ストレージレベルのアクセス保護の設定

ボリュームまたはqtreeのストレージレベルのアクセス保護を設定する際には、多くの手順に従う必要があります。ストレージレベルのアクセス保護は、ストレージレベルで設定するアクセス セキュリティを提供します。すべてのNASプロトコルからの適用対象のストレージ オブジェクトへのすべてのアクセスにセキュリティが適用されます。

手順

  1. vserver security file-directory ntfs createコマンドを使用して、セキュリティ記述子を作成します。
    vserver security file-directory ntfs create -vserver vs1 -ntfs-sd sd1vserver security file-directory ntfs show -vserver vs1
    Vserver: vs1
    
       NTFS Security    Owner Name
       Descriptor Name
       ------------     --------------
       sd1              -

    セキュリティ記述子は、次の4つのデフォルトDACLアクセス制御エントリ(ACE)を持った状態で作成されます。

    Vserver: vs1
      NTFS Security Descriptor Name: sd1
    
        Account Name     Access   Access          Apply To
                         Type     Rights
        --------------   -------  -------         -----------
        BUILTIN\Administrators
                         allow    full-control   this-folder, sub-folders, files
        BUILTIN\Users    allow    full-control   this-folder, sub-folders, files
        CREATOR OWNER    allow    full-control   this-folder, sub-folders, files
        NT AUTHORITY\SYSTEM
                         allow    full-control   this-folder, sub-folders, files

    ストレージレベルのアクセス保護を設定する際にデフォルトのエントリを使用しない場合は、セキュリティ記述子に独自のACEを作成して追加する前に、デフォルトのエントリを削除できます。

  2. オプション: セキュリティ記述子から、ストレージレベルのアクセス保護セキュリティに設定したくないデフォルトのDACL ACEを削除します。
    1. vserver security file-directory ntfs dacl removeコマンドを使用して、不要なDACL ACEを削除します。

      この例では、セキュリティ記述子からBUILTIN\Administrators、BUILTIN\Users、CREATOR OWNERの3つのデフォルトDACL ACEを削除しています。

      vserver security file-directory ntfs dacl remove -vserver vs1 -ntfs-sd sd1 -access-type allow -account builtin\usersvserver security file-directory ntfs dacl remove -vserver vs1 -ntfs-sd sd1 -access-type allow -account builtin\administratorsvserver security file-directory ntfs dacl remove -vserver vs1 -ntfs-sd sd1 -access-type allow -account "creator owner"
    2. vserver security file-directory ntfs dacl showコマンドを使用して、ストレージレベルのアクセス保護セキュリティに使用しないDACL ACEがセキュリティ記述子から削除されたことを確認します。

      この例では、コマンドからの出力より、セキュリティ記述子から3つのデフォルトDACL ACEが削除され、NT AUTHORITY\SYSTEMのデフォルトDACL ACEエントリのみが残されていることを確認できます。

      vserver security file-directory ntfs dacl show -vserver vs1
      Vserver: vs1
        NTFS Security Descriptor Name: sd1
      
          Account Name     Access   Access          Apply To
                           Type     Rights
          --------------   -------  -------         -----------
          NT AUTHORITY\SYSTEM
                           allow    full-control   this-folder, sub-folders, files
  3. vserver security file-directory ntfs dacl addコマンドを使用して、セキュリティ記述子に1つまたは複数のDACLエントリを追加します。

    この例では、セキュリティ記述子に2つのDACL ACEを追加しています。

    vserver security file-directory ntfs dacl add -vserver vs1 -ntfs-sd sd1 -access-type allow -account example\engineering -rights full-control -apply-to this-folder,sub-folders,filesvserver security file-directory ntfs dacl add -vserver vs1 -ntfs-sd sd1 -access-type allow -account "example\Domain Users" -rights read -apply-to this-folder,sub-folders,files
  4. オプション: vserver security file-directory ntfs sacl addコマンドを使用して、セキュリティ記述子に1つまたは複数のSACLエントリを追加します。

    この例では、セキュリティ記述子に2つのSACL ACEを追加しています。

    vserver security file-directory ntfs sacl add -vserver vs1 -ntfs-sd sd1 -access-type failure -account "example\Domain Users" -rights read -apply-to this-folder,sub-folders,filesvserver security file-directory ntfs sacl add -vserver vs1 -ntfs-sd sd1 -access-type success -account example\engineering -rights full-control -apply-to this-folder,sub-folders,files
  5. vserver security file-directory ntfs dacl showおよびvserver security file-directory ntfs sacl showコマンドを使用して、DACLおよびSACL ACEがそれぞれ正しく設定されていることを確認します。

    この例では、次のコマンドでセキュリティ記述子sd1のDACLエントリ情報を表示しています。

    vserver security file-directory ntfs dacl show -vserver vs1 -ntfs-sd sd1
    Vserver: vs1
      NTFS Security Descriptor Name: sd1
    
        Account Name     Access   Access          Apply To
                         Type     Rights
        --------------   -------  -------         -----------
        EXAMPLE\Domain Users
                         allow    read           this-folder, sub-folders, files
        EXAMPLE\engineering
                         allow    full-control   this-folder, sub-folders, files    
        NT AUTHORITY\SYSTEM
                         allow    full-control   this-folder, sub-folders, files

    この例では、次のコマンドでセキュリティ記述子sd1のSACLエントリ情報を表示しています。

    vserver security file-directory ntfs sacl show -vserver vs1 -ntfs-sd sd1
    Vserver: vs1
      NTFS Security Descriptor Name: sd1
    
        Account Name     Access   Access          Apply To
                         Type     Rights
        --------------   -------  -------         -----------
        EXAMPLE\Domain Users
                         failure  read           this-folder, sub-folders, files
        EXAMPLE\engineering
                         success  full-control   this-folder, sub-folders, files
  6. vserver security file-directory policy createコマンドを使用して、セキュリティ ポリシーを作成します。

    次の例は、policy1という名前のポリシーを作成しています。

    vserver security file-directory policy create -vserver vs1 -policy-name policy1
  7. vserver security file-directory policy showコマンドを使用して、ポリシーが正しく設定されていることを確認します。
    vserver security file-directory policy show
       Vserver          Policy Name
       ------------     --------------
       vs1              policy1   
  8. -access-controlパラメータにslagを設定してvserver security file-directory policy-task addコマンドを使用し、関連するセキュリティ記述子のタスクをセキュリティ ポリシーに追加します。

    ポリシーには複数のストレージレベルのアクセス保護タスクを含めることができますが、ポリシーにファイルとディレクトリのタスクとストレージレベルのアクセス保護タスクの両方を含めることはできません。ポリシーに含めるタスクは、すべてストレージレベルのアクセス保護タスクにするか、すべてファイルとディレクトリのタスクにする必要があります。

    次の例は、policy1という名前のポリシーにタスクを追加します。このポリシーは、セキュリティ記述子sd1に割り当てられています。また、アクセス制御タイプがslagに設定されたパス/datavol1に割り当てられています。

    vserver security file-directory policy task add -vserver vs1 -policy-name policy1 -path /datavol1 -access-control slag -security-type ntfs -ntfs-mode propagate -ntfs-sd sd1
  9. vserver security file-directory policy task showコマンドを使用して、タスクが正しく設定されていることを確認します。
    vserver security file-directory policy task show -vserver vs1 -policy-name policy1
     Vserver: vs1
      Policy: policy1
    
       Index  File/Folder  Access           Security  NTFS       NTFS Security
              Path         Control          Type      Mode       Descriptor Name
       -----  -----------  ---------------  --------  ---------- ---------------
       1      /datavol1    slag             ntfs      propagate  sd1
  10. vserver security file-directory policy applyコマンドを使用して、ストレージレベルのアクセス保護セキュリティ ポリシーを適用します。
    vserver security file-directory apply -vserver vs1 -policy-name policy1
    セキュリティ ポリシーを適用するジョブがスケジュールされます。
  11. vserver security file-directory showコマンドを使用して、適用されたストレージレベルのアクセス保護セキュリティ設定が正しいことを確認します。

    この例では、コマンドからの出力により、ストレージレベルのアクセス保護セキュリティがNTFSボリューム/datavol1に適用されていることがわかります。EveryoneにFull Controlを許可するデフォルトDACLは残っていますが、ストレージレベルのアクセス保護セキュリティによって、ストレージレベルのアクセス保護設定で定義されたグループにアクセスが制限(および監査)されます。

    vserver security file-directory show -vserver vs1 -path /datavol1
                    Vserver: vs1
                  File Path: /datavol1
          File Inode Number: 77
             Security Style: ntfs
            Effective Style: ntfs
             DOS Attributes: 10
     DOS Attributes in Text: ----D---
    Expanded Dos Attributes: -
               Unix User Id: 0
              Unix Group Id: 0
             Unix Mode Bits: 777
     Unix Mode Bits in Text: rwxrwxrwx
                       ACLs: NTFS Security Descriptor
                             Control:0x8004
                             Owner:BUILTIN\Administrators
                             Group:BUILTIN\Administrators
                             DACL - ACEs
                               ALLOW-Everyone-0x1f01ff
                               ALLOW-Everyone-0x10000000-OI|CI|IO
    
    
                             Storage-Level Access Guard security
                             SACL (Applies to Directories):
                               AUDIT-EXAMPLE\Domain Users-0x120089-FA
                               AUDIT-EXAMPLE\engineering-0x1f01ff-SA
                             DACL (Applies to Directories):
                               ALLOW-EXAMPLE\Domain Users-0x120089
                               ALLOW-EXAMPLE\engineering-0x1f01ff
                               ALLOW-NT AUTHORITY\SYSTEM-0x1f01ff
                             SACL (Applies to Files):
                               AUDIT-EXAMPLE\Domain Users-0x120089-FA
                               AUDIT-EXAMPLE\engineering-0x1f01ff-SA
                             DACL (Applies to Files):
                               ALLOW-EXAMPLE\Domain Users-0x120089
                               ALLOW-EXAMPLE\engineering-0x1f01ff
                               ALLOW-NT AUTHORITY\SYSTEM-0x1f01ff