エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

Kerberosによるクライアント アクセスの保護

Kerberosを有効にしてNASクライアントのストレージ アクセスを保護します。

この手順では、NFSまたはSMBが有効な既存のStorage VMにKerberosを設定します。

開始する前に、ストレージ システムでDNS、NTP、およびLDAPの設定を完了しておく必要があります。

Kerberosによるクライアント アクセスの保護のワークフロー
手順
  1. ONTAPコマンドラインで、Storage VMのルート ボリュームのUNIX権限を設定します。

    1. Storage VMのルート ボリュームの関連する権限を表示します。
      volume show -volume root_vol_name-fields user,group,unix-permissions

      Storage VMのルート ボリュームは次のように設定されている必要があります。

      項目 設定

      UID

      rootまたはID 0

      GID

      rootまたはID 0

      UNIX権限

      755

    2. これらの値が表示されていない場合は、volume modifyコマンドを使用して更新します。

  2. Storage VMのルート ボリュームのユーザー権限を設定します。

    1. ローカルUNIXユーザーを表示します。
      vserver services name-service unix-user show -vserver vserver_name

      Storage VMに次のUNIXユーザーが設定されている必要があります。

      ユーザー名 ユーザーID プライマリー グループID

      nfs

      500

      0

      root

      0

      0

      : NFSクライアント ユーザーのSPNに対するKerberos-UNIXネーム マッピングがある場合は、nfsユーザーは必要ありません。手順5を参照してください。

    2. これらの値が表示されていない場合は、vserver services name-service unix-user modifyコマンドを使用して更新します。

  3. Storage VMのルート ボリュームのグループ権限を設定します。

    1. ローカルUNIXグループを表示します。
      vserver services name-service unix-group show -vserver vserver_name

      Storage VMに次のUNIXグループが設定されている必要があります。

      グループ名 グループID

      daemon

      1

      root

      0

    2. これらの値が表示されていない場合は、vserver services name-service unix-group modifyコマンドを使用して更新します。

  4. ONTAP System Managerに切り替えて、Kerberosを設定します。

  5. ONTAP System Managerで、[ストレージ] > [Storage VM]をクリックし、Storage VMを選択します。

  6. [設定]をクリックします。

  7. [Kerberos]の下にある矢印をクリックします。

  8. [Kerberos Realm]の下にある[追加]をクリックし、次のセクションを入力します。

    • Kerberos Realm の追加

      KDCベンダーに応じて詳細を入力します。

    • Realm へのネットワーク インターフェイスの追加

      [追加]をクリックし、ネットワーク インターフェイスを選択します。

  9. 必要に応じて、Kerberosプリンシパル名とローカル ユーザー名のマッピングを追加します。

    1. [ストレージ] > [Storage VM]をクリックし、Storage VMを選択します。

    2. [設定]をクリックし、[ネーム マッピング]の下にある矢印 をクリックします。

    3. [Kerberos から UNIX]で、正規表現を使用してパターンとリプレースメントを追加します。

Top of Page