日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NFS で Kerberos を設定するための要件

寄稿者 netapp-thomi netapp-ahibbard

NFS で Kerberos を使用するための設定をシステムで行う前に、ネットワークおよびストレージの環境のいくつかの項目について、適切に設定されていることを確認する必要があります。

注記

環境を設定する手順は、使用しているクライアントオペレーティングシステム、ドメインコントローラ、 Kerberos 、 DNS などのバージョンや種類によって異なります。これらのすべての変数については、本ドキュメントでは説明していません。詳細については、各コンポーネントの該当するドキュメントを参照してください。

Windows Server 2008 R2 の Active Directory および Linux ホストを使用する環境での ONTAP と Kerberos 5 および NFSv3 / NFSv4 の設定方法に関する詳しい例については、テクニカルレポート 4073 を参照してください。

次の項目を最初に設定する必要があります。

ネットワーク環境の要件

  • Kerberos

    Kerberos を Key Distribution Center ( KDC ;キー配布センター)で設定しておく必要があります(たとえば、 Windows Active Directory ベースの Kerberos または MIT Kerberos )。

    NFS サーバは ' マシン・プリンシパルの主要コンポーネントとして NFS' を使用する必要があります

  • ディレクトリサービス

    Active Directory や OpenLDAP などのセキュアなディレクトリサービスを環境に導入し、 SSL / TLS 経由の LDAP を使用するように設定する必要があります。

  • NTP

    タイムサーバで NTP を実行している必要があります。これは、時刻のずれによる Kerberos 認証の失敗を回避するために必要です。

  • ドメイン名解決( DNS )

    それぞれの UNIX クライアントおよび SVM LIF について、 KDC の前方参照ゾーンと逆引き参照ゾーンに適切なサービスレコード( SRV )が登録されている必要があります。すべてのコンポーネントを DNS で正しく解決できる必要があります。

  • ユーザアカウント

    各クライアントについて、 Kerberos Realm のユーザアカウントが必要です。NFS サーバでは ' マシン・プリンシパルの主要コンポーネントとして NFS' を使用する必要があります

NFS クライアントの要件

  • NFS

    NFSv3 または NFSv4 を使用してネットワーク経由で通信するように各クライアントが適切に設定されている必要があります。

    クライアントで RFC1964 および RFC2203 がサポートされている必要があります。

  • Kerberos

    Kerberos 認証を使用するように各クライアントが適切に設定されている必要があります。詳細は次のとおりです。

    • TGS 通信の暗号化が有効です。

      非常にセキュリティ性の高い AES-256 。

    • TGT 通信に対する最も安全な暗号化タイプが有効です。

    • Kerberos Realm とドメインを正しく設定します。

    • GSS が有効になっている。

      マシンのクレデンシャルを使用する場合:

    • 「 -n 」パラメータを指定して「 gssd 」を実行しないでください。

    • root ユーザとして「 kinit 」を実行しないでください。

  • 各クライアントは、最新かつ更新されたオペレーティングシステムバージョンを使用する必要があります。

    これにより、 Kerberos での AES 暗号化の互換性と信頼性が最大限確保されます。

  • DNS

    DNS を使用して名前が正しく解決されるように各クライアントが適切に設定されている必要があります。

  • NTP

    各クライアントが NTP サーバと同期されている必要があります。

  • ホストおよびドメインの情報

    各クライアントの /etc/hosts ファイルと /etc/resolv.conf ファイルには ' それぞれ正しいホスト名と DNS 情報が含まれている必要があります

  • keytab ファイル

    各クライアントについて、 KDC の keytab ファイルが必要です。Realm は大文字で指定する必要があります。最高レベルのセキュリティを得るために、暗号化タイプを AES-256 にする必要があります。

  • オプション:パフォーマンスを最大限に高めるには、ローカルエリアネットワークとの通信用とストレージネットワークとの通信用に、少なくとも 2 つのネットワークインターフェイスを設定します。

ストレージシステムの要件

  • NFS ライセンス

    ストレージシステムに有効な NFS ライセンスがインストールされている必要があります。

  • CIFS ライセンス

    CIFS ライセンスはオプションです。マルチプロトコルのネームマッピングを使用する場合にのみ、 Windows クレデンシャルをチェックする必要があります。純粋な UNIX のみの環境では必要ありません。

  • SVM

    システムで SVM を少なくとも 1 つ設定しておく必要があります。

  • SVM で DNS を設定します

    各 SVM で DNS を設定しておく必要があります。

  • NFS サーバ

    SVM で NFS を設定しておく必要があります。

  • AES 暗号化

    最高レベルのセキュリティを得るために、 Kerberos で AES-256 暗号化のみを許可するように NFS サーバを設定する必要があります。

  • CIFS サーバ

    マルチプロトコル環境の場合は、 SVM で CIFS を設定しておく必要があります。CIFS サーバはマルチプロトコルのネームマッピングに必要です。

  • 個のボリューム

    SVM で使用するルートボリュームと少なくとも 1 つのデータボリュームを設定しておく必要があります。

  • ルートボリューム

    SVM のルートボリュームを次のように設定しておく必要があります。

    名前 設定

    セキュリティ形式

    「 UNIX 」

    UID

    root または ID 0

    GID

    root または ID 0

    UNIX 権限

    777

    ルートボリュームとは異なり、データボリュームのセキュリティ形式は任意に設定できます。

  • UNIX グループ

    SVM で次の UNIX グループを設定しておく必要があります。

    グループ名 グループ ID

    デーモン

    1.

    ルート

    0

    pcuser

    65534 ( SVM を作成すると ONTAP で自動的に作成されます)

  • UNIX ユーザ

    SVM で次の UNIX ユーザを設定しておく必要があります。

    ユーザ名 ユーザ ID プライマリグループ ID コメント( Comment )

    NFS

    500

    0

    GSS INIT フェーズで必要 NFS クライアントユーザの SPN の最初のコンポーネントがユーザとして使用されます。

    pcuser

    65534

    65534

    SVM を作成すると、 NFS と CIFS のマルチプロトコルで必要になります。作成した pcuser グループには、 ONTAP によって自動的に追加されます。

    ルート

    0

    0

    マウントに必要

    NFS クライアントユーザの SPN に対する Kerberos-UNIX ネームマッピングがある場合は、 nfs ユーザは必要ありません。

  • エクスポートポリシーとルール

    ルートボリュームとデータボリュームおよび qtree に対するエクスポートポリシーと必要なエクスポートルールを設定しておく必要があります。SVM のすべてのボリュームが Kerberos 経由でアクセスされる場合は、ルートボリュームのエクスポートルールオプションである -rorule 、 -rwrule 、および -superuser を、 krb5 、 krb5i 、または krb5p に設定できます。

  • Kerberos-UNIX ネームマッピング

    NFS クライアントユーザの SPN によって識別されたユーザに root 権限を持たせる場合は、 root に対するネームマッピングを作成する必要があります。