Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP System Managerを使用してKerberosでクライアント アクセスを保護する

共同作成者 netapp-aherbin netapp-barbe netapp-thomi netapp-aaron-holt netapp-ahibbard netapp-forry
PDF

Kerberosを有効にしてNASクライアントのストレージ アクセスを保護します。

この手順では、"NFS"または"SMB"が有効になっている既存のストレージVMにKerberosを設定します。

始める前に、ストレージ システムで DNS、NTP、"LDAP"を構成しておく必要があります。

ワークフローの概要:1 UNIX権限の設定 2 ユーザー権限の設定 3 グループ権限の設定 4 Kerberosの設定 5 必要に応じて名前マッピングの追加

手順

  1. ONTAPコマンドラインで、Storage VMのルート ボリュームのUNIX権限を設定します。

    1. ストレージ VM ルート ボリュームの関連する権限を表示します: `volume show -volume root_vol_name-fields user,group,unix-permissions`"ONTAPコマンド リファレンス"の `volume show`の詳細を確認してください。

      Storage VMのルート ボリュームは次のように設定されている必要があります。

    名前 設定

    UID

    rootまたはID 0

    GID

    rootまたはID 0

    UNIX権限

    755

    1. これらの値が表示されない場合は、 `volume modify`コマンドを使用して更新してください。 `volume modify`の詳細については、"ONTAPコマンド リファレンス"を参照してください。

  2. Storage VMのルート ボリュームのユーザ権限を設定します。

    1. ローカル UNIX ユーザーを表示します: vserver services name-service unix-user show -vserver vserver_name `vserver services name-service unix-user show`の詳細については、"ONTAPコマンド リファレンス"を参照してください。

      Storage VMに次のUNIXユーザが設定されている必要があります。

    ユーザ名 ユーザーID プライマリ グループID

    nfs

    500

    0

    root

    0

    0

    +
    注: NFSクライアントユーザーのSPNにKerberos-UNIX名前マッピングが存在する場合、NFSユーザーは必要ありません。手順5を参照してください。

    1. これらの値が表示されない場合は、 `vserver services name-service unix-user modify`コマンドを使用して更新してください。 `vserver services name-service unix-user modify`の詳細については、"ONTAPコマンド リファレンス"を参照してください。

  3. Storage VMのルート ボリュームのグループ権限を設定します。

    1. ローカル UNIX グループを表示します: vserver services name-service unix-group show -vserver vserver_name `vserver services name-service unix-group show`の詳細については、"ONTAPコマンド リファレンス"を参照してください。

      Storage VMに次のUNIXグループが設定されている必要があります。

    グループ名 グループID

    daemon

    1

    root

    0

    1. これらの値が表示されない場合は、 `vserver services name-service unix-group modify`コマンドを使用して更新してください。 `vserver services name-service unix-group modify`の詳細については、"ONTAPコマンド リファレンス"を参照してください。

  4. System Managerに切り替えて、Kerberosを設定します。

  5. System Manager で、* ストレージ > ストレージ VM* をクリックし、ストレージ VM を選択します。

  6. *Settings*をクリックします。

  7. Kerberosの下にある矢印アイコンをクリックします。

  8. Kerberos Realm の下の Add をクリックし、次のセクションを入力します:

    • Kerberos Realm の追加

      KDCベンダーに応じて詳細を入力します。

    • Realm へのネットワーク インターフェイスの追加

      *Add*をクリックし、ネットワーク インターフェースを選択します。

  9. 必要に応じて、Kerberosプリンシパル名とローカル ユーザ名のマッピングを追加します。

    1. ストレージ > Storage VM をクリックし、Storage VM を選択します。

    2. *設定*をクリックし、*名前マッピング*の下にある 矢印アイコン をクリックします。

    3. *[KerberosからUNIX]*で、正規表現を使用してパターンと置換文字列を追加します。