Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

クライアントの認証と許可

共同作成者

ONTAP では、標準的な方法を使用して、クライアントや管理者によるストレージへのアクセスを保護し、ウィルスから保護します。保存データの暗号化や WORM ストレージでは、高度なテクノロジも使用できます。

ONTAP では、信頼できるソースで ID を検証してクライアントマシンおよびユーザを認証します。ONTAP は、ユーザのクレデンシャルとファイルまたはディレクトリに対して設定されている権限を比較して、ユーザにファイルまたはディレクトリへのアクセスを許可します。

認証

ローカルまたはリモートのユーザアカウントを作成できます。

  • ローカルアカウントでは、アカウント情報がストレージシステムに格納されます。

  • リモートアカウントでは、アカウント情報が Active Directory ドメインコントローラ、 LDAP サーバ、または NIS サーバに格納されます。

ONTAP は、ローカルまたは外部のネームサービスを使用して、ホスト名、ユーザ、グループ、ネットグループ、およびネームマッピング情報を検索します。ONTAP では、次のネームサービスをサポートしています。

  • ローカルユーザ

  • DNS

  • 外部 NIS ドメイン

  • 外部LDAPドメイン

a_name service switch table_ には、ネットワーク情報を検索するソースと、その検索順序を指定します( UNIX システムの /etc/nsswitch.conf ファイルに相当する機能を提供します)。NAS クライアントが SVM に接続すると、 ONTAP は指定されたネームサービスをチェックして、必要な情報を取得します。

*kerberos support*Kerberos は ' クライアント / サーバ実装でユーザ・パスワードを暗号化することによって「三次認証」を提供するネットワーク認証プロトコルですONTAP では、整合性チェック機能を備えた Kerberos 5 認証( krb5i )とプライバシーチェック機能を備えた Kerberos 5 認証( krb5p )をサポートしています。

承認

ONTAP では、 3 つのレベルのセキュリティを評価して、 SVM 上にあるファイルおよびディレクトリに対して要求された処理を実行する権限がエンティティにあるかどうかを判断します。アクセスは、セキュリティレベルの評価後に有効な権限によって判断されます。

  • エクスポート( NFS )および共有( SMB )セキュリティ

    指定された NFS エクスポートまたは SMB 共有へのエクスポートおよび共有セキュリティ環境クライアントアクセス管理者権限を持つユーザは、 SMB クライアントと NFS クライアントからエクスポートおよび共有レベルのセキュリティを管理できます。

  • ストレージレベルのアクセス保護のファイルおよびディレクトリセキュリティ

    ストレージレベルのアクセス保護セキュリティ環境 SVM ボリュームへの SMB および NFS クライアントアクセスNTFS のアクセス権のみがサポートされています。ONTAP で、ストレージレベルのアクセス保護が適用されているボリューム上のデータにアクセスする UNIX ユーザのセキュリティチェックを行うには、 UNIX ユーザがボリュームを所有する SVM 上の Windows ユーザにマッピングされている必要があります。

  • NTFS 、 UNIX 、および NFSv4 のネイティブのファイルレベルのセキュリティ

    ストレージオブジェクトを表すファイルやディレクトリには、ネイティブのファイルレベルのセキュリティが存在します。ファイルレベルのセキュリティはクライアントから設定できます。ファイル権限は、データへのアクセスに SMB と NFS のどちらを使用するかに関係なく有効です。

SAMLによる認証

ONTAPでは、リモートユーザの認証でSecurity Assertion Markup Language(SAML)がサポートされます。いくつかの一般的なIDプロバイダ(IdP)がサポートされています。サポートされているIdPとSAML認証を有効にする手順の詳細については、を参照してください。 "SAML 認証を設定する"

OAuth 2.0とONTAP REST APIクライアント

ONTAP 9.14以降では、Open Authorization(OAuth 2.0)フレームワークがサポートされています。クライアントがREST APIを使用してONTAPにアクセスする場合、OAuth 2.0のみを使用して認証とアクセス制御を行うことができます。ただし、この機能は、CLI、System Manager、REST APIなどの任意のONTAP管理インターフェイスを使用して設定および有効化できます。

標準のOAuth 2.0機能は、いくつかの一般的な認可サーバーとともにサポートされています。相互TLSに基づいて送信者に制限されたアクセストークンを使用することで、ONTAPのセキュリティをさらに強化できます。また、自己完結型スコープや、ONTAP RESTロールやローカルユーザ定義との統合など、さまざまな認証オプションを利用できます。を参照してください "ONTAP OAuth 2.0実装の概要" を参照してください。