キーの回転

ファイル・ストレージ認証に使用されるKerberosキータブのローテーションは、可用性の停止を回避するために慎重に実行する必要があります。

KDC管理者が指定した間隔に基づく認証リフレッシュチケットに Kerberosを使用するNFSクライアント。keytabエントリをローテーションする場合、すべてのクライアントがチケットをリフレッシュするまで、マウントターゲットは古い値と新しい値の両方を受け入れる必要があります。古いkeytabエントリが早すぎる場合は、チケットをリフレッシュしていないクライアントが可用性停止することがあります。

ファイル・ストレージ認証で使用されるKerberosキータブを安全に更新するには:

1. KDCから新しい鍵バージョンでkeytabを生成し、それを Base64形式に変換します。
2. keytabを既存のkeytabシークレットの新しいシークレット・バージョンとしてOCI Vaultにアップロードします。選択した新しいシークレット・バージョンの形式がBase64であることを確認します。詳細は、ボールトの概要を参照してください。
3. マウント・ターゲットのKeytab情報を更新します:
   1. ナビゲーション・メニューを開き、「ストレージ」をクリックします。「ファイル・ストレージ」で、「マウント・ターゲット」をクリックします
   2. 「リスト・スコープ」セクションで、「コンパートメント」を選択します。
   3. Kerberosキータブ・バージョンを更新する必要があるマウント・ターゲットを検索し、「アクション」メニュー()をクリックして、「詳細の表示」をクリックします。
   4. 「NFS」タブをクリックして、マウント・ターゲットの既存のNFS設定を表示します。
   5. 「Kerberos」の横にある「管理」をクリックします。
   6. 「Keytab情報」セクションで、keytabを更新します。
      • 新しいkeytabバージョンを Current Keytab Secret Versionとして選択します
      • 古いkeytabバージョンを「Backup Keytab Secretバージョン」として選択します。
4. すべてのNFSクライアントが Kerberosチケットをリフレッシュするまで待ちます。
5. マウント・ターゲット構成から「Keytab秘密バージョンのバックアップ」を削除します。