リストにないセキュリティタイプを使用するクライアントを管理します。
エクスポートルールのアクセスパラメータに指定されていないセキュリティタイプをクライアントが使用している場合は、アクセスパラメータのオプションを使用して、クライアントへのアクセスを拒否するか、クライアントを匿名ユーザIDにマッピングするかを選択できます。 none
クライアントは、別のセキュリティタイプで認証されているか、まったく認証されていない(セキュリティタイプAUTH_NONE)という理由で、アクセスパラメータに指定されていないセキュリティタイプを使用している可能性があります。デフォルトでは、クライアントはそのレベルへのアクセスを自動的に拒否されます。ただし、アクセスパラメータにはオプションを追加できます none
。このため、リストにないセキュリティ形式を使用するクライアントは、代わりに匿名ユーザIDにマッピングされます。パラメータは -anon
、これらのクライアントに割り当てるユーザIDを決定します。パラメータに指定するユーザID `-anon`は、匿名ユーザに適していると思われる権限が設定されている有効なユーザである必要があります。
パラメータの有効な値 -anon`の範囲は `0
~ `65535`です。
割り当てられたユーザID -anon |
クライアントアクセス要求の処理結果 |
---|---|
|
クライアントアクセス要求は匿名ユーザIDにマッピングされ、このユーザに設定されている権限に応じてアクセスを取得します。 |
|
クライアントアクセス要求はユーザnobodyにマッピングされ、このユーザに設定されている権限に応じてアクセスできます。これがデフォルトです。 |
|
すべてのクライアントからのアクセス要求は、このIDにマッピングされ、セキュリティタイプがAUTH_NONEであると拒否されます。ユーザIDが0のクライアントからのアクセス要求は、このIDにマッピングされ、クライアントが他のセキュリティタイプを使用している場合は拒否されます。 |
オプションを使用する場合は none
、最初に読み取り専用パラメータが処理されることを覚えておくことが重要です。リストにないセキュリティタイプを使用するクライアントのエクスポートルールを設定する際は、次のガイドラインを考慮してください。
読み取り専用インクルード none |
読み取り/書き込みに含まれるもの none |
リストにないセキュリティタイプを使用するクライアントのアクセス結果 |
---|---|---|
いいえ |
いいえ |
拒否されました |
いいえ |
〇 |
最初に読み取り専用が処理されるため拒否されました |
〇 |
いいえ |
匿名として読み取り専用 |
〇 |
〇 |
匿名として読み取り/書き込み |
エクスポートポリシーには、次のパラメータを持つエクスポートルールが含まれています。
-
-protocol
nfs3
-
-clientmatch
10.1.16.0/255.255.255.0
-
-rorule
sys,none
-
-rwrule
any
-
-anon
70
クライアント#1は、IPアドレスが10.1.16.207で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されます。
クライアント#2は、IPアドレスが10.1.16.211で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されます。
クライアント#3は、IPアドレスが10.1.16.234で、NFSv3プロトコルを使用してアクセス要求を送信し、認証を行わなかった(セキュリティタイプAUTH_NONE)。
3つのクライアントすべてで、クライアントアクセスプロトコルとIPアドレスが一致しています。読み取り専用パラメータでは、読み取り専用アクセスがAUTH_SYSで認証された、自身のユーザIDを持つクライアントに許可されています。読み取り専用パラメータは、ユーザIDが70の匿名ユーザとして、他のセキュリティタイプを使用して認証されたクライアントに読み取り専用アクセスを許可します。読み取り/書き込みパラメータでは、読み取り/書き込みアクセスがすべてのセキュリティタイプに許可されていますが、この場合は、読み取り専用ルールですでにフィルタされているクライアントにのみ適用されます。
したがって、クライアント#1とクライアント#3は、ユーザIDが70の匿名ユーザとしてのみ読み取り/書き込みアクセス権を取得します。クライアント#2は、自身のユーザIDを使用して読み取り/書き込みアクセス権を取得します。
エクスポートポリシーには、次のパラメータを持つエクスポートルールが含まれています。
-
-protocol
nfs3
-
-clientmatch
10.1.16.0/255.255.255.0
-
-rorule
sys,none
-
-rwrule
none
-
-anon
70
クライアント#1は、IPアドレスが10.1.16.207で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されます。
クライアント#2は、IPアドレスが10.1.16.211で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されます。
クライアント#3は、IPアドレスが10.1.16.234で、NFSv3プロトコルを使用してアクセス要求を送信し、認証を行わなかった(セキュリティタイプAUTH_NONE)。
3つのクライアントすべてで、クライアントアクセスプロトコルとIPアドレスが一致しています。読み取り専用パラメータでは、読み取り専用アクセスがAUTH_SYSで認証された、自身のユーザIDを持つクライアントに許可されています。読み取り専用パラメータは、ユーザIDが70の匿名ユーザとして、他のセキュリティタイプを使用して認証されたクライアントに読み取り専用アクセスを許可します。読み取り/書き込みパラメータでは、読み取り/書き込みアクセスは匿名ユーザとしてのみ許可されます。
したがって、クライアント#1とクライアント#3は、ユーザIDが70の匿名ユーザとしてのみ読み取り/書き込みアクセス権を取得します。クライアント#2は、自身のユーザIDで読み取り専用アクセス権を取得しますが、読み取り/書き込みアクセスは拒否されます。