In addition to the appliance's capability to use Kerberos to authenticate users for administrative login and for access to services, Kerberos can also be used to set security for individual shares that use the NFS protocol.
默认情况下,NFS 共享资源通过 AUTH_SYS RPC 验证进行分配。也可以将其配置为通过 Kerberos 安全进行共享。使用 AUTH_SYS 验证,客户机的 UNIX 用户 ID (User ID, UID) 和组 ID (Group ID, GID) 在网络上传递时不会经过 NFS 服务器验证。此验证机制可被客户机上具有 root 访问权限的任何人轻松破解;因此,最好使用一个其他可用安全模式。
可以以共享资源为单位指定其他访问控制,从而允许或拒绝对特定主机、DNS 域或网络的共享资源的访问。
安全模式以共享资源为单位进行设置。以下列表介绍了可用的 Kerberos 安全设置:
krb5-通过 Kerberos V5 进行最终用户验证
krb5i-krb5 加完整性保护(数据包是防篡改的)
krb5p-krb5i 加隐私保护(数据包是防篡改而经过加密的)
Kerberos 类型的组合也可以在安全模式设置中指定。组合安全模式允许客户机使用所列出的任何 Kerberos 类型进行挂载。
sys-系统验证
krb5-仅限 Kerberos v5,客户机必须使用此类型进行挂载
krb5:krb5i-Kerberos v5,带有完整性,客户机可以使用所列出的任何类型进行挂载
krb5i-仅限 Kerberos v5 完整性 ,客户机必须使用此类型进行挂载
krb5:krb5i:krb5p-Kerberos v5,带有完整性或隐私,客户机可以使用所列出的任何类型进行挂载
krb5p-仅限 Kerberos v5 隐私,客户机必须使用此类型进行挂载