セキュリティ形式とその影響とは

セキュリティ形式には、UNIX、NTFS、mixed、およびunifiedの4種類があり、 セキュリティ形式ごとにデータに対する権限の扱いが異なります。目的に応じて適切なセキュリティ形式を選択できるように、それぞれの影響について理解しておく必要があります。

セキュリティ形式はデータにアクセスできるクライアントの種類には影響しないことに注意してください。セキュリティ形式で決まるのは、データ アクセスの制御にONTAPで使用される権限の種類と、それらの権限を変更できるクライアントの種類だけです。

たとえば、ボリュームでUNIXセキュリティ形式を使用している場合でも、ONTAPはマルチプロトコルに対応しているため、SMBクライアントから引き続きデータにアクセスできます(認証と許可が適切な場合)。ただし、ONTAPでは、UNIXクライアントのみが標準のツールを使用して変更できるUNIX権限が使用されます。

セキュリティ形式 権限を変更できるクライアント クライアントで使用できる権限 有効になるセキュリティ形式 ファイルにアクセスできるクライアント
UNIX NFS NFSv3モード ビット UNIX NFSとSMB
NFSv4.x ACL UNIX
NTFS SMB NTFS ACL NTFS
Mixed NFSまたはSMB NFSv3モード ビット UNIX
NFSv4.x ACL UNIX
NTFS ACL NTFS
Unified NFSまたはSMB NFSv3モード ビット UNIX
NFSv4.1 ACL UNIX
NTFS ACL NTFS

FlexVolでは、UNIX、NTS、およびmixedのセキュリティ形式がサポートされます。セキュリティ形式がmixedまたはunifiedの場合は、ユーザがセキュリティ形式を各自設定するため、権限を最後に変更したクライアントの種類によって有効になる権限が異なります。権限を最後に変更したクライアントがNFSv3クライアントの場合、権限はUNIX NFSv3モード ビットになります。最後のクライアントがNFSv4クライアントの場合、権限はNFSv4 ACLになります。最後のクライアントがSMBクライアントの場合、権限はWindows NTFS ACLになります。

ONTAP 9.2以降では、vserver security file-directoryコマンドのshow-effective-permissionsパラメータを使用して、指定したファイルやフォルダ パスに対してWindowsユーザまたはUNIXユーザに付与されている有効な権限を表示できます。また、オプションの-share-nameパラメータを使用して、有効な共有権限を表示することもできます。

注: ONTAPで、最初にデフォルトのファイル権限がいくつか設定されます。デフォルトでは、UNIX、mixed、およびunifiedのセキュリティ形式のボリュームにあるデータについては、セキュリティ形式はUNIX、権限の種類はUNIXモード ビット(特に指定しないかぎり0755)が有効になります。これは、デフォルトのセキュリティ形式で許可されたクライアントで設定するまで変わりません。同様に、NTFSセキュリティ形式のボリュームにあるデータについては、デフォルトでNTFSセキュリティ形式が有効になり、すべてのユーザにフル コントロール権限を許可するACLが割り当てられます。