マルチプロトコル環境での名前マッピングについて
環境
- ONTAP 9
- NAS
回答
UNIX セキュリティ形式のリソースにアクセスする NFS クライアントでは、名前マッピングはどのように機能しますか。
- クライアントは、 NFS 操作の RPC ヘッダーに UID と GID を送信します。
- Filer は、 NFS 処理の RPC ヘッダーで送信された UID および GID に基づいて、アクセスを許可または拒否します。
注:この処理中に実行されるユーザーマッピングはありません。ONTAP クライアントが UNIX セキュリティ形式のリソースに対して処理を実行するために、受信ユーザを Windows ユーザにマッピングする必要はありません。
NFS クライアントが NTFS セキュリティ形式のリソースにアクセスしている場合、名前マッピングはどのように機能しますか。
- クライアントは、 NFS 操作の RPC ヘッダーに UID と GID を送信します。
- Filer は、「 passwd 」および「 group 」の ns-switch (ネームサービススイッチ)で定義されたソースを使用して、 UID および GID をそれぞれの名前に解決しようとします。
- ns-switch .confに定義されているソースを確認するには、次のコマンドを使用します(指定可能な値はfiles /ldap/nisです)。
Cluster01::> vserver services name-service ns-switch show -vserver SVM01
- ネームサービスにローカルの「files」を使用する場合は、SVM上でユーザごとにローカルUNIXユーザを作成する必要があります
Cluster01::> vserver services unix-user create -user tsmith -id 4219 -primary-gid 100 -full-name "Tom Smith" -vserver SVM01
- ns-switch .confに定義されているソースを確認するには、次のコマンドを使用します(指定可能な値はfiles /ldap/nisです)。
- Filerは次に、次の順序で、解決された名前を有効なWindowsユーザにマッピングしようとします。
- 明示的な name-mapping-ffiler は、定義された明示的なネームマッピングルールを調べ、文字列を比較して、 Filer 上に存在する「 unix-win 」ルールすべてとアクセスしようとする UNIX ユーザを比較します。
明示的な名前マッピングルールを表示するには、次の手順に従います
Cluster01::> vserver name-mapping show -vserver SVM01 -direction unix-win
- 暗黙的なネームマッピング:明示的なルールが一致しない場合、FilerはUNIXユーザをWindowsユーザに暗黙的にマッピングしようとします。Filerは、ローカルCIFSユーザの一致をチェックし、一致するものが見つからない場合は、次にADでチェックします。
例: Filerは、UNIXユーザ「User01」をWindowsユーザ「User01」にマッピングしようとします。
この場合も、 Filer は Active Directory 内のマッピングされた Windows ユーザを検索し、そのユーザのクレデンシャルを取得しようとします。
- Default Windows User :上記の両方の方法が失敗した場合(たとえば、マッピングされた Windows ユーザのクレデンシャルを Filer がプルできない場合)、 Filer は何らかの理由で、 UNIX ユーザを NFS サーバ設定で定義されている「 Default Windows User 」にマッピングします。
NFS サーバの設定を表示するにはCluster01::> vserver nfs show -vserver SVM01 -fields default-win-user
、次の手順を実行します。注意:このオプションはデフォルトでは空白です
- Filer は、 Active Directory からプルされた Windows クレデンシャルに基づいて、 UNIX ユーザに対してアクセスを許可または拒否するようになります。
注: Windows クレデンシャルでは、リソースのセキュリティ形式が NTFS であるため、アクセスが許可または拒否されます。
CIFS クライアントが UNIX セキュリティ形式のリソースにアクセスする場合、名前マッピングはどのように機能しますか。
- ユーザはすでにドメインに対して認証されています。 Filer は、新しく作成された CIFS セッションごとにユーザのクレデンシャルを作成する必要があります。
- Filer は、 Windows ユーザを次の順序で UNIX ユーザにマッピングしようとします。
- 明示的な name-mapping-ffiler は、定義された明示的なネームマッピングルールを調べ、文字列を比較して、 Filer 上に存在する「 win-unix 」ルールすべてとアクセスしようとする Windows ユーザを比較します。
明示的なネームマッピングルールを表示するCluster01::> vserver name-mapping show -vserver SVM01 -direction win-unix
には:ルールが一致した場合、 Filer は、前に説明したように、 ns-switch で定義されたソースを介して、マッピングされた UNIX ユーザの UID および GID を検索します。
- 暗黙的なネームマッピング:明示的なルールが一致しない場合、 Filer は UNIX ユーザを Windows ユーザに暗黙的にマッピングしようとします。
例 : Filer
は Windows ユーザ「ドメイン・ユーザ 01 」を UNIX ユーザ「 User01 」に再度マッピングしようとします。この場合、 ns-switch で定義されているソースを使用して、 UNIX ユーザの UID および GID を検索しようとします。
- Default UNIX User :上記の両方の方法が失敗した場合( Filer がマッピングされた UNIX ユーザの UID および GID をプルできない場合など)、 Filer は Windows ユーザを CIFS サーバ・オプションで定義されているデフォルト UNIX ユーザにマッピングします。
CIFS サーバオプションを表示するにCluster01::> vserver cifs options show -vserver SVM01 -fields default-unix-user
は、次の手順を実行します。注:このオプションは、デフォルトで「 pcuser 」( UID 65534 )に設定されています。
- Filer は、上記のいずれかの方法でプルされた、マッピングされた UNIX ユーザの UID および GID に基づいて、 Windows ユーザにアクセスを許可または拒否します。
注 : UNIX セキュリティ形式に設定されているため、 UNIX ユーザの UID と GID に基づいてアクセスが許可または拒否されます。
CIFS クライアントが NTFS セキュリティ形式のリソースにアクセスする場合、名前マッピングはどのように機能しますか。
- ユーザはすでにドメインに対して認証されています。 Filer は、新しく作成された CIFS セッションごとにユーザのクレデンシャルを作成する必要があります。
- Filer は、 Windows ユーザを次の順序で UNIX ユーザにマッピングしようとします。
- 明示的な name-mapping-ffiler は、定義された明示的なネームマッピングルールを調べ、文字列を比較して、 Filer 上に存在する「 win-unix 」ルールすべてとアクセスしようとする Windows ユーザを比較します。
明示的な名前マッピングルールを表示するには、次の手順に従います
Cluster01::> vserver name-mapping show -vserver SVM01 -direction win-unix
ルールが一致した場合、 Filer は、前に説明したように、 ns-switch で定義されているソースを介して、マッピングされた UNIX ユーザの UID および GID を検索しようとします。
- 暗黙的なネームマッピング:明示的なルールが一致しない場合、 Filer は UNIX ユーザを Windows ユーザに暗黙的にマッピングしようとします。
例 : Filer
は Windows ユーザ「ドメイン・ユーザ 01 」を UNIX ユーザ「 User01 」に再度マッピングしようとします。この場合、 ns-switch で定義されているソースを使用して、 UNIX ユーザの UID および GID を検索しようとします。
- Default UNIX User :上記の両方の方法が失敗した場合(たとえば、マッピングされた UNIX ユーザの UID と GID を Filer がプルできない場合)、 Filer は Windows ユーザを CIFS サーバ・オプションで定義されている「 Default UNIX User 」にマッピングします。
CIFS サーバオプションを表示するにCluster01::> vserver cifs options show -vserver SVM01 -fields default-unix-user
は、次の手順を実行します。注:このオプションは、デフォルトで「 pcuser 」( UID 65534 )に設定されています。
- Filer は、上記の方法で取得した Windows クレデンシャルに基づいて、 Windows ユーザに対してアクセスを許可または拒否します。
追加情報
- vserver name-mappingルールの作成方法と理解方法
- シナリオの例を次に示します。
- UID 1057がクライアントからONTAPに送信されます。
- ONTAPはUID 1057をUNIXユーザ「bob」に解決
- ONTAPはネームマッピングエントリをチェックします。
- ONTAPがパターン「bob」のUNIXからWindowsへのネームマッピングエントリを検出した場合(「bob == domain\Robert」が検出された場合など)、UIDとADアカウントは接続時にリンクされるため、UID 1057でNFS接続が使用されている場合は、 NTFSセキュリティの場所へのファイルレベルのアクセスは、がリンクされているADアカウントに基づいて決定されます。
- パターン「bob」のネームマッピングテーブルでエントリが見つからない場合、ONTAPは「bob == domain\bob」と見なし、「bob」という名前のアカウントのADをチェックします。
- アカウントが見つかった場合は、ADアカウント「domain\bob」に基づいてUID 1057へのアクセスが許可されます。
- 明示的なネームマッピングが見つからず、暗黙的なネームマッピングも失敗した場合は、NFSサーバの設定に「Default Windows user」というオプションがあります。これは、Bobとして解決されたUIDをフォールバックADアカウント(「domain\guest」など)にリンクする最後の試行となります。 ただし、ONTAPでNFSアクセスにこの設定は必要ないため、通常は空白のままです。
- このプロセスは、CIFS / SMB接続が確立され、UNIXセキュリティ形式の場所へのアクセスが試行された場合にも発生します。
- 唯一の違いは、「デフォルトUNIXユーザ」のCIFSサーバオプションに、ONTAPが検索できるUNIXアカウント(ローカルまたはNIS / LDAP)を設定する必要がある点です。
- この要件は、ONTAPがUNIX上で実行され、ファイルレベルのアクセスを決定するためにマップされたUNIXアカウントという名前を使用しない場合でも、すべての接続がUNIX UIDを介してベースまたは追跡される必要があるという事実に関連しています。