Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Führen Sie eine strengere Zugriffsüberprüfung für Netgroups durch, indem Sie Domänen überprüfen

Beitragende

Standardmäßig führt ONTAP eine zusätzliche Verifizierung durch, wenn der Client-Zugriff für eine Netzwerkgruppe ausgewertet wird. Bei der zusätzlichen Überprüfung wird sichergestellt, dass die Domäne des Clients mit der Domänenkonfiguration der Storage Virtual Machine (SVM) übereinstimmt. Andernfalls verweigert ONTAP den Client-Zugriff.

Über diese Aufgabe

Wenn ONTAP die Regeln für die Exportrichtlinie für den Clientzugriff evaluiert und eine Regel für die Exportrichtlinie eine Netzwerkgruppe enthält, muss ONTAP festlegen, ob die IP-Adresse eines Clients zur Netzgruppe gehört. Zu diesem Zweck konvertiert ONTAP die IP-Adresse des Clients mithilfe von DNS in einen Hostnamen und erhält einen vollständig qualifizierten Domänennamen (FQDN).

Wenn in der netgroup-Datei nur ein Kurzname für den Host aufgeführt wird und der Kurzname für den Host in mehreren Domänen vorhanden ist, kann ein Client aus einer anderen Domain ohne diese Prüfung Zugriff erhalten.

Um dies zu verhindern, vergleicht ONTAP die Domäne, die vom DNS für den Host zurückgegeben wurde, mit der Liste der für die SVM konfigurierten DNS-Domänennamen. Stimmt das überein, ist der Zugriff zulässig. Stimmt diese nicht überein, wird der Zugriff verweigert.

Diese Überprüfung ist standardmäßig aktiviert. Sie können die IT-Abteilung durch Ändern des managen -netgroup-dns-domain-search Parameter, der auf der erweiterten Berechtigungsebene verfügbar ist.

Schritte
  1. Legen Sie die Berechtigungsebene auf erweitert fest:

    set -privilege advanced

  2. Führen Sie die gewünschte Aktion aus:

    Wenn Sie möchten, dass die Domänenüberprüfung für Netzgruppen…​ Eingeben…​

    Aktiviert

    vserver nfs modify -vserver vserver_name -netgroup-dns-domain-search enabled

    Deaktiviert

    vserver nfs modify -vserver vserver_name -netgroup-dns-domain-search disabled

  3. Legen Sie die Berechtigungsebene auf admin fest:

    set -privilege admin