ONTAP SMBサーバでストレージレベルのアクセスガードを設定する
変更を提案
PDF
ボリュームまたはqtreeのストレージレベルのアクセス保護を設定する際には、多くの手順に従う必要があります。ストレージレベルのアクセス保護は、ストレージレベルで設定するアクセス セキュリティを提供します。すべてのNASプロトコルからの適用対象のストレージ オブジェクトへのすべてのアクセスにセキュリティが適用されます。
-
`vserver security file-directory ntfs create`コマンドを使用してセキュリティ記述子を作成します。
vserver security file-directory ntfs create -vserver vs1 -ntfs-sd sd1vserver security file-directory ntfs show -vserver vs1Vserver: vs1 NTFS Security Owner Name Descriptor Name ------------ -------------- sd1 -
セキュリティ記述子は、次の4つのデフォルトDACLアクセス制御エントリ(ACE)を持った状態で作成されます。
Vserver: vs1 NTFS Security Descriptor Name: sd1 Account Name Access Access Apply To Type Rights -------------- ------- ------- ----------- BUILTIN\Administrators allow full-control this-folder, sub-folders, files BUILTIN\Users allow full-control this-folder, sub-folders, files CREATOR OWNER allow full-control this-folder, sub-folders, files NT AUTHORITY\SYSTEM allow full-control this-folder, sub-folders, filesストレージレベルのアクセス保護を設定する際にデフォルトのエントリを使用しない場合は、セキュリティ記述子に独自のACEを作成して追加する前に、デフォルトのエントリを削除できます。
-
セキュリティ記述子から、ストレージレベルのアクセス保護セキュリティに設定したくないデフォルトのDACL ACEを削除します。
-
`vserver security file-directory ntfs dacl remove`コマンドを使用して、不要な DACL ACE を削除します。
この例では、セキュリティ記述子から 3 つのデフォルトの DACL ACE(BUILTIN\Administrators、BUILTIN\Users、および CREATOR OWNER)が削除されます。
vserver security file-directory ntfs dacl remove -vserver vs1 -ntfs-sd sd1 -access-type allow -account builtin\usersvserver security file-directory ntfs dacl remove -vserver vs1 -ntfs-sd sd1 -access-type allow -account builtin\administratorsvserver security file-directory ntfs dacl remove -vserver vs1 -ntfs-sd sd1 -access-type allow -account "creator owner" -
`vserver security file-directory ntfs dacl show`コマンドを使用して、Storage-Level Access Guardセキュリティに使用しないDACL ACEがセキュリティ記述子から削除されていることを確認します。
この例では、コマンドからの出力より、セキュリティ記述子から3つのデフォルトDACL ACEが削除され、NT AUTHORITY\SYSTEMのデフォルトDACL ACEエントリのみが残されていることを確認できます。
vserver security file-directory ntfs dacl show -vserver vs1
Vserver: vs1 NTFS Security Descriptor Name: sd1 Account Name Access Access Apply To Type Rights -------------- ------- ------- ----------- NT AUTHORITY\SYSTEM allow full-control this-folder, sub-folders, files -
-
`vserver security file-directory ntfs dacl add`コマンドを使用して、セキュリティ記述子に 1 つ以上の DACL エントリを追加します。
この例では、セキュリティ記述子に2つのDACL ACEを追加しています。
vserver security file-directory ntfs dacl add -vserver vs1 -ntfs-sd sd1 -access-type allow -account example\engineering -rights full-control -apply-to this-folder,sub-folders,filesvserver security file-directory ntfs dacl add -vserver vs1 -ntfs-sd sd1 -access-type allow -account "example\Domain Users" -rights read -apply-to this-folder,sub-folders,files -
`vserver security file-directory ntfs sacl add`コマンドを使用して、セキュリティ記述子に1つ以上のSACLエントリを追加します。
この例では、セキュリティ記述子に2つのSACL ACEを追加しています。
vserver security file-directory ntfs sacl add -vserver vs1 -ntfs-sd sd1 -access-type failure -account "example\Domain Users" -rights read -apply-to this-folder,sub-folders,filesvserver security file-directory ntfs sacl add -vserver vs1 -ntfs-sd sd1 -access-type success -account example\engineering -rights full-control -apply-to this-folder,sub-folders,files -
`vserver security file-directory ntfs dacl show`コマンドおよび `vserver security file-directory ntfs sacl show`コマンドをそれぞれ使用して、DACL および SACL ACE が正しく設定されていることを確認します。
この例では、次のコマンドは、セキュリティ記述子"`sd1`"のDACLエントリに関する情報を表示します:
vserver security file-directory ntfs dacl show -vserver vs1 -ntfs-sd sd1Vserver: vs1 NTFS Security Descriptor Name: sd1 Account Name Access Access Apply To Type Rights -------------- ------- ------- ----------- EXAMPLE\Domain Users allow read this-folder, sub-folders, files EXAMPLE\engineering allow full-control this-folder, sub-folders, files NT AUTHORITY\SYSTEM allow full-control this-folder, sub-folders, filesこの例では、次のコマンドは、セキュリティ記述子"`sd1`"のSACLエントリに関する情報を表示します:
vserver security file-directory ntfs sacl show -vserver vs1 -ntfs-sd sd1Vserver: vs1 NTFS Security Descriptor Name: sd1 Account Name Access Access Apply To Type Rights -------------- ------- ------- ----------- EXAMPLE\Domain Users failure read this-folder, sub-folders, files EXAMPLE\engineering success full-control this-folder, sub-folders, files -
`vserver security file-directory policy create`コマンドを使用してセキュリティ ポリシーを作成します。
次の例では、「
policy1」という名前のポリシーを作成します:vserver security file-directory policy create -vserver vs1 -policy-name policy1 -
`vserver security file-directory policy show`コマンドを使用して、ポリシーが正しく設定されていることを確認します。
vserver security file-directory policy showVserver Policy Name ------------ -------------- vs1 policy1
-
`vserver security file-directory policy task add`コマンドで `-access-control`パラメータを `slag`に設定して、関連付けられたセキュリティ記述子を持つタスクをセキュリティ ポリシーに追加します。
ポリシーには複数のストレージレベルのアクセス保護タスクを含めることができますが、ポリシーにファイルとディレクトリのタスクとストレージレベルのアクセス保護タスクの両方を含めることはできません。ポリシーに含めるタスクは、すべてストレージレベルのアクセス保護タスクにするか、すべてファイルとディレクトリのタスクにする必要があります。
この例では、セキュリティ記述子「
sd1」に割り当てられた「policy1」というポリシーにタスクが追加されます。/datavol1`パスに割り当てられ、アクセス制御タイプが「`slag」に設定されます。vserver security file-directory policy task add -vserver vs1 -policy-name policy1 -path /datavol1 -access-control slag -security-type ntfs -ntfs-mode propagate -ntfs-sd sd1 -
`vserver security file-directory policy task show`コマンドを使用して、タスクが正しく設定されていることを確認します。
vserver security file-directory policy task show -vserver vs1 -policy-name policy1Vserver: vs1 Policy: policy1 Index File/Folder Access Security NTFS NTFS Security Path Control Type Mode Descriptor Name ----- ----------- --------------- -------- ---------- --------------- 1 /datavol1 slag ntfs propagate sd1 -
`vserver security file-directory apply`コマンドを使用して、Storage-Level Access Guardセキュリティ ポリシーを適用します。
vserver security file-directory apply -vserver vs1 -policy-name policy1セキュリティ ポリシーを適用するジョブがスケジュールされます。
-
`vserver security file-directory show`コマンドを使用して、適用されたStorage-Level Access Guardセキュリティ設定が正しいことを確認します。
この例では、コマンドの出力から、NTFSボリュームにStorage-Level Access Guardセキュリティが適用されていることがわかります
/datavol1。Everyoneにフル コントロールを許可するデフォルトのDACLはそのまま残りますが、Storage-Level Access Guardセキュリティは、Storage-Level Access Guard設定で定義されたグループへのアクセスを制限(および監査)します。vserver security file-directory show -vserver vs1 -path /datavol1Vserver: vs1 File Path: /datavol1 File Inode Number: 77 Security Style: ntfs Effective Style: ntfs DOS Attributes: 10 DOS Attributes in Text: ----D--- Expanded Dos Attributes: - Unix User Id: 0 Unix Group Id: 0 Unix Mode Bits: 777 Unix Mode Bits in Text: rwxrwxrwx ACLs: NTFS Security Descriptor Control:0x8004 Owner:BUILTIN\Administrators Group:BUILTIN\Administrators DACL - ACEs ALLOW-Everyone-0x1f01ff ALLOW-Everyone-0x10000000-OI|CI|IO Storage-Level Access Guard security SACL (Applies to Directories): AUDIT-EXAMPLE\Domain Users-0x120089-FA AUDIT-EXAMPLE\engineering-0x1f01ff-SA DACL (Applies to Directories): ALLOW-EXAMPLE\Domain Users-0x120089 ALLOW-EXAMPLE\engineering-0x1f01ff ALLOW-NT AUTHORITY\SYSTEM-0x1f01ff SACL (Applies to Files): AUDIT-EXAMPLE\Domain Users-0x120089-FA AUDIT-EXAMPLE\engineering-0x1f01ff-SA DACL (Applies to Files): ALLOW-EXAMPLE\Domain Users-0x120089 ALLOW-EXAMPLE\engineering-0x1f01ff ALLOW-NT AUTHORITY\SYSTEM-0x1f01ff