Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NFSのセキュリティ保護

共同作成者
PDF

エクスポートルールは、エクスポートポリシーの機能要素です。エクスポート ルールでは、ボリュームへのクライアント アクセス要求が設定済みの特定のパラメータと照合され、クライアント アクセス要求の処理方法が決定されます。エクスポートポリシーには、クライアントへのアクセスを許可するエクスポートルールが少なくとも1つ含まれている必要があります。エクスポートポリシーに複数のルールが含まれている場合、ルールはエクスポートポリシーに表示される順序で処理されます。

アクセス制御は、セキュアな体制を維持するうえで中心的な役割を果たします。そのためONTAPでは、エクスポート ポリシー機能を使用して、NFSボリュームへのアクセスを特定のパラメータに一致するクライアントだけに制限します。エクスポートポリシーには、各クライアントアクセス要求を処理するエクスポートルールが 1 つ以上含まれています。ボリュームへのクライアント アクセスを設定するため、各ボリュームにはエクスポート ポリシーが関連付けられています。エクスポート ポリシーの結果に基づいて、クライアントにボリュームへのアクセスが許可されるか拒否されるか(「permission denied」メッセージが表示される)が決まります。また、ボリュームに対するアクセス レベルも決まります。

メモ クライアントがデータにアクセスするためには、エクスポート ルールを含むエクスポート ポリシーがSVMに割り当てられている必要があります。SVMには複数のエクスポート ポリシーを割り当てることができます。

ルールの順序は、ルールインデックス番号によって決まります。ルールがクライアントに一致すると、そのルールのアクセス権が使用され、それ以降のルールは処理されません。一致するルールがない場合、クライアントはアクセスを拒否されます。

エクスポート ルールは、次の条件を適用することでクライアントのアクセス権を決定します。

  • クライアントが要求の送信に使用したファイル アクセス プロトコル(NFSv4やSMBなど)

  • クライアント識別子(ホスト名やIPアドレスなど)

  • クライアントが認証に使用したセキュリティ タイプ(Kerberos v5、NTLM、AUTH_SYSなど)

ルールに複数の条件が指定されている場合、クライアントが1つでも条件に一致しないとそのルールは適用されません。

エクスポート ポリシーに、次のパラメータが指定されたエクスポート ルールが含まれているとします。

  • -protocol nfs

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule any

クライアントに付与されるアクセス レベルはセキュリティ タイプで決まります。アクセスレベルには、読み取り専用、読み取り/書き込み、およびスーパーユーザ(ユーザIDを持つクライアントの場合)の3つがあります 0。セキュリティタイプによって決定されたアクセスレベルはこの順序で評価されるため、次のルールに従う必要があります。

エクスポートルールのアクセスレベルパラメータのルール

クライアントが次のアクセスレベルを取得する場合 これらのアクセスパラメータは、クライアントのセキュリティタイプと一致している必要があります。

標準ユーザの読み取り専用

読み取り専用です (-rorule)

標準ユーザの読み取り / 書き込み

読み取り専用です (-rorule)および読み取り/書き込み (-rwrule)

スーパーユーザの読み取り専用です

読み取り専用です (-rorule)および -superuser

スーパーユーザの読み取り / 書き込み

読み取り専用です (-rorule)および読み取り/書き込み (-rwrule)および -superuser

次に、これらの 3 つのアクセスパラメータのそれぞれで有効なセキュリティタイプを示します。

  • 任意

  • なし

  • なし

次のセキュリティタイプは、パラメータでは使用できません -superuser

  • krb5

  • ntlm

  • システム

アクセスパラメータの結果のルール

クライアントのセキュリティタイプ 結果

アクセス パラメータに指定されたセキュリティ タイプと一致する。

クライアントは、自身のユーザIDでそのレベルのアクセス権を受け取ります。

指定したセキュリティタイプと一致しないが、アクセスパラメータにオプションが指定されている none

クライアントは、そのレベルのアクセス権を受け取り、パラメータで指定されたユーザIDを持つ匿名ユーザを受け取り -anon ます。

指定したセキュリティタイプと一致しないため、アクセスパラメータにオプションが含まれていません none

クライアントは、そのレベルのアクセス権を受け取りません。

メモ この制限はパラメータには適用され -superuser ません。このパラメータには、指定しなくても常にnoneが指定されるためです。

Kerberos 5とkrb5p

ONTAP 9以降では、プライバシー サービス(krb5p)を使用したKerberos 5認証がサポートされます。krbp5認証は安全で、チェックサムを使用してクライアントとサーバの間のすべてのトラフィックを暗号化することでデータの改ざんやスヌーピングを防止します。ONTAPでは、Kerberos用に128ビットおよび256ビットのAES暗号化をサポートしています。プライバシー サービスには、受信データの整合性検証、ユーザの認証、送信前のデータの暗号化が含まれます。

krb5pオプションはエクスポート ポリシー機能で最もよく使用され、暗号化オプションとして設定されます。次の例に示すように、krb5p認証方式を認証パラメータとして使用できます。

cluster1::> vserver export-policy check-access -vserver vs1 -client-ip 10.22.32.42 -volume flex_vol -authentication-method krb5p -protocol nfs3 -access- type read