Konfigurieren von Kerberos-NFS-Servern

NFS-Services identifizieren Benutzer anhand von UNIX-Benutzer-IDs (UIDs) und können GSS-Berechtigungsnachweise nicht direkt verwenden. Um Berechtigungsnachweise in UIDs umzuwandeln, muss möglicherweise eine Tabelle erstellt werden, in der Berechtigungsnachweise von Benutzern den entsprechenden UNIX-UIDs zugeordnet werden. Weitere Informationen zur Standardzuordnung von Berechtigungsnachweisen finden Sie unter Zuordnen von GGS-Berechtigungsnachweisen zu UNIX-Berechtigungsnachweisen. Bei den Verfahren in diesem Abschnitt liegt der Schwerpunkt auf den Aufgaben, die zur Konfiguration eines Kerberos-NFS-Servers, zur Verwaltung der Berechtigungsnachweistabelle und zum Starten der Kerberos-Sicherheitsmodi für über NFS eingehängte Dateisysteme notwendig sind. In der folgenden Übersicht der Schritte werden die Aufgaben in diesem Abschnitt beschrieben.

Tabelle 23-2 Konfigurieren von Kerberos-NFS-Servern (Übersicht der Schritte)

So konfigurieren Sie Kerberos-NFS-Server

In diesem Verfahren werden die folgenden Konfigurationsparameter verwendet:

• Realm name = EXAMPLE.COM

• DNS-Domainname = example.com

• NFS-Server = denver.example.com

• admin-Hauptelement = kws/admin

1. Sorgen Sie dafür, dass die Voraussetzungen für die Konfiguration eines Kerberos-NFS-Servers erfüllt sind.

   Das Master-KDC muss konfiguriert sein. Für einen vollständigen Test des Prozesses sind mehrere Clients erforderlich.

2. (Optional) Installieren Sie den NTP-Client oder einen anderen Synchronisierungsmechanismus für Uhren.

   Die Installation und Verwendung des Network Time Protocol (NTP) ist nicht obligatorisch. Damit die Authentifizierung erfolgreich ist, müssen alle Uhren mit der Uhrzeit auf dem KDC-Server synchronisiert sein, wobei die maximale Abweichung durch die clockskew-Beziehung in der Datei krb5.conf definiert wird. Informationen zu NTP finden Sie unter Synchronisieren von Uhren zwischen KDCs und Kerberos-Clients.

3. Konfigurieren Sie den NFS-Server als Kerberos-Client.

   Befolgen Sie die Anweisungen unter Konfigurieren von Kerberos-Clients.

4. Starten Sie kadmin.

   Sie können das Graphical Kerberos Administration Tool verwenden, wie unter So erstellen Sie ein neues Kerberos-Hauptelement erläutert. Dazu müssen Sie sich mit einem der zuvor bei der Konfiguration des Master-KDC erstellten admin-Hauptelementnamen anmelden. In dem folgenden Beispiel wird gezeigt, wie die erforderlichen Hauptelemente mithilfe der Befehlszeile hinzufügt werden.

   denver # /usr/sbin/kadmin -p kws/admin
   Enter password: <Type kws/admin password>
   kadmin: 

   1. Erstellen Sie das NFS-Service-Hauptelement des Servers.

      Wenn die Hauptelementinstanz ein Hostname ist, muss der FQDN unabhängig von der Schreibung des Domainnamens in der Datei /etc/resolv.conf in Kleinbuchstaben angegeben werden.

      Wiederholen Sie diesen Schritt für jede eindeutige Schnittstelle im System, die für den Zugriff auf NFS-Daten verwendet werden könnte. Wenn ein Host mehrere Schnittstellen mit eindeutigen Namen aufweist, muss jeder eindeutige Name über ein eigenes NFS-Service-Hauptelement verfügen.

      kadmin: addprinc -randkey nfs/denver.example.com
      Principal "nfs/denver.example.com" created.
      kadmin:

   2. Fügen Sie das NFS-Service-Hauptelement der Schlüsseltabellendatei des Servers hinzu.

      Wiederholen Sie diesen Schritt für jedes eindeutige in Schritt a erstellte Service-Hauptelement.

      kadmin: ktadd nfs/denver.example.com
      Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-256 CTS mode
                with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode
                with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc
                mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal nfs denver.example.com with kvno 3, encryption type ArcFour
                with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal nfs/denver.example.com with kvno 3, encryption type DES cbc mode
                with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
      kadmin:

   3. Beenden Sie kadmin.

      kadmin: quit

5. (Optional) Erstellen Sie bei Bedarf besondere GSS-Berechtigungsnachweistabellen.

   Normalerweise generiert der Kerberos-Service geeignete Zuordnungen zwischen den GSS-Berechtigungsnachweisen und den UNIX-UIDs. Die Standardzuordnung wird in Zuordnen von GGS-Berechtigungsnachweisen zu UNIX-Berechtigungsnachweisen beschrieben. Wenn die Standardzuordnung nicht ausreicht, finden Sie weitere Informationen unter So erstellen Sie eine Berechtigungsnachweistabelle.

6. Geben Sie das NFS-Dateisystem zur gemeinsamen Nutzung unter Verwendung von Kerberos-Sicherheitsmodi frei.

   Weitere Informationen finden Sie unter So richten Sie eine sichere NFS-Umgebung mit mehreren Kerberos-Sicherheitsmodi ein.

So erstellen Sie eine Berechtigungsnachweistabelle

Die Berechtigungsnachweistabelle gsscred wird von einem NFS-Server verwendet, um Kerberos-Berechtigungsnachweise UIDs zuzuordnen. Standardmäßig wird der Primärteil des Hauptelementnamens einem UNIX-Anmeldenamen zugeordnet. Diese Tabelle muss erstellt werden, wenn die Standardzuordnung nicht ausreicht, damit NFS-Clients Dateisysteme von einem NFS-Server mit Kerberos-Authentifizierung einhängen können.

1. Bearbeiten Sie /etc/gss/gsscred.conf und ändern Sie den Sicherheitsmechanismus.

   Ändern Sie den Mechanismus in files.

2. Erstellen Sie die Berechtigungsnachweistabelle mit dem Befehl gsscred.

   # gsscred -m kerberos_v5 -a

   Der Befehl gsscred sammelt Informationen aus allen Quellen, die für den passwd-Eintrag in der Datei /etc/nsswitch.conf angegeben sind. Möglicherweise müssen Sie den Eintrag files vorübergehend entfernen, wenn die lokalen Passworteinträge nicht in die Berechtigungsnachweistabelle eingeschlossen werden sollen. Weitere Informationen finden Sie auf der Manpage gsscred(1M).

So fügen Sie der Berechtigungstabelle einen einzelnen Eintrag hinzu

Bevor Sie beginnen

Voraussetzung für dieses Verfahren ist, dass die Tabelle gsscred bereits auf dem NFS-Server erstellt wurde. Anweisungen finden Sie unter So erstellen Sie eine Berechtigungsnachweistabelle.

1. Melden Sie sich als Superuser beim NFS-Server an.
2. Fügen Sie der Berechtigungsnachweistabelle mit dem Befehl gsscred einen Eintrag hinzu.

   # gsscred -m mech [ -n name [ -u uid ]] -a

   mech

   Definiert den zu verwendenden Sicherheitsmechanismus

   name

   Definiert den Hauptelementnamen des Benutzers, wie im KDC angegeben

   uid

   Definiert die UID des Benutzers, wie in der Passwortdatenbank angegeben

   -a

   Fügt die UID der Hauptelement-Zuordnung zu

Beispiel 23-2 Hinzufügen eines Hauptelements mit mehreren Komponenten zur Berechtigungsnachweistabelle

In dem folgenden Beispiel wird ein Eintrag für ein Hauptelement namens sandy/admin hinzugefügt, das UID 3736 zugeordnet wird.

# gsscred -m kerberos_v5 -n sandy/admin -u 3736 -a

Beispiel 23-3 Hinzufügen eines Hauptelements in einer anderen Domain zur Berechtigungsnachweistabelle

In dem folgenden Beispiel wird ein Eintrag für ein Hauptelement namens sandy/admin@EXAMPLE.COM hinzugefügt, das UID 3736 zugeordnet wird.

# gsscred -m kerberos_v5 -n sandy/admin@EXAMPLE.COM -u 3736 -a

So ordnen Sie Berechtigungsnachweise zwischen Bereichen zu

Dieses Verfahren ermöglicht die Zuordnung der Berechtigungsnachweise von zwei Bereichen, die die gleiche Passwortdatei verwenden. In diesem Beispiel verwenden CORP.EXAMPLE.COM und SALES.EXAMPLE.COM die gleiche Passwortdatei. Die Berechtigungsnachweise für bob@CORP.EXAMPLE.COM und bob@SALES.EXAMPLE.COM werden der gleichen UID zugewiesen.

1. Melden Sie sich als Superuser an.
2. Fügen Sie auf dem Clientsystem der Datei krb5.conf Einträge hinzu.

   # cat /etc/krb5/krb5.conf
   [libdefaults]
           default_realm = CORP.EXAMPLE.COM
    .
   [realms]
       CORP.EXAMPLE.COM = {
           .
           auth_to_local_realm = SALES.EXAMPLE.COM
           .
       }

Beispiel 23-4 Zuweisen von Berechtigungsnachweisen zwischen Bereichen mithilfe der gleichen Passwortdatei

Dieses Beispiel zeigt eine geeignete Zuordnung von Berechtigungsnachweisen zweier Bereiche, die die gleiche Passwortdatei verwenden. In diesem Beispiel verwenden CORP.EXAMPLE.COM und SALES.EXAMPLE.COM die gleiche Passwortdatei. Die Berechtigungsnachweise für bob@CORP.EXAMPLE.COM und bob@SALES.EXAMPLE.COM werden der gleichen UID zugewiesen. Fügen Sie auf dem Clientsystem der Datei krb5.conf Einträge hinzu.

# cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = CORP.EXAMPLE.COM
 .
[realms]
    CORP.EXAMPLE.COM = {
        .
        auth_to_local_realm = SALES.EXAMPLE.COM
        .
    }

Allgemeine Fehler

Informationen zur Fehlerbehebung bei der Zuordnung von Berechtigungsnachweisen finden Sie unter Überwachen der Zuordnungen von GSS-Berechtigungsnachweisen zu UNIX-Berechtigungsnachweisen.

So richten Sie eine sichere NFS-Umgebung mit mehreren Kerberos-Sicherheitsmodi ein

Durch dieses Verfahren kann ein NFS-Server sicheren NFS-Zugriff unter Verwendung verschiedener Sicherheitsmodi oder -varianten bieten. Wenn ein Client eine Sicherheitsvariante mit dem NFS-Server aushandelt, wird die erste vom Server angebotene Variante, auf die der Client Zugriff hat, verwendet. Diese Variante wird für alle nachfolgenden Clientanforderungen des Dateisystems verwendet, das vom NFS-Server zur gemeinsamen Nutzung freigegeben wird.

1. Melden Sie sich als Superuser beim NFS-Server an.
2. Stellen Sie sicher, dass die Schlüsseltabellendatei ein NFS-Service-Hauptelement enthält.

   Mit dem Befehl klist stellen Sie fest, ob eine Schlüsseltabellendatei vorhanden ist und zeigen die Hauptelemente an. Wenn keine Schlüsseltabellendatei oder kein NFS-Service-Hauptelement vorhanden ist, müssen Sie überprüfen, ob alle unter So konfigurieren Sie Kerberos-NFS-Server beschriebenen Schritte ausgeführt wurden.

   # klist -k
   Keytab name: FILE:/etc/krb5/krb5.keytab
   KVNO Principal
   ---- ---------------------------------------------------------
      3 nfs/denver.example.com@EXAMPLE.COM
      3 nfs/denver.example.com@EXAMPLE.COM
      3 nfs/denver.example.com@EXAMPLE.COM
      3 nfs/denver.example.com@EXAMPLE.COM

3. Aktivieren Sie die Kerberos-Sicherheitsmodi in der Datei /etc/nfssec.conf.

   Bearbeiten Sie die Datei /etc/nfssec.conf und entfernen Sie das "#" vor den Kerberos-Sicherheitsmodi.

   # cat /etc/nfssec.conf
    .
    .
   #
   # Uncomment the following lines to use Kerberos V5 with NFS
   #
   krb5            390003  kerberos_v5     default -               # RPCSEC_GSS
   krb5i           390004  kerberos_v5     default integrity       # RPCSEC_GSS
   krb5p           390005  kerberos_v5     default privacy         # RPCSEC_GSS

4. Bearbeiten Sie die Datei /etc/dfs/dfstab und fügen Sie den entsprechenden Einträgen die Option sec= mit den erforderlichen Sicherheitsmodi hinzu.

   share -F nfs -o sec=mode file-system

   mode

   Gibt die zu verwendenden Sicherheitsmodi an, wenn das Dateisystem freigegeben wird. Wenn Sie mehrere Sicherheitsmodi verwenden, ist der erste Modus in der Liste der Standardmodus.

   file-system

   Definiert den Pfad des Dateisystems, das gemeinsam genutzt werden soll.

   Für alle Clients, die auf Dateien des genannten Dateisystems zugreifen, ist eine Kerberos-Authentifizierung erforderlich. Um auf die Dateien zuzugreifen, muss das Benutzer-Hauptelement auf dem NFS-Client authentifiziert werden.

5. Stellen Sie sicher, dass der NFS-Service auf dem Server ausgeführt wird.

   Wenn dieser Befehl der erste share-Befehl oder Satz von share-Befehlen ist, den Sie initiiert haben, werden die NFS-Dämonen wahrscheinlich nicht ausgeführt. Die Dämonen werden mit dem folgenden Befehl neu gestartet:

   # svcadm restart network/nfs/server

6. (Optional) Wenn Sie den Automounter verwenden, bearbeiten Sie die Datenbank auto_master, um einen anderen Sicherheitsmodus als den Standardmodus auszuwählen.

   Sie müssen dieses Verfahren nicht ausführen, wenn Sie den Automounter nicht für den Zugriff auf das Dateisystem verwenden oder der standardmäßige Sicherheitsmodus akzeptabel ist.

   file-system  auto_home  -nosuid,sec=mode

7. (Optional) Geben Sie den Befehl mount manuell ein, um auf das Dateisystem in einem nicht standardmäßigen Modus zuzugreifen.

   Sie können den Befehl mount auch zur Angabe des Sicherheitsmodus verwenden, in diesem Fall wird jedoch der Automounter nicht genutzt.

   # mount -F nfs -o sec=mode file-system

Beispiel 23-5 Freigabe eines Dateisystems mit einem Kerberos-Sicherheitsmodus

In diesem Beispiel bedeutet die Zeile mit der Angabe dfstab, dass die Kerberos-Authentifizierung erfolgreich sein muss, bevor über den NFS-Service auf Dateien zugegriffen werden kann.

# grep krb /etc/dfs/dfstab
share -F nfs -o sec=krb5 /export/home

Beispiel 23-6 Freigabe eines Dateisystems mit mehren Kerberos-Sicherheitsmodi

In diesem Beispiel wurden alle drei Kerberos-Sicherheitsmodi ausgewählt. Welcher Modus verwendet wird, muss zwischen Client und NFS-Server ausgehandelt werden. Wenn der erste Modus im Befehl fehlschlägt, wird der nächste getestet. Weitere Informationen finden Sie auf der Manpage nfssec(5).

# grep krb /etc/dfs/dfstab
share -F nfs -o sec=krb5:krb5i:krb5p /export/home