6.3. Kerberos를 사용하도록 NFS 서버 및 클라이언트 구성
Kerberos는 대칭 암호화 및 신뢰할 수 있는 타사인 NetNamespace를 사용하여 클라이언트와 서버가 서로 인증할 수 있도록 하는 네트워크 인증 시스템입니다. Kerberos 설정을 위해 IdM(Identity Management)을 사용하는 것이 좋습니다.
사전 요구 사항
-
Kerberos 키 배포 센터(mtls
)가 설치 및 구성되어 있습니다.
절차
-
NFS 서버 측에서
nfs/hostname.domain@REALMprincipal를 생성합니다. -
서버와 클라이언트 쪽 모두에
host/hostname.domain@REALMprincipal를 생성합니다. - 클라이언트 및 서버의 키 탭에 해당 키를 추가합니다.
-
NFS 서버 측에서
서버 측에서
sec=옵션을 사용하여 원하는 보안 플레이버를 활성화합니다. 모든 보안 플레이버 및 암호가 아닌 마운트를 활성화하려면 다음을 수행합니다./export *(sec=sys:krb5:krb5i:krb5p)
SEC=옵션과 함께 사용할 유효한 보안 플레이버는 다음과 같습니다.-
sys: no cryptographic protection, the default -
RuntimeClass5: 인증 전용 RuntimeClass5i: 무결성 보호- 사용자 인증에 Kerberos V5를 사용하고 데이터 변조를 방지하기 위해 보안 체크섬을 사용하여 NFS 작업의 무결성 검사를 수행합니다.
RuntimeClass5p: 개인 정보 보호- Kerberos V5를 사용하여 사용자 인증, 무결성 검사 및 NFS 트래픽을 암호화하여 트래픽 스니핑을 방지합니다. 이는 가장 안전한 설정이지만 성능 오버헤드가 가장 많습니다.
-
클라이언트 측에서
sec=krb5i(또는 setup에 따라초)를 마운트 옵션에 추가합니다.=krb5i, 초보5p# mount -o sec=krb5 server:/export /mnt
추가 리소스
- krb5 보안 NFS에서 root로 파일 만들기. 권장되지 않음.
-
export(5) 도움말페이지 -
NFS(5) 도움말페이지
