Opzioni di autenticazione e cifratura NFS

Per impostazione predefinita, le condivisioni NFS vengono allocate con l'autenticazione RPC AUTH_SYS. È anche possibile configurarle per essere condivise con la sicurezza Kerberos. Utilizzando l'autenticazione AUTH_SYS, gli UID e GID UNIX del client vengono trasmessi senza autenticazione sulla rete dal server NFS. Poiché questo meccanismo di autenticazione può essere facilmente aggirato da qualsiasi utente con accesso root a un client, è preferibile utilizzare una delle altre modalità di sicurezza disponibili.

È possibile specificare ulteriori controlli dell'accesso per ciascuna condivisione in modo da consentire o negare l'accesso alle condivisioni per host, domini DNS o reti specifiche.

Modalità di sicurezza

Le modalità di sicurezza vengono impostate per ciascuna condivisione. Nell'elenco riportato di seguito vengono descritte le impostazioni disponibili per la sicurezza Kerberos.

• krb5 - autenticazione dell'utente finale tramite Kerberos V5.

• krb5i - krb5 con l'aggiunta della protezione dell'integrità (i pacchetti dati sono a prova di manomissione).

• krb5p - krb5i con l'aggiunta della protezione della privacy (i pacchetti dati sono a prova di manomissione e cifrati).

Nell'impostazione della modalità di sicurezza è anche possibile specificare combinazioni di tipi Kerberos. Le modalità di sicurezza combinate consentono l'attivazione dei client con qualsiasi tipo Kerberos elencato.

Tipi Kerberos

• sys - autenticazione del sistema.

• krb5 - solo Kerberos v5, i client devono essere attivati utilizzando questo tipo.

• krb5:krb5i - Kerberos v5, con integrità, i client possono essere attivati utilizzando qualsiasi tipo elencato.

• krb5i - solo integrità di Kerberos v5, i client devono essere attivati utilizzando questo tipo.

• krb5:krb5i:krb5p - Kerberos v5, con integrità o privacy, i client possono essere attivati utilizzando qualsiasi tipo elencati.

• krb5p - solo privacy di Kerberos v5, i client devono essere attivati utilizzando questo tipo.