Documentation Oracle Cloud Infrastructure

Utilisation des mesures et des journaux NFS pour résoudre les problèmes LDAP et Kerberos

Utilisez les mesures NFS d'un connecteur sortant ou d'une cible de montage et les journaux de service pour diagnostiquer les problèmes liés aux systèmes de fichiers qui utilisent LDAP pour l'autorisation et Kerberos pour l'authentification.

Les connecteurs sortants File Storage et les cibles de montage qui utilisent LDAP, ou utilisent à la fois LDAP et Kerberos, émettent des mesures pour vous aider à surveiller la connectivité, les performances et les erreurs. Les graphiques suivants sont conçus pour capturer des erreurs spécifiques :

Pour obtenir des détails complets sur les mesures et les graphiques File Storage, reportez-vous à Mesures de système de fichiers.

Nous vous recommandons d'activer les journaux NFS pour les cibles de montage qui utilisent LDAP ou Kerberos et de définir des alarmes en cas d'erreur. Pour plus d'informations, reportez-vous à Détails relatifs à File Storage.

Erreurs de connexion LDAP

Le graphique LDAP Connection Errors capture les types d'erreur suivants :

  • Délai d'expiration de la connexion LDAP
  • Connexion LDAP refusée/Réinitialisation
  • Echec de la résolution de nom LDAP
  • Echec de la connexion de liaison LDAP
  • Echec de validation de certificat LDAP

Pour les erreurs "LDAP Connection Timeout" et "LDAP Connection Refused/Reset" :

  1. Vérifiez que les règles de sécurité VCN autorisent la communication avec vos serveurs LDAP et DNS. Voir Scénario D : la cible de montage utilise LDAP pour l'autorisation
  2. Vérifiez que le service LDAP est en cours d'exécution sur le serveur LDAP géré par le client.
    Conseil

    Vous pouvez tester la fonction de recherche LDAP à l'aide de la commande ldapsearch à partir d'une instance Linux dans le même sous-réseau que la cible de montage. Pour plus d'informations, reportez-vous à la section Testing for LDAP Schema Support.
  3. Vérifiez que la cible de montage utilise un connecteur sortant avec le serveur LDAP et le port LDAPS corrects. Pour plus d'informations, reportez-vous à Gestion des connecteurs sortants.

Pour les erreurs "LDAP Name Resolution Failed" :

  1. Vérifiez que les règles de sécurité VCN autorisent la communication avec vos serveurs LDAP et DNS. Pour plus d'informations, reportez-vous à la section Scénario D : la cible de montage utilise LDAP pour l'autorisation.
  2. Assurez-vous que les fichiers de zone DNS du serveur DNS contiennent des enregistrements A et PTR pour le serveur LDAP.
  3. Si le serveur DNS configuré est géré par le client et utilise les options DHCP, vérifiez que les options DHCP sont correctes et que la cible de montage se trouve dans le sous-réseau dont les options DHCP sont définies.
  4. Vérifiez que le service de noms est accessible et en cours d'exécution sur votre serveur DNS. Vous pouvez utiliser une recherche DNS et une recherche inverse à partir d'une instance du même sous-réseau que la cible de montage.

Pour les erreurs "LDAP Bind Login Failed" :

Vérifiez que le connecteur sortant utilise le nom distinctif de liaison et le mot de passe corrects. Pour plus d'informations, reportez-vous à Gestion des connecteurs sortants.

Pour les erreurs "LDAP Certificate Validation Failure" :

Vérifiez que le serveur LDAP dispose d'un certificat valide.

Erreur de demande LDAP

Le graphique Erreurs de demande LDAP capture les types d'erreur suivants :

  • Rechercher le nom utilisateur par UID
  • Rechercher un UID par nom utilisateur
  • Rechercher des groupes d'utilisateurs

Les erreurs de demande LDAP peuvent entraîner des problèmes d'autorisation ou des erreurs lors du montage des systèmes de fichiers.

Vous pouvez utiliser la commande ldapsearch à partir d'une instance Linux avec une connectivité au serveur LDAP pour vérifier que :

  1. Une entrée utilisateur est présente dans la base de recherche pour les utilisateurs avec uid, uidNumber et gidNumber.
  2. Une entrée de groupe de l'utilisateur est présente dans la base de recherche pour les groupes avec l'attribut memberUid.

Pour plus d'informations, reportez-vous à Test pour la prise en charge des schémas LDAP.

Erreurs Kerberos

Le graphique Kerberos Errors capture les types d'erreur suivants :

  • Aucun keytab Kerberos
  • Kerberos sans clé
  • Non-concordance du numéro de version de la clé Kerberos
  • Ecart d'horloge Kerberos

Pour les erreurs "Kerberos no keytab" :

Vérifiez que vous avez téléchargé un keytab Kerberos vers OCI Vault et sélectionné la clé secrète lors de l'activation de l'authentification Kerberos.

Pour les erreurs "Kerberos no key" :

Il n'y a aucune clé dans le keytab. Pour plus d'informations, reportez-vous à la section Kerberos Keytab.

Pour les erreurs "Kerberos key version number mismatch" :

  1. Les numéros de version de clé permettent de distinguer les différentes clés d'un même domaine. Cette erreur se produit lorsque le système ne trouve pas de kvno dans le keytab correspondant au ticket. Le ticket peut être obsolète ou expiré. Pour plus d'informations, reportez-vous à la section Kerberos Keytab.
  2. Vérifiez que la clé secrète keytab sélectionnée est correcte. Si ce n'est pas le cas, extrayez le keytab correct pour le principal de la cible de montage du KDC, puis chargez à nouveau le keytab en tant que clé secrète et sélectionnez la nouvelle version de clé secrète.

Pour les erreurs d'écart d'horloge Kerberos :

Vérifiez que la date et l'heure sont correctes sur le client et dans le KDC. Pour empêcher les intrus de réinitialiser leurs horloges système et d'utiliser des tickets expirés, Kerberos rejette les demandes de ticket de tout hôte dont l'horloge est désynchronisée.