メインコンテンツまでスキップ
NetApp Response to Russia-Ukraine Cyber Threat
In response to the recent rise in cyber threat due to the Russian-Ukraine crisis, NetApp is actively monitoring the global security intelligence and updating our cybersecurity measures. We follow U.S. Federal Government guidance and remain on high alert. Customers are encouraged to monitor the Cybersecurity and Infrastructure Security (CISA) website for new information as it develops and remain on high alert.

clustered Data ONTAP でエクスポートポリシーを使用する方法を教えてください。

Views:
526
Visibility:
Public
Votes:
0
Category:
data-ontap-8
Specialty:
core
Last Updated:

すべてのとおり  

環境

  • clustered Data ONTAP 8.3
  • ONTAP 9

回答

エクスポート ポリシー

エクスポートポリシーは、 clustered Data ONTAP 内の NFS (およびオプションで CIFS )のボリュームへのアクセスを決定します。ボリュームアクセスを可能にするには、ボリュームをエクスポートポリシーに関連付ける必要があり、そのポリシーにアクセスを決定するルールが必要です。エクスポートポリシーにエクスポートポリシールールが設定されていないと、関連付けられているボリュームへのアクセスが禁止されます。8.2 では、デフォルトでは CIFS アクセスはエクスポートポリシーの設定によって制限CIFS vserversCIFS acls されなくなりました。したがって、 8.2 で新たに追加されたエクスポートポリシーは無効になり、共有レベルの権限のみがアクセスを決定します。ip のアクセス制限に基づいcifs cifs option modify て(エクスポートポリシーに基づいて)適用する場合は、対応する高度な CIFS vserver オプションをクラスタ上で変更します。NFS アクセスは、この CIFS オプションや CDOT のバージョンに関係なく、常にエクスポートポリシーによって制限されます。

  • それぞれvserver に 1 つ以上のエクスポートポリシーを設定でき、各エクスポートポリシーには 1 つ以上のルールを設定できます。
  • 新しく作成vserver されたポリシーには、そのデフォルトポリシーのエクスポートポリシールールがないため、ルールが作成されるまでアクセスできません。
  • の各ボリュームvserver vserver's は、いずれかのエクスポートポリシーに関連付けられています。デフォルトvserver's では、デフォルトのエクスポートポリシーに関連付けられています。ボリュームへのアクセスは、ボリュームが関連付けられているエクスポートポリシーのエクスポートポリシールールによって決まります。
  • ボリュームへのアクセスには、そのボリュームのエクスポートポリシールールによるアクセス権限だけでなく、ジャンクションパス内のすべての親ボリュームへのアクセス権限も必要です。(このため、推奨される SVM / Vserver ルートボリュームポリシールールでは、クライアントが 0.0.0.0/0 と一致するネットワーク上のすべてのクライアントに対して、少なくとも読み取りアクセスが許可されます)。クライアントが、ボリュームに関連付けられたポリシーを介したアクセスのみを許可されているが、ジャンクションパスの親ボリュームのポリシーでは、このクライアントの読み取りアクセスが少なくとも許可されていない場合、クライアントは関連するボリュームにアクセスできません。

各ボリュームに関連付けvol show -fields policyられているポリシーを確認するには、を実行します。

エクスポート ポリシー ルール

すべてのルールには、 SVM とエクスポートポリシーに加え、少なくともクライアント IP の範囲、インデックス番号、読み取り専用ルール、および読み取り / 書き込みルールがあります。 

必要なルールフラグは次のとおりです。 

  • クライアント IP 範囲:クライアント IP 範囲は、特定のアドレスまたはサブネット( 10.0.3.212 や 192.168.5.0/24 など)、ホスト名、ネットグループ( @netgroup など)です。可能なすべての IP4 アドレスにエクスポートポリシーを適用する場合は、 clientmatch を 0.0.0.0/0 に設定します。 
  • インデックス番号:エクスポートポリシールールにはインデックス番号があり、その番号に基づいて 1 つずつ評価されます。この場合、クライアント IP に適用される最初のルールが使用されます。たとえば、エクスポートポリシーのインデックス 1 に、 192.168.0/16 への読み取り専用アクセスのみを許可するエクスポートポリシールールがある場合、インデックス 2 以降の追加のエクスポートポリシールールは、 192.168.0/16 範囲内の IP アドレスまたは IP アドレス範囲を考慮します(サブネット 192.168.5.0/24 の読み取り / 書き込みルールと同様)。 効果はありません。ルールインデックスは、 export-policy rule setindex コマンドを使用して変更できます。
  • ro-rule : ro-rule では、クライアントの一致で指定された、関連するクライアントの読み取り専用アクセスを許可するセキュリティスタイルを指定します。複数のセキュリティスタイルを指定するには、カンマを使用します。ro ルールは rw ルールよりも優先されるため、特定のプロトコルに rw が必要な場合は、 ro ルールにも含める必要があります。
    オプション
    • any - NTLM 、 SYS krb5 が含まれます
    • none - none は一般的に使用されない複雑なオプションであり、 never と混同しないでください。none( 7-Mode のエクスポートルールと同様)。以下の「なし」の段落を参照してください。 
    • never - クライアントが読み取り専用アクセスを取得しないように指定します
    • krb5 - CIFS または NFS の Kerberos 認証を指します 
    • ntlm - NTLM 認証メカニズムを使用する CIFS クライアントを指します
    • sys - NFS クライアントに固有のシステムスタイルセキュリティのみを参照します 
  • rw-rule ● rw-rule では、クライアントの一致で指定された、関連するクライアントの書き込みアクセスを許可するセキュリティ形式を指定します。複数のセキュリティスタイルを指定するには、カンマを使用します。ro ルールは rw ルールよりも優先されるため、特定のプロトコルに rw が必要な場合は、 ro ルールにも含める必要があります。
    オプション
    • any  - NTLM 、 SYS krb5 が含まれます
    • none - none は一般的に使用されない複雑なオプションであり、 never と混同しないでください。none( 7-Mode のエクスポートルールと同様)。以下の「なし」の段落を参照してください。 
    • never - 読み取り / 書き込みアクセス権をクライアントに付与しないことを指定します
    • krb5 - CIFS または NFS Kerberos 認証を参照します 
    • ntlm - NTLM 認証メカニズムを使用する CIFS クライアントを指します
    • sys - NFS クライアントに固有のシステムスタイルセキュリティのみを参照します

オプションのルールフラグは次のとおりです。

  • protocol ● protocol オプションを使用すると、 CIFS と NFS (および異なるバージョンの NFS )用に別々のルールを作成できます。このオプションを使用すると、 1 つのサブネットに対して 1 つのルールを CIFS アクセス用に設定し、もう 1 つのルールを NFS 用に設定できます。たとえば、 krb5 書き込みアクセスを CIFS 経由で許可し、 krb5 アクセスを NFS 経由で拒否するには、 krb5 を使用するプロトコルごとに同じサブネットに別のルールを設定します。また、 NFSv3 を許可しない場合や、 NFSv3 を許可しない場合に、 NFSv4 アクセスを強制することもできます。
  • anon anon オプションは、 anon ユーザの UID を設定します。
    clustered Data ONTAP で NFS エクスポートを入力するときに root を root のままにする場合は、 superuser を sys に設定します(以下を参照)。rw または ro のいずれかが security style none に設定されている場合に、 anon ユーザを 65534 とは異なる UID に設定する場合は、この anon オプションを使用します。ルートアクセスを完全にブロックする(マウントを許可する)場合は、 65535 に設定できます。
  • superuser superuser オプションを使用すると、 root ユーザが root のままになり、 anon には適用されないセキュリティスタイルを指定できます。複数のセキュリティスタイルを指定するには、カンマを使用します。このオプションは anon オプションよりも優先されるため、 anon が 0 以外の値に設定されていても、このオプションが適用されるクライアントのルートユーザは root のままになります。
    オプション
    • any - NTLM 、 SYS krb5 が含まれます
    • none - これは CDOT 8.2 以降のデフォルトです。これにより、 root は anon の値(デフォルトは 65534 )に変更されます。に関するネットアップのドキュメントを参照してください。
    • never - これは CDOT 8.0 と 8.1 のデフォルトで、 root は anon の値(デフォルトは 65534 )に変更されます。このオプションは、 none オプションと同じように動作するため、 8.2 では削除されました。
    • krb5 - CIFS または NFS Kerberos 認証を参照します。CIFS スーパーユーザはクラスタモードでは廃止されましたが、特定のシナリオでは引き続き使用される可能性があります。
    • ntlm - NTLM 認証メカニズムを使用する CIFS クライアントを指します。CIFS スーパーユーザはクラスタモードでは廃止されましたが、特定のシナリオでは引き続き使用される可能性があります。
    • sysNFS クライアントに固有のシステムスタイルセキュリティのみを参照します。これは、ルートスクアッシングを無効にするための正しい設定です。

superuser オプションを使用すると、 root が特定のクライアントに対して匿名になるのを防ぎながら、 anon 設定を他のセキュリティ機能に適用することができます。anon=0 の場合は、上記の例のように ro/rw セキュリティを none に設定するだけでなく、 krb5 と sys を区別するためにも使用できます。 NFS システムの root を匿名 UID (デフォルトの 65534 など)に変更し、 Kerberos NFS の root のままにしておく場合は、 anon を 65534 に設定し、スーパーユーザを krb5 に設定します。これにより、 Kerberos 認証が使用されている場合にのみ、ルートはエクスポートを入力するときに実際にはルートのままになります。

これは非常にまれなケースですが、特定のクライアントの一致に対してルートスクアッシングが必要でない場合は、スーパーユーザを sys または sys 、 krb5 に設定するだけです。

rw
および ro の「 none 」オプションは、このルールフラグで指定されていないすべてのセキュリティスタイルに対して、カンマを使用して複数のスタイルを指定できます。 にアクセスしているユーザには、匿名ユーザの ID が与えられます。デフォルトでは、この ID は 65534 です。ただし、このグローバルにマッピングされた ID がない場合は、 anon オプションを使用して変更できます。この anon UID には、ユーザがマッピングされている UID のデフォルト GID に基づいてデフォルト GID が指定されます(これは、 vserver ns-switch 設定で指定されたネームサービス(ローカルの UNIX ユーザテーブルと UNIX グループテーブル、または NIS または LDAP ネームサービス)によって決まります)。クライアントが rw および ro を none に設定uidして NFS 経由で通信する場合、 UID または GID はクライアントによって実際には共有されません。クラスタはすべてのユーザをその anon にマッピングするため、これは問題ありません。これは、 Data ONTAP 7-Mode の sec=none オプションに対応します。

clustered Data ONTAP 8.3 でのエクスポートルールの作成については、『 vserver export-policy rule create 』を参照してください

基本的な例

デフォルトのポリシーで、 sys および krb5 を介して読み取りおよび書き込みアクセスをすべての可能なクライアントに許可し、どちらのプロトコルでもルートを変更しない場合は、次のコマンドを使用してルールを作成できます。

Cluster1::> vserver export-policy rule create -policyname default -clientmatch 0.0.0.0/0 -rorule sys,krb5 -rwrule sys,krb5 -superuser sys,krb5

追加情報

N/A

Scan to view the article on your device