Secure RPC による認証の管理 (手順)

マウントされた NFS ファイルシステムの使用に対する認証を要求することにより、ネットワークのセキュリティーが増します。

Secure RPC キーサーバーを再起動する方法

Primary Administrator 役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

keyserv デーモンが動作していることを検証します。

# svcs \*keyserv\*
STATE    STIME   FMRI
disabled Dec_14  svc:/network/rpc/keyserv

キーサーバーサービスがオンラインになっていない場合は、サービスを有効にします。
```
# svcadm enable network/rpc/keyserv
```

NIS+ ホストに Diffie-Hellman 鍵を設定する方法

この手順は、NIS+ ドメインのすべてのホストで実行します。root が keylogin コマンドを実行すると、サーバーはmech_dhに対して GSS-API のアクセプタの資格をもち、クライアントは GSS-API のイニシエータの資格を持ちます。

NIS+ セキュリティーの詳細については、『Solaris のシステム管理 (ネーミングとディレクトリサービス : NIS+ 編)』を参照してください。

Primary Administrator 役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
ネームサービスの publickey テーブルを有効にします。
次の行を /etc/nsswitch.conf ファイルに追加します。
```
publickey: nisplus
```
NIS+ クライアントを起動します。
```
# nisinit -cH hostname
```
hostname は、そのテーブルにクライアントシステム用のエントリを持つ、信頼されている NIS+ サーバー名です。
クライアントを cred テーブルに追加します。
次のコマンドを入力します。
```
# nisaddcred local
# nisaddcred des
```
keylogin コマンドを使用して、設定を確認します。
パスワードを求めるプロンプトが出力されたら、この手順は成功です。
```
# keylogin
Password:
```

例 16-1 NIS+ クライアント上で root の新しい鍵を設定する

次の例は、ホスト pluto を使用して、earth を NIS+ クライアントとして設定しています。警告は無視できます。keylogin コマンドが受け付けられて、earth がセキュリティー保護された NIS+ クライアントとして正しく設定されていることを確認しています。

# nisinit -cH pluto
NIS Server/Client setup utility.
This system is in the example.com. directory.
Setting up NIS+ client ...
All done.
# nisaddcred local
# nisaddcred des 
DES principal name : unix.earth@example.com
Adding new key for unix.earth@example.com (earth.example.com.)
Network password:<Type password>
Warning, password differs from login password.
Retype password: <Retype password>
# keylogin
Password:        <Type password>
#

NIS+ ユーザーに Diffie-Hellman 鍵を設定する方法

この手順は、NIS+ ドメインのすべてのユーザーで実行します。

Primary Administrator 役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
ユーザーをルートマスターサーバー上の cred テーブルに追加します。
次のコマンドを入力します。
```
# nisaddcred -p unix.UID@domain-name -P username.domain-name. des
```
この場合、username.domain-name の終わりにピリオド (.) を付けてください。
クライアントとしてログインし、keylogin コマンドを入力して、設定を確認します。

例 16-2 NIS+ ユーザー用の新しい鍵を設定する

次の例では、Diffie-Hellman 認証用の鍵をユーザー jdoe に与えます。

# nisaddcred -p unix.1234@example.com -P jdoe.example.com. des
DES principal name : unix.1234@example.com
Adding new key for unix.1234@example.com (jdoe.example.com.)
Password:       <Type password>
Retype password:<Retype password>
# rlogin rootmaster -l jdoe
% keylogin
Password:       <Type password>
%

NIS ホストに Diffie-Hellman 鍵を設定する方法

この手順は、NIS ドメインのすべてのホストで実行します。

Primary Administrator 役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
ネームサービスの publickey マップを有効にします。
次の行を /etc/nsswitch.conf ファイルに追加します。
```
publickey: nis
```
newkey コマンドを使用して、新しい鍵のペアを作成します。
```
# newkey -h hostname
```
hostname は、クライアント名です。

例 16-3 NIS クライアント上で root の新しい鍵を設定する

次の例では、earth をセキュリティー保護された NIS クライアントとして設定します。

# newkey -h earth
Adding new key for unix.earth@example.com
New Password:   <Type password>
Retype password:<Retype password>
Please wait for the database to get updated...
Your new key has been successfully stored away.
#

NIS ユーザーに Diffie-Hellman 鍵を設定する方法

この手順は、NIS ドメインの各ユーザーに対して実行します。

始める前に

システム管理者だけが NIS マスターサーバーにログインしたときに、ユーザーの新しい鍵を作成できます。

Primary Administrator 役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
ユーザーの新しい鍵を作成します。
```
# newkey -u username
```
username はユーザー名です。システムはパスワードを求めるプロンプトを出します。汎用パスワードを入力できます。非公開鍵は、汎用パスワードを使用して暗号化されて格納されます。
ユーザーに、ログインして chkey -p コマンドを入力するように伝えます。
このコマンドでは、そのユーザーは自分だけが知っているパスワードを使用して、自分の非公開鍵を暗号化し直すことができます。

注 - chkey コマンドを使用すると、新しい鍵のペアをユーザーに作成できます。

例 16-4 NIS で新しいユーザー鍵を設定して暗号化する

この例では、スーパーユーザーが鍵を設定します。

# newkey -u jdoe
Adding new key for unix.12345@example.com
New Password:   <Type password>
Retype password:<Retype password>
Please wait for the database to get updated...
Your new key has been successfully stored away.
#

次に、ユーザー jdoe が非公開パスワードで鍵を再暗号化します。

% chkey -p
Updating nis publickey database.
Reencrypting key for unix.12345@example.com
Please enter the Secure-RPC password for jdoe:<Type password>
Please enter the login password for jdoe:     <Type password>
Sending key change request to centralexample...

Diffie-Hellman 認証で NFS ファイルを共有する方法

この手順では、アクセスに対する認証を要求することにより、NFS サーバー上で共有されているファイルシステムを保護します。

始める前に

Diffie-Hellman の公開鍵認証がネットワークで有効である必要があります。ネットワークで認証を有効にするには、次のいずれかを行います。

「NIS+ ホストに Diffie-Hellman 鍵を設定する方法」
「NIS ホストに Diffie-Hellman 鍵を設定する方法」

スーパーユーザーになるか、File System Management プロファイルを含む役割を引き受けます。
System Administrator 役割には、File System Management プロファイルが含まれます。役割を作成してユーザーに役割を割り当てる場合は、「RBAC の構成 (作業マップ)」を参照してください。
NFS サーバーで、 Diffie-Hellman 認証でファイルシステムを共有します。
```
# share -F nfs -o sec=dh /filesystem
```
filesystem は、共有されているファイルシステムです。
-o sec=dh オプションは、ファイルシステムにアクセスするために AUTH_DH 認証が必要になるということです。
NFS クライアントで、Diffie-Hellman 認証でファイルシステムをマウントします。
```
# mount -F nfs -o sec=dh server:filesystem mount-point
```
server

filesystem を共有しているシステムの名前です

filesystem

/opt など、共有されているファイルシステムの名前です

mount-point

/opt など、マウントポイントの名前です

-o sec=dh オプションにより、AUTH_DH 認証を使ってファイルシステムがマウントされます。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Solaris のシステム管理 (セキュリティサービス) Oracle Solaris 10 8/11 Information Library (日本語)