Oracle Cloud Infrastructureドキュメント

Kerberos認証でファイル・システムをマウントするときにアクセスが拒否される

Kerberos認証を使用するファイル・システムをマウントする場合、アクセスは拒否されます。

マウント・ターゲットの「Kerberosエラー」チャートには、次のエラー・タイプを含めることができます:

  • Kerberosのキータブなし
  • Kerberosキーなし
  • Kerberos鍵のバージョン番号が一致しません
  • Kerberosクロックの偏り
    • Oracle Cloud Infrastructure File Storageでは、Kerberosを使用する場合、クロック・スキューに最大300秒かかります。侵入者がシステムクロックをリセットして期限切れのチケットを使用できないようにするために、クロックが300秒以内にないホストからのチケット要求は拒否されます。

マウント・ターゲットの「LDAP接続エラー」チャートおよび「LDAPリクエスト・エラー」チャートには、次のエラー・タイプを含めることができます:

  • LDAP接続タイムアウト
  • LDAP接続が拒否/リセットされました
  • LDAP名解決の失敗
  • LDAPバインド・ログインに失敗しました
  • LDAP証明書の検証に失敗しました
  • UIDによるユーザー名の参照
  • ユーザー名によるUIDの参照
  • ユーザー・グループの参照

この問題のトラブルシューティングに役立つ次のタスクを実行します。

  1. Kerberosがマウント・ターゲットで有効であることを確認します。
  2. エクスポートでAUTH_SYS認証を構成し、マウント・コマンドで-o sec=sysを使用してファイル・システムのマウントを試行します。このテストは、問題が Kerberos認証に固有かどうかを確認するのに役立ちます。
  3. klist -Aコマンドを使用して、クライアント上のKerberosチケットの有効性をチェックします。
  4. NFSクライアントのrpc-gssdデーモン・ログでKerberos関連の問題を確認します。必要に応じて、rpc-gssdデーモンのログの詳細度を増やします。
  5. mountコマンドで完全修飾ドメイン名が使用され、正しいエクスポート・オプションが含まれていることを確認します。詳細は、Kerberos対応ファイル・システムのマウントを参照してください。
  6. 「Kerberosエラー」チャートで、マウント・ターゲットのチャートおよびログ(ロギングが有効な場合)でエラーまたは「Kerberosキータブのロード成功」メッセージを確認します。
  7. 匿名アクセスが無効になっている場合は、LDAPサーバーのuid、uidNumber、および gidNumber属性を持つユーザーの検索ベースにユーザーエントリが存在することを確認します。ユーザーのグループが、gidNumberおよびmemberUidのグループの検索ベースに存在することを確認します。

    「LDAP接続エラー」チャートまたは「LDAPリクエスト・エラー」チャートで、マウント・ターゲットのチャートおよびログ(ロギングが有効な場合)でエラーがないかどうかを確認します。

詳細は、マウント・コマンドの失敗を参照してください。