Go to main content
Oracle® Solaris 11.3 での Kerberos およびその他の認証サービスの管理

印刷ビューの終了

更新: 2017 年 3 月
 
 

複数の Kerberos セキュリティーモードで安全な NFS 環境を設定する方法

この手順では、複数のセキュリティーモードを使用して、NFS サーバーがセキュアな NFS アクセスを提供できるようにします。クライアントが NFS サーバーとセキュリティーモードについてネゴシエーションを行うとき、そのクライアントは、サーバーによって提供された最初のモードを使用します。このモードは、そのサーバーで共有されているファイルシステムの以降のすべてのクライアントリクエストに使用されます。

始める前に

NFS サーバー上で root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。

  1. キータブファイルに NFS サービス主体が存在することを検証します。

    klist コマンドを指定すると、キータブファイルが存在するかどうかが出力され、その主体が表示されます。キータブファイルが存在しない場合、または NFS サービス主体が存在しない場合は、Kerberos NFS サーバーを構成する方法のすべての手順が完了していることを検証する必要があります。

    # klist -k
Keytab name: FILE:/etc/krb5/krb5.keytab
KVNO Principal
---- ---------------------------------------------------------
3 nfs/denver.example.com@EXAMPLE.COM
3 nfs/denver.example.com@EXAMPLE.COM
3 nfs/denver.example.com@EXAMPLE.COM
3 nfs/denver.example.com@EXAMPLE.COM

    詳細は、klist(1) のマニュアルページを参照してください。

  2. /etc/nfssec.conf ファイル内の Kerberos セキュリティーモードを有効にします。

    /etc/nfssec.conf ファイルで、Kerberos セキュリティーモードをコメントアウトしている「#」を削除します。

    # pfedit /etc/nfssec.conf
.
.
#
# Uncomment the following lines to use Kerberos V5 with NFS
#
krb5            390003  kerberos_v5     default -               # RPCSEC_GSS
krb5i           390004  kerberos_v5     default integrity       # RPCSEC_GSS
krb5p           390005  kerberos_v5     default privacy         # RPCSEC_GSS
  3. 適切なセキュリティーモードを使用してファイルシステムを共有します。

    • krb5 認証、NFS 経由で送信された機密データの整合性およびプライバシ保護を提供するには、krb5p を選択します。サーバーの処理リソースを超えないかぎり、このモードを使用します。

    • TCP/IP が NFS データに対して提供する最小限の保護に加えて、krb5 認証および整合性保護を提供するには、krb5i を選択します。

    • krb5 認証のみに対しては krb5 を選択します。このセキュリティーモードは、提供されるセキュリティーモードの保護は最小限ですが、プロセッサへの影響はもっとも小さくなります。

    share -F nfs -o sec=mode file-system
    mode

    ファイルシステムを共有するときに使用するセキュリティーモードを指定します。複数のセキュリティーモードを使用するときは、デフォルトとして、リストの最初のモードが使用されます。

    file-system

    共有するファイルシステムへのパスを定義します。

    指定されたファイルシステムのファイルにアクセスするすべてのクライアントは、Kerberos 認証が必要です。ファイルにアクセスするには、NFS クライアント上にユーザー主体が認証される必要があります。

  4. (オプション) デフォルト以外のセキュリティーモードを使用してファイルシステムをマウントします。

    デフォルトのセキュリティーモードが受け入れ可能な場合は、この手順を実行しないでください。

    • オートマウンタが使用される場合は、デフォルト以外のセキュリティーモードに入るように auto_master データベースを編集します。 
      file-system  auto_home  -nosuid,sec=mode
    • mount コマンドを手動で発行することにより、デフォルト以外のモードを使用してファイルシステムにアクセスします。 
      # mount -F nfs -o sec=mode file-system
使用例 16  1 つの Kerberos セキュリティーモードでファイルシステムを共有する

この例では、NFS サービスを使用していずれかのファイルにアクセスするには、その前に krb5p セキュリティーモードでの認証が成功している必要があります。

# share -F nfs -o sec=krb5p /export/home
使用例 17  複数の Kerberos セキュリティーモードでファイルシステムを共有する

次の例では、3 つの Kerberos セキュリティーモードがすべて選択されています。使用されるモードは、クライアントと NFS サーバーの間でネゴシエーションが行われます。コマンドの最初のモードが失敗すると、次のモードが試行されます。詳細は、nfssec(5) のマニュアルページを参照してください。

# share -F nfs -o sec=krb5p:krb5i:krb5 /export/home
Copyright © 2002, 2017, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ