Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SMB アクセスでのエクスポートポリシーの使用方法

共同作成者

SMBサーバでSMBアクセスに関するエクスポートポリシーが有効になっている場合は、SMBクライアントによるSVMボリュームへのアクセスを制御するときにエクスポートポリシーが使用されます。データにアクセスするには、 SMB アクセスを許可するエクスポートポリシーを作成し、 SMB 共有を含むボリュームにそのポリシーを関連付けます。

エクスポートポリシーには 1 つ以上のルールが適用されており、このルールで、データへのアクセスを許可されるクライアントと、読み取り専用アクセスと読み取り / 書き込みアクセスでサポートされる認証プロトコルを指定します。エクスポートポリシーを設定して、すべてのクライアント、クライアントのサブネット、または特定のクライアントに SMB 経由のアクセスを許可し、データへの読み取り専用アクセスと読み取り / 書き込みアクセスを決定する際に Kerberos 認証、 NTLM 認証、または Kerberos 認証と NTLM 認証の両方を使用した認証を許可できます。

ONTAP でエクスポートポリシーに適用されたすべてのエクスポートルールを処理したら、クライアントアクセスを許可するかどうか、および許可するアクセスのレベルを決定できます。エクスポートルールは、 Windows のユーザとグループではなくクライアントマシンに適用されます。エクスポートルールは、 Windows のユーザおよびグループベースの認証と許可に代わるものではありません。共有とファイルのアクセス権限に加えて、エクスポートルールはもう 1 つのアクセスセキュリティレイヤを提供します。

ボリュームへのクライアントアクセスを設定するには、ボリュームごとにエクスポートポリシーを 1 つ関連付けます。各 SVM には複数のエクスポートポリシーを含めることができます。これにより、複数のボリュームを備えた SVM に対して次の操作を実行できます。

  • SVM のボリュームごとに異なるエクスポートポリシーを割り当て、 SVM の各ボリュームへのクライアントアクセスを個別に制御する。

  • SVM の複数のボリュームに同じエクスポートポリシーを割り当て、同一のクライアントアクセス制御を実行する。ボリュームごとに新しいエクスポートポリシーを作成する必要はありません。

各 SVM には、「デフォルト」という名前のエクスポートポリシーが少なくとも 1 つあります。これにはルールは含まれません。このエクスポートポリシーは削除できませんが、名前や内容は変更できます。デフォルトでは、 SVM 上の各ボリュームはデフォルトのエクスポートポリシーに関連付けられています。SVM で SMB アクセスのエクスポートポリシーが無効になっている場合、「 default 」エクスポートポリシーは SMB アクセスには影響しません。

NFS ホストと SMB ホストの両方にアクセスを提供するルールを設定し、そのルールをエクスポートポリシーに関連付けることができます。このポリシーを、 NFS ホストと SMB ホストの両方がアクセスする必要があるデータを含むボリュームに関連付けることができます。または、 SMB クライアントのみがアクセスする必要があるボリュームがある場合は、 SMB プロトコルを使用したアクセスのみを許可するルール、および読み取り専用アクセスと書き込みアクセスの認証に Kerberos または NTLM のみ(あるいはその両方)を使用するルールを含むエクスポートポリシーを設定できます。その後、このエクスポートポリシーを SMB アクセスのみが必要なボリュームに関連付けます。

SMB に関するエクスポートポリシーが有効になっている場合に、クライアントが適用可能なエクスポートポリシーで許可されていないアクセス要求を行うと、権限拒否のメッセージが表示され、その要求は失敗します。クライアントがボリュームのエクスポートポリシーのどのルールにも一致しない場合、アクセスは拒否されます。エクスポートポリシーが空の場合は、すべてのアクセスが暗黙的に拒否されます。これは、共有とファイルの権限によってアクセスが許可されている場合にも当てはまります。つまり、 SMB 共有を含むボリュームで少なくとも以下を許可するようにエクスポートポリシーを設定する必要があります。

  • すべてのクライアント、またはクライアントの適切なサブセットへのアクセスを許可します

  • SMB 経由のアクセスを許可する

  • Kerberos 認証または NTLM 認証(あるいはその両方)を使用した適切な読み取り専用アクセスと書き込みアクセスを許可する