Solaris のシステム管理

Diffie-Hellman 認証の管理

システム管理者は、ネットワークを安全にするためのポリシーをネットワーク上に実装できます。必要なセキュリティのレベルはサイトによって異なります。この節では、ネットワークセキュリティに関連するいくつかの作業手順を説明します。

キーサーバーを再起動する方法

スーパーユーザーになります。

keyserv デーモン (キーサーバー) が動作していることを確認します。

   # ps -ef | grep keyserv
   root  100 		   1		 16	  Apr 11 ?			   0:00 /usr/sbin/keyserv
   root	2215   2211			 5  09:57:28 pts/0 0:00 grep keyserv

キーサーバーが動作していない場合は、キーサーバーを起動します。
```
   # /usr/sbin/keyserv
```

Diffie-Hellman 認証明に NIS+ 資格を設定する方法

NIS+ セキュリティの詳細は、「Solaris ネーミングの管理」を参照してください。

NIS+ クライアント上で root 用の新しい鍵を設定するには

スーパーユーザーになります。

/etc/nsswitch.conf ファイルを編集して、次の行を追加します。
```
   publickey: nisplus
```

NIS+ クライアントを起動します。
```
   # nisinit -cH hostname
```
hostname は、そのテーブルにクライアントマシン用のエントリを持つ、信頼されている NIS+ サーバー名です。

次のコマンドを入力して、クライアントを cred テーブルに追加します。
```
   # nisaddcred local
   # nisaddcred des
```

keylogin コマンドを使用して、設定を確認します。

パスワードを求めるプロンプトが出たら、この手順は成功です。

例 - NIS+ クライアント上で root 用の新しい鍵を設定する

次の例は、ホスト pluto を使用して、earth を NIS+ クライアントとして設定しています。警告は無視できます。keylogin コマンドが受け付けられて、earth が Secure NIS+ クライアントとして正しく設定されていることを確認しています。

# nisinit -cH pluto
NIS Server/Client setup utility.
This machine is in the North.Abc.COM. directory.
Setting up NIS+ client ...
All done.
# nisaddcred local
# nisaddcred des 
DES principal name : unix.earth@North.Abc.COM
Adding new key for unix.earth@North.Abc.Com (earth.North.Abc.COM.)
 
Network password: xxx <Press Return>
Warning, password differs from login password.
Retype password: xxx <Press Return>
 
# keylogin
Password:
#

NIS+ ユーザー用の新しい鍵を設定するには

次のコマンドを入力して、ユーザーを root マスターサーバー上の cred テーブルに追加します。
```
   # nisaddcred -p unix.UID@domainname -P username.domainname. des
```
この場合、「username-domainname」はドット (.) で終了しなければなりません。

クライアントとしてログインし、keylogin コマンドを入力して、設定を確認します。

例 - NIS+ ユーザー用の新しい鍵を設定する

次の例は、DES セキュリティ認証をユーザー george に与えています。

# nisaddcred -p unix.1234@North.Abc.com -P george.North.Abc.COM. des
DES principal name : unix.1234@North.Abc.COM
Adding new key for unix.1234@North.Abc.COM (george.North.Abc.COM.)
 
Password:
Retype password:
 
# rlogin rootmaster -l george
# keylogin
Password:
#

Diffie-Hellman 認証で NIS 資格を設定する方法

クライアント上でスーパーユーザー用の新しい鍵を作成するには

クライアント上でスーパーユーザーになります。

/etc/nsswitch.conf ファイルを編集して、次の行を追加します。
```
   publickey: nis
```

newkey コマンドを使用して、新しい鍵ペアを作成します。
```
   # newkey -h hostname 
```
hostname は、クライアント名です。

例 - Diffie-Hellman セキュリティを使用するように NIS+ クライアントを設定する

次の例は、earth を Secure NIS クライアントとして設定しています。

# newkey -h earth
Adding new key for unix.earth@North.Abc.COM
New Password:
Retype password:
Please wait for the database to get updated...
Your new key has been successfully stored away.
#

ユーザー用の新しい鍵を作成するには

サーバーにスーパーユーザーとしてログインします。

ユーザー用の新しい鍵を作成できるのは、NIS+ サーバーにログインしたシステム管理者だけです。

ユーザー用の新しい鍵を作成します。
```
   # newkey -u username 
```
username はユーザー名です。システムはパスワードを求めるプロンプトを出します。システム管理者は汎用パスワードも入力できます。非公開鍵は汎用パスワードで暗号化されて格納されます。
```
   # newkey -u george
   Adding new key for unix.12345@Abc.North.Acme.COM
   New Password:
   Retype password:
   Please wait for the database to get updated...
   Your new key has been successfully stored away.
   #
```

ログインして chkey -p コマンドを入力するように、ユーザーに伝えます。

これによって、そのユーザーは自分だけが知っているパスワードを使用して、自分の非公開鍵を再び暗号化できます。
```
   earth% chkey -p
   Updating nis publickey database.
   Reencrypting key for unix.12345@Abc.North.Acme.COM
   Please enter the Secure-RPC password for george:
   Please enter the login password for george:
   Sending key change request to pluto...
   #
```
注 -
chkey コマンドを使用すると、新しい鍵ペアをユーザーに作成できます。

Diffie-Helman 認証でファイルを共有およびマウントする方法

前提条件

Diffie-Hellman の publickey 認証がネットワークで有効にされていなければなりません。「Diffie-Hellman 認証明に NIS+ 資格を設定する方法」と「Diffie-Hellman 認証で NIS 資格を設定する方法」を参照してください。

Diffie-Hellman 認証でファイルシステムを共有するには

スーパーユーザーになります。

Diffie-Hellman 認証でファイルシステムを共有します。
```
# share -F nfs -o sec=dh /filesystem 
```

Diffie-Hellman 認証でファイルシステムをマウントするには

スーパーユーザーになります。

Diffie-Hellman 認証でファイルシステムをマウントします。
```
   # mount -F nfs -o sec=dh server:resource  mountpoint 
```
-o sec=dh オプションは、AUTH_DH 認証でファイルシステムをマウントします。