エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9

to English version

指定されていないセキュリティ タイプのクライアントの処理

エクスポート ルールのアクセス パラメーターで指定されていないセキュリティ タイプを提示するクライアントに対しては、クライアント アクセスを拒否するか、アクセス パラメーターに none オプションを指定してクライアントを匿名ユーザーIDにマッピングすることができます。

クライアントがアクセス パラメーターで指定されていないセキュリティ タイプを提示するのは、別のセキュリティ タイプで認証されている場合、認証されていない場合(セキュリティ タイプAUTH_NONE)です。デフォルトでは、クライアントは該当するレベルへのアクセスを自動的に拒否されます。ただし、アクセス パラメーターに none オプションを追加すれば、リストにないセキュリティ タイプを使用するクライアントは、拒否されずに匿名ユーザーIDにマッピングされます。 -anon パラメーターは、このようなクライアントに割り当てるユーザーIDを指定します。 -anon パラメーターには、匿名ユーザーに適したアクセス権が設定されている、有効なユーザーのユーザーIDを指定する必要があります。

-anon パラメーターに指定できる値は、065535 です。

-anon に割り当てられたユーザーID クライアント アクセス要求の処理

065533

クライアント アクセス要求は匿名ユーザーIDにマッピングされ、このユーザーに設定されたアクセス権に基づいてアクセスが許可されます。

65534

クライアント アクセス要求はユーザーnobodyにマッピングされ、このユーザーに設定されたアクセス権に基づいてアクセスが許可されます。これがデフォルトです。

65535

このIDにマッピングされ、セキュリティタイプがAUTH_NONEのクライアントからのアクセス要求は、すべて拒否されます。このIDにマッピングされ、他のセキュリティ タイプを使用している、ユーザーIDが0のクライアントからのアクセス要求は拒否されます。

none オプションを使用する場合は、読み取り専用パラメーターが先に処理される点に注意してください。リストにないセキュリティ タイプを使用するクライアントのエクスポート ルールを設定する際は、次のガイドラインを参考にしてください。

読み取り専用に none が指定されている 読み取り / 書き込みに none が指定されている リストにないセキュリティタイプを使用するクライアントのアクセス

×

×

拒否

×

read-onlyが先に処理されるため、拒否

×

匿名として読み取り専用

匿名として読み取り / 書き込み

エクスポート ポリシーに、次のパラメーターが指定されたエクスポート ルールが含まれています。

  • -protocol nfs3

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule sys,none

  • -rwrule any

  • -anon 70

クライアント#1は、IPアドレスが10.1.16.207で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されました。

クライアント#2は、IPアドレスが10.1.16.211で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されました。

クライアント#3は、IPアドレスが10.1.16.234で、NFSv3プロトコルを使用してアクセス要求を送信し、認証されていません(セキュリティ タイプAUTH_NONE)。

3つすべてのクライアントで、クライアント アクセス プロトコルとIPアドレスは一致しています。読み取り専用パラメーターは、AUTH_SYSで認証された自身のユーザーIDを持つクライアントに読み取り専用アクセスを許可します。また、それ以外のセキュリティ タイプを使用して認証されたクライアントには、ユーザーIDが70の匿名ユーザーとして読み取り専用アクセスを許可します。読み取り / 書き込みパラメーターは、すべてのセキュリティ タイプに読み取り / 書き込みアクセスを許可しますが、この例では、読み取り専用ルールですでにフィルターされたクライアントにのみ適用されます。

したがって、クライアント#1とクライアント#3には、ユーザーIDが70の匿名ユーザーとしてのみ読み取り / 書き込みアクセスが許可されます。クライアント#2には、自身のユーザーIDで読み取り / 書き込みアクセスが許可されます。

エクスポート ポリシーに、次のパラメーターが指定されたエクスポート ルールが含まれています。

  • -protocol nfs3

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule sys,none

  • -rwrule none

  • -anon 70

クライアント#1は、IPアドレスが10.1.16.207で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されます。

クライアント#2は、IPアドレスが10.1.16.211で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されます。

クライアント#3は、IPアドレスが10.1.16.234で、NFSv3プロトコルを使用してアクセス要求を送信し、認証されていません(セキュリティ タイプAUTH_NONE)。

3つすべてのクライアントで、クライアント アクセス プロトコルとIPアドレスは一致しています。読み取り専用パラメーターは、AUTH_SYSで認証された自身のユーザーIDを持つクライアントに読み取り専用アクセスを許可します。また、それ以外のセキュリティ タイプを使用して認証されたクライアントには、ユーザーIDが70の匿名ユーザーとして読み取り専用アクセスを許可します。読み取り / 書き込みパラメーターは、匿名ユーザーとしてのみ読み取り / 書き込みアクセスを許可します。

したがって、クライアント#1とクライアント#3は、ユーザーIDが70の匿名ユーザーとしてのみ読み取り / 書き込みアクセスが許可されます。クライアント#2は、自身のユーザーIDで読み取り専用アクセスが許可されますが、読み取り / 書き込みアクセスは拒否されます。

Top of Page