ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris の管理: セキュリティーサービス Oracle Solaris 11 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
マウントされた NFS ファイルシステムの使用に対する認証を要求することにより、ネットワークのセキュリティーが増します。
次のタスクマップは、NIS および NFS 用に Secure RPC を構成するための手順を示しています。
|
始める前に
root 役割になっている必要があります。
# svcs \*keyserv\* STATE STIME FMRI disabled Dec_14 svc:/network/rpc/keyserv
# svcadm enable network/rpc/keyserv
この手順は、NIS ドメインのすべてのホストで実行します。
始める前に
root 役割になっている必要があります。
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files config/host astring "files nis dns" config/printer astring "user files nis"
config/default の値が nis である場合は、ここで停止できます。
# svccfg # svccfg -s name-service/switch setprop config/publickey = astring: "nis" # svccfg -s name-service/switch:default refresh
# svccfg # svccfg -s name-service/switch listprop config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files config/host astring "files nis dns" config/printer astring "user files nis" config/publickey astring nis
このシステムでは、publickey がデフォルトの files とは異なるため、その値が表示されます。
# newkey -h hostname
hostname は、クライアント名です。
例 14-1 NIS クライアント上で root の新しい鍵を設定する
次の例では、earth をセキュリティー保護された NIS クライアントとして設定します。管理者には、Name Service Security 権利プロファイルが割り当てられます。
# newkey -h earth Adding new key for unix.earth@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
この手順は、NIS ドメインの各ユーザーに対して実行します。
始める前に
システム管理者だけが NIS マスターサーバーにログインしたときに、ユーザーの新しい鍵を作成できます。管理者は、Name Service Security 権利プロファイルが割り当てられている必要があります。
詳細は、「管理権限を取得する方法」を参照してください。
# newkey -u username
username はユーザー名です。システムはパスワードを求めるプロンプトを出します。汎用パスワードを入力できます。非公開鍵は、汎用パスワードを使用して暗号化されて格納されます。
このコマンドでは、そのユーザーは自分だけが知っているパスワードを使用して、自分の非公開鍵を暗号化し直すことができます。
注 - chkey コマンドを使用すると、新しい鍵のペアをユーザーに作成できます。
例 14-2 NIS で新しいユーザー鍵を設定して暗号化する
この例では、スーパーユーザーが鍵を設定します。
# newkey -u jdoe Adding new key for unix.12345@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
次に、ユーザー jdoe が非公開パスワードで鍵を再暗号化します。
% chkey -p Updating nis publickey database. Reencrypting key for unix.12345@example.com Please enter the Secure-RPC password for jdoe:<Type password> Please enter the login password for jdoe: <Type password> Sending key change request to centralexample...
この手順では、アクセスに対する認証を要求することにより、NFS サーバー上で共有されているファイルシステムを保護します。
始める前に
Diffie-Hellman の公開鍵認証がネットワークで有効である必要があります。ネットワーク上で認証を有効にするには、「NIS ホストに Diffie-Hellman 鍵を設定する方法」を完了します。
このタスクを実行するには、System Management 権利プロファイルが割り当てられている必要があります。
詳細は、「管理権限を取得する方法」を参照してください。
# share -F nfs -o sec=dh /filesystem
filesystem は、共有されているファイルシステムです。
-o sec=dh オプションは、ファイルシステムにアクセスするために AUTH_DH 認証が必要になるということです。
# mount -F nfs -o sec=dh server:filesystem mount-point
filesystem を共有しているシステムの名前です
/opt など、共有されているファイルシステムの名前です
/opt など、マウントポイントの名前です
-o sec=dh オプションにより、AUTH_DH 認証を使ってファイルシステムがマウントされます。