Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

9.8.2. AUTH_GSSを使用した NFS セキュリティー

NFSv4 のリリースでは、RPCSEC_GSS および Kerberos バージョン 5 GSS-API メカニズムの実装を調整することで、NFS セキュリティーへの再電子が発生します。ただし、RPCSEC_GSS や Kerberos のメカニズムは、NFS のいずれのバージョンでも利用できます。FIPS モードでは、FIPS が許可するアルゴリズムのみを使用できます。
RPCSEC_GSS Kerberos メカニズムでは、サーバーは AUTH_SYS のケースのように、どのユーザーがファイルにアクセスするかを正確に表すため、クライアントに依存しなくなりました。代わりに、暗号化を使用してサーバーにユーザーを認証し、悪意のあるクライアントがそのユーザーの Kerberos 認証情報を持たずにユーザーを偽装しないようにします。
注記
NFSv4 サーバーを設定する前に、Kerberos チケット保証サーバー(KDC)がインストールされ、正しく設定されていることを前提とします。Kerberos はネットワーク認証システムであり、対称暗号化と信頼できるサードパーティーである KDC を使用して、クライアントとサーバーが相互に認証できるようにします。Kerberos の詳細は、『Red Hat 『Identity Management ガイド』を参照してください』。
RPCSEC_GSS を設定するには、以下の手順に従います。

手順9.4 RPCSEC_GSS のセットアップ

  1. nfs/client.mydomain@MYREALM および nfs/server.mydomain@MYREALM プリンシパルを作成します。
  2. クライアントとサーバーのキータブに、対応する鍵を追加します。
  3. サーバーで、sec =krb5,krb5i,krb5p をエクスポートに追加します。AUTH_SYS を引き続き許可するには、sec =sys、krb5、krb5i、krb5p を追加します。
  4. クライアントで、sec=krb5 (もしくは設定に応じて sec=krb5i または sec=krb5p) をマウントオプションに追加します。
krb5、krb5i、krb5 p の相違点などの詳細は、man ページの exports および nfs を参照してください。または、「一般的な NFS マウントオプション」 を参照してください。
rpc .svcgssd および rpc.gssd の相互運用方法など、RPCSEC_GSS フレームワークの詳細は、http://www.citi.umich.edu/projects/nfsv4/gssd/ を参照してください

9.8.2.1. NFSv4 による NFS の保護

NFSv4 には、以前の機能や幅広いデプロイメントが原因で、POSIX モデルではなく、Microsoft Windows NT モデルをベースとした ACL サポートが含まれています。
NFSv4 のもう 1 つの重要なセキュリティー機能は、ファイルシステムのマウントに MOUNT プロトコルを使用しなくなることです。このプロトコルは、ファイルハンドルが処理する方法により、セキュリティーの不安定になります。