NIS+ セキュリティの影響について理解する

NIS+ には、NIS にはなかったセキュリティが備わっているため、さらに多くの管理作業が必要になります。chkey、keylogin、または keylogout の手順の実行に慣れていないユーザにも、より多くの作業が要求されることがあります。さらに、NIS+ によって提供される保護は、完璧に安全というものではありません。十分な計算能力と知識があれば、Diffie-Hellman 公開鍵暗号システムを破ることができます。また、キーサーバプロセスによって格納された秘密鍵は、資格を持つ、ルート以外のユーザがログアウトしても、そのユーザが keylogout(1) によってログアウトしないかぎり、自動的に削除されません。セキュリティは、ユーザが keylogout(1) によってログアウトしたとしても、完全ではありません。これは、セッションキーが、その期限が切れるか、または再初期化されるまで、有効なためです。(詳細については keylogout(1) のマニュアルページを参照してください。) ルートキーは、keylogin -r によって作成されて、/etc/.rootkey に格納されますが、これは .rootkey ファイルが明示的に削除されるまで残ります。スーパーユーザは keylogout(1) を使用することができません。しかしそれでも、NIS+ は、NIS よりもはるかに安全です。

NIS+ セキュリティがユーザに与える影響

NIS+ セキュリティを使用すると、NIS+ から取得する情報の信頼性が向上し、情報への不正なアクセスを防げるため、ユーザにとって有益です。ただし、NIS+ セキュリティを使用するには、ユーザは、セキュリティに関する若干の知識を習得して、2、3 の管理手順を実行しなければなりません。

NIS+ ではネットワークログインが必要ですが、ユーザがさらにキーログインを実行する必要はありません。これは、クライアントが正しく設定されていれば、login コマンドにより、そのクライアントのネットワーク鍵が自動的に取得されるためです。クライアントは、そのログインパスワードと SecureRPC パスワードが同じであれば、正しく設定されます。ユーザ ルート の秘密鍵は、通常、/etc/.rootkey ファイルで入手することができます (潜在的なセキュリティの問題として前述しました)。NIS+ ユーザのパスワードと資格が、 passwd コマンドによって変更されると、そのユーザの資格情報も自動的に変更されます。

• NIS+ マシンのローカルの root パスワードを変更するには、passwd コマンドを実行します。

• root の資格を変更するには、chkey コマンドを実行します。

ただし、ユーザがそのネットワークパスワードだけでなく、ローカルの /etc/passwd ファイルのパスワードも管理できて、これらのパスワードがネットワークパスワードと異なる場合、ユーザは login を実行するたびに keylogin を実行しなければなりません。この理由は、『Solaris ネーミングの管理』のセキュリティに関する章に説明されています。

NIS+ セキュリティがシステム管理者に与える影響

Solaris 2.x は、認証のための DES 暗号機構を備えているため、セキュリティ保護操作を必要とするシステム管理者は、別に暗号キットを購入する必要がありません。ただし、システム管理者は、ユーザに、passwd コマンドと passwd -r コマンドを使用する方法と、これらのコマンドをいつ使用するかを指示する必要があります。

また、セキュリティを強化した NIS+ 名前空間の設定は、通常の名前空間の設定よりも複雑です。この複雑さは、名前空間の設定に必要なステップが多いことだけではなく、すべての NIS+ 主体に対するユーザの資格とマシンの資格を作成して管理しなければならないということに原因があります。管理者は、パスワードとホストのテーブルから不要なアカウント情報を削除するのと同様に、不要な資格を削除する必要があります。また、管理者は、サーバの公開鍵が変更された場合、nisupdkeys を使用して、名前空間全体の鍵も変更しなければなりません。さらに管理者は、他のドメインからこのドメインへのリモートログインを望んだり、NIS+ への認証されたアクセスを望むユーザに対して、LOCAL 資格を追加しなければなりません。

NIS+ セキュリティが移行の計画に与える影響

NIS+ セキュリティの利点と管理上の要件をよく理解したら、NIS+ セキュリティを、移行中または移行後のどちらで実装するかを決める必要があります。NIS 互換モードで、ドメイン内のサーバの一部またはすべてを操作している場合でも、完全な NIS+ セキュリティを使用するようお薦めします。(ドメイン内のすべてのサーバが同じ NIS 互換モードを使用しているのが、望ましい状態です。) ただし、これには管理の手間が非常にかかります。簡単な方法としては、NIS 互換セキュリティによって NIS+ サーバと名前空間を設定し、NIS+ クライアントの資格は作成しないことです。ただし、管理者とサーバには、やはり資格が必要です。NIS+ クライアントは、NIS クライアントとともに、未認証カテゴリに割り当てられます。これにより、学習と設定の作業は軽減されますが、次のような欠点があります。

• ユーザは、NIS+ テーブルを更新できなくなります ただし、ログインパスワードの変更は可能です(ただしSolaris 2.5 以降のリリースの場合だけ)。

• ユーザは、ネームサービス情報が、認証された NIS+ サーバのものかどうかを確認できなくなります。