Configuración de servidores NFS con Kerberos

Los servicios NFS utilizan ID de usuario (UID) de UNIX para identificar a un usuario y no pueden utilizar directamente credenciales GSS. Para traducir la credencial a un UID, es posible que se deba crear una tabla de credenciales que asigne credenciales de usuario a UID de UNIX. Consulte Asignación de credenciales GSS a credenciales UNIX para obtener más información sobre la asignación predeterminada de credenciales. Los procedimientos de esta sección se centran en las tareas que se necesitan para configurar un servidor NFS con Kerberos, administrar la tabla de credenciales e iniciar los modos de seguridad de Kerberos para sistemas de archivos montados en NFS. En el siguiente mapa de tareas, se describen las tareas que se tratan en esta sección.

Tabla 23-2 Configuración de servidores NFS con Kerberos (mapa de tareas)

Tarea	Descripción	Para obtener instrucciones
Configurar un servidor NFS con Kerberos	Permite que un servidor comparta un sistema de archivos que requiere la autenticación Kerberos.	Cómo configurar servidores NFS con Kerberos
Crear una tabla de credenciales	Genera una tabla de credenciales que se puede utilizar para proporcionar asignación de credenciales GSS a ID de usuario de UNIX si la asignación predeterminada no es suficiente.	Cómo crear una tabla de credenciales
Cambiar la tabla de credenciales que asigna credenciales de usuario a UID de UNIX	Actualiza la información en la tabla de credenciales.	Cómo agregar una única entrada a la tabla de credenciales
Crear asignaciones de credenciales entre dos dominios similares	Proporciona instrucciones sobre cómo asignar UID de un dominio a otro si los dominios comparten un archivo de contraseña.	Cómo proporcionar asignación de credenciales entre dominios
Compartir un sistema de archivos con autenticación Kerberos	Comparte un sistema de archivos con modos de seguridad, de manera que la autenticación Kerberos es necesaria.	Cómo configurar un entorno NFS seguro con varios modos de seguridad de Kerberos

Cómo configurar servidores NFS con Kerberos

En este procedimiento, se utilizan los siguientes parámetros de configuración:

Nombre de dominio = EXAMPLE.COM
Nombre de dominio DNS = example.com
Servidor NFS = denver.example.com
Principal admin = kws/admin

Complete los requisitos para configurar un servidor NFS con Kerberos.
El KDC maestro debe estar configurado. Para probar completamente el proceso, necesita varios clientes.
(Opcional) Instale el cliente NTP u otro mecanismo de sincronización de relojes.
No es necesario instalar ni utilizar el protocolo de hora de red (NTP). Sin embargo, cada reloj debe estar sincronizado con la hora en el servidor KDC dentro de una diferencia máxima definida por la relación clockskew en el archivo krb5.conf para que la autenticación se realice con éxito. Consulte Sincronización de relojes entre clientes Kerberos y KDC para obtener información sobre el NTP.
Configure el servidor NFS como un cliente Kerberos.
Siga las instrucciones en Configuración de clientes Kerberos.
Inicie kadmin.
Si desea obtener información sobre cómo utilizar la herramienta gráfica de administración de Kerberos para agregar un principal, consulte Cómo crear un nuevo principal de Kerberos. Para ello, debe iniciar sesión con uno de los nombres de principales admin que creó cuando configuró el KDC maestro. Sin embargo, el siguiente ejemplo muestra cómo agregar los principales necesarios mediante la línea de comandos.
```
denver # /usr/sbin/kadmin -p kws/admin
Enter password: <Type kws/admin password>
kadmin: 
```
1. Cree el principal de servicio NFS del servidor.
  Tenga en cuenta que cuando la instancia de principal es un nombre de host, el FQDN se debe especificar en letras minúsculas, independientemente de si el nombre de dominio está en mayúsculas o minúsculas, en el archivo /etc/resolv.conf.
  Repita este paso para cada interfaz única en el sistema que pueda ser utilizada para acceder a datos de NFS. Si un host tiene varias interfaces con nombres únicos, cada nombre único debe tener su propio principal de servicio NFS.
```
kadmin: addprinc -randkey nfs/denver.example.com
Principal "nfs/denver.example.com" created.
kadmin:
```
2. Agregue el principal de servicio NFS del servidor al archivo keytab del servidor.
  Repita este paso para cada principal de servicio único creado en el Paso a.
```
kadmin: ktadd nfs/denver.example.com
Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs denver.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs/denver.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:
```
3. Salga de kadmin.
```
kadmin: quit
```
(Opcional) Cree asignaciones de credenciales GSS especiales si es necesario.
Normalmente, el servicio Kerberos genera asignaciones adecuadas entre las credenciales GSS y los UID de UNIX. La asignación predeterminada se describe en Asignación de credenciales GSS a credenciales UNIX. Si la asignación predeterminada no es suficiente, consulte Cómo crear una tabla de credenciales para obtener más información.
Comparta el sistema de archivos NFS con modos de seguridad de Kerberos.
Consulte Cómo configurar un entorno NFS seguro con varios modos de seguridad de Kerberos para obtener más información.

Cómo crear una tabla de credenciales

La tabla de credenciales gsscred es utilizada por un servidor NFS para asignar credenciales Kerberos a un UID. De manera predeterminada, la parte principal del nombre del principal se compara con un nombre de inicio de sesión de UNIX. Para que los clientes NFS monten sistemas de archivos de un servidor NFS con autenticación Kerberos, esta tabla se debe crear si la asignación predeterminada no es suficiente.

Edite /etc/gss/gsscred.conf y cambie el mecanismo de seguridad.
Cambie el mecanismo a files.
Cree la tabla de credenciales mediante el comando gsscred.
```
# gsscred -m kerberos_v5 -a
```
El comando gsscred recopila información de todos los orígenes que se muestran con la entrada passwd en el archivo /etc/nsswitch.conf. Es posible que necesite eliminar temporalmente la entrada files si no desea las entradas de contraseñas locales incluidas en la tabla de credenciales. Consulte la página del comando man gsscred(1M) para obtener más información.

Cómo agregar una única entrada a la tabla de credenciales

Antes de empezar

Este procedimiento requiere que la tabla gsscred ya se haya creado en el servidor NFS. Consulte Cómo crear una tabla de credenciales para obtener instrucciones.

Conviértase en superusuario en el servidor NFS.
Agregue una entrada a la tabla de credenciales mediante el comando gsscred.
```
# gsscred -m mech [ -n name [ -u uid ]] -a
```
mec

Define el mecanismo de seguridad que se va a utilizar.

nombre

Define el nombre de principal para el usuario, como se define en el KDC.

uid

Define el UID para el usuario, como se define en la base de datos de contraseñas.

-a

Agrega el UID a la asignación del nombre de principal.

Ejemplo 23-2 Adición de un principal de componente múltiple a la tabla de credenciales

En el siguiente ejemplo, se agrega una entrada para un principal denominado sandy/admin, que está asignado al UID 3736.

# gsscred -m kerberos_v5 -n sandy/admin -u 3736 -a

Ejemplo 23-3 Adición de un principal de un dominio diferente en la tabla de credenciales

En el siguiente ejemplo, se agrega una entrada para un principal denominado sandy/admin@EXAMPLE.COM, que está asignado al UID 3736.

# gsscred -m kerberos_v5 -n sandy/admin@EXAMPLE.COM -u 3736 -a

Cómo proporcionar asignación de credenciales entre dominios

Este procedimiento proporciona una asignación de credenciales apropiada entre dominios que utilizan el mismo archivo de contraseña. En este ejemplo, los dominios CORP.EXAMPLE.COM y SALES.EXAMPLE.COM utilizan el mismo archivo de contraseña. Las credenciales para bob@CORP.EXAMPLE.COM y bob@SALES.EXAMPLE.COM están asignadas al mismo UID.

Conviértase en superusuario.

En el sistema cliente, agregue entradas al archivo krb5.conf.

# cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = CORP.EXAMPLE.COM
 .
[realms]
    CORP.EXAMPLE.COM = {
        .
        auth_to_local_realm = SALES.EXAMPLE.COM
        .
    }

Ejemplo 23-4 Asignación de credenciales entre dominios mediante el mismo archivo de contraseña

Este ejemplo proporciona una asignación de credenciales apropiada entre dominios que utilizan el mismo archivo de contraseña. En este ejemplo, los dominios CORP.EXAMPLE.COM y SALES.EXAMPLE.COM utilizan el mismo archivo de contraseña. Las credenciales para bob@CORP.EXAMPLE.COM y bob@SALES.EXAMPLE.COM están asignadas al mismo UID. En el sistema cliente, agregue entradas al archivo krb5.conf.

# cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = CORP.EXAMPLE.COM
 .
[realms]
    CORP.EXAMPLE.COM = {
        .
        auth_to_local_realm = SALES.EXAMPLE.COM
        .
    }

Errores más frecuentes

Consulte Observación de asignación de credenciales GSS a credenciales UNIX para obtener ayuda con el proceso de resolución de problemas de asignación de credenciales.

Cómo configurar un entorno NFS seguro con varios modos de seguridad de Kerberos

Este procedimiento permite que un servidor NFS proporcione acceso seguro al NFS mediante diferentes tipos o modos de seguridad. Cuando un cliente negocia un tipo de seguridad con el servidor NFS, se utiliza el primer tipo ofrecido por el servidor al cual el cliente tiene acceso. Este tipo se utiliza para todas las solicitudes de cliente posteriores del sistema de archivos compartidas por el servidor NFS.

Conviértase en superusuario en el servidor NFS.
Verifique que exista un principal de servicio NFS en el archivo keytab.
El comando klist informa si hay un archivo keytab y muestra los principales. Si los resultados muestran que no existe ningún archivo keytab o que no existe ningún principal de servicio NFS, debe verificar que se hayan completado todos los pasos en Cómo configurar servidores NFS con Kerberos.
```
# klist -k
Keytab name: FILE:/etc/krb5/krb5.keytab
KVNO Principal
---- ---------------------------------------------------------
   3 nfs/denver.example.com@EXAMPLE.COM
   3 nfs/denver.example.com@EXAMPLE.COM
   3 nfs/denver.example.com@EXAMPLE.COM
   3 nfs/denver.example.com@EXAMPLE.COM
```

Habilite los modos de seguridad de Kerberos en el archivo /etc/nfssec.conf.

Edite el archivo /etc/nfssec.conf y elimine el símbolo “#” que se encuentra delante de los modos de seguridad de Kerberos.

# cat /etc/nfssec.conf
 .
 .
#
# Uncomment the following lines to use Kerberos V5 with NFS
#
krb5            390003  kerberos_v5     default -               # RPCSEC_GSS
krb5i           390004  kerberos_v5     default integrity       # RPCSEC_GSS
krb5p           390005  kerberos_v5     default privacy         # RPCSEC_GSS

Edite el archivo /etc/dfs/dfstab y agregue la opción sec= con los modos de seguridad necesarios a las entradas adecuadas.
```
share -F nfs -o sec=mode file-system
```
modo

Especifica los modos de seguridad que se utilizarán al compartir el sistema de archivos. Cuando se utilizan varios modos de seguridad, el primero en la lista se utiliza de manera predeterminada.

sistema_archivos

Define la ruta al sistema de archivos que se va a compartir.

Todos los clientes que intentan acceder a los archivos desde el sistema de archivos especificado requieren autenticación Kerberos. Para acceder a los archivos, el principal de usuario en el cliente NFS debe autenticarse.
Asegúrese de que el servicio NFS se esté ejecutando en el servidor.
Si este comando es el primer comando share o conjunto de comandos share que ha iniciado, es posible que los daemons NFS no se estén ejecutando. El siguiente comando reinicia los daemons:
```
# svcadm restart network/nfs/server
```
(Opcional) Si el montador automático se está utilizando, edite la base de datos auto_master para seleccionar un modo de seguridad distinto del predeterminado.
No es necesario que siga este procedimiento si no está utilizando el montador automático para acceder al sistema de archivos o si la selección predeterminada para el modo de seguridad es aceptable.
```
file-system  auto_home  -nosuid,sec=mode
```
(Opcional) Emita manualmente el comando mount para acceder al sistema de archivos mediante un modo que no esté predeterminado.
Como alternativa, puede utilizar el comando mount para especificar el modo de seguridad, pero esta alternativa no aprovecha el montador automático.
```
# mount -F nfs -o sec=mode file-system
```

Ejemplo 23-5 Uso compartido de un sistema de archivos con un modo de seguridad de Kerberos

En este ejemplo, la línea de archivo dfstab significa que la autenticación Kerberos debe completarse correctamente para poder acceder a los archivos mediante el servicio NFS.

# grep krb /etc/dfs/dfstab
share -F nfs -o sec=krb5 /export/home

Ejemplo 23-6 Uso compartido de un sistema de archivos con varios modos de seguridad de Kerberos

En este ejemplo, los tres modos de seguridad de Kerberos se han seleccionado. El modo que se utiliza se negocia entre el cliente y el servidor NFS. Si falla el primer modo en el comando, se intenta con el siguiente. Consulte la página del comando man nfssec(5) para obtener más información.

# grep krb /etc/dfs/dfstab
share -F nfs -o sec=krb5:krb5i:krb5p /export/home

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Guía de administración del sistema: servicios de seguridad