Este procedimiento permite que un servidor NFS proporcione acceso seguro al NFS mediante varios modos de seguridad. Cuando un cliente negocia un modo de seguridad con el servidor NFS, el cliente utiliza el primer modo ofrecido por el servidor. Este modo se utiliza para todas las solicitudes de cliente posteriores del sistema de archivos compartidas por dicho servidor.
Antes de empezar
Debe asumir el rol root en el servidor NFS. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
El comando klist informa si hay un archivo keytab y muestra los principales. Si los resultados muestran que no existe ningún archivo keytab o que no existe ningún principal de servicio NFS, debe verificar que se hayan completado todos los pasos en Cómo configurar servidores NFS con Kerberos.
# klist -k Keytab name: FILE:/etc/krb5/krb5.keytab KVNO Principal ---- --------------------------------------------------------- 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM
Para obtener más información, consulte la página del comando man klist(1).
En el archivo /etc/nfssec.conf, elimine el símbolo “#” que comenta los modos de seguridad de Kerberos.
# pfedit /etc/nfssec.conf . . # # Uncomment the following lines to use Kerberos V5 with NFS # krb5 390003 kerberos_v5 default - # RPCSEC_GSS krb5i 390004 kerberos_v5 default integrity # RPCSEC_GSS krb5p 390005 kerberos_v5 default privacy # RPCSEC_GSS
share -F nfs -o sec=mode file-system
Especifica los modos de seguridad que se utilizarán al compartir el sistema de archivos. Cuando se utilizan varios modos de seguridad, el primero en la lista se utiliza de manera predeterminada.
Define la ruta al sistema de archivos que se va a compartir.
Todos los clientes que intentan acceder a los archivos desde el sistema de archivos especificado requieren autenticación Kerberos. Para acceder a los archivos, el principal de usuario en el cliente NFS debe autenticarse.
No realice este procedimiento si el modo de seguridad predeterminado es aceptable.
file-system auto_home -nosuid,sec=mode
# mount -F nfs -o sec=mode file-system
En este ejemplo, la autenticación con el modo de seguridad krb5 debe realizarse correctamente antes de poder acceder a los archivos mediante el servicio NFS.
# share -F nfs -o sec=krb5 /export/homeEjemplo 4-12 Uso compartido de un sistema de archivos con varios modos de seguridad de Kerberos
En este ejemplo, los tres modos de seguridad de Kerberos se han seleccionado. El modo que se utiliza se negocia entre el cliente y el servidor NFS. Si falla el primer modo en el comando, se intenta con el siguiente. Para obtener más información, consulte la página del comando man nfssec(5).
# share -F nfs -o sec=krb5:krb5i:krb5p /export/home