Reference Guide
NFS sécurisé
NFS sécurisé est l'utilisation de Kerberos pour authentifier les utilisateurs ayant NFSv3 et NFSv4. Kerberos assure l'intégrité (signature) et
la confidentialité (chiffrement). Il n'est pas nécessaire d'activer les options d'intégrité et de confidentialité. Il s'agit d'options d'exportation
NFS.
Sans Kerberos, le serveur s'appuie entièrement sur le client pour authentifier les utilisateurs : le serveur fait confiance au client. Avec
Kerberos, le serveur s'appuie sur le Centre de distribution de clés (KDC). C’est le KDC qui effectue l’authentification, et gère les comptes
(entités de sécurité) et les mots de passe. En outre, aucun mot de passe sous quelque forme que ce soit n’est envoyé sur le réseau.
Sans Kerberos, les informations d'identification de l'utilisateur sont envoyées sur le réseau non chiffrées et peuvent donc être usurpées.
Avec Kerberos, l'identité (l'entité de sécurité) de l'utilisateur est intégrée au ticket Kerberos chiffré, qui ne peut être lu que par le serveur
cible et le KDC. Ils sont les seuls à connaître la clé de chiffrement.
Le chiffrement AES128 et AES256 de Kerberos est pris en charge en même temps que NFS sécurisé. En plus de NFS sécurisé, cela
impacte également SMB et LDAP. Ces chiffrements sont désormais pris en charge par défaut par Windows et Linux. Ces nouveaux
chiffrements sont beaucoup plus sécurisés. Toutefois, le client peut choisir ou non de les utiliser. Le serveur crée les informations
d’identification de l’utilisateur à partir de l’entité de sécurité de ce dernier en interrogeant le service UDS (Unix Directory Service) actif.
Étant donné que NIS n'est pas sécurisé, il n'est pas recommandé de l'utiliser avec NFS sécurisé. Il est recommandé d'utiliser Kerberos avec
LDAP ou LDAPS.
NFS Secure peut être configuré via PowerStore Manager.
Relations de protocole fichier
Avec Kerberos, les éléments suivants sont obligatoires :
● DNS : vous devez utiliser un nom DNS à la place des adresses IP.
● NTP : PowerStore doit disposer d’un serveur NTP configuré.
REMARQUE : Kerberos s'appuie sur la synchronisation de l'heure correcte entre le KDC, serveurs et le client sur le réseau.
● UDS : doit être utilisé pour créer les informations d’identification.
● Nom d’hôte : Kerberos fonctionne avec des noms au lieu d’adresses IP.
En fonction de la valeur du nom d’hôte, NFS sécurisé utilise un ou deux SPN. Si le nom d'hôte est au format FQDN (nom de domaine
complet) hôte.domaine :
● Le SPN court est : nfs/host@REALM
● Le SPN long est : nfs/host.domainFQDN@REALM
Si le nom d'hôte n'est pas au format FQDN, seul le SPN court est utilisé.
Comme avec SMB où un serveur SMB peut être joint à un domaine, un serveur NFS peut être joint à un royaume (le terme Kerberos
équivalent au terme Domaine). Pour cela, deux options sont possibles :
● Utiliser le domaine Windows configuré, le cas échéant
● Configurer entièrement un royaume Kerberos basé sur le KDC UNIX
Si l’administrateur choisit d’utiliser le domaine Windows configuré, aucune autre action n’est nécessaire. Chaque SPN utilisé par le service
NFS est automatiquement ajouté/supprimé dans le KDC lorsque le serveur SMB est associé/dissocié. Notez que le serveur SMB ne peut
pas être détruit si NFS sécurisé est configuré pour utiliser la configuration SMB.
Si l'administrateur choisit d'utiliser un royaume Kerberos basé sur UNIX, une configuration supplémentaire est nécessaire :
● Nom du royaume : nom du royaume Kerberos qui ne contient normalement que des lettres majuscules.
● Configurez entièrement un royaume Kerberos basé sur le KDC UNIX.
Pour garantir qu'un client monte une exportation NFS avec une sécurité spécifique, un paramètre de sécurité, sec, est fourni. Il indique la
sécurité minimale autorisée. Il existe 4 types de sécurité :
● AUTH_SYS: sécurité standard existante qui n’utilise pas Kerberos. Le serveur approuve les informations d'identification fournies par le
client
● KRB5: authentification à l’aide de Kerberos v5
● KRB5i: authentification Kerberos plus intégrité (signature)
● KRB5p: authentification Kerberos plus intégrité, plus confidentialité (chiffrement)
Si un client NFS tente de monter une exportation avec une sécurité inférieure à la sécurité minimale configurée, l'accès est refusé. Par
exemple, si l’accès minimal est KRB5i, tout montage utilisant AUTH_SYS ou KRB5 est refusé.
Authentification et accès
19