ドメインを検証してネットグループのより厳密なアクセスチェックを実行します
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
デフォルトでは、 ONTAP はネットグループに対するクライアントアクセスを評価する際に追加の検証を実行します。この追加チェックにより、クライアントのドメインが Storage Virtual Machine ( SVM )のドメイン設定に一致していることが確認されます。一致しない場合、 ONTAP はクライアントアクセスを拒否します。
ONTAP は、クライアントアクセス用のエクスポートポリシールールおよびネットグループが含まれているエクスポートポリシールールを評価する際に、クライアントの IP アドレスがそのネットグループに属しているかどうかを ONTAP が確認する必要があります。そのために、 ONTAP は、 DNS を使用してクライアントの IP アドレスをホスト名に変換し、 Fully Qualified Domain Name ( FQDN ;完全修飾ドメイン名)を取得します。
ネットグループファイルにホストの短い名前のみがリストされていて、そのホストの短い名前が複数のドメインに存在している場合は、異なるドメインのクライアントがこのチェックなしでアクセス権を取得することが可能です。
この問題を回避するために、 ONTAP は、ホストについて DNS から返されたドメインを SVM 用に設定されている DNS ドメイン名のリストと比較します。一致した場合は、アクセスが許可されます。一致しない場合、アクセスは拒否されます。
この検証はデフォルトで有効になっています。これを管理するには、を変更します -netgroup-dns-domain-search
パラメータ。advanced権限レベルで使用できます。
-
権限レベルを advanced に設定します。
set -privilege advanced
-
必要な操作を実行します。
ネットグループのドメイン検証の設定 入力するコマンド 有効
vserver nfs modify -vserver vserver_name -netgroup-dns-domain-search enabled
無効
vserver nfs modify -vserver vserver_name -netgroup-dns-domain-search disabled
-
権限レベルを admin に設定します。
set -privilege admin