使用安全 RPC 管理验证（任务）

通过要求对已挂载 NFS 文件系统的使用进行验证，可以增强网络的安全性。

管理安全 RPC（任务列表）

以下任务列表列出了为 NIS 和 NFS 配置安全 RPC 的过程。

任务	说明	参考
1. 启动 keyserver。	确保可以创建密钥以对用户进行验证。	如何重新启动安全 RPC Keyserver
2. 在 NIS 主机上设置凭证。	确保主机上的 `root` 用户可以在 NIS 环境中进行验证。	如何为 NIS 主机设置 Diffie-Hellman 密钥
3. 为 NIS 用户提供密钥。	使用户可以在 NIS 环境中进行验证。	如何为 NIS 用户设置 Diffie-Hellman 密钥
4. 通过验证共享 NFS 文件。	使 NFS 服务器可以使用验证安全地保护共享的文件系统。	如何通过 Diffie-Hellman 验证共享 NFS 文件

如何重新启动安全 RPC Keyserver

开始之前

您必须承担 root 角色。有关更多信息，请参见如何使用指定给您的管理权限。

验证 keyserv 守护进程是否正在运行。

# svcs \*keyserv\*
STATE    STIME   FMRI
disabled Dec_14  svc:/network/rpc/keyserv

如果 keyserver 服务未联机，则启用该服务。
```
# svcadm enable network/rpc/keyserv
```

如何为 NIS 主机设置 Diffie-Hellman 密钥

应该针对 NIS 域中的每个主机执行此过程。

开始之前

您必须承担 root 角色。有关更多信息，请参见如何使用指定给您的管理权限。

如果缺省命名服务不是 NIS，则将 publickey 映射添加到命名服务。

确认命名服务的 config/default 值不是 nis。

# svccfg -s name-service/switch listprop config
config                       application
config/value_authorization   astring       solaris.smf.value.name-service.switch
config/default               astring       files
config/host                  astring       "files nis dns"
config/printer               astring       "user files nis"

如果 config/default 值为 nis，您可以在此处停止。

将 publickey 的命名服务设置为 nis。

# svccfg
# svccfg -s name-service/switch setprop config/publickey = astring: "nis"
# svccfg -s name-service/switch:default refresh

确认 publickey 值。

# svccfg
# svccfg -s name-service/switch listprop
config                       application
config/value_authorization   astring       solaris.smf.value.name-service.switch
config/default               astring       files
config/host                  astring       "files nis dns"
config/printer               astring       "user files nis"
config/publickey             astring       nis

在此系统上，列出 publickey 的值，因为它不同于缺省值 files。

使用 newkey 命令创建一个新密钥对。
```
# newkey -h hostname
```
其中，hostname 是客户机的名称。

示例 18-1 在 NIS 客户机上为 root 设置新密钥

在以下示例中，将 earth 设置成了安全 NIS 客户机。为管理员分配了 "Name Service Security"（名称服务安全）权限配置文件。

# newkey -h earth
Adding new key for unix.earth@example.com
New Password:   <Type password>
Retype password:<Retype password>
Please wait for the database to get updated...
Your new key has been successfully stored away.
#

如何为 NIS 用户设置 Diffie-Hellman 密钥

应该针对 NIS 域中的每个用户执行此过程。

开始之前

只有已登录到 NIS 主服务器的系统管理员才能为用户生成新密钥。必须为管理员分配 "Name Service Security"（名称服务安全）权限配置文件。

成为具有所需安全属性的管理员。
有关更多信息，请参见如何使用指定给您的管理权限。
为用户创建新密钥。
```
# newkey -u username
```
其中，username 是用户的名称。系统将提示键入口令。您可以键入通用口令。私钥是使用此通用口令以加密形式存储的。
通知用户登录并键入 chkey -p 命令。
此命令允许用户使用只有本人知道的口令重新加密其私钥。

注 - 可以使用 chkey 命令为用户创建新密钥对。

示例 18-2 在 NIS 中设置并加密新用户密钥

在此示例中，超级用户将设置密钥。

# newkey -u jdoe
Adding new key for unix.12345@example.com
New Password:   <Type password>
Retype password:<Retype password>
Please wait for the database to get updated...
Your new key has been successfully stored away.
#

然后，用户 jdoe 使用专用口令对该密钥进行重新加密。

% chkey -p
Updating nis publickey database.
Reencrypting key for unix.12345@example.com
Please enter the Secure-RPC password for jdoe:<Type password>
Please enter the login password for jdoe:     <Type password>
Sending key change request to centralexample...

如何通过 Diffie-Hellman 验证共享 NFS 文件

此过程通过要求访问验证来保护 NFS 服务器上的共享文件系统。

开始之前

必须在网络中启用 Diffie-Hellman 公钥验证。要启用网络验证，请完成如何为 NIS 主机设置 Diffie-Hellman 密钥中的步骤。

您必须是指定有 System Management（系统管理）权限配置文件的管理员才能执行此任务。有关更多信息，请参见如何使用指定给您的管理权限。

在 NFS 服务器上，通过 Diffie-Hellman 验证共享文件系统。
```
# share -F nfs -o sec=dh /filesystem
```
其中，filesystem 是共享的文件系统。
-o sec=dh 选项表示现在需要通过 AUTH_DH 验证后才能访问文件系统。
在 NFS 客户机上，通过 Diffie-Hellman 验证挂载文件系统。
```
# mount -F nfs -o sec=dh server:filesystem mount-point
```
server

共享 filesystem 的系统的名称

filesystem

共享的文件系统的名称，如 opt

mount-point

挂载点的名称，例如 /opt

-o sec=dh 选项通过 AUTH_DH 验证挂载文件系统。

跳过导航链接
退出打印视图
	Oracle Solaris 11.1 管理：安全服务 Oracle Solaris 11.1 Information Library (简体中文)