ONTAP NFSエクスポート ポリシーにルールを追加する
変更を提案
PDF
ルールがないと、エクスポート ポリシーはクライアントにデータへのアクセスを提供できません。新しいエクスポート ルールを作成するには、クライアントを識別し、クライアントの一致形式を選択し、アクセス タイプとセキュリティ タイプを選択し、匿名ユーザIDマッピングを指定し、ルールのインデックス番号を選択し、アクセス プロトコルを選択する必要があります。その後、 `vserver export-policy rule create`コマンドを使用して、新しいルールをエクスポート ポリシーに追加できます。
-
エクスポート ルールを追加するエクスポート ポリシーを用意しておく必要があります。
-
データSVMでDNSが正しく設定され、DNSサーバにNFSクライアントの正しいエントリが必要です。
これは、ONTAPが特定のクライアント一致形式に対してデータSVMのDNS設定を使用してDNSルックアップを実行し、エクスポート ポリシー ルールの一致に失敗するとクライアント データ アクセスができなくなる可能性があるためです。
-
Kerberosで認証する場合は、NFSクライアントで次のうちどのセキュリティ方式が使用されているかを特定しておく必要があります。
-
krb5(Kerberos V5プロトコル) -
krb5i(チェックサムを使用した整合性チェックを備えたKerberos V5プロトコル) -
krb5p(プライバシー サービスを備えたKerberos V5プロトコル)
-
エクスポート ポリシーの既存のルールがクライアント照合とアクセスの要件を満たしている場合は、新しいルールを作成する必要はありません。
Kerberosを使用して認証し、SVMのすべてのボリュームがKerberos経由でアクセスされる場合は、ルート ボリュームのエクスポート ルール オプション -rorule、 -rwrule、および -superuser`を `krb5、 krb5i、または `krb5p`に設定できます。
-
クライアント、および新しいルールのクライアント照合形式を特定します。
`-clientmatch`オプションは、ルールを適用するクライアントを指定します。クライアント一致値は1つまたは複数指定できます。複数の値を指定する場合は、カンマで区切る必要があります。一致値は、以下のいずれかの形式で指定できます:
クライアント一致形式 例 「.」で始まるドメイン名
.example.comまたは.example.com,.example.net,...ホスト名
host1`または `host1,host2, ...IPv4 アドレス
10.1.12.24`または `10.1.12.24,10.1.12.25, ...サブネット マスクをビット数で表したIPv4アドレス
10.1.12.10/4`または `10.1.12.10/4,10.1.12.11/4,...IPv4アドレスとネットワーク マスク
10.1.16.0/255.255.255.0または10.1.16.0/255.255.255.0,10.1.17.0/255.255.255.0,...ピリオド区切りの形式のIPv6アドレス
::1.2.3.4または::1.2.3.4,::1.2.3.5,...サブネット マスクをビット数で表したIPv6アドレス
ff::00/32`または `ff::00/32,ff::01/32,...@で始まる単一のネットグループ名
@netgroup1`または `@netgroup1,@netgroup2,...クライアント定義のタイプを組み合わせることもできます。たとえば、
.example.com,@netgroup1。IPアドレスを指定するときには、次の点に注意してください。
-
10.1.12.10-10.1.12.70のように、IPアドレスの範囲を入力することはできません。
この形式のエントリはテキスト文字列と解釈され、ホスト名として扱われます。
-
クライアント アクセスを詳細に管理するためにエクスポート ルールで個々のIPアドレスを指定する場合、動的に(DHCPなど)または一時的に(IPv6など)割り当てられたIPアドレスを指定しないでください。
そうしないと、IPアドレスが変更されるとクライアントはアクセス権を失います。
-
ff::12/ff::00 などのネットワーク マスク付きのIPv6アドレスを入力することはできません。
-
-
クライアント照合のアクセス タイプとセキュリティ タイプを選択します。
指定されたセキュリティ タイプで認証するクライアントに対して次のアクセス モードを1つ以上指定できます。
-
-rorule(読み取り専用アクセス) -
-rwrule(読み取り / 書き込みアクセス) -
-superuser(rootアクセス)
特定のセキュリティ タイプに対する読み取り / 書き込みアクセスは、エクスポート ルールでそのセキュリティ タイプに対する読み取り専用アクセスも許可した場合にのみ許可されます。読み取り専用パラメータで読み取り / 書き込みパラメータよりも限定的なセキュリティ タイプを指定した場合、クライアントに対して読み取り / 書き込みアクセスが許可されない可能性があります。スーパーユーザのアクセスの場合も同じです。
ルールには、複数のセキュリティ タイプをカンマ区切りのリストで指定できます。セキュリティ タイプを `any`または `never`として指定する場合は、他のセキュリティ タイプを指定しないでください。以下の有効なセキュリティ タイプから選択してください:
セキュリティ タイプが次のように設定されている場合: 一致するクライアントは、エクスポートされたデータにアクセスできます… any受信セキュリティ タイプに関係なく、常にアクセス可能です。
none単独で指定した場合、どのセキュリティ タイプのクライアントにも匿名アクセスが許可されます。他のセキュリティ タイプと一緒に指定した場合、指定したセキュリティ タイプのクライアントにアクセスが許可され、それ以外のセキュリティ タイプのクライアントには匿名アクセスが許可されます。
never受信セキュリティ タイプに関係なく、アクセス不可です。
krb5Kerberos 5によって認証されている場合。認証のみ:各要求と応答のヘッダーが署名されます。
krb5iKerberos 5i によって認証されている場合。認証と整合性:各リクエストとレスポンスのヘッダーと本文が署名されます。
krb5pKerberos 5p によって認証されている場合。認証、整合性、およびプライバシー:各要求と応答のヘッダーと本文が署名され、NFS データ ペイロードが暗号化されます。
ntlmCIFS NTLMによって認証されます。
sysNFS AUTH_SYSによって認証されます。
推奨されるセキュリティ タイプは
sys、またはKerberosが使用されている場合はkrb5、krb5i、または `krb5p`です。
NFSv3 で Kerberos を使用している場合、エクスポート ポリシー ルールで `krb5`に加えて `-rorule`と `-rwrule`の `sys`へのアクセスを許可する必要があります。これは、エクスポートへの Network Lock Manager(NLM)アクセスを許可する必要があるためです。
-
-
匿名ユーザIDマッピングを指定します。
`-anon`オプションは、ユーザIDが0(ゼロ)のクライアント要求にマッピングされるUNIXユーザIDまたはユーザ名を指定します。このユーザIDは通常、ユーザ名rootに関連付けられます。デフォルト値は `65534`です。NFSクライアントは通常、ユーザID 65534をユーザ名nobody(_root squashing_とも呼ばれます)に関連付けます。ONTAPでは、このユーザIDはユーザ名pcuserに関連付けられます。ユーザIDが0のクライアントによるアクセスを無効にするには、 `65535`を指定します。
-
ルール インデックスの順序を選択します。
`-ruleindex`オプションは、ルールのインデックス番号を指定します。ルールはインデックス番号のリスト内の順序に従って評価されます。つまり、インデックス番号が小さいルールが最初に評価されます。たとえば、インデックス番号1のルールは、インデックス番号2のルールよりも先に評価されます。
追加する場合… 操作 最初のルールをエクスポート ポリシーへ
入力
1。追加のルールをエクスポート ポリシーへ
-
ポリシー内の既存のルールを表示します:+
vserver export-policy rule show -instance -policyname your_policy -
評価する順序に応じて、新しいルールのインデックス番号を選択します。
-
-
該当する NFS アクセス値を選択します:{
nfs|nfs3|nfs4}。`nfs`任意のバージョンに一致し、 `nfs3`および `nfs4`特定のバージョンのみに一致します。
-
エクスポート ルールを作成して既存のエクスポート ポリシーに追加します。
vserver export-policy rule create -vserver vserver_name -policyname policy_name -ruleindex integer -protocol {nfs|nfs3|nfs4} -clientmatch { text | "text,text,…" } -rorule security_type -rwrule security_type -superuser security_type -anon user_ID -
エクスポート ポリシーのルールを表示して、新しいルールが存在することを確認します。
vserver export-policy rule show -policyname policy_nameこのコマンドにより、エクスポート ポリシーに適用されるルールの一覧を含む、エクスポート ポリシーの概要が表示されます。ONTAPでは、各ルールにルール インデックス番号が割り当てられます。ルール インデックス番号を確認したあと、その番号を使用して、指定したエクスポート ルールの詳細情報を表示できます。
-
エクスポート ポリシーに適用されたルールが正しく設定されていることを確認します。
vserver export-policy rule show -policyname policy_name -vserver vserver_name -ruleindex integer
次のコマンドは、SVM vs1 上のエクスポート ポリシー rs1 にエクスポート ルールを作成し、その作成を確認します。このルールのインデックス番号は 1 です。このルールは、ドメイン eng.company.com およびネットグループ @netgroup1 内のすべてのクライアントに一致します。このルールは、すべての NFS アクセスを有効にします。AUTH_SYS で認証されたユーザには、読み取り専用アクセスと読み取り/書き込みアクセスが許可されます。UNIX ユーザ ID が 0(ゼロ)のクライアントは、Kerberos で認証されない限り匿名化されます。
vs1::> vserver export-policy rule create -vserver vs1 -policyname exp1 -ruleindex 1 -protocol nfs
-clientmatch .eng.company.com,@netgoup1 -rorule sys -rwrule sys -anon 65534 -superuser krb5
vs1::> vserver export-policy rule show -policyname nfs_policy
Virtual Policy Rule Access Client RO
Server Name Index Protocol Match Rule
------------ -------------- ------ -------- ---------------- ------
vs1 exp1 1 nfs eng.company.com, sys
@netgroup1
vs1::> vserver export-policy rule show -policyname exp1 -vserver vs1 -ruleindex 1
Vserver: vs1
Policy Name: exp1
Rule Index: 1
Access Protocol: nfs
Client Match Hostname, IP Address, Netgroup, or Domain: eng.company.com,@netgroup1
RO Access Rule: sys
RW Access Rule: sys
User ID To Which Anonymous Users Are Mapped: 65534
Superuser Security Types: krb5
Honor SetUID Bits in SETATTR: true
Allow Creation of Devices: true
次のコマンドは、SVM vs2 上のエクスポート ポリシー expol2 にエクスポート ルールを作成し、その作成を確認します。このルールのインデックス番号は 21 です。このルールは、クライアントをネットグループ dev_netgroup_main のメンバーに一致させます。このルールはすべての NFS アクセスを有効にします。AUTH_SYS で認証されたユーザには読み取り専用アクセスを許可し、読み取り/書き込みアクセスとルート アクセスには Kerberos 認証が必要です。UNIX ユーザ ID が 0(ゼロ)のクライアントは、Kerberos で認証されない限り、ルート アクセスを拒否されます。
vs2::> vserver export-policy rule create -vserver vs2 -policyname expol2 -ruleindex 21 -protocol nfs
-clientmatch @dev_netgroup_main -rorule sys -rwrule krb5 -anon 65535 -superuser krb5
vs2::> vserver export-policy rule show -policyname nfs_policy
Virtual Policy Rule Access Client RO
Server Name Index Protocol Match Rule
-------- ------------ ------ -------- ------------------ ------
vs2 expol2 21 nfs @dev_netgroup_main sys
vs2::> vserver export-policy rule show -policyname expol2 -vserver vs1 -ruleindex 21
Vserver: vs2
Policy Name: expol2
Rule Index: 21
Access Protocol: nfs
Client Match Hostname, IP Address, Netgroup, or Domain:
@dev_netgroup_main
RO Access Rule: sys
RW Access Rule: krb5
User ID To Which Anonymous Users Are Mapped: 65535
Superuser Security Types: krb5
Honor SetUID Bits in SETATTR: true
Allow Creation of Devices: true