スーパーユーザ アクセス要求の処理方法

エクスポート ポリシーを設定する際には、ユーザIDが0のクライアント(スーパーユーザ)からアクセス要求を受け取った場合のストレージ システムの処理を検討し、それに応じてエクスポート ルールを設定する必要があります。

UNIXでは、ユーザIDが0のユーザはスーパーユーザ(通常はroot)と呼ばれ、システムに対して無制限のアクセス権を持ちます。スーパーユーザ権限の使用は、システムやデータのセキュリティ侵害などのいくつかの理由により、リスクを伴う可能性があります。

デフォルトでは、ユーザIDが0のクライアントは匿名ユーザにマッピングされます。ただし、エクスポート ルールで-superuserパラメータを指定すると、ユーザIDが0のクライアントの処理方法をセキュリティ タイプに応じて決定することができます。次に、-superuserパラメータで有効なオプションを示します。

ユーザIDが0のクライアントは、-superuserパラメータの設定に応じて2通りの方法で処理されます。

-superuserパラメータとクライアントのセキュリティ タイプ 結果
一致する クライアントは、ユーザID 0でスーパーユーザ アクセス権を取得します。
一致しない クライアントは、-anonパラメータで指定されているユーザIDを持つ匿名ユーザとしてアクセスし、そのユーザに割り当てられたアクセス権を取得します。

読み取り専用パラメータまたは読み取り / 書き込みパラメータでオプションnoneが指定されているかどうかは関係ありません。

-superuserパラメータがnoneに設定されている場合にクライアントがNTFSセキュリティ形式のボリュームにアクセスするためにユーザID 0を提示すると、ONTAPは匿名ユーザ用のネーム マッピングを使用して適切なクレデンシャルを取得します。

エクスポート ポリシーに、次のパラメータが指定されたエクスポート ルールが含まれています。

クライアント#1は、IPアドレスが10.1.16.207、ユーザIDが746で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されます。

クライアント#2は、IPアドレスが10.1.16.211、ユーザIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されます。

両方のクライアントで、クライアント アクセス プロトコルとIPアドレスは一致しています。読み取り専用パラメータでは、認証に使用されるセキュリティ タイプに関係なく、読み取り専用アクセスがすべてのクライアントに許可されています。ただし、読み取り / 書き込みアクセス権を取得するのはクライアント#1だけです。これは、認証に承認されたセキュリティ タイプKerberos v5を使用したためです。

クライアント#2は、スーパーユーザ アクセス権を取得できません。-superuserパラメータが指定されていないため、代わりに匿名にマッピングされます。つまり、デフォルトでnoneが設定され、ユーザID 0は自動的に匿名にマッピングされます。また、クライアント#2はセキュリティ タイプが読み取り / 書き込みパラメータと一致しなかったため、読み取り専用アクセス権のみを取得します。

エクスポート ポリシーに、次のパラメータが指定されたエクスポート ルールが含まれています。

クライアント#1は、IPアドレスが10.1.16.207、ユーザIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されます。

クライアント#2は、IPアドレスが10.1.16.211、ユーザIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されます。

両方のクライアントで、クライアント アクセス プロトコルとIPアドレスは一致しています。読み取り専用パラメータでは、認証に使用されるセキュリティ タイプに関係なく、読み取り専用アクセスがすべてのクライアントに許可されています。ただし、読み取り / 書き込みアクセス権を取得するのはクライアント#1だけです。これは、認証に承認されたセキュリティ タイプKerberos v5を使用したためです。クライアント#2は読み取り / 書き込みアクセス権を取得できません。

このエクスポート ルールでは、ユーザIDが0のクライアントにスーパーユーザ アクセスが許可されています。クライアント#1は、ユーザIDが一致し、読み取り専用パラメータと-superuserパラメータのセキュリティ タイプにも一致するため、スーパーユーザ アクセス権を取得します。クライアント#2は、セキュリティ タイプが読み取り / 書き込みパラメータとも-superuserパラメータとも一致しないため、読み取り / 書き込みアクセス権もスーパーユーザ アクセス権も取得できません。代わりに、クライアント#2は匿名ユーザ(この場合はユーザIDが0)にマッピングされます。