ONTAPセキュリティ タイプによるNFSクライアント アクセス レベルの決定方法
変更を提案
PDF
クライアントが認証に使用したセキュリティ タイプは、エクスポート ルールにおいて特別な役割を果たします。セキュリティ タイプによって、クライアントがボリュームまたはqtreeに対して取得するアクセス レベルがどのように決定されるかを理解する必要があります。
可能な3つのアクセス レベルは次のとおりです:
-
read-only
-
読み取り / 書き込み
-
スーパーユーザー(ユーザーID 0のクライアントの場合)
セキュリティ タイプ別のアクセス レベルはこの順序で評価されるため、エクスポート ルールでアクセス レベル パラメータを作成するときは、次のルールに従う必要があります。
| クライアントがアクセス レベルを取得するには… | これらのアクセス パラメータは、クライアントのセキュリティ タイプと一致する必要があります… |
|---|---|
標準ユーザの読み取り専用 |
読み取り専用( |
標準ユーザの読み取り / 書き込み |
読み取り専用( |
スーパーユーザの読み取り専用 |
読み取り専用( |
スーパーユーザの読み取り / 書き込み |
読み取り専用( |
次に、3つそれぞれのアクセス パラメータで有効なセキュリティ タイプを示します。
-
any -
none -
neverこのセキュリティ タイプは、
-superuserパラメータでは使用できません。 -
krb5 -
krb5i -
krb5p -
ntlm -
sys
クライアントのセキュリティ タイプを3つのアクセス パラメータのそれぞれと照合すると、次の3つの結果が考えられます:
| クライアントのセキュリティ タイプが… | するとクライアントは… |
|---|---|
アクセス パラメータで指定されたものと一致します。 |
独自のユーザIDを使用してそのレベルへのアクセスを取得します。 |
指定されたものと一致しませんが、accessパラメータにオプション `none`が含まれています。 |
`-anon`パラメータで指定されたユーザーIDを持つ匿名ユーザーとして、そのアクセス レベルを取得します。 |
指定されたものと一致せず、アクセス パラメータにオプション `none`が含まれていません。 |
そのレベルではアクセスできません。 `-superuser`パラメータには適用されません。このパラメータには、指定されていない場合でも常に `none`が含まれるためです。 |
エクスポート ポリシーに、次のパラメータが指定されたエクスポート ルールが含まれています。
-
-protocolnfs3 -
-clientmatch10.1.16.0/255.255.255.0 -
-roruleany -
-rwrulesys,krb5 -
-superuserkrb5
クライアント#1は、IPアドレスが10.1.16.207、ユーザIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されました。
クライアント#2は、IPアドレスが10.1.16.211、ユーザIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されました。
クライアント#3は、IPアドレスが10.1.16.234、ユーザIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、認証されませんでした(AUTH_NONE)。
クライアント アクセス プロトコルとIPアドレスは、3つのクライアントすべてに一致しています。読み取り専用パラメータは、セキュリティ タイプに関係なく、すべてのクライアントに読み取り専用アクセスを許可します。読み取り/書き込みパラメータは、AUTH_SYSまたはKerberos v5で認証された、自身のユーザーIDを持つクライアントに読み取り/書き込みアクセスを許可します。スーパーユーザー パラメータは、Kerberos v5で認証された、ユーザーIDが0のクライアントにスーパーユーザー アクセスを許可します。
したがって、クライアント#1は3つのアクセス パラメータすべてに一致するため、スーパーユーザーの読み取り/書き込みアクセスを取得します。クライアント#2は読み取り/書き込みアクセスを取得しますが、スーパーユーザー アクセスは取得しません。クライアント#3は読み取り専用アクセスを取得しますが、スーパーユーザー アクセスは取得しません。