メインコンテンツまでスキップ

cifs.restrict_anonymous オプションの説明と、 null ユーザアクセスに対する影響は何ですか。

Views:
132
Visibility:
Public
Votes:
0
Category:
data-ontap-8
Specialty:
nas
Last Updated:

環境

Data ONTAP

回答

null ユーザセッションに関する脆弱性がネットアップサポートセンターで頻繁にスキャンされ、セキュリティ脆弱性がスキャンされます。特に、この脆弱性は、 null ユーザが Filer の IPC$ 共有に正常に接続できたことを示します。

この KB は、 null ユーザアクセスを変更したり、特定の Data ONTAP オプション設定に基づいてさまざまな結果にスクリーンショットを含めることができるオプションの説明として使用されます。

環境に変更を加える前に、ファイラーだけでなく、ファイラーに依存する外部アプリケーションにも、変更が及ぼす影響を十分にテストしてください。

Data ONTAP は、 null ユーザセッションアクセスに関して Windows サーバのようなものにするために、上記の restrict_anonymous オプションを実装しました。Filer 上で実行している Data ONTAP のバージョンに応じて、異なるオプション / 設定を使用できます。この資料では、 Common Internet File System Protocol ( CIFS )を介した Filer への null ユーザ・アクセスを制御するさまざまなオプションについて説明します。

  • 7.2.5.1 より前のバージョンの Data ONTAP

使用できるオプションは、次の 2 つの設定のみです。

Filer>options cifs.restrict_anonymous.enable < on | off >

このオプションoffをに設定すると、 Filer への null ユーザ接続が許可され、 Filer に提示された共有の一覧が正常に表示されます。このオプションonをに設定すると、 null ユーザによる Filer へのマッピングは許可されますが、共有の列挙は拒否されます。

以下に、各オプションの設定に基づいて表示される画面ショットをいくつか示します。

  1. cifs.restrict_anonymous.enableに設定します off

ONTAP

2.cifs.restrict_anonymous.enableに設定します on

Data ONTAP

に設定するoff,と、 null ユーザアクセスは制限されません。net use と net view の両方を使用したマップは、アクセスを拒否することなく動作します。

に設定するとon、 Windows RestrictAnonymous の設定がデフォルトで 1 に設定されます(列挙を許可しません ... ) )。これにより、 null ユーザは net use を介して接続できるようになりますが、 net view を介した共有の列挙は拒否されます。どちらの結果も想定される応答ですが、 null ユーザアクセスに対する完全な拒否はありません。以下で説明するように、 ONTAP の新しいバージョンは、 Windows サーバ環境で使用可能な動作や設定に近いものになっています。

  • Data ONTAP 7.2.5.1 以降

7.2.5.1 以降の ONTAP では、匿名設定を制限して Windows 環境の設定に模倣するように設定できるようになりました。匿名ユーザの機能を制限しようとする場合は、 Filer 上で新しいオプションを必要に応じて 3 つの設定に設定できます。オプションと設定は次のとおりです。

Filer> options cifs.restrict_anonymous <0|1|2>

Possible values for this option are:
0 - No special restrictions
1 - Enumeration is restricted
2 - Access is fully restricted

古いオプションcifs.restrict_anonymous.enableはまだ存在しますが、廃止されているため使用しないでください。廃止されたオプションを使用しようとすると、 cifs.restrict_anonymous の設定に影響します。
詳細については、「 KB : 廃止された options コマンド「 cifs.restrict_anonymous.enable 」と「 cifs.restrict_anonymous 」の違いについてを参照してください
廃止さcifs.restrict_anonymous.enablecifs.restrict_anonymousれた options コマンドとの違いにより、 7.2.5.1 以降で廃止されたオプションを切り替えるとどうなるかを確認できます。

以下に、各オプションの設定に基づいて表示される画面ショットをいくつか示します。

1.cifs.restrict_anonymous次のように設定します0

Data ONTAP

2.cifs.restrict_anonymous次のように設定1します。

Data ONTAP

3.cifs.restrict_anonymous次のように設定します2

Data ONTAP

追加情報

関連リンク:
『システム・アドミニストレーション・ガイド』およびご使用の Data ONTAP バージョンに対応した『ファイル・アクセスおよびプロトコル管理ガイド』
TR-3649 :『Best Practices for Secure Configuration of Data ONTAP 7G 』

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.