SupportConsoleDéveloppeursCommencer un essaiContact

9.8.2. Sécurité NFS avec AUTH_GSS

La sortie de NFSv4 a provoqué une révolution dans la sécurité NFS en mandatant l'implémentation de RPCSEC_GSS et du mécanisme GSS-API Kerberos version 5. Cependant, RPCSEC_GSS et le mécanisme Kerberos sont aussi disponibles pour toutes les versions de NFS.
Avec le mécanisme Kerberos RPCSEC_GSS, le serveur ne dépend plus du client pour correctement représenter les utilisateurs qui accèdent au fichier, tout comme avec AUTH_SYS. Au lieu de cela, un chiffrement est utilisé pour authentifier les utilisateurs sur le serveur, empêchant ainsi à un client mal intentionné de prendre la place d'un utilisateur sans posséder les informations d'utilisation Kerberos de cet utilisateur.

Note

On considère qu'un serveur d'octroiement de ticket Kerberos (KDC) est correctement installé et configuré avant de procéder à la configuration du serveur NFSv4. Kerberos est un système d'authentification réseau qui permet aux clients et serveurs de s'authentifier à travers l'utilisation d'un chiffrement symétrique et d'une tierce partie de confiance, KDC. Pour obtenir des informations supplémentaires sur Kerberos, veuillez consulter le Guide de gestion des identités de Red Hat.
Pour paramétrer RPCSEC_GSS, veuillez utiliser la procédure suivante :

Procédure 9.4. Paramétrer RPCSEC_GSS

  1. Créez les principaux nfs/client.mydomain@MYREALM et nfs/server.mydomain@MYREALM.
  2. Ajoutez les clés correspondant aux onglets principaux pour le client et le serveur.
  3. Du côté serveur, veuillez ajouter sec=krb5,krb5i,krb5p à l'export. Pour continuer à autoriser AUTH_SYS, veuillez ajouter sec=sys,krb5,krb5i,krb5p à la place.
  4. Du côté client, veuillez ajouter sec=krb5 (ou sec=krb5i, ou sec=krb5p, en fonction de l'installation) aux options de montage.
Pour obtenir des informations supplémentaires, comme les différences entre krb5, krb5i, et krb5p, veuillez consulter les pages man exports et nfs ou la Section 9.5, « Options de montage NFS courantes ».
Pour obtenir des informations supplémentaires sur le cadre de RPCSEC_GSS, y compris sur la manière par laquelle rpc.svcgssd et rpc.gssd interagissent, veuillez consulter http://www.citi.umich.edu/projects/nfsv4/gssd/.

9.8.2.1. Sécurité NFS avec NFSv4

NFSv4 inclut la prise en charge des ACL basée sur le modèle Microsoft Windows NT, et non sur le modèle POSIX, à cause des fonctionnalités et du déploiement global de ce dernier.
Une autre fonctionnalité importante de NFSv4 est la suppression de l'utilisation du protocole MOUNT pour monter les systèmes de fichiers. Ce protocole présentait des failles de sécurité possibles à cause de la manière par laquelle il traitait les identificateurs de fichiers.
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.