関連ファイル

RPCSEC_GSS は各種のファイルを使用して情報を保存します。

gsscredテーブル

サーバーが要求に関連するクライアントの資格を検索すると、サーバーはクライアントの主体名 (rpc_gss_principal_t 構造体ポインタの形式)、またはクライアントのローカル UNIX 資格 (UID) のいずれかを入手できます。NFS 要求などのサービス では、アクセス検査に必要なローカル UNIX 資格が必要ですが、他の資格は必要ありません。これらのサービスでは、たとえば主体名は、 rpc_gss_principal_t 構造体として直接、独自のアクセス制御リスト内に格納できます。

クライアントのネットワーク資格 (その主体名) とローカルUNIX 資格間の対応は自動的に行われません。これは、ローカルのセキュリティ管理者が明示的に設定する必要があります。

gsscred ファイルには、クライアントの UNIX 資格とネットワーク（たとえば、Kerberos V5) 資格の両方が入っています。ネットワーク資格は、rpc_gss_principal_t 構造体が 16 進 ASCII 表現されています。gsscred ファイルは、XFN を通じてアクセスされます。したがって、このテーブルは、ファイル、NIS、NIS+、あるいは XFN によってサポートされる将来のネームサービス上に実装可能となります。XFN 階層では、このテーブルは this_org_unit/service/gsscred として表示されます。システム管理者は、ユーザーやマシンを追加したり削除したりできる gsscred ユーティリティを利用して、gsscred テーブルの保守管理を実行できます。

/etc/gss/qop と /etc/gss/mech

便宜上、RPCSEC_GSS では、メカニズムと保護の質 (QOP) パラメータを表示するためにリテラルの文字列を使用します。ただし、基本的なメカニズム自体では、メカニズムをオブジェクト識別子として、QOP は 32 ビット整数として表示する必要があります。また、各メカニズムごとに、そのメカニズムのサービスが実装された共有ライブラリを指定する必要があります。

/etc/gss/mech ファイルには、システム上に導入されたすべてのメカニズムに関する情報が保存されています。ASCII 形式によるメカニズム名、そのメカニズムの OID、このメカニズムによって提供されるサービスが実装された共有ライブラリ名、さらに、オプションとして、サービスが実装されたカーネルモジュール名です。次に例を示します。

kerberos_v5   1.2.840.113554.1.2.2    gl/mech_krb5.so gl_kmech_krb5

/etc/gss/qop ファイルには、導入されたすべてのメカニズム用に、各メカニズムがサポートするすべての QOP が、ASCII 文字列とそれに対応する 32 ビット整数の両方で格納されます。

/etc/gss/mech と /etc/gss/qop は、両方とも指定されたシステムにセキュリティメカニズムが最初に導入されたときに作成されます。

多くのカーネル内 RPC ルーチンでは、文字列ではない値によって、メカニズムと QOP が表現されています。したがって、アプリケーションは、これらのカーネル内ルーチンを利用したい場合には、rpc_gss_mech_to_oid () とrpc_gss_qop_to_num() 関数を使用して、文字列ではない値で表現された、これらのパラメータを入手します。