エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

受信SMBトラフィックのSMB署名要求の有効化と無効化

SMBメッセージへのクライアントによる署名を強制するには、SMB署名要求を有効にします。有効にすると、ONTAPは有効な署名のあるSMBメッセージのみを受け入れます。SMB署名を許可するが要求しない場合は、SMB署名要求を無効にできます。

タスク概要

デフォルトでは、SMB署名要求は無効になっています。SMB署名要求は随時有効または無効にできます。

次の状況では、SMB署名はデフォルトで無効になりません。

  1. SMB署名要求が有効になっており、クラスタがSMB署名をサポートしていないバージョンのONTAPにリバートされた。

  2. その後、クラスタがSMB署名をサポートするバージョンのONTAPにアップグレードされた。

    このような場合は、サポートされているバージョンのONTAPで最初に行われたSMB署名の設定が、リバートとその後のアップグレードを通して維持されます。

Storage Virtual Machine(SVM)ディザスタ リカバリー関係をセットアップするときに、snapmirror createコマンドの-identity-preserveオプションに指定する値によって、デスティネーションSVMでレプリケートされる設定の詳細が決まります。

-identity-preserveオプションをtrue(ID保持)に設定すると、SMB署名のセキュリティ設定がデスティネーションにレプリケートされます。

-identity-preserveオプションをfalse(非ID保持)に設定すると、SMB署名のセキュリティ設定はデスティネーションにレプリケートされません。この場合、デスティネーションではCIFSサーバーのセキュリティ設定がデフォルト値に設定されます。ソースSVMでSMB署名要求を有効にしている場合は、デスティネーションSVMでSMB署名要求を手動で有効にする必要があります。

手順
  1. 次のいずれかを実行します。

    SMB署名要求の設定 入力するコマンド

    有効にする

    vserver cifs security modify -vserver vserver_name -is-signing-required true

    無効にする

    vserver cifs security modify -vserver vserver_name -is-signing-required false

  2. 次のコマンドの出力で、Is Signing Requiredフィールドの値が目的の値に設定されているかを判断して、SMB署名要求が有効または無効になっていることを確認します。

    vserver cifs security show -vserver vserver_name -fields is-signing-required

次の例は、SVM vs1でSMB署名要求を有効にします。

cluster1::> vserver cifs security modify -vserver vs1 -is-signing-required true

cluster1::> vserver cifs security show -vserver vs1 -fields is-signing-required
vserver  is-signing-required
-------- -------------------
vs1      true

暗号化設定の変更点は、新しい接続に対して有効になります。既存の接続は影響を受けません。

Top of Page