エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9

to English version

NFSでのKerberos使用によるセキュリティ強化 - 概要

Kerberosを使用して強力な認証が実装されている環境では、Kerberos管理者と協力して要件および適切なストレージ システム構成を決定したうえで、SVMをKerberosクライアントとして有効にする必要があります。

次のガイドラインに従う必要があります。

  • ONTAPでKerberosを設定するには、Kerberosのサーバーとクライアントの設定に適したベストプラクティスに従ってサイトが導入されている必要があります。

  • Kerberos認証を必須とする場合は、可能であればNFSv4以降を使用します。

    NFSv3でもKerberosを使用できますが、Kerberosの高度なセキュリティ機能をフルに活用するには、ONTAPをNFSv4以降に導入する必要があります。

  • サーバー アクセスの冗長化を促すため、同じSPNを使ってクラスタ内の複数のノードのデータLIFでKerberosを有効にする必要があります。

  • KerberosをSVMで有効にする場合は、NFSクライアントの設定によって、次のセキュリティ方式のいずれかをボリュームまたはqtreeのエクスポート ルールに指定する必要があります。

    • krb5 (Kerberos v5プロトコル)

    • krb5i (Kerberos v5プロトコルにチェックサムによる整合性チェックを加えたバージョン)

    • krb5p (Kerberos v5プロトコルにプライバシー サービスを加えたバージョン)

Kerberosのサーバーとクライアントのほかに、次の外部サービスをKerberosを使用するONTAP向けに設定する必要があります。

  • ディレクトリー サービス

    Active DirectoryやOpenLDAPなど、セキュアーなディレクトリー サービスを環境に導入し、SSL / TLS経由のLDAPの使用を設定する必要があります。NISを使用すると、要求がクリア テキストで送信されセキュアーではないため、このプロトコルは使用しないでください。

  • NTP

    タイム サーバーでNTPを実行している必要があります。これは、時刻のずれによるKerberos認証の失敗を回避するために必要です。

  • ドメイン名解決(DNS)

    それぞれのUNIXクライアントおよびSVM LIFについて、KDCの前方参照ゾーンと逆引き参照ゾーンに適切なサービスレコード(SRV)が登録されている必要があります。すべてのコンポーネントは、DNSで正しく解決できる必要があります。

Top of Page