日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

クライアントの認証と許可

寄稿者

ONTAP では、標準的な方法を使用して、クライアントや管理者によるストレージへのアクセスを保護し、ウィルスから保護します。保存データの暗号化や WORM ストレージでは、高度なテクノロジも使用できます。

ONTAP では、信頼できるソースで ID を検証してクライアントマシンおよびユーザを認証します。ONTAP は、ユーザのクレデンシャルとファイルまたはディレクトリに対して設定されている権限を比較して、ユーザにファイルまたはディレクトリへのアクセスを許可します。

認証

ローカルまたはリモートのユーザアカウントを作成できます。

  • ローカルアカウントでは、アカウント情報がストレージシステムに格納されます。

  • リモートアカウントでは、アカウント情報が Active Directory ドメインコントローラ、 LDAP サーバ、または NIS サーバに格納されます。

ONTAP は、ローカルまたは外部のネームサービスを使用して、ホスト名、ユーザ、グループ、ネットグループ、およびネームマッピング情報を検索します。ONTAP では、次のネームサービスをサポートしています。

  • ローカルユーザ

  • DNS

  • 外部 NIS ドメイン

  • 外部 LDAP ドメイン

a_name service switch table_ には、ネットワーク情報を検索するソースと、その検索順序を指定します( UNIX システムの /etc/nsswitch.conf ファイルに相当する機能を提供します)。NAS クライアントが SVM に接続すると、 ONTAP は指定されたネームサービスをチェックして、必要な情報を取得します。

*kerberos support*Kerberos は ' クライアント / サーバ実装でユーザ・パスワードを暗号化することによって「三次認証」を提供するネットワーク認証プロトコルですONTAP では、整合性チェック機能を備えた Kerberos 5 認証( krb5i )とプライバシーチェック機能を備えた Kerberos 5 認証( krb5p )をサポートしています。

承認

ONTAP では、 3 つのレベルのセキュリティを評価して、 SVM 上にあるファイルおよびディレクトリに対して要求された処理を実行する権限がエンティティにあるかどうかを判断します。アクセスは、セキュリティレベルの評価後に有効な権限によって判断されます。

  • エクスポート( NFS )および共有( SMB )セキュリティ

    指定された NFS エクスポートまたは SMB 共有へのエクスポートおよび共有セキュリティ環境クライアントアクセス管理者権限を持つユーザは、 SMB クライアントと NFS クライアントからエクスポートおよび共有レベルのセキュリティを管理できます。

  • ストレージレベルのアクセス保護のファイルおよびディレクトリセキュリティ

    ストレージレベルのアクセス保護セキュリティ環境 SVM ボリュームへの SMB および NFS クライアントアクセスNTFS のアクセス権のみがサポートされています。ONTAP で、ストレージレベルのアクセス保護が適用されているボリューム上のデータにアクセスする UNIX ユーザのセキュリティチェックを行うには、 UNIX ユーザがボリュームを所有する SVM 上の Windows ユーザにマッピングされている必要があります。

  • NTFS 、 UNIX 、および NFSv4 のネイティブのファイルレベルのセキュリティ

    ストレージオブジェクトを表すファイルやディレクトリには、ネイティブのファイルレベルのセキュリティが存在します。ファイルレベルのセキュリティはクライアントから設定できます。ファイル権限は、データへのアクセスに SMB と NFS のどちらを使用するかに関係なく有効です。