Configuration d'un environnement NFS sécurisé avec l'authentification DH

1. Attribuez un nom de domaine.

   Indiquez - le à tous les système du domaine. Pour plus d'informations sur la configuration du nom de domaine NIS d'une machine, reportez-vous à la section Définition d’un nom de domaine NIS de machine du manuel Utilisation des services de noms et d’annuaire Oracle Solaris 11.2 : DNS et NIS .

   # domainname domain-name

2. Etablissez les clés publiques et les clés secrètes pour les utilisateurs de vos clients à l'aide de la commande newkey.

   # newkey -u username -s name-service
     

   RPC sécurisé peut établir personnelles des utilisateurs les mots de passe à l'aide de la commande chkey.

   # chkey -p -s name-service -m mechanism
     

   Une fois les clés publiques et les clés secrètes générées, les clés publiques et les clés secrètes chiffrées sont stockées dans la base de données publickey.

   Pour plus d'informations sur ces commandes, reportez-vous aux pages de manuel newkey(1M) et chkey(1).

3. Vérifiez que le service de noms répond.

   Ainsi,

   • Si vous exécutez NIS, vérifiez que le démon ypbind est en cours d'exécution. Pour plus d'informations, reportez-vous à la section ypbind n’est pas en cours d’exécution sur un client du manuel Utilisation des services de noms et d’annuaire Oracle Solaris 11.2 : DNS et NIS .

   • Si vous exécutez, LDAP, assurez-vous que le démon ldap_cachemgr est en cours d'exécution. Pour plus d'informations, voir Contrôle de l’état du client LDAP du manuel Utilisation des services de noms et d’annuaire Oracle Solaris 11.2 : LDAP .

4. Vérifiez que le démon keyserv du serveur de clé est en cours d'exécution.

   # ps -ef | grep keyserv
   root    100      1  16    Apr 11 ?        0:00 /usr/sbin/keyserv
   root   2215   2211   5  09:57:28 pts/0    0:00 grep keyserv

   Si le démon n'est pas en cours d'exécution, tapez les commandes suivantes pour démarrez le serveur de clés, procédez comme suit :

   # svcadm enable network/rpc/keyserv

5. Déchiffrez et stockez la clé secrète.

   En général, le mot de passe de connexion est identique au mot de passe réseau. Dans cette situation, keylogin n'est pas nécessaire. Si les mots de passe sont différents, les utilisateurs doivent se connecter, puis exécuter keylogin. Vous avez toujours besoin d'utiliser la commande keylogin -r en tant que root pour stocker la clé secrète déchiffrée dans /etc/.rootkey.

   ---

   Remarque -  Vous devez exécuter keylogin -r si la clé secrète root est modifiée ou si le fichier /etc/.rootkey est perdu.

   ---

6. Définissez le mode de sécurité pour le système de fichiers à partager.

   Pour l'authentification Diffie-Hellman, ajoutez l'option –sec=dh à la ligne de commande.

   # share -F nfs -o sec=dh /export/home

   Pour plus d'informations sur les modes de sécurité, reportez-vous à la page de manuel nfssec(5).

7. Mettez à jour les mappes de montage automatique pour le système de fichiers.

   Si vous utilisez l'authentification Diffie-Hellman, modifiez les données auto_master de manière à inclure –sec = dh en tant qu'option de montage dans les entrées appropriées.

   /home	auto_home	-nosuid,sec=dh

   Lorsque vous réinstallez, déplacez ou mettez à niveau un système, n'oubliez pas d'enregistrer /etc/.rootkey si vous ne définissez pas de nouvelles clés ou modifiez les clés pour root. Si vous supprimez le fichier /etc/.rootkey, tapez la commande suivante :

   # keylogin -r