Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SMB経由のアクセスを制限または許可するエクスポートポリシールールの例

共同作成者

以下の例は、 SMB アクセスのエクスポートポリシーが有効になっている SVM で SMB 経由のアクセスを制限または許可するエクスポートポリシールールを作成する方法を示しています。

SMB アクセスに関するエクスポートポリシーは、デフォルトでは無効になっています。SMB 経由のアクセスを制限または許可するエクスポートポリシールールは、 SMB アクセスのエクスポートポリシーを有効にしている場合にのみ設定する必要があります。

SMB アクセスのみのエクスポートルール

次のコマンドでは、「 vs1 」という名前の SVM に、次の構成のエクスポートルールが作成されます。

  • ポリシー名:cifs1

  • インデックス番号: 1.

  • クライアント一致: 192.168.1.0/24 ネットワーク上のクライアントにのみ一致します

  • プロトコル: SMB アクセスのみを有効にします

  • 読み取り専用アクセス: NTLM 認証または Kerberos 認証を使用するクライアントに許可します

  • 読み取り / 書き込みアクセス: Kerberos 認証を使用するクライアントに許可します

cluster1::> vserver export-policy rule create -vserver vs1 -policyname cifs1 ‑ruleindex 1 -protocol cifs -clientmatch 192.168.1.0/255.255.255.0 -rorule krb5,ntlm -rwrule krb5

SMB および NFS アクセスのエクスポートルール

次のコマンドでは、「 vs1 」という名前の SVM に、次の構成のエクスポートルールが作成されます。

  • ポリシー名:cifsnfs1

  • インデックス番号: 2.

  • クライアント一致:すべてのクライアントに一致します

  • プロトコル: SMB アクセスと NFS アクセス

  • 読み取り専用アクセス:すべてのクライアントに許可します

  • 読み取り / 書き込みアクセス: Kerberos 認証( NFS および SMB )または NTLM 認証( SMB )を使用するクライアントに許可

  • UNIX ユーザ ID 0 (ゼロ)のマッピング:ユーザ ID 65534 (通常ユーザ名 nobody にマッピングされる)にマッピング

  • suid と sgid のアクセス:許可しています

cluster1::> vserver export-policy rule create -vserver vs1 -policyname cifsnfs1 ‑ruleindex 2 -protocol cifs,nfs -clientmatch 0.0.0.0/0 -rorule any -rwrule krb5,ntlm -anon 65534 -allow-suid true

NTLM のみを使用する SMB アクセスのエクスポートルール

次のコマンドでは、「 vs1 」という名前の SVM に、次の構成のエクスポートルールが作成されます。

  • ポリシー名:ntlm1

  • インデックス番号: 1.

  • クライアント一致:すべてのクライアントに一致します

  • プロトコル: SMB アクセスのみを有効にします

  • 読み取り専用アクセス: NTLM を使用するクライアントにのみ許可されます

  • 読み取り / 書き込みアクセス: NTLM を使用するクライアントにのみ許可されます

メモ

NTLM のみを使用するアクセスに読み取り専用オプションまたは読み取り / 書き込みオプションを設定する場合は、クライアント一致オプションで IP アドレスベースのエントリを使用する必要があります。そうしないと、エラーが発生し `access denied`ます。これは、 ONTAP がホスト名を使用してクライアントの権限を確認するときに、 Kerberos Service Principal Name ( SPN ;サービスプリンシパル名)を使用するためです。NTLM 認証では、 SPN 名はサポートされません。

cluster1::> vserver export-policy rule create -vserver vs1 -policyname ntlm1 ‑ruleindex 1 -protocol cifs -clientmatch 0.0.0.0/0 -rorule ntlm -rwrule ntlm