セキュリティに関する考慮事項

Microsoft WindowsからのNFSエクスポートおよびUnix権限およびフォルダ権限を使用する場合は、セキュリティを考慮してください。

NFSエクスポート設定では、次のセキュリティのベスト・プラクティスを考慮してください。

Kerberos認証でSYS認証を有効にしないでください。これは、Active Directory認証をバイパスするために、ユーザーがKerberosオプションなしでエクスポートをマウントできないようにするためです。SYS認証が必要な場合は、ファイル・システムに別のエクスポートを作成し、セキュアなCIDRまたはIPアドレスのみがSYS認証を使用できるようにします。
クライアントがファイルシステムへのルートアクセスを取得できないように、ルートスカッシュを有効にすることを検討してください。ルート・アクセスが必要な場合は、ファイル・システムに別のエクスポートを作成し、ルート・アクセス用にセキュアなCIDRまたはIPアドレスのみを許可します。
匿名アクセスが有効な場合、LDAPに存在しないユーザー、またはRFC2307属性を持たないユーザーはすべて、エクスポート・オプションで匿名uidおよびgidが設定されます。推奨されない場合は、匿名アクセスを無効にします。
uidおよびgidに対するすべての使用をスクワッシュすると、すべてのActive Directory認証済ユーザーが同じレベルの権限を持つファイル・システムにアクセスできます。注意してこのオプションを使用してください。