5.3. AUTH_GSS 验证方法
Kerberos 是一种网络身份验证协议,它允许通过非安全网络对客户端和服务器进行安全身份验证。它使用对称密钥加密,并需要一个可信密钥分发中心(KDC)来验证用户和服务。
与 AUTH_SYS
不同,使用 RPCSEC_GSS
Kerberos 机制,服务器不依赖于客户端来正确表示哪个用户正在访问该文件。相反,加密用于向服务器验证用户身份,这可防止恶意客户端在没有用户的 Kerberos 凭证的情况下模拟该用户。
在 /etc/exports
文件中,sec
选项定义共享应提供的 Kerberos 安全性的一个或多个方法,并且客户端可以通过以下方法之一挂载共享。sec
选项支持以下值:
-
sys
: 无加密保护(默认) -
krb5
:仅用于身份验证 -
krb5i
: 身份验证和完整性保护 -
krb5p
:身份验证、完整性检查和流量加密
请注意,方法提供的更加密功能,小写是性能。