Secure RPC (リモート手続き呼び出し) は、認証メカニズムを使用してリモート手続きを保護します。Diffie-Hellman 認証メカニズムは、サービスを要求するホストとユーザーを認証します。この認証メカニズムはデータ暗号化規格 (Data Encryption Standard、DES) 暗号化を使用します。Secure RPC を使用するアプリケーションには、NFS と NIS ネームサービスが含まれます。
NFS を使用すると、複数のホストがネットワーク経由でファイルを共有できます。NFS サービスでは、サーバーは、複数のクライアントから利用できるデータとリソースを保持します。クライアントは、サーバーがクライアントと共有するファイルシステムにアクセスできます。クライアントシステムにログインしたユーザーは、ファイルシステムをサーバーからマウントすることによって、そのファイルシステムにアクセスできます。このとき、クライアントシステム上のユーザーには、ファイルはクライアントのローカルファイルシステム上にあるように見えます。NFS のもっとも一般的な使用形態の 1 つは、システムを各オフィスにインストールして、すべてのユーザーファイルを 1 箇所で集中管理することです。mount コマンドの –nosuid オプションなどのいくつかの NFS 機能を使用すると、権限を持たないユーザーがデバイスやファイルシステムにアクセスすることを禁止できます。
NFS サービスでは Secure RPC を使用して、要求を出したユーザーをネットワーク上で認証します。このプロセスは、Secure NFS と呼ばれます。Diffie-Hellman 認証メカニズム AUTH_DH は、DES 暗号化を使用し、承認されたアクセスを保証します。AUTH_DH メカニズムは、AUTH_DES とも呼ばれてきました。詳細については、次を参照してください。
Secure NFS を設定および管理するには、Oracle Solaris 11.3 でのネットワークファイルシステムの管理 の Secure NFS システムの管理を参照してください。
Kerberos は、マサチューセッツ工科大学 (MIT) で開発された認証システムです。このリリースには、RPCSEC_GSS を使用する Kerberos V5 のクライアント側とサーバー側の実装が含まれています。詳細は、Kerberos NFS サーバーを構成する方法を参照してください。
データ暗号化規格 (Data Encryption Standard、DES) 暗号化機能は 56 ビットの鍵を使用して、データを暗号化します。資格を持つ 2 人のユーザー、すなわち主体が同じ DES 鍵を知っている場合、その鍵を使用してテキストを暗号化または復号化することによって、プライベートに通信できます。DES は比較的高速な暗号化メカニズムです。
DES 鍵を使用する上での問題点は、同じ鍵で暗号化された多数のテキストメッセージを侵入者が収集することによって、鍵が発見されてメッセージが解読される危険性があるということです。このため、Secure NFS などのセキュリティーシステムは鍵を頻繁に変更する必要があります。
Diffie-Hellman (DH) のユーザー認証方式は簡単には破られません。クライアントとサーバーは、独自の非公開鍵と公開鍵を使って共通鍵を作り出します。非公開鍵は秘密鍵とも呼ばれます。クライアントとサーバーは、共通鍵を使って相互に通信します。共通鍵は、相互に合意した暗号化機能 (DES など) によって暗号化されます。
認証では、送信側のシステムの共通鍵を使用して現在の時間を暗号化する機能を利用します。受信側のシステムは、その現在の時間を復号し、自分の時間と照合します。クライアントとサーバーで時間が同期している必要があります。クロックを同期するには、Network Time Protocol (NTP) を使用できます。Oracle Solaris ソフトウェアにはデラウェア大学の NTP パブリックドメインソフトウェアが含まれています。ドキュメントは、NTP ドキュメント のWeb サイトから入手できます。
公開鍵と非公開鍵は、NIS データベース内に格納されます。NIS では、これらの鍵を publickey マップ内に格納します。このファイルには、すべての潜在的なユーザーの公開鍵と非公開鍵が含まれています。
システム管理者は、NIS マップの設定と、各ユーザーの公開鍵と非公開鍵の生成に責任を負っています。非公開鍵は、ユーザーのパスワードで暗号化されて格納されます。これにより、その非公開鍵はそのユーザーだけが知っていることになります。