9.8.2. AUTH_GSSを使用した NFS セキュリティー
NFSv4 のリリースでは、RPCSEC_GSS および Kerberos バージョン 5 GSS-API メカニズムの実装を調整することで、NFS セキュリティーへの再電子が発生します。ただし、RPCSEC_GSS や Kerberos のメカニズムは、NFS のいずれのバージョンでも利用できます。FIPS モードでは、FIPS が許可するアルゴリズムのみを使用できます。
RPCSEC_GSS Kerberos メカニズムでは、サーバーは AUTH_SYS のケースのように、どのユーザーがファイルにアクセスするかを正確に表すため、クライアントに依存しなくなりました。代わりに、暗号化を使用してサーバーにユーザーを認証し、悪意のあるクライアントがそのユーザーの Kerberos 認証情報を持たずにユーザーを偽装しないようにします。
注記
NFSv4 サーバーを設定する前に、Kerberos チケット保証サーバー(KDC)がインストールされ、正しく設定されていることを前提とします。Kerberos はネットワーク認証システムであり、対称暗号化と信頼できるサードパーティーである KDC を使用して、クライアントとサーバーが相互に認証できるようにします。Kerberos の詳細は、『Red Hat 『Identity Management ガイド』を参照してください』。
RPCSEC_GSS を設定するには、以下の手順に従います。
手順9.4 RPCSEC_GSS のセットアップ
nfs/client.mydomain@MYREALMおよびnfs/server.mydomain@MYREALMプリンシパルを作成します。- クライアントとサーバーのキータブに、対応する鍵を追加します。
- サーバーで、sec
=krb5,krb5i,krb5pをエクスポートに追加します。AUTH_SYS を引き続き許可するには、sec=sys、krb5、krb5i、krb5pを追加します。 - クライアントで、
sec=krb5(もしくは設定に応じてsec=krb5iまたはsec=krb5p) をマウントオプションに追加します。
rpc .svcgssd および rpc.gssd の相互運用方法など、
RPCSEC_GSS フレームワークの詳細は、http://www.citi.umich.edu/projects/nfsv4/gssd/ を参照してください 。
9.8.2.1. NFSv4 による NFS の保護
NFSv4 には、以前の機能や幅広いデプロイメントが原因で、POSIX モデルではなく、Microsoft Windows NT モデルをベースとした ACL サポートが含まれています。
NFSv4 のもう 1 つの重要なセキュリティー機能は、ファイルシステムのマウントに MOUNT プロトコルを使用しなくなることです。このプロトコルは、ファイルハンドルが処理する方法により、セキュリティーの不安定になります。
