ONTAP 보안 유형이 NFS 클라이언트 액세스 수준을 결정하는 방식
변경 제안
PDF
클라이언트가 에서 인증한 보안 유형은 내보내기 규칙에서 특별한 역할을 합니다. 보안 유형에 따라 클라이언트가 볼륨 또는 qtree에 액세스하는 액세스 수준이 어떻게 결정되는지 이해해야 합니다.
세 가지 액세스 수준은 다음과 같습니다.
-
읽기 전용
-
읽기-쓰기
-
슈퍼유저(사용자 ID가 0인 클라이언트의 경우)
보안 유형별 액세스 수준은 이 순서대로 평가되므로 내보내기 규칙에서 액세스 수준 매개 변수를 구성할 때 다음 규칙을 준수해야 합니다.
| 클라이언트가 액세스 레벨을 얻는 경우… | 이러한 액세스 매개 변수는 클라이언트의 보안 유형과 일치해야 합니다. |
|---|---|
일반 사용자 읽기 전용 |
읽기 전용('-rorule') |
일반 사용자 읽기-쓰기 |
읽기 전용('-rorule') 및 읽기/쓰기('-rwrule') |
고급 사용자 읽기 전용 |
읽기 전용('rorule') 및 '-superuser' |
고급 사용자 읽기-쓰기 |
읽기 전용('rorule') 및 읽기/쓰기('rwrule') 및 '-superuser' |
다음은 이러한 세 가지 액세스 매개 변수 각각에 대해 유효한 보안 유형입니다.
-
모두
-
"없음"
-
"안 돼.
이 보안 유형은 '-superuser' 매개변수와 함께 사용할 수 없습니다.
-
krb5
-
krb5i
-
크르b5p
-
NTLM
-
'스'입니다
클라이언트의 보안 유형을 세 가지 액세스 매개 변수 각각에 일치시킬 경우 다음과 같은 세 가지 결과가 발생할 수 있습니다.
| 클라이언트의 보안 유형인 경우… | 그러면 고객은… |
|---|---|
access 매개 변수에 지정된 것과 일치합니다. |
해당 사용자 ID를 사용하여 해당 수준에 대한 액세스를 가져옵니다. |
지정된 옵션과 일치하지 않지만 액세스 매개 변수에는 '없음' 옵션이 포함됩니다. |
'-anon' 매개 변수로 지정한 사용자 ID를 가진 익명 사용자로 해당 수준에 대한 액세스를 가져옵니다. |
지정된 옵션과 일치하지 않으며 액세스 매개 변수에 '없음' 옵션이 포함되어 있지 않습니다. |
이 수준은 지정되지 않은 경우에도 항상 '없음'을 포함하므로 '-superuser' 매개 변수에는 적용되지 않습니다. |
엑스포트 정책에는 다음 매개 변수가 있는 엑스포트 규칙이 포함되어 있습니다.
-
프로토콜 NFS3
-
'-clientmatch ''10.1.16.0/255.255.255.0'
-
모든 것
-
'-rwrule''s, krb5'
-
슈퍼유저 krb5
클라이언트 #1에는 IP 주소가 10.1.16.207이고 사용자 ID가 0이고, NFSv3 프로토콜을 사용하여 액세스 요청을 보내고, Kerberos v5로 인증되었습니다.
클라이언트 #2에는 IP 주소가 10.1.16.211이고 사용자 ID 0이 있으며 NFSv3 프로토콜을 사용하여 액세스 요청을 보내고 AUTH_SYS로 인증되었습니다.
클라이언트 #3의 IP 주소는 10.1.16.234이고, 사용자 ID 0이 있으며, NFSv3 프로토콜을 사용하여 액세스 요청을 보내고, 인증하지 않았습니다(AUTH_NONE).
클라이언트 액세스 프로토콜 및 IP 주소는 세 클라이언트 모두와 일치합니다. 읽기 전용 매개 변수는 보안 유형에 관계없이 모든 클라이언트에 대한 읽기 전용 액세스를 허용합니다. 읽기-쓰기 매개 변수는 AUTH_SYS 또는 Kerberos v5로 인증된 고유한 사용자 ID를 사용하여 클라이언트에 대한 읽기-쓰기 액세스를 허용합니다. 슈퍼유저 매개 변수를 사용하면 Kerberos v5로 인증된 사용자 ID 0을 가진 클라이언트에 슈퍼유저 액세스가 가능합니다.
따라서 클라이언트 #1은 세 가지 액세스 매개 변수와 모두 일치하기 때문에 수퍼유저 읽기-쓰기 액세스 권한을 얻습니다. 클라이언트 #2에 읽기-쓰기 액세스 권한이 있지만 고급 사용자 액세스 권한이 없습니다. 클라이언트 #3은 읽기 전용 액세스 권한을 얻지만 고급 사용자 액세스는 받지 않습니다.