メインコンテンツまでスキップ

マルチプロトコル環境での名前マッピングについて

Views:
320
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

環境

  • ONTAP 9 
  • NAS

回答

マルチプロトコル環境での名前マッピングについて
UNIX セキュリティ形式のリソースにアクセスする NFS クライアントでは、名前マッピングはどのように機能しますか。
  • クライアントは、 NFS 操作の RPC ヘッダーに UID と GID を送信します。
  • Filer は、 NFS 処理の RPC ヘッダーで送信された UID および GID に基づいて、アクセスを許可または拒否します。

:この処理中に実行されるユーザーマッピングはありません。ONTAP クライアントが UNIX セキュリティ形式のリソースに対して処理を実行するために、受信ユーザを Windows ユーザにマッピングする必要はありません。

NFS クライアントが NTFS セキュリティ形式のリソースにアクセスしている場合、名前マッピングはどのように機能しますか。
  • クライアントは、 NFS 操作の RPC ヘッダーに UID と GID を送信します。
  • Filer は、「 passwd 」および「 group 」の ns-switch (ネームサービススイッチ)で定義されたソースを使用して、 UID および GID をそれぞれの名前に解決しようとします。

ns-switch.conf に定義されているソースを確認するには、次のコマンドを使用します(値には、 files/ldap/nis などがあります)。 

Cluster01::> vserver services name-services ns-switch show -vserver SVM01

  • Filer は、次の順序で、解決された名前を有効な Windows ユーザにマッピングしようとします。
  1. 明示的な name-mapping-ffiler は、定義された明示的なネームマッピングルールを調べ、文字列を比較して、 Filer 上に存在する「 unix-win 」ルールすべてとアクセスしようとする UNIX ユーザを比較します。

明示的な名前マッピングルールを表示するには、次の手順に従います
Cluster01::> vserver name-mapping show -vserver SVM01 -direction unix-win

  • ネームサービスにローカルの「files」を使用する場合は、SVM上でユーザごとにローカルUNIXユーザを作成する必要があります。
    • Cluster01::> vserver services unix-user create -user tsmith -id 4219 -primary-gid 100 -full-name "Tom Smith" -vserver SVM01

ルールが一致した場合、FilerはActive Directory内のマッピングされたWindowsユーザを検索し、そのユーザのクレデンシャルを取得しようとします。Windows名がグループの場合は、デフォルトユーザが設定されている場合には無視されるエラーです。

  1. 暗黙的なネームマッピング:明示的なルールが一致しない場合、 Filer は UNIX ユーザを Windows ユーザに暗黙的にマッピングしようとします。

:ファイラーは、 UNIX ユーザ「 User01 」を Windows ユーザ「 DOMAIN1\User01 」にマッピングしようとします。
この場合も、 Filer は Active Directory 内のマッピングされた Windows ユーザを検索し、そのユーザのクレデンシャルを取得しようとします。

  1. Default Windows User :上記の両方の方法が失敗した場合(たとえば、マッピングされた Windows ユーザのクレデンシャルを Filer がプルできない場合)、 Filer は何らかの理由で、 UNIX ユーザを NFS サーバ設定で定義されている「 Default Windows User 」にマッピングします。

NFS サーバの設定を表示するには
Cluster01::> vserver nfs show -vserver SVM01 -fields default-win-user
、次の手順を実行します。注意:このオプションはデフォルトでは空白です

  • Filer は、 Active Directory からプルされた Windows クレデンシャルに基づいて、 UNIX ユーザに対してアクセスを許可または拒否するようになります。

注: Windows クレデンシャルでは、リソースのセキュリティ形式が NTFS であるため、アクセスが許可または拒否されます。

CIFS クライアントが UNIX セキュリティ形式のリソースにアクセスする場合、名前マッピングはどのように機能しますか。
  • ユーザはすでにドメインに対して認証されています。 Filer は、新しく作成された CIFS セッションごとにユーザのクレデンシャルを作成する必要があります。
  • Filer は、 Windows ユーザを次の順序で UNIX ユーザにマッピングしようとします。
  1. 明示的な name-mapping-ffiler は、定義された明示的なネームマッピングルールを調べ、文字列を比較して、 Filer 上に存在する「 win-unix 」ルールすべてとアクセスしようとする Windows ユーザを比較します。

明示的なネームマッピングルールを表示する
Cluster01::> vserver name-mapping show -vserver SVM01 -direction win-unix
には:ルールが一致した場合、 Filer は、前に説明したように、 ns-switch で定義されたソースを介して、マッピングされた UNIX ユーザの UID および GID を検索します。

  1. 暗黙的なネームマッピング:明示的なルールが一致しない場合、 Filer は UNIX ユーザを Windows ユーザに暗黙的にマッピングしようとします。

: Filer
は Windows ユーザ「ドメイン・ユーザ 01 」を UNIX ユーザ「 User01 」に再度マッピングしようとします。この場合、 ns-switch で定義されているソースを使用して、 UNIX ユーザの UID および GID を検索しようとします。

  1. Default UNIX User :上記の両方の方法が失敗した場合( Filer がマッピングされた UNIX ユーザの UID および GID をプルできない場合など)、 Filer は Windows ユーザを CIFS サーバ・オプションで定義されているデフォルト UNIX ユーザにマッピングします。

CIFS サーバオプションを表示するに
Cluster01::> vserver cifs options show -vserver SVM01 -fields default-unix-user
は、次の手順を実行します。注:このオプションは、デフォルトで「 pcuser 」( UID 65534 )に設定されています。

  • Filer は、上記のいずれかの方法でプルされた、マッピングされた UNIX ユーザの UID および GID に基づいて、 Windows ユーザにアクセスを許可または拒否します。

: UNIX セキュリティ形式に設定されているため、 UNIX ユーザの UID と GID に基づいてアクセスが許可または拒否されます。

CIFS クライアントが NTFS セキュリティ形式のリソースにアクセスする場合、名前マッピングはどのように機能しますか。
  • ユーザはすでにドメインに対して認証されています。 Filer は、新しく作成された CIFS セッションごとにユーザのクレデンシャルを作成する必要があります。
  • Filer は、 Windows ユーザを次の順序で UNIX ユーザにマッピングしようとします。
  1. 明示的な name-mapping-ffiler は、定義された明示的なネームマッピングルールを調べ、文字列を比較して、 Filer 上に存在する「 win-unix 」ルールすべてとアクセスしようとする Windows ユーザを比較します。

明示的な名前マッピングルールを表示するには、次の手順に従います

Cluster01::> vserver name-mapping show -vserver SVM01 -direction win-unix
ルールが一致した場合、 Filer は、前に説明したように、 ns-switch で定義されているソースを介して、マッピングされた UNIX ユーザの UID および GID を検索しようとします。

  1. 暗黙的なネームマッピング:明示的なルールが一致しない場合、 Filer は UNIX ユーザを Windows ユーザに暗黙的にマッピングしようとします。

: Filer
は Windows ユーザ「ドメイン・ユーザ 01 」を UNIX ユーザ「 User01 」に再度マッピングしようとします。この場合、 ns-switch で定義されているソースを使用して、 UNIX ユーザの UID および GID を検索しようとします。

  1. Default UNIX User :上記の両方の方法が失敗した場合(たとえば、マッピングされた UNIX ユーザの UID と GID を Filer がプルできない場合)、 Filer は Windows ユーザを CIFS サーバ・オプションで定義されている「 Default UNIX User 」にマッピングします。

CIFS サーバオプションを表示するに
Cluster01::> vserver cifs options show -vserver SVM01 -fields default-unix-user
は、次の手順を実行します。注:このオプションは、デフォルトで「 pcuser 」( UID 65534 )に設定されています。

  • Filer は、上記の方法で取得した Windows クレデンシャルに基づいて、 Windows ユーザに対してアクセスを許可または拒否します。

追加情報

ネットアップの技術情報アーティクル:「How to create and understand vserver name-mapping rules in clustered Data ONTAP

 

Scan to view the article on your device