日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

スーパーユーザのアクセス要求を管理します

寄稿者

エクスポートポリシーを設定する際には、ストレージシステムがユーザ ID が 0 のクライアントアクセス要求をスーパーユーザとして受信し、それに応じてエクスポートルールを設定する場合に必要な処理を考慮する必要があります。

UNIX の世界では、ユーザ ID 0 のユーザがスーパーユーザと呼ばれ、通常は root と呼ばれます。このユーザにはシステム上で無制限のアクセス権が与えられています。スーパーユーザ権限の使用は、システムやデータセキュリティの侵害などのいくつかの理由によってリスクを伴う可能性があります。

デフォルトでは、 ONTAP はユーザ ID が 0 のクライアントを匿名ユーザにマッピングします。ただし、エクスポートルールで「 -superuser 」パラメータを指定すると、ユーザ ID が 0 のクライアントの処理方法をセキュリティタイプに応じて決定できます。次に '-superuser' パラメータの有効なオプションを示します

  • 「任意」

  • 「 NONE 」

    -superuser パラメータを指定しない場合、これがデフォルト設定になります。

  • 「 krb5 」

  • 「 NTLM 」

  • 「シス」

ユーザ ID 0 を提示するクライアントの処理方法は '-superuser' パラメータの設定に応じて 2 つあります

'-superuser' パラメータとクライアントのセキュリティタイプ クライアント

一致

ユーザ ID 0 でスーパーユーザアクセス権を取得します。

一致しません

-anon` パラメータで指定されたユーザ ID を持つ匿名ユーザとしてアクセスし、そのユーザに割り当てられたアクセス権を取得します。これは ' 読み取り専用パラメータまたは読み取り / 書き込みパラメータがオプション none を指定するかどうかに関係なく実行されます

クライアントが NTFS セキュリティ形式のボリュームにアクセスするためにユーザ ID 0 を提示し、 -superuser パラメータが「 none 」に設定されている場合、 ONTAP は匿名ユーザのネームマッピングを使用して適切なクレデンシャルを取得します。

エクスポートポリシーに、次のパラメータが指定されたエクスポートルールが含まれています。

  • -protocol `nfs3

  • -clientmatch `10.1.16.0/255.255.255.0

  • 「 -rorule 」「 any 」

  • -rwrule `krb5 、 ntlm

  • -anon`127`

クライアント #1 は、 IP アドレスが 10.1.16.207 、ユーザ ID が 746 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、 Kerberos v5 で認証されます。

クライアント #2 は、 IP アドレスが 10.1.16.211 、ユーザ ID が 0 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、 AUTH_SYS で認証されます。

両方のクライアントで、クライアントアクセスプロトコルと IP アドレスは一致しています。読み取り専用パラメータでは、認証に使用するセキュリティタイプに関係なく、読み取り専用アクセスがすべてのクライアントに許可されています。ただし、読み取り / 書き込みアクセス権を取得するのはクライアント #1 だけです。これは、認証に承認されたセキュリティタイプ Kerberos v5 を使用したためです。

クライアント #2 は、スーパーユーザアクセス権を取得できません。代わりに '-superuser' パラメータが指定されていないため 'anonymous にマッピングされますこれはデフォルトで「 none 」に設定され、ユーザ ID 0 が自動的に匿名にマッピングされることを意味します。また、クライアント #2 はセキュリティタイプが読み取り / 書き込みパラメータと一致しなかったため、読み取り専用アクセス権のみを取得します。

エクスポートポリシーに、次のパラメータが指定されたエクスポートルールが含まれています。

  • -protocol `nfs3

  • -clientmatch `10.1.16.0/255.255.255.0

  • 「 -rorule 」「 any 」

  • -rwrule `krb5 、 ntlm

  • ` - superuser `krb5

  • -anon`0`

クライアント #1 は、 IP アドレスが 10.1.16.207 、ユーザ ID が 0 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、 Kerberos v5 で認証されます。

クライアント #2 は、 IP アドレスが 10.1.16.211 、ユーザ ID が 0 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、 AUTH_SYS で認証されます。

両方のクライアントで、クライアントアクセスプロトコルと IP アドレスは一致しています。読み取り専用パラメータでは、認証に使用するセキュリティタイプに関係なく、読み取り専用アクセスがすべてのクライアントに許可されています。ただし、読み取り / 書き込みアクセス権を取得するのはクライアント #1 だけです。これは、認証に承認されたセキュリティタイプ Kerberos v5 を使用したためです。クライアント #2 は読み取り / 書き込みアクセス権を取得できません。

このエクスポートルールでは、ユーザ ID が 0 のクライアントにスーパーユーザアクセスが許可されています。クライアント #1 は ' 読み取り専用パラメータとスーパーユーザパラメータのユーザ ID とセキュリティタイプに一致するため ' スーパーユーザアクセス権を取得しますクライアント #2 は ' そのセキュリティ・タイプが読み取り / 書き込みパラメータまたは -superuser パラメータと一致しないため ' 読み取り / 書き込みアクセス権またはスーパーユーザ・アクセス権を取得できません代わりに、クライアント #2 は匿名ユーザにマッピングされます。この場合、ユーザ ID は 0 です。