4.3. AUTH_GSS 認証方式
Kerberos は、セキュアでないネットワーク上でクライアントとサーバーのセキュアな認証を可能にするネットワーク認証プロトコルです。対称鍵暗号を使用し、ユーザーとサービスを認証するために、信頼できる Key Distribution Center (KDC) を必要とします。
AUTH_SYS
とは異なり、RPCSEC_GSS
Kerberos メカニズムでは、ファイルにアクセスしているユーザーを正しく表すために、サーバーがクライアントに依存することがありません。代わりに、暗号化を使用してサーバーに対してユーザーを認証します。これにより、悪意のあるクライアントがユーザーの Kerberos 認証情報を持たないユーザーになりすますことを防ぎます。
/etc/exports
ファイルの sec
オプションで、共有が提供する Kerberos セキュリティー方式を 1 つ以上定義します。クライアントはこれらの方法のいずれかを使用して共有をマウントできます。sec
オプションは次の値をサポートします。
-
sys
: 暗号化保護なし (デフォルト) -
krb5
: 認証のみ -
krb5i
: 認証と整合性保護 -
krb5p
: 認証、整合性チェック、およびトラフィック暗号化
方式が提供する暗号化機能が多いほど、パフォーマンスが低下することに注意してください。