Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

セキュリティタイプによるクライアントアクセスレベルの決定方法

共同作成者
PDF

クライアントの認証に使用されるセキュリティタイプは、エクスポートルールで特別な役割を果たします。クライアントがボリュームまたは qtree にアクセスする際のレベルがセキュリティタイプによってどのように決定されるかについて理解しておく必要があります。

アクセスレベルには、次の 3 つがあります。

  1. 読み取り専用です

  2. 読み書き可能です

  3. superuser (ユーザ ID が 0 のクライアントの場合)

セキュリティタイプに基づくアクセスレベルはこの順序で評価されるため、エクスポートルールでアクセスレベルパラメータを作成するときは、次のルールに従う必要があります。

クライアントに必要なアクセスレベル クライアントのセキュリティタイプと一致する必要があるアクセスパラメータ

標準ユーザの読み取り専用

読み取り専用です (-rorule)

標準ユーザの読み取り / 書き込み

読み取り専用です (-rorule)および読み取り/書き込み (-rwrule)

スーパーユーザの読み取り専用です

読み取り専用です (-rorule)および -superuser

スーパーユーザの読み取り / 書き込み

読み取り専用です (-rorule)および読み取り/書き込み (-rwrule)および -superuser

次に、これらの 3 つのアクセスパラメータのそれぞれで有効なセキュリティタイプを示します。

  • any

  • none

  • never

    このセキュリティタイプは、では使用できません -superuser パラメータ

  • krb5

  • krb5i

  • krb5p

  • ntlm

  • sys

クライアントのセキュリティタイプを 3 つの各アクセスパラメータと照合したときの結果としては、次の 3 つが考えられます。

クライアントのセキュリティタイプ クライアント

アクセスパラメータで指定されたタイプと一致する。

独自のユーザ ID を使用して、そのレベルのアクセス権を取得します。

指定したタイプと一致しないが、アクセスパラメータにオプションが指定されている none

で指定されたユーザIDを持つ匿名ユーザとして、そのレベルのアクセス権を取得します -anon パラメータ

指定したタイプと一致しないため、アクセスパラメータにオプションが指定されていません none

は、そのレベルのアクセス権を取得しません。これは、には適用されません -superuser パラメータには常にが含まれているためです none 指定されていない場合でも。

エクスポートポリシーに、次のパラメータが指定されたエクスポートルールが含まれています。

  • -protocol nfs3

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule sys,krb5

  • -superuser krb5

クライアント #1 は、 IP アドレスが 10.1.16.207 、ユーザ ID が 0 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、 Kerberos v5 で認証されます。

クライアント #2 は、 IP アドレスが 10.1.16.211 、ユーザ ID が 0 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、 AUTH_SYS で認証されます。

クライアント #3 は、 IP アドレスが 10.1.16.234 、ユーザ ID が 0 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、認証は行われていません( AUTH_NONE )。

3 つすべてのクライアントで、クライアントアクセスプロトコルと IP アドレスは一致しています。読み取り専用パラメータでは、セキュリティタイプに関係なく、読み取り専用アクセスがすべてのクライアントに許可されています。読み取り / 書き込みパラメータでは、読み取り / 書き込みアクセスが、 AUTH_SYS または Kerberos v5 で認証された、自身のユーザ ID を持つクライアントに許可されています。スーパーユーザパラメータでは、スーパーユーザアクセスが、 Kerberos v5 で認証された、ユーザ ID が 0 のクライアントに許可されています。

したがって、クライアント #1 は、 3 つすべてのアクセスパラメータに一致するため、スーパーユーザの読み取り / 書き込みアクセス権を取得します。クライアント #2 は、読み取り / 書き込みアクセス権を取得しますが、スーパーユーザアクセス権は取得できません。クライアント #3 は、読み取り専用アクセス権を取得しますが、スーパーユーザアクセス権は取得できません。