関連ファイル

RPCSEC_GSS はいくつかのファイルに情報を格納します。

gsscred テーブル

要求に関連するクライアントの資格を取り出すとき、サーバーはクライアントプリンシパル名 (rpc_gss_principal_t 構造体ポインタの形式) またはローカル UNIX 資格 (ユーザ ID) のどちらかを取得できます。NFS などのサービスでは、アクセスを許可するかどうかを決定するのにローカルの UNIX 資格が必要です。しかし、資格を必要としないサービスでは、プリンシパル名を rpc_gss_principal_t 構造体として直接独自のアクセス制御リストに格納します。

クライアントのネットワーク資格 (そのプリンシパル名) とローカル UNIX 資格は自動的にはマッピングされません。ローカルのセキュリティ管理者が明示的に設定する必要があります。

gsscred ファイルには、クライアントの UNIX とネットワーク (たとえば、Kerberos V5) の両方の資格が入っています。後者は rpc_gss_principal_t 構造体の Hex-ASCII 表記です。gsscred ファイルには XFN 経由でアクセスします。したがって、このテーブルは、XFN がサポートする files、NIS、NIS+ で、さらには将来の任意のネームサービスで実装できます。XFN 階層において、このテーブルは this_org_unit/service/gsscred で表示できます。gsscred テーブルを保守するには、gsscred ユーティリティを使用します。gsscred ユーティリティを使用すると、管理者はユーザーや機構を追加および削除できます。

/etc/gss/qop と /etc/gss/mech

便宜上、RPCSEC_GSS は文字列リテラルを使用して、機構と QOP (保護特性) パラメータを記述します。しかし、実際の機構自体では、機構をオブジェクト識別子として記述し、QOP を 32 ビット整数として記述する必要があります。さらに、機構ごとに、その機構のサービスを実装する共有ライブラリを指定する必要があります。

/etc/gss/mech ファイルは、システムにインストールされているすべての機構について、機構名 (ASCII)、機構の OID、その機構が提供するサービスを実装する共有ライブラリ、(オプションで) サービスを実装するカーネルモジュールなどの情報を格納します。次に、この行の例を示します。

kerberos_v5   1.2.840.113554.1.2.2    gl/mech_krb5.so gl_kmech_krb5

/etc/gss/qop ファイルは、インストールされているすべての機構に対して、各機構がサポートするすべての QOP を、ASCII 文字列とそれに対応する 32 ビット整数で格納します。

/etc/gss/mech と /etc/gss/qop は両方とも、初めてセキュリティ機構をシステムにインストールするときに作成されます。

多くのカーネル内 RPC ルーチンは文字列型でない値で機構と QOP を記述するため、このようなカーネル内 RPC ルーチンをアプリケーションで利用する場合は、rpc_gss_mech_to_oid() と rpc_gss_qop_to_num() 関数を使用して、これらのパラメータに対応する文字列型でない値を取得します。