跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
通过要求对已挂载 NFS 文件系统的使用进行验证,可以增强网络的安全性。
以下任务列表列出了为 NIS 和 NFS 配置安全 RPC 的过程。
|
开始之前
您必须承担 root 角色。有关更多信息,请参见如何使用指定给您的管理权限。
# svcs \*keyserv\* STATE STIME FMRI disabled Dec_14 svc:/network/rpc/keyserv
# svcadm enable network/rpc/keyserv
应该针对 NIS 域中的每个主机执行此过程。
开始之前
您必须承担 root 角色。有关更多信息,请参见如何使用指定给您的管理权限。
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files config/host astring "files nis dns" config/printer astring "user files nis"
如果 config/default 值为 nis,您可以在此处停止。
# svccfg # svccfg -s name-service/switch setprop config/publickey = astring: "nis" # svccfg -s name-service/switch:default refresh
# svccfg # svccfg -s name-service/switch listprop config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files config/host astring "files nis dns" config/printer astring "user files nis" config/publickey astring nis
在此系统上,列出 publickey 的值,因为它不同于缺省值 files。
# newkey -h hostname
其中,hostname 是客户机的名称。
示例 18-1 在 NIS 客户机上为 root 设置新密钥
在以下示例中,将 earth 设置成了安全 NIS 客户机。为管理员分配了 "Name Service Security"(名称服务安全)权限配置文件。
# newkey -h earth Adding new key for unix.earth@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
应该针对 NIS 域中的每个用户执行此过程。
开始之前
只有已登录到 NIS 主服务器的系统管理员才能为用户生成新密钥。必须为管理员分配 "Name Service Security"(名称服务安全)权限配置文件。
有关更多信息,请参见如何使用指定给您的管理权限。
# newkey -u username
其中,username 是用户的名称。系统将提示键入口令。您可以键入通用口令。私钥是使用此通用口令以加密形式存储的。
此命令允许用户使用只有本人知道的口令重新加密其私钥。
注 - 可以使用 chkey 命令为用户创建新密钥对。
示例 18-2 在 NIS 中设置并加密新用户密钥
在此示例中,超级用户将设置密钥。
# newkey -u jdoe Adding new key for unix.12345@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
% chkey -p Updating nis publickey database. Reencrypting key for unix.12345@example.com Please enter the Secure-RPC password for jdoe:<Type password> Please enter the login password for jdoe: <Type password> Sending key change request to centralexample...
此过程通过要求访问验证来保护 NFS 服务器上的共享文件系统。
开始之前
必须在网络中启用 Diffie-Hellman 公钥验证。要启用网络验证,请完成如何为 NIS 主机设置 Diffie-Hellman 密钥中的步骤。
您必须是指定有 System Management(系统管理)权限配置文件的管理员才能执行此任务。有关更多信息,请参见如何使用指定给您的管理权限。
# share -F nfs -o sec=dh /filesystem
其中,filesystem 是共享的文件系统。
-o sec=dh 选项表示现在需要通过 AUTH_DH 验证后才能访问文件系统。
# mount -F nfs -o sec=dh server:filesystem mount-point
共享 filesystem 的系统的名称
共享的文件系统的名称,如 opt
挂载点的名称,例如 /opt
-o sec=dh 选项通过 AUTH_DH 验证挂载文件系统。