认证

在 NFS 环境中,认证表示 NFS 服务器可以用来接受或拒绝 NFS 用户机安装 NFS 共享目录之要求的任何安全性机制。您可以为您的环境中的每个 NFS 共享和安装指定个别的认证设置。认证可以以计算器名称、网络群组和/或 DNS 网域为基础。

认证方法

可供您使用的特定认证方法要视您的 /etc/nfssec.conf 文件中的设置而定。四个常用的 NFS 认证方法如下:

使用认证方法

认证是两部份的程序:NFS 服务器(也称为 NFS 主机)-- 共享目录的服务器 -- 必须支持某个特定的认证方法,而 NFS 用户机 -- 安装目录端 -- 必须经过配置以使用那个相同的方法。例如,要让用户机能够使用 AUTH_SYS 成功地安装目录,用户机和服务器都必须为 AUTH_SYS 配置才可以。

一般的 NFS 用户机认证设置 -- 基本上,用户机上定义的方法清单 -- 保存在用户机计算器上的 /etc/nfssec.conf 文件中。这些设置已经使用一个或数个远程认证服务器上的加密设置加以,特别是在使用 AUTH_DESAUTH_KERB 时。

如果用户机或服务器没有经过配置以使用特定的方法,而用户机尝试使用该方法来安装共享的目录,该用户机就会以未认证者被处理。未认证用户机是根据您在「共享属性」对话框中的「高级」标记上指定的「用户 ID」(uid)被提供访问特权的。依照缺省,这个 uid 是 UID_NOBODY,通常仅可以提供非常有限的共享目录访问权。

您可以配置让 NFS 用户机和服务器使用多重认证方法。如果没有任何方法被指定的话,/etc/nfssec.conf 中指定的缺省方法(通常是 AUTH_SYS)就会自动被使用。

用户机访问清单

对于每个认证方法,「Solaris 管理主控台」的「安装」和「共享」工具都可以让您指定所有尝试用相同方法安装共享目录的用户机都会使用的缺省「只读」或「读/写」权限。例如,您可以为所有的 AUTH_SYS 用户机指定「读/写」,但是仅为所有的 AUTH_DES 用户机指定「只读」。缺省的访问特权以及缺省的例外,都可以在「增加共享目录」向导中的「高级」路径或「共享属性」对话框的「访问」标记上指定。

另外,您也可以为每个方法创建一个「自定访问清单」,此清单可以指定个别用户机类型的访问特权。在「安装」和「共享」工具中,您可以用「增加共享目录」向导中的「高级」路径或在「共享属性」对话框「访问」标记的「增加用户机」子对话框创建「自定访问清单」。

当您在「自定访问清单」增加用户机时,您使用的语法会决定增加的用户机类型。特别是: