs do ponto de acesso NFS, se o logging estiver ativado, para ver se há erros no gráfico Erros de Conexão LDAP ou no gráfico Erros de Solicitação LDAP.