この手順では、複数のセキュリティーモードを使用して、NFS サーバーがセキュアな NFS アクセスを提供できるようにします。クライアントが NFS サーバーとセキュリティーモードについてネゴシエーションを行うとき、そのクライアントは、サーバーによって提供された最初のモードを使用します。このモードは、そのサーバーで共有されているファイルシステムの以降のすべてのクライアントリクエストに使用されます。
始める前に
NFS サーバー上で root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
klist コマンドを指定すると、キータブファイルが存在するかどうかが出力され、その主体が表示されます。キータブファイルが存在しない場合、または NFS サービス主体が存在しない場合は、Kerberos NFS サーバーを構成する方法のすべての手順が完了していることを検証する必要があります。
# klist -k Keytab name: FILE:/etc/krb5/krb5.keytab KVNO Principal ---- --------------------------------------------------------- 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM
詳細は、klist(1) のマニュアルページを参照してください。
/etc/nfssec.conf ファイルで、Kerberos セキュリティーモードをコメントアウトしている「#」を削除します。
# pfedit /etc/nfssec.conf . . # # Uncomment the following lines to use Kerberos V5 with NFS # krb5 390003 kerberos_v5 default - # RPCSEC_GSS krb5i 390004 kerberos_v5 default integrity # RPCSEC_GSS krb5p 390005 kerberos_v5 default privacy # RPCSEC_GSS
krb5 認証、NFS 経由で送信された機密データの整合性およびプライバシ保護を提供するには、krb5p を選択します。サーバーの処理リソースを超えないかぎり、このモードを使用します。
TCP/IP が NFS データに対して提供する最小限の保護に加えて、krb5 認証および整合性保護を提供するには、krb5i を選択します。
krb5 認証のみに対しては krb5 を選択します。このセキュリティーモードは、提供されるセキュリティーモードの保護は最小限ですが、プロセッサへの影響はもっとも小さくなります。
share -F nfs -o sec=mode file-system
ファイルシステムを共有するときに使用するセキュリティーモードを指定します。複数のセキュリティーモードを使用するときは、デフォルトとして、リストの最初のモードが使用されます。
共有するファイルシステムへのパスを定義します。
指定されたファイルシステムのファイルにアクセスするすべてのクライアントは、Kerberos 認証が必要です。ファイルにアクセスするには、NFS クライアント上にユーザー主体が認証される必要があります。
デフォルトのセキュリティーモードが受け入れ可能な場合は、この手順を実行しないでください。
file-system auto_home -nosuid,sec=mode
# mount -F nfs -o sec=mode file-system
この例では、NFS サービスを使用していずれかのファイルにアクセスするには、その前に krb5p セキュリティーモードでの認証が成功している必要があります。
# share -F nfs -o sec=krb5p /export/home使用例 17 複数の Kerberos セキュリティーモードでファイルシステムを共有する
次の例では、3 つの Kerberos セキュリティーモードがすべて選択されています。使用されるモードは、クライアントと NFS サーバーの間でネゴシエーションが行われます。コマンドの最初のモードが失敗すると、次のモードが試行されます。詳細は、nfssec(5) のマニュアルページを参照してください。
# share -F nfs -o sec=krb5p:krb5i:krb5 /export/home