HOMEサンプル問題・例題解説303試験の例題と解説322.6 NFSv4

303試験の例題と解説

322.6NFSv4

今回は303試験の試験範囲から「322.6 NFSv4」についての例題を解いてみます。


■トピックの概要
このトピックの内容は以下の通りです。

<322.6 NFSv4>
重要度     1

<説明>
NFSv4サービスの使用方法と設定上のセキュリティ問題について経験と知識があること。NFSv3以前のバージョンについての知識は必要ない。

<主要な知識範囲>
・NFSv4 の安全性を中心とした強化点、問題点、使用方法
・NFSv4を使用した疑似ファイルシステム
・NFSv4 のセキュリティメカニズム (LIPKEY, SPKM, Kerberos)

<重要なファイル、用語、ユーティリティ>
・NFSv4 ACLs
・nfs4acl
・RPCSEC_GSS
・/etc/exports


■例題
NFSv4のセキュリティの説明として間違っているものを選びなさい。

1. より複雑なACLが利用できる
2. Kerberos認証が必須
3. idmapdによるIDと名前のマッピングが必要
4. iptablesによる接続制限が行える

※この例題は実際のLinuC試験とは異なります。

解答と解説

答えは 2. Kerberos認証が必須 です。

NFSv4は、従来のNFSv3に比べて、パフォーマンスとセキュリティの面での強化が図られています。

NFSv3では、通常のLinuxのファイルシステムと同様にユーザー、グループベースのアクセス制御が行われていましたが、NFSv4ではより複雑なACLが利用できます。この機能を実現するために、名前ベースでのコントロールが必要になっています。

名前ベースのコントロールは、Kerberos認証を使用するか、idmapdを使ったIDと名前のマッピングが必要となります。idmapdに関する設定ファイルは/etc/idmapd.confとなります。

○/etc/idmapd.confの例
[General]

Verbosity = 0
Pipefs-Directory = /var/lib/nfs/rpc_pipefs
Domain = localdomain

[Mapping]

Nobody-User = nobody
Nobody-Group = nobody

[Translation]
Method = nsswitch
---


NFSv4からは、接続可能なクライアントの制御などにはiptablesによるパケットフィルタリングが使用できます。これはNFSv4から使用するポートが2049/tcpのみになったことによります。

  • 今回の解説について、理解できないポイントがあればどんどん質問を。
  • 採用になった方にはLPI-Japanオリジナルの記念品を贈呈します。
  • ご質問・ご意見はこちら
  • ※上記の解説とその内容については、例題作成者の監修です。
    内容や試験問題に関わるお問い合わせにつきましては、LPI-Japan事務局ではお応えできませんのでご了解ください。

このページのトップへ