Show Table of Contents
9.8.2. AUTH_GSS による NFS の保護
NFSv4 のリリースにより、RPCSEC_GSS および Kerberos バージョン 5 の GSS-API メカニズムの実装が義務付けられ、NFS セキュリティーに大きな変革がもたらされました。ただし、RPCSEC_GSS や Kerberos のメカニズムは NFS のいずれのバージョンでも利用可能です。
RPCSEC_GSS Kerberos メカニズムでは、AUTH_SYS の場合のようにファイルにアクセスしているユーザーを正確に表すためにサーバーがクライアントに依存するということがなくなります。代わりに暗号を使ってサーバーに対するユーザーの認証を行うため、悪意あるクライアントは kerberos 情報なしではなりすまし攻撃ができなくなります。
注記
NFSv4 サーバーの設定を行う前に、Kerberos チケットを発行するサーバー (KDC) が適切にインストールされ、設定されていることが前提となります。Kerberos は、対称暗号化および信頼できるサードパーティーの KDC を使用してクライアントとサーバーを相互に認証させることができるネットワーク認証システムになります。Kerberos についてさらに詳しくは、Red Hat の『Identity Management Guide』 を参照してください。
RPCSEC_GSS のセットアップを行うには、次の手順を実行します。
手順9.4 RPCSEC_GSS のセットアップ
nfs/client.mydomain@MYREALMプリンシパルとnfs/server.mydomain@MYREALMプリンシパルを作成します。- クライアントとサーバーの各キータブに該当のキーを追加します。
- サーバー側で
sec=krb5,krb5i,krb5pをエクスポートに追加します。継続して AUTH_SYS を許可する場合は、sec=sys,krb5,krb5i,krb5pを代わりに追加します。 - クライアント側で
sec=krb5(セットアップによってはsec=krb5iまたはsec=krb5p) をマウントポイントに追加します。
krb5、krb5i、krb5p のそれぞれの違いなどの詳細については、exports および nfs の各 man ページを参照していただくか、または「一般的な NFS マウントオプション」をご覧ください。
rpc.svcgssd と rpc.gssd を同時に使用する方法などの RPCSEC_GSS フレームワークの詳細については、http://www.citi.umich.edu/projects/nfsv4/gssd/ を参照してください。
9.8.2.1. NFSv4 による NFS の保護
NFSv4 には、旧式の機能や幅広い導入の経緯があるために、POSIX モデルではなく Microsoft Windows NT モデルをベースとした ACL サポートが含まれます。
NFSv4 のもう 1 つの重要なセキュリティー上の特長として、ファイルシステムをマウントする際に
MOUNT プロトコルを使用する必要がなくなったという点があります。この MOUNT プロトコルには、ファイル処理の方法にセキュリティー上の欠点がある可能性のあることが指摘されています。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.