エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

スーパーユーザー アクセス要求の処理

エクスポート ポリシーを設定する際には、ユーザーIDが0のクライアント(スーパーユーザー)からアクセス要求を受け取った場合のストレージ システムの処理を検討し、それに応じてエクスポート ルールを設定する必要があります。

UNIXでは、ユーザーIDが0のユーザーはスーパーユーザー(通常はroot)と呼ばれ、システムに対して無制限のアクセス権を持ちます。スーパーユーザー権限の使用は、システムやデータのセキュリティ侵害などのいくつかの理由により、リスクを伴う可能性があります。

デフォルトでは、ユーザーIDが0のクライアントは匿名ユーザーにマッピングされます。ただし、エクスポート ルールで - superuser パラメーターを指定すると、ユーザーIDが0のクライアントの処理方法をセキュリティ タイプに応じて決定することができます。次に、-superuser パラメーターで有効なオプションを示します。

  • any

  • none

    これは、-superuser パラメーターを指定しない場合のデフォルト設定です。

  • krb5

  • ntlm

  • sys

ユーザーIDが0のクライアントは、-superuser パラメーターの設定に応じて2通りの方法で処理されます。

-superuser パラメーターとクライアントのセキュリティ タイプ 結果

一致する

クライアントは、ユーザーID 0でスーパーユーザー アクセス権を取得します。

一致しない

クライアントは、-anon パラメーターに指定されたユーザーIDの匿名ユーザーとしてアクセスし、そのユーザーに割り当てられたアクセス権を取得します。読み取り専用パラメーターまたは読み取り / 書き込みパラメーターで none オプションが指定されているかは関係ありません。

-superuser パラメーターが none に設定されている場合にクライアントがNTFSセキュリティ形式のボリュームにアクセスするためにユーザーID 0を提示すると、ONTAPは匿名ユーザー用のネーム マッピングを使用して適切なクレデンシャルを取得します。

エクスポート ポリシーに、次のパラメーターが指定されたエクスポート ルールが含まれています。

  • -protocol nfs3

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule krb5,ntlm

  • -anon 127

クライアント#1は、IPアドレスが10.1.16.207、ユーザーIDが746で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されました。

クライアント#2は、IPアドレスが10.1.16.211、ユーザーIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されました。

両方のクライアントで、クライアント アクセス プロトコルとIPアドレスは一致しています。読み取り専用パラメーターは、認証に使用されているセキュリティ タイプに関係なく、すべてのクライアントに読み取り専用アクセスを許可します。ただし、読み取り / 書き込みアクセスが許可されるのは、承認されたセキュリティ タイプKerberos v5を使用して認証しているクライアント#1だけです。

クライアント#2は、スーパーユーザー アクセス権を取得できません。 -superuser パラメーターが指定されていないため、代わりに匿名にマッピングされます。つまり、デフォルトで none が設定され、ユーザーID 0は自動的に匿名にマッピングされます。また、クライアント#2はセキュリティ タイプが読み取り / 書き込みパラメーターと一致しなかったため、読み取り専用アクセス権のみを取得します。

エクスポート ポリシーに、次のパラメーターが指定されたエクスポート ルールが含まれています。

  • -protocol nfs3

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule krb5,ntlm

  • -superuser krb5

  • -anon 0

クライアント#1は、IPアドレスが10.1.16.207、ユーザーIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されました。

クライアント#2は、IPアドレスが10.1.16.211、ユーザーIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されました。

両方のクライアントで、クライアント アクセス プロトコルとIPアドレスは一致しています。読み取り専用パラメーターは、認証に使用されているセキュリティ タイプに関係なく、すべてのクライアントに読み取り専用アクセスを許可します。ただし、読み取り / 書き込みアクセスが許可されるのは、承認されたセキュリティ タイプKerberos v5を使用して認証しているクライアント#1だけです。クライアント#2は読み取り / 書き込みアクセス権を取得できません。

このエクスポート ルールでは、ユーザーIDが0のクライアントにスーパーユーザー アクセスが許可されています。クライアント#1は、ユーザーIDが一致し、読み取り専用パラメーターと -superuser パラメーターのセキュリティ タイプにも一致するため、スーパーユーザー アクセス権を取得します。クライアント#2は、セキュリティ タイプが読み取り / 書き込みパラメーターとも -superuser パラメーターとも一致しないため、読み取り / 書き込みアクセス権もスーパーユーザー アクセス権も取得できません。代わりに、クライアント#2は匿名ユーザー(この場合はユーザーIDが0)にマッピングされます。

Top of Page