SMBを使用したファイル アクセスの設定
クライアントがSMBを使用してCIFS対応の
Storage Virtual Machine(SVM)
のファイルにアクセスできるようにするには、いくつかの手順を実行する必要があります。
セキュリティ形式の設定
FlexVolおよびqtreeのセキュリティ形式を設定することで、アクセスを制御するためにONTAPが使用するアクセス権のタイプや、そのアクセス権を変更できるクライアント タイプを決定できます。
NASネームスペース内でのデータ ボリュームの作成と管理
NAS環境でファイル アクセスを管理するには、
Storage Virtual Machine(SVM)
上でデータ ボリュームおよびジャンクション ポイントを管理する必要があります。これには、ネームスペース アーキテクチャの計画、ジャンクション ポイントが設定されたボリュームまたはジャンクション ポイントが設定されていないボリュームの作成、ボリュームのマウントまたはアンマウント、およびデータ ボリュームやNFSサーバまたはCIFSサーバのネームスペースに関する情報の表示が含まれます。
ネーム マッピングの設定
ONTAPでは、ネーム マッピングを使用して、CIFS IDをUNIX IDに、Kerberos IDをUNIX IDに、UNIX IDをCIFS IDにマッピングします。この情報は、NFSクライアントからの接続かCIFSクライアントからの接続かに関係なく、ユーザ クレデンシャルを取得して適切なファイル アクセスを提供するために必要になります。
マルチドメイン ネーム マッピング検索の設定
Storage Virtual Machine(SVM)
を設定してマルチドメイン ネーム マッピング検索を実行できます。これにより、ONTAPでは、UNIXユーザとWindowsユーザのネーム マッピングを実行するときに、双方向の信頼関係が確立されたドメインをすべて検索することができます。
SMB共有の作成と設定
ユーザやアプリケーションがSMB経由でCIFSサーバ上のデータにアクセスできるようにするには、SMB共有を作成して設定する必要があります。SMB共有とは、ボリューム内に指定されたアクセス ポイントです。共有をカスタマイズするには、共有パラメータと共有プロパティを指定します。既存の共有はいつでも変更できます。
SMB共有のACLを使用したファイル アクセスの保護
SMB共有で共有のアクセス制御リスト(ACL)を設定することで、ネットワークを介したファイルやフォルダへのアクセスを保護することができます。共有レベルのACLとファイルレベルの権限を組み合わせ、必要に応じてエクスポート ポリシーも使用して、有効なアクセス権を決定できます。
ファイル権限を使用したファイル アクセスの保護
データにアクセスするためにSMBクライアントがアクセスする共有に格納されたファイルやフォルダに対してファイル権限を設定することで、アクセスを保護することができます。ファイルレベルの権限と共有レベルのACLを組み合わせ、必要に応じてエクスポート ポリシーも使用して、有効なアクセス権を決定できます。ファイルとフォルダは、NTFS権限やUNIX権限で保護されることもあります。
DAC(ダイナミック アクセス制御)を使用したファイル アクセスの保護
ダイナミック アクセス制御を使用してアクセスを保護できます。Active Directoryで集約型アクセス ポリシーを作成し、適用されたGPOを使用して
SVM
上のファイルとフォルダにそのポリシーを適用します。集約型アクセス ポリシーのステージング イベントを使用するように監査を設定すると、集約型アクセス ポリシーの変更を適用する前にその効果を確認することができます。
エクスポート ポリシーを使用したSMBアクセスの保護
必要に応じて、エクスポート ポリシーを使用することにより、
SVM
ボリューム上のファイルやフォルダへのSMBアクセスを制限することができます。エクスポート ポリシーを共有レベルおよびファイルレベルの権限と組み合わせて、有効な権限を決定できます。
ストレージレベルのアクセス保護を使用したファイル アクセスの保護
ネイティブ ファイルレベルのセキュリティとエクスポートおよび共有のセキュリティを使用したアクセスの保護に加えて、ボリューム レベルでONTAPによって適用される第3のセキュリティ レイヤとしてストレージレベルのアクセス保護を設定できます。ストレージレベルのアクセス保護は、すべてのNASプロトコルからその適用先となるストレージ オブジェクトへのアクセスに適用されます。