Documentação do Oracle Cloud Infrastructure

Usando Métricas e Logs do NFS para Diagnosticar e Solucionar Problemas de LDAP e Kerberos

Use métricas e logs de serviço NFS de um conector de saída ou ponto de acesso NFS para diagnosticar problemas com sistemas de arquivos que usam LDAP para autorização e Kerberos para autenticação.

Os conectores de saída e os pontos de acesso NFS do File Storage que usam LDAP, ou usam LDAP e Kerberos, emitem métricas para ajudar a monitorar a conectividade, o desempenho e os erros. Os gráficos a seguir foram criados para capturar erros específicos:

Para obter detalhes completos sobre métricas e gráficos do serviço File Storage, consulte Métricas do Sistema de Arquivos.

Recomendamos que você ative logs NFS para pontos de acesso NFS que usem LDAP ou Kerberos e defina alarmes sobre erros. Consulte Detalhes do Serviço File Storage para obter mais informações.

Erros de Conexão LDAP

O gráfico Erros de Conexão LDAP captura os seguintes tipos de erro:

  • Timeout da Conexão LDAP
  • Conexão LDAP Recusada/Redefinida
  • Falha na Resolução do Nome LDAP
  • Falha de Log-in de Bind LDAP
  • Falha de validação de certificado LDAP

Para erros de "Timeout de Conexão LDAP" e "Conexão LDAP Recusada/Redefinida":

  1. Verifique se as regras de segurança da VCN permitem comunicação com seus servidores LDAP e DNS. Consulte Cenário D: O ponto de acesso NFS usa LDAP para autorização
  2. Verifique se o serviço LDAP está em execução no servidor LDAP gerenciado pelo cliente.
    Dica

    Você pode testar o recurso de pesquisa LDAP usando o comando ldapsearch de uma instância do Linux na mesma sub-rede que o ponto de acesso NFS. Consulte Testando para Suporte a Esquema LDAP para obter mais informações.
  3. Verifique se o ponto de acesso NFS está usando um conector de saída com o servidor LDAP e a porta LDAPS corretos. Consulte Gerenciando Conectores de Saída para obter mais informações.

Para erros de "Falha na Resolução do Nome LDAP":

  1. Verifique se as regras de segurança da VCN permitem comunicação com seus servidores LDAP e DNS. Consulte Cenário D: O ponto de acesso NFS usa LDAP para autorização para obter mais informações.
  2. Certifique-se de que os arquivos de zona DNS no servidor DNS contenham registros A e PTR para o servidor LDAP.
  3. Se o servidor DNS configurado for gerenciado pelo cliente e usar Opções de DHCP, verifique se as opções de DHCP estão corretas e se o ponto de acesso NFS está na sub-rede que tem opções de DHCP definidas.
  4. Verifique se o serviço de nome está acessível e em execução no servidor DNS. Você pode usar uma pesquisa de DNS e uma pesquisa reversa de uma instância na mesma sub-rede do ponto de acesso NFS.

Para erros de "Falha no Log-in de Bind LDAP":

Verifique se o conector de saída está usando o Nome Distinto de Bind correto e a senha correta. Consulte Gerenciando Conectores de Saída para obter mais informações.

Para erros de "Falha na Validação do Certificado LDAP":

Verifique se o servidor LDAP possui um certificado válido.

Erros de Solicitação de LDAP

O gráfico Erros de Solicitação LDAP captura os seguintes tipos de erro:

  • Nome de usuário da pesquisa por UID
  • Pesquisar UID por Nome de Usuário
  • Pesquisar Grupos de Usuários

Erros de solicitação LDAP podem resultar em problemas de permissão ou erros ao montar sistemas de arquivos.

Você pode usar o comando ldapsearch de uma instância do Linux com conectividade com o servidor LDAP para verificar se:

  1. Uma entrada de usuário está presente na Base de Pesquisa para Usuários com uid, uidNumber e gidNumber.
  2. Uma entrada de grupo do usuário está presente na Base de Pesquisa para Grupos com o atributo memberUid.

Para obter mais informações, consulte Testando para Suporte a Esquema LDAP.

Erros do Kerberos

O gráfico Erros do Kerberos captura os seguintes tipos de erro:

  • Kerberos sem keytab
  • Kerberos sem chave
  • Incompatibilidade do número da versão da chave Kerberos
  • Diferença de relógio do Kerberos

Para erros de "Kerberos no keytab":

Verifique se você fez upload de um keytab do Kerberos para o OCI Vault e selecionou o segredo ao ativar a autenticação do Kerberos.

Para erros de "Kerberos no key":

Não há chaves no keytab. Para obter mais informações, consulte Kerberos Keytab.

Para erros de "incompatibilidade do número da versão da chave Kerberos":

  1. Os números de versão da chave são usados para distinguir entre chaves diferentes no mesmo domínio. Esse erro ocorre quando o sistema não consegue encontrar um kvno na keytab que corresponde ao ticket. O ticket pode estar desatualizado ou expirado. Para obter mais informações, consulte Kerberos Keytab.
  2. Verifique se o segredo do keytab selecionado está correto. Caso contrário, extraia o keytab correto do principal do ponto de acesso NFS do KDC e, em seguida, faça upload novamente do keytab como o segredo e selecione a nova versão do segredo.

Para erros "Kerberos clock skew":

Verifique se a data e a hora estão corretas no cliente e no KDC. Para evitar que intrusos redefinam seus relógios do sistema e usem tíquetes expirados, o Kerberos rejeita solicitações de tíquetes de qualquer host cujo relógio esteja fora de sincronia.