HOMEサンプル問題・例題解説303試験の例題と解説322.6 NFSv4

303試験の例題と解説

322.6 NFSv4

今回は303試験の試験範囲から「322.6 NFSv4」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

<322.6 NFSv4>
重要度 1

<説明>
NFSv4サービスの使用方法と設定上のセキュリティ問題について経験と知識があること。NFSv3以前のバージョンについての知識は必要ない。

<主要な知識範囲>
    NFSv4 の安全性を中心とした強化点、問題点、使用方法
    NFSv4を使用した疑似ファイルシステム
    NFSv4 のセキュリティメカニズム (LIPKEY, SPKM, Kerberos)

<重要なファイル、用語、ユーティリティ>
    NFSv4 ACLs
    nfs4acl
    RPCSEC_GSS
    /etc/exports


■例題

NFSv4の説明として間違っているものを選びなさい。

1. NFSv4ではLinuxのアカウントとは別のアカウントで接続を行う
2. NFSv4ではKerberosを使用したユーザー認証が必須である
3. Kerberos認証を使用する場合には/etc/exportsで認証要求を指定する
4. NFSv4はACLをサポートしている

※この例題は実際のLinuC試験とは異なります。

解答と解説

答えは 2. NFSv4ではKerberosを使用したユーザー認証が必須である です。

NFSv4では、従来のNFSv2、NFSv3から様々な強化が行われていますが、セキュリティ面で留意すべき点としては認証系の変更でしょう。

NFSv3とNFSv4の比較については、以下のページなどが参考になります。

http://www.netapp.com/jp/communities/tech-ontap/tot-nfs4-0805-ja.aspx

NFSv4では、LinuxのPOSIXアカウントとは別のアカウントで接続を行います。NFSv3ではUIDやGIDが同じであることを前提にしていましたが、規模の大きなシステムになるとUID/GIDのズレや間違った重複が起きる可能性があり、アクセスセキュリティの点で問題がありました。

ユーザー認証にKerberos認証は必須ではありませんが、上記アカウントのマッピングについて考えると、システム全体で統合的にアカウントを管理できるKerberos認証を利用することが推奨されます。ファイル共有を設定する/etc/exportsには、Kerberos認証を要求することが記述できますが、逆にIP/ホストベースの制御が行えなくなるので、パケットフィルタリングなどでのアクセス制御が必要になります。NFSv4はインターネット環境での利用も想定されているので、環境に合わせたセキュリティ設計が必要となるでしょう。

NFSv4ではアカウントの管理が高機能化したこともあり、ACLをサポートしています。エクスポートしたディレクトリ毎にACLを設定することができます。
NFSv4のACLの詳細については、以下のWikiを参考にしてください。

http://wiki.linux-nfs.org/wiki/index.php/ACLs

  • 今回の解説について、理解できないポイントがあればどんどん質問を。
  • 採用になった方にはLPI-Japanオリジナルの記念品を贈呈します。
  • ご質問・ご意見はこちら
  • ※上記の解説とその内容については、例題作成者の監修です。
    内容や試験問題に関わるお問い合わせにつきましては、LPI-Japan事務局ではお応えできませんのでご了解ください。

このページのトップへ