Documentation Oracle Cloud Infrastructure

Configuration de l'authentification Kerberos

Les informations Kerberos sont configurées sur une base cible par montage à l'aide des étapes suivantes.

Remarque

Ces étapes supposent que vous utilisez l'autorisation LDAP pour activer l'authentification Kerberos par utilisateur. L'accès anonyme avec l'authentification Kerberos est possible sans les exigences LDAP et les étapes correspondantes. Pour plus d'informations, reportez-vous à la section LDAP Lookups and Anonymous Access.
  1. Assurez-vous que l'infrastructure LDAP et Kerberos est requise. Pour plus d'informations, reportez-vous à Prérequis.
    1. Si le résolveur VCN par défaut n'est pas utilisé, ajoutez des enregistrements de nom de transfert et d'inversion au serveur DNS géré par le client.
    2. Ajoutez le principal de cible de montage au KDC et extrayez un keytab binaire du KDC. Les étapes d'extraction d'un keytab diffèrent en fonction du type de KDC utilisé (basé sur Linux ou Active Directory).
  2. Convertissez le fichier keytab binaire Kerberos en Base64, puis utilisez-le pour créer une clé secrète dans OCI Vault. Veillez à sélectionner Base64 comme format de clé secrète lors du collage dans le fichier keytab converti. Pour plus d'informations, reportez-vous à Présentation de Vault.
  3. Téléchargez le mot de passe LDAP vers OCI Vault en tant que clé secrète au format texte brut. Pour plus d'informations, reportez-vous à Présentation de Vault.
  4. Ajoutez les stratégies IAM requises.
  5. Créez deux connecteurs sortants pour contacter le serveur LDAP.
    Remarque

    L'utilisation de LDAP pour l'autorisation requiert au moins un connecteur sortant. Un second connecteur sortant peut être utilisé en tant que sauvegarde ou pour le basculement. Reportez-vous à la section LDAP Lookups and Anonymous Access pour plus d'informations sur la réponse de File Storage lorsqu'il ne parvient pas à atteindre un serveur LDAP.
  6. Ajoutez les détails de configuration LDAP à une cible de montage.
  7. Ajoutez les détails d'authentification Kerberos à la même cible de montage et validez le keytab.
    Remarque

    La configuration Kerberos n'est pas partagée entre les cibles de montage.
  8. Vérifiez que la cible de montage utilisée pour l'authentification Kerberos comporte :
    • Nom de domaine qualifié complet correspondant à l'instance du principal keytab Kerberos. Par exemple : nfs/<FQDN_of_mount_target>@<REALM>.
      Remarque

      Lorsque le résolveur Internet et VCN par défaut, le service File Storage construit un nom de domaine qualifié complet en combinant le nom d'hôte de la cible de montage avec le nom de domaine qualifié complet du sous-réseau dans lequel se trouve la cible de montage. Pour plus d'informations, reportez-vous à Gestion des cibles de montage.
    • Nom de domaine qualifié complet ajouté au serveur DNS avec recherche directe et inversée.
  9. Créez ou mettez à jour un système de fichiers à l'aide de la cible de montage LDAP et Kerberos.
  10. Ajoutez une export compatible Kerberos à la cible de montage. Reportez-vous à la section Use Kerberos for Authentication pour obtenir un exemple.
  11. Montez le système de fichiers. Pour plus d'informations, reportez-vous à Montage de systèmes de fichiers compatibles Kerberos.
    Remarque

    Utilisez le nom de domaine qualifié complet de la cible de montage plutôt que l'adresse IP.

Activation de l'authentification Kerberos pour une cible de montage

Configurez l'authentification Kerberos pour une cible de montage File Storage.

Remarque

Lorsque vous mettez à jour une cible de montage existante pour utiliser Kerberos, File Storage peut prendre un certain temps pour refléter entièrement les mises à jour.
    1. Ouvrez le menu de navigation et cliquez sur Stockage. Sous File Storage, cliquez sur Cibles de montage.
    2. Dans la section Portée de la liste, sous Compartiment, sélectionnez un compartiment.
    3. Recherchez la cible de montage souhaitée, cliquez sur le menu Actions (Menu Actions), puis sur Afficher les détails.
    4. Cliquez sur l'onglet NFS pour afficher ou modifier les paramètres NFS existants pour la cible de montage.
    5. En regard de Kerberos, cliquez sur Gérer.

    6. Dans la fenêtre Manage Kerberos, fournissez les détails suivants :

      • Domaine Kerberos : entrez le domaine Kerberos que cette cible de montage joint.
      • Dans la section d'informations Keytab, indiquez les détails suivants :
        • Sélectionnez le coffre contenant la clé secrète keytab à utiliser.
        • Sélectionnez la clé secrète keytab.
        • Sélectionnez la version secrète keytab en cours et la version secrète keytab de sauvegarde.
        Attention

        Veillez à sauvegarder vos coffres et clés. Si un coffre et une clé sont supprimés, vous ne pouvez plus décrypter les ressources ou les données cryptées par la clé. Pour plus d'informations, reportez-vous à Sauvegarde et restauration de coffres et de clés.

    7. Cliquez sur Validate keytab avant d'activer Kerberos pour inspecter le contenu du keytab.

      Attention

      Un keytab mal configuré peut entraîner la perte de l'accès des clients NFS aux systèmes de fichiers.
    8. Activer Kerberos : activez cette option pour utiliser Kerberos. Pour plus d'informations, reportez-vous à la section Using Kerberos Authentication.
    9. Cliquez sur Enregistrer.

  • Utilisez la commande oci fs mount-target create avec les options --kerberos, --idmap-type et --ldap-idmap pour créer une cible de montage et fournir les détails Kerberos et LDAP.

    oci fs mount-target create --availability-domain <availability_domain> --compartment-id <compartment_id> --subnet-id <subnet_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    Utilisez la commande oci fs mount-target update avec les options --kerberos, --idmap-type et --ldap-idmap pour mettre à jour une cible de montage existante avec les détails Kerberos et LDAP.

    oci fs mount-target update --mount-target-id <mount_target_id> --kerberos <file://krb.json> --ldap-idmap <file://ldap.json>

    Voici un exemple de fichier krb.json :

    {
  "currentKeyTabSecretVersion": 1,
  "isKerberosEnabled": true,
  "kerberosRealm": "EXAMPLE.COM",
  "keyTabSecretId": "ocid1.vaultsecret.oc1.eu-frankfurt-1.exampleuniqueID"
}

    Voici un exemple de fichier ldap.json :

    {
  "cacheLifetimeSeconds": 300,
  "cacheRefreshIntervalSeconds": 300,
  "groupSearchBase": "cn=accounts,dc=example,dc=com",
  "negativeCacheLifetimeSeconds": 300,
  "outboundConnector1Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "outboundConnector2Id": "ocid1.outboundconnector.oc1.exampleuniqueID",
  "userSearchBase": "cn=accounts,dc=example,dc=com",
  "schemaType": "RFC2307"
}

    Utilisez la commande oci fs mount-target validate-key-tabs pour tester le keytab Kerberos que le connecteur sortant associé à la cible de montage utilise.

    oci fs mount-target validate-key-tabs --mount-target-id <mount_target_id>

    Afin d'obtenir la liste complète des paramètres et des valeurs pour les commandes d'interface de ligne de commande, reportez-vous à Référence de commande d'CLI.

  • Utilisez CreateMountTarget ou UpdateMountTarget avec les options kerberos, idMapType et ldapIdmap pour créer ou mettre à jour une cible de montage avec les détails LDAP et Kerberos.

    Utilisez ValidateKeyTabs pour valider le keytab Kerberos associé à la cible de montage.

    Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.