跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:网络服务 Oracle Solaris 11 Information Library (简体中文) |
要使用安全 NFS 系统,您负责的所有计算机都必须具有域名。域是一个管理实体,通常包含多台计算机,它是大型网络的一部分。如果运行的是名称服务,则还应为域建立名称服务。请参见《Oracle Solaris Administration: Naming and Directory Services》。
NFS 服务支持 Kerberos V5 验证。《Oracle Solaris 管理:安全服务》中的第 19 章 "Kerberos 服务介绍"介绍了 Kerberos 服务。
还可以配置安全 NFS 环境,以使用 Diffie-Hellman 验证。《Oracle Solaris 管理:安全服务》中的第 14 章 "网络服务验证(任务)"介绍了此验证服务。
使用 newkey 或 nisaddcred 命令。使每个用户使用 chkey 命令建立其各自的安全 RPC 口令。
生成公钥和私钥后,公钥和加密的私钥存储在 publickey 数据库中。
例如:
如果运行的是 NIS,请验证 ypbind 守护进程是否正在运行。
键入以下命令。
# ps -ef | grep keyserv root 100 1 16 Apr 11 ? 0:00 /usr/sbin/keyserv root 2215 2211 5 09:57:28 pts/0 0:00 grep keyserv
如果守护进程未运行,请键入以下命令启动密钥服务器:
# /usr/sbin/keyserv
通常,登录口令与网络口令相同。在这种情况下,不需要 keylogin。如果口令不同,则用户必须登录,然后运行 keylogin。您仍然需要以 root 身份使用 keylogin -r 命令,将已解密的私钥存储在 /etc/.rootkey 中。
注 - 如果 root 私钥发生更改或如果 /etc/.rootkey 丢失,则需要运行 keylogin -r。
对于 Diffie-Hellman 验证,请将 sec=dh 选项添加到命令行。
# share -F nfs -o sec=dh /export/home
有关安全模式的更多信息,请参见 nfssec(5) 手册页。
对于 Diffie-Hellman 验证,请编辑 auto_master 数据以在相应的项中将 sec=dh 包括为挂载选项:
/home auto_home -nosuid,sec=dh
当您重新安装、移动或升级计算机时,如果没有为 root 新建密钥或更改密钥,请切记保存 /etc/.rootkey。如果确实删除了 /etc/.rootkey,则可以始终键入以下内容:
# keylogin -r