エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

セキュリティ タイプによるクライアント アクセス レベルの決定方法

クライアントの認証に使用されるセキュリティ タイプは、エクスポート ルールで特別な役割を果たします。クライアントがボリュームまたはqtreeにアクセスする際のレベルがセキュリティ タイプによってどのように決定されるかについて理解しておく必要があります。

有効なアクセス レベルには、次の3つがあります。

  1. 読み取り専用

  2. 読み取り / 書き込み

  3. スーパーユーザー(ユーザーIDが0のクライアントの場合)

セキュリティ タイプに基づくアクセス レベルはこの順序で評価されるため、エクスポート ルールでアクセス レベル パラメーターを作成するときは、次のルールに従う必要があります。

クライアントに必要なアクセス レベル クライアントのセキュリティ タイプと⼀致する必要があるアクセス パラメーター

標準ユーザーの読み取り専用

読み取り専用(-rorule

標準ユーザーの読み取り / 書き込み

読み取り専用(-rorule)および読み取り / 書き込み(-rwrule

スーパーユーザーの読み取り専用

読み取り専用(-rorule)および -superuser

スーパーユーザーの読み取り / 書き込み

読み取り専用(-rorule)、読み取り / 書き込み(-rwrule)、および -superuser

次に、3つそれぞれのアクセス パラメーターで有効なセキュリティ タイプを示します。

  • any

  • none

  • never

    このセキュリティ タイプは、-superuser パラメーターには使用できません。

  • krb5

  • krb5i

  • krb5p

  • ntlm

  • sys

クライアントのセキュリティ タイプを3つそれぞれのアクセス パラメーターと照合したときの結果としては、次の3つが想定されます。

クライアントのセキュリティ タイプ 結果

アクセス パラメーターで指定されたタイプと一致する。

クライアントは、自身のユーザーIDでそのレベルのアクセス権を取得します。

指定されたタイプと一致しないが、アクセス パラメーターに none オプションが指定されている。

クライアントは、-anon パラメーターで指定されているユーザーIDの匿名ユーザーとして、そのレベルのアクセス権を取得します。

指定されたタイプと一致せず、アクセス パラメーターに none オプションが指定されていない。

そのレベルのアクセス権を取得しません。ただし -superuser パラメーターには指定されていなくても常に none が含まれるため、例外です。

エクスポート ポリシーに、次のパラメーターが指定されたエクスポート ルールが含まれています。

  • -protocol nfs3

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule sys,krb5

  • -superuser krb5

クライアント#1は、IPアドレスが10.1.16.207、ユーザーIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されました。

クライアント#2は、IPアドレスが10.1.16.211、ユーザーIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されました。

クライアント#3は、IPアドレスが10.1.16.234、ユーザーIDが0で、NFSv3プロトコルを使用してアクセス要求を送信し、認証されませんでした(AUTH_NONE)。

3つすべてのクライアントで、クライアント アクセス プロトコルとIPアドレスは一致しています。読み取り専用パラメーターでは、セキュリティ タイプに関係なく、すべてのクライアントに読み取り専用アクセスが許可されています。読み取り / 書き込みパラメーターではAUTH_SYSまたはKerberos v5で認証された自身のユーザーIDのクライアントに、読み取り / 書き込みアクセスが許可されています。スーパーユーザー パラメーターでは、Kerberos v5で認証されたユーザーIDが0のクライアントに、スーパーユーザー アクセスが許可されています。

したがって、クライアント#1は、3つすべてのアクセス パラメーターに一致するため、スーパーユーザーの読み取り / 書き込みアクセス権を取得します。クライアント#2は、読み取り / 書き込みアクセス権を取得しますが、スーパーユーザー アクセス権は取得できません。クライアント#3は、読み取り専用アクセス権を取得しますが、スーパーユーザー アクセス権は取得できません。

Top of Page