エクスポートポリシーには、データへのアクセスを許可するクライアント、および読み取り専用アクセスと読み取り/書き込みアクセスでサポートされる認証プロトコルを指定するルールが1つ以上適用されます。エクスポートポリシーを設定して、すべてのクライアント、クライアントのサブネット、または特定のクライアントにSMB経由のアクセスを許可し、データへの読み取り専用アクセスと読み取り/書き込みアクセスを決定する際にKerberos認証、NTLM認証、またはKerberosとNTLMの両方を使用した認証を許可できます。

ONTAPは、エクスポートポリシーに適用されたすべてのエクスポートルールを処理したあと、クライアントにアクセスを許可するかどうか、および許可するアクセスのレベルを決定できます。エクスポートルールは、Windowsのユーザおよびグループではなく、クライアントマシンに適用されます。エクスポートルールは、Windowsのユーザおよびグループベースの認証および許可に代わるものではありません。エクスポートルールは、共有権限とファイルアクセス権限に加えて、アクセスセキュリティのもう1つのレイヤを提供します。

ボリュームへのクライアントアクセスを設定するには、ボリュームごとにエクスポートポリシーを1つ関連付けます。各 SVM には複数のエクスポートポリシーを含めることができます。これにより、複数のボリュームを備えた SVM に対して次の操作を実行できます。

各 SVM には、「デフォルト」という名前のエクスポートポリシーが少なくとも 1 つあります。これにはルールは含まれません。このエクスポートポリシーは削除できませんが、名前や変更は可能です。デフォルトでは、 SVM 上の各ボリュームはデフォルトのエクスポートポリシーに関連付けられています。SVM で SMB アクセスのエクスポートポリシーが無効になっている場合、「 default 」エクスポートポリシーは SMB アクセスには影響しません。

NFSホストとSMBホストの両方にアクセスを提供するルールを設定し、そのルールをエクスポートポリシーに関連付けることができます。エクスポートポリシーを、NFSホストとSMBホストの両方がアクセスする必要があるデータが格納されたボリュームに関連付けることができます。または、SMBクライアントのみがアクセスを必要とするボリュームがある場合は、SMBプロトコルを使用したアクセスのみを許可するルール、および読み取り専用アクセスと書き込みアクセスの認証にKerberosまたはNTLMのみ（またはその両方）を使用するルールを含むエクスポートポリシーを設定できます。その後、このエクスポートポリシーをSMBアクセスのみが必要なボリュームに関連付けます。

SMBのエクスポートポリシーが有効になっている場合に、クライアントが適用可能なエクスポートポリシーで許可されていないアクセス要求を行うと、権限拒否のメッセージが表示されて要求は失敗します。クライアントがボリュームのエクスポートポリシーのどのルールにも一致しない場合、アクセスは拒否されます。エクスポートポリシーが空の場合、すべてのアクセスが暗黙的に拒否されます。これは、共有とファイルの権限によってアクセスが許可されている場合にも当てはまります。つまり、SMB共有を含むボリュームで少なくとも以下を許可するようにエクスポートポリシーを設定する必要があります。

詳細はこちらをご覧ください "エクスポートポリシーの設定と管理"。