clustered Data ONTAP でエクスポートポリシーを使用する方法を教えてください。
すべてのとおり
に適用されます
- clustered Data ONTAP 8.3
- ONTAP 9
回答
エクスポートポリシー
エクスポートポリシーは、 clustered Data ONTAP の NFS ボリューム(およびオプションで CIFS )へのアクセスを決定します。ボリュームアクセスを可能にするには、ボリュームをエクスポートポリシーに関連付ける必要があり、そのポリシーにアクセスを決定するルールが必要です。エクスポートポリシーにエクスポートポリシールールが設定されていないと、関連付けられているボリュームへのアクセスが禁止されます。8.2 では、デフォルトでは CIFS アクセスはエクスポートポリシーの設定によって制限CIFS vservers
CIFS acls
されなくなりました。したがって、 8.2 で新たに追加されたエクスポートポリシーは無効になり、共有レベルの権限のみがアクセスを決定します。ip
のアクセス制限に基づいcifs
cifs option modify
て(エクスポートポリシーに基づいて)適用する場合は、対応する高度な CIFS vserver オプションをクラスタ上で変更します。NFS アクセスは、この CIFS オプションや CDOT のバージョンに関係なく、常にエクスポートポリシーによって制限されます。
- それぞれ
vserver
に 1 つ以上のエクスポートポリシーを設定でき、各エクスポートポリシーには 1 つ以上のルールを設定できます。 - 新しく作成
vserver
されたポリシーには、そのデフォルトポリシーのエクスポートポリシールールがないため、ルールが作成されるまでアクセスできません。 - の各ボリューム
vserver
vserver's
は、いずれかのエクスポートポリシーに関連付けられています。デフォルトvserver's
では、デフォルトのエクスポートポリシーに関連付けられています。ボリュームへのアクセスは、ボリュームが関連付けられているエクスポートポリシーのエクスポートポリシールールによって決まります。 - ボリュームへのアクセスには、そのボリュームのエクスポートポリシールールによるアクセス権限だけでなく、ジャンクションパス内のすべての親ボリュームへのアクセス権限も必要です。(このため、推奨される SVM / Vserver ルートボリュームポリシールールでは、クライアントが 0.0.0.0/0 と一致するネットワーク上のすべてのクライアントに対して、少なくとも読み取りアクセスが許可されます)。クライアントが、ボリュームに関連付けられたポリシーを介したアクセスのみを許可されているが、ジャンクションパスの親ボリュームのポリシーでは、このクライアントの読み取りアクセスが少なくとも許可されていない場合、クライアントは関連するボリュームにアクセスできません。
各ボリュームに関連付けvol show -fields policy
られているポリシーを確認するには、を実行します。
エクスポートポリシールール
: vserver および export-policy 以外のすべてのルールには、適用対象のクライアント IP 範囲、インデックス番号、読み取り専用ルール、および読み取り / 書き込みルールが少なくとも 1 つあります。
必要なルールフラグは次のとおりです。
- クライアント IP 範囲:クライアント IP 範囲は、特定のアドレスまたはサブネット( 10.0.3.212 や 192.168.5.0/24 など)、ホスト名、ネットグループ( @netgroup など)です。可能なすべての IP4 アドレスにエクスポートポリシーを適用する場合は、 clientmatch を 0.0.0.0/0 に設定します。
- インデックス番号:エクスポートポリシールールにはインデックス番号があり、その番号に基づいて 1 つずつ評価されます。この場合、クライアント IP に適用される最初のルールが使用されます。たとえば、エクスポートポリシーのインデックス 1 に、 192.168.0/16 への読み取り専用アクセスのみを許可するエクスポートポリシールールがある場合、インデックス 2 以降の追加のエクスポートポリシールールは、 192.168.0/16 範囲内の IP アドレスまたは IP アドレス範囲を考慮します(サブネット 192.168.5.0/24 の読み取り / 書き込みルールと同様)。 効果はありません。ルールインデックスは、 export-policy rule setindex コマンドを使用して変更できます。
- ro-rule : ro-rule では、クライアントの一致で指定された、関連するクライアントの読み取り専用アクセスを許可するセキュリティスタイルを指定します。複数のセキュリティスタイルを指定するには、カンマを使用します。ro ルールは rw ルールよりも優先されるため、特定のプロトコルに rw が必要な場合は、 ro ルールにも含める必要があります。
オプションany -
NTLM 、 SYS 、 krb5 が含まれますnone -
none は一般的に使用されない複雑なオプションであり、 never と混同しないでください。none
( 7-Mode のエクスポートルールと同様)。以下の「なし」の段落を参照してください。never -
クライアントが読み取り専用アクセスを取得しないように指定しますkrb5 -
CIFS または NFS の Kerberos 認証を指しますntlm -
NTLM 認証メカニズムを使用する CIFS クライアントを指しますsys -
NFS クライアントに固有のシステムスタイルセキュリティのみを参照します
- rw-rule ● rw-rule では、クライアントの一致で指定された、関連するクライアントの書き込みアクセスを許可するセキュリティ形式を指定します。複数のセキュリティスタイルを指定するには、カンマを使用します。ro ルールは rw ルールよりも優先されるため、特定のプロトコルに rw が必要な場合は、 ro ルールにも含める必要があります。
オプションany
-
NTLM 、 SYS 、 krb5 が含まれますnone -
none は一般的に使用されない複雑なオプションであり、 never と混同しないでください。none
( 7-Mode のエクスポートルールと同様)。以下の「なし」の段落を参照してください。never -
読み取り / 書き込みアクセス権をクライアントに付与しないことを指定しますkrb5 -
CIFS または NFS Kerberos 認証を参照しますntlm -
NTLM 認証メカニズムを使用する CIFS クライアントを指しますsys -
NFS クライアントに固有のシステムスタイルセキュリティのみを参照します
オプションのルールフラグは次のとおりです。
- protocol ● protocol オプションを使用すると、 CIFS と NFS (および異なるバージョンの NFS )用に別々のルールを作成できます。このオプションを使用すると、 1 つのサブネットに対して 1 つのルールを CIFS アクセス用に設定し、もう 1 つのルールを NFS 用に設定できます。たとえば、 krb5 書き込みアクセスを CIFS 経由で許可し、 krb5 アクセスを NFS 経由で拒否するには、 krb5 を使用するプロトコルごとに同じサブネットに別のルールを設定します。また、 NFSv3 を許可しない場合や、 NFSv3 を許可しない場合に、 NFSv4 アクセスを強制することもできます。
- anon ● anon オプションは、 anon ユーザの UID を設定します。
clustered Data ONTAP で NFS エクスポートを入力するときに root を root のままにする場合は、 superuser を sys に設定します(以下を参照)。rw または ro のいずれかが security style none に設定されている場合に、 anon ユーザを 65534 とは異なる UID に設定する場合は、この anon オプションを使用します。ルートアクセスを完全にブロックする(マウントを許可する)場合は、 65535 に設定できます。 - superuser ● superuser オプションを使用すると、 root ユーザが root のままになり、 anon には適用されないセキュリティスタイルを指定できます。複数のセキュリティスタイルを指定するには、カンマを使用します。このオプションは anon オプションよりも優先されるため、 anon が 0 以外の値に設定されていても、このオプションが適用されるクライアントのルートユーザは root のままになります。
オプションany
-
NTLM 、 SYS 、 krb5 が含まれますnone
- これは CDOT 8.2 以降のデフォルトです。これにより、 root は anon の値(デフォルトは 65534 )に変更されます。.never -
これは CDOT 8.0 と 8.1 のデフォルトで、 root は anon の値(デフォルトは 65534 )に変更されます。このオプションは、 none オプションと同じように動作するため、 8.2 では削除されました。krb5 -
CIFS または NFS Kerberos 認証を参照します。CIFS スーパーユーザはクラスタモードでは廃止されましたが、特定のシナリオでは引き続き使用される可能性があります。ntlm -
NTLM 認証メカニズムを使用する CIFS クライアントを指します。CIFS スーパーユーザはクラスタモードでは廃止されましたが、特定のシナリオでは引き続き使用される可能性があります。sys
-
NFS クライアントに固有のシステムスタイルセキュリティのみを参照します。これは、ルートスクアッシングを無効にするための正しい設定です。
superuser オプションを使用すると、 root が特定のクライアントに対して匿名になるのを防ぎながら、 anon 設定を他のセキュリティ機能に適用することができます。anon=0 の場合は、上記の例のように ro/rw セキュリティを none に設定するだけでなく、 krb5 と sys を区別するためにも使用できます。 NFS システムの root を匿名 UID (デフォルトの 65534 など)に変更し、 Kerberos NFS の root のままにしておく場合は、 anon を 65534 に設定し、スーパーユーザを krb5 に設定します。これにより、 Kerberos 認証が使用されている場合にのみ、ルートはエクスポートを入力するときに実際にはルートのままになります。
これは非常にまれなケースですが、特定のクライアントの一致に対してルートスクアッシングが必要でない場合は、スーパーユーザを sys または sys 、 krb5 に設定するだけです。
rw
および ro の「 none 」オプションは、このルールフラグで指定されていないすべてのセキュリティスタイルに対して、カンマを使用して複数のスタイルを指定できます。 にアクセスしているユーザには、匿名ユーザの ID が与えられます。デフォルトでは、この ID は 65534 です。ただし、このグローバルにマッピングされた ID がない場合は、 anon オプションを使用して変更できます。この anon UID には、ユーザがマッピングされている UID のデフォルト GID に基づいてデフォルト GID が指定されます(これは、 vserver ns-switch 設定で指定されたネームサービス(ローカルの UNIX ユーザテーブルと UNIX グループテーブル、または NIS または LDAP ネームサービス)によって決まります)。クライアントが rw および ro を none に設定uid
して NFS 経由で通信する場合、 UID または GID はクライアントによって実際には共有されません。クラスタはすべてのユーザをその anon にマッピングするため、これは問題ありません。これは、 Data ONTAP 7-Mode の sec=none オプションに対応します。
clustered Data ONTAP 8.3 でのエクスポートルールの作成については、『 vserver export-policy rule create 』を参照してください
基本的な例
デフォルトのポリシーで、 sys および krb5 を介して読み取りおよび書き込みアクセスをすべての可能なクライアントに許可し、どちらのプロトコルでもルートを変更しない場合は、次のコマンドを使用してルールを作成できます。
export-policy rule create -policyname default -clientmatch 0.0.0.0/0 -rorule sys,krb5 -rwrule sys,krb5 -superuser sys,krb5