スーパーユーザのアクセス要求を管理します
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
エクスポートポリシーを設定する際には、ストレージシステムがユーザ ID が 0 のクライアントアクセス要求をスーパーユーザとして受信し、それに応じてエクスポートルールを設定する場合に必要な処理を考慮する必要があります。
UNIX の世界では、ユーザ ID 0 のユーザがスーパーユーザと呼ばれ、通常は root と呼ばれます。このユーザにはシステム上で無制限のアクセス権が与えられています。スーパーユーザ権限の使用は、システムやデータセキュリティの侵害などのいくつかの理由によってリスクを伴う可能性があります。
デフォルトでは、 ONTAP はユーザ ID が 0 のクライアントを匿名ユーザにマッピングします。ただし、は指定できます - superuser
ユーザIDが0のクライアントの処理方法(セキュリティタイプに応じて)を決定するエクスポートルールのパラメータ。で有効なオプションは次のとおりです -superuser
パラメータ:
-
any
-
none
これは、を指定しない場合のデフォルト設定です
-superuser
パラメータ -
krb5
-
ntlm
-
sys
ユーザIDが0のクライアントは、に応じて2つの方法で処理されます -superuser
パラメータ設定:
状況に応じて -superuser パラメータおよびクライアントのセキュリティタイプ |
クライアント |
---|---|
一致 |
ユーザ ID 0 でスーパーユーザアクセス権を取得します。 |
一致しません |
で指定されたユーザIDを持つ匿名ユーザとしてアクセスを取得します |
クライアントがNTFSセキュリティ形式およびのボリュームにアクセスするためにユーザID 0を提示する場合 -superuser
パラメータはに設定されます `none`ONTAP では、匿名ユーザがネームマッピングを使用して適切なクレデンシャルを取得します。
エクスポートポリシーに、次のパラメータが指定されたエクスポートルールが含まれています。
-
-protocol
nfs3
-
-clientmatch
10.1.16.0/255.255.255.0
-
-rorule
any
-
-rwrule
krb5,ntlm
-
-anon
127
クライアント#1は、IPアドレスが10.1.16.207、ユーザIDが746で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されます。
クライアント #2 は、 IP アドレスが 10.1.16.211 、ユーザ ID が 0 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、 AUTH_SYS で認証されます。
両方のクライアントで、クライアントアクセスプロトコルと IP アドレスは一致しています。読み取り専用パラメータでは、認証に使用するセキュリティタイプに関係なく、読み取り専用アクセスがすべてのクライアントに許可されています。ただし、読み取り / 書き込みアクセス権を取得するのはクライアント #1 だけです。これは、認証に承認されたセキュリティタイプ Kerberos v5 を使用したためです。
クライアント #2 は、スーパーユーザアクセス権を取得できません。代わりに、が原因で匿名にマッピングされます -superuser
パラメータが指定されていません。つまり、デフォルトはです none
ユーザID 0を匿名に自動的にマッピングします。また、クライアント #2 はセキュリティタイプが読み取り / 書き込みパラメータと一致しなかったため、読み取り専用アクセス権のみを取得します。
エクスポートポリシーに、次のパラメータが指定されたエクスポートルールが含まれています。
-
-protocol
nfs3
-
-clientmatch
10.1.16.0/255.255.255.0
-
-rorule
any
-
-rwrule
krb5,ntlm
-
-superuser
krb5
-
-anon
0
クライアント #1 は、 IP アドレスが 10.1.16.207 、ユーザ ID が 0 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、 Kerberos v5 で認証されます。
クライアント #2 は、 IP アドレスが 10.1.16.211 、ユーザ ID が 0 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、 AUTH_SYS で認証されます。
両方のクライアントで、クライアントアクセスプロトコルと IP アドレスは一致しています。読み取り専用パラメータでは、認証に使用するセキュリティタイプに関係なく、読み取り専用アクセスがすべてのクライアントに許可されています。ただし、読み取り / 書き込みアクセス権を取得するのはクライアント #1 だけです。これは、認証に承認されたセキュリティタイプ Kerberos v5 を使用したためです。クライアント #2 は読み取り / 書き込みアクセス権を取得できません。
このエクスポートルールでは、ユーザ ID が 0 のクライアントにスーパーユーザアクセスが許可されています。クライアント#1は、読み取り専用およびのユーザIDおよびセキュリティタイプと一致するため、スーパーユーザアクセスを取得します -superuser
パラメータクライアント#2のセキュリティタイプが読み取り/書き込みパラメータまたはと一致しないため、読み取り/書き込みアクセス権もスーパーユーザアクセス権も取得されません -superuser
パラメータ代わりに、クライアント #2 は匿名ユーザにマッピングされます。この場合、ユーザ ID は 0 です。