ONTAP 9.13

エクスポート ポリシーには1つ以上のルールが適用されており、このルールで、データへのアクセスを許可されるクライアントや、読み取り専用アクセスと読み取り / 書き込みアクセスでサポートされる認証プロトコルを指定します。エクスポート ポリシーは、SMB経由のアクセスをすべてのクライアントに許可するか、特定のサブネットのクライアントに許可するか、特定のクライアントに許可するように設定できます。また、データへの読み取り専用アクセスと読み取り / 書き込みアクセスを決定するときに、Kerberos認証を許可するか、NTLM認証を許可するか、KerberosとNTLMの両方の認証を許可するように設定できます。

ONTAPは、エクスポート ポリシーに適用されたすべてのエクスポート ルールを処理したあと、クライアントにアクセスを許可するかどうか、および許可するアクセスのレベルを決定します。エクスポート ルールは、Windowsのユーザーおよびグループではなくクライアント マシンに適用されます。エクスポート ルールは、Windowsのユーザーおよびグループベースの認証と許可に代わるものではありません。共有とファイルのアクセス権限に加えて、エクスポート ルールはもう1つのアクセス セキュリティ レイヤーを提供します。

ボリュームへのクライアント アクセスを設定するには、ボリュームごとにエクスポート ポリシーを1つ関連付けます。各SVMには複数のエクスポート ポリシーを割り当てることができます。これにより、複数のボリュームを備えたSVMに対して次の操作を実行できます。

各SVMには、「default」と呼ばれるエクスポート ポリシーが必ず割り当てられます。このポリシーにはルールはありません。このエクスポート ポリシーは削除できませんが、名前や内容は変更できます。デフォルトでは、SVM上の各ボリュームはデフォルトのエクスポート ポリシーに関連付けられています。SVMでSMBアクセスのエクスポート ポリシーが無効になっている場合、「default」エクスポート ポリシーはSMBアクセスには影響しません。

NFSホストとSMBホストの両方にアクセスを提供するルールを設定し、そのルールをエクスポート ポリシーに関連付けることができます。このポリシーを、NFSホストとSMBホストの両方がアクセスする必要があるデータを含むボリュームに関連付けることができます。または、SMBクライアントのみがアクセスする必要があるボリュームがある場合は、SMBプロトコルを使用したアクセスのみを許可するルール、および読み取り専用アクセスと書き込みアクセスの認証にKerberosまたはNTLMのみ（あるいはその両方）を使用するルールを含むエクスポート ポリシーを設定できます。その後、このエクスポート ポリシーをSMBアクセスのみが必要なボリュームに関連付けます。

SMBに関するエクスポート ポリシーが有効になっている場合に、クライアントが適用可能なエクスポート ポリシーで許可されていないアクセス要求を行うと、権限拒否のメッセージが表示され、その要求は失敗します。クライアントがボリュームのエクスポート ポリシーのどのルールにも一致しない場合、アクセスは拒否されます。エクスポート ポリシーが空の場合は、すべてのアクセスが暗黙的に拒否されます。これは、共有とファイルの権限によってアクセスが許可されている場合にも当てはまります。つまり、SMB共有を含むボリュームで少なくとも以下を許可するようにエクスポート ポリシーを設定する必要があります。

エクスポート ポリシーの設定と管理の詳細については、こちらを参照してください。