エクスポートポリシールールでクライアントの照合に使用できる方法の1つに、ネットグループに含 まれるホストを使用する方法があります。 外部ネーム サーバに格納されているネットグループを 使用する(vserver services name-service netgroup load)代わりに、URIを使用してネッ トグループをStorage Virtual Machine(SVM)にロードすることもできます。
タスク概要
Data ONTAPは、ローカル ネットグループ ファイルを対象としたホスト単位のネットグループ検索を サポートしています。ネットグループファイルをロードすると、ホスト単位のネットグループ検索を 有効にするためにnetgroup.byhostマップがData ONTAPによって自動的に作成されます。これによ り、エクスポート ポリシー ルールを処理してクライアント アクセスを評価する際のローカル ネットグ ループ検索にかかる時間が大幅に短縮されます。
手順
1. URIを使用してネットグループをSVMにロードします。
vserver services nameservice netgroup load vserver vserver_name -source {ftp|http|ftps|https}://uri
-vservervserver_nameでは、SVM名を指定します。
-source {ftp|http|ftps|https}://uriでは、ロードに使用するURIを指定します。
ファイルは、NISの設定に使用されたのと同じネットグループテキストファイル形式に従ってい る必要があります。詳細については、コマンドのマニュアルページを参照してください。 Data ONTAPは、ファイルをロードする前にファイル形式をチェックします。 エラーがあった場合は、フ ァイルに対して必要な修正内容を示す警告メッセージがコンソールに表示されます。修正しな かった場合、クライアントアクセスに問題が生じる可能性があります。
ネットグループにIPv6アドレスを指定する際には、RFC 5952の規定に従って各アドレスを短縮 する必要があります。
ネットグループ ファイル内のホスト名に含まれるアルファベットは、すべて小文字にする必要が あります。
サポートされる最大ファイルサイズは5MBです。
ネットグループでサポートされる最大ネストレベルは1,000です。
ネットグループ ファイルにホスト名を定義する際には、プライマリDNSホスト名のみを使用する 必要があります。エクスポートへのアクセスに関する問題を避けるために、ホスト名の定義に
はDNS CNAMEやラウンドロビンレコードを使用しないでください。
フォワードおよびリバースDNSルックアップの一貫性を確保するために、ネットグループ内のす べてのホストにフォワード(A)およびリバース(PTR)の両方のDNSレコードがある必要がありま す。また、あるクライアントのIPアドレスに複数のPTRレコードがある場合は、それらすべての ホスト名がネットグループのメンバーで、対応するAレコードが定義されている必要があります。
ネットグループ ファイル内の3要素のドメイン部は、Data ONTAPでサポートされていないため空 にしておきます。
ネットグループファイルのロードとnetgroup.byhostマップの構築には、少し時間がかかる場合が あります。
ネットグループの更新が必要な場合は、ネットグループファイルを編集し、更新されたファイル をSVMにロードすることができます。
例
次のコマンドは、HTTPのURL http://intranet/downloads/corp-netgroupを使用し て、ネットグループ定義をvs1というSVMにロードします。
vs1::> vserver services name-service netgroup load -vserver vs1 -source http://intranet/downloads/corp-netgroup
関連タスク
ネットグループ定義のステータスの確認(47ページ)
クライアントIPアドレスがネットグループのメンバーかどうかのチェック(112ページ)
ドメインの検証によるネットグループのより厳密なアクセス チェックの実行(93ページ)
関連参照情報
ローカル ネットグループの管理用コマンド(103ページ)
関連情報
IETF RFC 5952:『A Recommendation for IPv6 Address Text Representation』
ネットグループ定義のステータスの確認
ネットグループをStorage Virtual Machine(SVM)にロードしたあと、vserver services name-service netgroup statusコマンドを使用してネットグループ定義の状態を確認できます。これ により、ネットグループの定義がSVMの基盤となるすべてのノードで一貫しているかどうかを確認 することができます。
手順
1. 権限レベルをadvancedに設定します。
set -privilege advanced
2. ネットグループの定義の状態を確認します。
vserver services name-service netgroup status このコマンドでは、次の情報が表示されます。
• SVM名
• ノード名
• ネットグループの定義のロード時間
• ネットグループの定義のハッシュ値
より詳細な表示でその他の情報を表示できます。 詳細については、コマンドのマニュアル ペー ジを参照してください。
3. admin権限レベルに戻ります。
set -privilege admin
例
次に、すべてのSVMのネットグループの状態を表示するコマンドの例を示します。
vs1::> set -privilege advanced
Warning: These advanced commands are potentially dangerous; use them only when directed to do so by technical support.
Do you wish to continue? (y or n): y
vs1::*> vserver services name-service netgroup status Virtual
Server Node Load Time Hash Value
--- --- --- ---vs1
node1 9/20/2006 16:04:53 e6cb38ec1396a280c0d2b77e3a84eda2 node2 9/20/2006 16:06:26 e6cb38ec1396a280c0d2b77e3a84eda2 node3 9/20/2006 16:08:08 e6cb38ec1396a280c0d2b77e3a84eda2 node4 9/20/2006 16:11:33 e6cb38ec1396a280c0d2b77e3a84eda2
関連タスク
SVMへのネットグループのロード(46ページ)
エクスポート ルールのインデックス番号の設定
vserver export-policy rule setindexコマンドを使用して、既存のエクスポートルールのイ ンデックス番号を手動で設定することができます。 これにより、エクスポート ルールが処理される 順序を変更できます。
タスク概要
新しいインデックス番号がすでに使用されている場合は、指定した位置にルールが挿入され、それ に応じてリストの順序が調整されます。
手順
1. 指定したエクスポート ルールのインデックス番号を変更するには、次のコマンドを入力します。
vserver exportpolicy rule setindex vserver virtual_server_name -policyname policy_name -ruleindex integer -newruleindex integer
-vservervirtual_server_nameでは、Storage Virtual Machine(SVM)名を指定します。
-policynamepolicy_nameで、ポリシー名を指定します。
-ruleindexintegerで、エクスポートルールの現在のインデックス番号を指定します。指定 したインデックス番号が既存のエクスポートポリシールールによってすでに使用されている場 合、そのエクスポートポリシールールおよびそれ以降のすべてのエクスポートポリシールー ルのインデックス番号が1つ増やされます。
-newruleindexintegerで、エクスポート ルールの新しいインデックス番号を指定します。
例
次に、vs1というSVMのrs1というエクスポートポリシーのインデックス番号を3から2に変更す る例を示します。
vs1::> vserver export-policy rule setindex -vserver vs1 -policyname rs1 -ruleindex 3 -newruleindex 2