Secure RPC による認証の管理
マウントされた NFS ファイルシステムの使用に対する認証を要求することにより、ネットワークのセキュリティーが増します。
Secure RPC キーサーバーを再起動する方法
-
Primary Administrator 役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
-
# svcs \*keyserv\* STATE STIME FMRI disabled Dec_14 svc:/network/rpc/keyserv
-
キーサーバーサービスがオンラインになっていない場合は、サービスを有効にします。
# svcadm enable network/rpc/keyserv
NIS+ ホストに Diffie-Hellman 鍵を設定する方法
この手順は、NIS+ ドメインのすべてのホストで実行します。root が keylogin コマンドを実行すると、サーバーはmech_dhに対して GSS-API のアクセプタの資格をもち、クライアントは GSS-API のイニシエータの資格を持ちます。
NIS+ セキュリティーの詳細については、『Solaris のシステム管理 (ネーミングとディレクトリサービス : NIS+ 編)』を参照してください。
-
Primary Administrator 役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
-
ネームサービスの publickey テーブルを有効にします。
次の行を /etc/nsswitch.conf ファイルに追加します。
publickey: nisplus
-
NIS+ クライアントを起動します。
# nisinit -cH hostname
hostname は、そのテーブルにクライアントシステム用のエントリを持つ、信頼されている NIS+ サーバー名です。
-
次のコマンドを入力します。
# nisaddcred local # nisaddcred des
-
keylogin コマンドを使用して、設定を確認します。
パスワードを求めるプロンプトが出力されたら、この手順は成功です。
# keylogin Password:
例 16–1 NIS+ クライアント上で root の新しい鍵を設定する
次の例は、ホスト pluto を使用して、earth を NIS+ クライアントとして設定しています。警告は無視できます。keylogin コマンドが受け付けられて、earth がセキュリティー保護された NIS+ クライアントとして正しく設定されていることを確認しています。
# nisinit -cH pluto NIS Server/Client setup utility. This system is in the example.com. directory. Setting up NIS+ client ... All done. # nisaddcred local # nisaddcred des DES principal name : unix.earth@example.com Adding new key for unix.earth@example.com (earth.example.com.) Network password:<Type password> Warning, password differs from login password. Retype password: <Retype password> # keylogin Password: <Type password> # |
NIS+ ユーザーに Diffie-Hellman 鍵を設定する方法
この手順は、NIS+ ドメインのすべてのユーザーで実行します。
-
Primary Administrator 役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
-
ユーザーをルートマスターサーバー上の cred テーブルに追加します。
次のコマンドを入力します。
# nisaddcred -p unix.UID@domain-name -P username.domain-name. des
この場合、username.domain-name の終わりにピリオド (.) を付けてください。
-
クライアントとしてログインし、keylogin コマンドを入力して、設定を確認します。
例 16–2 NIS+ ユーザー用の新しい鍵を設定する
次の例では、Diffie-Hellman 認証用の鍵をユーザー jdoe に与えます。
# nisaddcred -p unix.1234@example.com -P jdoe.example.com. des DES principal name : unix.1234@example.com Adding new key for unix.1234@example.com (jdoe.example.com.) Password: <Type password> Retype password:<Retype password> # rlogin rootmaster -l jdoe % keylogin Password: <Type password> % |
NIS ホストに Diffie-Hellman 鍵を設定する方法
この手順は、NIS ドメインのすべてのホストで実行します。
-
Primary Administrator 役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
-
ネームサービスの publickey マップを有効にします。
次の行を /etc/nsswitch.conf ファイルに追加します。
publickey: nis
-
newkey コマンドを使用して、新しい鍵のペアを作成します。
# newkey -h hostname
hostname は、クライアント名です。
例 16–3 NIS クライアント上で root の新しい鍵を設定する
次の例では、earth をセキュリティー保護された NIS クライアントとして設定します。
# newkey -h earth Adding new key for unix.earth@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. # |
NIS ユーザーに Diffie-Hellman 鍵を設定する方法
この手順は、NIS ドメインの各ユーザーに対して実行します。
始める前に
システム管理者だけが NIS マスターサーバーにログインしたときに、ユーザーの新しい鍵を作成できます。
-
Primary Administrator 役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
-
ユーザーの新しい鍵を作成します。
# newkey -u username
username はユーザー名です。システムはパスワードを求めるプロンプトを出します。汎用パスワードを入力できます。非公開鍵は、汎用パスワードを使用して暗号化されて格納されます。
-
ユーザーに、ログインして chkey -p コマンドを入力するように伝えます。
このコマンドでは、そのユーザーは自分だけが知っているパスワードを使用して、自分の非公開鍵を暗号化し直すことができます。
注 –chkey コマンドを使用すると、新しい鍵のペアをユーザーに作成できます。
例 16–4 NIS で新しいユーザー鍵を設定して暗号化する
この例では、スーパーユーザーが鍵を設定します。
# newkey -u jdoe Adding new key for unix.12345@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. # |
次に、ユーザー jdoe が非公開パスワードで鍵を再暗号化します。
% chkey -p Updating nis publickey database. Reencrypting key for unix.12345@example.com Please enter the Secure-RPC password for jdoe:<Type password> Please enter the login password for jdoe: <Type password> Sending key change request to centralexample... |
Diffie-Hellman 認証で NFS ファイルを共有する方法
この手順では、アクセスに対する認証を要求することにより、NFS サーバー上で共有されているファイルシステムを保護します。
始める前に
Diffie-Hellman の公開鍵認証がネットワークで有効である必要があります。ネットワークで認証を有効にするには、次のいずれかを行います。
-
スーパーユーザーになるか、System Management プロファイルを含む役割を引き受けます。
System Administrator 役割には、System Management プロファイルが含まれます。役割を作成し、作成した役割をユーザーに割り当てる方法については、「RBAC の構成 (作業マップ)」を参照してください。
-
NFS サーバーで、 Diffie-Hellman 認証でファイルシステムを共有します。
# share -F nfs -o sec=dh /filesystem
filesystem は、共有されているファイルシステムです。
-o sec=dh オプションは、ファイルシステムにアクセスするために AUTH_DH 認証が必要になるということです。
-
NFS クライアントで、Diffie-Hellman 認証でファイルシステムをマウントします。
# mount -F nfs -o sec=dh server:filesystem mount-point
- server
-
filesystem を共有しているシステムの名前です
- filesystem
-
/opt など、共有されているファイルシステムの名前です
- mount-point
-
/opt など、マウントポイントの名前です
-o sec=dh オプションにより、AUTH_DH 認証を使ってファイルシステムがマウントされます。
- © 2010, Oracle Corporation and/or its affiliates