NFSメトリックとログを使用したLDAPおよび Kerberosの問題のトラブルシューティング
アウトバウンド・コネクタまたはマウント・ターゲットのNFSメトリックおよびサービス・ログを使用して、認可にLDAPを使用し、認証にKerberosを使用するファイル・システムの問題を診断します。
ファイル・ストレージのアウトバウンド・コネクタおよびLDAPを使用するマウント・ターゲット、またはLDAPとKerberosの両方を使用するマウント・ターゲットは、接続、パフォーマンスおよびエラーの監視に役立つメトリックを生成します。次のチャートは、特定のエラーを取得するように設計されています。
ファイル・ストレージのメトリックおよびチャートの詳細は、ファイル・システム・メトリックを参照してください。
LDAPまたはKerberosを使用するマウント・ターゲットにはNFSログを有効化し、エラーにはアラームを設定することをお薦めします。詳細は、ファイル・ストレージの詳細を参照してください。
LDAP接続エラー
「LDAP Connection Errors」チャートは、次のエラータイプを取得します。
- LDAP接続タイムアウト
- LDAP接続が拒否/リセットされました
- LDAP名解決の失敗
- LDAPバインド・ログインに失敗しました
- LDAP証明書の検証に失敗しました
「LDAP接続タイムアウト」および「LDAP接続拒否/リセット」エラーの場合:
- VCNセキュリティ・ルールでLDAPおよびDNSサーバーとの通信が許可されていることを確認します。シナリオD: マウント・ターゲットが認可にLDAPを使用するを参照してください
- LDAPサービスが顧客管理のLDAPサーバーで実行されていることを確認します。ヒント
マウント・ターゲットと同じサブネット内のLinuxインスタンスからldapsearch
コマンドを使用して、LDAP検索機能をテストできます。詳細は、LDAPスキーマ・サポートのテストを参照してください。 - マウント・ターゲットが正しいLDAPサーバーおよびLDAPSポートのアウトバウンド・コネクタを使用していることを確認します。詳細は、アウトバウンド・コネクタの管理を参照してください。
「LDAP Name Resolution Failed」エラーの場合:
- VCNセキュリティ・ルールでLDAPおよびDNSサーバーとの通信が許可されていることを確認します。詳細は、シナリオD: マウント・ターゲットで認可にLDAPを使用を参照してください。
- DNSサーバー上の DNSゾーンファイルに、LDAPサーバーのAレコードとPTRレコードが含まれていることを確認します。
- 構成されたDNSサーバーが顧客管理であり、DHCPオプションを使用している場合は、DHCPオプションが正しいこと、およびDHCPオプションが設定されているサブネットにマウント・ターゲットがあることを確認します。
- ネームサービスがアクセス可能で、DNSサーバーで実行されていることを確認します。マウント・ターゲットと同じサブネット内のインスタンスからDNSルックアップおよびリバース・ルックアップを使用できます。
「LDAPバインド・ログイン失敗」エラーの場合:
アウトバウンド・コネクタが正しいバインド識別名および正しいパスワードを使用していることを確認します。詳細は、アウトバウンド・コネクタの管理を参照してください。
「LDAP証明書検証失敗」エラーの場合:
LDAPサーバーが有効な証明書を持っていることを確認します。
LDAP要求エラー
「LDAP Request Errors」チャートは、次のエラータイプを取得します。
- UIDによるユーザー名の検索
- ユーザー名によるUIDの参照
- ユーザー・グループの参照
LDAPリクエストエラーによって、アクセス権の問題やファイルシステムのマウント時にエラーが発生する可能性があります。
LDAPサーバーに接続された Linuxインスタンスから ldapsearch
コマンドを使用して、次のことを検証できます。
- ユーザーエントリは、uid、uidNumber、および gidNumberを持つユーザーの「検索ベース」の下にあります。
- ユーザーのグループ・エントリは、memberUid属性を持つグループの検索ベースに存在します。
詳細は、Testing for LDAP Schema Supportを参照してください。
Kerberosエラー
「Kerberos Errors」チャートは、次のエラータイプを取得します。
- Kerberosのキタブなし
- Kerberosキーなし
- Kerberos鍵のバージョン番号が一致しません
- Kerberosクロックの偏り
「Kerberos no keytab」エラーの場合:
OCI VaultにKerberosキータブがアップロードされ、Kerberos認証の有効化時にシークレットが選択されていることを確認します。
「Kerberos no key」エラーの場合:
keytabに鍵がありません。詳細は、「Kerberos Keytab」を参照してください。
「Kerberos鍵のバージョン番号の不一致」エラーの場合:
- キー・バージョン番号は、同じドメイン内の異なるキーを区別するために使用されます。このエラーは、チケットに対応するキータブに
kvno
が見つからない場合に発生します。チケットは期限切れまたは期限切れの可能性があります。詳細は、「Kerberos Keytab」を参照してください。 - 選択したキータブ・シークレットが正しいことを確認してください。そうでない場合は、マウント・ターゲット・プリンシパルの正しいキータブをKDCから抽出し、キータブをシークレットとして再アップロードし、新しいシークレット・バージョンを選択します。
「Kerberos clock skew」エラーの場合:
クライアントとKDCの日付と時間が正しいことを確認します。侵入者がシステムクロックをリセットして期限切れのチケットを使用できないようにするために、Kerberosはクロックが同期していないホストからのチケット要求を拒否します。