test

Manuale di Sun Enterprise Authentication Mechanism

Configurazione dei server NFS SEAM

I server NFS utilizzano gli UID UNIX per identificare gli utenti e non possono usare direttamente i nomi principali. Per poter tradurre un nome principale in un UID, è necessario creare una tabella di credenziali che mappi i nomi principali degli utenti in UID UNIX. Le procedure seguenti descrivono le operazioni necessarie per configurare un server NFS SEAM, per amministrare la tabella delle credenziali e per avviare le modalità di sicurezza di Kerberos per i file system attivati via NFS. La tabella seguente descrive le operazioni descritte in questa sezione.

Tabella 3-3 Mappa delle operazioni per la configurazione di un server NFS SEAM

Operazione 

Descrizione 

Per istruzioni, vedere... 

Configurare un server NFS SEAM 

 Procedura per abilitare un server a condividere un file system che richieda un'autenticazione Kerberos."Configurare un server NFS SEAM"

Modificare il meccanismo back-end per la tabella delle credenziali 

Procedura per definire il meccanismo back-end usato da gsscred."Modificare il meccanismo back-end per la tabella gsscred"

Creare una tabella di credenziali 

 Procedura per generare una tabella di credenziali."Creare una tabella di credenziali"

Modificare la tabella di credenziali che mappa i nomi principali degli utenti in UID UNIX. 

 Procedura per aggiornare le informazioni nella tabella delle credenziali."Aggiungere una singola voce alla tabella delle credenziali"

Condividere un file system con l'autenticazione Kerberos 

 Procedura per condividere un file system con modalità di sicurezza che richiedano l'autenticazione Kerberos."Configurare un ambiente NFS sicuro con più modalità di sicurezza Kerberos"

Configurare un server NFS SEAM

Questa procedura richiede che sia stato configurato il KDC master. Per provare il processo in modo completo sono necessari diversi client. Vengono usati i seguenti parametri di configurazione:

  1. Prerequisiti per la configurazione di un server NFS SEAM.

    Deve essere installato il software client SEAM.

  2. Opzionale: Installare un client NTP o un altro meccanismo per la sincronizzazione degli orologi.

    Per maggiori informazioni su NTP, vedere "Sincronizzazione degli orologi tra i KDC e i client SEAM".

  3. Avviare kadmin.

    L'uso dello strumento Amministrazione SEAM per l'aggiunta di un nome principale è descritto in "Creare un nuovo nome principale". L'esempio seguente spiega come aggiungere i nomi principali richiesti dalla riga di comando. È necessario eseguire il login con uno dei nomi principali admin creati durante la configurazione del KDC master.


    milano # /usr/krb5/sbin/kadmin -p kws/admin
Inserire la password: <Inserire la password per kws/admin>
kadmin:

    1. Creare il nome principale per il servizio NFS del server.


      kadmin: addprinc -randkey nfs/milano.spa.it
Nome principale "nfs/milano.spa.it" creato.
kadmin:

    2. Opzionale: Creare un nome principale root per il server NFS.


      kadmin: addprinc root/milano.spa.it
Inserire la password per il nome principale root/milano.spa.it@SPA.IT: <Inserire la password>
Reinserire la password per il nome principale root/milano.spa.it@SPA.IT: <Reinserire la password >
Nome principale "root/milano.spa.it@SPA.IT" creato.
kadmin:

    3. Aggiungere il nome principale del servizio NFS del server nella tabella di chiavi del server.


      kadmin: ktadd nfs/milano.spa.it
kadmin: Voce per nome principale nfs/milano.spa.it con
  kvno 3, tipo di cifratura DES-CBC-CRC aggiunta alla tabella di chiavi
  WRFILE:/etc/krb5/krb5.keytab
kadmin: quit

    4. Uscire da kadmin 


      kadmin: quit

  4. Creare la tabella gsscred.

    Per maggiori informazioni, vedere "Creare una tabella di credenziali".

  5. Condividere il file system NFS usando le modalità di sicurezza di Kerberos.

    Per maggiori informazioni, vedere "Configurare un ambiente NFS sicuro con più modalità di sicurezza Kerberos".

  6. Su ogni client: autenticare sia il nome principale dell'utente che il nome principale di root.

    Per maggiori informazioni, vedere "Impostazione dell'autenticazione root per l'attivazione dei file system NFS".

Modificare il meccanismo back-end per la tabella gsscred

  1. Diventare superutente sul server NFS.

  2. Aprire con un editor il file /etc/gss/gsscred.conf e cambiare il meccanismo.

    Si potrà utilizzare uno dei seguenti meccanismi back-end: files, xfn_files, xfn_nis, xfn_nisplus o xfn. I vantaggi di ciascun meccanismo sono descritti in "Uso della tabella gsscred".

Creare una tabella di credenziali

La tabella di credenziali gsscred viene usata dai server NFS per mappare i nomi principali di SEAM in UID. Perché i client NFS possano attivare i file system da un server NFS usando l'autenticazione Kerberos, è necessario creare o rendere disponibile questa tabella.

  1. Diventare superutente sul server appropriato.

    Il server da cui eseguire questo comando e l'ID da utilizzare per eseguirlo dipendono dal meccanismo back-end selezionato per supportare la tabella gsscred. Per tutti i meccanismi, ad eccezione di xfn_nisplus, è necessario diventare root.

    Se il meccanismo back-end è... 

    Procedere in questo modo 

    files

    Eseguire il comando sul server NFS 

    xfn

    Selezionare l'host in base all'impostazione predefinita del file xfn

    xfn_files

    Eseguire il comando sul server NFS 

    xfn_nis

    Eseguire il comando sul master NIS 

    xfn_nisplus

    Eseguire il comando su qualunque sistema, purché in possesso delle autorizzazioni richieste per la modifica dei dati NIS+.  

  2. Opzionale: Se /var/fn non esiste e si desidera usare una delle opzioni xfn, creare un database XFN iniziale.


    # fnselect files
# fncreate -t org -o org//

  3. Creare la tabella delle credenziali usando gsscred.

    Questo comando raccoglie le informazioni da tutte le fonti elencate nella voce passwd del file /etc/nsswitch.conf. Se non si desidera includere le password locali nella tabella delle credenziali, si dovrà rimuovere temporaneamente la voce files. Per maggiori informazioni, vedere la pagina man gsscred(1M).


    # gsscred -m kerberos_v5 -a

Aggiungere una singola voce alla tabella delle credenziali

Questa procedura richiede che la tabella gsscred sia già stata installata sul server NFS.

  1. Diventare superutente su un server NFS.

  2. Aggiungere una voce alla tabella usando gsscred.


    # gsscred -m [meccanismo] -n [nome] -u [uid] -a

    meccanismo

    Meccanismo di sicurezza da utilizzare. 

    nome

    Nome principale dell'utente, definito nel KDC. 

    uid

    UID dell'utente, definito nel database delle password. 

    -a

    Aggiunge l'UID alla mappa dei nomi principali.  

Esempio: Aggiunta di una voce singola alla tabella delle credenziali

L'esempio seguente aggiunge una voce per l'utente giulia, mappato sull'UID 3736. L'UID, se non specificato nella riga di comando, viene ricavato dal file delle password.


# gsscred -m kerberos_v5 -n giulia -u 3736 -a

Configurare un ambiente NFS sicuro con più modalità di sicurezza Kerberos

  1. Diventare superutente sul server NFS.

  2. Aprire con un editor il file /etc/dfs/dfstab e aggiungere l'opzione sec= con le modalità di sicurezza richieste alle voci appropriate. 


    # share -F nfs -o [modalità] [filesystem]

    modalità

    Modalità di sicurezza da usare per la condivisione. Se si utilizzano più modalità di sicurezza, autofs userà la prima della lista come modalità predefinita. 

    filesystem

    Percorso del file system da condividere. 

    Tutti i client che cercheranno di accedere ai file del file system specificato richiederanno l'autenticazione Kerberos. Per completare l'accesso ai file, dovranno essere autenticati sia il nome principale dell'utente, sia il nome principale root sul client NFS.

  3. Controllare che il servizio NFS sia in esecuzione sul server.

    Se questo è il primo comando di condivisione utilizzato, è probabile che i daemon NFS non siano in esecuzione. I comandi seguenti permettono di arrestare e riavviare i daemon.


    # /etc/init.d/nfs.server stop
# /etc/init.d/nfs.server start

  4. Opzionale: Se si utilizza autofs, modificare i dati auto_master in modo da selezionare una modalità di sicurezza diversa da quella predefinita.

    Questa procedura non è necessaria se non si utilizza autofs per accedere al file system, o se si intende accettare la modalità di sicurezza predefinita.


    /home	  auto_home  -nosuid,sec=krbi

  5. Opzionale: Eseguire manualmente il comando mount per accedere al file system usando una modalità diversa da quella predefinita.

    In alternativa, la modalità di sicurezza può essere specificata con il comando mount, ma in questo modo non verrà sfruttata la funzione di attivazione automatica:


    # mount -F nfs -o sec=krb5p /export/home

Esempio: Condivisione di un file system con una sola modalità di sicurezza Kerberos

In questo esempio, per poter accedere ai file sarà necessaria l'autenticazione Kerberos.


# share -F nfs -o sec=krb5 /export/home

Esempio: Condivisione di un file system con più modalità di sicurezza Kerberos

In questo esempio, sono state selezionate tutte le tre modalità di sicurezza Kerberos. Se alla richiesta di attivazione non viene specificata una modalità di sicurezza, verrà usata la prima modalità elencata su tutti i client NFS V3 (in questo caso, krb5). Per maggiori informazioni, vedere "Modifiche al comando share".


# share -F nfs -o sec=krb5:krb5i:krb5p /export/home