Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ストレージシステムによる null セッションアクセスの実現方法

共同作成者
PDF

null セッション共有には認証が必要ないため、 null セッションアクセスが必要なクライアントは、その IP アドレスがストレージシステムにマッピングされている必要があります。

デフォルトでは、マッピングされていない null セッションクライアントは、共有の列挙など一部の ONTAP システムサービスにはアクセスできますが、ストレージシステムデータへのアクセスは制限されます。

メモ

ONTAP は、でWindows RestrictAnonymousレジストリ設定値をサポートしています –restrict-anonymous オプションこれにより、マッピングされていない null ユーザが表示またはアクセスできるシステムリソースの範囲を制御できます。たとえば、共有の一覧や IPC$ 共有(非表示の名前付きパイプ共有)へのアクセスを無効にできます。。 vserver cifs options modify および vserver cifs options show の詳細については、のマニュアルページを参照してください –restrict-anonymous オプション

特に設定がないかぎり、 null セッションでストレージシステムアクセスを要求するローカルプロセスを実行しているクライアントは、「 everyone 」などの制限のないグループのみのメンバーとなります。null セッションアクセスを選択したストレージシステムリソースに制限するには、すべての null セッションクライアントが属するグループを作成します。このグループを作成すると、ストレージシステムアクセスを制限したり、 null セッションクライアントのみに適用されるストレージシステムリソース権限を設定したりできます。

ONTAP には、マッピング構文が用意されています vserver name-mapping nullユーザセッションを使用したストレージシステムリソースへのアクセスを許可するクライアントのIPアドレスを指定するコマンドセット。null ユーザ用のグループを作成したら、 null セッションのみに適用されるストレージシステムリソースのアクセス制限およびリソース権限を指定できます。null ユーザは匿名ログオンとみなされます。null ユーザは、ホームディレクトリにアクセスできません。

マッピングされた IP アドレスからストレージシステムにアクセスするすべての null ユーザには、マッピングされたユーザ権限が付与されます。null ユーザにマッピングされたストレージシステムへの不正なアクセスを防止するため、適切な予防措置を検討してください。最大限の保護を実現するには、ストレージシステムと null ユーザによるストレージシステムアクセスが必要なすべてのクライアントを別のネットワークに配置し、 IP アドレス「 SVM 」の問題を解消します。

関連情報

匿名ユーザのアクセス制限を設定します