如何使用多种 Kerberos 安全模式设置安全的 NFS 环境

通过此过程，NFS 服务器可以使用不同的安全模式或特性提供安全的 NFS 访问。客户机与 NFS 服务器协商安全特性时，将使用该客户机有权访问的服务器所提供的第一种特性。此特性用于 NFS 服务器共享的文件系统的所有后续客户机请求。

1. 成为 NFS 服务器上的超级用户。

2. 验证在密钥表文件中是否存在 NFS 服务主体。

   klist 命令报告是否存在密钥表文件并显示主体。如果结果显示不存在密钥表文件或者不存在 NFS 服务主体，则需要验证是否已完成如何配置 Kerberos NFS 服务器中的所有步骤。

   # klist -k Keytab name: FILE:/etc/krb5/krb5.keytab KVNO Principal ---- --------------------------------------------------------- 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM

3. 在 /etc/nfssec.conf 文件中启用 Kerberos 安全模式。

   编辑 /etc/nfssec.conf 文件并删除位于 Kerberos 安全模式前面的 "#"。

   # cat /etc/nfssec.conf . . # # Uncomment the following lines to use Kerberos V5 with NFS # krb5 390003 kerberos_v5 default - # RPCSEC_GSS krb5i 390004 kerberos_v5 default integrity # RPCSEC_GSS krb5p 390005 kerberos_v5 default privacy # RPCSEC_GSS

4. 编辑 /etc/dfs/dfstab 文件，并将带有所需安全模式的 sec= 选项添加到相应的项中。

   share -F nfs -o sec=mode file_system

   mode

   指定共享文件系统时要使用的安全模式。使用多种安全模式时，会将列表中的第一种模式用作缺省模式。

   file_system

   定义要共享的文件系统的路径。

   尝试从指定的文件系统访问文件的所有客户机都要求 Kerberos 验证。要访问文件，应验证 NFS 客户机上的用户主体。

5. 请确保服务器上正在运行 NFS 服务。

   如果此命令是您所启动的第一个 share 命令或 share 命令集，则 NFS 守护进程可能未运行。以下命令将重新启动该守护进程：

   # svcadm restart network/nfs/server

6. （可选的）如果使用的是自动挂载程序，请编辑 auto_master 数据库以选择非缺省安全模式。

   如果不使用自动挂载程序访问文件系统或者安全模式的缺省选择可接受，则无需执行此过程。

   file_system auto_home -nosuid,sec=mode

7. （可选的）使用非缺省模式手动发布用于访问文件系统的 mount 命令。

   或者，可以使用 mount 命令指定安全模式，但此替代方法不会利用自动挂载程序。

   # mount -F nfs -o sec=mode file_system

示例 22–3 使用一种 Kerberos 安全模式共享文件系统

在此示例中，dfstab 文件行表明：在通过 NFS 服务访问任何文件之前，必须先成功完成 Kerberos 验证。

# grep krb /etc/dfs/dfstab

share -F nfs -o sec=krb5 /export/home

示例 22–4 使用多种 Kerberos 安全模式共享文件系统

在此示例中，选择了所有三种 Kerberos 安全模式。如果发出挂载请求时未指定任何安全模式，则将在所有 NFS V3 客户机中使用列出的第一种模式（在此例中为 krb5）。有关更多信息，请参见 nfssec(5) 手册页。

# grep krb /etc/dfs/dfstab

share -F nfs -o sec=krb5:krb5i:krb5p /export/home