通过此过程,NFS 服务器可以使用多种安全模式提供安全的 NFS 访问。客户机与 NFS 服务器协商安全模式时,客户机将使用服务器所提供的第一种模式。客户机随后再请求该服务器共享的文件系统时,都将使用此模式。
开始之前
您必须承担 NFS 服务器上的 root 角色。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
klist 命令报告是否存在密钥表文件并显示主体。如果结果显示不存在密钥表文件或者不存在 NFS 服务主体,则您需要确认是否已完成如何配置 Kerberos NFS 服务器中的所有步骤。
# klist -k Keytab name: FILE:/etc/krb5/krb5.keytab KVNO Principal ---- --------------------------------------------------------- 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM
有关更多信息,请参见 klist(1) 手册页。
在 /etc/nfssec.conf 文件中,删除将 Kerberos 安全模式注释掉的 "#"。
# pfedit /etc/nfssec.conf . . # # Uncomment the following lines to use Kerberos V5 with NFS # krb5 390003 kerberos_v5 default - # RPCSEC_GSS krb5i 390004 kerberos_v5 default integrity # RPCSEC_GSS krb5p 390005 kerberos_v5 default privacy # RPCSEC_GSS
share -F nfs -o sec=mode file-system
指定共享文件系统时要使用的安全模式。使用多种安全模式时,会将列表中的第一种模式用作缺省模式。
定义要共享的文件系统的路径。
尝试从指定的文件系统访问文件的所有客户机都需要进行 Kerberos 验证。要访问文件,应验证 NFS 客户机上的用户主体。
如果可接受缺省安全模式,则不要执行此过程。
file-system auto_home -nosuid,sec=mode
# mount -F nfs -o sec=mode file-system
在本示例中,使用 krb5 安全模式进行的验证必须成功,才能通过 NFS 服务访问任何文件。
# share -F nfs -o sec=krb5 /export/home示例 4-12 使用多种 Kerberos 安全模式共享文件系统
在此示例中,选择了所有三种 Kerberos 安全模式。客户机与 NFS 服务器协商决定使用的模式。如果命令中的第一种模式失败,即将尝试下一种。有关更多信息,请参见 nfssec(5) 手册页。
# share -F nfs -o sec=krb5:krb5i:krb5p /export/home