Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.7.2. AUTH_GSSによる NFS セキュリティー

NFSv4 は、RPCSEC_GSS および Kerberos バージョン 5 GSS-API メカニズムの実装を廃止することで、NFS セキュリティーを再作成します。ただし、RPCSEC_GSS および Kerberos メカニズムも、すべてのバージョンの NFS で利用できます。FIPS モードでは、FIPS 承認アルゴリズムのみを使用できます。
AUTH_SYS とは異なり、RPCSEC_GSS Kerberos メカニズムでは、サーバーは、どのユーザーがそのファイルにアクセスしているかを正確に表すことをクライアントに依存しません。代わりに、暗号を使用してサーバーにユーザーを認証し、悪意のあるクライアントがそのユーザーの Kerberos 認証情報を持たずにユーザーを偽装しないようにします。RPCSEC_GSS Kerberos メカニズムを使用することが、マウントを保護する最も簡単な方法になります。Kerberos の設定後は、追加の設定が不要になるためです。

Kerberos の設定

NFSv4 Kerberos 対応のサーバーを設定する前に、Kerberos Key Distribution Centre(KDC)をインストールして設定する必要があります。Kerberos はネットワーク認証システムであり、対称暗号化と、信頼できるサードパーティー (KDC) を使用してクライアントとサーバーが相互に認証できるようにします。Red Hat では、Kerberos の設定に Identity Management (IdM) を使用することを推奨します。

手順8.3 IdM が RPCSEC_GSS を使用するように NFS サーバーおよびクライアントを設定

    • NFS サーバー側で nfs/hostname.domain@REALM プリンシパルを作成します。
    • サーバーとクライアントに host/hostname.domain@REALM を作成します。
    • クライアントとサーバーのキータブに、対応する鍵を追加します。
  1. サーバーで、sec= オプションを使用して、希望するセキュリティーフレーバーを有効にします。すべてのセキュリティーフレーバーと非暗号化マウントを有効にするには、以下のコマンドを実行します。
    /export *(sec=sys:krb5:krb5i:krb5p)
    
    sec= オプションで使用する有効なセキュリティーフレーバーは以下のとおりです。
    • sys - 暗号化の保護なし (デフォルト)
    • krb5 - 認証のみ
    • krb5i - インテグリティー保護
    • krb5p - プライバシー保護
  2. クライアントで、sec=krb5 (もしくは設定に応じて sec=krb5i または sec=krb5p) をマウントオプションに追加します。
    # mount -o sec=krb5 server:/export /mnt
    

関連情報

8.7.2.1. NFSv4 を使用した NFS セキュリティー

NFSv4 には、Microsoft Windows NT モデルの機能や幅広いデプロイメントが原因で、POSIX モデルではなく、Microsoft Windows NT モデルをベースとした ACL サポートが含まれています。
NFSv4 のもう 1 つの重要なセキュリティー機能は、ファイルシステムのマウントに MOUNT プロトコルを使用しなくなることです。MOUNT プロトコルは、プロトコルがファイルを処理する方法により、セキュリティー上のリスクが発生します。