Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

クライアント認証と許可

共同作成者
PDF

ONTAPでは、標準的な方法を使用して、クライアントと管理者によるストレージへのアクセスを保護し、ウィルスから保護します。保存データの暗号化とWORMストレージには、高度なテクノロジを使用できます。

ONTAPは、信頼できるソースでIDを検証することで、クライアントマシンおよびユーザを認証します。ONTAPは、ユーザのクレデンシャルとファイルまたはディレクトリに設定されている権限を比較することで、ユーザにファイルまたはディレクトリへのアクセスを許可します。

認証

ローカルまたはリモートのユーザアカウントを作成できます。

  • ローカルアカウントでは、アカウント情報がストレージシステム上に格納されます。

  • リモートアカウントでは、アカウント情報がActive Directoryドメインコントローラ、LDAPサーバ、またはNISサーバに格納されます。

ONTAPは、ローカルまたは外部のネームサービスを使用して、ホスト名、ユーザ、グループ、ネットグループ、およびネームマッピング情報を検索します。ONTAPは次のネームサービスをサポートしています。

  • ローカルユーザ

  • DNS

  • 外部NISドメイン

  • 外部LDAPドメイン

a_name service switch table_ には、ネットワーク情報を検索するソースと、その検索順序を指定します( UNIX システムの /etc/nsswitch.conf ファイルに相当する機能を提供します)。NASクライアントがSVMに接続すると、ONTAPは指定されたネームサービスをチェックして必要な情報を取得します。

*kerberos support*Kerberos は ' クライアント / サーバ実装でユーザ・パスワードを暗号化することによって「三次認証」を提供するネットワーク認証プロトコルですONTAPは、整合性チェック機能を備えたKerberos 5認証(krb5i)とプライバシーチェック機能を備えたKerberos 5認証(krb5p)をサポートしています。

許可

ONTAPでは、3つのレベルのセキュリティを評価して、SVM上にあるファイルおよびディレクトリに対して要求された操作を実行する権限がエンティティにあるかどうかを判断します。アクセスは、セキュリティレベルの評価後に有効な権限によって決定されます。

  • エクスポート(NFS)および共有(SMB)セキュリティ

    エクスポートおよび共有セキュリティは、特定のNFSエクスポートまたはSMB共有へのクライアントアクセスに適用されます。管理Privilegesを持つユーザは、SMBクライアントおよびNFSクライアントからエクスポートおよび共有レベルのセキュリティを管理できます。

  • ストレージレベルのアクセス保護のファイルとディレクトリのセキュリティ

    ストレージレベルのアクセス保護セキュリティは、SVMボリュームへのSMBおよびNFSクライアントアクセスに適用されます。NTFSのアクセス権限のみがサポートされます。ONTAPがストレージレベルのアクセス保護が適用されているボリューム上のデータにアクセスするUNIXユーザのセキュリティチェックを実行するには、UNIXユーザがボリュームを所有するSVM上のWindowsユーザにマッピングされている必要があります。

  • NTFS、UNIX、およびNFSv4の標準のファイルレベルセキュリティ

    ストレージオブジェクトを表すファイルまたはディレクトリには、ネイティブのファイルレベルのセキュリティが存在します。ファイルレベルのセキュリティはクライアントから設定できます。ファイル権限は、データへのアクセスにSMBとNFSのどちらを使用するかに関係なく有効です。

SAMLによる認証

ONTAPでは、リモートユーザの認証でSecurity Assertion Markup Language(SAML)がサポートされます。いくつかの一般的なIDプロバイダ(IdP)がサポートされています。サポートされているIdPとSAML認証を有効にする手順の詳細については、を参照してください"SAML認証の設定"

OAuth 2.0とONTAP REST APIクライアント

ONTAP 9.14以降では、Open Authorization(OAuth 2.0)フレームワークがサポートされています。クライアントでREST APIを使用してONTAPにアクセスする場合、認証とアクセス制御には、OAuth 2.0しか使用できません。ただし、その機能を有効にするためには、CLI、System Manager、REST APIなどの任意のONTAP管理インターフェイスを使用できます。

OAuth 2.0の標準的な機能は、いくつかの一般的な認証サーバとともにサポートされています。相互TLSベースの送信者制約付きアクセス トークンを使用することで、ONTAPのセキュリティをさらに強化できます。また、自己完結型スコープや、ONTAP RESTロールやローカル ユーザ定義との統合など、多様な認証オプションを利用できます。詳細については、を参照してください "ONTAP OAuth 2.0実装の概要"