複数の Kerberos セキュリティモード使用して安全な NFS 環境を設定する方法
-
NFS サーバーでスーパーユーザーになります。
-
/etc/dfs/dfstab ファイルを編集して、必要なセキュリティモードを sec= オプションに指定して適切なエントリに追加します。
# share -F nfs -o sec=mode filesystem
mode
共有するときに使用するセキュリティモード。複数のセキュリティモードを追加すると、デフォルトとしてリストの最初のモードが autofs によって使用される
filesystem
共有するファイルシステムへのパス
指定されたファイルシステムのファイルにアクセスするすべてのクライアントは、Kerberos 認証が必要です。ファイルのアクセスを完了するには、NFS クライアント上のユーザープリンシパルと root プリンシパルが両方とも認証されなければなりません。
-
NFS サービスがサーバーで動作しているか確認します。
これが最初の share コマンドまたは最初の一連の share コマンドなら、NFS デーモンが動作していない可能性があります。次のコマンドを実行すると、デーモンが終了し、再起動します。
# /etc/init.d/nfs.server stop # /etc/init.d/nfs.server start
-
(省略可能) autofs を使用する場合は、
auto_masterデータを編集してデフォルト以外のセキュリティモードを選択します。ファイルシステムのアクセスに autofs を使用しない場合やセキュリティモードとしてデフォルトを使用する場合は、この手順を行う必要はありません。
/home auto_home -nosuid,sec=krbi
-
(省略可能) 手動で mount コマンドを実行し、デフォルト以外のモードを使用してファイルシステムにアクセスします。
この代わりに、mount コマンドにセキュリティモードを指定できますが、手順のオートマウンタは利用できません
# mount -F nfs -o sec=krb5p /export/home
例 - 1 つの Kerberos セキュリティモードを使用してファイルシステムを共有する
次の例を実行すると、ファイルにアクセスする前に Kerberos 認証が必要になります。
# share -F nfs -o sec=krb5 /export/home |
例 - 複数の Kerberos セキュリティモードを使用してファイルシステムを共有する
次の例では、3 つの Kerberos セキュリティモードをすべて選択します。マウント要求でセキュリティモードが指定されていないと、NFS V3 のすべてのクライアントに対しリストの最初のモードが使用されます (この場合は krb5)。さらに、「share コマンドの変更」を参照してください。
# share -F nfs -o sec=krb5:krb5i:krb5p /export/home |
- © 2010, Oracle Corporation and/or its affiliates