Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NFS で Kerberos を設定するための要件

共同作成者
PDF

NFS で Kerberos を使用するための設定をシステムで行う前に、ネットワークおよびストレージの環境のいくつかの項目について、適切に設定されていることを確認する必要があります。

メモ

環境を設定する手順は、使用しているクライアントオペレーティングシステム、ドメインコントローラ、 Kerberos 、 DNS などのバージョンや種類によって異なります。これらのすべての変数については、本ドキュメントでは説明していません。詳細については、各コンポーネントの該当するドキュメントを参照してください。

Windows Server 2008 R2 の Active Directory および Linux ホストを使用する環境での ONTAP と Kerberos 5 および NFSv3 / NFSv4 の設定方法に関する詳しい例については、テクニカルレポート 4073 を参照してください。

次の項目を最初に設定する必要があります。

ネットワーク環境の要件

  • Kerberos

    Kerberos を Key Distribution Center ( KDC ;キー配布センター)で設定しておく必要があります(たとえば、 Windows Active Directory ベースの Kerberos または MIT Kerberos )。

    NFSサーバはを使用する必要があります nfs マシンプリンシパルの主要コンポーネントとして使用します。

  • ディレクトリサービス

    Active Directory や OpenLDAP などのセキュアなディレクトリサービスを環境に導入し、 SSL / TLS 経由の LDAP を使用するように設定する必要があります。

  • NTP

    タイムサーバで NTP を実行している必要があります。これは、時刻のずれによる Kerberos 認証の失敗を回避するために必要です。

  • ドメイン名解決( DNS )

    それぞれの UNIX クライアントおよび SVM LIF について、 KDC の前方参照ゾーンと逆引き参照ゾーンに適切なサービスレコード( SRV )が登録されている必要があります。すべてのコンポーネントを DNS で正しく解決できる必要があります。

  • ユーザアカウント

    各クライアントについて、 Kerberos Realm のユーザアカウントが必要です。NFS サーバでは ' マシン・プリンシパルの主要コンポーネントとして NFS' を使用する必要があります

NFSクライアントの要件

  • NFS

    NFSv3 または NFSv4 を使用してネットワーク経由で通信するように各クライアントが適切に設定されている必要があります。

    クライアントで RFC1964 および RFC2203 がサポートされている必要があります。

  • Kerberos

    Kerberos 認証を使用するように各クライアントが適切に設定されている必要があります。詳細は次のとおりです。

    • TGS 通信の暗号化が有効です。

      非常にセキュリティ性の高い AES-256 。

    • TGT 通信に対する最も安全な暗号化タイプが有効です。

    • Kerberos Realm とドメインを正しく設定します。

    • GSSはイネーブルです。

      マシンのクレデンシャルを使用する場合:

    • 走らないでください gssd を使用 -n パラメータ

    • 走らないでください kinit をrootユーザとして指定します。

  • 各クライアントは、最新かつ更新されたオペレーティングシステムバージョンを使用する必要があります。

    これにより、 Kerberos での AES 暗号化の互換性と信頼性が最大限確保されます。

  • DNS

    DNS を使用して名前が正しく解決されるように各クライアントが適切に設定されている必要があります。

  • NTP

    各クライアントが NTP サーバと同期されている必要があります。

  • ホストおよびドメインの情報

    各クライアントの /etc/hosts および /etc/resolv.conf ファイルには正しいホスト名とDNS情報が格納されている必要があります。

  • keytab ファイル

    各クライアントについて、 KDC の keytab ファイルが必要です。Realm は大文字で指定する必要があります。最高レベルのセキュリティを得るために、暗号化タイプを AES-256 にする必要があります。

  • オプション:パフォーマンスを最大限に高めるには、ローカルエリアネットワークとの通信用とストレージネットワークとの通信用に、少なくとも 2 つのネットワークインターフェイスを設定します。

ストレージシステムの要件

  • NFS ライセンス

    ストレージシステムに有効な NFS ライセンスがインストールされている必要があります。

  • CIFSライセンス

    CIFS ライセンスはオプションです。マルチプロトコルのネームマッピングを使用する場合にのみ、 Windows クレデンシャルをチェックする必要があります。純粋な UNIX のみの環境では必要ありません。

  • SVM

    システムで SVM を少なくとも 1 つ設定しておく必要があります。

  • SVM で DNS を設定します

    各 SVM で DNS を設定しておく必要があります。

  • NFS サーバ

    SVM で NFS を設定しておく必要があります。

  • AES 暗号化

    最高レベルのセキュリティを得るために、 Kerberos で AES-256 暗号化のみを許可するように NFS サーバを設定する必要があります。

  • SMBサアハ

    マルチプロトコル環境の場合は、SVMでSMBを設定しておく必要があります。SMB サーバは、マルチプロトコルのネームマッピングに必要です。

  • 個のボリューム

    SVM で使用するルートボリュームと少なくとも 1 つのデータボリュームを設定しておく必要があります。

  • ルートボリューム

    SVM のルートボリュームを次のように設定しておく必要があります。

    名前 設定

    セキュリティ形式

    「 UNIX 」

    UID

    root または ID 0

    GID

    root または ID 0

    UNIX 権限

    777

    ルートボリュームとは異なり、データボリュームのセキュリティ形式は任意に設定できます。

  • UNIXグループ

    SVM で次の UNIX グループを設定しておく必要があります。

    グループ名 グループ ID

    デーモン

    1.

    ルート

    0

    pcuser

    65534 ( SVM を作成すると ONTAP で自動的に作成されます)

  • UNIXユーザ

    SVM で次の UNIX ユーザを設定しておく必要があります。

    ユーザ名 ユーザ ID プライマリグループ ID コメント( Comment )

    NFS

    500ドル

    0

    GSS INITフェーズで必要

    NFS クライアントユーザの SPN の最初のコンポーネントがユーザとして使用されます。

    pcuser

    65534

    65534

    NFSトCIFSノマルチフロトコルノシヨウニヒツヨウ

    SVMを作成すると、ONTAPで自動的に作成されてpcuserグループに追加されます。

    ルート

    0

    0

    マウントに必要

    NFS クライアントユーザの SPN に対する Kerberos-UNIX ネームマッピングがある場合は、 nfs ユーザは必要ありません。

  • エクスポートポリシーとルール

    ルートボリュームとデータボリュームおよび qtree に対するエクスポートポリシーと必要なエクスポートルールを設定しておく必要があります。SVMのすべてのボリュームへのアクセスにKerberosを使用する場合は、エクスポートルールのオプションを設定できます -rorule-rwrule`および `-superuser ルートボリュームのをに設定します krb5krb5i`または `krb5p

  • Kerberos-UNIX ネームマッピング

    NFS クライアントユーザの SPN によって識別されたユーザに root 権限を持たせる場合は、 root に対するネームマッピングを作成する必要があります。

関連情報

"ネットアップテクニカルレポート 4073 :『 Secure Unified Authentication 』"

"NetApp Interoperability Matrix Tool で確認できます"

"システム管理"

"論理ストレージ管理"