アクセスベースの列挙（ABE）はどのように機能しますか？

環境

• ONTAP 9
• Data ONTAP 8 7-Mode

回答

• Access-Based Enumeration（ABE）がCIFS共有で有効になっていると、その下のフォルダまたはファイルにアクセスする権限がないユーザの環境には表示されません。
  • ファイルやフォルダに対する実際の権限は変更されず、表示される権限のみが変わります。
  • ABEでは、共有自体は非表示にされず、アクセス権限に基づいて、ABEの下に作成されたフォルダ/ファイルのみが非表示になります。
  • ユーザや自動化されたシステムが、インデックス作成や管理の目的ですべてのファイルとフォルダの可視性に依存している場合、ABEによってこれらの処理が中断される可能性があります。

注： SVM単位のグローバルオプションはありません。必要に応じて、各共有でABEを有効にする必要があります。

• ローカル管理者は、引き続き無制限の列挙が可能です
  • BUILTIN\Administratorsグループのメンバーには、ローカルシステムへの無制限のアクセスが許可されます
  • したがって、このグループのアカウントはディレクトリ全体を列挙できます
• デフォルトでは、ABEは無効になっています
• ABEを有効にする
  • Data ONTAP 8 7-Mode向け

cifs shares -change sharename -accessbasedenum

• ONTAP 9向け

::> cifs share properties add -vserver <vserver> -share-name <share> -share-properties access-based-enumeration

• ABEの無効化
  • Data ONTAP 8 7-Mode向け

cifs shares -change sharename -noaccessbasedenum

• ONTAP 9向け

::> cifs share properties remove -vserver <vserver> -share-name <share> -share-properties access-based-enumeration

追加情報

• CIFS共有TESTをaccessbasedenumオプションで作成する場合

共有 \FILERTEST がユーザ DOMAINuserA にマッピングされます

PROVAというフォルダが、DOMAINuserAの権限Owner/ Full Controlで作成されます。

• 別のユーザ（DOMAINuserBなど）には共有TESTが表示されますが、共有\FILERTESTの下のフォルダPROVAは表示されませんこれは想定どおりの動作です
• CIFS共有のTESTを非表示にするオプションには、次のようなものがあります：

-nobrowseオプションを使用したCIFS共有のブラウズの無効化

共有を作成し、名前の末尾に$記号を付加する。

• ONTAP 9.9.1以降では、共有レベルの権限に基づいて共有を列挙するcifsオプションが導入されました
  • -is-share-enum-permission-check-enabled（権限：advanced）  
  • このパラメータがtrueに設定されている場合、NetShareEnum呼び出しはユーザがアクセスできる共有でのみ応答します。デフォルト値はfalseで、すべての共有で応答します。
• SMB共有でのアクセスベースの列挙の有効化または無効化（ONTAP 9以降）
• アクセスベースの列挙を使用した共有フォルダーのセキュリティ提供（Clustered ONTAP 8.3.1）
• Data ONTAP 7.3 ファイルアクセスとプロトコル
• na_cifs_shares マンページ
• アクセスベースの列挙を使用した共有フォルダーのセキュリティ概要（netapp.com）
• ABEの影響を確認するためにクライアントが再接続する必要はありません。次回のディレクトリクエリ時にABEが有効であれば、ユーザーがアクセス権を持たないファイルやフォルダーは結果に表示されなくなります。
• ユーザーがローカル管理者（SVM上）のメンバーである場合、共有を表示できます。