Red Hat Training

A Red Hat training course is available for RHEL 8

6.3. Kerberos を使用するために NFS サーバーおよびクライアントを設定

Kerberos はネットワーク認証システムであり、対称暗号化と、信頼できるサードパーティー (KDC) を使用してクライアントとサーバーが相互に認証できるようにします。Red Hat では、Kerberos の設定に Identity Management (IdM) を使用することを推奨します。

前提条件

  • Kerberos Key Distribution Centre (KDC) がインストールされ、設定されている。

手順

    • NFS サーバー側で、nfs/hostname.domain@REALM プリンシパルを作成します。
    • サーバーとクライアントに、host/hostname.domain@REALM を作成します。
    • クライアントとサーバーのキータブに、対応する鍵を追加します。
  1. サーバーで、sec= オプションを使用して、希望するセキュリティーフレーバーを有効にします。すべてのセキュリティーフレーバーと非暗号化マウントを有効にするには、以下のコマンドを実行します。

    /export *(sec=sys:krb5:krb5i:krb5p)

    sec= オプションを使用するのに有効なセキュリティーフレーバーは、以下のようになります。

    • sys - 暗号化の保護なし (デフォルト)
    • krb5 - 認証のみ
    • krb5i - インテグリティー保護

      • ユーザー認証に Kerberos V5 を使用し、データの改ざんを防ぐために安全なチェックサムを使用して NFS 操作の整合性チェックを実行します。
    • krb5p - プライバシー保護

      • ユーザー認証、整合性チェックに Kerberos V5 を使用し、トラフィックの傍受を防ぐため NFS トラフィックの暗号化を行います。これが最も安全な設定になりますが、パフォーマンスのオーバーヘッドも最も高くなります。
  2. クライアントで、sec=krb5 (もしくは設定に応じて sec=krb5i または sec=krb5p) をマウントオプションに追加します。

    # mount -o sec=krb5 server:/export /mnt

関連情報