Nblade クレデンシャルキャッシュとは何ですか。
すべてのとおり
環境
ONTAP 9
回答
Nblade クレデンシャルキャッシュとは何ですか。
- NFSクライアントは、次の場合にONTAPのリソースにアクセスするために、UIDに基づいてクレデンシャルを生成する必要があります。
- NTFSセキュリティ形式のボリュームへのアクセス
- 拡張グループ機能を使用したSYS/UNIX認証
- NFSクライアントがグループRPCの最大数16をバイパスできるようにする
- 匿名ユーザに「破棄」されています
- rootの引き下げ、またはAUTH_NONEを使用している場合が原因
- このクレデンシャルは、nbladeクレデンシャルキャッシュに格納されます。
NBlade クレデンシャルキャッシュエントリはどのように入力されますか。
- 資格情報キャッシュエントリを必要とする NFS 操作が ONTAP に対して実行され、要求元 UID のキャッシュエントリがまだ存在しない場合は、 nblade キャッシュエントリが入力されます。
- エントリを入力するために、 nblade は、プライマリグループ ID 、補助グループ ID 、および NT クレデンシャル(該当する場合)の RPC 要求をユーザ空間に送信します。
- これらの RPC 要求に応答する 2 つのユーザ空間プロセスは、セキュリティデーモン( SECD )と管理ゲートウェイデーモン( MGWD )です。
- nblade クレデンシャルキャッシュ内の入力済みエントリに対して設定された存続可能時間( TTL )は、 24 時間です。
- SecD はほとんどが nblade からのクレデンシャル検索要求を促進します。
- 9.3より前のバージョンでは、SECDは 24時間のTTLSを持つ独自のキャッシュからこれらの要求を処理していました。
- SecDはノードごとに固有のプロセスです。つまり、nblade要求を処理する前に、エントリが存在しない場合、そのノードのローカルのSECDプロセスがキャッシュにデータを格納する必要があります。
- 9.3以降、グローバルネームサービスキャッシュ機能がONTAPに追加されました。
- nbladeは引き続きユーザー空間にRPC呼び出しを行いますが、SECD/MGWDは複製されたキャッシュを利用して応答を入力します。
- 1つのノードが共有キャッシュにデータを入力した場合、別のノードは独自の検索を実行せずにその情報を使用できます。
- このキャッシュはすべてのノードにレプリケートされ、リブート後も維持されるため、ONTAPの起動後のネームサービスの負担が軽減されます。
Nblade クレデンシャルキャッシュが更新されるのはいつですか。
- バージョン9.9までのONTAPでは、このキャッシュ内のエントリのデフォルトのTime-To-Live(TTL)は24時間です。 ONTAP 9.10.1以降では、デフォルト値は1時間に設定されています。
- ユーザのグループメンバーシップに対する変更は、このTTLが期限切れになるまで反映されません
- キャッシュはリアクティブであり、クライアント操作がキャッシュされた期限切れのエントリに到達するまで発生しません
Nblade クレデンシャルキャッシュエントリを表示する方法を教えてください。
- nbladeクレデンシャルキャッシュエントリは、診断モードで表示できます。
|
警告 解決策 には診断レベルのリカバリが必要です。診断コマンドとリカバリ手順を使用するとシステムが停止する可能性があるため、必ずネットアップの担当者から指示があった場合にのみ使用してください。 |
| ONTAP 9.4以降 | ::*> vserver nfs credentials show -node Node01 -vserver SVM01 -unix-user-name User01 |
| ONTAP 9.3以前 | ::*> nblade credentials show -node Node01 -vserver SVM01 -unix-user-name User01 |
追加情報
- NFSクレデンシャルキャッシュとネームサービスキャッシュをフラッシュしてグループメンバーシップを更新する方法
- 9.2以前のネームサービスのベストプラクティス: TR-4379
- 9.3 以降のネームサービスのベストプラクティス: TR-4668
- AD 側でユーザ名またはグループメンバーシップを変更したあとも、新しい情報は反映されません
- NFSクレデンシャル キャッシュの仕組み