9330 stack overflow when creating a deeply nested dataset
[unleashed.git] / usr / src / man / man5 / nfssec.5
blobda696103cabd226bcc23fff03277420b59d20cc7
1 '\" te
2 .\" Copyright 2014 Nexenta Systems, Inc.  All rights reserved.
3 .\" Copyright (c) 2001, Sun Microsystems, Inc. All Rights Reserved
4 .\" The contents of this file are subject to the terms of the Common Development and Distribution License (the "License"). You may not use this file except in compliance with the License. You can obtain a copy of the license at usr/src/OPENSOLARIS.LICENSE or http://www.opensolaris.org/os/licensing.
5 .\" See the License for the specific language governing permissions and limitations under the License. When distributing Covered Code, include this CDDL HEADER in each file and include the License file at usr/src/OPENSOLARIS.LICENSE. If applicable, add the following below this CDDL HEADER, with the
6 .\" fields enclosed by brackets "[]" replaced with your own identifying information: Portions Copyright [yyyy] [name of copyright owner]
7 .TH NFSSEC 5 "Nov 20, 2014"
8 .SH NAME
9 nfssec \- overview of NFS security modes
10 .SH DESCRIPTION
11 .LP
12 The \fBmount_nfs\fR(1M) and \fBshare_nfs\fR(1M) commands each provide a way to
13 specify the security mode to be used on an \fBNFS\fR file system through the
14 \fBsec=\fR\fImode\fR option. \fImode\fR can be \fBsys\fR, \fBdh\fR, \fBkrb5\fR,
15 \fBkrb5i\fR, \fBkrb5p\fR, or \fBnone\fR. These security modes can also be added
16 to the automount maps. Note that \fBmount_nfs\fR(1M) and \fBautomount\fR(1M) do
17 not support \fBsec=none\fR at this time. \fBmount_nfs\fR(1M) allows you to
18 specify a single security mode; \fBshare_nfs\fR(1M) allows you to specify
19 multiple modes (or \fBnone\fR). With multiple modes, an NFS client can choose
20 any of the modes in the list.
21 .sp
22 .LP
23 The \fBsec=\fR\fImode\fR option on the \fBshare_nfs\fR(1M) command line
24 establishes the security mode of \fBNFS\fR servers. If the \fBNFS\fR connection
25 uses the \fBNFS\fR Version 3 protocol, the \fBNFS\fR clients must query the
26 server for the appropriate \fImode\fR to use. If the \fBNFS\fR connection uses
27 the \fBNFS\fR Version 2 protocol, then the \fBNFS\fR client uses the default
28 security mode, which is currently \fBsys\fR. \fBNFS\fR clients may force the
29 use of a specific security mode by specifying the \fBsec=\fR\fImode\fR option
30 on the command line. However, if the file system on the server is not shared
31 with that security mode, the client may be denied access.
32 .sp
33 .LP
34 If the \fBNFS\fR client wants to authenticate the \fBNFS\fR server using a
35 particular (stronger) security mode, the client wants to specify the security
36 mode to be used, even if the connection uses the \fBNFS\fR Version 3 protocol.
37 This guarantees that an attacker masquerading as the server does not compromise
38 the client.
39 .sp
40 .LP
41 The \fBNFS\fR security modes are described below. Of these, the \fBkrb5\fR,
42 \fBkrb5i\fR, \fBkrb5p\fR modes use the Kerberos V5 protocol for authenticating
43 and protecting the shared filesystems. Before these can be used, the system
44 must be configured to be part of a Kerberos realm. See \fBkerberos\fR(5).
45 .sp
46 .ne 2
47 .na
48 \fB\fBsys\fR\fR
49 .ad
50 .RS 9n
51 Use \fBAUTH_SYS\fR authentication. The user's UNIX user-id and group-ids are
52 passed in the clear on the network, unauthenticated by the \fBNFS\fR server.
53 This is the simplest security method and requires no additional administration.
54 It is the default used by Solaris \fBNFS\fR Version 2 clients and Solaris
55 \fBNFS\fR servers.
56 .sp
57 According to the ONC RPC specification (RFC 5531), \fBAUTH_SYS\fR
58 authentication supports up to 16 groups for a user only.  To workaround this
59 limitation, in the case where the \fBNFS\fR client supplied 16 groups in
60 \fBAUTH_SYS\fR and \fBNGROUPS_MAX\fR is more than 16, the \fBNFS\fR server
61 will lookup the user's groups on the server instead of relying on the list of
62 groups provided by the \fBNFS\fR client via \fBAUTH_SYS\fR.
63 .RE
65 .sp
66 .ne 2
67 .na
68 \fB\fBdh\fR\fR
69 .ad
70 .RS 9n
71 Use a Diffie-Hellman public key system (\fBAUTH_DES\fR, which is referred to as
72 \fBAUTH_DH\fR in the forthcoming Internet \fBRFC).\fR
73 .RE
75 .sp
76 .ne 2
77 .na
78 \fB\fBkrb5\fR\fR
79 .ad
80 .RS 9n
81 Use Kerberos V5 protocol to authenticate users before granting access to the
82 shared filesystem.
83 .RE
85 .sp
86 .ne 2
87 .na
88 \fB\fBkrb5i\fR\fR
89 .ad
90 .RS 9n
91 Use Kerberos V5 authentication with integrity checking (checksums) to verify
92 that the data has not been tampered with.
93 .RE
95 .sp
96 .ne 2
97 .na
98 \fB\fBkrb5p\fR\fR
99 .ad
100 .RS 9n
101 User Kerberos V5 authentication, integrity checksums, and privacy protection
102 (encryption) on the shared filesystem. This provides the most secure filesystem
103 sharing, as all traffic is encrypted. It should be noted that performance might
104 suffer on some systems when using \fBkrb5p\fR, depending on the computational
105 intensity of the encryption algorithm and the amount of data being transferred.
109 .ne 2
111 \fB\fBnone\fR\fR
113 .RS 9n
114 Use null authentication (\fBAUTH_NONE\fR). \fBNFS\fR clients using
115 \fBAUTH_NONE\fR have no identity and are mapped to the anonymous user
116 \fBnobody\fR by \fBNFS\fR servers. A client using a security mode other than
117 the one with which a Solaris \fBNFS\fR server shares the file system has its
118 security mode mapped to \fBAUTH_NONE.\fR In this case, if the file system is
119 shared with \fBsec=none,\fR users from the client are mapped to the
120 anonymous user. The \fBNFS\fR security mode \fBnone\fR is supported by
121 \fBshare_nfs\fR(1M), but not by \fBmount_nfs\fR(1M) or \fBautomount\fR(1M).
124 .SH FILES
125 .ne 2
127 \fB\fB/etc/nfssec.conf\fR\fR
129 .RS 20n
130 \fBNFS\fR security service configuration file
133 .SH SEE ALSO
135 \fBautomount\fR(1M), \fBkclient\fR(1M), \fBmount_nfs\fR(1M),
136 \fBshare_nfs\fR(1M), \fBrpc_clnt_auth\fR(3NSL), \fBsecure_rpc\fR(3NSL),
137 \fBnfssec.conf\fR(4), \fBattributes\fR(5), \fBkerberos\fR(5)
138 .SH NOTES
140 \fB/etc/nfssec.conf\fR lists the \fBNFS\fR security services. Do not edit this
141 file. It is not intended to be user-configurable. See \fBkclient\fR(1M).