Cómo configurar un entorno NFS seguro con varios modos de seguridad de Kerberos

Este procedimiento permite que un servidor NFS proporcione acceso seguro al NFS mediante varios modos de seguridad. Cuando un cliente negocia un modo de seguridad con el servidor NFS, el cliente utiliza el primer modo ofrecido por el servidor. Este modo se utiliza para todas las solicitudes de cliente posteriores del sistema de archivos compartidas por dicho servidor.

Antes de empezar

Debe asumir el rol root en el servidor NFS. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

1. Verifique que exista un principal de servicio NFS en el archivo keytab.

   El comando klist informa si hay un archivo keytab y muestra los principales. Si los resultados muestran que no existe ningún archivo keytab o que no existe ningún principal de servicio NFS, debe verificar que se hayan completado todos los pasos en Cómo configurar servidores NFS con Kerberos.

   # klist -k
   Keytab name: FILE:/etc/krb5/krb5.keytab
   KVNO Principal
   ---- ---------------------------------------------------------
   3 nfs/denver.example.com@EXAMPLE.COM
   3 nfs/denver.example.com@EXAMPLE.COM
   3 nfs/denver.example.com@EXAMPLE.COM
   3 nfs/denver.example.com@EXAMPLE.COM

   Para obtener más información, consulte la página del comando man klist(1).

2. Active los modos de seguridad de Kerberos en el archivo /etc/nfssec.conf.

   En el archivo /etc/nfssec.conf, elimine el símbolo “#” que comenta los modos de seguridad de Kerberos.

   # pfedit /etc/nfssec.conf
   .
   .
   #
   # Uncomment the following lines to use Kerberos V5 with NFS
   #
   krb5            390003  kerberos_v5     default -               # RPCSEC_GSS
   krb5i           390004  kerberos_v5     default integrity       # RPCSEC_GSS
   krb5p           390005  kerberos_v5     default privacy         # RPCSEC_GSS

3. Comparta los sistemas de archivos con los modos de seguridad apropiados.

   share -F nfs -o sec=mode file-system

   mode

   Especifica los modos de seguridad que se utilizarán al compartir el sistema de archivos. Cuando se utilizan varios modos de seguridad, el primero en la lista se utiliza de manera predeterminada.

   file-system

   Define la ruta al sistema de archivos que se va a compartir.

   Todos los clientes que intentan acceder a los archivos desde el sistema de archivos especificado requieren autenticación Kerberos. Para acceder a los archivos, el principal de usuario en el cliente NFS debe autenticarse.

4. (Opcional) Monte un sistema de archivos mediante un modo de seguridad distinto del predeterminado.

   No realice este procedimiento si el modo de seguridad predeterminado es aceptable.

   • Si el montador automático se está utilizando, edite la base de datos auto_master para introducir un modo de seguridad distinto del predeterminado.

     file-system  auto_home  -nosuid,sec=mode

   • Emita manualmente el comando mount para acceder al sistema de archivos mediante un modo que no esté predeterminado.

     # mount -F nfs -o sec=mode file-system

Ejemplo 4-11  Uso compartido de un sistema de archivos con un modo de seguridad de Kerberos

En este ejemplo, la autenticación con el modo de seguridad krb5 debe realizarse correctamente antes de poder acceder a los archivos mediante el servicio NFS.

# share -F nfs -o sec=krb5 /export/home

Ejemplo 4-12  Uso compartido de un sistema de archivos con varios modos de seguridad de Kerberos

En este ejemplo, los tres modos de seguridad de Kerberos se han seleccionado. El modo que se utiliza se negocia entre el cliente y el servidor NFS. Si falla el primer modo en el comando, se intenta con el siguiente. Para obtener más información, consulte la página del comando man nfssec(5).

# share -F nfs -o sec=krb5:krb5i:krb5p /export/home