Red Hat Training

A Red Hat training course is available for RHEL 8

5.3. AUTH_GSS 認証方式

Kerberos は、安全でないネットワーク上でクライアントとサーバーの安全な認証を可能にするネットワーク認証プロトコルです。対称キー暗号化を使用しており、ユーザーとサービスを認証するには信頼できるキー配布センター (KDC) が必要です。

AUTH_SYS とは異なり、RPCSEC_GSS Kerberos メカニズムを使用すると、サーバーは、どのユーザーがファイルにアクセスしているかを正確に表すためにクライアントに依存しません。代わりに、暗号を使用してサーバーにユーザーを認証し、悪意のあるクライアントがそのユーザーの Kerberos 認証情報を持たずにユーザーになりすますことがないようにします。

/etc/exports ファイルでは、sec オプションにより、共有が提供する Kerberos セキュリティーの 1 つまたは複数のメソッドが定義され、クライアントはこれらのメソッドの 1 つを使用して共有をマウントできます。sec オプションは次の値をサポートします。

  • sys : 暗号化保護なし (デフォルト)
  • krb5 - 認証のみ
  • krb5i : 認証と完全性保護
  • krb5p : 認証、整合性チェック、トラフィック暗号化

メソッドが提供する暗号化機能が増えるほど、パフォーマンスが低下することに注意してください。