SVMでLDAPを有効にします。 - LDAPクライアント設定の作成 - clustered Data ONTAP 8.3 ファイルアクセス管理ガイド（NFS）

LDAPクライアント設定の作成

1. SVMでLDAPを有効にします。

vserver services name-service ldap create -vserver vserver_name -client-config client_-client-config_name -client-enabled true

-vservervserver_nameには、SVM名を指定します。

-client-configclient_config_nameには、クライアント設定の名前を指定します。

-client-enabledは、LDAPクライアントを有効にするかどうかを指定します。デフォルトは trueです。

例

次のコマンドは、「vs1」というSVMでLDAPを有効にし、「ldap1」という名前のLDAPクライアント設定を使用するように設定します。

cluster1::> vserver services nameservice ldap create vserver vs1 -client-config ldap1 -client-enabled true

LDAP を使用するための SVM の設定

環境内のLDAPサーバを使用してネットワーク情報を取得するようにStorage Virtual Machine

（SVM）を設定できます。ネットワーク情報やネームマッピングのソースを設定するには、SVMのネームサービス設定を変更します。

手順

1. 次のいずれかを実行します。

SVMでLDAPを使用して検 索する対象

入力するコマンド

ユーザ情報 vserver services nameservice nsswitch create -vserver -vserver_name -database passwd -sources ldap,files

グループ情報 vserver services nameservice nsswitch create -vserver -vserver_name -database group -sources ldap,files

ネットグループ情報 vserver services nameservice nsswitch create -vserver -vserver_name -database netgroup -sources ldap,files

ネームマッピング情報 vserver services nameservice nsswitch create -vserver -vserver_name -database namemap -sources ldap,files

ネットグループ検索でLDAPを使用する計画の場合：

• フォワードおよびリバースDNSルックアップの一貫性を確保するために、ネットグループ内のすべてのホストにフォワード（A）およびリバース（PTR）の両方のDNSレコードがある必要があります。また、あるクライアントのIPアドレスに複数のPTRレコードがある場合は、それらすべてのホスト名がネットグループのメンバーで、対応するAレコードが定義されている必要があります。

• ネットグループ内に指定されているすべてのIPv6アドレスは、RFC 5952の既定に沿って短縮されている必要があります。

namemapでは、ネームマッピング情報を検索するためのソースとその検索順序を指定します。

UNIXのみの環境では、このエントリは必要ありません。ネームマッピングは、UNIXと

Windowsの両方を使用する混在環境でのみ必要になります。

データアクセスとSVM管理者の両方の認証にLDAPを使用する場合も、LDAP認証が失敗した場合に備え、filesでローカルユーザを設定しておく必要があります。

詳細については、コマンドのマニュアルページを参照してください。

関連コンセプト

Data ONTAPでのネームサービスの使用方法（26ページ）

ネームマッピングの使用方法（80ページ）

NIS ドメイン設定の作成

Storage Virtual Machine（SVM）のセットアップ時にNISをネームサービスオプションとして指定した場合は、SVMのNISドメイン設定を作成する必要があります。vserver services name-service nis-domain createコマンドを使用して、NISドメイン設定を作成できます。

タスク概要

複数のNISドメインを作成できます。ただし、使用できるのは、activeに設定されているドメインだけです。

NISデータベースにnetgroup.byhostマップが格納されている場合、Data ONTAPはこのマップを使用して検索を高速化できます。クライアントアクセスの問題が発生しないよう、

netgroup.byhostとディレクトリ内のnetgroupマップは常に同期されている必要があります。

手順

1. vserver services nis-domain createコマンドを使用して、NISドメイン設定を作成します。

最大10台のNISサーバを指定できます。

設定されているすべてのNISサーバが使用可能かつ到達可能である必要があります。設定したNISサーバのいずれかがあとになって永続的に使用不可能になった場合は、そのサーバを

（vserver services name-service nis-domain modifyコマンドを使用して）NISドメイン設定から削除して、発生しうるNIS機能の遅れを回避してください。

ディレクトリ検索でのNISの使用を予定している場合、NISサーバ内のマップに1,024文字を超えるエントリを持たせることはできません。この上限に従っていないNISサーバを指定しないでください。そうしないと、NISエントリに依存したクライアントアクセスに失敗する可能性があります。

ネットグループ検索でのNISの使用を予定している場合：

• ネットグループ内に指定されているすべてのIPv6アドレスは、RFC 5952の既定に沿って短縮されている必要があります。

例

次のコマンドは、IPアドレス192.0.2.180のNISサーバを使用して、SVM vs1上でnisdomainというNISドメインのNISドメイン設定を作成してアクティブにします。

vs1::> vserver services name-service nis-domain create -vserver vs1 -domain nisdomain -active true -servers 192.0.2.180

ローカル UNIX ユーザおよびグループの設定

ローカルUNIXユーザおよびグループは、認証やネームマッピングに使用できます。

ローカルUNIXユーザの作成

vserver services name-service unix-user createコマンドを使用すると、ローカルUNIX ユーザを作成できます。ローカルUNIXユーザは、UNIXネームサービスオプションとしてStorage

Virtual Machine（SVM）上に作成するUNIXユーザであり、ネームマッピングの処理で使用しま

す。

タスク概要

クラスタ内のローカルUNIXユーザ数に対するデフォルトの上限値は32,768です。クラスタ管理者はこの制限を変更できます。

手順

1. ローカルUNIXユーザを作成します。

vserver services nameservice unixuser create vserver vserver_name -user -user_name -id integer -primary-gid integer -full-name full_name -vservervserver_nameには、SVM名を指定します。

-useruser_nameには、ユーザ名を指定します。ユーザ名は64文字以内にする必要があります。

-idintegerには、ユーザIDを指定します。

-primary-gidintegerには、プライマリグループIDを指定します。この操作ではユーザはグループには追加されません。ユーザを作成したあと、手動でユーザを適切なグループに追加する必要があります。

-full-namefull_nameには、ユーザのフルネームを指定します。

例

次のコマンドは、johnmというローカルUNIXユーザ（フルネームは「John Miller」）をSVM vs1 上に作成します。ユーザIDは123で、プライマリグループIDは100です。

node::> vserver services name-service unix-user create -vserver vs1 -user johnm -id 123

-primary-gid 100 -full-name "John Miller"

終了後の操作

希望するローカルUNIXグループにユーザを追加します。

関連コンセプト

ローカルUNIXユーザ、グループ、およびグループメンバーに対する制限（102ページ）

ローカル UNIX グループへのユーザの追加

vserver services name-service unix-group adduserコマンドを使用すると、Storage Virtual Machine（SVM）のローカルのUNIXグループにユーザを追加できます。

タスク概要

クラスタ内のローカルUNIXグループおよびグループメンバーの合計数に対するデフォルトの上限

値は32,768です。クラスタ管理者はこの制限を変更できます。

手順

1. ローカルUNIXグループにユーザを追加します。

vserver services nameservice unixgroup adduser vserver vserver_name -name group_-name -user-name user_-name

-vservervserver_nameには、SVM名を指定します。

-namegroup_nameで、ユーザを追加する UNIXグループの名前を指定します。

-usernameuser_nameで、グループに追加するユーザの名前を指定します。

例

次に、vs1というSVMのengというローカルUNIXグループに、maxという名前のユーザを追加するコマンドの例を示します。

vs1::> vserver services name-service unix-group adduser -vserver vs1 -name eng

-username max

関連コンセプト

ローカルUNIXユーザ、グループ、およびグループメンバーに対する制限（102ページ）

URI からのローカル UNIX ユーザのロード

Storage Virtual Machine（SVM）にローカルUNIXユーザを1つずつ手動で作成する代わりに、

vserver services name-service unix-user load-from-uriコマンドを使用して、ローカルUNIXユーザのリストをUniform Resource Identifier（URI）からSVMにロードすることで作業の手間を削減できます。

タスク概要

クラスタ内のローカルUNIXユーザ数に対するデフォルトの上限値は32,768です。クラスタ管理者はこの制限を変更できます。

手順

1. ロードするローカルUNIXユーザのリストが含まれているファイルを作成します。

このファイルには、次に示すUNIXの/etc/passwd形式でユーザ情報が記されている必要があります。

user_name: password: user_ID: group_ID: full_name

passwordフィールドの値と、full_nameフィールドに続くフィールド（home_directoryおよび shell）の値はコマンドにより破棄されます。

サポートされる最大ファイルサイズは2.5MBです。

クラスタ内のローカルUNIXユーザ数に対するデフォルトの上限値は32,768です。クラスタ管理者はこの制限を変更できます。

2. リストに重複した情報が含まれていないことを確認します。

リストに重複したエントリが含まれている場合、リストのロードは失敗し、エラーメッセージが表示されます。

3. ファイルをサーバにコピーします。

サーバには、ストレージシステムからHTTP、HTTPS、FTP、またはFTPS経由で到達できる必要があります。

4. ファイルのURIを確認します。

このURIは、ファイルの場所をストレージシステムに示すためのアドレスです。

例

ftp://ftp.example.com/passwd

5. ローカルUNIXユーザのリストが含まれているファイルをURIからSVMにロードします。

vserver services name-service unix-user load-from-uri -vserver

vserver_name -uri {ftp|http|ftps|https}://uri -overwrite {true|false}

-vservervserver_nameには、SVM名を指定します。

-uri {^ftp|^http|^ftps|^https}://^uriには、ファイルのロードに使用するURIを指定します。

-overwrite {^true|^false}で、既存の情報を上書きするかどうかを指定します。デフォルトは falseです。

例

次のコマンドは、ローカルUNIXユーザのリストをftp://ftp.example.com/passwdという URIからvs1というSVMにロードします。 SVM内の既存のユーザは、URIを使用してロードした情報によって上書きされません。

node::> vserver services nameservice unixuser loadfromuri -vserver vs1

-uri ftp://ftp.example.com/passwd -overwrite false

関連コンセプト

ローカルUNIXユーザ、グループ、およびグループメンバーに対する制限（102ページ）