NFS Kerberos設定の作成
1. NFS Kerberos設定を作成します。
vserver nfs kerberos interface enable -vserver vserver_name -lif logical_interface -spn service_principal_name
Kerberos Realmの異なるOUでSPNを作成する必要がある場合は、オプションの-ouパラメータ
を指定できます。
Data ONTAPでKerberosインターフェイスを有効にするには、KDCからSPNのシークレットキー
を取得する必要があります。このキーは、次の2つの方法のどちらかを使用して取得できます。
状況または条件 コマンドで指定するパラメータ
KDCからキーを直接取得するためのKDC管 理者のクレデンシャルがある
-admin-usernamekdc_admin_username
KDC管理者のクレデンシャルはないが、キ ーが含まれている、KDCのkeytabファイルは ある
-keytab-uri {ftp|http}://uri
詳細については、コマンドのマニュアル ページを参照してください。
例
次の例は、vs1というSVMのNFS Kerberos設定を、OU lab2ou内のSPN
nfs/ves03- [email protected]を使用して、論理インターフェイスves03-d1に対して作成します。
vs1::> vserver nfs kerberos interface enable -lif ves03-d1 -vserver vs2
-spn nfs/[email protected] -ou
"ou=lab2ou"
関連参照情報
NFS Kerberosインターフェイス設定の管理用コマンド(105ページ)
ネーム サービスの設定
ストレージ システムの構成によっては、クライアントに適切なアクセスを提供するためにData
ONTAPがホスト、ユーザ、グループ、またはネットグループ情報を検索できる必要があります。
Data ONTAPがローカルまたは外部のネームサービスにアクセスしてこれらの情報を取得できる
ように、ネーム サービスを設定する必要があります。
Data ONTAP のネーム サービス スイッチ設定の仕組み
Data ONTAPでは、UNIXシステムの/etc/nsswitch.confファイルに相当するテーブルにネーム
サービス設定情報が格納されます。このテーブルを環境に応じて適切に設定するためには、その 機能とData ONTAPでテーブルがどのように使用されるかを理解しておく必要があります。
ネームサービススイッチテーブルは、Data ONTAPが特定の種類のネームサービス情報を取得 する際にどのネームサービスソースをどの順番で参照するかを決定します。ネームサービスス イッチ テーブルは、Storage Virtual Machine(SVM)ごとに作成および保存されます。
データベース タイプ
テーブルには、次の各データベース タイプについてネーム サービスのリストが格納されます。
データベース タイプ
ネーム サービス ソースの用途 有効なソース
hosts ホスト名のIPアドレスへの変換 files、dns
group ユーザグループ情報の検索 files、nis、ldap
passwd ユーザ情報の検索 files、nis、ldap
netgroup ネットグループ情報の検索 files、nis、ldap
namemap ユーザ名のマッピング files、ldap
ソース タイプ
ソースタイプによって、該当する情報を取得するために使用するネームサービスソースが決まり ます。
ソースタ イプ
情報の検索先 使用するコマンド
files ローカルのソースファイル vserver services
name-service unix-user vserver services name-service unix-group vserver services name-service netgroup vserver services name-service dns hosts nis SVMのNISドメイン設定で指定された外部の
NISサーバ
vserver services name-service nis-domain ldap SVMのLDAPクライアント設定で指定された
外部のLDAPサーバ
vserver services name-service ldap
dns SVMのDNS設定で指定された外部のDNS サーバ
vserver services name-service dns
データアクセスとSVM管理者の両方の認証にNISまたはLDAPを使用する場合も、NIS認証また はLDAP認証が失敗した場合に備え、filesでローカルユーザも設定しておく必要があります。
外部ソースへのアクセスに使用されるプロトコル
Data ONTAPでは、外部ソースのサーバへのアクセスに次のプロトコルを使用します。
外部のネーム サービス ソース アクセスに使用するプロトコル
NIS UDP
DNS UDP
LDAP TCP
例
次の例では、SVM svm_1のネームサービススイッチ情報を表示しています。
cluster1::*> vserver services name-service ns-switch show -vserver svm_1 Source
Vserver Database Order --- --- ---svm_1 hosts files, dns svm_1 group files svm_1 passwd files svm_1 netgroup nis, files
ホストのIPアドレス検索では、最初にローカルのソース ファイルが参照され、 結果が返されない場 合は、次にDNSサーバが照会されます。
ユーザまたはグループ情報の検索では、ローカルのソースファイルだけが参照され、結果が返さ れない場合、検索は失敗します。
ネットグループ情報の検索では、最初に外部のNISサーバが参照され、結果が返されない場合 は、次にローカルのネットグループ ファイルが照会されます。
このSVMのテーブルには、ネーム マッピング用のネーム サービス エントリは含まれていません。
そのため、デフォルトの設定に従ってローカルのソース ファイルだけが参照されます。
関連コンセプト
Data ONTAPでのネーム サービスの使用方法(26ページ)
関連情報
ネットアップ テクニカル レポート4379:『Name Services Best Practice Guide Clustered Data ONTAP』
ネーム サービス スイッチ テーブルの設定
Data ONTAPがローカルまたは外部のネームサービスに問い合わせてホスト、ユーザ、またはグ
ループ情報を取得できるようにするには、ネームサービススイッチテーブルを正しく設定する必 要があります。
開始する前に
現在の環境に合わせて、ホスト、ユーザ、グループ、ネットグループ、およびネームマッピングで使 用するネーム サービスを決定しておく必要があります。
ネットグループの使用を計画している場合、ネットグループ内に指定されているすべてのIPv6アド
レスは、RFC 5952の既定に沿って短縮されている必要があります。
手順
1. ネームサービススイッチテーブルに必要なエントリを追加します。
vserver services nameservice nsswitch create vserver vserver_name -database -database_name -sources source_names
2. ネームサービススイッチテーブルに想定されるエントリが適切な順序で格納されていることを 確認します。
vserver services name-service ns-switch show -vserver vserver_name 修正が必要な場合は、vserver services name-service ns-switch modifyまたは vserver services name-service ns-switch deleteコマンドを使用します。
例
次の例は、SVM vs1のネームサービススイッチテーブルに新しいエントリを作成し、ローカ ル ネットグループ ファイル、外部NISサーバ、および外部LDAPサーバを使用して(この順序 で)ネットグループ情報を検索するように設定します。
cluster::> vserver services name-service ns-switch create -vserver vs1 -database netgroup -sources files,nis,ldap
終了後の操作
SVMに対して指定したネーム サービスを設定する必要があります。 ネーム サービスを指定しても その設定を行っていない場合は、ストレージシステムへのクライアントアクセスが想定どおりに機 能しない可能性があります。
関連タスク
ネーム サービスに関する問題のトラブルシューティング(97ページ)
関連参照情報
ネーム サービス スイッチ エントリの管理用コマンド(100ページ)
関連情報
ネットアップ テクニカル レポート4379:『Name Services Best Practice Guide Clustered Data ONTAP』
IETF RFC 5952:『A Recommendation for IPv6 Address Text Representation』
LDAP の使用
LDAPサーバを使用すると、ユーザ情報を一元的に管理できます。 ユーザ データベースを環境内 のLDAPサーバに格納している場合、既存のLDAPデータベース内のユーザ情報を検索するよう にストレージシステムを設定できます。
SSL/TLS 経由の LDAP を使用した通信の保護
SSL/TLS経由のLDAPを使用して、Storage Virtual Machine(SVM)LDAPクライアントとLDAPサー バの間の通信を保護することができます。 この場合、LDAPサーバとやり取りされるすべてのトラ フィックをLDAPによって暗号化できます。
SSL/TLS経由のLDAPの概念
Data ONTAPによるSSL/TLSを使用したLDAP通信の保護方法に関する用語や概念を理解してお
く必要があります。 Data ONTAPでは、SSL/TLS経由のLDAPを使用して、Active Directoryに統合 されたLDAPサーバ間またはUNIXベースのLDAPサーバ間の認証されたセッションを設定できま す。
用語
Data ONTAPでのSSL経由のLDAPを使用したLDAP通信の保護方法に関して理解しておくべき用 語があります。
LDAP
(Lightweight Directory Access Protocol;ライトウェイトディレクトリアクセスプロトコル)
情報ディレクトリに対するアクセスおよび管理を行うためのプロトコルです。 LDAPは、
ユーザ、グループ、ネットグループのようなオブジェクトを格納するための情報ディレクト リとして使用されます。また、これらのオブジェクトを管理したりLDAPクライアントからの 要求を処理するディレクトリサービスを提供します。
SSL
(Secure Sockets Layer)インターネット上で情報を安全に送信するために開発されたセ キュアなプロトコルです。 SSLは、サーバ認証または相互(サーバとクライアント)認証を 実現するために使用されます。 SSLは暗号化の機能のみを提供します。データの整合 性を保証する手段が必要な場合は、SSLを使用してアプリケーションで提供する必要が あります。
TLS
(Transport Layer Security) それまでのSSL仕様に基づいたIETF標準の追跡プロトコル です。 SSLの後継にあたります。
SSL/TLS経由のLDAP
(LDAPS)SSLまたはTLSを使用してLDAPクライアントとLDAPサーバとの間の通信を 保護するプロトコルです。 SSLとTLSという2つの用語は、プロトコルの具体的なバージョ ンを指す場合を除き、同じ意味で使用されることが少なくありません。
Start TLS
(start_tls、STARTTLS、StartTLSとも表記)TSL/SSLプロトコルを使用してセキュアな通 信を提供するメカニズムです。
Data ONTAPでのSSL/TLS経由のLDAPの使用方法
デフォルトでは、クライアントとサーバ アプリケーション間のLDAP通信は暗号化されません。 つま り、ネットワーク監視用のデバイスまたはソフトウェアを使用してLDAPクライアントとサーバコンピ ュータ間の通信内容を表示することが可能です。特に問題になるのはLDAPの簡易バインドが使 用されている場合で、LDAPクライアントをLDAPサーバにバインドするために使用されるクレデン シャル(ユーザ名とパスワード)が暗号化されずにネットワークを介して渡されます。
SSLおよびTLSプロトコルは、TCP/IPよりも上位、かつLDAPなどの上位プロトコルよりも下位で動 作します。これらのプロトコルは上位プロトコルに代わってTCP/IPを使用し、SSL対応のサーバが SSL対応クライアントに対して自身を認証するのを許可し、双方のマシンが暗号化された接続を確 立するのを許可します。 こうした機能により、インターネットやその他のTCP/IPネットワーク経由の 通信についての基本的なセキュリティ面での懸念は払拭されます。
Data ONTAPはSSLサーバ認証をサポートしており、Storage Virtual Machine(SVM)のLDAPクライ アントは、バインド時にLDAPサーバの識別情報を確認できます。 SSL/TLSに対応したLDAPクラ イアントは、公開鍵暗号化の標準的な技法を使用して、サーバの証明書および公開IDが有効であ り、かつクライアントの信頼できるCertificate Authority(CA;認証局)のリストにあるCAによって発 行されたものであるかどうかをチェックできます。
このバージョンのData ONTAPでは以下の機能をサポートしています。
• Active Directory統合LDAPサーバとSVMとの間のSMB関連トラフィックに対するSSL/TLS経由 のLDAP
• ネームマッピング用LDAPトラフィックに対するSSL/TLS経由のLDAP
Active Directory統合LDAPサーバまたはUNIXベースLDAPサーバのどちらかを使用して、
LDAPネームマッピングの情報を格納できます。
• 自己署名ルートCA証明書
Active-Directory統合LDAPを使用している場合、Windows Server証明書サービスがドメインに インストールされると自己署名ルート証明書が生成されます。 UNIXベースのLDAPサーバを LDAPネームマッピングに使用している場合は、該当するLDAPアプリケーションに適した手段 を使用して自己署名ルート証明書が生成および保存されます。
Data ONTAPは、データの署名(整合性の保護)や封印(暗号化)をサポートしていません。
デフォルトでは、SSL/TLS経由のLDAPは無効になっています。
Data ONTAPではSSL/TLS経由のLDAPにポート389を使用
LDAPでは、SSL/TLSを使用した通信の暗号化方式として、従来のLDAPSとSTARTTLSの2つがサ ポートされています。 LDAPS通信は、通常は専用のポート(通常636)経由で行われます。一方
STARTTLSは標準のLDAPポート(389)経由でプレーンテキスト接続として開始され、その後
SSL/TLS接続にアップグレードされます。
Data ONTAPでは、LDAP通信を保護するためにSTARTTLSを使用し、デフォルトのLDAPポート
(389)を使用してLDAPサーバと通信します。 SVMでは、SSL/TLS経由のLDAPでポート636を使 用するように設定しないでください。LDAP接続が失敗します。 LDAPサーバは、LDAPポート389経 由の接続を許可するように設定する必要があります。そうしないと、SVMからLDAPサーバへの
LDAP SSL/TLS接続が失敗します。