Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP SVMディザスタリカバリデスティネーションでローカルSMBユーザまたはグループを使用するファイルディレクトリポリシーの適用について説明します

共同作成者 netapp-aaron-holt netapp-aherbin
PDF

ファイルとディレクトリのポリシー設定がセキュリティ記述子、DACL、SACLエントリのいずれかでローカル ユーザまたはグループを使用する場合、ID破棄設定のStorage Virtual Machine(SVM)ディザスタ リカバリ デスティネーションでファイルとディレクトリのポリシーを適用する前に注意すべきいくつかのガイドラインがあります。

ソース クラスタ上のソース SVM がソース SVM からデスティネーション クラスタ上のデスティネーション SVM にデータと設定をレプリケートする SVM のディザスタ リカバリ設定を構成できます。

次の 2 種類の SVM ディザスタ リカバリのいずれかを設定できます。

  • IDの保持

    この構成では、SVM と CIFS サーバのアイデンティティが保持されます。

  • ID を破棄しました

    この設定では、SVMとCIFSサーバのIDは保持されません。このシナリオでは、デスティネーション SVM上のSVMとCIFSサーバの名前は、ソース SVM上のSVMとCIFSサーバの名前と異なります。

ID破棄設定のガイドライン

ID破棄設定において、ローカルユーザ、グループ、および権限設定を含むSVMソースの場合、ローカルドメイン名(ローカルCIFSサーバ名)をSVMデスティネーションのCIFSサーバ名と一致するように変更する必要があります。たとえば、ソースSVM名が「vs1」、CIFSサーバ名が「CIFS1」、デスティネーションSVM名が「vs1_dst」、CIFSサーバ名が「CIFS1_DST」の場合、「CIFS1\user1」というローカルユーザのローカルドメイン名は、デスティネーションSVM上で自動的に「CIFS1_DST\user1」に変更されます:

cluster1::> vserver cifs users-and-groups local-user show -vserver vs1_dst

Vserver      User Name                Full Name      Description
------------ ------------------------ -------------- -------------
vs1          CIFS1\Administrator                     Built-in administrator account
vs1          CIFS1\user1              -              -

cluster1dst::> vserver cifs users-and-groups local-user show -vserver vs1_dst

Vserver      User Name                Full Name      Description
------------ ------------------------ -------------- -------------
vs1_dst      CIFS1_DST\Administrator                 Built-in administrator account
vs1_dst      CIFS1_DST\user1          -              -

ローカル ユーザおよびグループ データベースではローカル ユーザ名とグループ名が自動的に変更されますが、ファイル ディレクトリ ポリシー設定( `vserver security file-directory`コマンド ファミリを使用してCLIで設定されるポリシー)ではローカル ユーザ名またはグループ名は自動的に変更されません。

たとえば、「vs1」の場合、 -account`パラメータが「`CIFS1\user1」に設定されたDACLエントリを設定した場合、デスティネーションSVMの設定はデスティネーションのCIFSサーバ名を反映するように自動的に変更されません。

cluster1::> vserver security file-directory ntfs dacl show -vserver vs1

Vserver: vs1
  NTFS Security Descriptor Name: sd1

    Account Name     Access   Access             Apply To
                     Type     Rights
    --------------   -------  -------            -----------
    CIFS1\user1      allow    full-control      this-folder

cluster1::> vserver security file-directory ntfs dacl show -vserver vs1_dst

Vserver: vs1_dst
  NTFS Security Descriptor Name: sd1

    Account Name     Access   Access             Apply To
                     Type     Rights
    --------------   -------  -------            -----------
    **CIFS1**\user1          allow    full-control      this-folder
`vserver security file-directory modify`コマンドを使用して、CIFSサーバ名をデスティネーションCIFSサーバ名に手動で変更する必要があります。

アカウント パラメータを含むファイル ディレクトリ ポリシー設定コンポーネント

ローカル ユーザーまたはグループを含めることができるパラメーター設定を使用できるファイル ディレクトリ ポリシー構成コンポーネントは 3 つあります:

  • セキュリティ記述子

    オプションで、セキュリティ記述子の所有者と、その所有者のプライマリ グループを指定できます。セキュリティ記述子で所有者およびプライマリ グループのエントリにローカル ユーザまたはグループが使用されている場合は、アカウント名にデスティネーション SVMを使用するようにセキュリティ記述子を変更する必要があります。 `vserver security file-directory ntfs modify`コマンドを使用して、アカウント名に必要な変更を加えることができます。

  • DACLエントリ

    各 DACL エントリはアカウントに関連付ける必要があります。ローカル ユーザまたはグループ アカウントを使用する DACL は、デスティネーション SVM 名を使用するように変更する必要があります。既存の DACL エントリのアカウント名を変更することはできないため、ローカル ユーザまたはグループを含む DACL エントリをセキュリティ記述子から削除し、修正したデスティネーション アカウント名で新しい DACL エントリを作成し、これらの新しい DACL エントリを適切なセキュリティ記述子に関連付ける必要があります。

  • SACLエントリ

    各 SACL エントリはアカウントに関連付ける必要があります。ローカル ユーザまたはグループ アカウントを使用する SACL は、デスティネーション SVM 名を使用するように変更する必要があります。既存の SACL エントリのアカウント名を変更することはできないため、ローカル ユーザまたはグループを含む SACL エントリをセキュリティ記述子から削除し、修正されたデスティネーション アカウント名で新しい SACL エントリを作成し、これらの新しい SACL エントリを適切なセキュリティ記述子に関連付ける必要があります。

ポリシーを適用する前に、ファイル ディレクトリ ポリシー構成で使用されるローカル ユーザーまたはグループに必要な変更を加える必要があります。変更を行わないと、適用ジョブは失敗します。