ONTAP NASのセキュリティ スタイルについて学ぶ
変更を提案
PDF
セキュリティ形式には、UNIX、NTFS、mixed、unifiedの4種類があります。各セキュリティ形式は、データに対する権限の処理方法にそれぞれ異なる影響を与えます。目的に応じて適切なセキュリティ形式を選択するには、それぞれの影響を理解する必要があります。
セキュリティ形式はデータにアクセスできるクライアントの種類には影響しないことに注意してください。セキュリティ形式で決まるのは、データ アクセスの制御にONTAPで使用される権限の種類と、それらの権限を変更できるクライアントの種類だけです。
たとえば、ボリュームでUNIXセキュリティ形式を使用している場合でも、ONTAPはマルチプロトコルに対応しているため、SMBクライアントから引き続きデータにアクセスできます(認証と許可が適切な場合)。ただし、ONTAPでは、UNIXクライアントのみが標準のツールを使用して変更できるUNIX権限が使用されます。
| セキュリティ形式 | 権限を変更できるクライアント | クライアントが使用できる権限 | 結果として得られる実効セキュリティ形式 | ファイルにアクセスできるクライアント |
|---|---|---|---|---|
UNIX |
NFS |
|
UNIX |
NFSとSMB |
NTFS |
SMB |
NTFS ACL |
NTFS |
NFSとSMB |
混合 |
NFSまたはSMB |
|
|
NFSとSMB |
Unified(ONTAP 9.4以前のリリースでは、無限ボリュームのみ) |
NFSまたはSMB |
|
|
NFSとSMB |
FlexVolでは、UNIX、NTFS、およびmixedのセキュリティ形式がサポートされます。セキュリティ形式がmixedまたはunifiedの場合は、ユーザがセキュリティ形式を各自設定するため、権限を最後に変更したクライアントの種類によって有効になる権限が異なります。権限を最後に変更したクライアントがNFSv3クライアントの場合、権限はUNIX NFSv3モード ビットになります。最後のクライアントがNFSv4クライアントの場合、権限はNFSv4 ACLになります。最後のクライアントがSMBクライアントの場合、権限はWindows NTFS ACLになります。
unifiedセキュリティ形式は、ONTAP 9.5以降のリリースではサポートされなくなった無限ボリュームでのみ使用できます。詳細については、FlexGroupボリューム管理の概要を参照してください。
`vserver security file-directory`コマンドの `show-effective-permissions`パラメータを使用すると、指定したファイルまたはフォルダのパスに対してWindowsまたはUNIXユーザーに付与されている有効な権限を表示できます。さらに、オプションのパラメータ `-share-name`を使用すると、有効な共有権限を表示できます。link:https://docs.netapp.com/us-en/ontap-cli/vserver-security-file-directory-show-effective-permissions.html["ONTAPコマンド リファレンス"^]の `vserver security file-directory show-effective-permissions`の詳細をご覧ください。
|
ONTAPで、最初にデフォルトのファイル権限がいくつか設定されます。デフォルトでは、UNIX、mixed、およびunifiedのセキュリティ形式のボリュームにあるデータについては、セキュリティ形式はUNIX、権限の種類はUNIXモード ビット(特に指定しないかぎり0755)が有効になります。これは、デフォルトのセキュリティ形式で許可されたクライアントで設定するまで変わりません。同様に、NTFSセキュリティ形式のボリュームにあるデータについては、デフォルトでNTFSセキュリティ形式が有効になり、すべてのユーザにフル コントロール権限を許可するACLが割り当てられます。 |