Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP NFSエクスポートポリシーにルールを追加する

共同作成者 netapp-aherbin netapp-barbe netapp-dbagwell
PDF

エクスポートポリシーにルールがないと、クライアントはデータにアクセスできません。新しいエクスポートルールを作成するには、クライアントを特定してクライアント照合形式を選択し、アクセスとセキュリティのタイプを選択し、匿名ユーザIDマッピングを指定し、ルールインデックス番号を選択して、アクセスプロトコルを選択する必要があります。その後、コマンドを使用して、新しいルールをエクスポートポリシーに追加できます vserver export-policy rule create

開始する前に

  • エクスポートルールを追加するエクスポートポリシーを用意しておく必要があります。

  • データ SVM で DNS が正しく設定されている必要があり、 DNS サーバに NFS クライアント用の正しいエントリが存在する必要があります。

    その理由は、特定のクライアント照合形式で ONTAP がデータ SVM の DNS 設定を使用して DNS ルックアップを実行することと、エクスポートポリシールールの照合が失敗するとクライアントがデータにアクセスできなくなる可能性があることです。

  • Kerberosで認証する場合は、NFSクライアントで次のいずれのセキュリティ方式が使用されているかを確認しておく必要があります。

    • krb5(Kerberos v5プロトコル)

    • krb5i(Kerberos v5プロトコルとチェックサムによる整合性チェック)

    • krb5p(Kerberos v5プロトコルとプライバシーサービス)

タスクの内容

エクスポートポリシーの既存のルールがクライアント一致とアクセスの要件を満たしている場合は、新しいルールを作成する必要はありません。

Kerberosで認証する場合に、SVMのすべてのボリュームにKerberos経由でアクセスできる場合は -superuserkrb5i`ルートボリュームのエクスポートルールオプション、 `-rwrule、、を、または krb5p`に `krb5`設定できます `-rorule

手順

  1. 新しいルールのクライアントとクライアント照合形式を特定します。

    オプションは -clientmatch、ルールを適用するクライアントを指定します。クライアント一致の値は1つまたは複数指定できます。複数の値を指定する場合はカンマで区切る必要があります。次のいずれかの形式で指定できます。

    クライアント照合形式

    先頭に文字が付いたドメイン名

    .example.com`または `.example.com,.example.net,...

    ホスト名

    host1`または `host1,host2, ...

    IPv4アドレス

    10.1.12.24`または `10.1.12.24,10.1.12.25, ...

    サブネット マスクをビット数で表したIPv4アドレス

    10.1.12.10/4`または `10.1.12.10/4,10.1.12.11/4,...

    IPv4アドレスとネットワークマスク

    10.1.16.0/255.255.255.0`または `10.1.16.0/255.255.255.0,10.1.17.0/255.255.255.0,...

    ドット付き形式のIPv6アドレス

    ::1.2.3.4`または `::1.2.3.4,::1.2.3.5,...

    サブネットマスクをビット数で表したIPv6アドレス

    ff::00/32`または `ff::00/32,ff::01/32,...

    先頭に@文字が付いた単一のネットグループ

    @netgroup1`または `@netgroup1,@netgroup2,...

    クライアント定義のタイプを組み合わせることもできます(例:) .example.com,@netgroup1

    IPアドレスを指定する場合は、次の点に注意してください。

    • 10.1.12.10-10.1.12.70などのIPアドレス範囲を入力することはできません。

      この形式のエントリはテキスト文字列と解釈され、ホスト名として扱われます。

    • クライアントアクセスのきめ細かな管理のためにエクスポートルールで個々の IP アドレスを指定する際には、動的( DHCP など)または一時的( IPv6 など)に割り当てられている IP アドレスを指定しないでください。

      そうしないと、IPアドレスが変更されると、クライアントはアクセスを失います。

    • ff : 12/ff : 00 のように、 IPv6 アドレスとネットワークマスクを入力することはできません。

  2. クライアント一致のアクセスタイプとセキュリティタイプを選択します。

    指定したセキュリティタイプで認証するクライアントには、次のアクセスモードを1つ以上指定できます。

    • -rorule(読み取り専用アクセス)

    • -rwrule(読み取り/書き込みアクセス)

    • -superuser(ルートアクセス)

      メモ

      特定のセキュリティタイプの読み取り/書き込みアクセスは、エクスポートルールでそのセキュリティタイプの読み取り専用アクセスも許可されている場合にのみ許可されます。読み取り専用パラメータで読み取り/書き込みパラメータよりも限定的なセキュリティタイプを指定すると、クライアントに対して読み取り/書き込みアクセスが許可されない可能性があります。スーパーユーザアクセスについても同様です。

      1つのルールに対して複数のセキュリティタイプをカンマで区切って指定できます。セキュリティタイプとしてまたはを never`指定する場合は `any、他のセキュリティタイプは指定しないでください。次の有効なセキュリティタイプから選択します。

      セキュリティタイプの設定 一致するクライアントからエクスポートされたデータへのアクセス

      any

      受信セキュリティタイプに関係なく、常に。

      none

      単独で指定した場合、どのセキュリティタイプのクライアントにも匿名アクセスが許可されます。他のセキュリティタイプと一緒に指定すると、指定したセキュリティタイプのクライアントにアクセスが許可され、それ以外のセキュリティタイプのクライアントには匿名アクセスが許可されます。

      never

      受信セキュリティタイプに関係なく、なし。

      krb5

      Kerberos 5によって認証されます。認証のみ:各要求および応答のヘッダーが署名されます。

      krb5i

      Kerberos 5iによって認証されます。認証および整合性:各要求および応答のヘッダーと本文が署名されます。

      krb5p

      Kerberos 5pによって認証されます。認証、整合性、およびプライバシー:各要求および応答のヘッダーと本文が署名され、 NFS データペイロードが暗号化されます。

      ntlm

      CIFS NTLMによって認証されます。

      sys

      NFS AUTH_SYSで認証されます。

      推奨されるセキュリティタイプは sys、または(Kerberosを使用する場合) krb5、、 krb5i、、または `krb5p`です。

    NFSv3でKerberosを使用している場合は -rwrule、に加えて krb5`エクスポートポリシールールでアクセスを `sys`許可する必要があります `-rorule。これは、Network Lock Manager(NLM)によるエクスポートへのアクセスを許可する必要があるためです。

  3. 匿名ユーザIDマッピングを指定します。

    `-anon`オプションは、ユーザIDが0(ゼロ)で到着するクライアント要求にマッピングされるUNIXユーザIDまたはユーザ名を指定します。このユーザIDは通常ユーザ名rootに関連付けられています。デフォルト値はです `65534`。NFS クライアントは通常、ユーザ ID 65534 をユーザ名 nobody と関連付けます( _root squashing_) 。ONTAPでは、このユーザIDはユーザpcuserに関連付けられています。ユーザIDが0のクライアントからのアクセスを無効にするには、の値を指定し `65535`ます。

  4. ルールインデックスの順序を選択します。

    オプションは -ruleindex、ルールのインデックス番号を指定します。ルールはインデックス番号のリスト内の順序に従って評価され、インデックス番号が小さいルールが最初に評価されます。たとえば、インデックス番号が1のルールは、インデックス番号が2のルールよりも先に評価されます。

    追加対象 そしたら…​。

    エクスポートポリシーへの最初のルール

    と入力し `1`ます。

    追加のルールをエクスポートポリシーに

    1. ポリシー内の既存のルールを表示します。+ vserver export-policy rule show -instance -policyname your_policy

    2. 評価する順序に応じて、新しいルールのインデックス番号を選択します。

  5. 該当するNFSアクセス値を選択します{nfs|nfs3|nfs4:}。

    nfs`任意のバージョンに一致し `nfs3、 `nfs4`特定のバージョンだけに一致します。

  6. エクスポートルールを作成して既存のエクスポートポリシーに追加します。

    vserver export-policy rule create -vserver vserver_name -policyname policy_name -ruleindex integer -protocol {nfs|nfs3|nfs4} -clientmatch { text | "text,text,…​" } -rorule security_type -rwrule security_type -superuser security_type -anon user_ID

  7. エクスポートポリシーのルールを表示して、新しいルールが存在することを確認します。

    vserver export-policy rule show -policyname policy_name

    このコマンドは、エクスポートポリシーに適用されているルールのリストを含む、エクスポートポリシーの概要を表示します。ONTAPは、各ルールにルールインデックス番号を割り当てます。ルールインデックス番号を確認したら、その番号を使用して、指定したエクスポートルールに関する詳細情報を表示できます。

  8. エクスポートポリシーに適用されたルールが正しく設定されていることを確認します。

    vserver export-policy rule show -policyname policy_name -vserver vserver_name -ruleindex integer

次のコマンドは、 rs1 というエクスポートポリシーで vs1 という SVM に対するエクスポートルールを作成し、作成を確認します。このルールのインデックス番号は1です。このルールは、ドメインeng.company.comおよびネットグループ@netgroup1内のすべてのクライアントに一致します。このルールは、すべてのNFSアクセスを有効にします。AUTH_SYSで認証されたユーザに対する読み取り専用アクセスと読み取り/書き込みアクセスを有効にします。UNIXユーザIDが0(ゼロ)のクライアントは、Kerberosで認証されないかぎり匿名化されます。

vs1::> vserver export-policy rule create -vserver vs1 -policyname exp1 -ruleindex 1 -protocol nfs
-clientmatch .eng.company.com,@netgoup1 -rorule sys -rwrule sys -anon 65534 -superuser krb5

vs1::> vserver export-policy rule show -policyname nfs_policy
Virtual      Policy         Rule    Access    Client           RO
Server       Name           Index   Protocol  Match            Rule
------------ -------------- ------  --------  ---------------- ------
vs1          exp1           1       nfs       eng.company.com, sys
                                              @netgroup1

vs1::> vserver export-policy rule show -policyname exp1 -vserver vs1 -ruleindex 1

                                    Vserver: vs1
                                Policy Name: exp1
                                 Rule Index: 1
                            Access Protocol: nfs
Client Match Hostname, IP Address, Netgroup, or Domain: eng.company.com,@netgroup1
                             RO Access Rule: sys
                             RW Access Rule: sys
User ID To Which Anonymous Users Are Mapped: 65534
                   Superuser Security Types: krb5
               Honor SetUID Bits in SETATTR: true
                  Allow Creation of Devices: true

次のコマンドは、 expol2 というエクスポートポリシーで vs2 という SVM に対するエクスポートルールを作成し、作成を確認します。このルールのインデックス番号は21です。このルールは、クライアントをネットグループdev_netgroup_mainのメンバーと照合します。このルールは、すべてのNFSアクセスを有効にします。AUTH_SYSで認証されたユーザの読み取り専用アクセスを有効にし、読み取り/書き込みアクセスとrootアクセスにはKerberos認証を必要とします。UNIXユーザIDが0(ゼロ)のクライアントは、Kerberos以外で認証されないかぎり、ルートアクセスを拒否されます。

vs2::> vserver export-policy rule create -vserver vs2 -policyname expol2 -ruleindex 21 -protocol nfs
-clientmatch @dev_netgroup_main -rorule sys -rwrule krb5 -anon 65535 -superuser krb5

vs2::> vserver export-policy rule show -policyname nfs_policy
Virtual  Policy       Rule    Access    Client              RO
Server   Name         Index   Protocol  Match               Rule
-------- ------------ ------  --------  ------------------  ------
vs2      expol2       21       nfs      @dev_netgroup_main  sys

vs2::> vserver export-policy rule show -policyname expol2 -vserver vs1 -ruleindex 21

                                    Vserver: vs2
                                Policy Name: expol2
                                 Rule Index: 21
                            Access Protocol: nfs
Client Match Hostname, IP Address, Netgroup, or Domain:
                                             @dev_netgroup_main
                             RO Access Rule: sys
                             RW Access Rule: krb5
User ID To Which Anonymous Users Are Mapped: 65535
                   Superuser Security Types: krb5
               Honor SetUID Bits in SETATTR: true
                  Allow Creation of Devices: true