Comment configurer un environnement NFS sécuritaire avec de multiples modes de sécurité Kerberos
-
Adoptez l'identité de superutilisateur sur le serveur NFS.
-
Éditez le fichier /etc/dfs/dfstab et ajoutez l'option sec= avec les modes de sécurité requis aux entrées pertinentes.
# share -F nfs -o [mode] [système_de_fichiers]
mode
Modes de sécurité à utiliser lors du partage. Lorsque vous utilisez de multiples modes de sécurité, le premier mode dans la liste est employé par défaut par autofs.
système_de_fichiers
Chemin du système de fichiers à partager.
Tous les clients qui tentent d'accéder à des fichiers à partir du système de fichiers nommé exigent une authentification Kerberos. Pour terminer l'accès aux fichiers, le principal d'utilisateur et le principal root sur le client NFS devraient être authentifiés.
-
Assurez-vous que le service NFS est en cours d'exécution sur le serveur.
S'il s'agit de la première commande de partage ou du premier ensemble de commandes de partage que vous avez lancé, il est probable que les démons NFS ne soient pas en cours d'exécution. L'ensemble de commandes suivant élimine les démons et les redémarre.
# /etc/init.d/nfs.server stop # /etc/init.d/nfs.server start
-
Facultatif : Si autofs est utilisé, éditez les données
auto_masterafin de sélectionner un mode de sécurité autre que celui par défaut.Vous n'avez pas besoin d'effectuer cette procédure si vous n'utilisez pas autofs pour accéder au système de fichiers ou si la sélection par défaut pour le mode de sécurité est acceptable.
/home auto_home -nosuid,sec=krbi
-
Facultatif : Émettez manuellement la commande mount afin d'accéder au système de fichiers avec un mode autre que celui par défaut.
Vous pouvez également employer la commande mount pour spécifier le mode de sécurité, mais ne profiterez pas ainsi de l'agent de montage automatique :
# mount -F nfs -o sec=krb5p /export/home
Exemple--Partage d'un système de fichiers avec un mode de sécurité Kerberos
Cet exemple exige une authentification Kerberos avant qu'il soit possible d'accéder aux fichiers.
# share -F nfs -o sec=krb5 /export/home |
Exemple--Partage d'un système de fichiers avec de multiples modes de sécurité Kerberos
Dans cet exemple, les trois modes de sécurité Kerberos ont été sélectionnés. Si aucun mode de sécurité n'est spécifié lors d'une requête de montage, le premier mode indiqué est employé sur tous les clients NFS V3 (dans ce cas, krb5). Pour de plus amples renseignements, consultez la section "Modifications apportées à la commande share".
# share -F nfs -o sec=krb5:krb5i:krb5p /export/home |
- © 2010, Oracle Corporation and/or its affiliates