Configuration de serveurs NFS Kerberos

Les services NFS utilisent les ID d'utilisateur (UID) UNIX pour identifier un utilisateur et ne peuvent pas utiliser directement les informations d'identification GSS. Pour traduire les données d'identification en UID, il peut être nécessaire de créer une table mappant les informations d'identification d'utilisateur et les UID UNIX. Pour plus d'informations sur le mappage par défaut des informations d'identification, reportez-vous à la section Mappage d'informations d'identification GSS sur des informations d'identification UNIX. Les procédures décrites dans cette section se concentrent sur les tâches nécessaires pour configurer un serveur Kerberos NFS, administrer la table d'informations d'identification Kerberos, et initier des modes de sécurité pour les systèmes de fichiers montés sur NFS. La liste ci-dessous décrit les tâches traitées dans cette section.

Tableau 21-2 Configuration de serveurs Kerberos NFS (liste des tâches)

Tâche	Description	Voir
Configuration d'un serveur NFS Kerberos	Permet à un serveur de partager un système de fichiers requérant l'authentification Kerberos.	Configuration des serveurs NFS Kerberos
Création d'une table d'informations d'identification	Génère une table d'informations d'identification pouvant être utilisée pour assurer le mappage des informations d'identification GSS aux UID UNIX, si le mappage par défaut n'est pas suffisant.	Création d'une table d'informations d'identification
Modification de la table d'informations d'identification qui mappe les informations d'identification et les UID UNIX	Met à jour les informations de la table d'informations d'identification.	Ajout d'une entrée unique à la table d'informations d'identification
Mappage des informations d'identification entre deux domaines similaires	Fournit des instructions sur la méthode de mappage des UID d'un domaine à un autre si les domaines partagent un fichier de mots de passe.	Mappage d'informations d'identification entre domaines
Partage d'un système de fichiers à l'aide de l'authentification Kerberos	Partage un système de fichiers avec des modes de sécurité de sorte que l'authentification Kerberos est requise.	Configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité Kerberos

Configuration des serveurs NFS Kerberos

Dans cette procédure, les paramètres de configuration suivants sont utilisés :

Nom de domaine = EXAMPLE.COM
Nom de domaine DNS = example.com
Serveur NFS = denver.example.com
admin principal = kws/admin

Avant de commencer

Vous devez prendre le rôle root sur le serveur NFS. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Remplissez les conditions préalables à la configuration d'un serveur Kerberos NFS.
Le KDC maître doit être configuré. Pour tester complètement le processus, vous avez besoin de plusieurs clients.
(Facultatif) Installez le client NTP ou un autre mécanisme de synchronisation d'horloge.
L'installation et l'utilisation du protocole NTP (Network Time Protocol) ne sont pas requises. Cependant, chaque horloge doit être synchronisée avec l'heure sur le serveur KDC dans une différence maximum définie par la relation clockskew dans le fichier krb5.conf pour que l'opération d'authentification réussisse. Pour plus d'informations sur le protocole NTP, reportez-vous à la section Synchronisation des horloges entre les KDC et les clients Kerberos.
Configurez le serveur NFS en tant que client Kerberos.
Suivez les instructions de la section Configuration des clients Kerberos.
Démarrez kadmin.
Vous pouvez utiliser l'outil d'administration graphique Kerberos pour ajouter un principal, comme expliqué dans la section Création d'un principal Kerberos. Pour ce faire, vous devez vous connecter à l'aide de l'un des noms de principal admin que vous avez créés lorsque vous avez configuré le KDC maître. Toutefois, l'exemple ci-après montre comment ajouter les principaux requis à l'aide de la ligne de commande.
```
denver # /usr/sbin/kadmin -p kws/admin
Enter password: <Type kws/admin password>
kadmin: 
```
1. Créez le principal de service NFS du serveur.
  Notez que lorsque l'instance de principal est un nom d'hôte, le nom de domaine complet (FQDN) doit être spécifié en minuscules, quelle que soit la casse du nom de domaine dans le service de noms.
  Répétez cette étape pour chaque interface unique sur le système susceptible d'être utilisée pour accéder aux données NFS. Si un hôte possède plusieurs interfaces avec des noms uniques, chaque nom unique doit avoir son propre principal de service NFS.
```
kadmin: addprinc -randkey nfs/denver.example.com
Principal "nfs/denver.example.com" created.
kadmin:
```
2. Ajoutez le principal de service du serveur NFS au fichier keytab du serveur.
  Répétez cette étape pour chaque principal de service dans l'Étape a.
```
kadmin: ktadd nfs/denver.example.com
Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs denver.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs/denver.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:
```
3. Quittez kadmin.
```
kadmin: quit
```
(Facultatif) Créez les mappages d'informations d'identification GSS spéciaux, si nécessaire.
Normalement, le service Kerberos génère des mappages appropriés entre les informations d'identification GSS et les UID UNIX. Le mappage par défaut est décrit dans la section Mappage d'informations d'identification GSS sur des informations d'identification UNIX. Si le mappage par défaut n'est pas suffisant, reportez-vous à la section Création d'une table d'informations d'identification pour plus d'informations.
Partagez le système de fichiers NFS avec les modes de sécurité Kerberos.
Pour plus d'informations, reportez-vous à la section Configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité Kerberos.

Création d'une table d'informations d'identification

La table d'informations d'identification gsscred est utilisée par un serveur NFS pour mapper les informations d'identification Kerberos à un UID. Par défaut, la première partie du nom du principal est mappée avec un nom de connexion UNIX. Pour que les clients NFS puissent monter des systèmes de fichiers à partir d'un serveur NFS à l'aide de l'authentification Kerberos, ce tableau doit être créé si le mappage par défaut n'est pas suffisant.

Avant de commencer

Vous devez prendre le rôle root sur le serveur NFS. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Modifiez le fichier /etc/gss/gsscred.conf et changez le mécanisme de sécurité.
Modifiez le mécanisme en files.
Créez la table d'informations d'identification à l'aide de la commande gsscred.
```
# gsscred -m kerberos_v5 -a
```
La commande gsscred rassemble les informations provenant de l'ensemble des sources répertoriées avec l'entrée passwd dans le fichier svc:/system/name-service/switch:default. Vous pouvez être amené à supprimer temporairement l'entrée files , si vous ne souhaitez pas que les entrées de mot de passe local soient incluses dans la table d'informations d'identification. Pour plus d'informations, reportez-vous à la page de manuel gsscred(1M).

Ajout d'une entrée unique à la table d'informations d'identification

Avant de commencer

Cette procédure nécessite que la table gsscred ait déjà été créée sur le serveur NFS. Pour obtenir des instructions, reportez-vous à la section Création d'une table d'informations d'identification.

Vous devez prendre le rôle root sur le serveur NFS. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Ajoutez une entrée à la table d'informations d'identification à l'aide de la commande gsscred.
```
# gsscred -m mech [ -n name [ -u uid ]] -a
```
mech

Définit le mécanisme de sécurité à utiliser.

name

Définit le nom de principal de l'utilisateur, tel que défini dans le KDC.

uid

Définit l'UID de l'utilisateur, tel que défini dans la base de données de mots de passe.

-a

Ajoute l'UID au mappage du nom de principal.

Exemple 21-3 Ajout d'un principal à composants multiples à la table d'informations d'identification

Dans l'exemple suivant, l'entrée est ajoutée à un principal appelé sandy/admin associé à l'UID 3736.

# gsscred -m kerberos_v5 -n sandy/admin -u 3736 -a

Exemple 21-4 Ajout d'un principal à un domaine différent de la table d'informations d'identification

Dans l'exemple suivant, l'entrée est ajoutée à un principal appelé sandy/admin@EXAMPLE.COM associé à l'UID 3736.

# gsscred -m kerberos_v5 -n sandy/admin@EXAMPLE.COM -u 3736 -a

Mappage d'informations d'identification entre domaines

Cette procédure assure le mappages d'informations d'identification approprié entre des domaines utilisant le même fichier de mots de passe. Dans cet exemple, les domaines CORP.EXAMPLE.COM et SALES.EXAMPLE.COM utilisent le même fichier de mots de passe. Les informations d'identification pour bob@CORP.EXAMPLE.COM et bob@SALES.EXAMPLE.COM sont mappées avec le même UID.

Avant de commencer

Vous devez prendre le rôle root sur le système client. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Sur le système client, ajoutez des entrées au fichier krb5.conf.

# cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = CORP.EXAMPLE.COM
 .
[realms]
    CORP.EXAMPLE.COM = {
        .
        auth_to_local_realm = SALES.EXAMPLE.COM
        .
    }

Exemple 21-5 Mappage des informations d'identification entre domaines utilisant le même fichier de mot de passe

Cet exemple illustre le mappage d'informations d'identification approprié entre des domaines qui utilisent le même fichier de mots de passe. Dans cet exemple, les domaines CORP.EXAMPLE.COM et SALES.EXAMPLE.COM utilisent le même fichier de mots de passe. Les informations d'identification pour bob@CORP.EXAMPLE.COM et bob@SALES.EXAMPLE.COM sont mappées avec le même UID. Sur le système client, ajoutez des entrées au fichier krb5.conf.

# cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = CORP.EXAMPLE.COM
 .
[realms]
    CORP.EXAMPLE.COM = {
        .
        auth_to_local_realm = SALES.EXAMPLE.COM
        .
    }

Erreurs fréquentes

Pour plus d'information sur le processus de dépannage des problèmes de mappage d'informations d'identification, reportez-vous à la section Observation du mappage d'informations d'identification GSS sur des informations d'identification UNIX.

Configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité Kerberos

Cette procédure permet à un serveur NFS de fournir un accès NFS sécurisé à l'aide de différents modes ou variantes de sécurité. Lorsqu'un client négocie une variante de sécurité avec le serveur NFS, la première variante proposée par le serveur auquel le client a accès est utilisée. Cette variante est utilisée pour toutes les demandes de client suivantes du système de fichiers partagé par le serveur NFS.

Avant de commencer

Vous devez prendre le rôle root sur le serveur NFS. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Vérifiez que le fichier keytab comporte un principal de service NFS.
La commande klist signale s'il existe un fichier keytab et affiche les principaux. Si les résultats indiquent qu'aucun fichier keytab ou principal de service NFS n'existe, vous devez vérifier que toutes les étapes décrites à la section Configuration des serveurs NFS Kerberos ont bien été effectuées dans leur totalité.
```
# klist -k
Keytab name: FILE:/etc/krb5/krb5.keytab
KVNO Principal
---- ---------------------------------------------------------
   3 nfs/denver.example.com@EXAMPLE.COM
   3 nfs/denver.example.com@EXAMPLE.COM
   3 nfs/denver.example.com@EXAMPLE.COM
   3 nfs/denver.example.com@EXAMPLE.COM
```

Activez les modes de sécurité Kerberos dans le fichier /etc/nfssec.conf.

Modifiez le fichier /etc/nfssec.conf et supprimez le "#" placé devant les modes de sécurité Kerberos.

# cat /etc/nfssec.conf
 .
 .
#
# Uncomment the following lines to use Kerberos V5 with NFS
#
krb5            390003  kerberos_v5     default -               # RPCSEC_GSS
krb5i           390004  kerberos_v5     default integrity       # RPCSEC_GSS
krb5p           390005  kerberos_v5     default privacy         # RPCSEC_GSS

Partagez les systèmes de fichiers avec les modes de sécurité appropriés.
```
share -F nfs -o sec=mode file-system
```
mode

Spécifie les modes de sécurité à utiliser lors du partage du système de fichiers. Lorsque plusieurs modes de sécurité sont utilisés, le premier mode figurant dans la liste est utilisé comme valeur par défaut.

file-system

Définit le chemin d'accès au système de fichiers à partager.

Tous les clients tentant d'accéder à des fichiers dans le système de fichiers nommé requièrent l'authentification Kerberos. Pour accéder aux fichiers, le principal d'utilisateur sur le client NFS doit être authentifié.
(Facultatif) Si l'agent de montage automatique est en cours d'utilisation, modifiez la base de données auto_master pour sélectionner un mode de sécurité autre que celui par défaut.
Vous n'avez pas besoin de suivre cette procédure si vous n'utilisez pas l'agent de montage automatique pour accéder au système de fichiers ou si la sélection par défaut du mode de sécurité est acceptable.
```
file-system  auto_home  -nosuid,sec=mode
```
(Facultatif) Emettez manuellement la commande mount pour accéder au système de fichiers à l'aide d'un autre mode que celui par défaut.
Vous pouvez aussi utiliser la commande mount pour spécifier le mode de sécurité, mais cette alternative ne tire pas parti de l'agent de montage automatique.
```
# mount -F nfs -o sec=mode file-system
```

Exemple 21-6 Partage d'un système de fichiers avec un mode de sécurité Kerberos

Dans cet exemple, l'authentification Kerberos doit aboutir avant que les fichiers puissent être accessibles via le service NFS.

# share -F nfs -o sec=krb5 /export/home

Exemple 21-7 Partage d'un système de fichiers avec plusieurs modes de sécurité Kerberos

Dans cet exemple, les trois modes de sécurité Kerberos ont été sélectionnés. Le mode utilisé est négocié entre le client et le serveur NFS. Si le premier mode dans la commande échoue, le mode suivant est essayé. Pour plus d'informations, reportez-vous à la page de manuel nfssec(5).

# share -F nfs -o sec=krb5:krb5i:krb5p /export/home

Ignorer les liens de navigation
Quitter l'aperu
	Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français)