我在 CentOS 7 客户端和服务器上使用sec=krb5p启用了加密的 NFSv4。我的 NFS 共享在启动时完美挂载,当我查询密钥表文件时,我能够查看可用密码的列表,如下所示...
# klist -ke
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fqdn.host.name@ADS (des-cbc-crc)
3 nfs/fqdn.host.name@ADS (des-cbc-md5)
3 nfs/fqdn.host.name@ADS (arcfour-hmac)
3 nfs/fqdn.host.name@ADS (aes256-cts-hmac-sha1-96)
3 nfs/fqdn.host.name@ADS (aes128-cts-hmac-sha1-96)
这真是太棒了,我很高兴能够使用 Kerberos 5 身份验证安全地使用 NFSv4 进行端到端加密,甚至可以限制可用的密码,或通过文件排除“弱密码” /etc/krb5.conf。现在它“工作”了,我当然希望能够验证我的客户端没有默认使用“des-cbc-crc”之类的弱加密密码,或者更好的是确认我的客户端正在使用“aes256-cts-hmac-sha1-96”加密!我似乎无法在任何 Kerberos 软件包实用程序中找到此功能。
有没有办法确定使用哪种密码来保护现有的 NFS 挂载?