機械翻訳について

TLSを使用したNFSクライアントの構成

このタスクでは、TLS対応のNFSサーバーに安全に接続するようにNFSクライアントを設定する方法を示し、クライアントとサーバー間で送信されるデータが暗号化されるようにします。

次の条件を満たしていることを確認します。

• システムでOracle Linux 9以降が実行されています。
• NFSサーバーから認証局(CA)証明書を持っているか、TLS認証用の自己署名証明書の生成の説明に従ってNFSサーバーに自己署名証明書を生成しました。
• ktls-utilsパッケージがインストールされます。

1. (オプション)廃止された証明書を削除します。

   テストに自己署名証明書を使用している場合は、以前の古いアンカーを最初に削除することをお勧めします。 たとえば、既存のアンカーをリストし、不要なアンカーを削除するには:

   trust list
   
   pkcs11:id=%43%0E%35%20%3B%78%60%39%D0%C7%F8%53%1A%B6%73%83%12%90%AC%5D;type=cert
   type: certificate
   label: Test CA
   trust: anchor
   category: authority
   ...
   sudo trust anchor --remove pkcs11:id=%43%0E%35%20%3B%78%60%39%D0%C7%F8%53%1A%B6%73%83%12%90%AC%5D;type=cert
   

2. 証明書をシステムトラストストアにインポートします。

   次のコマンドを実行して、システム信頼ポリシー・ストアに新しいアンカーとして証明書を追加します。

   sudo trust anchor cert.pem

3. TLSデーモンを有効にして起動します。

   次のコマンドを実行して、tlshdをすぐに有効にし、システムが再起動するたびに有効にします。

   sudo systemctl enable --now tlshd.service

4. TLS暗号化を使用してNFS共有をマウントします。

   次のコマンドを実行して、nfs-serverおよびpath/to/shareをNFSサーバーのホスト名およびエクスポートされたディレクトリに置き換えます。

   sudo mount -o xprtsec=tls server-hostname:/path/to/share /mnt/

5. 接続を確認します。

   次のコマンドを実行します。 出力で、サーバー・ハンドシェイクが成功したことを示すメッセージを探します。

   sudo journalctl -u tlshd