11.4.

Serveur de fichiers NFS 000000

NFS (Network File System) est un protocole qui permet d'accder un systme de fichiers
distance par le rseau, pris en charge par tous les systmes Unix. Pour Windows, il faudra
employer Samba.
NFS est un outil trs utile. S'il avait de nombreuses limitations auparavant, elles ont pour la
plupart disparu avec la version 4 du protocole. L'inconvnient est que la dernire version de NFS
est dsormais plus difficile configurer ds que l'on veut utiliser des fonctions de scurit de
base telles que l'authentification et le chiffrement, puisqu'il repose sur Kerberos pour ces
fonctionnalits. Et sans ces deux dernires, l'utilisation du protocole NFS doit se limiter un
rseau local de confiance car les donnes qui circulent sur le rseau ne sont pas chiffres
(un sniffer peut les intercepter) et les droits d'accs sont accords en fonction de l'adresse IP du
client (qui peut tre usurpe).

11.4.1. Scuriser NFS (au mieux)

Si les fonctionnalits de scurit de Kerberos ne sont pas utilises, il faut s'assurer que seules les
machines autorises l'employer peuvent se connecter aux diffrents serveurs RPC qui lui permettent de
fonctionner, car le protocole de base considre les donnes reues du rseau comme des donnes sres.
Le pare-feu doit donc prohiber l'usurpation d'adresse IP (IP spoofing) pour qu'une machine extrieure ne
puisse pas se faire passer pour une machine intrieure, et les diffrents ports employs doivent tre
restreints aux machines devant accder aux partages NFS.

NB :
RPC (Remote Procedure Call, ou appel de procdure distante) est un standard Unix pour des services
distants. NFS est un service RPC.
Les services RPC s'enregistrent dans un annuaire, le portmapper. Un client dsireux d'effectuer une
requte NFS s'adresse auportmapper (port 111 en TCP ou UDP) et lui demande o se trouve le serveur
NFS. On lui rpond gnralement en indiquant le port 2049 (port par dfaut pour NFS). Tous les services
RPC ne disposent pas ncessairement d'un port fixe.

11.4.2. Serveur NFS

Le serveur NFS est intgr au noyau Linux ; Debian le compile dans ses noyaux sous forme de
module. Pour l'activer automatiquement chaque dmarrage, il faut installer le paquet nfskernel-server, qui contient les scripts d'initialisation adquats.

Le fichier de configuration du serveur NFS, /etc/exports, donne les rpertoires exports

l'extrieur. chaque partage NFS sont associes des machines qui ont le droit d'y accder. Un
certain nombre d'options permettent de dicter quelques rgles d'accs. Le format de ce fichier
est trs simple :

Dans un environnement rseau sous UNIX, le partage de ressources rseau est importante. Et
comme le protocole Samba est maintenant implment par dfaut sur la plupart des systmes
UNIX, la question du choix NFS ou SAMBA peut se poser.

Comparaison

NFS
Le protocole NFS a t dvelopp dans le monde UNIX afin de partager des rpertoires. Il est
fond nativement sur l'authentification par hte et non pas utilisateur.
Pour une gestion fine des utilisateurs, il faut utiliser le mme ID sur le serveur et les clients,
ainsi qu'un certain nombre d'options. Ce qui s'avre rapidement compliqu.
L'authentification par hte peut se faire, soit par adresse IP (et dans ce cas, il faut grer le
DHCP), soit par nom de machine (et dans ce cas, il faut grer un DNS ou un fichier hosts).
Pour des ressources communes, il est toutefois possible de ne prciser aucun hte, ce qui
signifietout le monde.
Une fois le systme de fichier mont sur la machine cliente, l'accs se fait selon le processus
habituel UNIX, c'est--dire que c'est l'uid/gid qui donne les droits d'accs aux fichiers et
rpertoires. Or, si un utilisateur autre possdait le mme uid/gid, alors il pourrait accder des
fichiers/rpertoires qui ne lui sont normalement pas autoriss. Il faudrait donc dfinir
finement, sur chaque machine cliente, qu'un utilisateur donn ne corresponde un seul et
unique uid/gid.

Cependant, le systme NFS est ais mettre en place et plus performant que SAMBA. Il est
donc idal pour des rpertoires partags.

SAMBA
Le protocole SAMBA a t cr pour interconnecter le monde Windows avec UNIX. Son
authentification est fonde sur l'utilisateur.
Pour un utilisateur donn, quelle que soit sa machine, il est ais de le rediriger vers son
rpertoire personnel, juste avec son login/mot de passe, ce qui est beaucoup plus simple grer
dans une architecture disperse (rseau).

Conclusion
Afin d'viter une mise en uvre complexe, pour des rseaux sans contraintes particulires, le
plus simple est donc de procder comme suit :

Pour les ressources fixes - logiciels, CDROM, sources, mises jour, etc. -utiliser NFS.

Pour les ressources utilisateurs - home/utilisateur, etc. -, utiliser SAMBA.