Solaris のシステム管理 (セキュリティサービス)

SEAM NFS サーバーを構成する方法

この手順では、次の構成パラメータを使用します。

  1. SEAM NFS サーバーを構成するための前提条件を完了します。

    マスター KDC が構成済みである必要があります。処理を十分にテストするには、複数のクライアントが必要です。

  2. (省略可能) NTP クライアントなどのクロック同期メカニズムをインストールします。

    NTP のインストールと使用は、必須ではありません。ただし、認証を正常終了させるには、krb5.conf ファイルの libdefaults セクションに定義されているデフォルト時間内に、すべてのクロックを調整する必要があります。NTP については、KDC と SEAM クライアントのクロックの同期化を参照してください。

  3. kadmin を起動します。

    SEAM 管理ツールを使用して、主体を追加することができます (新しい主体を作成する方法を参照)。追加するときは、マスター KDC を構成するときに作成した admin 主体名を使用してログインする必要があります。ただし、次の例では、コマンド行を使用して、必要な主体を追加しています。


    denver # /usr/sbin/kadmin -p kws/admin
    Enter password: <kws/admin パスワードを入力する>
    kadmin: 
    1. サーバーの NFS サービス主体を作成します。

      主体のインスタンスがホスト名のときは、/etc/resolv.conf ファイル内のドメイン名が大文字であるか小文字であるかにかかわらず、FQDN は小文字で入力する必要があります。


      kadmin: addprinc -randkey nfs/denver.example.com
      Principal "nfs/denver.example.com" created.
      kadmin:
    2. (省略可能) NFS サーバーの root 主体を作成します。


      kadmin: addprinc root/denver.example.com
      Enter password for principal root/denver.example.com@EXAMPLE.COM: <パスワードを入力する>
      Re-enter password for principal root/denver.example.com@EXAMPLE.COM: <パスワードを再度入力する>
      Principal "root/denver.example.com@EXAMPLE.COM" created.
      kadmin: 
    3. サーバーの NFS サービス主体をサーバーのキータブファイルに追加します。


      kadmin: ktadd nfs/denver.example.com
      kadmin: Entry for principal nfs/denver.example.com with
        kvno 3, encryption type DES-CBC-CRC added to keytab
        WRFILE:/etc/krb5/krb5.keytab
      kadmin: 
    4. kadmin を終了します。


      kadmin: quit
      
  4. gsscred テーブルを作成します。

    詳細は、資格テーブルを作成する方法を参照してください。

  5. NFS ファイルシステムを Kerberos セキュリティモードで共有します。

    詳細は、複数の Kerberos セキュリティモードで安全な NFS 環境を設定する方法を参照してください。

  6. クライアントごとに、ユーザー主体と root 主体を認証します。