エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

ストレージ システムによるnullセッション アクセスの実現方法

nullセッション共有には認証が必要ないため、nullセッション アクセスが必要なクライアントはそのIPアドレスがストレージ システムにマッピングされている必要があります。

デフォルトでは、マッピングされていないnullセッション クライアントは、共有の列挙など一部のONTAPシステム サービスにはアクセスできますが、ストレージ システム データへのアクセスは制限されます。

ONTAPは、–restrict-anonymous オプションによってWindowsのレジストリー設定値RestrictAnonymousをサポートしています。これにより、マッピングされていないnullユーザーが表示またはアクセスできるシステム リソースの範囲を制御できます。たとえば、共有の一覧やIPC$共有(非表示の名前付きパイプ共有)へのアクセスを無効にできます。–restrict-anonymous オプションの詳細については、vserver cifs options modify および vserver cifs options show のマニュアル ページを参照してください。

別の設定がされていなければ、nullセッションでストレージ システム アクセスを要求するローカル処理を実行しているクライアントは、「everyone」などの制限のないグループのみのメンバーとなります。nullセッション アクセスを一部のストレージ システム リソースに制限するには、すべてのnullセッション クライアントが属するグループを作成します。このグループを作成すると、ストレージ システム アクセスを制限したり、nullセッション クライアントのみに適用されるストレージ システム リソース権限を設定したりすることができます。

ONTAPの vserver name-mapping コマンド セットでは、nullユーザー セッションを使用したストレージ システム リソースへのアクセスを許可するクライアントのIPアドレスを指定できます。nullユーザー用のグループを作成したら、nullセッションだけに適用されるストレージ システム リソースのアクセス制限およびリソース権限を指定できます。nullユーザーは匿名ログオンとみなされ、ホーム ディレクトリーにアクセスすることはできません。

マッピングされたIPアドレスからストレージ システムにアクセスするすべてのnullユーザーには、マッピングされたユーザー権限が付与されます。nullユーザーにマッピングされたストレージ システムへの不正なアクセスを防止するため、適切な予防措置を検討してください。最大限に保護するためには、ストレージ システムおよびnullユーザーによるストレージ システム アクセスが必要なすべてのクライアントを別のネットワークに配置し、IPアドレスの「なりすまし」を回避します。

Top of Page