Documentação do Oracle Cloud Infrastructure

Acesso Negado ao Montar um Sistema de Arquivos com Autenticação Kerberos

Ao montar um sistema de arquivos que use autenticação Kerberos, o acesso é negado.

O gráfico de Erros do Kerberos do ponto de acesso NFS pode incluir os seguintes tipos de erro:

  • Kerberos sem keytab
  • Kerberos sem chave
  • Incompatibilidade do número da versão da chave Kerberos
  • Diferença de relógio do Kerberos
    • O Oracle Cloud Infrastructure File Storage permite até 300 segundos para desvio de relógio ao usar o Kerberos. Para evitar que intrusos redefinam os relógios do sistema e usem tickets expirados, as solicitações de ticket de qualquer host cujo relógio não esteja dentro de 300 segundos são rejeitadas.

O gráfico Erros de Conexão LDAP do ponto de acesso NFS e o gráfico Erros de Solicitação LDAP podem incluir os seguintes tipos de erro:

  • Timeout da Conexão LDAP
  • Conexão LDAP Recusada/Redefinida
  • Falha na Resolução do Nome LDAP
  • Falha de Log-in de Bind LDAP
  • Falha de validação de certificado LDAP
  • Nome de usuário da pesquisa por UID
  • Pesquisar UID por Nome de Usuário
  • Pesquisar Grupos de Usuários

Execute as seguintes tarefas para ajudar a solucionar esse problema:

  1. Certifique-se de que o Kerberos esteja ativado no ponto de acesso NFS.
  2. Configure a autenticação AUTH_SYS na exportação e tente montar o sistema de arquivos usando -o sec=sys no comando de montagem. Este teste pode ajudá-lo a descobrir se o problema é específico da autenticação do Kerberos.
  3. Verifique a validade do ticket do Kerberos no cliente usando o comando klist -A.
  4. Revise os logs do daemon rpc-gssd do cliente NFS para problemas relacionados ao Kerberos. Aumente o nível de detalhamento do log do daemon rpc-gssd conforme necessário.
  5. Verifique se o comando de montagem usa o nome de domínio totalmente qualificado e inclui as opções de exportação corretas. Para obter mais informações, consulte Mounting Kerberos-enabled File Systems.
  6. Verifique os gráficos e os logs do ponto de acesso NFS, se o log estiver ativado, em busca de erros ou mensagens de Êxito na Carga do Kerberos Keytab no gráfico de Erros do Kerberos.
  7. Se o acesso anônimo estiver desativado, verifique se uma entrada de usuário está presente na Base de Pesquisa para Usuários com atributos uid, uidNumber e gidNumber no servidor LDAP. Verifique se o grupo do usuário existe na Base de Pesquisa de Grupos com gidNumber e memberUid.

    Verifique os gráficos e logs do ponto de acesso NFS, se o log estiver ativado, para obter erros no gráfico Erros de Conexão LDAP ou no gráfico Erros de Solicitação LDAP.

Para obter mais informações, consulte Falha no Comando de Montagem.