エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

SMBアクセスでのエクスポート ポリシーの使用方法

SMBサーバーでSMBアクセスに関するエクスポート ポリシーが有効になっている場合は、SMBクライアントによるSVMボリュームへのアクセスを制御するときにエクスポート ポリシーが使用されます。データにアクセスするには、SMBアクセスを許可するエクスポート ポリシーを作成し、SMB共有を含むボリュームにそのポリシーを関連付けます。

エクスポート ポリシーには1つ以上のルールが適用されており、このルールで、データへのアクセスを許可されるクライアントや、読み取り専用アクセスと読み取り / 書き込みアクセスでサポートされる認証プロトコルを指定します。エクスポート ポリシーは、SMB経由のアクセスをすべてのクライアントに許可するか、特定のサブネットのクライアントに許可するか、特定のクライアントに許可するように設定できます。また、データへの読み取り専用アクセスと読み取り / 書き込みアクセスを決定するときに、Kerberos認証を許可するか、NTLM認証を許可するか、KerberosとNTLMの両方の認証を許可するように設定できます。

ONTAPは、エクスポート ポリシーに適用されたすべてのエクスポート ルールを処理したあと、クライアントにアクセスを許可するか、および許可するアクセスのレベルを決定します。エクスポート ルールは、Windowsのユーザーおよびグループではなくクライアント マシンに適用されます。エクスポート ルールは、Windowsのユーザーおよびグループベースの認証と許可に代わるものではありません。共有とファイルのアクセス権限に加えて、エクスポート ルールはもう1つのアクセス セキュリティ レイヤーを提供します。

ボリュームへのクライアント アクセスを設定するには、ボリュームごとにエクスポート ポリシーを1つ関連付けます。各SVMには複数のエクスポート ポリシーを割り当てることができます。これにより、複数のボリュームを備えたSVMに対して次の操作を実行できます。

  • SVMのボリュームごとに異なるエクスポート ポリシーを割り当て、SVMの各ボリュームへのクライアント アクセスを個別に制御する。

  • SVMの複数のボリュームに同じエクスポート ポリシーを割り当て、同一のクライアント アクセス制御を実行する。ボリュームごとに新しいエクスポート ポリシーを作成する必要はありません。

各SVMには、「default」と呼ばれるエクスポート ポリシーが必ず割り当てられます。このポリシーにはルールはありません。このエクスポート ポリシーは削除できませんが、名前や内容は変更できます。デフォルトでは、SVM上の各ボリュームはデフォルトのエクスポート ポリシーに関連付けられています。SVMでSMBアクセスのエクスポート ポリシーが無効になっている場合、「default」エクスポート ポリシーはSMBアクセスには影響しません。

NFSホストとSMBホストの両方にアクセスを提供するルールを設定し、そのルールをエクスポート ポリシーに関連付けることができます。このポリシーを、NFSホストとSMBホストの両方がアクセスする必要があるデータを含むボリュームに関連付けることができます。または、SMBクライアントのみがアクセスする必要があるボリュームがある場合は、SMBプロトコルを使用したアクセスのみを許可するルール、および読み取り専用アクセスと書き込みアクセスの認証にKerberosまたはNTLMのみ(あるいはその両方)を使用するルールを含むエクスポート ポリシーを設定できます。その後、このエクスポート ポリシーをSMBアクセスのみが必要なボリュームに関連付けます。

SMBに関するエクスポート ポリシーが有効になっている場合に、クライアントが適用可能なエクスポート ポリシーで許可されていないアクセス要求を行うと、権限拒否のメッセージが表示され、その要求は失敗します。クライアントがボリュームのエクスポート ポリシーのどのルールにも一致しない場合、アクセスは拒否されます。エクスポート ポリシーが空の場合は、すべてのアクセスが暗黙的に拒否されます。これは、共有とファイルの権限によってアクセスが許可されている場合にも当てはまります。つまり、SMB共有を含むボリュームで少なくとも以下を許可するようにエクスポート ポリシーを設定する必要があります。

  • すべてのクライアント、またはクライアントの適切なサブセットにアクセスを許可する

  • SMB経由のアクセスを許可する

  • Kerberos認証またはNTLM認証(あるいはその両方)を使用した適切な読み取り専用アクセスと書き込みアクセスを許可する

エクスポート ポリシーの設定と管理の詳細については、こちらを参照してください。

Top of Page