エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

エクスポート ポリシーへのルールの追加

エクスポート ポリシーにルールが含まれていないと、クライアントはデータにアクセスできません。新しいエクスポート ルールを作成するには、クライアントを特定してクライアント照合形式を選択し、アクセスとセキュリティのタイプを選択し、匿名ユーザーIDマッピングを指定し、ルール インデックス番号を選択して、アクセス プロトコルを選択する必要があります。その後、vserver export-policy rule createコマンドを使用して新しいルールをエクスポート ポリシーに追加できます。

要件
  • エクスポート ルールを追加するエクスポート ポリシーを用意しておく必要があります。

  • データSVMでDNSが正しく設定されている必要があり、DNSサーバーにNFSクライアント用の正しいエントリが存在する必要があります。

    その理由は、特定のクライアント照合形式でONTAPがデータSVMのDNS設定を使用してDNSルックアップを実行することと、エクスポート ポリシー ルールの照合が失敗するとクライアントがデータにアクセスできなくなる可能性があることです。

  • Kerberosで認証する場合は、NFSクライアントで次のうちどのセキュリティ方式が使用されているかを特定しておく必要があります。

    • krb5(Kerberos V5プロトコル)

    • krb5i(Kerberos V5プロトコルにチェックサムによる整合性チェックを加えたバージョン)

    • krb5p(Kerberos V5プロトコルにプライバシー サービスを加えたバージョン)

タスク概要

エクスポート ポリシーの既存のルールがクライアント照合とアクセスの要件を満たしている場合は、新しいルールを作成する必要はありません。

Kerberosでの認証では、SVMのすべてのボリュームがKerberos経由でアクセスされる場合は、ルート ボリュームに対するエクスポート ルールのオプション-rorule-rwrule、および-superuserを、krb5krb5i、またはkrb5pに設定できます。

手順
  1. クライアント、および新しいルールのクライアント照合形式を特定します。

    -clientmatchオプション:ルールを適用するクライアントを指定します。クライアント照合の値は1つまたは複数指定できます。複数の値を指定する場合はカンマで区切る必要があります。次のいずれかの形式で指定できます。

    クライアント照合形式

    「.」で始まるドメイン名

    .example.comまたは.example.com,.example.net,...

    ホスト名

    host1またはhost1,host2, ...

    IPv4アドレス

    10.1.12.24または10.1.12.24,10.1.12.25, ...

    サブネット マスクをビット数で表したIPv4アドレス

    10.1.12.10/4または10.1.12.10/4,10.1.12.11/4,...

    IPv4アドレスとネットワーク マスク

    10.1.16.0/255.255.255.0または10.1.16.0/255.255.255.0,10.1.17.0/255.255.255.0,...

    ピリオド区切りの形式のIPv6アドレス

    ::1.2.3.4または::1.2.3.4,::1.2.3.5,...

    サブネット マスクをビット数で表したIPv6アドレス

    ff::00/32またはff::00/32,ff::01/32,...

    @で始まる単一のネットグループ名

    @netgroup1または@netgroup1,@netgroup2,...

    複数の形式を組み合わせて指定することもできます(.example.com,@netgroup1など)。

    IPアドレスを指定するときには、次の点に注意してください。

    • 10.1.12.10-10.1.12.70のように、IPアドレスの範囲を入力することはできません。

      この形式のエントリはテキスト文字列と解釈され、ホスト名として扱われます。

    • クライアント アクセスのきめ細かな管理のためにエクスポート ルールで個々のIPアドレスを指定する際には、動的(DHCPなど)または一時的(IPv6など)に割り当てられているIPアドレスを指定しないでください。

      そうしない場合は、IPアドレスが変更されるとクライアントはアクセス権を失います。

    • ff::12/ff::00のように、IPv6アドレスとネットワーク マスクを入力することはできません。

  2. クライアント照合のアクセス タイプとセキュリティ タイプを選択します。

    指定されたセキュリティ タイプで認証するクライアントに対して次のアクセス モードを1つ以上指定できます。

    • -rorule(読み取り専用アクセス)

    • -rwrule(読み取り / 書き込みアクセス)

    • -superuser(ルート アクセス)

      特定のセキュリティ タイプに対する読み取り / 書き込みアクセスは、エクスポート ルールでそのセキュリティ タイプに対する読み取り専用アクセスも許可した場合にのみ許可されます。読み取り専用パラメーターで読み取り / 書き込みパラメーターよりも限定的なセキュリティ タイプを指定した場合、クライアントに対して読み取り / 書き込みアクセスが許可されない可能性があります。スーパーユーザーのアクセスの場合も同じです。

      1つのルールに対して複数のセキュリティ タイプをカンマで区切って指定できます。セキュリティ タイプとしてanyまたはneverを指定する場合、他のセキュリティ タイプは指定しないでください。指定できる有効なセキュリティ タイプは次のとおりです。

      セキュリティ タイプ 一致するクライアントからエクスポートされたデータへのアクセス

      any

      受信セキュリティ タイプに関係なく、常にアクセス可能です。

      none

      単独で指定した場合、どのセキュリティ タイプのクライアントにも匿名アクセスが許可されます。他のセキュリティ タイプと一緒に指定した場合、指定したセキュリティ タイプのクライアントにアクセスが許可され、それ以外のセキュリティ タイプのクライアントには匿名アクセスが許可されます。

      never

      受信セキュリティ タイプに関係なく、アクセス不可です。

      krb5

      Kerberos 5によって認証されます。 認証のみ:各要求および応答のヘッダーが署名されます。

      krb5i

      Kerberos 5iによって認証されます。 認証および整合性:各要求および応答のヘッダーと本文が署名されます。

      krb5p

      Kerberos 5pによって認証されます。 認証、整合性、およびプライバシー:各要求および応答のヘッダーと本文が署名され、NFSデータ ペイロードが暗号化されます。

      ntlm

      CIFS NTLMによって認証されます。

      sys

      NFS AUTH_SYSによって認証されます。

      推奨されるセキュリティ タイプはsysです。Kerberosを使用する場合は、krb5krb5i、またはkrb5pです。

    NFSv3でKerberosを使用している場合、エクスポート ポリシー ルールでは、krb5に加えてsysに対しても、-roruleアクセスおよび-rwruleアクセスを許可する必要があります。これはNetwork Lock Manager(NLM)にエクスポートへのアクセスを許可する必要があるためです。

  3. 匿名ユーザーIDマッピングを指定します。

    -anonオプション:ユーザーIDが0(ゼロ)で到着するクライアント要求にマップされるUNIXユーザーIDまたはユーザー名を指定します。このユーザーIDは通常、ユーザー名rootと関連付けられています。デフォルト値は65534です。NFSクライアントは通常、ユーザーID 65534をユーザー名nobodyと関連付けます(ルートの引き下げ)。ONTAPでは、このユーザーIDがpcuserというユーザーに関連付けられています。ユーザーIDが0のクライアントからのアクセスをすべて無効にするには、値65535を指定します。

  4. ルール インデックスの順序を選択します。

    -ruleindexオプション:ルールのインデックス番号を指定します。ルールは、インデックス番号のリストの順序に従って、インデックス番号が小さいものから順番に評価されます。たとえば、インデックス番号が1のルールは、インデックス番号が2のルールよりも先に評価されます。

    追加対象と追加先 操作

    最初のルールをエクスポート ポリシーへ

    1」と入力します。

    追加のルールをエクスポート ポリシーへ

    1. ポリシーの既存のルールを表示します。
      vserver export-policy rule show -instance -policyname your_policy

    2. 評価する順序に応じて、新しいルールのインデックス番号を選択します。

  5. 該当するNFSアクセス値を選択します。{nfs|nfs3|nfs4}.

    nfsはすべてのバージョンに⼀致し、nfs3およびnfs4は該当するバージョンにのみ⼀致します。

  6. エクスポート ルールを作成して既存のエクスポート ポリシーに追加します。

    vserver export-policy rule create -vserver vserver_name -policyname policy_name -ruleindex integer -protocol {nfs|nfs3|nfs4} -clientmatch { text | "text,text,…​" } -rorule security_type -rwrule security_type -superuser security_type -anon user_ID

  7. エクスポート ポリシーのルールを表示して、新しいルールが存在することを確認します。

    vserver export-policy rule show -policyname policy_name

    このコマンドにより、エクスポート ポリシーに適用されるルールの一覧を含む、エクスポート ポリシーの概要が表示されます。ONTAPでは、各ルールにルール インデックス番号が割り当てられます。ルール インデックス番号を確認したあと、その番号を使用して、指定したエクスポート ルールの詳細情報を表示できます。

  8. エクスポート ポリシーに適用されたルールが正しく設定されていることを確認します。

    vserver export-policy rule show -policyname policy_name -vserver vserver_name -ruleindex integer

次のコマンドは、rs1というエクスポート ポリシーで、vs1という名前のSVM上のエクスポート ルールを作成し、作成を確認します。このルールのインデックス番号は1です。このルールは、ドメインeng.company.comおよびネットグループ@netgroup1内のどのクライアントとも一致します。すべてのNFSアクセスを有効にしています。AUTH_SYSで認証されたユーザーに対する読み取り / 書き込みアクセスを有効にしています。UNIXユーザーIDが0(ゼロ)のクライアントは、Kerberos以外で認証すると匿名化されます。

vs1::> vserver export-policy rule create -vserver vs1 -policyname exp1 -ruleindex 1 -protocol nfs
-clientmatch .eng.company.com,@netgoup1 -rorule sys -rwrule sys -anon 65534 -superuser krb5

vs1::> vserver export-policy rule show -policyname nfs_policy
Virtual      Policy         Rule    Access    Client           RO
Server       Name           Index   Protocol  Match            Rule
------------ -------------- ------  --------  ---------------- ------
vs1          exp1           1       nfs       eng.company.com, sys
                                              @netgroup1

vs1::> vserver export-policy rule show -policyname exp1 -vserver vs1 -ruleindex 1

                                    Vserver: vs1
                                Policy Name: exp1
                                 Rule Index: 1
                            Access Protocol: nfs
Client Match Hostname, IP Address, Netgroup, or Domain: eng.company.com,@netgroup1
                             RO Access Rule: sys
                             RW Access Rule: sys
User ID To Which Anonymous Users Are Mapped: 65534
                   Superuser Security Types: krb5
               Honor SetUID Bits in SETATTR: true
                  Allow Creation of Devices: true

次のコマンドは、expol2というエクスポート ポリシーで、vs2という名前のSVM上のエクスポート ルールを作成し、作成を確認します。このルールのインデックス番号は21です。このルールは、クライアントをネットグループdev_netgroup_mainのメンバーと照合します。すべてのNFSアクセスを有効にしています。AUTH_SYSによって認証されたユーザーの読み取り専用アクセスを有効にし、読み取り / 書き込みおよびルート アクセスについてはKerberos認証を要求します。UNIXユーザーIDが0(ゼロ)のクライアントは、Kerberos以外で認証するとルート アクセスを拒否されます。

vs2::> vserver export-policy rule create -vserver vs2 -policyname expol2 -ruleindex 21 -protocol nfs
-clientmatch @dev_netgroup_main -rorule sys -rwrule krb5 -anon 65535 -superuser krb5

vs2::> vserver export-policy rule show -policyname nfs_policy
Virtual  Policy       Rule    Access    Client              RO
Server   Name         Index   Protocol  Match               Rule
-------- ------------ ------  --------  ------------------  ------
vs2      expol2       21       nfs      @dev_netgroup_main  sys

vs2::> vserver export-policy rule show -policyname expol2 -vserver vs1 -ruleindex 21

                                    Vserver: vs2
                                Policy Name: expol2
                                 Rule Index: 21
                            Access Protocol: nfs
Client Match Hostname, IP Address, Netgroup, or Domain:
                                             @dev_netgroup_main
                             RO Access Rule: sys
                             RW Access Rule: krb5
User ID To Which Anonymous Users Are Mapped: 65535
                   Superuser Security Types: krb5
               Honor SetUID Bits in SETATTR: true
                  Allow Creation of Devices: true
Top of Page