Oracle Cloud Infrastructureドキュメント

Kerberos認証を使用してファイルシステムをマウントするときにアクセスが拒否される

Kerberos認証を使用するファイルシステムをマウントすると、アクセスが拒否されます。

マウント・ターゲットの「Kerberosエラー」チャートには、次のエラー・タイプを含めることができます:

  • Kerberosのキタブなし
  • Kerberosキーなし
  • Kerberos鍵のバージョン番号が一致しません
  • Kerberosクロックの偏り
    • Oracle Cloud Infrastructure File Storageでは、Kerberosの使用時にクロック・スキューを最大300秒使用できます。侵入者がシステムクロックをリセットして期限切れのチケットを使用できないように、クロックが300秒以内のホストからのチケット要求は拒否されます。

マウント・ターゲットの「LDAP接続エラー」チャートおよび「LDAPリクエスト・エラー」チャートには、次のエラー・タイプを含めることができます:

  • LDAP接続タイムアウト
  • LDAP接続が拒否/リセットされました
  • LDAP名解決の失敗
  • LDAPバインド・ログインに失敗しました
  • LDAP証明書の検証に失敗しました
  • UIDによるユーザー名の検索
  • ユーザー名によるUIDの参照
  • ユーザー・グループの参照

この問題のトラブルシューティングに役立つ次のタスクを実行します。

  1. Kerberosがマウント・ターゲットで有効であることを確認します。
  2. エクスポートでAUTH_SYS認証を構成し、マウント・コマンドで-o sec=sysを使用してファイル・システムのマウントを試行します。このテストは、問題が Kerberos認証に固有かどうかを見つけるのに役立ちます。
  3. klist -Aコマンドを使用して、クライアント上のKerberosチケットの有効性を確認します。
  4. NFSクライアントの rpc-gssdデーモンのログで、Kerberos関連の問題を確認します。必要に応じて、rpc-gssdデーモンのログ詳細度を増やします。
  5. mount commandが完全修飾ドメイン名を使用し、正しいエクスポートオプションが含まれていることを確認します。詳細は、Kerberosが有効なファイルシステムのマウントを参照してください。
  6. 「Kerberosエラー」チャートで、マウント・ターゲットのチャートおよびログ(ロギングが有効になっている場合)にエラーまたは「Kerberos Keytabロード成功」メッセージがないか確認します。
  7. 匿名アクセスが無効になっている場合は、LDAPサーバーのuid、uidNumber、および gidNumber属性を持つユーザーの検索ベースにユーザーエントリが存在することを確認します。ユーザーのグループがgidNumberおよびmemberUidのグループの検索ベースに存在することを確認します。

    ロギングが有効になっている場合は、マウント・ターゲットのチャートおよびログで、「LDAP接続エラー」チャートまたは「LDAPリクエスト・エラー」チャートのエラーを確認します。

詳細は、マウント・コマンドの失敗を参照してください。