이 절차에서는 NFS 서버가 여러 보안 보드를 사용하여 보안 NFS 액세스를 제공할 수 있도록 합니다. 클라이언트가 NFS 서버와 보안 모드를 협상하는 경우 클라이언트는 서버에서 제공하는 첫번째 모드를 사용합니다. 이 모드는 서버가 공유하는 파일 시스템의 모든 후속 클라이언트 요청에 사용됩니다.
시작하기 전에
NFS 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
klist 명령은 keytab 파일이 있는지 여부를 보고하고 주체를 표시합니다. keytab 파일이 존재하지 않거나 NFS 서비스 주체가 존재하지 않는 것으로 결과가 표시되면 Kerberos NFS 서버 구성 방법에 나오는 모든 단계의 완료를 확인해야 합니다.
# klist -k Keytab name: FILE:/etc/krb5/krb5.keytab KVNO Principal ---- --------------------------------------------------------- 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM
자세한 내용은 klist(1) 매뉴얼 페이지를 참조하십시오.
/etc/nfssec.conf 파일에서 Kerberos 보안 모드를 주석 처리하는 "#"을 제거합니다.
# pfedit /etc/nfssec.conf . . # # Uncomment the following lines to use Kerberos V5 with NFS # krb5 390003 kerberos_v5 default - # RPCSEC_GSS krb5i 390004 kerberos_v5 default integrity # RPCSEC_GSS krb5p 390005 kerberos_v5 default privacy # RPCSEC_GSS
share -F nfs -o sec=mode file-system
파일 시스템 공유 시 사용할 보안 모드를 지정합니다. 여러 보안 모드를 사용 중인 경우 목록의 첫번째 모드가 기본 모드로 사용됩니다.
공유할 파일 시스템에 대한 경로를 정의합니다.
명명된 파일 시스템의 파일에 액세스하려고 시도하는 모든 클라이언트에는 Kerberos 인증이 필요합니다. 파일에 액세스하려면 NFS 클라이언트의 사용자 주체가 인증되어야 합니다.
기본 보안 모드를 그대로 적용할 수 있는 경우 이 절차를 수행하지 마십시오.
file-system auto_home -nosuid,sec=mode
# mount -F nfs -o sec=mode file-system
이 예에서는 krb5 보안 모드를 사용한 인증이 성공해야만 NFS 서비스를 통해 파일에 액세스할 수 있습니다.
# share -F nfs -o sec=krb5 /export/home예 4-12 여러 Kerberos 보안 모드와 파일 시스템 공유
이 예에서는 세 개의 모든 Kerberos 보안 모드가 선택되었습니다. 사용되는 모드는 클라이언트와 NFS 서버 간에 협상됩니다. 명령의 첫번째 모드가 실패하면 다음 모드가 시도됩니다. 자세한 내용은 nfssec(5) 매뉴얼 페이지를 참조하십시오.
# share -F nfs -o sec=krb5:krb5i:krb5p /export/home