Configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité Kerberos

Cette procédure permet d'activer dans le but de sécuriser un serveur NFS, grâce aux différents modes de sécurité d'accès. Lorsqu'un client négocie une serveur le mode de sécurité, le client NFS utilise le premier mode proposée par le serveur. Ce mode est utilisé pour toutes les demandes de client suivantes du système de fichiers partagé par ce serveur.

Avant de commencer

Vous devez prendre le rôle root sur le serveur NFS. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

1. Vérifiez que le fichier keytab comporte un principal de service NFS.

   La commande klist signale s'il existe un fichier keytab et affiche les principaux. Si les résultats indiquent qu'aucun fichier keytab ou principal de service NFS n'existe, vous devez vérifier que toutes les étapes décrites à la section Configuration des serveurs NFS Kerberos ont bien été effectuées dans leur totalité.

   # klist -k
   Keytab name: FILE:/etc/krb5/krb5.keytab
   KVNO Principal
   ---- ---------------------------------------------------------
   3 nfs/denver.example.com@EXAMPLE.COM
   3 nfs/denver.example.com@EXAMPLE.COM
   3 nfs/denver.example.com@EXAMPLE.COM
   3 nfs/denver.example.com@EXAMPLE.COM

   Pour plus d'informations, reportez-vous à la page de manuel klist(1).

2. Activez les modes de sécurité Kerberos dans le fichier /etc/nfssec.conf.

   Dans le fichier/etc/nfssec.conf, supprimez le "#" qui met en commentaire les modes de sécurité Kerberos.

   # pfedit /etc/nfssec.conf
   .
   .
   #
   # Uncomment the following lines to use Kerberos V5 with NFS
   #
   krb5            390003  kerberos_v5     default -               # RPCSEC_GSS
   krb5i           390004  kerberos_v5     default integrity       # RPCSEC_GSS
   krb5p           390005  kerberos_v5     default privacy         # RPCSEC_GSS

3. Partagez les systèmes de fichiers avec les modes de sécurité appropriés.

   share -F nfs -o sec=mode file-system

   mode

   Spécifie les modes de sécurité à utiliser lors du partage du système de fichiers. Lorsque plusieurs modes de sécurité sont utilisés, le premier mode figurant dans la liste est utilisé comme valeur par défaut.

   file-system

   Définit le chemin d'accès au système de fichiers à partager.

   Tous les clients tentant d'accéder à des fichiers dans le système de fichiers nommé requièrent l'authentification Kerberos. Pour accéder aux fichiers, le principal d'utilisateur sur le client NFS doit être authentifié.

4. (Facultatif) Monter un système de fichiers à l'aide d'un mode de sécurité autre que la valeur par défaut.

   Vous ne devez pas suivre cette procédure si la valeur par défaut mode de sécurité est acceptable.

   • Si l'agent de montage automatique est en cours d'utilisation, modifiez la base de données auto_master pour saisir un mode de sécurité autre que le mode par défaut.

     file-system  auto_home  -nosuid,sec=mode

   • Emettez manuellement la commande mount pour accéder au système de fichiers à l'aide d'un autre mode que celui par défaut.

     # mount -F nfs -o sec=mode file-system

Exemple 4-11  Partage d'un système de fichiers avec un mode de sécurité Kerberos

Dans cet exemple, l'authentification avec le mode de sécurité krb5 doit être terminé pour que les fichiers puissent être accessibles via le service NFS.

# share -F nfs -o sec=krb5 /export/home

Exemple 4-12  Partage d'un système de fichiers avec plusieurs modes de sécurité Kerberos

Dans cet exemple, les trois modes de sécurité Kerberos ont été sélectionnés. Le mode utilisé est négocié entre le client et le serveur NFS. Si le premier mode dans la commande échoue, le mode suivant est essayé. Pour plus d'informations, reportez-vous à la page de manuel nfssec(5).

# share -F nfs -o sec=krb5:krb5i:krb5p /export/home