4.3. AUTH_GSS 验证方法

Kerberos 是一种网络身份验证协议,它允许通过非安全网络对客户端和服务器进行安全身份验证。它使用对称密钥加密,并需要一个可信密钥分发中心(KDC)来验证用户和服务。

AUTH_SYS 不同,使用 RPCSEC_GSS Kerberos 机制,服务器不依赖于客户端来正确表示哪个用户正在访问该文件。相反,加密用于向服务器验证用户的身份,这可防止恶意的客户端在没有用户的 Kerberos 凭据的情况下模拟该用户。

/etc/exports 文件中,sec 选项定义共享应提供的 Kerberos 安全性的一个或多个方法,并且客户端可以通过以下方法之一挂载共享。sec 选项支持以下值:

  • sys: 无加密保护(默认)
  • krb5 :仅用于验证
  • krb5i: 身份验证和完整性保护
  • krb5p :身份验证、完整性检查和流量加密

请注意,方法提供的更加密功能,小写是性能。