エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

クライアント認証と許可

ONTAPでは、標準的な手段を使用して、クライアントや管理者によるストレージへのアクセスを保護し、またウイルスから守ります。保存データの暗号化やWORMストレージでは、高度なテクノロジも使用できます。

ONTAPでは、信頼できるソースでIDを検証してクライアント マシンおよびユーザーを認証します。ユーザーのクレデンシャルとファイルまたはディレクトリーに対して設定されているアクセス許可を比較し、ユーザーにファイルやディレクトリーへのアクセスを許可します。

認証

ユーザー アカウントは、ローカルまたはリモートとして作成できます。

  • ローカル アカウントでは、アカウント情報がストレージ システムに格納されます。

  • リモート アカウントでは、アカウント情報がActive Directoryドメイン コントローラー、LDAPサーバー、またはNISサーバーに格納されます。

ONTAPは、ローカルまたは外部のネーム サービスを使用して、ホスト名、ユーザー、グループ、ネットグループ、ネーム マッピング情報を検索します。ONTAPでは、次のネーム サービスをサポートしています。

  • ローカル ユーザー

  • DNS

  • 外部NISドメイン

  • 外部LDAPドメイン

ネットワーク情報を検索する際にどのソースをどの順序で検索するかは、ネーム サービス スイッチ テーブルで指定します(UNIXシステムの/etc/nsswitch.confファイルの機能に相当します)。NFSクライアントがSVMに接続すると、ONTAPは指定されたネーム サービスをチェックして、必要な情報を取得します。

Kerberosのサポート Kerberosは、クライアント / サーバー実装でユーザーのパスワードを暗号化することで「強力な認証」を実現するネットワーク認証プロトコルです。ONTAPでは、整合性チェック機能を備えたKerberos 5認証(krb5i)とプライバシー チェック機能を備えたKerberos 5認証(krb5p)をサポートしています。

許可

ONTAPでは、3つのレベルのセキュリティを評価して、SVM上にあるファイルおよびディレクトリーに対して要求された処理を実行する権限がエンティティにあるかを判断します。アクセスは、セキュリティ レベルの評価後に有効な権限によって判断されます。

  • エクスポート(NFS)および共有(SMB)セキュリティ

    エクスポートおよび共有セキュリティは、特定のNFSエクスポートまたはSMB共有へのクライアント アクセスに適用されます。管理者権限を持つユーザーは、SMBクライアントとNFSクライアントからエクスポートおよび共有レベルのセキュリティを管理できます。

  • ストレージレベルのアクセス保護ファイルおよびディレクトリー セキュリティ

    ストレージレベルのアクセス保護セキュリティは、SVMボリュームへのSMBおよびNFSクライアント アクセスに適用されます。NTFSのアクセス権のみがサポートされています。ONTAPがストレージレベルのアクセス保護が適用されているボリューム上のデータにアクセスするUNIXユーザーのセキュリティ チェックを行うには、UNIXユーザーがボリュームを所有するSVM上のWindowsユーザーにマッピングされている必要があります。

  • NTFS、UNIX、およびNFSv4のネイティブのファイルレベルのセキュリティ

    ストレージ オブジェクトを表すファイルやディレクトリーには、ネイティブのファイルレベルのセキュリティが存在します。ファイルレベルのセキュリティはクライアントから設定できます。ファイル権限は、データへのアクセスにSMBとNFSのどちらを使用するかに関係なく有効です。

SAMLによる認証

ONTAPでは、リモート ユーザーの認証でSecurity Assertion Markup Language(SAML)がサポートされます。いくつかの一般的なIDプロバイダー(IdP)がサポートされます。サポートされるIdPとSAML認証を有効にする手順の詳細については、「SAML認証の設定」を参照してください。

OAuth 2.0とONTAP REST APIクライアント

ONTAP 9.14以降では、Open Authorization(OAuth 2.0)フレームワークがサポートされています。クライアントでREST APIを使用してONTAPにアクセスする場合、認証とアクセス制御には、OAuth 2.0しか使用できません。ただし、その機能を有効にするためには、CLI、ONTAP System Manager、REST APIなどの任意のONTAP管理インターフェイスを使用できます。

OAuth 2.0の標準的な機能は、いくつかの一般的な認証サーバーとともにサポートされています。相互TLSベースの送信者制約付きアクセス トークンを使用することで、ONTAPのセキュリティをさらに強化できます。また、自己完結型スコープや、ONTAP RESTロールやローカル ユーザー定義との統合など、多様な認証オプションを利用できます。詳細については、「ONTAP OAuth 2.0実装の概要」を参照してください。

Top of Page