エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

SMB経由のアクセスを制限または許可するエクスポート ポリシー ルールの例

以下の例は、SMBアクセスのエクスポート ポリシーが有効になっているSVMでSMB経由のアクセスを制限または許可するエクスポート ポリシー ルールを作成する方法を示しています。

SMBアクセスのエクスポート ポリシーは、デフォルトでは無効になっています。SMB経由のアクセスを制限または許可するエクスポート ポリシー ルールは、SMBアクセスのエクスポート ポリシーを有効にしている場合にのみ設定する必要があります。

SMBアクセスのみのエクスポート ルール

次のコマンドは、「vs1」という名前のSVMに、次の設定でエクスポート ルールを作成します。

  • ポリシー名:cifs1

  • インデックス番号:1

  • クライアント一致:192.168.1.0/24ネットワーク上のクライアントにのみ一致

  • プロトコル:SMBアクセスのみを有効化

  • 読み取り専用アクセス:NTLM認証またはKerberos認証を使用するクライアントに許可

  • 読み取り / 書き込みアクセス:Kerberos認証を使用するクライアントに許可

cluster1::> vserver export-policy rule create -vserver vs1 -policyname cifs1 ‑ruleindex 1 -protocol cifs -clientmatch 192.168.1.0/255.255.255.0 -rorule krb5,ntlm -rwrule krb5

SMBおよびNFSアクセスのエクスポート ルール

次のコマンドは、「vs1」という名前のSVMに、次の設定でエクスポート ルールを作成します。

  • ポリシー名:cifsnfs1

  • インデックス番号:2

  • クライアント一致:すべてのクライアントに一致

  • プロトコル:SMBアクセスとNFSアクセス

  • 読み取り専用アクセス:すべてのクライアントに許可

  • 読み取り / 書き込みアクセス:Kerberos認証(NFSおよびSMB)またはNTLM認証(SMB)を使用するクライアントに許可

  • UNIXユーザーID 0(ゼロ)のマッピング:ユーザーID 65534(通常ユーザー名nobodyにマップされる)にマッピング

  • suidとsgidのアクセス:許可

cluster1::> vserver export-policy rule create -vserver vs1 -policyname cifsnfs1 ‑ruleindex 2 -protocol cifs,nfs -clientmatch 0.0.0.0/0 -rorule any -rwrule krb5,ntlm -anon 65534 -allow-suid true

NTLMのみを使用するSMBアクセスのエクスポート ルール

次のコマンドは、「vs1」という名前のSVMに、次の設定でエクスポート ルールを作成します。

  • ポリシー名:ntlm1

  • インデックス番号:1

  • クライアント一致:すべてのクライアントに一致

  • プロトコル:SMBアクセスのみを有効化

  • 読み取り専用アクセス:NTLMを使用するクライアントにのみ許可

  • 読み取り / 書き込みアクセス:NTLMを使用するクライアントにのみ許可

NTLMのみを使用するアクセスに読み取り専用オプションまたは読み取り / 書き込みオプションを設定する場合は、クライアント一致オプションでIPアドレスベースのエントリを使用する必要があります。使用しない場合は、access denied エラーが表示されます。これは、ONTAPがホスト名を使用してクライアントの権限を確認するときに、Kerberosサービス プリンシパル名(SPN)を使用するためです。NTLM認証では、SPN名はサポートされません。

cluster1::> vserver export-policy rule create -vserver vs1 -policyname ntlm1 ‑ruleindex 1 -protocol cifs -clientmatch 0.0.0.0/0 -rorule ntlm -rwrule ntlm
Top of Page