CIFSクライアントがUNIXセキュリティ形式のリソースにアクセスする場合、ネームマッピングはどのように機能しますか。
環境
- ONTAP 9
- UNIX
- CIFS
回答
- ユーザは ドメインですでに認証されているため、ONTAPでは、新しく作成するCIFSセッションごとにユーザのクレデンシャルを作成する必要があります。
- クレデンシャルを作成するには 、ONTAPが マッピングされたUIDとGIDをns-switchで定義されたソースを使用して検索できるように、WindowsユーザをUNIXユーザにマッピングする必要があります。
::> vserver services name-service ns-switch show
Source
Vserver Database Order
--------------- ------------ ---------
vs0 hosts files,
dns
vs1 passwd files,
ldap, nis
2 entries were displayed.
- ONTAPは、ns-switchで定義されたソースを介してUNIXユーザのUIDとGIDを検索するために、次の順序でWindowsユーザをUNIXユーザにマッピングしようとします。
- 明示的なネームマッピング: ONTAPは 、明示的なネームマッピング「win-unix」ルールが定義されているとおりに、文字列比較を使用してWindowsユーザを照合します。
::> vserver name-mapping show -vserver SVM01 -direction win-unix
例:
Vserver: SVM01
Direction: win-unix
Position Hostname IP Address/Mask
-------- ---------------- ----------------
1 test.com - Pattern: EXAMPLE\\administrator
Replacement: nobody
2 - 10.238.2.34/32 Pattern: EXAMPLE\\(.+)
Replacement: \_1
注: vserver name-mappingルールを作成して理解する方法
- 暗黙的なネームマッピング: 明示的なルールに一致しない場合、ONTAPは 同じユーザ名のUNIXユーザにWindowsユーザをマッピングしようとします。
例: Windowsユーザ「DOMAIN\user01」からUNIXユーザ「User01」へ
- デフォルトのUNIXユーザ: 上記の両方の方法が失敗した場合(FilerがマッピングされたUNIXユーザのUIDとGIDを取得できない場合など)、何らかの理由で、FilerはWindowsユーザをCIFSサーバ・オプションで定義されている「デフォルトのUNIXユーザ」にマッピングします。
::> vserver cifs options show -vserver SVM01 -fields default-unix-user
注: デフォルトのUNIXユーザは 、デフォルトで「pcuser」(UID 65534)に設定されています。
- ボリュームがUNIXセキュリティ形式に設定されているため、UNIXクレデンシャルのUIDとGIDに基づいてアクセスが許可または拒否されます。
- ネームマッピングを確認する手順は次のとおりです。
例:
::> set -privilege advanced
::*> vserver services access-check name-mapping show -node cluster1-node01 -vserver SVM01 -direction win-unix -name EXAMPLE\Administrator
EXAMPLE\Administrator maps to root