Red Hat Training
A Red Hat training course is available for RHEL 8
6.3. Kerberos を使用するために NFS サーバーおよびクライアントを設定
Kerberos はネットワーク認証システムであり、対称暗号化と、信頼できるサードパーティー (KDC) を使用してクライアントとサーバーが相互に認証できるようにします。Red Hat では、Kerberos の設定に Identity Management (IdM) を使用することを推奨します。
前提条件
-
Kerberos Key Distribution Centre (
KDC
) がインストールされ、設定されている。
手順
-
NFS サーバー側で、
nfs/hostname.domain@REALM
プリンシパルを作成します。 -
サーバーとクライアントに、
host/hostname.domain@REALM
を作成します。 - クライアントとサーバーのキータブに、対応する鍵を追加します。
-
NFS サーバー側で、
サーバーで、
sec=
オプションを使用して、希望するセキュリティーフレーバーを有効にします。すべてのセキュリティーフレーバーと非暗号化マウントを有効にするには、以下のコマンドを実行します。/export *(sec=sys:krb5:krb5i:krb5p)
sec=
オプションを使用するのに有効なセキュリティーフレーバーは、以下のようになります。-
sys
- 暗号化の保護なし (デフォルト) -
krb5
- 認証のみ krb5i
- インテグリティー保護- ユーザー認証に Kerberos V5 を使用し、データの改ざんを防ぐために安全なチェックサムを使用して NFS 操作の整合性チェックを実行します。
krb5p
- プライバシー保護- ユーザー認証、整合性チェックに Kerberos V5 を使用し、トラフィックの傍受を防ぐため NFS トラフィックの暗号化を行います。これが最も安全な設定になりますが、パフォーマンスのオーバーヘッドも最も高くなります。
-
クライアントで、
sec=krb5
(もしくは設定に応じてsec=krb5i
またはsec=krb5p
) をマウントオプションに追加します。# mount -o sec=krb5 server:/export /mnt
関連情報
- krb5 セキュアな NFS で root としてファイルの作成推奨されません。
-
exports(5)
man ページ -
nfs(5)
man ページ