Oracle Cloud Infrastructureドキュメント

NFSメトリックおよびログを使用したLDAPおよびKerberosの問題のトラブルシューティング

アウトバウンド・コネクタまたはマウント・ターゲットのNFSメトリックおよびサービス・ログを使用して、認可にLDAPを使用し、認証にKerberosを使用するファイル・システムの問題を診断します。

LDAPを使用するファイル・ストレージ・アウトバウンド・コネクタおよびマウント・ターゲット、またはLDAPとKerberosの両方を使用するマウント・ターゲットは、接続性、パフォーマンスおよびエラーの監視に役立つメトリックを発行します。次のチャートは、特定のエラーを取得するように設計されています。

ファイル・ストレージのメトリックおよびチャートの詳細は、ファイル・システム・メトリックを参照してください。

LDAPまたはKerberosを使用するマウント・ターゲットに対してNFSログを有効にし、エラーに対してアラームを設定することをお薦めします。詳細については、「ファイル・ストレージの詳細」を参照してください。

LDAP接続エラー

「LDAP接続エラー」チャートには、次のエラー・タイプが取得されます。

  • LDAP接続タイムアウト
  • LDAP接続が拒否/リセットされました
  • LDAP名解決の失敗
  • LDAPバインド・ログインに失敗しました
  • LDAP証明書の検証に失敗しました

「LDAP接続タイムアウト」および「LDAP接続拒否/リセット」エラーの場合:

  1. VCNセキュリティ・ルールでLDAPおよびDNSサーバーとの通信が許可されていることを確認します。シナリオD: マウント・ターゲットが認可にLDAPを使用するを参照してください
  2. LDAPサービスが顧客管理LDAPサーバーで実行されていることを確認します。
    ヒント

    マウント・ターゲットと同じサブネット内のLinuxインスタンスからldapsearchコマンドを使用して、LDAP検索機能をテストできます。詳細は、「LDAPスキーマのサポートのテスト」を参照してください。
  3. マウント・ターゲットが、正しいLDAPサーバーおよびLDAPSポートを持つアウトバウンド・コネクタを使用していることを確認します。詳細は、「アウトバウンド・コネクタの管理」を参照してください。

「LDAP名解決失敗」エラーの場合:

  1. VCNセキュリティ・ルールでLDAPおよびDNSサーバーとの通信が許可されていることを確認します。詳細は、シナリオD: マウント・ターゲットが認可にLDAPを使用するを参照してください。
  2. DNSサーバー上の DNSゾーンファイルに、LDAPサーバーのAおよびPTRレコードが含まれていることを確認します。
  3. 構成されたDNSサーバーが顧客管理で、DHCPオプションを使用している場合は、DHCPオプションが正しいこと、およびマウント・ターゲットがDHCPオプションが設定されているサブネットにあることを確認します。
  4. ネームサービスがアクセス可能で、DNSサーバーで実行されていることを確認します。マウント・ターゲットと同じサブネットのインスタンスからのDNSルックアップおよびリバース・ルックアップを使用できます。

「LDAPバインド・ログインに失敗しました」エラーの場合:

アウトバウンド・コネクタが正しいバインド識別名および正しいパスワードを使用していることを確認します。詳細は、「アウトバウンド・コネクタの管理」を参照してください。

「LDAP証明書検証失敗」エラーの場合:

LDAPサーバーが有効な証明書を持っていることを確認します。

LDAPリクエスト・エラー

「LDAPリクエスト・エラー」チャートには、次のエラー・タイプが取得されます。

  • UIDによるユーザー名の参照
  • ユーザー名によるUIDの参照
  • ユーザー・グループの参照

LDAPリクエストエラーによって、アクセス権の問題またはファイルシステムのマウント時のエラーが発生する可能性があります。

LDAPサーバーに接続しているLinuxインスタンスからldapsearchコマンドを使用すると、次のことを確認できます。

  1. ユーザー・エントリは、uid、uidNumberおよびgidNumberを持つユーザーの検索ベースの下にあります。
  2. ユーザーのグループ・エントリは、memberUid属性を持つグループの検索ベースの下にあります。

詳細は、Testing for LDAP Schema Supportを参照してください。

Kerberosエラー

「Kerberosエラー」チャートには、次のエラー・タイプが取得されます。

  • Kerberosのキータブなし
  • Kerberosキーなし
  • Kerberos鍵のバージョン番号が一致しません
  • Kerberosクロックの偏り

「Kerberos no keytab」エラーの場合:

KerberosキータブをOCI Vaultにアップロードし、Kerberos認証の有効化時にシークレットを選択したことを確認します。

「Kerberos no key」エラーの場合:

keytabに鍵がありません。詳細は、Kerberos Keytabを参照してください。

「Kerberos key version number mismatch」エラーの場合:

  1. キー・バージョン番号は、同じドメイン内の異なるキーを区別するために使用されます。このエラーは、チケットに対応するキータブにkvnoが見つからない場合に発生します。チケットが期限切れまたは期限切れの可能性があります。詳細は、Kerberos Keytabを参照してください。
  2. 選択したキータブ・シークレットが正しいことを確認してください。そうでない場合は、KDCからマウント・ターゲット・プリンシパルの正しいキータブを抽出し、キータブをシークレットとして再アップロードして、新しいシークレット・バージョンを選択します。

「Kerberosクロック・スキュー」エラーの場合:

クライアントおよびKDCの日付と時間が正しいことを確認します。侵入者がシステムクロックをリセットして期限切れのチケットを使用できないようにするために、Kerberosは、クロックが同期していないホストからのチケット要求を拒否します。