ローカルONTAP SMBユーザ認証について
変更を提案
PDF
CIFSサーバのデータにアクセスする前に、ローカル ユーザは認証されたセッションを作成する必要があります。
SMBはセッションベースであるため、ユーザのIDは、最初にセッションがセットアップされるときに一度だけ確認できます。CIFSサーバでは、ローカル ユーザの認証時にNTLMベースの認証が使用されます。NTLMv1とNTLMv2の両方がサポートされています。
ONTAPでは、3つの事例でローカル認証が使用されます。各事例は、ユーザ名のドメイン部分(DOMAIN\user形式)がCIFSサーバのローカル ドメイン名(CIFSサーバ名)と一致するかどうかによります。
-
ドメイン部分が一致する
データへのアクセスを要求するときにローカル ユーザ クレデンシャルを指定したユーザが、CIFSサーバでローカルに認証されます。
-
ドメイン部分が一致しない
ONTAPは、CIFSサーバが属しているドメインのドメイン コントローラでNTLM認証を試行します。認証に成功した場合は、ログインが完了します。失敗した場合は、認証の失敗理由によって次の動作が異なります。
たとえば、ユーザはActive Directory内に存在するが、パスワードが無効であるか期限切れになっている場合は、CIFSサーバ上の対応するローカル ユーザ アカウントの使用は試行されません。代わりに、認証は失敗します。NetBIOSドメイン名が一致しなくてもCIFSサーバ上の対応するローカル アカウント(存在する場合)が認証に使用されるケースはほかにもあります。たとえば、一致するドメイン アカウントが存在するが無効になっている場合は、CIFSサーバ上の対応するローカル アカウントが認証に使用されます。
-
ドメイン部分が指定されていない
まず、ローカル ユーザとしての認証が試行されます。ローカル ユーザとしての認証に失敗した場合は、CIFSサーバが属しているドメインのドメイン コントローラでユーザが認証されます。
ローカル ユーザまたはドメイン ユーザの認証が完了したら、ローカル グループ メンバーシップおよび権限が考慮される完全なユーザ アクセス トークンが構成されます。
ローカル ユーザのNTLM認証の詳細については、Microsoft Windowsのマニュアルを参照してください。
ONTAP SMB ユーザーアクセストークンについて学ぶ
ユーザーが共有をマップすると、認証されたSMBセッションが確立され、ユーザー、ユーザーのグループメンバーシップと累積権限、およびマップされたUNIXユーザーに関する情報を含むユーザーアクセストークンが構築されます。
この機能が無効になっていない限り、ローカルユーザーとグループの情報もユーザーアクセストークンに追加されます。アクセストークンの作成方法は、ログインがローカルユーザー用かActive Directoryドメインユーザー用かによって異なります:
-
ローカルユーザーログイン
ローカルユーザーは異なるローカルグループのメンバーになることができますが、ローカルグループは他のローカルグループのメンバーになることはできません。ローカルユーザーアクセストークンは、特定のローカルユーザーが所属するグループに割り当てられたすべての権限の集合で構成されます。
-
ドメインユーザーログイン
ドメインユーザがログインすると、ONTAPはユーザSIDと、そのユーザが所属するすべてのドメイングループのSIDを含むユーザアクセストークンを取得します。ONTAPは、ドメインユーザアクセストークンと、ユーザのドメイングループのローカルメンバーシップ(存在する場合)によって提供されるアクセストークン、およびドメインユーザまたはそのドメイングループメンバーシップに割り当てられた直接権限を結合したものを使用します。
ローカルユーザーとドメインユーザーのログインの両方において、ユーザーアクセストークンにはプライマリグループRIDも設定されます。デフォルトのRIDは Domain Users(RID 513)です。このデフォルトを変更することはできません。
Windows から UNIX へ、および UNIX から Windows への名前マッピングプロセスは、ローカルアカウントとドメインアカウントの両方に対して同じ規則に従います。
|
UNIXユーザーからローカルアカウントへの暗黙的な自動マッピングは存在しません。これが必要な場合は、既存の名前マッピングコマンドを使用して明示的なマッピングルールを指定する必要があります。 |