Cómo configurar un entorno NFS seguro con autenticación DH

1. Asigne un nombre de dominio.

   Haga que el nombre de dominio sea conocido para cada sistema del dominio. Para obtener información acerca de cómo configurar un nombre de dominio NIS de una máquina, consulte Cómo establecer un nombre de dominio NIS de una máquina de Trabajo con servicios de nombres y de directorio en Oracle Solaris 11.2: DNS y NIS .

   # domainname domain-name

2. Establezca claves públicas y claves secretas para los usuarios de sus clientes utilizando el comando newkey.

   # newkey -u username -s name-service
     

   Los usuarios pueden establecer contraseñas de RPC personales seguras utilizando con el comando chkey.

   # chkey -p -s name-service -m mechanism
     

   Una vez generadas, las claves públicas y las claves secretas encriptadas, se almacenan en la base de datos publickey.

   Para obtener información sobre estos comandos, consulte newkey(1M) y las páginas del comando man chkey(1).

3. Verifique que el servicio de nombres responda.

   Por ejemplo:

   • Si ejecuta NIS, verifique que el daemon ypbind esté en ejecución. Para obtener más información, consulte ypbind no se ejecuta en el cliente de Trabajo con servicios de nombres y de directorio en Oracle Solaris 11.2: DNS y NIS

   • Si está ejecutando LDAP, verifique que se esté ejecutando el daemon ldap_cachemgr. Para obtener más información, consulte Supervisión del estado de los cliente LDAP de Trabajo con servicios de nombres y de directorio en Oracle Solaris 11.2: LDAP .

4. Verifique que el daemon keyserv del servidor clave esté en ejecución.

   # ps -ef | grep keyserv
   root    100      1  16    Apr 11 ?        0:00 /usr/sbin/keyserv
   root   2215   2211   5  09:57:28 pts/0    0:00 grep keyserv

   Si el daemon no se está ejecutando, escriba lo siguiente para iniciar el servidor de claves:

   # svcadm enable network/rpc/keyserv

5. Descifre y almacene la clave secreta.

   Normalmente, la contraseña de inicio de sesión es idéntica a la contraseña de red. En esta situación, keylogin no es necesario. Si las contraseñas son distintas, los usuarios tienen que iniciar sesión y, a continuación, ejecutar keylogin. Aún necesita utilizar el comando keylogin -r como root para almacenar la clave secreta descifrada en /etc/.rootkey.

   ---

   Notas -  Debe ejecutar keylogin -r si la clave secreta raíz cambia o si /etc/.rootkey se pierde.

   ---

6. Determine el modo de seguridad para el sistema de archivos que compartirá.

   Para la autenticación Diffie-Hellman, agregue la opción –sec=dh a la línea de comandos.

   # share -F nfs -o sec=dh /export/home

   Para obtener más información, consulte la página del comando man nfssec(5).

7. Actualice los mapas de montador automático para el sistema de archivos.

   Si utiliza autenticación Diffie-Hellman , edite los datos auto_master para incluir –sec=dh como una opción de montaje en las entradas apropiadas.

   /home	auto_home	-nosuid,sec=dh

   Cuando reinstale, mueva o actualice un sistema, recuerde de guardar el archivo /etc/.rootkey si no establece nuevas claves o modifica las claves para root. Si suprime el archivo /etc/.rootkey, escriba el siguiente comando:

   # keylogin -r