エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

SVMディザスタ リカバリー デスティネーションでローカル ユーザーまたはグループを使用するファイルとディレクトリーのポリシーを適用する際のガイドライン

ファイルとディレクトリーのポリシー設定がセキュリティ記述子、DACL、SACLエントリのいずれかでローカル ユーザーまたはグループを使用する場合、ID破棄設定のStorage Virtual Machine(SVM)ディザスタ リカバリー デスティネーションでファイルとディレクトリーのポリシーを適用する前に注意すべきいくつかのガイドラインがあります。

ソース クラスタのソースSVMが、ソースSVMからデスティネーション クラスタのデスティネーションSVMにデータと設定をレプリケーションするSVMディザスタ リカバリー構成を設定できます。

SVMディザスタ リカバリーの2つのタイプのうち1つを設定できます。

  • ID維持

    この設定では、SVMとCIFSサーバーのIDが維持されます。

  • ID破棄

    この設定では、SVMとCIFSサーバーのIDが維持されません。このシナリオでは、デスティネーションSVMのSVMとCIFSサーバーの名前は、ソースSVMのSVMとCIFSサーバーの名前と異なります。

ID破棄設定についてのガイドライン

ID破棄設定では、ローカル ユーザー、グループ、権限設定、ローカル ドメインの名前(ローカルCIFSサーバー名)を含むSVMソースをSVMデスティネーションのCIFSサーバー名に一致するように変更する必要があります。たとえば、ソースSVM名が「vs1」でCIFSサーバー名が「CIFS1」、デスティネーションSVM名が「vs1_dst」でCIFSサーバー名が「CIFS1_DST」の場合、「CIFS1\user1」という名前のローカル ユーザーのローカル ドメイン名は、デスティネーションSVMで自動的に「CIFS1_DST\user1」に変更されます。

cluster1::> vserver cifs users-and-groups local-user show -vserver vs1_dst

Vserver      User Name                Full Name      Description
------------ ------------------------ -------------- -------------
vs1          CIFS1\Administrator                     Built-in administrator account
vs1          CIFS1\user1              -              -

cluster1dst::> vserver cifs users-and-groups local-user show -vserver vs1_dst

Vserver      User Name                Full Name      Description
------------ ------------------------ -------------- -------------
vs1_dst      CIFS1_DST\Administrator                 Built-in administrator account
vs1_dst      CIFS1_DST\user1          -              -

ローカル ユーザーおよびグループ データベースでローカル ユーザーおよびグループ名が自動的に変更されても、ファイルとディレクトリーのポリシー設定(vserver security file-directory コマンド ファミリーを使用してCLIで設定するポリシー)のローカル ユーザーまたはグループ名は自動的に変更されません。

たとえば、「vs1」で -account パラメーターが「CIFS1\user1」に設定されたDACLエントリを設定している場合、デスティネーションSVMでこの設定がデスティネーションCIFSサーバー名を反映して自動的に変更されることはありません。

cluster1::> vserver security file-directory ntfs dacl show -vserver vs1

Vserver: vs1
  NTFS Security Descriptor Name: sd1

    Account Name     Access   Access             Apply To
                     Type     Rights
    --------------   -------  -------            -----------
    CIFS1\user1      allow    full-control      this-folder

cluster1::> vserver security file-directory ntfs dacl show -vserver vs1_dst

Vserver: vs1_dst
  NTFS Security Descriptor Name: sd1

    Account Name     Access   Access             Apply To
                     Type     Rights
    --------------   -------  -------            -----------
    **CIFS1**\user1          allow    full-control      this-folder

手動で vserver security file-directory modify コマンドを使用して、CIFSサーバー名をデスティネーションCIFSサーバー名に変更する必要があります。

アカウント パラメーターを含むファイルとディレクトリーのポリシー設定コンポーネント

ローカル ユーザーまたはグループを含むパラメーター設定を使用できるファイルとディレクトリーのポリシー設定コンポーネントは3つあります。

  • セキュリティ記述子

    オプションで、セキュリティ記述子の所有者とセキュリティ記述子の所有者のプライマリー グループを指定できます。セキュリティ記述子で所有者とプライマリー グループのエントリにローカル ユーザーまたはグループを使用する場合、デスティネーションSVMにアカウント名を使用するようにセキュリティ記述子を変更する必要があります。アカウント名への変更が必要な場合は、vserver security file-directory ntfs modify コマンドを使用します。

  • DACLエントリ

    各DACLエントリは、アカウントと関連付ける必要があります。ローカル ユーザーまたはグループ アカウントを使用するDACLは、すべてデスティネーションSVM名を使用するように変更する必要があります。既存のDACLエントリのアカウント名は変更できないため、ローカル ユーザーまたはグループが設定されたすべてのDACLエントリをセキュリティ記述子から削除し、訂正したデスティネーション アカウント名を設定した新しいDACLエントリを作成し、その新しいDACLエントリを適切なセキュリティ記述子と関連付ける必要があります。

  • SACLエントリ

    各SACLエントリは、アカウントと関連付ける必要があります。ローカル ユーザーまたはグループ アカウントを使用するSACLは、すべてデスティネーションSVM名を使用するように変更する必要があります。既存のSACLエントリのアカウント名は変更できないため、ローカル ユーザーまたはグループが設定されたすべてのSACLエントリをセキュリティ記述子から削除し、訂正したデスティネーション アカウント名を設定した新しいSACLエントリを作成し、その新しいSACLエントリを適切なセキュリティ記述子と関連付ける必要があります。

ポリシーを適用する前に、ファイルとディレクトリーのポリシー設定で使用されているローカル ユーザーまたはグループに必要な変更を行う必要があります。そうでない場合、適用ジョブは失敗します。

Top of Page