エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

NFSでのKerberos使用を設定するための要件

NFSでKerberosを使用するための設定をシステムで行う前に、ネットワークおよびストレージの環境のいくつかの項目について、適切に設定されていることを確認する必要があります。

環境を設定する手順は、クライアントで使用しているオペレーティング システム、ドメイン コントローラー、Kerberos、DNSなどのバージョンや種類によって異なります。このドキュメントでは、それらのすべてについては説明していません。詳細については、それぞれのコンポーネントの対応するドキュメントを参照してください。

次の項目について事前に設定しておく必要があります。

ネットワーク環境の要件

  • Kerberos

    KerberosをKey Distribution Center(KDC;キー配布センター)で設定しておく必要があります(たとえば、Windows Active DirectoryベースのKerberosまたはMIT Kerberos)。

    NFSサーバーでは、マシン プリンシパルの主要コンポーネントとしてnfsを使用する必要があります。

  • ディレクトリー サービス

    Active DirectoryやOpenLDAPなどのセキュアーなディレクトリー サービスを環境に導入し、SSL / TLS経由のLDAPを使用するように設定する必要があります。

  • NTP

    タイム サーバーでNTPを実行している必要があります。これは、時刻のずれによるKerberos認証の失敗を回避するために必要です。

  • ドメイン名解決(DNS)

    それぞれのUNIXクライアントおよびSVM LIFについて、KDCの前方参照ゾーンと逆引き参照ゾーンに適切なサービスレコード(SRV)が登録されている必要があります。すべてのコンポーネントは、DNSで正しく解決できる必要があります。

  • ユーザー アカウント

    各クライアントについて、Kerberos Realmのユーザー アカウントが必要です。NFSサーバーでは、マシン プリンシパルの主要コンポーネントとして「nfs」を使用する必要があります。

NFSクライアントの要件

  • NFS

    NFSv3またはNFSv4を使用してネットワーク経由で通信するように各クライアントが適切に設定されている必要があります。

    クライアントでRFC1964およびRFC2203がサポートされている必要があります。

  • Kerberos

    Kerberos認証を使用するように各クライアントが適切に設定されている必要があります。詳細は次のとおりです。

    • TGS通信に対する暗号化を有効にします。

      非常にセキュリティ性の高いAES-256です。

    • TGT通信に対する最も安全な暗号化タイプを有効にします。

    • Kerberos Realmとドメインを正しく設定します。

    • GSSを有効にします。

      マシンのクレデンシャルを使用する場合:

    • gssdを実行する際に-nパラメーターを指定しないでください。

    • kinitをrootユーザーとして実行しないでください。

  • 各クライアントは、最新かつ更新済みバージョンのオペレーティング システムを使用している必要があります。

    これにより、KerberosでのAES暗号化の互換性と信頼性が最大限確保されます。

  • DNS

    DNSを使用して名前が正しく解決されるように各クライアントが適切に設定されている必要があります。

  • NTP

    各クライアントがNTPサーバーと同期されている必要があります。

  • ホストとドメインの情報

    各クライアントの/etc/hostsファイルと/etc/resolv.confファイルに、正しいホスト名とDNSの情報が格納されている必要があります。

  • keytabファイル

    各クライアントについて、KDCのkeytabファイルが必要です。Realmは大文字で指定する必要があります。最高レベルのセキュリティを得るために、暗号化タイプをAES-256にする必要があります。

  • オプション:パフォーマンスを最大化するには、ローカル エリア ネットワークとの通信用とストレージ ネットワークとの通信用に1つずつ、少なくとも2つのネットワーク インターフェイスを設定します。

ストレージ システムの要件

  • NFSライセンス

    ストレージ システムに有効なNFSライセンスがインストールされている必要があります。

  • CIFSライセンス

    CIFSライセンスはオプションです。マルチプロトコルのネームマッピングを使用する環境で、Windowsクレデンシャルのチェックを行う場合にのみ必要になります。純粋なUNIXのみの環境では必要ありません。

  • SVM

    システムでSVMを少なくとも1つ設定しておく必要があります。

  • SVMでのDNS

    各SVMでDNSを設定しておく必要があります。

  • NFSサーバー

    SVMでNFSを設定しておく必要があります。

  • AES暗号化

    最高レベルのセキュリティを得るために、KerberosでAES-256暗号化のみを許可するようにNFSサーバーを設定する必要があります。

  • SMBサーバー

    マルチプロトコル環境の場合は、SVMでSMBを設定しておく必要があります。SMBサーバーはマルチプロトコルのネーム マッピングに必要です。

  • ボリューム数

    SVMで使用するルート ボリュームと少なくとも1つのデータ ボリュームを設定しておく必要があります。

  • ルート ボリューム

    SVMのルート ボリュームを次のように設定しておく必要があります。

    項目 設定

    セキュリティ形式

    UNIX

    UID

    rootまたはID 0

    GID

    rootまたはID 0

    UNIX権限

    777

    ルート ボリュームとは異なり、データ ボリュームのセキュリティ形式は任意に設定してかまいません。

  • UNIXグループ

    SVMで次のUNIXグループを設定しておく必要があります。

    グループ名 グループID

    daemon

    1

    root

    0

    pcuser

    65534(SVMを作成すると自動的に作成されます)

  • UNIXユーザー

    SVMで次のUNIXユーザーを設定しておく必要があります。

    ユーザー名 ユーザーID プライマリー グループID コメント

    nfs

    500

    0

    GSSの初期化時に必要。

    NFSクライアント ユーザーのSPNの最初のコンポーネントがユーザーとして使用されます。

    pcuser

    65534

    65534

    NFSとCIFSのマルチプロトコルで必要。

    SVMの作成時に自動的に作成されてpcuserグループに追加されます。

    root

    0

    0

    マウントに必要。

    NFSクライアント ユーザーのSPNに対するKerberos-UNIXネーム マッピングがある場合は、nfsユーザーは必要ありません。

  • エクスポート ポリシーとエクスポート ルール

    ルート ボリュームとデータ ボリュームおよびqtreeに対するエクスポート ポリシーと必要なエクスポート ルールを設定しておく必要があります。SVMのすべてのボリュームがKerberos経由でアクセスされる場合は、ルート ボリュームに対するエクスポート ルール オプション-rorule-rwrule、および-superuserを、krb5krb5i、またはkrb5pに設定できます。

  • Kerberos-UNIXネーム マッピング

    NFSクライアント ユーザーのSPNによって識別されたユーザーにroot権限を持たせる場合は、rootに対するネーム マッピングを作成する必要があります。

関連情報

システム管理

Top of Page