Guide du mécanisme d'authentification pour l'entreprise de Sun

Configuration des serveurs NFS SEAM

Les services NFS utilisent des UID UNIX pour identifier un utilisateur, et ne peuvent pas utiliser les principaux directement. Pour convertir le principal en UID, il faut créer une table des justificatifs d'identité mappant les principaux d'utilisateur aux UID UNIX. Les procédures ci-dessous mettent l'accent sur les tâches nécessaires pour configurer un serveur NFS SEAM, administrer la table des justificatifs d'identité et activer les modes de sécurité Kerberos pour les systèmes de fichiers montés avec NFS. Le tableau suivant décrit les tâches mentionnées dans cette section.

Tableau 3-3 Configuration du mappage des tâches du serveur NFS SEAM


Tâche	Description	Pour des directives, consulter...
Configurer un serveur NFS SEAM	Étapes permettant à un serveur de partager un système de fichiers exigeant une authentification Kerberos.	"Comment configurer des serveurs NFS SEAM"
Changer le mécanisme dorsal pour la table des justificatifs d'identité	Étapes de définition du mécanisme dorsal utilisé par `gsscred`.	"Comment changer le mécanisme dorsal pour la table `gsscred`"
Créer une table des justificatifs d'identité	Étapes de génération d'une table des justificatifs d'identité.	"Comment créer une table des justificatifs d'identité"
Comment changer la table des justificatifs d'identité mappant les principaux d'utilisateur à des UID UNIX.	Étapes de mise à jour des informations dans la table des justificatifs d'identité.	"Comment ajouter une entrée unique à la table des justificatifs d'identité"
Partager un système de fichiers avec authentification Kerberos	Étapes de partage d'un système de fichiers avec des modes de sécurité afin que l'authentification Kerberos soit requise.	"Comment configurer un environnement NFS sécuritaire avec de multiples modes de sécurité Kerberos"

Comment configurer des serveurs NFS SEAM

Cette procédure exige que le KDC maître soit configuré. Pour tester complètement le processus, il doit y avoir plusieurs clients. Les paramètres de configuration suivants sont utilisés :

nom du secteur = ACME.COM

nom du domaine DNS = acme.com

serveur NFS = denver.acme.com

principal admin = kws/admin

Conditions préalables à la configuration d'un serveur NFS SEAM.

Le logiciel client SEAM doit être installé.

Facultatif : Installez le client NTP ou un autre mécanisme de synchronisation d'horloge.

Voir "Synchronisation des horloges des KDC et des clients SEAM" pour de plus amples renseignements sur NTP.

Démarrez kadmin.

L'utilisation de l'outil d'administration SEAM pour ajouter un principal est décrite à la section "Comment créer un nouveau principal". L'exemple ci-dessous illustre l'ajout des principaux requis au moyen de la ligne de commande. Vous devez vous connecter avec un des noms de principal admin créés lors de la configuration du KDC maître.

denver # /usr/krb5/sbin/kadmin -p kws/admin
Entrer le mot de passe: <Entrez le mot de passe kws/admin>
kadmin:

Créez le principal du service NFS du serveur.

kadmin: addprinc -randkey nfs/denver.acme.com
Principal "nfs/denver.acme.com" créé.
kadmin:

Facultatif : Créez un principal root pour le serveur NFS principal.

kadmin: addprinc root/denver.acme.com
Entrer le mot de passe du principal root/denver.acme.com@ACME.COM: <tapez le mot de passe>
Entrer à nouveau le mot de passe du principal root/denver.acme.com@ACME.COM: <tapez-le à nouveau>
Principal "root/denver.acme.com@ACME.COM" créé.
kadmin:

Ajoutez le principal du service NFS du serveur à la table de clés du serveur.

kadmin: ktadd nfs/denver.acme.com
kadmin: Entrée du principal nfs/denver.acme.com
  avec numéro de version de clé 3 et type de chiffrement DES-CBC-CRD 
  ajoutée à la table de clés WRFILE:/etc/krb5/krb5.
kadmin: quit

Quittez kadmin
kadmin: quit

Créez la table gsscred.

Voir "Comment créer une table des justificatifs d'identité" pour de plus amples renseignements.

Partagez le système de fichiers NFS au moyen de modes de sécurité Kerberos.

Voir "Comment configurer un environnement NFS sécuritaire avec de multiples modes de sécurité Kerberos" pour de plus amples renseignements.

Sur chaque client : authentifiez les principaux d'utilisateur et de superutilisateur.

Voir "Configuration de l'authentification de superutilisateur pour le montage des systèmes de fichiers NFS" pour de plus amples renseignements.

Comment changer le mécanisme dorsal pour la table `gsscred`

Adoptez l'identité de superutilisateur sur le serveur NFS.

Éditez /etc/gss/gsscred.conf et changez le mécanisme.

Vous pouvez employer l'un des mécanismes dorsaux suivants : files, xfn_files, xfn_nis, xfn_nisplus ou xfn. Les avantages de chacun de ces mécanismes sont décrits à la section "Utilisation de la table gsscred".

Comment créer une table des justificatifs d'identité

La table des justificatifs d'identité gsscred est employée par un serveur NFS pour mapper des principaux SEAM à un UID. Pour que les clients NFS puissent monter des systèmes de fichiers depuis un serveur NFS avec l'authentification Kerberos, cette table doit être créée ou rendue disponible.

Adoptez l'identité de superutilisateur sur le serveur pertinent.

Le serveur où vous exécutez cette commande et l'ID que vous employez pour l'exécuter dépendent du mécanisme dorsal sélectionné pour la prise en charge de la table gsscred. Pour tous les mécanismes sauf xfn_nisplus, vous devez adopter l'identité root.

Si votre mécanisme dorsal est ...	alors ...
`files`	Exécuter sur le serveur NFS
`xfn`	Sélectionner l'hôte en fonction du réglage par défaut du fichier `xfn`
`xfn_files`	Exécuter sur le serveur NFS
`xfn_nis`	Exécuter sur le maître NIS
`xfn_nisplus`	Exécuter n'importe où, tant que les permissions de changement des permissions NIS+ sont en vigueur.

Facultatif : Si /var/fn n'existe pas et que vous désirez utiliser une des options xfn, créez une base de données XFN initiale.
# fnselect files # fncreate -t org -o org//

Créez la table des justificatifs d'identité avec gsscred.

La commande obtient des informations de toutes les sources spécifiées avec l'entrée passwd dans /etc/nsswitch.conf. Il pourrait s'avérer nécessaire de supprimer temporairement l'entrée files si vous ne voulez pas que les entrées de mot de passe locales soient incluses dans la table des justificatifs d'identité. Pour de plus amples renseignements, consultez la page de manuel gsscred(1M).
# gsscred -m kerberos_v5 -a

Comment ajouter une entrée unique à la table des justificatifs d'identité

Cette procédure exige que la table gsscred soit installée sur le serveur NFS.

Adoptez l'identité de superutilisateur sur un serveur NFS.

Ajoutez une entrée à la table avec gsscred.

# gsscred -m [mécanisme] -n [nom] -u [uid] -a

`mécanisme`	Le mécanisme de sécurité à utiliser.
`nom`	Le nom du principal de l'utilisateur, tel que défini dans le KDC.
`uid`	L'UID de l'utilisateur, tel que défini dans la base de données des mots de passe.
`-a`	Ajoute l'UID au mappage des noms de principal.

Exemple--Changement d'une entrée unique dans la table des justificatifs d'identité

L'exemple suivant ajoute une entrée pour l'utilisateur appelé jean, qui est mappé à l'UID 3736. L'UID est extrait du fichier des mots de passe s'il n'est pas inclus sur la ligne de commande.

# gsscred -m kerberos_v5 -n jean -u 3736 -a

Comment configurer un environnement NFS sécuritaire avec de multiples modes de sécurité Kerberos

Adoptez l'identité de superutilisateur sur le serveur NFS.

Éditez le fichier /etc/dfs/dfstab et ajoutez l'option sec= avec les modes de sécurité requis aux entrées pertinentes.

# share -F nfs -o [mode] [système_de_fichiers]

`mode`	Modes de sécurité à utiliser lors du partage. Lorsque vous utilisez de multiples modes de sécurité, le premier mode dans la liste est employé par défaut par autofs.
`système_de_fichiers`	Chemin du système de fichiers à partager.

Tous les clients qui tentent d'accéder à des fichiers à partir du système de fichiers nommé exigent une authentification Kerberos. Pour terminer l'accès aux fichiers, le principal d'utilisateur et le principal root sur le client NFS devraient être authentifiés.

Assurez-vous que le service NFS est en cours d'exécution sur le serveur.

S'il s'agit de la première commande de partage ou du premier ensemble de commandes de partage que vous avez lancé, il est probable que les démons NFS ne soient pas en cours d'exécution. L'ensemble de commandes suivant élimine les démons et les redémarre.
# /etc/init.d/nfs.server stop # /etc/init.d/nfs.server start

Facultatif : Si autofs est utilisé, éditez les données auto_master afin de sélectionner un mode de sécurité autre que celui par défaut.

Vous n'avez pas besoin d'effectuer cette procédure si vous n'utilisez pas autofs pour accéder au système de fichiers ou si la sélection par défaut pour le mode de sécurité est acceptable.
/home auto_home -nosuid,sec=krbi

Facultatif : Émettez manuellement la commande mount afin d'accéder au système de fichiers avec un mode autre que celui par défaut.

Vous pouvez également employer la commande mount pour spécifier le mode de sécurité, mais ne profiterez pas ainsi de l'agent de montage automatique :
# mount -F nfs -o sec=krb5p /export/home

Exemple--Partage d'un système de fichiers avec un mode de sécurité Kerberos

Cet exemple exige une authentification Kerberos avant qu'il soit possible d'accéder aux fichiers.

# share -F nfs -o sec=krb5 /export/home

Exemple--Partage d'un système de fichiers avec de multiples modes de sécurité Kerberos

Dans cet exemple, les trois modes de sécurité Kerberos ont été sélectionnés. Si aucun mode de sécurité n'est spécifié lors d'une requête de montage, le premier mode indiqué est employé sur tous les clients NFS V3 (dans ce cas, krb5). Pour de plus amples renseignements, consultez la section "Modifications apportées à la commande share".

# share -F nfs -o sec=krb5:krb5i:krb5p /export/home