ドメインの検証によるネットグループのより厳密なアクセス チェックの実行

デフォルトでは、ONTAPはネットグループに対するクライアント アクセスを評価する際に追加の検証を実行します。この追加チェックにより、クライアントのドメインがStorage Virtual Machine(SVM)のドメイン設定に一致していることが確認されます。一致していない場合、ONTAPはクライアント アクセスを拒否します。

タスク概要

ONTAPは、クライアント アクセス用のエクスポート ポリシー ルールおよびネットグループが含まれているエクスポート ポリシー ルールを評価する際に、クライアントのIPアドレスがそのネットグループに属しているかどうかを確認する必要があります。そのために、ONTAPは、DNSを使用してクライアントのIPアドレスをホスト名に変換し、Fully Qualified Domain Name(FQDN;完全修飾ドメイン名)を取得します。

ネットグループ ファイルにホストの短い名前のみがリストされていて、そのホストの短い名前が複数のドメインに存在している場合は、異なるドメインのクライアントがこうしたチェックなしにアクセス権を取得することが可能になります。

この問題を回避するために、ONTAPは、ホストについてDNSから返されたドメインをSVM用に設定されているDNSドメイン名のリストと比較します。一致した場合は、アクセスが許可されます。一致しなかった場合、アクセスは拒否されます。

この検証はデフォルトで有効になっています。この検証機能は、advanced権限レベルで使用できる-netgroup-dns-domain-searchパラメータを変更することで管理できます。

手順

  1. 権限レベルをadvancedに設定します。set -privilege advanced
  2. 次のうち必要な操作を実行します。
    ネットグループのドメイン検証の設定 入力する内容
    有効にする vserver nfs modify -vserver vserver_name -netgroup-dns-domain-search enabled
    無効にする vserver nfs modify -vserver vserver_name -netgroup-dns-domain-search disabled
  3. 権限レベルをadminに設定します。set -privilege admin