ONTAP セキュリティタイプが NFS クライアントのアクセスレベルを決定する方法
変更を提案
PDF
クライアントの認証に使用されるセキュリティタイプは、エクスポートルールで特別な役割を果たします。クライアントがボリュームまたは qtree にアクセスする際のレベルがセキュリティタイプによってどのように決定されるかについて理解しておく必要があります。
アクセスレベルには、次の 3 つがあります。
-
読み取り専用
-
読み取り/書き込み
-
superuser (ユーザ ID が 0 のクライアントの場合)
セキュリティタイプに基づくアクセスレベルはこの順序で評価されるため、エクスポートルールでアクセスレベルパラメータを作成するときは、次のルールに従う必要があります。
| クライアントに必要なアクセスレベル | クライアントのセキュリティタイプと一致する必要があるアクセスパラメータ |
|---|---|
標準ユーザの読み取り専用 |
読み取り(`-rorule`専用) |
標準ユーザの読み取り / 書き込み |
読み取り専用( |
スーパーユーザの読み取り専用 |
読み取り専用( |
スーパーユーザの読み取り / 書き込み |
読み取り専用( |
これら3つの各アクセスパラメータで有効なセキュリティタイプは次のとおりです。
-
any -
none -
neverこのセキュリティタイプは、パラメータでは使用できません
-superuser。 -
krb5 -
krb5i -
krb5p -
ntlm -
sys
クライアントのセキュリティタイプを 3 つの各アクセスパラメータと照合したときの結果としては、次の 3 つが考えられます。
| クライアントのセキュリティタイプ | クライアント |
|---|---|
アクセスパラメータで指定されたタイプと一致する。 |
独自のユーザ ID を使用して、そのレベルのアクセス権を取得します。 |
指定したタイプと一致しないが、アクセスパラメータにオプションが指定されている |
このレベルのアクセス権を取得しますが、パラメータで指定したユーザIDを持つ匿名ユーザとして取得します |
指定したタイプと一致しないため、アクセスパラメータにオプションが指定されていません。 |
は、そのレベルのアクセス権を取得しません。これは、指定されていない場合でも常にを含むため、パラメータには適用され |
エクスポートポリシーには、次のパラメータを持つエクスポートルールが含まれています。
-
-protocolnfs3 -
-clientmatch10.1.16.0/255.255.255.0 -
-roruleany -
-rwrulesys,krb5 -
-superuserkrb5
クライアント#1は、IPアドレスが10.1.16.207、ユーザIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されます。
クライアント#2は、IPアドレスが10.1.16.211、ユーザIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されています。
クライアント#3は、IPアドレスが10.1.16.234、ユーザIDが0で、NFSv3プロトコルを使用してアクセス要求を送信しますが、認証は行われていません(AUTH_NONE)。
3 つすべてのクライアントで、クライアントアクセスプロトコルと IP アドレスは一致しています。読み取り専用パラメータでは、セキュリティタイプに関係なく、読み取り専用アクセスがすべてのクライアントに許可されています。読み取り/書き込みパラメータは、読み取り/書き込みアクセスを、AUTH_SYSまたはKerberos v5で認証された、自身のユーザIDを持つクライアントに許可します。superuserパラメータでは、Kerberos v5で認証されたユーザIDが0のクライアントにスーパーユーザアクセスを許可します。
したがって、クライアント #1 は、 3 つすべてのアクセスパラメータに一致するため、スーパーユーザの読み取り / 書き込みアクセス権を取得します。クライアント #2 は、読み取り / 書き込みアクセス権を取得しますが、スーパーユーザアクセス権は取得できません。クライアント #3 は、読み取り専用アクセス権を取得しますが、スーパーユーザアクセス権は取得できません。