NFS-Shares werden standardmäßig mit AUTH_SYS RPC-Authentifizierung zugewiesen. Sie können sie auch zur Freigabe mit Kerberos-Sicherheit konfigurieren. Mit der AUTH_SYS-Authentifizierung werden die UNIX-Benutzer-ID (UID) und Gruppen-ID (GID) des Clients ohne Authentifizierung vom NFS-Server an das Netzwerk übergeben. Dieses Authentifizierungsverfahren kann auf einem Client leicht durch jeden Benutzer mit Root-Zugriff ausgehoben werden. Es ist daher besser, einen der anderen verfügbaren Sicherheitsmodi zu verwenden.
Zusätzliche Zugriffskontrollen können für jedes Share einzeln angegeben werden, um Zugriff auf die Shares für bestimmte Hosts, DNS-Domains oder Netzwerke zu erteilen bzw. zu verweigern.
Sicherheitsmodi werden für jedes Share einzeln festgelegt. In der folgenden Liste werden die verfügbaren Kerberos-Sicherheitseinstellungen beschrieben:
krb5 - Endbenutzerauthentifizierung über Kerberos V5
krb5 - krb5 plus Integritätsschutz (Datenpakete sind vor Manipulation geschützt)
krb5 - krb5i plus Datenschutz (Datenpakete sind vor Manipulation geschützt und verschlüsselt)
In der Sicherheitsmoduseinstellung können auch Kombinationen verschiedener Kerberos-Typen angegeben werden. Mit den kombinierten Sicherheitsmodi können Clients mit beliebigen der aufgeführten Kerberos-Typen gemountet werden.
sys - Systemauthentifizierung
krb5 - nur Kerberos v5, Clients müssen mit diesem Typ mounten.
krb5:krb5i - Kerberos v5, mit Integrität, Clients können mit beliebigen der aufgelisteten Typen mounten.
krb5 - nur Kerberos v5-Integrität, Clients müssen mit diesem Typ mounten.
krb5:krb5i:krb5p - Kerberos v5, mit Integrität oder Datenschutz, Clients können mit beliebigen der aufgelisteten Typen mounten.
krb5 - nur Kerberos v5-Datenschutz, Clients müssen mit diesem Typ mounten.