Options d'authentification et de chiffrement NFS

Les partages NFS sont alloués avec une authentification AUTH_SYS RPC par défaut. Vous pouvez également les configurer pour les partager avec la sécurité Kerberos. A l'aide de l'authentification AUTH_SYS, l'ID utilisateur (UID) et l'ID de groupe (GID) UNIX du client sont transmis de manière non authentifiée sur le réseau par le serveur NFS. Ce mécanisme d'authentification est facilement anéanti par toute personne possédant un accès root sur un client. Il est donc préférable d'utiliser un autre mode de sécurité disponible.

Les contrôles d'accès supplémentaires peuvent être spécifiés par partage afin d'autoriser ou de refuser l'accès aux partages pour des hôtes spécifiques, des domaines DNS ou des réseaux.

Modes de sécurité

Les modes de sécurité sont définis par partage. La liste suivante décrit les paramètres de sécurité Kerberos disponibles.

• krb5 - Authentification d'utilisateur final via Kerberos V5

• krb5i - krb5 plus préservation de l'intégrité (les paquets de données résistent aux dégradations)

• krb5p - krb5i plus préservation de la confidentialité (les paquets de données résistent aux dégradations et sont chiffrés)

Les combinaisons de types de Kerberos peuvent également être spécifiées dans le paramètre du mode de sécurité. La combinaison de modes de sécurité permet aux clients de monter n'importe quel type de Kerberos répertorié.

Types de Kerberos

• sys - Authentification système

• krb5 - Kerberos v5 uniquement, les clients doivent monter à l'aide de ce type.

• krb5:krb5i - Kerberos v5, avec intégrité, les clients peuvent monter avec n'importe quel type.

• krb5i - Kerberos v5 intégrité uniquement, les clients doivent monter à l'aide de ce type.

• krb5:krb5i:krb5p - Kerberos v5, avec intégrité ou confidentialité, les clients peuvent monter avec n'importe quel type.

• krb5p - Kerberos v5 confidentialité uniquement, les clients doivent monter à l'aide de ce type.