mountコマンドで「-o sec = krb5p」が不要なのはなぜですか?
Centos 7にNFSサーバーがあり、これを/ etc/exportsファイルに含めます。/export *(rw,sec=krb5p)
このコマンドを発行すると、期待どおりに正常にマウントされます。mount -t nfs -o sec=krb5p server.example.com:/export /mnt/export
また、このコマンドに応答して正常にマウントされます。mount -t nfs server.example.com:/export /mnt/export
どちらの場合も、findmntを実行すると、sec = krb5pオプションが使用されていることが示されます。 2番目のケースでは、mountコマンドの非表示のデフォルトがありますか、それともクライアントがnfsサーバーと通信して、sec = krb5pが唯一の許可されるオプションであることを発見しますか?
RHEL/CentOS 7:デフォルトはAUTH_SYSです。
RHEL 7ドキュメント から:
sec=mode
Its default setting is sec=sys, which uses local UNIX UIDs and GIDs. These use
AUTH_SYS to authenticate NFS operations."
sec=krb5 uses Kerberos V5 instead of local UNIX UIDs and GIDs to
authenticate users.
sec=krb5i uses Kerberos V5 for user authentication and performs integrity
checking of NFS operations using secure checksums to prevent
data tampering.
sec=krb5p uses Kerberos V5 for user authentication, integrity checking,
and encrypts NFS traffic to prevent traffic sniffing. This is the most
secure setting, but it also involves the most performance overhead.
Ubuntu 16.04:交渉済み。
man nfsから:
sec=flavor
The security flavor to use for accessing files on this
mount point. If the server does not support this fla‐
vor, the mount operation fails. If sec= is not speci‐
fied, the client attempts to find a security flavor that
both the client and the server supports. Valid flavors
are none, sys, krb5, krb5i, and krb5p. Refer to the
SECURITY CONSIDERATIONS section for details.
OSX 10.12:交渉済み。
man mount_nfsから:
sec=<mechanism>
Force a specific security mechanism to be used for the mount,
where mechanism is one of: krb5p, krb5i, krb5, or sys. When this
option is not given the security mechanism will be negotiated
transparently with the remote server.