DH 認証を使用して Secure NFS 環境を設定する方法

1. ドメイン名を割り当てます。

   ドメイン名をドメイン内の各システムに認識させます。マシンの NIS ドメイン名の設定については、Oracle Solaris 11.2 ディレクトリサービスとネームサービスでの作業: DNS と NIS のマシンの NIS ドメイン名を設定する方法を参照してください。

   # domainname domain-name

2. newkey コマンドを使用することで、クライアントのユーザーの公開鍵と秘密鍵を設定します。

   # newkey -u username -s name-service
     

   ユーザーは chkey コマンドを使用することでパーソナル Secure RPC パスワードを確立できます。

   # chkey -p -s name-service -m mechanism
     

   公開鍵と秘密鍵が生成されると、公開鍵と暗号化された秘密鍵が publickey データベースに格納されます。

   これらのコマンドについては、newkey(1M) および chkey(1) のマニュアルページを参照してください。

3. ネームサービスが応答していることを確認します。

   次に例を示します。

   • NIS を実行している場合は、ypbind デーモンが動作していることを確認してください。詳細は、Oracle Solaris 11.2 ディレクトリサービスとネームサービスでの作業: DNS と NIS のypbind がクライアントで実行されていないを参照してください。

   • LDAP を実行している場合は、ldap_cachemgr デーモンが動作していることを確認してください。詳細は、Oracle Solaris 11.2 ディレクトリサービスとネームサービスでの作業: LDAP のLDAP クライアントステータスのモニタリングを参照してください。

4. 鍵サーバーの keyserv デーモンが動作していることを確認します。

   # ps -ef | grep keyserv
   root    100      1  16    Apr 11 ?        0:00 /usr/sbin/keyserv
   root   2215   2211   5  09:57:28 pts/0    0:00 grep keyserv

   デーモンが動作していない場合は、次のように入力して鍵サーバーを起動します。

   # svcadm enable network/rpc/keyserv

5. 秘密鍵を復号化し、保存します。

   通常、ログインパスワードはネットワークパスワードと同じです。この場合、keylogin は不要です。パスワードが異なる場合、ユーザーはログインしてから keylogin を実行する必要があります。さらに、keylogin -r コマンドを root として使用して、復号化した秘密鍵を /etc/.rootkey に保存する必要があります。

   ---

   注 -  root 秘密鍵が変化している場合、または/etc/.rootkey ファイルが失われている場合は、keylogin -r を実行する必要があります。

   ---

6. 共有されるファイルシステムのセキュリティーモードを設定します。

   Diffie-Hellman 認証の場合は、コマンド行に –sec=dh オプションを追加します。

   # share -F nfs -o sec=dh /export/home

   セキュリティーモードの詳細については、nfssec(5) のマニュアルページを参照してください。

7. ファイルシステムに対するオートマウンタマップを更新します。

   Diffie-Hellman 認証を使用している場合は、auto_master データを編集して、適切なエントリ内にマウントオプションとして –sec=dh を含めます。

   /home	auto_home	-nosuid,sec=dh

   システムを再インストール、移動、またはアップグレードするときに、root の新しい鍵を確立しない場合またはそれらを変更しない場合でも、忘れずに /etc/.rootkey ファイルを保存してください。/etc/.rootkey ファイルを削除する場合は、次のコマンドを入力します。

   # keylogin -r