Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP SMB セキュリティ スタイルとその効果について学ぶ

共同作成者 netapp-aherbin netapp-aaron-holt netapp-dbagwell netapp-forry netapp-ahibbard
PDF

セキュリティ形式には、UNIX、NTFS、mixed、unifiedの4種類があります。各セキュリティ形式は、データに対する権限の処理方法にそれぞれ異なる影響を与えます。目的に応じて適切なセキュリティ形式を選択するには、それぞれの影響を理解する必要があります。

セキュリティ形式はデータにアクセスできるクライアントの種類には影響しないことに注意してください。セキュリティ形式で決まるのは、データ アクセスの制御にONTAPで使用される権限の種類と、それらの権限を変更できるクライアントの種類だけです。

たとえば、ボリュームでUNIXセキュリティ形式を使用している場合でも、ONTAPはマルチプロトコルに対応しているため、SMBクライアントから引き続きデータにアクセスできます(認証と許可が適切な場合)。ただし、ONTAPでは、UNIXクライアントのみが標準のツールを使用して変更できるUNIX権限が使用されます。

セキュリティ形式 権限を変更できるクライアント クライアントが使用できる権限 結果として得られる実効セキュリティ形式 ファイルにアクセスできるクライアント

UNIX

NFS

  • NFSv3モード ビット

  • NFSv4.x ACL

UNIX

NFSとSMB

NTFS

SMB

NTFS ACL

NTFS

NFSとSMB

混合

NFSまたはSMB

  • NFSv3モード ビット

  • NFSv4.x ACL

  • NTFS ACL

  • UNIX(NFSv3モードビットおよびNFSv4.x ACL用)

  • NTFS(NTFS ACL用)

NFSとSMB

Unified(ONTAP 9.4以前のリリースでは、無限ボリュームのみ)

NFSまたはSMB

  • NFSv3モード ビット

  • NFSv4.1 ACL

  • NTFS ACL

  • UNIX(NFSv3モードビットおよびNFSv4.1 ACL用)

  • NTFS(NTFS ACL用)

NFSとSMB

FlexVolでは、UNIX、NTFS、およびmixedのセキュリティ形式がサポートされます。セキュリティ形式がmixedまたはunifiedの場合は、ユーザがセキュリティ形式を各自設定するため、権限を最後に変更したクライアントの種類によって有効になる権限が異なります。権限を最後に変更したクライアントがNFSv3クライアントの場合、権限はUNIX NFSv3モード ビットになります。最後のクライアントがNFSv4クライアントの場合、権限はNFSv4 ACLになります。最後のクライアントがSMBクライアントの場合、権限はWindows NTFS ACLになります。

unifiedセキュリティ形式は、ONTAP 9.5以降のリリースではサポートされなくなった無限ボリュームでのみ使用できます。詳細については、FlexGroupボリューム管理の概要を参照してください。

`vserver security file-directory`コマンドの `show-effective-permissions`パラメータを使用すると、指定したファイルまたはフォルダのパスに対してWindowsまたはUNIXユーザーに付与されている有効な権限を表示できます。さらに、オプションのパラメータ `-share-name`を使用すると、有効な共有権限を表示できます。link:https://docs.netapp.com/us-en/ontap-cli/vserver-security-file-directory-show-effective-permissions.html["ONTAPコマンド リファレンス"^]の `vserver security file-directory show-effective-permissions`の詳細をご覧ください。
メモ

ONTAPで、最初にデフォルトのファイル権限がいくつか設定されます。デフォルトでは、UNIX、mixed、およびunifiedのセキュリティ形式のボリュームにあるデータについては、セキュリティ形式はUNIX、権限の種類はUNIXモード ビット(特に指定しないかぎり0755)が有効になります。これは、デフォルトのセキュリティ形式で許可されたクライアントで設定するまで変わりません。同様に、NTFSセキュリティ形式のボリュームにあるデータについては、デフォルトでNTFSセキュリティ形式が有効になり、すべてのユーザにフル コントロール権限を許可するACLが割り当てられます。
関連情報
メモ セキュリティ形式は、FlexVol ボリューム(ルートボリュームとデータボリュームの両方)および qtree に設定できます。セキュリティ形式は、作成時に手動で設定したり、自動的に継承したり、後で変更したりできます。== ONTAP SVM で使用する SMB セキュリティ形式を決定する

ボリュームで使用するセキュリティ形式を決定するには、2つの要素を考慮する必要があります。第1の要素は、ファイルシステムの管理者のタイプで、第2の要素は、ボリューム上のデータにアクセスするユーザまたはサービスのタイプです。

ボリュームのセキュリティ形式を設定する際は、最適なセキュリティ形式を選択してアクセス権の管理に関する問題を回避するために、環境のニーズを考慮する必要があります。決定時には以下を考慮すると役立ちます。

セキュリティ形式 次の場合に選択…​

UNIX

  • ファイルシステムがUNIX管理者によって管理される。

  • ユーザの大半がNFSクライアントである。

  • データにアクセスするアプリケーションで、サービス アカウントとしてUNIXユーザが使用される。

NTFS

  • ファイルシステムがWindows管理者によって管理される。

  • ユーザの大半がSMBクライアントである。

  • データにアクセスするアプリケーションで、サービス アカウントとしてWindowsユーザが使用される。

混合

ファイルシステムがUNIX管理者とWindows管理者の両方によって管理され、ユーザがNFSクライアントとSMBクライアントの両方で構成される。

ONTAP SMB セキュリティ スタイルの継承について学ぶ

新しいFlexVolボリュームまたはqtreeの作成時にセキュリティ スタイルを指定しない場合、そのセキュリティ スタイルがさまざまな方法で継承されます。

セキュリティ スタイルは次のように継承されます:

  • FlexVol volumeは、それを含むSVMのルート ボリュームのセキュリティ スタイルを継承します。

  • qtreeは、それを含むFlexVol volumeのセキュリティ スタイルを継承します。

  • ファイルまたはディレクトリは、それを含むFlexVolボリュームまたはqtreeのセキュリティ形式を継承します。