メインコンテンツまでスキップ

NetApp_Insight_2020.png 

マルチプロトコル環境での名前マッピングについて

Views:
12
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

に適用されます

  • ONTAP 9 
  • NAS

回答

マルチプロトコル環境での名前マッピングについて
UNIX セキュリティ形式のリソースにアクセスする NFS クライアントでは、名前マッピングはどのように機能しますか。
  • クライアントは、 NFS 操作の RPC ヘッダーに UID と GID を送信します。
  • Filer は、 NFS 処理の RPC ヘッダーで送信された UID および GID に基づいて、アクセスを許可または拒否します。

:この処理中に実行されるユーザーマッピングはありません。NFS クライアントが UNIX セキュリティ形式のリソースに対して操作を実行するために、 ONTAP では着信ユーザを Windows ユーザにマッピングする必要はありません。

NFS クライアントが NTFS セキュリティ形式のリソースにアクセスしている場合、名前マッピングはどのように機能しますか。
  • クライアントは、 NFS 操作の RPC ヘッダーに UID と GID を送信します。
  • Filer は、「 passwd 」および「 group 」の ns-switch (ネームサービススイッチ)で定義されたソースを使用して、 UID および GID をそれぞれの名前に解決しようとします。

ns-switch.conf に定義されているソースを確認するには、次のコマンドを使用します(値には、 files/ldap/nis などがあります)。 

Cluster01::> ns-switch show -vserver SVM01

  • Filer は、解決された名前を次の順序で有効な Windows ユーザにマッピングしようとします。

explicit name-mapping-filer は、定義された明示的な名前マッピングルールを調べ、アクセスしようとしている UNIX ユーザと、 Filer 上に存在するすべての「 unix-windows 」ルールを比較します。
明示的な名前マッピングルールを表示するに
Cluster01::> name-mapping show -vserver SVM01 -direction unix-win
は、ルールが一致した場合、 Filer は Active Directory でマッピングされた Windows ユーザを検索し、そのユーザのクレデンシャルを取得しようとします。

暗黙的な名前マッピング:一致する明示的なルールがない場合、 Filer は UNIX ユーザを暗黙的に Windows にマッピングしようとします。
: Filer は UNIX ユーザ「 user01 」を Windows ユーザ「 dosmain\user01 」にマッピングしようとします。
この場合も、 Filer は Active Directory でマッピングされた Windows ユーザを検索し、そのユーザのクレデンシャルを取得しようとします。

デフォルトの Windows ユーザ●上記の両方の方法が失敗した場合(たとえば、マッピングされた Windows ユーザのクレデンシャルを Filer が取得できない場合)、何らかの理由で、 Filer は UNIX ユーザを NFS サーバ設定で定義されている「デフォルトの Windows ユーザ」にマッピングします。
NFS サーバの設定を表示するには
Cluster01::> nfs show -vserver SVM01
、次の手順を実行します。注意:このオプションはデフォルトでは空白です

  • Filer は、 Active Directory から取得した Windows クレデンシャルに基づいて、 UNIX ユーザへのアクセスを許可または拒否します。

:リソースは NTFS セキュリティ形式であるため、 Windows クレデンシャルでアクセスが許可または拒否されます。

CIFS クライアントが UNIX セキュリティ形式のリソースにアクセスする場合、名前マッピングはどのように機能しますか。
  • ユーザはすでにドメインに対して認証されています。 Filer は、新しく作成された CIFS セッションごとにユーザのクレデンシャルを作成する必要があります。
  • Filer は、 Windows ユーザを UNIX ユーザに次の順序でマッピングしようとします。

explicit name-mapping-filer は、定義された明示的な名前マッピングルールを調べ、アクセスしようとしている Windows ユーザと、 Filer 上に存在するすべての「 windows-unix 」ルールを比較します。
明示的な名前マッピングルールを表示するに
Cluster01::> name-mapping show -vserver SVM01 -direction win-unix
は、ルールが一致した場合、 Filer は、前述のように ns-switch で定義されたソースを使用して、マッピングされた UNIX ユーザの UID と GID を検索しようとします。

暗黙的な名前マッピング:一致する明示的なルールがない場合、 Filer は UNIX ユーザを暗黙的に Windows にマッピングしようとします。

: Filer は、 Windows ユーザ「 dosmain\user01 」を UNIX ユーザ「 user01 」に再度マッピングしようとします。 Filer は、 ns-switch で定義されたソースを使用して、 UNIX ユーザの UID と GID を検索しようとします。

Default UNIX User :上記の両方の方法で障害が発生した場合(たとえば、マッピングされた UNIX ユーザの UID と GID を Filer がプルできない場合)、何らかの理由で、 Filer は Windows ユーザを CIFS サーバ・オプションで定義されている「デフォルトの UNIX ユーザ」にマッピングします。
CIFS サーバオプションを表示するに
Cluster01::> cifs options show -vserver SVM01
は、次の手順を実行します。注:このオプションは、デフォルトで「 pcuser 」( UID 65534 )に設定されています。

  • Filer は、上記のいずれかの方法でプルされたマッピングされた UNIX ユーザの UID および GID に基づいて、 Windows ユーザへのアクセスを許可または拒否します。

:リソースが UNIX セキュリティ形式に設定されているため、 UNIX ユーザの UID と GID に基づいてアクセスが許可または拒否されます。

CIFS クライアントが NTFS セキュリティ形式のリソースにアクセスする場合、名前マッピングはどのように機能しますか。
  • ユーザはすでにドメインに対して認証されています。 Filer は、新しく作成された CIFS セッションごとにユーザのクレデンシャルを作成する必要があります。
  • Filer は、 Windows ユーザを UNIX ユーザに次の順序でマッピングしようとします。

explicit name-mapping-filer は、定義された明示的な名前マッピングルールを調べ、アクセスしようとしている Windows ユーザと、 Filer 上に存在するすべての「 windows-unix 」ルールを比較します。
明示的な名前マッピングルールを表示するには、次の手順に従います

Cluster01::> name-mapping show -vserver SVM01 -direction win-unix
ルールが一致した場合、 Filer は、前述のように、 ns-switch で定義されたソースを使用して、マッピングされた UNIX ユーザの UID と GID を検索しようとします。

暗黙的な名前マッピング:一致する明示的なルールがない場合、 Filer は UNIX ユーザを暗黙的に Windows にマッピングしようとします。

: Filer は、 Windows ユーザ「 dosmain\user01 」を UNIX ユーザ「 user01 」に再度マッピングしようとします。 Filer は、 ns-switch で定義されたソースを使用して、 UNIX ユーザの UID と GID を検索しようとします。

Default UNIX User :上記の両方の方法で障害が発生した場合(たとえば、マッピングされた UNIX ユーザの UID と GID を Filer がプルできない場合)、何らかの理由で、 Filer は Windows ユーザを CIFS サーバ・オプションで定義されている「 Default UNIX User 」にマッピングします。
CIFS サーバオプションを表示するに
Cluster01::> cifs options show -vserver SVM01
は、次の手順を実行します。注:このオプションは、デフォルトで「 pcuser 」( UID 65534 )に設定されています。

  • Filer は、上記の方法で取得した Windows クレデンシャルに基づいて、 Windows ユーザへのアクセスを許可または拒否します。