6.3. Kerberos를 사용하도록 NFS 서버 및 클라이언트 구성

Kerberos는 대칭 암호화 및 신뢰할 수 있는 타사인 NetNamespace를 사용하여 클라이언트와 서버가 서로 인증할 수 있도록 하는 네트워크 인증 시스템입니다. Kerberos 설정을 위해 IdM(Identity Management)을 사용하는 것이 좋습니다.

사전 요구 사항

  • Kerberos 키 배포 센터(mtls)가 설치 및 구성되어 있습니다.

절차

    • NFS 서버 측에서 nfs/hostname.domain@REALM principal를 생성합니다.
    • 서버와 클라이언트 쪽 모두에 host/hostname.domain@REALM principal를 생성합니다.
    • 클라이언트 및 서버의 키 탭에 해당 키를 추가합니다.

  2. 서버 측에서 sec= 옵션을 사용하여 원하는 보안 플레이버를 활성화합니다. 모든 보안 플레이버 및 암호가 아닌 마운트를 활성화하려면 다음을 수행합니다. 

    /export *(sec=sys:krb5:krb5i:krb5p)

    SEC= 옵션과 함께 사용할 유효한 보안 플레이버는 다음과 같습니다.

    • sys: no cryptographic protection, the default
    • RuntimeClass5: 인증 전용

    • RuntimeClass5i: 무결성 보호

      • 사용자 인증에 Kerberos V5를 사용하고 데이터 변조를 방지하기 위해 보안 체크섬을 사용하여 NFS 작업의 무결성 검사를 수행합니다.

    • RuntimeClass5p: 개인 정보 보호

      • Kerberos V5를 사용하여 사용자 인증, 무결성 검사 및 NFS 트래픽을 암호화하여 트래픽 스니핑을 방지합니다. 이는 가장 안전한 설정이지만 성능 오버헤드가 가장 많습니다.

  3. 클라이언트 측에서 sec=krb5 i(또는 setup에 따라 =krb5i, 초보5p )를 마운트 옵션에 추가합니다. 

    # mount -o sec=krb5 server:/export /mnt

추가 리소스