セキュリティタイプによるクライアントアクセスレベルの決定方法
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
クライアントの認証に使用されるセキュリティタイプは、エクスポートルールで特別な役割を果たします。クライアントがボリュームまたは qtree にアクセスする際のレベルがセキュリティタイプによってどのように決定されるかについて理解しておく必要があります。
アクセスレベルには、次の 3 つがあります。
-
読み取り専用です
-
読み書き可能です
-
superuser (ユーザ ID が 0 のクライアントの場合)
セキュリティタイプに基づくアクセスレベルはこの順序で評価されるため、エクスポートルールでアクセスレベルパラメータを作成するときは、次のルールに従う必要があります。
クライアントに必要なアクセスレベル | クライアントのセキュリティタイプと一致する必要があるアクセスパラメータ |
---|---|
標準ユーザの読み取り専用 |
読み取り専用です ( |
標準ユーザの読み取り / 書き込み |
読み取り専用です ( |
スーパーユーザの読み取り専用です |
読み取り専用です ( |
スーパーユーザの読み取り / 書き込み |
読み取り専用です ( |
次に、これらの 3 つのアクセスパラメータのそれぞれで有効なセキュリティタイプを示します。
-
any
-
none
-
never
このセキュリティタイプは、では使用できません
-superuser
パラメータ -
krb5
-
krb5i
-
krb5p
-
ntlm
-
sys
クライアントのセキュリティタイプを 3 つの各アクセスパラメータと照合したときの結果としては、次の 3 つが考えられます。
クライアントのセキュリティタイプ | クライアント |
---|---|
アクセスパラメータで指定されたタイプと一致する。 |
独自のユーザ ID を使用して、そのレベルのアクセス権を取得します。 |
指定したタイプと一致しないが、アクセスパラメータにオプションが指定されている |
で指定されたユーザIDを持つ匿名ユーザとして、そのレベルのアクセス権を取得します |
指定したタイプと一致しないため、アクセスパラメータにオプションが指定されていません |
は、そのレベルのアクセス権を取得しません。これは、には適用されません |
エクスポートポリシーに、次のパラメータが指定されたエクスポートルールが含まれています。
-
-protocol
nfs3
-
-clientmatch
10.1.16.0/255.255.255.0
-
-rorule
any
-
-rwrule
sys,krb5
-
-superuser
krb5
クライアント #1 は、 IP アドレスが 10.1.16.207 、ユーザ ID が 0 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、 Kerberos v5 で認証されます。
クライアント #2 は、 IP アドレスが 10.1.16.211 、ユーザ ID が 0 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、 AUTH_SYS で認証されます。
クライアント #3 は、 IP アドレスが 10.1.16.234 、ユーザ ID が 0 で、 NFSv3 プロトコルを使用してアクセス要求を送信し、認証は行われていません( AUTH_NONE )。
3 つすべてのクライアントで、クライアントアクセスプロトコルと IP アドレスは一致しています。読み取り専用パラメータでは、セキュリティタイプに関係なく、読み取り専用アクセスがすべてのクライアントに許可されています。読み取り / 書き込みパラメータでは、読み取り / 書き込みアクセスが、 AUTH_SYS または Kerberos v5 で認証された、自身のユーザ ID を持つクライアントに許可されています。スーパーユーザパラメータでは、スーパーユーザアクセスが、 Kerberos v5 で認証された、ユーザ ID が 0 のクライアントに許可されています。
したがって、クライアント #1 は、 3 つすべてのアクセスパラメータに一致するため、スーパーユーザの読み取り / 書き込みアクセス権を取得します。クライアント #2 は、読み取り / 書き込みアクセス権を取得しますが、スーパーユーザアクセス権は取得できません。クライアント #3 は、読み取り専用アクセス権を取得しますが、スーパーユーザアクセス権は取得できません。