ドキュメントの変更をリクエスト
GitHub で編集
寄稿者向けガイド
利用可能なPDF
デュアルプロトコル/マルチプロトコル
寄稿者
Cloud Volumes Service では、適切なアクセス権限を維持しながら、SMBクライアントとNFSクライアントの両方で同じデータセットを共有できます ("デュアルプロトコル")。これを行うには、プロトコル間でIDマッピングを調整し、中央のバックエンドLDAPサーバを使用してUNIX IDをCloud Volumes Service に提供します。Windows Active Directoryを使用すると、WindowsとUNIXの両方のユーザに使いやすさを提供できます。
Access Control の略
-
共有アクセス制御。 NAS共有にアクセスできるクライアントまたはユーザーおよびグループを決定します。NFSの場合は、エクスポートへのクライアントアクセスを制御するエクスポートポリシーとルールがあります。NFSエクスポートはCloud Volumes Service インスタンスから管理されます。SMBは、CIFS / SMB共有と共有ACLを利用して、ユーザレベルおよびグループレベルでより細かく制御します。を使用して設定できるのは、SMBクライアントからのみ共有レベルのACLです "MMC /コンピュータの管理" Cloud Volumes Service インスタンスに対する管理者権限を持つアカウントを使用する場合(を参照) "“ローカル/ BUILTIN管理者/バックアップ権限を持つアカウント”")。
-
*ファイルアクセス制御。*ファイルまたはフォルダレベルで権限を制御し、常にNASクライアントから管理します。NFSクライアントは、従来のモードビット(rwx)またはNFSv4 ACLを使用できます。SMBクライアントはNTFS権限を利用します。
NFSとSMBの両方にデータを提供するボリュームのアクセス制御は、使用しているプロトコルによって異なります。デュアルプロトコルの権限については、「」を参照してくださいアクセス許可モデル」
ユーザマッピング
クライアントがボリュームにアクセスすると、Cloud Volumes Service は受信ユーザを反対方向の有効なユーザにマッピングしようとします。これは、プロトコルを使用して適切なアクセスを決定し、アクセスを要求しているユーザが実際に誰であるかを確認するために必要です。
たとえば、「joe」という名前のWindowsユーザがSMB経由でUNIXアクセス権を持つボリュームにアクセスしようとすると、Cloud Volumes Service は「joe」という名前の対応するUNIXユーザを検索します。存在する場合、Windowsユーザ「joe」としてSMB共有に書き込まれるファイルは、NFSクライアントからはUNIXユーザ「joe」と表示されます。
また、「joe」という名前のUNIXユーザがWindows権限を持つCloud Volumes Service ボリュームへのアクセスを試みる場合、そのUNIXユーザは有効なWindowsユーザにマッピングできる必要があります。そうしないと、ボリュームへのアクセスが拒否されます。
現時点では、LDAPを使用した外部UNIX IDの管理でサポートされているのはActive Directoryのみです。このサービスへのアクセスの設定の詳細については、を参照してください "AD接続の作成"。
アクセス許可モデル
デュアルプロトコルのセットアップを使用する場合、Cloud Volumes Service では、ボリュームのセキュリティ形式を使用してACLのタイプを決定します。これらのセキュリティ形式は、Cloud Volumes Service ボリュームの作成時に選択したNASプロトコル、またはデュアルプロトコルの場合に選択したセキュリティ形式に基づいて設定されます。
-
NFSのみを使用している場合は、Cloud Volumes Service ボリュームでUNIX権限が使用されます。
-
SMBのみを使用する場合、Cloud Volumes Service ボリュームはNTFS権限を使用します。
デュアルプロトコルボリュームを作成する場合は、ボリュームの作成時にACL形式を選択できます。この決定は、必要な権限管理に基づいて行う必要があります。ユーザがWindows / SMBクライアントから権限を管理している場合は、NTFSを選択します。ユーザがNFSクライアントおよびchmod / chownを使用することを希望する場合は、UNIXセキュリティ形式を使用します。