NFSクライアントがNTFSセキュリティ形式のリソースにアクセスしている場合、ネームマッピングはどのように機能しますか?
環境
- ONTAP 9
- NTFS
- NFS
回答
名前解決
- クライアントは、NFS処理のRPCヘッダーでUIDとGIDを送信します。
- ONTAPはUIDとGIDをそれぞれの名前に解決しようとします
- この名前解決は、 passwd と groupに対してns-switchで定義されているソースを介して実行されます。
::> vserver services name-service ns-switch show -vserver SVM
注:
- ネームサービスは、files、ldap、nisです。
- 「files」を設定した場合は 、SVM上のユーザごとにUNIXユーザを作成する必要があります。
::> vserver services unix-user create -user tsmith -id 4219 -primary-gid 100 -full-name "Tom Smith" -vserver SVM01
ネーム マッピング
- 名前を解決した後、ONTAPは 作成された名前を 有効なWindowsユーザに 次の順序でマッピングしようとします。
- 明示的なネームマッピング: ONTAPは 、明示的なネームマッピング「unix-win」ルールが定義されているとおりに、文字列比較を使用して、解決済みのUNIXユーザを照合します。
::> vserver name-mapping show -vserver SVM01 -direction unix-win
- ルールが正常に一致した場合、ONTAPは、マッピングされたWindowsユーザをActive Directoryで検索して、そのユーザのクレデンシャルを取得しようとします。
注: Windows名がグループの場合はエラーになりますが、 デフォルトのユーザが設定されている場合は無視されます。
- 暗黙的なネームマッピング: 明示的なルールに一致しない場合、ONTAPは ローカルCIFSユーザをチェックして、UNIXユーザをWindowsユーザに暗黙的にマッピングし、クレデンシャルを取得しようとします。一致するものが見つからない場合は 、次にActive Directoryが試行されます。
例: FilerはUNIXユーザ「User01」をWindowsユーザ「User01」にマッピングしようとします。
- デフォルトのWindowsユーザ -上記の両方の方法が何らかの理由で失敗した場合、ONTAPはUNIXユーザを「デフォルトのWindowsユーザ」にマッピングします(NFSサーバ設定で設定されている場合)。
::> vserver nfs show -vserver SVM01 -fields default-win-user
注 :このオプションはデフォルトでは空白です。
- Windowsクレデンシャルでアクセスが許可または拒否されるのは、ボリュームがNTFSセキュリティ形式であるためです。