Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Kerberosによるクライアントアクセスの保護

共同作成者
PDF

Kerberosを有効にしてNASクライアントのストレージアクセスを保護します。

この手順では、またはに対して有効になっている既存のStorage VMでKerberosを設定し"NFS""SMB"ます。

作業を開始する前に、ストレージシステムでDNS、NTP、およびを設定しておく必要があり"LDAP"ます。

ワークフローの概要:1 UNIX権限の設定2ユーザ権限の設定3グループ権限の設定4 Kerberos 5の設定必要に応じてネームマッピングを追加

手順

  1. ONTAPコマンドラインで、Storage VMのルートボリュームのUNIX権限を設定します。

    1. Storage VMのルートボリュームに対する関連する権限を表示します。 volume show -volume root_vol_name-fields user,group,unix-permissions

      Storage VMのルートボリュームを次のように設定しておく必要があります。

    名前 設定

    UID

    ルートまたはID 0

    GID

    ルートまたはID 0

    UNIX権限

    755

    1. これらの値が表示されない場合は、コマンドを使用し `volume modify`て更新します。

  2. Storage VMのルートボリュームのユーザ権限を設定します。

    1. ローカルUNIXユーザを表示します。 vserver services name-service unix-user show -vserver vserver_name

      Storage VMに次のUNIXユーザを設定しておく必要があります。

    ユーザ名 ユーザID プライマリグループID

    NFS

    500

    0

    root

    0

    0

    +

    • 注: NFS クライアントユーザの SPN に対する Kerberos-UNIX ネームマッピングがある場合は、 nfs ユーザは必要ありません。手順 5 を参照してください。

      1. これらの値が表示されない場合は、コマンドを使用し `vserver services name-service unix-user modify`て更新します。

  3. Storage VMのルートボリュームのグループ権限を設定します。

    1. ローカルUNIXグループを表示します。 vserver services name-service unix-group show -vserver vserver_name

      Storage VMに次のUNIXグループを設定しておく必要があります。

    グループ名 グループID

    デーモン

    1

    root

    0

    1. これらの値が表示されない場合は、コマンドを使用し `vserver services name-service unix-group modify`て更新します。

  4. System Managerに切り替えてKerberosを設定

  5. System Manager で、 * Storage > Storage VM* をクリックし、 Storage VM を選択します。

  6. [* 設定 * ] をクリックします。

  7. [Kerberos]をクリックします 矢印アイコン

  8. Kerberos Realm の下の * Add * をクリックし、次のセクションを完了します。

    • Kerberos Realmの追加

      KDCベンダーに応じて設定の詳細を入力します。

    • Realmへのネットワークインターフェイスの追加

      [ * 追加 ] をクリックし、ネットワーク・インターフェイスを選択します。

  9. 必要に応じて、Kerberosプリンシパル名からローカルユーザ名へのマッピングを追加します。

    1. Storage > Storage VM* をクリックし、 Storage VM を選択します。

    2. をクリックし、[ネームマッピング]*の下をクリックします 矢印アイコン

    3. [KerberosからUNIX]*で、正規表現を使用してパターンと置換を追加します。