Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP SMB SVMでNISまたはLDAPネームサービスを設定する

共同作成者 netapp-aherbin netapp-ahibbard netapp-barbe netapp-aaron-holt netapp-dbagwell netapp-thomi
PDF

SMBアクセスでは、NTFSセキュリティ形式のボリューム内のデータにアクセスする場合でも、UNIXユーザへのユーザ マッピングが常に実行されます。NISまたはLDAPディレクトリ ストアにその情報が格納されているUNIXユーザにWindowsユーザをマッピングする場合や、ネーム マッピングにLDAPを使用する場合は、SMBのセットアップ時にこのネーム サービスを設定する必要があります。

開始する前に

ネーム サービスのデータベース設定をネーム サービス インフラに合わせてカスタマイズしておく必要があります。

タスク概要

SVMは、ネーム サービスのns-switchデータベースを使用して、特定のネーム サービス データベースのソースを検索する順序を決定します。ns-switchソースは filesnis、または `ldap`の任意の組み合わせにすることができます。グループ データベースの場合、ONTAPは設定されているすべてのソースからグループ メンバーシップの取得を試み、統合されたグループ メンバーシップ情報を使用してアクセス チェックを行います。UNIXグループ情報の取得時にこれらのソースのいずれかが利用できない場合、ONTAPは完全なUNIXクレデンシャルを取得できず、後続のアクセス チェックが失敗する可能性があります。したがって、ns-switch設定でグループ データベースのすべてのns-switchソースが設定されていることを常に確認する必要があります。

デフォルトでは、SMBサーバーはすべてのWindowsユーザーを、ローカル `passwd`データベースに保存されているデフォルトのUNIXユーザーにマッピングします。デフォルトの設定を使用する場合、SMBアクセス用にNISまたはLDAP UNIXユーザーおよびグループネームサービス、またはLDAPユーザーマッピングを設定することはオプションです。

手順

  1. UNIXユーザ、グループ、ネットグループ情報がNISネーム サービスによって管理されている場合、NISネーム サービスを次のように設定します。

    1. `vserver services name-service ns-switch show`コマンドを使用して、名前サービスの現在の順序を確認します。

      この例では、 nis`をネーム サービス ソースとして使用できる 3 つのデータベース((`grouppasswdnetgroup)は、 `files`のみをソースとして使用しています。

      vserver services name-service ns-switch show -vserver vs1

                                                     Source
Vserver         Database       Enabled         Order
--------------- ------------   ---------       ---------
vs1             hosts          true            dns,
                                               files
vs1             group          true            files
vs1             passwd         true            files
vs1             netgroup       true            files
vs1             namemap        true            files
      `nis`ソースを `group`および `passwd`データベースに追加し、オプションで `netgroup`データベースに追加する必要があります。

    2. `vserver services name-service ns-switch modify`コマンドを使用して、名前サービスns-switchデータベースの順序を必要に応じて調整します。

      パフォーマンスを最大にするためには、SVMに設定する予定のないネーム サービス データベースにはネーム サービスを追加しないでください。

      複数のネーム サービス データベースの設定を変更する場合、変更するそれぞれのネーム サービス データベースに対して別々にコマンドを実行する必要があります。

      この例では、 `nis`と `files`が、この順序で `group`と `passwd`のデータベースのソースとして設定されています。残りのネームサービスデータベースは変更されません。

      vserver services name-service ns-switch modify -vserver vs1 -database group -sources nis,files vserver services name-service ns-switch modify -vserver vs1 -database passwd -sources nis,files

    3. `vserver services name-service ns-switch show`コマンドを使用して、ネームサービスの順序が正しいことを確認します。

      vserver services name-service ns-switch show -vserver vs1

                                                     Source
Vserver         Database       Enabled         Order
--------------- ------------   ---------       ---------
vs1             hosts          true            dns,
                                               files
vs1             group          true            nis,
                                               files
vs1             passwd         true            nis,
                                               files
vs1             netgroup       true            files
vs1             namemap        true            files

    4. NIS ネームサービス設定を作成します:+ vserver services name-service nis-domain create -vserver <vserver_name> -domain <NIS_domain_name> -servers <NIS_server_IPaddress>,…​

      vserver services name-service nis-domain create -vserver vs1 -domain example.com -servers 10.0.0.60

      メモ

      フィールド `-nis-servers`がフィールド `-servers`に置き換えられました。このフィールドには、NISサーバーのホスト名またはIPアドレスのいずれかを指定できます。

    5. NIS ネーム サービスが正しく設定されていることを確認します: vserver services name-service nis-domain show vserver <vserver_name>

      vserver services name-service nis-domain show vserver vs1

    Vserver       Domain              Server
------------- ------------------- ---------------
vs1           example.com         10.0.0.60

  2. UNIX ユーザー、グループ、およびネットグループの情報または名前のマッピングが LDAP ネーム サービスによって管理されている場合は、"NFSの管理"にある情報を使用して LDAP ネーム サービスを構成します。