マルチプロトコル環境におけるネームマッピングの理解
環境
- ONTAP 9
- NAS
回答
- UNIXセキュリティ形式のリソースにアクセスするNFSクライアントでのネームマッピングはどのように機能しますか?
- UNIXセキュリティ形式のリソースにアクセスするNFSクライアントでのネームマッピングはどのように機能しますか?
- NTFSセキュリティ形式のリソースにアクセスするNFSクライアントでのネームマッピングはどのように機能しますか?
- NFSクライアントがNTFSセキュリティスタイルのリソースにアクセスしている場合、ネームマッピングはどのように機能しますか?
- UNIXセキュリティスタイルのリソースにアクセスするCIFSクライアントでのネームマッピングはどのように機能しますか?
- CIFSクライアントがUNIXセキュリティスタイルのリソースにアクセスする場合、ネームマッピングはどのように機能しますか?
- ネームマッピングは、NTFSセキュリティスタイルのリソースにアクセスするCIFSクライアントでどのように機能しますか?
- CIFSクライアントがNTFSセキュリティスタイルのリソースにアクセスするとき、ネームマッピングはどのように機能しますか?
追加情報
- vserver name-mappingルールの作成と理解方法
- 以下は例となるシナリオです:
- UID 1057がクライアントからONTAPに送信されます。
- ONTAPはUID 1057をUnixユーザ“bob”に解決します
- ONTAPはネームマッピングエントリをチェックします。
- ONTAPが「bob」というパターンのUnixからWindowsへのネームマッピングエントリ(例えば「bob==DOMAIN\robert」)を見つけた場合、UIDとADアカウントは接続中にリンクされます。そのため、NFS接続がUID 1057で使用される場合、NTFSセキュリティの場所へのファイルレベルのアクセスは、リンクされているADアカウントに基づいて決定されます。
- ONTAPがパターン「bob」のネームマッピングテーブルのエントリを見つけられなかった場合、「bob==DOMAIN\bob」と見なされ、ADでbobという名前のアカウントがチェックされます。
- アカウントが見つかった場合、UID 1057にはADアカウント「DOMAIN\bob」に基づいてアクセス権が付与されます。
- 明示的なネームマッピングが見つからず、暗黙的なネームマッピングも失敗した場合、NFSサーバ設定の「default windows user」オプションで、bobとして解決されたUIDを「DOMAIN\guest」のようなフォールバックADアカウントにリンクする最終手段があります。ただし、この設定はONTAPでNFSアクセスに必要ないため、通常は空白のままです。
- このプロセスは、CIFS/SMB接続が確立され、Unixセキュリティスタイルの場所へのアクセスが試行されたときにも発生します。
- 唯一の違いは、「default unix user」のCIFS Serverオプションに、ONTAPがローカルまたはNIS/LDAPで検索できるUnixアカウントを指定する必要があることです。
- この要件は、ONTAPがUnix上で動作し、ファイルレベルのアクセスを決定するためにネームマッピングされたunixアカウントを使用しない場合でも、すべての接続がUnix UIDに基づいて追跡される必要があるという事実に関連しています。