NFS-Authentifizierung und Verschlüsselungsoptionen

NFS Shares werden standardmäßig mit AUTH_SYS RPC-Authentifizierung zugewiesen. Sie können sie auch zur Freigabe mit Kerberos-Sicherheit konfigurieren. Mit der AUTH_SYS-Authentifizierung werden die UNIX UID und GID des Clients ohne Authentifizierung vom NFS-Server an das Netzwerk übergeben. Dieser Authentifizierungsmechanismus kann auf einem Client leicht durch jeden Benutzer mit Root-Zugriff ausgehoben werden. Es ist daher besser, einen der anderen verfügbaren Sicherheitsmodi zu verwenden.

Zusätzliche Zugriffskontrollen können für jedes Share einzeln angegeben werden, um Zugriff auf die Shares für bestimmte Hosts, DNS-Domänen oder Netzwerke zu erteilen bzw. zu verweigern.

Sicherheitsmodi

Sicherheitsmodi werden für jedes Share einzeln festgelegt. In der folgenden Liste werden die verfügbaren Kerberos-Sicherheitseinstellungen beschrieben.

• krb5 - Endbenutzerauthentifizierung über Kerberos V5

• krb5i - krb5 plus Integritätsschutz (Datenpakete sind vor Manipulation geschützt)

• krb5p - krb5i plus Datenschutz (Datenpakete sind vor Manipulation geschützt und verschlüsselt)

In der Sicherheitsmoduseinstellung können auch Kombinationen verschiedener Kerberos-Typen angegeben werden. Mit den kombinierten Sicherheitsmodi können Clients mit beliebigen der aufgeführten Kerberos-Typen gemountet werden.

Kerberos-Typen

• sys - Systemauthentifizierung

• krb5 - nur Kerberos v5, Clients müssen mit diesem Typ mounten.

• krb5:krb5i - Kerberos v5, mit Integrität, Clients können mit beliebigen der aufgelisteten Typen mounten.

• krb5i - nur Kerberos v5-Integrität, Clients müssen mit diesem Typ mounten.

• krb5:krb5i:krb5p - Kerberos v5, mit Integrität oder Datenschutz, Clients können mit beliebigen der aufgelisteten Typen mounten.

• krb5p - nur Kerberos v5-Datenschutz, Clients müssen mit diesem Typ mounten.