メインコンテンツまでスキップ

Nblade クレデンシャルキャッシュとは何ですか。

Views:
276
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

すべてのとおり  

環境

  • ONTAP 9
  • clustered Data ONTAP 8

回答

このドキュメントでは、 Nblade クレデンシャルキャッシュの概要、使用時期、キャッシュへのデータの格納方法、更新時期、表示方法、フラッシュ方法について説明します。

この資料では、次の現象について説明します。

  • ネームサービス(ファイル、 NIS 、 LDAP 、 AD )のユーザの変更は、 NFS ユーザにはすぐには反映されません
  • ネームサービスの変更が有効になるまでに最大 24 時間から 48 時間かかります
Nblade クレデンシャルキャッシュとは何ですか。

ONTAP でリソースにアクセスするには、 NFS クライアントが UID に基づいてクレデンシャルを生成する必要がある場合があります。
クレデンシャルを入力する必要があるシナリオは次のとおりです。

  • NTFS セキュリティ形式のボリュームにアクセスしています
  • SYS/Unix 認証に拡張グループ機能を使用する場合
    • この機能により、 NFS クライアントは 16 のグループ RPC 制限をバイパスできます
  • 匿名ユーザに「制限」されている
    • これは、 root の引き下げまたは AUTH_NONE を使用している場合に発生します

このクレデンシャルは、 Nblade クレデンシャルキャッシュに格納されます。

NBlade クレデンシャルキャッシュエントリはどのように入力されますか。
  • 資格情報キャッシュエントリを必要とする NFS 操作が ONTAP に対して実行され、要求元 UID のキャッシュエントリがまだ存在しない場合は、 nblade キャッシュエントリが入力されます。
    • エントリを入力するために、 nblade は、プライマリグループ ID 、補助グループ ID 、および NT クレデンシャル(該当する場合)の RPC 要求をユーザ空間に送信します。
    • これらの RPC 要求に応答する 2 つのユーザ空間プロセスは、セキュリティデーモン( SECD )と管理ゲートウェイデーモン( MGWD )です。
    • nblade クレデンシャルキャッシュ内の入力済みエントリに対して設定された存続可能時間( TTL )は、 24 時間です。
  • SecD はほとんどが nblade からのクレデンシャル検索要求を促進します。9.3 よりも前のバージョンでは、 SECD は 24 時間 TTLS を使用するキャッシュからこれらの要求を処理します。SecD はノードごとに一意のプロセスです。 nblade 要求が処理される前に、エントリが存在しない場合は、そのノードに対してローカルな SECD プロセスがキャッシュを読み込む必要があります。
  • 9.3 以降では、グローバルネームサービスキャッシュ機能が ONTAP に追加されています。nblade は引き続き RPC 呼び出しをユーザ空間に発信しますが、 SECD/MGWD は複製キャッシュを利用して応答を取得します。つまり、あるノードが共有キャッシュを読み込む場合、別のノードが独自の検索を行うことなく、その情報を使用できます。このキャッシュはすべてのノードにわたってレプリケートされ、リブートによって維持され、 ONTAP の起動後のネームサービスの負荷が軽減されます。
Nblade クレデンシャルキャッシュが更新されるのはいつですか。
  • このキャッシュ内のエントリのデフォルトの Time-To-Live ( TTL )は 24 時間です。
    • つまり、ユーザのグループメンバーシップに対する変更は、このTTLが期限切れになるまで反映されません
    • キャッシュがアクティブになる-キャッシュされた期限切れのエントリにクライアント処理がヒットするまで更新は実行されません
Nblade クレデンシャルキャッシュエントリを表示する方法を教えてください。
  • nblade クレデンシャルキャッシュエントリは、 set diag から表示できます。

警告

解決策 には診断レベルのリカバリが必要です。診断コマンドとリカバリ手順を使用するとシステムが停止する可能性があるため、必ずネットアップの担当者から指示があった場合にのみ使用してください。

  • Cluster01::*> set diag -c off
  • Cluster01::*> nblade credentials show -node Node01 -vserver SVM01 -unix-user-name User01
  • ONTAP 9.4 以降で実行している場合、コマンドは次のようになります。
    • Cluster01::*> vserver nfs credentials show -node Node01 -vserver SVM01 -unix-user-name User01
nblade クレデンシャルとネームサービスキャッシュをフラッシュしてグループメンバーシップを更新する方法を教えてください。

nblade キャッシュの前 にネームサービスキャッシュをフラッシュして最新情報を取得することが重要です。 nblade クレデンシャルキャッシュは、ユーザ空間でネームサービス解決プロセスから提供された情報に基づいて読み込まれます。

ONTAP 9.3 以前での手順

set diag から:

Cluster01::*> secd cache clear-nfs -node Node01 -vserver SVM01 -user User01
Cluster01::*> nblade credentials flush -node Node01 -vserver SVM01 -unix-user-name User01

Cluster01::*> set admin 

ONTAP 9.3 での手順

set diag から:

  • NIS を使用してグループメンバーシップを照会している場合は、他のキャッシュをフラッシュする前に、 nis-domain group-dたべ ーすを再構築する必要があります。

Cluster01::*> nis-domain group-database build -vserver SVM01
Cluster01::*> name-service cache group-membership delete -vserver SVM01 -user User01 -group PrimaryGID
Cluster01::*> diag nblade credentials flush -node Node01 -vserver SVM01 -unix-user-name User01

Cluster01::*> set admin 

'name-service cache group-membership delete' コマンド 'name-service cache group-membership show -vserver SVM01 -user User01' の「 -group 」フラグは、出力の「 Group 」フィールドを参照します。
ONTAP 9.4 以降での手順

set diag から:

  • NIS を使用してグループメンバーシップを照会している場合は、他のキャッシュをフラッシュする前に、 nis-domain group-dたべ ーすを再構築する必要があります。

Cluster01::*> nis-domain group-database build -vserver SVM01
Cluster01::*> vserver services name-service cache group-membership delete -vserver SVM01 -user User01 -group PrimaryGID
Cluster01::*> vserver services name-service cache unix-user user-by-id delete -vserver SVM01 -pw-uid UID
Cluster01::*> vserver nfs credentials flush -node Node01 -vserver SVM01 -unix-user-name User01
Cluster01::*> diag secd cache clear -node Node01 -vserver SVM01 -cache-name nis-group-membership
Cluster01::*> diag secd cache clear -node Node01 -vserver SVM01 -cache-name username-to-creds

Cluster01::*> set admin 

'name-service cache group-membership deleteコマンド'name-service cache group-membership show -vserver SVM01 -user User01' の「 -group 」フラグは、出力の「 Group 」フィールドを参照します。

追加情報

 

Scan to view the article on your device