この手順では、次の構成パラメータを使用します。
レルム名 = EXAMPLE.COM
DNS ドメイン名 = example.com
NFS サーバー = denver.example.com
admin 主体 = kws/admin
始める前に
NFS サーバー上で root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
マスター KDC が構成され、KDC と Kerberos クライアントのクロックの同期化の説明どおりにクロックが同期されていることを確認します。処理を十分にテストするには、複数のクライアントが必要です。
Kerberos クライアントの構成の手順に従ってください。
kadmin コマンドを使用します。
denver # /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin:
主体のインスタンスがホスト名である場合、FQDN は、ネームサービスでのドメイン名の大文字小文字には関係なく小文字で指定する必要があることに注意してください。
NFS データへのアクセスに使用されるシステム上の一意のインタフェースごとに、上記の手順を繰り返します。ホストに一意の名前を持ったインタフェースが複数存在する場合、一意の名前は、それぞれに NFS サービス主体を持つ必要があります。
kadmin: addprinc -randkey nfs/denver.example.com Principal "nfs/denver.example.com" created. kadmin:
Step 2.a で作成した一意のサービス主体ごとに、この手順を繰り返します。
kadmin: ktadd nfs/denver.example.com Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin: quit
通常、Kerberos サービスは、GSS 資格と UNIX UID 間の適切な対応表を生成します。デフォルトのマッピングは、GSS 資格の UNIX 資格へのマッピングで説明されています。デフォルトのマッピングが十分でない場合は、資格テーブルを作成および変更する方法で詳細を参照してください。
詳細は、複数の Kerberos セキュリティーモードで安全な NFS 環境を設定する方法を参照してください。