NFSユーザに許可するグループID数の設定

ONTAPは、Kerberos(RPCSEC_GSS)認証を使用してNFSユーザ クレデンシャルを処理する場合、デフォルトで最大32個のグループIDをサポートします。AUTH_SYS認証を使用する場合は、RFC 5331で定義されているとおり、グループIDのデフォルトの最大数は16個です。デフォルト数を超えるグループに属しているユーザがいる場合は、この最大数を1,024まで増やすことができます。

タスク概要

デフォルト数を超えるグループIDがクレデンシャルに設定されている場合、残りのグループIDは切り捨てられ、そのユーザがストレージ システムのファイルへのアクセスを試みるとエラーが発生する可能性があります。SVMあたりの最大グループ数は、環境内の最大グループ数と同じ数に設定する必要があります。

次の表に、グループIDの最大数を決定するvserver nfs modifyコマンドの2つのパラメータと3つの設定例を示します。

パラメータ 設定 設定される最大グループID数

-extended-groups-limit

-auth-sys-extended-groups

32

disabled

これがデフォルトの設定です。

RPCSEC_GSS:32

AUTH_SYS:16

-extended-groups-limit

-auth-sys-extended-groups

256

disabled

RPCSEC_GSS:256

AUTH_SYS:16

-extended-groups-limit

-auth-sys-extended-groups

512

enabled

RPCSEC_GSS:512

AUTH_SYS:512

注: 一部の古いNFSクライアントはAUTH_SYSの拡張されたグループに対応していない可能性があります。

手順

  1. 権限レベルをadvancedに設定します。set -privilege advanced
  2. 次のうち必要な操作を実行します。
    許可される最大補助グループ数の設定対象 入力するコマンド
    RPCSEC_GSSのみ(AUTH_SYSはデフォルト値16のまま) vserver nfs modify -vserver vserver_name -extended-groups-limit {32-1024} -auth-sys-extended-groups disabled
    RPCSEC_GSSとAUTH_SYSの両方 vserver nfs modify -vserver vserver_name -extended-groups-limit {32-1024} -auth-sys-extended-groups enabled
  3. -extended-groups-limitの値を確認し、拡張されたグループがAUTH_SYSで使用されていることを確認します。vserver nfs show -vserver vserver_name -fields auth-sys-extended-groups,extended-groups-limit
  4. admin権限レベルに戻ります。set -privilege admin

次の例は、拡張されたグループをAUTH_SYS認証で有効にし、AUTH_SYS認証とRPCSEC_GSS認証の両方で拡張グループの最大数を512に設定します。これらの変更は、vs1というSVMにアクセスするクライアントに対してのみ適用されます。
vs1::> set -privilege advanced
Warning: These advanced commands are potentially dangerous; use 
         them only when directed to do so by NetApp personnel.
Do you want to continue? {y|n}: y

vs1::*> vserver nfs modify -vserver vs1 -auth-sys-extended-groups enabled -extended-groups-limit 512

vs1::*> vserver nfs show -vserver vs1 -fields auth-sys-extended-groups,extended-groups-limit
vserver auth-sys-extended-groups extended-groups-limit
------- ------------------------ ---------------------
vs1     enabled                  512

vs1::*> set -privilege admin