UNIX の世界では、ユーザ ID 0 のユーザがスーパーユーザと呼ばれ、通常は root と呼ばれます。このユーザにはシステム上で無制限のアクセス権が与えられています。スーパーユーザ権限の使用は、システムやデータセキュリティの侵害などのいくつかの理由によってリスクを伴う可能性があります。

デフォルトでは、 ONTAP はユーザ ID が 0 のクライアントを匿名ユーザにマッピングします。ただし、エクスポートルールでパラメータを指定すると、ユーザIDが0のクライアントの処理方法をセキュリティタイプに応じて決定できます - superuser。パラメータに有効なオプションは次のとおりです -superuser。

ユーザIDが0のクライアントは、パラメータの設定に応じて2つの方法で処理されます。 -superuser

クライアントがNTFSセキュリティ形式のボリュームにアクセスするためにユーザID 0を提示し、パラメータがに設定されている none`場合 `-superuser、ONTAPは匿名ユーザのネームマッピングを使用して適切なクレデンシャルを取得します。

エクスポートポリシーには、次のパラメータを持つエクスポートルールが含まれています。

クライアント#1は、IPアドレスが10.1.16.207、ユーザIDが746で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されます。

クライアント#2は、IPアドレスが10.1.16.211、ユーザIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されています。

両方のクライアントでクライアントアクセスプロトコルとIPアドレスが一致している。読み取り専用パラメータでは、認証に使用したセキュリティタイプに関係なく、すべてのクライアントに読み取り専用アクセスが許可されます。ただし、読み取り/書き込みアクセス権を取得するのはクライアント#1だけです。これは、認証に承認済みのセキュリティタイプKerberos v5が使用されているためです。

クライアント #2 は、スーパーユーザアクセス権を取得できません。パラメータが指定されていないため、代わりに匿名にマッピングされ `-superuser`ます。つまり、デフォルトで `none`ユーザID 0が匿名にマッピングされ、自動的にマッピングされます。また、クライアント #2 はセキュリティタイプが読み取り / 書き込みパラメータと一致しなかったため、読み取り専用アクセス権のみを取得します。

エクスポートポリシーには、次のパラメータを持つエクスポートルールが含まれています。

クライアント#1は、IPアドレスが10.1.16.207、ユーザIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されます。

クライアント#2は、IPアドレスが10.1.16.211、ユーザIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されています。

両方のクライアントでクライアントアクセスプロトコルとIPアドレスが一致している。読み取り専用パラメータでは、認証に使用したセキュリティタイプに関係なく、すべてのクライアントに読み取り専用アクセスが許可されます。ただし、読み取り/書き込みアクセス権を取得するのはクライアント#1だけです。これは、認証に承認済みのセキュリティタイプKerberos v5が使用されているためです。クライアント#2は読み取り/書き込みアクセス権を取得しません。

このエクスポートルールでは、ユーザ ID が 0 のクライアントにスーパーユーザアクセスが許可されています。クライアント#1は、読み取り専用パラメータとパラメータのユーザIDおよびセキュリティタイプと一致しているため、スーパーユーザアクセスを取得します。 `-superuser`クライアント#2のセキュリティタイプが読み取り/書き込みパラメータまたはパラメータと一致しないため、読み取り/書き込みアクセス権もスーパーユーザアクセス権も取得されません。 `-superuser`代わりに、クライアント #2 は匿名ユーザにマッピングされます。この場合、ユーザ ID は 0 です。