エクスポート ポリシーには1つ以上のルールが適用されており、このルールで、データへのアクセスを許可されるクライアントや、読み取り専用アクセスと読み取り / 書き込みアクセスでサポートされる認証プロトコルを指定します。エクスポート ポリシーは、SMB経由のアクセスをすべてのクライアントに許可するか、特定のサブネットのクライアントに許可するか、特定のクライアントに許可するように設定できます。また、データへの読み取り専用アクセスと読み取り / 書き込みアクセスを決定するときに、Kerberos認証を許可するか、NTLM認証を許可するか、KerberosとNTLMの両方の認証を許可するように設定できます。

ONTAPは、エクスポート ポリシーに適用されたすべてのエクスポート ルールを処理したあと、クライアントにアクセスを許可するかどうか、および許可するアクセスのレベルを決定します。エクスポート ルールは、Windowsのユーザおよびグループではなくクライアント マシンに適用されます。エクスポート ルールは、Windowsのユーザおよびグループベースの認証と許可に代わるものではありません。共有とファイルのアクセス権限に加えて、エクスポート ルールはもう1つのアクセス セキュリティ レイヤを提供します。

各ボリュームに1つのエクスポート ポリシーを関連付けることで、ボリュームへのクライアント アクセスを設定できます。各SVMには複数のエクスポート ポリシーを設定できます。これにより、複数のボリュームを持つSVMで以下の操作が可能になります：

各SVMには、ルールが含まれていない「default」というエクスポート ポリシーが少なくとも1つあります。このエクスポート ポリシーは削除できませんが、名前の変更や変更は可能です。SVM上の各ボリュームは、デフォルトでデフォルトのエクスポート ポリシーに関連付けられています。SVMでSMBアクセスのエクスポート ポリシーが無効になっている場合、「default」エクスポート ポリシーはSMBアクセスに影響しません。

NFSホストとSMBホストの両方にアクセスを提供するルールを設定し、そのルールをエクスポート ポリシーに関連付けることができます。このポリシーを、NFSホストとSMBホストの両方がアクセスする必要があるデータを含むボリュームに関連付けることができます。または、SMBクライアントのみがアクセスする必要があるボリュームがある場合は、SMBプロトコルを使用したアクセスのみを許可するルール、および読み取り専用アクセスと書き込みアクセスの認証にKerberosまたはNTLMのみ（あるいはその両方）を使用するルールを含むエクスポート ポリシーを設定できます。その後、このエクスポート ポリシーをSMBアクセスのみが必要なボリュームに関連付けます。

SMBに関するエクスポート ポリシーが有効になっている場合に、クライアントが適用可能なエクスポート ポリシーで許可されていないアクセス要求を行うと、権限拒否のメッセージが表示され、その要求は失敗します。クライアントがボリュームのエクスポート ポリシーのどのルールにも一致しない場合、アクセスは拒否されます。エクスポート ポリシーが空の場合は、すべてのアクセスが暗黙的に拒否されます。これは、共有とファイルの権限によってアクセスが許可されている場合にも当てはまります。つまり、SMB共有を含むボリュームで少なくとも以下を許可するようにエクスポート ポリシーを設定する必要があります。

"エクスポート ポリシーの設定と管理"について学びましょう。