Forum Linux.général Sécuriser NFS (suite)

Posté par  (site web personnel) .
Étiquettes : aucune
0
25
juin
2012

http://linuxfr.org/forums/linuxg%C3%A9n%C3%A9ral/posts/securiser-nfs

Petite suite de cette entrée dans le forum (ca serait bien qu'en cas d'activité, les entreés remontent sur linuxfr comme sur les autres forums…)

On m'avait proposé de passer par kerberos, je me dis: "cool, beaucoup mieux, on authentifie au mount (on peut meme faire mieux), c'est parfait"

Et là je passe à la pratique…

Problème, mon serveur SAMBA/NFS est déjà configuré pour utiliser le service Kerberos de l'Active Directory… Résultat, je n'arrive pas à mettre en place le service kerberos sur le serveur, je ne sais même pas si il y'a moyen…

http://blogs.technet.com/b/filecab/archive/2010/05/13/using-kerberos-security-with-server-for-nfs.aspx

Microsoft fournit de la doc pour mettre en place NFS+Kerberos avec des clients Linux mais uniquement dans le cadre d'un serveur NFS sur une machine Windows…

Voilà, quelqu'un à déjà joué avec ca ?

  • # j'ai jamais testé en environnement hostile

    Posté par  . Évalué à 2.

    mais tu peux rechercher du coté des realm (multiple realm)

    j'ai des liens (mais tu les a peut être déjà trouvé )
    http://wiki.debian.org/NFS/Kerberos
    et
    wiki.debian.org/NFS/Kerberos

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: j'ai jamais testé en environnement hostile

      Posté par  (site web personnel) . Évalué à 2.

      Oui, j'avais déjà regardé mais je tourne en rond et j'ai pas vraiment le temps d'y passer des semaines :-/ Surtout qu'a force des taper des commandes dont je ne suis pas sur de saisir le sens, j'avais reussi à faire des trucs bizarres dans l'AD…

      Bon, j'ai finalement opté pour le couple ssh + sudo afin de permettre au client se donner l'accés sur le serveur (iptables) le temps de monter le partage et de le supprimer une fois monté (vu que le 2049 suffit une fois monté).

      C'est de la bidouille et ca repose sur la clé privé du client mais je vois pas comment faire mieux pour l'instant.

  • # pourquoi NFS

    Posté par  . Évalué à 2.

    la question est simple, samba gere l'authentification
    samba client existe pour linux/mac/windows

    alors pourquoi vouloir continuer à faire du NFS ?

    • [^] # Re: pourquoi NFS

      Posté par  . Évalué à 2.

      je viens d'aller voir ton precedent post.

      je ne vois pas trop ce que tu as besoin de securiser ?

      • les homes doivent etre dispo pour TOUS les utilisateurs, il est monté par le root de la machine (fstab), tu configures ton client pour faire du pam_ldap qui permet alors d'avoir les memes UID/GID sur TOUS les clients

      tu peux evidemment limiter les clients qui peuvent se connecter en NFS au serveur en utilisant les IPs des clients dans le fichier export.

      • un dossier de projet doit aussi etre accessible à plusieurs utilisateurs de ce projet mais ca peut etre monté en CIFS par l'utilisateur avec nautilus/konqueror…

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.