SMB経由のアクセスを制限または許可するONTAPエクスポート ポリシー ルールの例
変更を提案
PDF
例では、SMB アクセスのエクスポート ポリシーが有効になっている SVM 上で、SMB 経由のアクセスを制限または許可するエクスポート ルールを作成する方法を示します。
SMBアクセスのエクスポート ポリシーはデフォルトで無効になっています。SMBアクセスのエクスポート ポリシーを有効にした場合にのみ、SMB経由のアクセスを制限または許可するエクスポート ルールを構成する必要があります。
SMB アクセスのみのエクスポート ルール
次のコマンドは、「vs1」という名前のSVMに次の構成を持つエクスポート ルールを作成します:
-
ポリシー名:cifs1
-
インデックス番号:1
-
クライアント マッチ:192.168.1.0/24 ネットワーク上のクライアントのみに一致します
-
プロトコル:SMBアクセスのみ有効
-
読み取り専用アクセス:NTLM または Kerberos 認証を使用するクライアント
-
読み取り/書き込みアクセス:Kerberos認証を使用するクライアント
cluster1::> vserver export-policy rule create -vserver vs1 -policyname cifs1 ‑ruleindex 1 -protocol cifs -clientmatch 192.168.1.0/255.255.255.0 -rorule krb5,ntlm -rwrule krb5
SMBおよびNFSアクセスのエクスポート ルール
次のコマンドは、「` vs1`」という名前の SVM に次の構成を持つエクスポート ルールを作成します:
-
ポリシー名:cifsnfs1
-
インデックス番号:2
-
クライアント一致:すべてのクライアントに一致
-
プロトコル:SMBおよびNFSアクセス
-
読み取り専用アクセス:すべてのクライアント
-
読み取り/書き込みアクセス:Kerberos(NFS および SMB)または NTLM 認証(SMB)を使用するクライアント
-
UNIX ユーザー ID 0(ゼロ)のマッピング:ユーザー ID 65534 にマッピングされます(通常はユーザー名 nobody にマッピングされます)
-
suidおよびsgidアクセス:許可
cluster1::> vserver export-policy rule create -vserver vs1 -policyname cifsnfs1 ‑ruleindex 2 -protocol cifs,nfs -clientmatch 0.0.0.0/0 -rorule any -rwrule krb5,ntlm -anon 65534 -allow-suid true
NTLM のみを使用した SMB アクセスのエクスポート ルール
次のコマンドは、「vs1」という名前のSVMに次の構成を持つエクスポート ルールを作成します:
-
ポリシー名:ntlm1
-
インデックス番号:1
-
クライアント一致:すべてのクライアントに一致
-
プロトコル:SMBアクセスのみ有効
-
読み取り専用アクセス:NTLM を使用するクライアントのみ
-
読み取り/書き込みアクセス:NTLM を使用するクライアントのみ
|
NTLMのみのアクセスに対して読み取り専用オプションまたは読み取り/書き込みオプションを設定する場合、クライアント一致オプションでIPアドレスベースのエントリを使用する必要があります。そうしないと、 `access denied`エラーが発生します。これは、ONTAPがホスト名を使用してクライアントのアクセス権を確認する際に、Kerberosサービスプリンシパル名(SPN)を使用するためです。NTLM認証ではSPN名はサポートされていません。 |
cluster1::> vserver export-policy rule create -vserver vs1 -policyname ntlm1 ‑ruleindex 1 -protocol cifs -clientmatch 0.0.0.0/0 -rorule ntlm -rwrule ntlm