エクスポートポリシーにルールを追加する
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
エクスポートポリシーにルールが含まれていないと、クライアントはデータにアクセスできません。新しいエクスポートルールを作成するには、クライアントを特定してクライアント照合形式を選択し、アクセスとセキュリティの種類を選択し、匿名ユーザ ID マッピングを指定し、ルールインデックス番号を選択して、アクセスプロトコルを選択する必要があります。その後、を使用できます vserver export-policy rule create
コマンドを使用して新しいルールをエクスポートポリシーに追加します。
-
エクスポートルールを追加するエクスポートポリシーを用意しておく必要があります。
-
データ SVM で DNS が正しく設定されている必要があり、 DNS サーバに NFS クライアント用の正しいエントリが存在する必要があります。
その理由は、特定のクライアント照合形式で ONTAP がデータ SVM の DNS 設定を使用して DNS ルックアップを実行することと、エクスポートポリシールールの照合が失敗するとクライアントがデータにアクセスできなくなる可能性があることです。
-
Kerberos で認証する場合は、 NFS クライアントで次のうちどのセキュリティ方式が使用されているかを特定しておく必要があります。
-
krb5
(Kerberos v5プロトコル) -
krb5i
(Kerberos v5プロトコルとチェックサムによる整合性チェック) -
krb5p
(Kerberos v5プロトコルとプライバシーサービス)
-
エクスポートポリシーの既存のルールがクライアント照合とアクセスの要件を満たしている場合は、新しいルールを作成する必要はありません。
Kerberosで認証する場合に、SVMのすべてのボリュームにKerberos経由でアクセスできる場合は、エクスポートルールオプションを設定できます -rorule
、 -rwrule`および `-superuser
ルートボリュームのをに設定します krb5
、 krb5i`または `krb5p
。
-
クライアントと、新しいルールのクライアント照合形式を特定します。
。
-clientmatch
オプションは、ルールを適用するクライアントを指定します。クライアント照合の値は 1 つまたは複数指定できます。複数の値を指定する場合はカンマで区切る必要があります。次のいずれかの形式で指定できます。クライアント照合形式 例 先頭に文字が付いたドメイン名
.example.com
または.example.com,.example.net,...
ホスト名
host1
またはhost1,host2, ...
IPv4 アドレス
10.1.12.24
または10.1.12.24,10.1.12.25, ...
サブネットマスクをビット数で表した IPv4 アドレス
10.1.12.10/4
または10.1.12.10/4,10.1.12.11/4,...
IPv4 アドレスとネットワークマスク
10.1.16.0/255.255.255.0
または10.1.16.0/255.255.255.0,10.1.17.0/255.255.255.0,...
ピリオド区切りの形式の IPv6 アドレス
::1.2.3.4
または::1.2.3.4,::1.2.3.5,...
サブネットマスクをビット数で表したIPv6アドレス
ff::00/32
またはff::00/32,ff::01/32,...
ネットグループ名の前に @ 文字を付けた単一のネットグループ
@netgroup1
または@netgroup1,@netgroup2,...
クライアント定義のタイプを組み合わせることもできます。たとえば、
.example.com,@netgroup1
。IP アドレスを指定する場合は、次の点に注意してください。
-
10.1.12.10-10.1.12.70 のように、 IP アドレスの範囲を入力することはできません。
この形式のエントリはテキスト文字列と解釈され、ホスト名として扱われます。
-
クライアントアクセスのきめ細かな管理のためにエクスポートルールで個々の IP アドレスを指定する際には、動的( DHCP など)または一時的( IPv6 など)に割り当てられている IP アドレスを指定しないでください。
そうしないと、 IP アドレスが変更されるとクライアントはアクセスを失います。
-
ff : 12/ff : 00 のように、 IPv6 アドレスとネットワークマスクを入力することはできません。
-
-
クライアント照合のアクセスタイプとセキュリティタイプを選択します。
指定したセキュリティタイプで認証するクライアントに対して、次のアクセスモードを 1 つ以上指定できます。
-
-rorule
(読み取り専用アクセス) -
-rwrule
(読み取り/書き込みアクセス) -
-superuser
(ルートアクセス)特定のセキュリティタイプに対する読み取り / 書き込みアクセスは、エクスポートルールでそのセキュリティタイプに対する読み取り専用アクセスも許可した場合にのみ許可されます。読み取り専用パラメータで読み取り / 書き込みパラメータよりも限定的なセキュリティタイプを指定した場合、クライアントに対して読み取り / 書き込みアクセスが許可されない可能性があります。スーパーユーザアクセスの場合も同様です。
カンマ区切りの形式を使用して、 1 つのルールに対して複数のセキュリティタイプを指定できます。セキュリティタイプとしてを指定する場合は
any
またはnever
、その他のセキュリティタイプは指定しないでください。次の有効なセキュリティタイプから選択してください。セキュリティタイプの設定 一致するクライアントからエクスポートされたデータへのアクセス any
受信セキュリティタイプに関係なく、常に実行されます。
none
単独で指定した場合、どのセキュリティタイプのクライアントにも匿名アクセスが許可されます。他のセキュリティタイプと一緒に指定した場合、指定したセキュリティタイプのクライアントにアクセスが許可され、それ以外のセキュリティタイプのクライアントには匿名アクセスが許可されます。
never
受信セキュリティタイプに関係なく、絶対に使用しないでください。
krb5
Kerberos 5 によって認証されます。 認証のみ:各要求および応答のヘッダーが署名されます。
krb5i
Kerberos 5i によって認証されます。 認証および整合性:各要求および応答のヘッダーと本文が署名されます。
krb5p
Kerberos 5pによって認証されます。 認証、整合性、およびプライバシー:各要求および応答のヘッダーと本文が署名され、 NFS データペイロードが暗号化されます。
ntlm
CIFS NTLM によって認証されます。
sys
NFS AUTH_SYS によって認証されます。
推奨されるセキュリティタイプはです
sys`またはKerberosを使用する場合は、 `krb5
、krb5i`または `krb5p
。
NFSv3でKerberosを使用する場合は、エクスポートポリシールールで許可する必要があります
-rorule
および-rwrule
へのアクセスsys
に加えてkrb5
。これは、 Network Lock Manager ( NLM ;ネットワークロックマネージャ)にエクスポートへのアクセスを許可する必要があるためです。 -
-
匿名ユーザ ID マッピングを指定します。
。
-anon
optionは、ユーザIDが0(ゼロ)で到着するクライアント要求にマッピングされるUNIXユーザIDまたはユーザ名を指定します。このユーザIDは通常ユーザ名rootに関連付けられています。デフォルト値はです65534
。NFS クライアントは通常、ユーザ ID 65534 をユーザ名 nobody と関連付けます( root squashing) 。ONTAP では、このユーザ ID が pcuser というユーザに関連付けられています。ユーザIDが0のクライアントからのアクセスを無効にするには、の値を指定します65535
。 -
ルールインデックスの順序を選択します。
。
-ruleindex
optionには、ルールのインデックス番号を指定します。ルールはインデックス番号のリストの順序に従って評価され、インデックス番号の小さいルールが最初に評価されます。たとえば、インデックス番号が 1 のルールは、インデックス番号が 2 のルールよりも先に評価されます。追加対象 作業 最初のルールをエクスポートポリシーに追加します
入力するコマンド
1
。追加のルールをエクスポートポリシーに追加
-
ポリシー内の既存のルールを表示します。 [+]
vserver export-policy rule show -instance -policyname your_policy
-
評価する順序に応じて、新しいルールのインデックス番号を選択します。
-
-
該当するNFSアクセス値を選択します。 {
nfs
|nfs3
|nfs4
}。nfs
任意のバージョンと一致します。nfs3
およびnfs4
特定のバージョンのみを照合します。 -
エクスポートルールを作成して既存のエクスポートポリシーに追加します。
vserver export-policy rule create -vserver vserver_name -policyname policy_name -ruleindex integer -protocol {nfs|nfs3|nfs4} -clientmatch { text | "text,text,…" } -rorule security_type -rwrule security_type -superuser security_type -anon user_ID
-
エクスポートポリシーのルールを表示して新しいルールが存在することを確認します。
vserver export-policy rule show -policyname policy_name
このコマンドにより、エクスポートポリシーに適用されるルールの一覧を含む、エクスポートポリシーの概要が表示されます。ONTAP では、各ルールにルールインデックス番号が割り当てられます。ルールインデックス番号を確認したあと、その番号を使用して、指定したエクスポートルールの詳細情報を表示できます。
-
エクスポートポリシーに適用されたルールが正しく設定されていることを確認します。
vserver export-policy rule show -policyname policy_name -vserver vserver_name -ruleindex integer
次のコマンドは、 rs1 というエクスポートポリシーで、 vs1 という名前の SVM 上のエクスポートルールを作成し、作成を確認します。ルールのインデックス番号は 1 です。このルールは、ドメイン eng.company.com およびネットグループ @netgroup1 内のどのクライアントとも一致します。すべての NFS アクセスを有効にしています。AUTH_SYS で認証されたユーザに対する読み取り専用および読み取り / 書き込みアクセスを有効にしています。UNIX ユーザ ID が 0 (ゼロ)のクライアントは、 Kerberos 以外で認証すると匿名化されます。
vs1::> vserver export-policy rule create -vserver vs1 -policyname exp1 -ruleindex 1 -protocol nfs -clientmatch .eng.company.com,@netgoup1 -rorule sys -rwrule sys -anon 65534 -superuser krb5 vs1::> vserver export-policy rule show -policyname nfs_policy Virtual Policy Rule Access Client RO Server Name Index Protocol Match Rule ------------ -------------- ------ -------- ---------------- ------ vs1 exp1 1 nfs eng.company.com, sys @netgroup1 vs1::> vserver export-policy rule show -policyname exp1 -vserver vs1 -ruleindex 1 Vserver: vs1 Policy Name: exp1 Rule Index: 1 Access Protocol: nfs Client Match Hostname, IP Address, Netgroup, or Domain: eng.company.com,@netgroup1 RO Access Rule: sys RW Access Rule: sys User ID To Which Anonymous Users Are Mapped: 65534 Superuser Security Types: krb5 Honor SetUID Bits in SETATTR: true Allow Creation of Devices: true
次のコマンドは、 expol2 というエクスポートポリシーで vs2 という SVM に対するエクスポートルールを作成し、作成を確認します。このルールのインデックス番号は21です。このルールは、クライアントをネットグループ dev_netgroup_main のメンバーと照合します。すべての NFS アクセスを有効にしています。AUTH_SYS によって認証されたユーザの読み取り専用アクセスを有効にし、読み取り / 書き込みおよびルートアクセスについては Kerberos 認証を要求します。UNIX ユーザ ID が 0 (ゼロ)のクライアントは、 Kerberos 以外で認証するとルートアクセスを拒否されます。
vs2::> vserver export-policy rule create -vserver vs2 -policyname expol2 -ruleindex 21 -protocol nfs -clientmatch @dev_netgroup_main -rorule sys -rwrule krb5 -anon 65535 -superuser krb5 vs2::> vserver export-policy rule show -policyname nfs_policy Virtual Policy Rule Access Client RO Server Name Index Protocol Match Rule -------- ------------ ------ -------- ------------------ ------ vs2 expol2 21 nfs @dev_netgroup_main sys vs2::> vserver export-policy rule show -policyname expol2 -vserver vs1 -ruleindex 21 Vserver: vs2 Policy Name: expol2 Rule Index: 21 Access Protocol: nfs Client Match Hostname, IP Address, Netgroup, or Domain: @dev_netgroup_main RO Access Rule: sys RW Access Rule: krb5 User ID To Which Anonymous Users Are Mapped: 65535 Superuser Security Types: krb5 Honor SetUID Bits in SETATTR: true Allow Creation of Devices: true