在 Oracle® Solaris 11.2 中管理网络文件系统

退出打印视图

更新时间: 2014 年 7 月
 
 

如何设置使用 DH 验证的安全 NFS 环境

  1. 指定域名。

    使域中的每个系统都了解域名。有关设置计算机的 NIS 域名的信息,请参见使用 Oracle Solaris 11.2 目录和命名服务:DNS 和 NIS 中的如何设置计算机的 NIS 域名

    # domainname domain-name
  2. 使用 newkey 命令为客户机的用户建立公钥和密钥。
    # newkey -u username -s name-service
      

    用户可以使用 chkey 命令建立个人安全 RPC 口令。

    # chkey -p -s name-service -m mechanism
      

    生成公钥和私钥后,公钥和加密的私钥存储在 publickey 数据库中。

    有关这些命令的信息,请参见 newkey(1M)chkey(1) 手册页。

  3. 验证名称服务是否可以提供响应。
  4. 验证密钥服务器的 keyserv 守护进程是否正在运行。
    # ps -ef | grep keyserv
    root    100      1  16    Apr 11 ?        0:00 /usr/sbin/keyserv
    root   2215   2211   5  09:57:28 pts/0    0:00 grep keyserv

    如果守护进程未在运行,请键入以下命令启动密钥服务器:

    # svcadm enable network/rpc/keyserv
  5. 解密并存储私钥。

    通常,登录口令与网络口令相同。在这种情况下,不需要 keylogin。如果口令不同,则用户必须登录,然后运行 keylogin。您仍然需要以 root 身份使用 keylogin -r 命令,将已解密的密钥存储在 /etc/.rootkey 中。


    注 -  如果 root 密钥发生更改或如果 /etc/.rootkey 文件丢失,则需要运行 keylogin -r
  6. 为要共享的文件系统设置安全模式。

    对于 Diffie-Hellman 验证,请将 –sec=dh 选项添加到命令行。

    # share -F nfs -o sec=dh /export/home

    有关安全模式的更多信息,请参见 nfssec(5) 手册页。

  7. 更新文件系统的自动挂载程序映射。

    如果正在使用 Diffie-Hellman 验证,请编辑 auto_master 数据,以在相应的项中包括 –sec=dh 作为挂载选项。

    /home	auto_home	-nosuid,sec=dh

    当您重新安装、移动或升级系统时,如果没有为 root 新建密钥或更改密钥,请切记保存 /etc/.rootkey 文件。如果删除 /etc/.rootkey 文件,请键入以下命令:

    # keylogin -r