NFS で Kerberos を設定するための要件
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
NFS で Kerberos を使用するための設定をシステムで行う前に、ネットワークおよびストレージの環境のいくつかの項目について、適切に設定されていることを確認する必要があります。
環境を設定する手順は、使用しているクライアントオペレーティングシステム、ドメインコントローラ、 Kerberos 、 DNS などのバージョンや種類によって異なります。これらのすべての変数については、本ドキュメントでは説明していません。詳細については、各コンポーネントの該当するドキュメントを参照してください。 Windows Server 2008 R2 の Active Directory および Linux ホストを使用する環境での ONTAP と Kerberos 5 および NFSv3 / NFSv4 の設定方法に関する詳しい例については、テクニカルレポート 4073 を参照してください。 |
次の項目を最初に設定する必要があります。
ネットワーク環境の要件
-
Kerberos
Kerberos を Key Distribution Center ( KDC ;キー配布センター)で設定しておく必要があります(たとえば、 Windows Active Directory ベースの Kerberos または MIT Kerberos )。
NFSサーバはを使用する必要があります
nfs
マシンプリンシパルの主要コンポーネントとして使用します。 -
ディレクトリサービス
Active Directory や OpenLDAP などのセキュアなディレクトリサービスを環境に導入し、 SSL / TLS 経由の LDAP を使用するように設定する必要があります。
-
NTP
タイムサーバで NTP を実行している必要があります。これは、時刻のずれによる Kerberos 認証の失敗を回避するために必要です。
-
ドメイン名解決( DNS )
それぞれの UNIX クライアントおよび SVM LIF について、 KDC の前方参照ゾーンと逆引き参照ゾーンに適切なサービスレコード( SRV )が登録されている必要があります。すべてのコンポーネントを DNS で正しく解決できる必要があります。
-
ユーザアカウント
各クライアントについて、 Kerberos Realm のユーザアカウントが必要です。NFS サーバでは ' マシン・プリンシパルの主要コンポーネントとして NFS' を使用する必要があります
NFSクライアントの要件
-
NFS
NFSv3 または NFSv4 を使用してネットワーク経由で通信するように各クライアントが適切に設定されている必要があります。
クライアントで RFC1964 および RFC2203 がサポートされている必要があります。
-
Kerberos
Kerberos 認証を使用するように各クライアントが適切に設定されている必要があります。詳細は次のとおりです。
-
TGS 通信の暗号化が有効です。
非常にセキュリティ性の高い AES-256 。
-
TGT 通信に対する最も安全な暗号化タイプが有効です。
-
Kerberos Realm とドメインを正しく設定します。
-
GSSはイネーブルです。
マシンのクレデンシャルを使用する場合:
-
走らないでください
gssd
を使用-n
パラメータ -
走らないでください
kinit
をrootユーザとして指定します。
-
-
各クライアントは、最新かつ更新されたオペレーティングシステムバージョンを使用する必要があります。
これにより、 Kerberos での AES 暗号化の互換性と信頼性が最大限確保されます。
-
DNS
DNS を使用して名前が正しく解決されるように各クライアントが適切に設定されている必要があります。
-
NTP
各クライアントが NTP サーバと同期されている必要があります。
-
ホストおよびドメインの情報
各クライアントの
/etc/hosts
および/etc/resolv.conf
ファイルには正しいホスト名とDNS情報が格納されている必要があります。 -
keytab ファイル
各クライアントについて、 KDC の keytab ファイルが必要です。Realm は大文字で指定する必要があります。最高レベルのセキュリティを得るために、暗号化タイプを AES-256 にする必要があります。
-
オプション:パフォーマンスを最大限に高めるには、ローカルエリアネットワークとの通信用とストレージネットワークとの通信用に、少なくとも 2 つのネットワークインターフェイスを設定します。
ストレージシステムの要件
-
NFS ライセンス
ストレージシステムに有効な NFS ライセンスがインストールされている必要があります。
-
CIFSライセンス
CIFS ライセンスはオプションです。マルチプロトコルのネームマッピングを使用する場合にのみ、 Windows クレデンシャルをチェックする必要があります。純粋な UNIX のみの環境では必要ありません。
-
SVM
システムで SVM を少なくとも 1 つ設定しておく必要があります。
-
SVM で DNS を設定します
各 SVM で DNS を設定しておく必要があります。
-
NFS サーバ
SVM で NFS を設定しておく必要があります。
-
AES 暗号化
最高レベルのセキュリティを得るために、 Kerberos で AES-256 暗号化のみを許可するように NFS サーバを設定する必要があります。
-
SMBサアハ
マルチプロトコル環境の場合は、SVMでSMBを設定しておく必要があります。SMB サーバは、マルチプロトコルのネームマッピングに必要です。
-
個のボリューム
SVM で使用するルートボリュームと少なくとも 1 つのデータボリュームを設定しておく必要があります。
-
ルートボリューム
SVM のルートボリュームを次のように設定しておく必要があります。
名前 設定 セキュリティ形式
「 UNIX 」
UID
root または ID 0
GID
root または ID 0
UNIX 権限
777
ルートボリュームとは異なり、データボリュームのセキュリティ形式は任意に設定できます。
-
UNIXグループ
SVM で次の UNIX グループを設定しておく必要があります。
グループ名 グループ ID デーモン
1.
ルート
0
pcuser
65534 ( SVM を作成すると ONTAP で自動的に作成されます)
-
UNIXユーザ
SVM で次の UNIX ユーザを設定しておく必要があります。
ユーザ名 ユーザ ID プライマリグループ ID コメント( Comment ) NFS
500ドル
0
GSS INITフェーズで必要
NFS クライアントユーザの SPN の最初のコンポーネントがユーザとして使用されます。
pcuser
65534
65534
NFSトCIFSノマルチフロトコルノシヨウニヒツヨウ
SVMを作成すると、ONTAPで自動的に作成されてpcuserグループに追加されます。
ルート
0
0
マウントに必要
NFS クライアントユーザの SPN に対する Kerberos-UNIX ネームマッピングがある場合は、 nfs ユーザは必要ありません。
-
エクスポートポリシーとルール
ルートボリュームとデータボリュームおよび qtree に対するエクスポートポリシーと必要なエクスポートルールを設定しておく必要があります。SVMのすべてのボリュームへのアクセスにKerberosを使用する場合は、エクスポートルールのオプションを設定できます
-rorule
、-rwrule`および `-superuser
ルートボリュームのをに設定しますkrb5
、krb5i`または `krb5p
。 -
Kerberos-UNIX ネームマッピング
NFS クライアントユーザの SPN によって識別されたユーザに root 権限を持たせる場合は、 root に対するネームマッピングを作成する必要があります。