이 절차에서는 다음 구성 매개변수를 사용합니다.
영역 이름 = EXAMPLE.COM
DNS 도메인 이름 = example.com
NFS 서버 = denver.example.com
admin 주체 = kws/admin
시작하기 전에
NFS 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
마스터 KDC를 구성합니다. KDC와 Kerberos 클라이언트 간의 클럭 동기화에 설명된 대로 클럭을 동기화합니다. 프로세스를 완전히 테스트하려면 여러 클라이언트가 필요합니다.
Kerberos 클라이언트 구성의 지침을 따릅니다.
kadmin 명령을 사용합니다.
denver # /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin:
주체 인스턴스가 호스트 이름인 경우 FQDN은 이름 서비스의 도메인 이름 대소문자에 관계없이 소문자로 지정되어야 합니다.
시스템에서 NFS 데이터에 액세스하는 데 사용할 수 있는 각 고유 인터페이스에 대해 이 단계를 반복합니다. 호스트에 고유 이름이 있는 인터페이스가 여러 개인 경우 각 고유 이름에는 고유한 NFS 서비스 주체가 있어야 합니다.
kadmin: addprinc -randkey nfs/denver.example.com Principal "nfs/denver.example.com" created. kadmin:
Step a에서 만든 각각의 고유한 서비스 주체에 대해 이 단계를 반복합니다.
kadmin: ktadd nfs/denver.example.com Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit
일반적으로 Kerberos 서비스는 GSS 자격 증명과 UNIX UID 간에 적절한 맵을 생성합니다. 기본 매핑에 대해서는 UNIX 자격 증명과 GSS 자격 증명 간 매핑을 참조하십시오. 기본 매핑으로 충분하지 않을 경우 자세한 내용은 자격 증명 테이블을 만들고 수정하는 방법을 참조하십시오.
자세한 내용은 Kerberos 보안 모드가 여러 개인 보안 NFS 환경 설정 방법을 참조하십시오.