メインコンテンツまでスキップ

Nblade クレデンシャルキャッシュとは何ですか。

Views:
45
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

すべてのとおり  

に適用されます

  • ONTAP 9
  • clustered Data ONTAP 8

回答

このドキュメントでは、 Nblade クレデンシャルキャッシュの概要、使用時期、キャッシュへのデータの格納方法、更新時期、表示方法、フラッシュ方法について説明します。

この資料では、次の現象について説明します。

  • ネームサービス(ファイル、 NIS 、 LDAP 、 AD )でのユーザの変更は、 NFS ユーザにはすぐに反映されません
  • ネームサービスには最大 24 時間から 48 時間かかります 変更を有効にします
Nblade クレデンシャルキャッシュとは何ですか。

ONTAP でリソースにアクセスするには、 NFS クライアントが UID に基づいてクレデンシャルを生成する必要がある場合があります。
クレデンシャルを入力する必要があるシナリオは次のとおりです。

  • NTFS セキュリティ形式のボリュームへのアクセス
  • SYS/UNIX 認証に拡張グループ機能を使用する場合
    • この機能を使用すると、 NFS クライアントは 16 グループ RPC 制限をバイパスできます
  • 匿名ユーザに「衝突」しています
    • これは、 root squash または auth_none を使用した場合に発生します

このクレデンシャルは、 Nblade クレデンシャルキャッシュに格納されます。

NBlade クレデンシャルキャッシュエントリはどのように入力されますか。
  • Nblade キャッシュエントリは、クレデンシャルキャッシュエントリを必要とする NFS 処理が ONTAP に対して実行され、要求側 UID のキャッシュエントリがまだ存在しない場合に生成されます。
    • エントリを入力するために、 Nblade はプライマリグループ ID 、補助グループ ID 、 NT クレデンシャル(該当する場合)の RPC 要求をユーザスペースに作成します。
    • これらの RPC 要求に応答する 2 つのユーザ空間プロセスは、セキュリティデーモン( SE2D )と管理ゲートウェイデーモン( MGWD )です。
    • NBlade クレデンシャルキャッシュに格納されたエントリに設定された存続可能時間( TTL )は 24 時間です。
  • SECD は、 Nblade からのクレデンシャル検索要求を容易にすることを主な責務とします。9.3 よりも前のバージョンでは、 SECD は 24 時間 TTLS を使用するキャッシュからこれらの要求を処理します。SE次元 はノードごとに一意のプロセスです。つまり、 Nblade 要求を処理する前に、そのノードのローカルの SE次元 プロセスは、エントリが存在しない場合にキャッシュにデータを格納する必要があります。
  • 9.3 以降、 Global NameService のキャッシング機能が ONTAP に追加されました。Nblade は引き続きユーザ空間への RPC 呼び出しを行いますが、 SEC/MGWD はレプリケートされたキャッシュを利用して応答を生成します。つまり、 1 つのノードが共有キャッシュにデータを格納する場合、別のノードが独自の検索を実行せずにその情報を使用できます。このキャッシュはすべてのノードにレプリケートされ、リブート後も保持されるため、 ONTAP の起動後のネームサービスの負担が軽減されます。
Nblade クレデンシャルキャッシュが更新されるのはいつですか。
  • このキャッシュ内のエントリのデフォルトの存続可能時間( TTL )は 24 時間です。
    • つまり、ユーザのグループメンバーシップに対する変更は、この TTL が期限切れになり、そのクレデンシャルを必要とするクライアントからの操作によってエントリが更新されるまで反映されません。
Nblade クレデンシャルキャッシュエントリを表示する方法を教えてください。
  • nblade クレデンシャルキャッシュエントリは、 set diag から表示できます。
    • Cluster01::*> nblade credentials show -node Node01 -vserver SVM01 -unix-user-name User01
  • ONTAP 9.4 以降で実行している場合、コマンドは次のようになります。
    • Cluster01::*> vserver nfs credentials show -node Node01 -vserver SVM01 -unix-user-name User01
nblade クレデンシャルとネームサービスキャッシュをフラッシュしてグループメンバーシップを更新する方法を教えてください。

nblade キャッシュの前 にネームサービスキャッシュをフラッシュして最新情報を取得することが重要です。 nblade クレデンシャルキャッシュは、ユーザ空間でネームサービス解決プロセスから提供された情報に基づいて読み込まれます。

ONTAP 9.3 以前での手順

set diag から:

Cluster01::*> secd cache clear-nfs -node Node01 -vserver SVM01 -user User01
Cluster01::*> nblade credentials flush -node Node01 -vserver SVM01 -unix-user-name User01

ONTAP 9.3 での手順

set diag から:

  • NIS を使用してグループメンバーシップを照会している場合は、他のキャッシュをフラッシュする前に、 nis-domain group-dたべ ーすを再構築する必要があります。

Cluster01::*> nis-domain group-database build -vserver SVM01
Cluster01::*> name-service cache group-membership delete -vserver SVM01 -user User01 -group PrimaryGID
Cluster01::*> diag nblade credentials flush -node Node01 -vserver SVM01 -unix-user-name User01

'name-service cache group-membership delete' コマンド 'name-service cache group-membership show -vserver SVM01 -user User01' の「 -group 」フラグは、出力の「 Group 」フィールドを参照します。
ONTAP 9.4 以降での手順

set diag から:

  • NIS を使用してグループメンバーシップを照会している場合は、他のキャッシュをフラッシュする前に、 nis-domain group-dたべ ーすを再構築する必要があります。

Cluster01::*> nis-domain group-database build -vserver SVM01
Cluster01::*> vserver services name-service cache group-membership delete -vserver SVM01 -user User01 -group PrimaryGID
Cluster01::*> vserver nfs credentials flush -node Node01 -vserver SVM01 -unix-user-name User01
Cluster01::*> diag secd cache clear -node Node01 -vserver SVM01 -cache-name nis-group-membership
Cluster01::*> diag secd cache clear -node Node01 -vserver SVM01 -cache-name username-to-creds

'name-service cache group-membership deleteコマンド'name-service cache group-membership show -vserver SVM01 -user User01' の「 -group 」フラグは、出力の「 Group 」フィールドを参照します。

追加情報