9.5. ユーザー認証と承認のセットアップ¶

9.5.1. KerberosによるNFS共有ユーザーの認証¶

NFS共有でユーザー認証を有効にするには、以下の手順を実行します。

1. 順方向と逆方向で解決できるFQDN（完全修飾ドメイン名）を共有のIPアドレスに割り当てます。

2. [設定] > [セキュリティ] > [Kerberos] タブで、以下のKerberos情報を指定します。

   1. [レルム] で、FQDNを大文字で指定します。

   2. [KDCサービス] で、レルムのキー配布センター（KDC）サービスを実行するホストのFQDNまたはIPアドレスを指定します。

   3. [KDC管理サービス] で、レルムのKDC管理サービスを実行するホストのFQDNまたはIPアドレスを指定します。

      通常は、KDCとKDC管理サービスを同じホストで実行します。

3. Kerberosサーバーで、以下の手順を実行します。

   1. Kerberosデータベース管理プログラムの管理者としてログインします。

   2. addprinc -randkey nfs/<share_FQDN>@<realm>コマンドを使用して、共有のプリンシパルを追加します。例:

      # addprinc -randkey nfs/share1.example.com@example.com
      

   3. そのプリンシパルのkeytab（キーテーブル）を生成して、アップロード元にできるディレクトリに保存します。たとえば、次のようになります。

      # ktadd -k /tmp/krb5.keytab nfs/share1.example.com@example.com
      

4. [ストレージサービス] > [NFS] > [共有] タブで、共有を選択して [認証] をクリックします。

5. keytabファイルをアップロードして、[保存] をクリックします。

9.5.2. LDAPによるNFSエクスポートユーザーの認証¶

LDAPによってユーザーディレクトリへのアクセスを設定すれば、どのユーザーがどのNFSエクスポートにアクセスするかを制御できます。NFSアクセスパラメータを指定したユーザーアカウントのディレクトリが必要です。

LDAPサーバーへのアクセスを設定するには、以下の手順を実行します。

1. [設定] > [セキュリティ] > [LDAP] タブで、以下の情報を指定します。
   • [アドレス] で、LDAPサーバーのIPアドレスを指定します。
   • [ベースDN] で、検索の開始点の識別名を指定します。
2. [保存] をクリックします。