Configuration des serveurs NFS Kerberos

Cette procédure utilise les paramètres de configuration ci-dessous :

• Nom de domaine = EXAMPLE.COM

• Nom de domaine DNS = example.com

• Serveur NFS = denver.example.com

• admin principal = kws/admin

Avant de commencer

Vous devez prendre le rôle root sur le serveur NFS. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Le KDC maître est configuré. Les horloges sont synchronisées, comme décrit dans la section Synchronisation des horloges entre les KDC et les clients Kerberos. Pour tester complètement le processus, vous avez besoin de plusieurs clients.

1. Configurez le serveur NFS en tant que client Kerberos.

   Suivez les instructions de la section Configuration des clients Kerberos.

2. Ajoutez le principal de service NFS.

   Utilisez la commande kadmin.

   denver # /usr/sbin/kadmin -p kws/admin
   Enter password: xxxxxxxx
   kadmin: 

   1. Créez le principal de service NFS.

      Notez que lorsque l'instance de principal est un nom d'hôte, le nom de domaine complet (FQDN) doit être spécifié en minuscules, quelle que soit la casse du nom de domaine dans le service de noms.

      Répétez cette étape pour chaque interface unique sur le système susceptible d'être utilisée pour accéder aux données NFS. Si un hôte possède plusieurs interfaces avec des noms uniques, chaque nom unique doit avoir son propre principal de service NFS.

      kadmin: addprinc -randkey nfs/denver.example.com
      Principal "nfs/denver.example.com" created.
      kadmin:

   2. Ajoutez le principal de service du serveur NFS au fichier keytab du serveur.

      Répétez cette étape pour chaque principal de service unique créé dans Step a.

      kadmin: ktadd nfs/denver.example.com
      Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-256 CTS mode
      with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode
      with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc
      mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
      kadmin:

   3. Quitter kadmin.

      kadmin: quit

3. Créez les mappages d'informations d'identification GSS spéciaux, si nécessaire.

   Normalement, le service Kerberos génère des mappages appropriés entre les informations d'identification GSS et les UID UNIX. Le mappage par défaut est décrit dans la section Mappage d'informations d'identification GSS avec des informations d'identification UNIX. Si le mappage par défaut est insuffisant, reportez-vous à la section Création et modification d'une table d'informations d'identification pour plus d'informations.

4. Partagez le système de fichiers NFS avec les modes de sécurité Kerberos.

   Pour plus d'informations, reportez-vous à la section Configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité Kerberos.