NFS サービスの設定
この節では、NFS サービスの初期化や使用に必要な作業をいくつか説明します。
表 15-3 NFS サービスの作業マップ
作業 | 説明 | 参照先 |
|---|---|---|
NFS サーバーを起動する | NFS サービスが自動的に起動されていない場合に、NFS サービスを起動する手順 | NFS サービスの起動方法 |
NFS サーバーを停止する | NFS サービスを停止する手順。通常は、サービスを停止する必要はない | NFS サービスの停止方法 |
オートマウンタを起動する | オートマウンタを起動する手順。オートマウンタマップが変更された場合、この手順が必要 | オートマウンタの起動方法 |
オートマウンタを停止する | オートマウンタを停止する手順。オートマウンタマップが変更された場合、この手順が必要 | オートマウンタの停止方法 |
NFS サービスの起動方法
スーパーユーザー、またはそれと同等の役割になります。
役割については、『Solaris のシステム管理 (セキュリティサービス)』の「特権付きアプリケーションの使用」を参照してください。
NFS サービスデーモンを有効にします。
# /etc/init.d/nfs.server start
/etc/dfs/dfstab にエントリがあると、このコマンドはデーモンを起動します。
NFS サービスの停止方法
スーパーユーザー、またはそれと同等の役割になります。
役割については、『Solaris のシステム管理 (セキュリティサービス)』の「特権付きアプリケーションの使用」を参照してください。
NFS サービスデーモンを無効にします。
# /etc/init.d/nfs.server stop
オートマウンタの起動方法
スーパーユーザー、またはそれと同等の役割になります。
役割については、『Solaris のシステム管理 (セキュリティサービス)』の「特権付きアプリケーションの使用」を参照してください。
autofs デーモンを有効にします。
# /etc/init.d/autofs start
オートマウンタの停止方法
スーパーユーザー、またはそれと同等の役割になります。
役割については、『Solaris のシステム管理 (セキュリティサービス)』の「特権付きアプリケーションの使用」を参照してください。
autofs デーモンを無効にします。
# /etc/init.d/autofs stop
Secure NFS システムの管理
Secure NFS システムを使用するには、自分が責任を持つすべてのコンピュータにドメイン名が必要です。「ドメイン」とは管理上のエンティティであり、通常、大きなネットワークの一環となる複数のコンピュータから構成されます。ネームサービスを実行している場合、そのドメインに対してネームサービスを設定する必要があります。『Solaris のシステム管理 (ネーミングとディレクトリサービス : FNS、NIS+ 編)』 を参照してください。
Diffie-Hellman 認証を使用するように、Secure NFS 環境を設定できます。この認証サービスについては、『Solaris のシステム管理 (セキュリティサービス)』の「認証サービスの使用 (手順)」で説明しています。
NFS サービスでは、Kerberos バージョン 5 認証もサポートされています。Kerberos サービスについては、『Solaris のシステム管理 (セキュリティサービス)』の「SEAM について」で説明しています。
DH 認証を使用して Secure NFS 環境を設定する方法
ドメインにドメイン名を割り当て、そのドメイン名をドメイン内の各コンピュータに知らせます。
NIS+ をネームサービスとして使用している場合は、『Solaris のシステム管理 (ネーミングとディレクトリサービス : FNS、NIS+ 編)』を参照してください。
newkey コマンドまたは nisaddcred コマンドを使用して、クライアントのユーザーの公開鍵と秘密鍵を設定します。chkey コマンドを使用して、各ユーザーに独自の Secure RPC パスワードを設定してもらいます。
注 - これらのコマンドについての詳細は、newkey(1M)、nisaddcred(1M)、および chkey(1) のマニュアルページを参照してください。
ネームサービスが応答していることを確認します。NIS+ を実行している場合は、以下を入力してください。
# nisping -u Last updates for directory eng.acme.com. : Master server is eng-master.acme.com. Last update occurred at Mon Jun 5 11:16:10 1995 Replica server is eng1-replica-replica-58.acme.com. Last Update seen was Mon Jun 5 11:16:10 1995NIS を実行している場合は、ypbind デーモンが動作していることを確認してください。
キーサーバーの keyserv デーモン が動作していることを確認します。
次のコマンドを入力します。
# ps -ef | grep keyserv root 100 1 16 Apr 11 ? 0:00 /usr/sbin/keyserv root 2215 2211 5 09:57:28 pts/0 0:00 grep keyserv
keyserv デーモンが動作していない場合は、次の内容を入力してキーサーバーを起動します。
# /usr/sbin/keyserv
通常、ログインパスワードはネットワークパスワードと同じです。この場合、keylogin は不要です。ログインパスワードとネットワークパスワードが異なる場合、ユーザーはログインしてから keylogin を実行しなければなりません。また、keylogin -r を root として実行し、復号化した秘密鍵を /etc/.rootkey に保存しなければなりません。
注 - keylogin -r は、root の秘密鍵が変更されたか、/etc/.rootkey が損失した場合に、実行する必要があります。
ファイルシステムに対するマウントオプションを更新します。
Diffie-Hellman 認証を使用するには、/etc/dfs/dfstab ファイルを編集し、該当するエントリに sec=dh オプションを追加します。
share -F nfs -o sec=dh /export/home
/etc/dfs/dfstab については、dfstab(4) のマニュアルページを参照してください。
ファイルシステムに対するオートマウンタマップを更新します。
auto_master データを編集し、Diffie-Hellman 認証のエントリ内にマウントオプションとして sec=dh を含めます。
/home auto_home -nosuid,sec=dh
注 - Solaris 2.5 以前のリリースでは、その機能が制限されています。クライアントが、セキュリティ保護されている共有ファイルシステムにセキュリティモードでマウントしない場合、ユーザーは、そのユーザー自身ではなく、nobody ユーザーとしてアクセスすることになります。Solaris 2.5 以降の NFS バージョン 2 では、セキュリティモードが一致しないと、share コマンド行に -sec=none が指定されていないかぎり、NFS サーバーによってアクセスが拒否されます。NFS のバージョン 3 では、セキュリティ保護されていることを示すモードが NFS サーバーから引き継がれるので、クライアントが sec=dh を指定する必要はありません。ユーザーは、そのユーザー自身としてファイルにアクセスできます。
コンピュータを設置し直したり、移設したり、アップグレードしたりするときに、新しい鍵を設定せず、root 用の鍵も変更しない場合は、必ず /etc/.rootkey を保存してください。/etc/.rootkey を削除するには、通常、次のコマンドを入力します。
# keylogin -r