| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
|
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
マウントされた NFS ファイルシステムの使用に対する認証を要求することにより、ネットワークのセキュリティーが増します。
次のタスクマップは、NIS および NFS 用に Secure RPC を構成するための手順を示しています。
|
始める前に
root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
# svcs \*keyserv\* STATE STIME FMRI disabled Dec_14 svc:/network/rpc/keyserv
# svcadm enable network/rpc/keyserv
この手順は、NIS ドメインのすべてのホストで実行します。
始める前に
root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files config/host astring "files nis dns" config/printer astring "user files nis"
config/default の値が nis である場合は、ここで停止できます。
# svccfg # svccfg -s name-service/switch setprop config/publickey = astring: "nis" # svccfg -s name-service/switch:default refresh
# svccfg # svccfg -s name-service/switch listprop config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files config/host astring "files nis dns" config/printer astring "user files nis" config/publickey astring nis
このシステムでは、publickey がデフォルトの files とは異なるため、その値が表示されます。
# newkey -h hostname
hostname は、クライアント名です。
例 18-1 NIS クライアント上で root の新しい鍵を設定する
次の例では、earth をセキュアな NIS クライアントとして設定します。管理者には、Name Service Security 権利プロファイルが割り当てられます。
# newkey -h earth Adding new key for unix.earth@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
この手順は、NIS ドメインの各ユーザーに対して実行します。
始める前に
システム管理者だけが NIS マスターサーバーにログインしたときに、ユーザーの新しい鍵を作成できます。管理者は、Name Service Security 権利プロファイルが割り当てられている必要があります。
詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
# newkey -u username
username はユーザー名です。システムはパスワードを求めるプロンプトを出します。汎用パスワードを入力できます。非公開鍵は、汎用パスワードを使用して暗号化されて格納されます。
このコマンドでは、そのユーザーは自分だけが知っているパスワードを使用して、自分の非公開鍵を暗号化し直すことができます。
注 - chkey コマンドを使用すると、新しい鍵のペアをユーザーに作成できます。
例 18-2 NIS で新しいユーザー鍵を設定して暗号化する
この例では、スーパーユーザーが鍵を設定します。
# newkey -u jdoe Adding new key for unix.12345@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
次に、ユーザー jdoe は非公開パスワードを使用して鍵を再暗号化します。
% chkey -p Updating nis publickey database. Reencrypting key for unix.12345@example.com Please enter the Secure-RPC password for jdoe:<Type password> Please enter the login password for jdoe: <Type password> Sending key change request to centralexample...
この手順では、アクセスに対する認証を要求することにより、NFS サーバー上で共有されているファイルシステムを保護します。
始める前に
Diffie-Hellman の公開鍵認証がネットワークで有効である必要があります。ネットワーク上で認証を有効にするには、「NIS ホストに Diffie-Hellman 鍵を設定する方法」を完了します。
このタスクを実行するには、System Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
# share -F nfs -o sec=dh /filesystem
filesystem は、共有されているファイルシステムです。
-o sec=dh オプションは、ファイルシステムにアクセスするために AUTH_DH 認証が必要になるということです。
# mount -F nfs -o sec=dh server:filesystem mount-point
filesystem を共有しているシステムの名前です
/opt など、共有されているファイルシステムの名前です
/opt など、マウントポイントの名前です
-o sec=dh オプションにより、AUTH_DH 認証を使ってファイルシステムがマウントされます。
|