test

Sun Enterprise Authentication Mechanism 1.0.1 Handbuch

So richten Sie eine sichere NFS-Umgebung mit mehreren Kerberos-Sicherheitsmodi ein

  1. Melden Sie sich auf dem NFS-Server als Superuser an.

  2. Bearbeiten Sie die Datei /etc/dfs/dfstab , und fügen Sie die Option sec= mit den erforderlichen Sicherheitsmodi in den entsprechenden Einträgen hinzu. 


    # share -F nfs -o sec=mode filesystem

    mode

    Die bei der Freigabe zu verwendenden Sicherheitsmodi. Bei Verwendung mehrfacher Sicherheitsmodi wird der erste Modus in der Liste von autofs als Standard verwendet. 

    filesystem

    Der Pfad auf das freizugebende Dateisystem.  

    Alle Clients, die den Zugriff auf Dateien des benannten Dateisystems versuchen, benötigen Kerberos-Authentisierung. Um den Zugriff auf Dateien durchzuführen, sollten sowohl der Benutzer-Hauptbenutzer als auch der root-Hauptbenutzer auf dem NFS-Client authentisiert werden.

  3. Vergewissern Sie sich, dass der NFS-Service auf dem Server ausgeführt wird.

    Wenn dies der erste Freigabebefehl oder die erste Freigabefehlsfolge ist, die Sie eingeleitet haben, dann werden wahrscheinlich die NFS-Dämonen nicht ausgeführt. Die nachstehende Befehlsfolge beendet die Dämonen und startet sie neu.


    # /etc/init.d/nfs.server stop
# /etc/init.d/nfs.server start

  4. Optional: Wenn autofs verwendet wird, bearbeiten Sie die auto_master-Daten, um einen anderen als den Standardsicherheitsmodus auszuwählen

    Sie müssen dieses Verfahren nicht befolgen, wenn Sie autofs für den Zugriff auf das Dateisystem nicht verwenden, oder wenn die Standardauswahl des Sicherheitsmodus akzeptabel ist. 


    /home	  auto_home  -nosuid,sec=krbi

  5. Optional: Führen Sie den Befehl mount manuell aus, um auf das Dateisystem mit einem anderen als dem Standardmodus zuzugreifen.

    Alternativ dazu könnten Sie den Befehl mount dazu verwenden, um den Sicherheitsmodus anzugeben, doch dies nutzt nicht den Vorteil der automatischen Mounts aus: 


    # mount -F nfs -o sec=krb5p /export/home

Beispiel--Freigabe eines Dateisystems mit einem einzigen Kerberos-Sicherheitsmodus

Dieses Beispiel erfordert Kerberos-Authentisierung, bevor auf die Dateien zugegriffen werden kann.


# share -F nfs -o sec=krb5 /export/home

Beispiel: Freigabe eines Dateisystems mit mehrfachen Kerberos-Sicherheitsmodi

In diesem Beispiel sind alle drei Kerberos-Sicherheitsmodi ausgewählt worden. Wenn bei der Mount-Anforderung kein Sicherheitsmodus angegeben ist, dann wird der erste aufgeführte Modus bei allen NFS V3-Clients angewendet (in diesem Fall krb5). Weitere Informationen finden Sie unter "SEAM Commands" in System Administration Guide, Volume 2.


# share -F nfs -o sec=krb5:krb5i:krb5p /export/home