NFSでのIPv6の有効化
3. NTFSのファイルやフォルダのAccess Control List(ACL;アクセス 制御リスト)、NFSv4 ACL、ま たは UNIX モードのビット
• ボリュームがあるボリューム ジャンクション パスの下にマウントされていて、ストレージレベル のアクセス保護がそのパス上にある場合、ストレージレベルのアクセス保護はそのパスの下に マウントされているボリュームには伝播されません。
• ストレージレベルのアクセス保護のセキュリティ記述子は、SnapMirrorデータ レプリケーション およびStorage Virtual Machine(SVM)レプリケーションによってレプリケートされます。
• ウィルススキャンについては特別な免除があります。
ファイルやディレクトリのスクリーニングを行うこうしたサーバに対しては、ストレージレベルのア クセス保護によってそのオブジェクトへのアクセスが拒否されている場合でも、例外的なアクセ スが許可されます。
• ストレージレベルのアクセス保護によってアクセスが拒否された場合、FPolicy通知は送信され ません。
NFSアクセスに対するストレージレベルのアクセス保護
ストレージレベルのアクセス保護では、NTFSのアクセス権限のみがサポートされています。 Data
ONTAPでUNIXユーザに対するセキュリティチェックを実行している場合、ストレージレベルのアク
セス保護が適用されているボリューム上のデータにアクセスするには、UNIXユーザをそのボリュ ームを所有しているSVM上のWindowsユーザにマッピングする必要があります。
ストレージレベルのアクセス保護は、UNIX専用のSVMやCIFSサーバが含まれていないSVMには 適用されません。
アクセス チェックの順序
ファイルまたはディレクトリへのアクセスは、エクスポートまたは共有の権限、ボリュームで設定さ れているストレージレベルのアクセス保護権限、ファイルやディレクトリに適用されるネイティブのフ ァイルアクセス権の各影響の組み合わせによって決定されます。すべてのレベルのセキュリティ が評価されて、ファイルまたはディレクトリの有効な権限が決定されます。セキュリティアクセスチ ェックは、次の順序で実行されます。
1. SMB共有またはNFSエクスポートレベルの権限
2. ストレージレベルのアクセス保護
3. NTFSのファイルやフォルダのAccess Control List(ACL;アクセス 制御リスト)、NFSv4 ACL、ま
ト番号の変更は、データへのアクセスにTCPとUDPのどちらを使用するNFSクライアントにも影響を 与えます。
NFSv4およびNFSv4.1のポートは変更できません。
手順
1. 権限レベルをadvancedに設定します。
set -privilege advanced
2. NFSへのアクセスを無効にします。
vserver nfs modify -vserver vserver_name -access false 3. 特定のNFSサービスのNFSポートを設定します。
vserver nfs modify -vserver vserver_name nfs_port_parameter port_number NFSポートパラメータ 説明 デフォルトポート
-mountd-port NFSマウント デーモン 635
-nlm-port Network Lock Manager 4045 -nsm-port Network Status Monitor 4046
-rquotad-port NFSクォータデーモン 4049
デフォルト ポート以外で使用可能なポート番号の範囲は、1,024~65,535です。 各NFSサービ スで固有のポートを使用する必要があります。
4. NFSへのアクセスを有効にします。
vserver nfs modify -vserver vserver_name -access true
5. network connections listening showコマンドを使用して、ポート番号の変更を確認しま す。
6. admin権限レベルに戻ります。
set -privilege admin
例
次のコマンドは、vs1という SVMでNFSマウント デーモンのポートを1113に設定します。
vs1::> set -privilege advanced
Warning: These advanced commands are potentially dangerous; use them only when directed to do so by NetApp personnel.
Do you want to continue? {y|n}: y
vs1::*> vserver nfs modify -vserver vs1 -access false vs1::*> vserver nfs modify -vserver vs1 -mountd-port 1113 vs1::*> vserver nfs modify -vserver vs1 -access true vs1::*> network connections listening show
Vserver Name Interface Name:Local Port Protocol/Service --- ---Node: cluster1-01
Cluster cluster1-01_clus_1:7700 TCP/ctlopcp vs1 data1:4046 TCP/sm vs1 data1:4046 UDP/sm vs1 data1:4045 TCP/nlm-v4 vs1 data1:4045 UDP/nlm-v4 vs1 data1:1113 TCP/mount
vs1 data1:1113 UDP/mount ....
vs1::*> set -privilege admin
NFS サーバの管理用コマンド
Data ONTAPには、NFSサーバを管理するための固有のコマンドが用意されています。
状況 使用するコマンド
NFSサーバを作成する vserver nfs create
NFSサーバを表示する vserver nfs show
NFSサーバを変更する vserver nfs modify NFSサーバを削除する vserver nfs delete 詳細については、各コマンドのマニュアルページを参照してください。
関連タスク
NFSサーバの作成(33ページ)
ネーム サービスに関する問題のトラブルシューティング
ネームサービスの問題でクライアントでアクセスエラーが発生した場合は、vserver services name-service getxxbyyyコマンドファミリーを使用して、さまざまなネームサービス検索を手動 で実行したり、検索の詳細や結果を調べたりして、トラブルシューティングに役立てることができま す。
タスク概要
• 各コマンドでは、次の情報を指定できます。
◦ 検索を実行するノードまたはStorage Virtual Machine(SVM)の名前。
特定のノードまたはSVMでネームサービス検索を実行して、想定されるネームサービス設 定問題の検索範囲を絞り込むことができます。
◦ 検索に使用されたソースを表示するかどうか。
正しいソースが使用されたかどうかをチェックできます。
• Data ONTAPは、設定されているネームサービススイッチの順序に基づいて検索を実行する
ためのサービスを選択します。
• これらのコマンドはadvanced権限レベルで使用できます。
手順
1. 次のいずれかを実行します。
取得する情報 使用するコマンド
ホスト名のIPアドレス vserver services name-service getxxbyyy getaddrinfo
vserver services name-service getxxbyyy gethostbyname(IPv4アドレス専用)
グループのメンバー(グルー プIDを指定)
vserver services name-service getxxbyyy getgrbygid
グループのメンバー(グルー プ名を指定)
vserver services name-service getxxbyyy getgrbyname
ユーザが属しているグルー プのリスト
vserver services name-service getxxbyyy getgrlist
IPアドレスのホスト名 vserver services name-service getxxbyyy getnameinfo
vserver services name-service getxxbyyy gethostbyaddr(IPv4アドレス専用)
ユーザ情報(ユーザ名を指 定)
vserver services name-service getxxbyyy getpwbyname
-use-rbacパラメータをtrueに設定すると、RBACユーザの名前解 決をテストできます。
ユーザ情報(ユーザIDを指 定)
vserver services name-service getxxbyyy getpwbyuid
-use-rbacパラメータをtrueに設定すると、RBACユーザの名前解 決をテストできます。
クライアントのネットグループ メンバーシップ
vserver services name-service getxxbyyy netgrp
クライアントのネットグループ メンバーシップ(ホスト単位の ネットグループ検索を使用)
vserver services name-service getxxbyyy netgrpbyhost
例
次の例は、ホストacast1.eng.example.comのIPアドレスの取得を試みることでSVM vs1のDNSル ックアップをテストします。
cluster1::*> vserver services nameservice getxxbyyy getaddrinfo vserver vs1 hostname acast1.eng.example.com addressfamily all -show-source true
Source used for lookup: DNS Host name: acast1.eng.example.com Canonical Name: acast1.eng.example.com IPv4: 10.72.8.29
次の例は、UIDが501768のユーザのユーザ情報の取得を試みることでSVM vs1のNIS検索を テストします。
cluster1::*> vserver services nameservice getxxbyyy getpwbyuid -vserver vs1 -userID 501768 -show-source true
Source used for lookup: NIS pw_name: jsmith
pw_passwd: $1$y8rA4XX7$/DDOXAvc2PC/IsNFozfIN0 pw_uid: 501768
pw_gid: 501768 pw_gecos:
pw_dir: /home/jsmith pw_shell: /bin/bash
次の例は、ldap1というユーザのユーザ情報の取得を試みることでSVM vs1のLDAP検索をテ ストします。
cluster1::*> vserver services nameservice getxxbyyy getpwbyname -vserver vs1 -username ldap1 -use-rbac false -show-source true Source used for lookup: LDAP
pw_name: ldap1
pw_passwd: {crypt}JSPM6yc/ilIX6 pw_uid: 10001
pw_gid: 3333
pw_gecos: ldap1 user pw_dir: /u/ldap1 pw_shell: /bin/csh
次の例は、クライアントdnshost0がネットグループlnetgroup136のメンバーであるかどうかを調べ
ることでSVM vs1のネットグループ検索をテストします。
cluster1::*> vserver services name-service getxxbyyy netgrp -vserver vs1 -netgroup lnetgroup136 -client dnshost0 -show-source true
Source used for lookup: LDAP
dnshost0 is a member of lnetgroup136
2. 実行したテストの結果を分析し、必要な措置を実施します。
例
状況 チェック対象
ホスト名またはIPアドレスの検索に失敗した か、間違った結果が得られた
DNS設定
検索を実施したソースが正しくない ネームサービススイッチの設定 ユーザまたはグループの検索に失敗した
か、間違った結果が得られた
ネームサービススイッチの設定
ソース設定(ローカルファイル、NISドメイン、
LDAPクライアント)
ネットワーク設定(LIF、ルートなど)
関連タスク
ネーム サービス スイッチ テーブルの設定(62ページ)
関連情報
ネットアップ テクニカル レポート4379:『Name Services Best Practice Guide Clustered Data ONTAP』
ネーム サービス スイッチ エントリの管理用コマンド
ネーム サービス スイッチ エントリは、作成、表示、変更、および削除することができます。
状況 使用するコマンド
ネームサービススイッチエントリを作成する vserver services name-service ns-switch create
ネームサービススイッチエントリを表示する vserver services name-service ns-switch show
ネームサービススイッチエントリを変更する vserver services name-service ns-switch modify
ネームサービススイッチエントリを削除する vserver services name-service ns-switch delete
詳細については、各コマンドのマニュアルページを参照してください。
関連タスク
ネーム サービス スイッチ テーブルの設定(62ページ)
関連情報
ネットアップ テクニカル レポート4379:『Name Services Best Practice Guide Clustered Data ONTAP』
ネーム マッピングの管理用コマンド
Data ONTAPには、ネームマッピングを管理するための固有のコマンドが用意されています。
状況 使用するコマンド
ネーム マッピングを作成する vserver name-mapping create 特定の位置にネームマッピングを挿入する vserver name-mapping insert ネームマッピングを表示する vserver name-mapping show
2つのネーム マッピングの位置を交換する vserver name-mapping swap
ネームマッピングを変更する vserver name-mapping modify ネームマッピングを削除する vserver name-mapping delete 詳細については、各コマンドのマニュアルページを参照してください。
関連タスク
ネーム マッピングの作成(84ページ)
ローカル UNIX ユーザの管理用コマンド
Data ONTAPには、ローカルUNIXユーザを管理するための固有のコマンドが用意されています。
状況 使用するコマンド
ローカルUNIXユーザを作成する vserver services name-service unix-user create
URIからローカルUNIXユーザをロード する
vserver services name-service unix-user load-from-uri
ローカルUNIXユーザを表示する vserver services name-service unix-user show
ローカルUNIXユーザを変更する vserver services name-service unix-user modify
ローカルUNIXユーザを削除する vserver services name-service unix-user delete
詳細については、各コマンドのマニュアルページを参照してください。
関連タスク
ローカルUNIXユーザの作成(75ページ)
ローカル UNIX グループの管理用コマンド
Data ONTAPには、ローカルUNIXグループを管理するための固有のコマンドが用意されていま す。
状況 使用するコマンド
ローカルUNIXグループを作成する vserver services name-service unix-group create
ローカルUNIXグループにユーザを追 加する
vserver services name-service unix-group adduser
URIからローカルUNIXグループをロ ードする
vserver services name-service unix-group load-from-uri
ローカルUNIXグループを表示する vserver services name-service unix-group show
ローカルUNIXグループを変更する vserver services name-service unix-group modify
ローカルUNIXグループからユーザを 削除する
vserver services name-service unix-group deluser
ローカルUNIXグループを削除する vserver services name-service unix-group delete
詳細については、各コマンドのマニュアルページを参照してください。