NFSでKerberosを使用するための設定をシステムで行う前に、ネットワークおよびストレージの環
境のいくつかの項目について、適切に設定されていることを確認する必要があります。
注: 環境を設定する手順は、クライアントで使用しているオペレーティングシステム、ドメインコン トローラ、Kerberos、DNSなどのバージョンや種類によって異なります。 このドキュメントでは、そ れらのすべてについては説明していません。詳細については、それぞれのコンポーネントの対 応するドキュメントを参照してください。
Windows Server 2008 R2のActive DirectoryおよびLinuxホストを使用する環境でのclustered Data ONTAPとKerberos 5およびNFSv3 / NFSv4の設定方法に関する詳しい例については、テク ニカル レポート4073を参照してください。
次の項目について事前に設定しておく必要があります。
ネットワーク環境の要件
• Kerberos
KerberosをKey Distribution Center(KDC;キー配布センター)で設定しておく必要があります(た とえば、Windows Active DirectoryベースのKerberosまたはMIT Kerberos)。
NFSサーバでは、マシンプリンシパルの主要コンポーネントとして「nfs」を使用する必要があり ます。
• ディレクトリ サービス
Active DirectoryやOpenLDAPなど、セキュアなディレクトリサービスを環境に導入し、SSL/TLS 経由のLDAPの使用を設定する必要があります。
• NTP
タイムサーバでNTPを実行している必要があります。これは、時刻のずれによるKerberos認証 の失敗を回避するために必要です。
• ドメイン名解決(DNS)
それぞれのUNIXクライアントおよびStorage Virtual Machine(SVM)LIFについて、KDCの前方 参照ゾーンと逆引き参照ゾーンに適切なサービスレコード(SRV)が登録されている必要があり ます。すべてのコンポーネントをDNSで正しく解決できなければなりません。
• ユーザ アカウント
各クライアントについて、Kerberos Realmのユーザアカウントが必要です。 NFSサーバでは、マ シンプリンシパルの主要コンポーネントとして「nfs」を使用する必要があります。
NFSクライアントの要件
• NFS
NFSv3またはNFSv4を使用してネットワーク経由で通信するように各クライアントが適切に設定 されている必要があります。
クライアントでRFC1964およびRFC2203がサポートされている必要があります。
• Kerberos
以下の詳細も含めて、Kerberos認証を使用するように各クライアントが適切に設定されている 必要があります。
◦ TGS通信に対して暗号化を有効にする。
AES-256が最も強固なセキュリティ。
◦ TGT通信に対して最も安全な暗号化タイプを有効にする。
◦ Kerberos Realmとドメインを正しく設定する。
◦ GSSを有効にする。
マシンのクレデンシャルを使用する場合:
◦ -nパラメータを指定してgssdを実行しない。
◦ rootユーザとしてkinitを実行しない。
• 各クライアントのオペレーティングシステムが、最新バージョンに更新されている必要がありま す。
これにより、KerberosでのAES暗号化について最高の互換性と信頼性が確保されます。
• DNS
DNSを使用して名前が正しく解決されるように各クライアントが適切に設定されている必要があ ります。
• NTP
各クライアントがNTPサーバと同期されている必要があります。
• ホストとドメインの情報
各クライアントの/etc/hostsファイルと/etc/resolv.confファイルに、正しいホスト名とDNS の情報が格納されている必要があります。
• keytabファイル
各クライアントについて、KDCのkeytabファイルが必要です。 Realmは大文字で指定する必要 があります。 最高レベルのセキュリティを得るために、暗号化タイプをAES-256にする必要があ ります。
• オプション:パフォーマンスを最大限に高めるには、ローカルエリアネットワークとの通信用と ストレージネットワークとの通信用に、少なくとも2つのネットワークインターフェイスを設定しま す。
ストレージ システムの要件
• NFSライセンス
ストレージ システムに有効なNFSライセンスがインストールされている必要があります。
• CIFSライセンス
CIFSライセンスはオプションです。 マルチプロトコルのネーム マッピングを使用する環境で、
Windowsクレデンシャルのチェックを行う場合にのみ必要になります。純粋なUNIXのみの環
境では必要ありません。
• SVM
システムでSVMを少なくとも1つ設定しておく必要があります。
• SVMでのDNS
それぞれのSVMでDNSを設定しておく必要があります。
• NFSサーバ
SVMでNFSを設定しておく必要があります。
• AES暗号化
最高レベルのセキュリティを得るために、KerberosでAES-256暗号化のみを許可するように NFSサーバを設定する必要があります。
• CIFSサーバ
マルチプロトコル環境の場合は、SVMでCIFSを設定しておく必要があります。 CIFSサーバは マルチプロトコルのネームマッピングに必要です。
• ボリューム
SVMで使用するルートボリュームと少なくとも1つのデータボリュームを設定しておく必要があ ります。
• ルートボリューム
SVMのルート ボリュームを次のように設定しておく必要があります。
名前 設定
セキュリティ形式 UNIX
UID ルートまたはID 0
GID ルートまたはID 0
UNIXアクセス権 777
ルートボリュームとは異なり、データボリュームのセキュリティ形式は任意に設定してかまいま せん。
• UNIXグループ
SVMで次のUNIXグループを設定しておく必要があります。
グループ名 グループID
daemon 1
グループ名 グループID
root 0
pcuser 65534(SVMを作成するとData ONTAPで自動的に
作成されます)
• UNIXユーザ
SVMで次のUNIXユーザを設定しておく必要があります。
ユーザ名 ユーザID プライマリグ ループID
コメント
nfs 500 0 GSS INITフェーズで必要
NFSクライアントユーザのSPNの最初のコンポー ネントがユーザとして使用されます。
pcuser 65534 65534 NFSとCIFSのマルチプロトコルで必要
SVMを作成すると、Data ONTAPで自動的に作成
されてpcuserグループに追加されます。
root 0 0 マウントに必要
NFSクライアント ユーザのSPNに対するKerberos-UNIXネーム マッピングがある場合は、nfsユ ーザは必要ありません。
• エクスポートポリシーとエクスポートルール
ルートおよびデータボリュームとqtreeに対するエクスポートポリシーと必要なエクスポートル ールを設定しておく必要があります。 SVMのすべてのボリュームへのアクセスにKerberosを使 用する場合は、ルートボリュームのエクスポートルールオプションである-rorule、
-rwrule、および-superuserをkrb5またはkrb5iに設定できます。
• Kerberos-UNIXネームマッピング
NFSクライアントユーザのSPNによって識別されたユーザにroot権限を割り当てる場合は、root へのネーム マッピングを作成する必要があります。
関連情報
ネットアップ テクニカル レポート4073:『Secure Unified Authentication for NFS Kerberos, NFSv4, and LDAP in Clustered Data ONTAP』
NetApp Interoperability Matrix Tool
clustered Data ONTAP 8.3 システム アドミニストレーション ガイド clustered Data ONTAP 8.3 論理ストレージ管理ガイド
NFS Kerberos で許可される暗号化タイプの設定
Data ONTAPがデフォルトでサポートしている暗号化タイプは、DES、3DES、AES-128、および AES-256です。特定の環境のセキュリティ要件に合わせて各Storage Virtual Machine(SVM)で許 可する暗号化タイプを設定するには、vserver nfs modifyコマンドと-permitted-enc-types パラメータを使用します。
タスク概要
クライアントの互換性を最大にするために、Data ONTAPはデフォルトでセキュリティの弱いDES暗 号化とより強いAES暗号化の両方をサポートしています。そのため、たとえば、セキュリティの強 化が必要で環境でサポートされている場合は、この手順を使用して、DESと3DESを無効にしてクラ イアントでAES暗号化のみが使用されるようにすることができます。
• SVMでAESを完全に(AES-128とAES-256の両方を)有効化または無効化するには、SVMのす べてのLIFでKerberos設定を無効にする必要があるため、システムの停止が伴います。 この変 更を行う前に、NFSクライアントがSVMのAES暗号化に依存していないことを確認します。
• DESや3DESの有効化または無効化は、LIFでのKerberos設定の変更を一切必要としません。
手順
1. 許可される暗号化タイプを必要に応じて有効または無効にします。
有効または無効にする対象 手順 DESまたは3DES
a. SVMのNFS Kerberosで許可する暗号化タイプを設定します。
vserver nfs modify vserver vserver_name -permitted-enc-types encryption_types 複数の暗号化タイプを指定する場合はカンマで区切ります。
b. 変更が正常に行われたことを確認します。
vserver nfs show -vserver vserver_name -fields permitted-enc-types
AES-128またはAES-256 a. Kerberosが有効になっているSVMとLIFを特定します。
vserver nfs kerberos interface show
b. NFS Kerberosで許可する暗号化タイプを変更するSVM上のすべて のLIFでKerberosを無効にします。
vserver nfs kerberos interface disable -lif lif_name
c. SVMのNFS Kerberosで許可する暗号化タイプを設定します。
vserver nfs modify vserver vserver_name -permitted-enc-types encryption_types 複数の暗号化タイプを指定する場合はカンマで区切ります。
d. 変更が正常に行われたことを確認します。
vserver nfs show -vserver vserver_name -fields permitted-enc-types
e. SVM上のすべてのLIFでKerberosを再び有効にします。
vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name
f. すべてのLIFでKerberosが有効になっていることを確認します。
vserver nfs kerberos interface show
NFSv4 のユーザ ID ドメインの指定
ユーザIDドメインを指定するには、-v4-id-domainオプションを設定します。
タスク概要
NFSv4ユーザIDのマッピングにデフォルトで使用されるドメインは、NISドメインが設定されている
場合はNISドメインになります。 NISドメインが設定されていない場合はDNSドメインが使用されま す。 たとえば、複数のユーザIDドメインがあると、ユーザIDドメインの設定が必要になる場合があ ります。ドメイン名は、ドメインコントローラのドメインの設定と一致する必要があります。これは、
NFSv3の場合は必要ありません。