リストにないセキュリティ タイプを使用するクライアントの処理方法

エクスポート ルールのアクセス パラメータで指定されていないセキュリティ タイプを使用しているクライアントが現れた場合は、クライアント アクセスを拒否するか、アクセス パラメータでオプションnoneを使用してクライアントを匿名ユーザIDにマッピングすることができます。

クライアントは、別のセキュリティ タイプで認証されているか、まったく認証されていない(セキュリティ タイプAUTH_NONE)場合に、アクセス パラメータで指定されていないセキュリティ タイプを使用しているとみなされます。デフォルトでは、そのクライアントはそのレベルへのアクセスを自動的に拒否されます。ただし、アクセス パラメータにオプションnoneを追加できます。追加すると、リストにないセキュリティ タイプを使用するクライアントは、拒否されずに匿名ユーザIDにマッピングされます。-anonパラメータでは、このようなクライアントに割り当てられるユーザIDを指定します。-anonパラメータに指定するユーザIDは、匿名ユーザに適していると判断したアクセス権が設定されている有効なユーザである必要があります。

-anonパラメータに指定できる値の範囲は、065535です。

-anonに割り当てられたユーザID クライアント アクセス要求の処理結果
0 - 65533 クライアント アクセス要求は匿名ユーザIDにマッピングされ、このユーザに対して設定されたアクセス権に応じてアクセスできるようになります。
65534 クライアント アクセス要求はユーザnobodyにマッピングされ、このユーザに対して設定されたアクセス権に応じてアクセスできるようになります。この値がデフォルトです。
65535 クライアントからのアクセス要求は、このIDにマッピングされ、セキュリティ タイプAUTH_NONEをクライアントが使用している場合、すべて拒否されます。

ユーザIDが0のクライアントからのアクセス要求は、このIDにマッピングされ、他のセキュリティ タイプをクライアントが使用している場合、拒否されます。

オプションnoneを使用する場合は、最初に読み取り専用パラメータが処理される点に注意することが重要です。リストにないセキュリティ タイプを使用するクライアントのエクスポート ルールを設定する際は、次のガイドラインを考慮してください。
読み取り専用にnoneが指定されている 読み取り / 書き込みにnoneが指定されている リストにないセキュリティ タイプを使用するクライアントのアクセス結果
いいえ いいえ 拒否
いいえ はい 最初に読み取り専用が処理されるため、拒否
はい いいえ 匿名として読み取り専用
はい はい 匿名として読み取り / 書き込み

エクスポート ポリシーに、次のパラメータが指定されたエクスポート ルールが含まれています。

クライアント#1は、IPアドレスが10.1.16.207で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されます。

クライアント#2は、IPアドレスが10.1.16.211で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されます。

クライアント#3は、IPアドレスが10.1.16.234で、NFSv3プロトコルを使用してアクセス要求を送信し、認証は行われていません(セキュリティ タイプAUTH_NONE)。

3つすべてのクライアントで、クライアント アクセス プロトコルとIPアドレスは一致しています。読み取り専用パラメータでは、読み取り専用アクセスが、AUTH_SYSで認証された、自身のユーザIDを持つクライアントに許可されています。また、読み取り専用パラメータでは、ユーザIDが70の匿名ユーザとしての読み取り専用アクセスが、他のセキュリティ タイプを使用して認証されたクライアントに許可されています。読み取り / 書き込みパラメータでは、読み取り / 書き込みアクセスがすべてのセキュリティ タイプに許可されていますが、この場合は、読み取り専用ルールですでにフィルタされているクライアントにのみ適用されます。

したがって、クライアント#1とクライアント#3は、ユーザIDが70の匿名ユーザとしてのみ読み取り / 書き込みアクセス権を取得します。クライアント#2は、自身のユーザIDで読み取り / 書き込みアクセス権を取得します。

エクスポート ポリシーに、次のパラメータが指定されたエクスポート ルールが含まれています。

クライアント#1は、IPアドレスが10.1.16.207で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されます。

クライアント#2は、IPアドレスが10.1.16.211で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されます。

クライアント#3は、IPアドレスが10.1.16.234で、NFSv3プロトコルを使用してアクセス要求を送信し、認証は行われていません(セキュリティ タイプAUTH_NONE)。

3つすべてのクライアントで、クライアント アクセス プロトコルとIPアドレスは一致しています。 読み取り専用パラメータでは、読み取り専用アクセスが、AUTH_SYSで認証された、自身のユーザIDを持つクライアントに許可されています。また、読み取り専用パラメータでは、ユーザIDが70の匿名ユーザとしての読み取り専用アクセスが、他のセキュリティ タイプを使用して認証されたクライアントに許可されています。 読み取り / 書き込みパラメータでは、匿名ユーザとしてのみ読み取り / 書き込みアクセスが許可されています。

したがって、クライアント#1とクライアント#3は、ユーザIDが70の匿名ユーザとしてのみ読み取り / 書き込みアクセス権を取得します。 クライアント#2は、自身のユーザIDで読み取り専用アクセス権を取得しますが、読み取り / 書き込みアクセスは拒否されます。