日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

セキュリティタイプによるクライアントアクセスレベルの決定方法

寄稿者

クライアントの認証に使用されるセキュリティタイプは、エクスポートルールで特別な役割を果たします。クライアントがボリュームまたは qtree にアクセスする際のレベルがセキュリティタイプによってどのように決定されるかについて理解しておく必要があります。

アクセスレベルには、次の 3 つがあります。

  1. 読み取り専用です

  2. 読み書き可能です

  3. superuser (ユーザ ID が 0 のクライアントの場合)

セキュリティタイプに基づくアクセスレベルはこの順序で評価されるため、エクスポートルールでアクセスレベルパラメータを作成するときは、次のルールに従う必要があります。

クライアントに必要なアクセスレベル クライアントのセキュリティタイプと一致する必要があるアクセスパラメータ

標準ユーザの読み取り専用

読み取り専用( `-rorule ’)

標準ユーザの読み取り / 書き込み

読み取り専用( `-rorule ’)および読み取り / 書き込み( `-rwrule ’)

スーパーユーザの読み取り専用です

読み取り専用 (`-rorule ') および --superuser

スーパーユーザの読み取り / 書き込み

読み取り専用 (-rorule ') および読み取り / 書き込み (-rwrule ') および --superuser

次に、これらの 3 つのアクセスパラメータのそれぞれで有効なセキュリティタイプを示します。

  • 「任意」

  • 「 NONE 」

  • 「まったく」ではありません

    このセキュリティ・タイプは '-superuser' パラメータと一緒に使用することはできません

  • 「 krb5 」

  • 「 krb5i

  • 「 krb5p

  • 「 NTLM 」

  • 「シス」

クライアントのセキュリティタイプを 3 つの各アクセスパラメータと照合したときの結果としては、次の 3 つが考えられます。

クライアントのセキュリティタイプ クライアント

アクセスパラメータで指定されたタイプと一致する。

独自のユーザ ID を使用して、そのレベルのアクセス権を取得します。

指定されたタイプと一致しませんが、アクセスパラメータにはオプション「 none 」が含まれます。

そのレベルのアクセス権を取得しますが、 -anon` パラメータで指定されたユーザ ID を持つ匿名ユーザとして取得します。

指定されたタイプと一致しないが、アクセスパラメータにオプション「 none 」が含まれていない。

は ' そのレベルのアクセス権を取得しませんこれは '-superuser パラメータには適用されませんこれは ' 指定されていなくても常に non` が含まれるためです

エクスポートポリシーに、次のパラメータが指定されたエクスポートルールが含まれています。

  • -protocol `nfs3

  • -clientmatch `10.1.16.0/255.255.255.0

  • 「 -rorule 」「 any 」

  • -rwrule ``sys’krb5

  • ` - superuser `krb5

クライアント #1 は、 IP アドレスが 10.1.16.207 、ユーザ ID が 0 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、 Kerberos v5 で認証されます。

クライアント #2 は、 IP アドレスが 10.1.16.211 、ユーザ ID が 0 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、 AUTH_SYS で認証されます。

クライアント #3 は、 IP アドレスが 10.1.16.234 、ユーザ ID が 0 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、認証は行われていません( AUTH_NONE )。

3 つすべてのクライアントで、クライアントアクセスプロトコルと IP アドレスは一致しています。読み取り専用パラメータでは、セキュリティタイプに関係なく、読み取り専用アクセスがすべてのクライアントに許可されています。読み取り / 書き込みパラメータでは、読み取り / 書き込みアクセスが、 AUTH_SYS または Kerberos v5 で認証された、自身のユーザ ID を持つクライアントに許可されています。スーパーユーザパラメータでは、スーパーユーザアクセスが、 Kerberos v5 で認証された、ユーザ ID が 0 のクライアントに許可されています。

したがって、クライアント #1 は、 3 つすべてのアクセスパラメータに一致するため、スーパーユーザの読み取り / 書き込みアクセス権を取得します。クライアント #2 は、読み取り / 書き込みアクセス権を取得しますが、スーパーユーザアクセス権は取得できません。クライアント #3 は、読み取り専用アクセス権を取得しますが、スーパーユーザアクセス権は取得できません。