ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Solaris のシステム管理 (セキュリティサービス) Oracle Solaris 10 8/11 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
13. Oracle Solaris の暗号化フレームワーク (概要)
14. Oracle Solaris の暗号化フレームワーク (手順)
NIS+ ホストに Diffie-Hellman 鍵を設定する方法
NIS+ ユーザーに Diffie-Hellman 鍵を設定する方法
NIS ホストに Diffie-Hellman 鍵を設定する方法
19. Oracle Solaris Secure Shell の使用 (手順)
マウントされた NFS ファイルシステムの使用に対する認証を要求することにより、ネットワークのセキュリティーが増します。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
# svcs \*keyserv\* STATE STIME FMRI disabled Dec_14 svc:/network/rpc/keyserv
# svcadm enable network/rpc/keyserv
この手順は、NIS+ ドメインのすべてのホストで実行します。root が keylogin コマンドを実行すると、サーバーはmech_dhに対して GSS-API のアクセプタの資格をもち、クライアントは GSS-API のイニシエータの資格を持ちます。
NIS+ セキュリティーの詳細については、『Solaris のシステム管理 (ネーミングとディレクトリサービス : NIS+ 編)』を参照してください。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
次の行を /etc/nsswitch.conf ファイルに追加します。
publickey: nisplus
# nisinit -cH hostname
hostname は、そのテーブルにクライアントシステム用のエントリを持つ、信頼されている NIS+ サーバー名です。
次のコマンドを入力します。
# nisaddcred local # nisaddcred des
パスワードを求めるプロンプトが出力されたら、この手順は成功です。
# keylogin Password:
例 16-1 NIS+ クライアント上で root の新しい鍵を設定する
次の例は、ホスト pluto を使用して、earth を NIS+ クライアントとして設定しています。警告は無視できます。keylogin コマンドが受け付けられて、earth がセキュリティー保護された NIS+ クライアントとして正しく設定されていることを確認しています。
# nisinit -cH pluto NIS Server/Client setup utility. This system is in the example.com. directory. Setting up NIS+ client ... All done. # nisaddcred local # nisaddcred des DES principal name : unix.earth@example.com Adding new key for unix.earth@example.com (earth.example.com.) Network password:<Type password> Warning, password differs from login password. Retype password: <Retype password> # keylogin Password: <Type password> #
この手順は、NIS+ ドメインのすべてのユーザーで実行します。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
次のコマンドを入力します。
# nisaddcred -p unix.UID@domain-name -P username.domain-name. des
この場合、username.domain-name の終わりにピリオド (.) を付けてください。
例 16-2 NIS+ ユーザー用の新しい鍵を設定する
次の例では、Diffie-Hellman 認証用の鍵をユーザー jdoe に与えます。
# nisaddcred -p unix.1234@example.com -P jdoe.example.com. des DES principal name : unix.1234@example.com Adding new key for unix.1234@example.com (jdoe.example.com.) Password: <Type password> Retype password:<Retype password> # rlogin rootmaster -l jdoe % keylogin Password: <Type password> %
この手順は、NIS ドメインのすべてのホストで実行します。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
次の行を /etc/nsswitch.conf ファイルに追加します。
publickey: nis
# newkey -h hostname
hostname は、クライアント名です。
例 16-3 NIS クライアント上で root の新しい鍵を設定する
次の例では、earth をセキュリティー保護された NIS クライアントとして設定します。
# newkey -h earth Adding new key for unix.earth@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
この手順は、NIS ドメインの各ユーザーに対して実行します。
始める前に
システム管理者だけが NIS マスターサーバーにログインしたときに、ユーザーの新しい鍵を作成できます。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
# newkey -u username
username はユーザー名です。システムはパスワードを求めるプロンプトを出します。汎用パスワードを入力できます。非公開鍵は、汎用パスワードを使用して暗号化されて格納されます。
このコマンドでは、そのユーザーは自分だけが知っているパスワードを使用して、自分の非公開鍵を暗号化し直すことができます。
注 - chkey コマンドを使用すると、新しい鍵のペアをユーザーに作成できます。
例 16-4 NIS で新しいユーザー鍵を設定して暗号化する
この例では、スーパーユーザーが鍵を設定します。
# newkey -u jdoe Adding new key for unix.12345@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
次に、ユーザー jdoe が非公開パスワードで鍵を再暗号化します。
% chkey -p Updating nis publickey database. Reencrypting key for unix.12345@example.com Please enter the Secure-RPC password for jdoe:<Type password> Please enter the login password for jdoe: <Type password> Sending key change request to centralexample...
この手順では、アクセスに対する認証を要求することにより、NFS サーバー上で共有されているファイルシステムを保護します。
始める前に
Diffie-Hellman の公開鍵認証がネットワークで有効である必要があります。ネットワークで認証を有効にするには、次のいずれかを行います。
System Administrator 役割には、File System Management プロファイルが含まれます。役割を作成してユーザーに役割を割り当てる場合は、「RBAC の構成 (作業マップ)」 を参照してください。
# share -F nfs -o sec=dh /filesystem
filesystem は、共有されているファイルシステムです。
-o sec=dh オプションは、ファイルシステムにアクセスするために AUTH_DH 認証が必要になるということです。
# mount -F nfs -o sec=dh server:filesystem mount-point
filesystem を共有しているシステムの名前です
/opt など、共有されているファイルシステムの名前です
/opt など、マウントポイントの名前です
-o sec=dh オプションにより、AUTH_DH 認証を使ってファイルシステムがマウントされます。