Opções de Criptografia e Autenticação NFS

Por padrão, os compartilhamentos NFS são alocados com a autenticação AUTH_SYS RPC. Também é possível configurá-los para serem compartilhados com a segurança Kerberos. Com a autenticação AUTH_SYS, o uid e o gid UNIX do cliente são enviados não autenticados pelo servidor NFS na rede. Como esse mecanismo de autenticação é facilmente violado por qualquer pessoa com acesso de root em um cliente, é preferível usar um dos outros modos de segurança disponíveis.

Controles de acesso adicionais podem ser especificados para cada compartilhamento a fim de permitir ou negar acesso aos compartilhamentos em redes, domínios DNS ou hosts específicos.

Modos de Segurança

Os modos de segurança são definidos por compartilhamento. A lista a seguir descreve as configurações de segurança Kerberos disponíveis.

• krb5 - Autenticação do usuário final por meio do Kerberos V5

• krb5i - krb5 mais proteção de integridade (os pacotes de dados são à prova de adulteração)

• krb5p - krb5i mais proteção de privacidade (os pacotes de dados são à prova de adulteração e criptografados)

Combinações de tipos de Kerberos também podem ser especificadas na configuração do modo de segurança. A combinação dos modos de segurança permite que os clientes usem todos os tipos de Kerberos listados.

Tipos de Kerberos

• sys - Autenticação do Sistema

• krb5 - Somente Kerberos v5, os clientes devem usar este tipo na combinação selecionada.

• krb5:krb5i - Kerberos v5, com integridade; os clientes devem usar qualquer tipo listado na combinação selecionada.

• krb5i - Kerberos v5, somente integridade; os clientes devem usar este tipo na combinação selecionada.

• krb5:krb5i:krb5p - Kerberos v5, com integridade ou privacidade; os clientes podem usar qualquer tipo listado na combinação selecionada.

• krb5p - Kerberos v5, somente privacidade, os clientes devem usar este tipo na combinação selecionada.