Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

クライアント認証と許可

共同作成者 netapp-mwallis dmp-netapp netapp-aherbin
PDF

ONTAPは、クライアントと管理者のストレージへのアクセスを保護し、ウイルスから保護するために標準的な方法を使用しています。保存データの暗号化とWORMストレージには、高度なテクノロジーが利用可能です。

ONTAPは、信頼できるソースを使用してクライアントマシンとユーザーのIDを検証することで、それらを認証します。ONTAPは、ユーザーの認証情報とファイルまたはディレクトリに設定されている権限を比較することで、ユーザーにファイルまたはディレクトリへのアクセスを許可します。

認証

ユーザ アカウントは、ローカルまたはリモートとして作成できます。

  • ローカル アカウントでは、アカウント情報がストレージ システムに格納されます。

  • リモート アカウントでは、アカウント情報がActive Directoryドメイン コントローラ、LDAPサーバ、またはNISサーバに格納されます。

ONTAPは、ローカルまたは外部のネーム サービスを使用して、ホスト名、ユーザ、グループ、ネットグループ、ネーム マッピング情報を検索します。ONTAPでは、次のネーム サービスをサポートしています。

  • ローカル ユーザ

  • DNS

  • 外部NISドメイン

  • 外部LDAPドメイン

_ネーム サービス スイッチ テーブル_は、ネットワーク情報の検索元と検索順序を指定します(UNIXシステムの/etc/nsswitch.confファイルと同等の機能を提供します)。NASクライアントがSVMに接続すると、ONTAPは指定されたネーム サービスをチェックして必要な情報を取得します。

Kerberos サポート Kerberos は、クライアント/サーバ実装においてユーザパスワードを暗号化することで「強力な認証」を実現するネットワーク認証プロトコルです。ONTAP は、整合性チェック機能付き Kerberos 5 認証(krb5i)とプライバシーチェック機能付き Kerberos 5 認証(krb5p)をサポートしています。

許可

ONTAPでは、3つのレベルのセキュリティを評価して、SVM上にあるファイルおよびディレクトリに対して要求された処理を実行する権限がエンティティにあるかどうかを判断します。アクセスは、セキュリティ レベルの評価後に有効な権限によって判断されます。

  • エクスポート(NFS)および共有(SMB)セキュリティ

    エクスポートおよび共有セキュリティは、特定のNFSエクスポートまたはSMB共有へのクライアント アクセスに適用されます。管理者権限を持つユーザは、SMBクライアントとNFSクライアントからエクスポートおよび共有レベルのセキュリティを管理できます。

  • ストレージレベルのアクセス保護ファイルおよびディレクトリ セキュリティ

    ストレージレベルのアクセス保護セキュリティは、SVMボリュームへのSMBおよびNFSクライアント アクセスに適用されます。NTFSのアクセス権のみがサポートされています。ONTAPがストレージレベルのアクセス保護が適用されているボリューム上のデータにアクセスするUNIXユーザのセキュリティ チェックを行うには、UNIXユーザがボリュームを所有するSVM上のWindowsユーザにマッピングされている必要があります。

  • NTFS、UNIX、およびNFSv4のネイティブのファイルレベルのセキュリティ

    ストレージ オブジェクトを表すファイルやディレクトリには、ネイティブのファイルレベルのセキュリティが存在します。ファイルレベルのセキュリティはクライアントから設定できます。ファイル権限は、データへのアクセスにSMBとNFSのどちらを使用するかに関係なく有効です。

SAMLによる認証

ONTAPは、リモート ユーザの認証にSecurity Assertion Markup Language(SAML)をサポートしています。いくつかの一般的なアイデンティティ プロバイダ(IdPs)がサポートされています。サポートされているIdPsとSAML認証を有効にする手順の詳細については、"SAML 認証の設定"を参照してください。

OAuth 2.0とONTAP REST APIクライアント

ONTAP 9.14以降では、Open Authorization(OAuth 2.0)フレームワークがサポートされています。クライアントでREST APIを使用してONTAPにアクセスする場合、認証とアクセス制御には、OAuth 2.0しか使用できません。ただし、その機能を有効にするためには、CLI、System Manager、REST APIなどの任意のONTAP管理インターフェイスを使用できます。

標準的なOAuth 2.0機能に加え、いくつかの一般的な認可サーバーもサポートされています。Mutual TLSに基づく送信者制約付きアクセストークンを使用することで、ONTAPのセキュリティをさらに強化できます。また、自己完結型スコープ、ONTAP RESTロールやローカルユーザー定義との統合など、幅広い認可オプションをご利用いただけます。詳細については、"ONTAP OAuth 2.0導入の概要"をご覧ください。