rquota のサポートの有効化と無効化
Data ONTAPでは、remote quota protocol バージョン1(rquota v1)をサポートしています。 rquotaプ ロトコルを使用すると、NFSクライアントは、リモートマシンからユーザとグループのクォータ情報を 取得できます。 FlexVolを備えたStorage Virtual Machine(SVM)でrquotaを有効にするには、
vserver nfs modifyコマンドを使用します。
タスク概要
デフォルトでは、rquotaは無効です。
手順
1. 次のいずれかを実行します。
状況 入力するコマンド
SVMでrquotaのサポートを有 効にする
vserver nfs modify -vserver vserver_name -rquota enable
SVMでrquotaのサポートを無 効にする
vserver nfs modify -vserver vserver_name -rquota disable
クォータの詳細については、『clustered Data ONTAP 論理ストレージ管理ガイド』を参照してくだ さい。
TCP 最大読み取りサイズおよび書き込みサイズの変更による NFSv3
とです。 ストレージ システムへの高遅延接続が多くなるほど、メモリ消費量は多くなります。 メモリ 容量が高いストレージ システムでは、パラメータの変更による影響はほとんどありません。 メモリ 容量の低いストレージシステムでは、パフォーマンスが著しく低下する可能性があります。
これらのパラメータをうまく調整できるかどうかは、クラスタの複数のノードからデータを取得できる かどうかによります。クラスタネットワーク固有の遅延によって、応答の全体的な遅延を増加させ る可能性があります。 これらのパラメータを使用するときに、遅延が全体的に増大しがちです。 し たがって、遅延の影響を受けやすいワークロードは悪影響をもたらす可能性があります。
NFSv3 TCP 最大読み取りサイズおよび書き込みサイズの変更
-v3-tcp-max-read-sizeおよび-v3-tcp-max-write-sizeオプションを変更して、NFSv3 TCP の読み取りと書き込みの最大サイズを指定できます。これらのオプションを変更すると、ストレージ 環境によっては、TCP上のNFSv3のパフォーマンスが向上することがあります。
開始する前に
クラスタ内のすべてのノードでData ONTAP 8.1以降が実行されている必要があります。
タスク概要
これらのオプションは、Storage Virtual Machine(SVM)ごとに個別に変更できます。
手順
1. 権限レベルをadvancedに設定します。
set -privilege advanced 2. 次のいずれかを実行します。
状況 入力するコマンド
NFSv3 TCPの最大読み取り サイズの変更
vserver nfs modify -vserver vserver_name -v3-tcp-max-read-size integer_max_read_size
NFSv3 TCPの最大書き込み サイズの変更
vserver nfs modify -vserver vserver_name -v3-tcp-max-write-size integer_max_write_size
オプション 範囲 デフォルト値
-v3-tcp-max-read-size 8,192~1,048,576バイト 65,536バイト -v3-tcp-max-write-size 8,192~65,536バイト 65,536バイト
注: 入力する読み取りまたは書き込みの最大サイズは、4KB(4,096バイト)の倍数値でなけ ればなりません。 リクエストが要件を満たしていない場合は、パフォーマンスが低下します。
3. admin権限レベルに戻ります。
set -privilege admin
4. 変更内容を確認するには、vserver nfs showコマンドを使用します。
5. 静的マウントを使用しているクライアントがある場合、変更したパラメータのサイズを有効にす るには、いったんアンマウントしてから再度マウントします。
例
次のコマンドでは、vs1というSVMのNFSv3 TCP の最大読み取りサイズを1,048,576バイトに 設定しています。
vs1::> vserver nfs modify -vserver vs1 -v3-tcp-max-read-size 1048576
NFS ユーザに許可するグループ ID 数の設定
Data ONTAPは、Kerberos(RPCSEC_GSS)認証を使用してNFSユーザ クレデンシャルを処理する 場合、デフォルトで最大32個のグループIDをサポートしています。 AUTH_SYS認証を使用する場 合のグループIDのデフォルトの最大数は、RFC 5331で定義されている16個です。デフォルト数を 超えるグループに属しているユーザがいる場合は、この最大数を1,024まで増やすことができま す。
タスク概要
ユーザのクレデンシャルにデフォルト数を超えるグループIDが含まれている場合、超過分のグル ープIDは切り捨てられます。そのため、ユーザがストレージシステムのファイルへのアクセスを試 みるとエラーが発生する可能性があります。グループの最大数は、SVMごとに、環境内の最大グ ループ数と同じ値に設定する必要があります。
次の表に、グループIDの最大数を決定するvserver nfs modifyコマンドの2つのパラメータと、
3つの設定例を示します。
パラメータ 設定 グループIDの最大数
-extended-groups-limit -auth-sys-extended-groups
32 disabled
これらはデフォルト の設定です。
RPCSEC_GSS:32 AUTH_SYS:16
-extended-groups-limit -auth-sys-extended-groups
256 disabled
RPCSEC_GSS:256 AUTH_SYS:16 -extended-groups-limit
-auth-sys-extended-groups
512 enabled
RPCSEC_GSS:512 AUTH_SYS:512
注: 古いNFSクライアントの一部は、AUTH_SYSの拡張グループに対応していない可能性があり ます。
手順
1. 権限レベルをadvancedに設定します。
set -privilege advanced 2. 次のうち必要な操作を実行します。
最大グループ数の設定対象 入力するコマンド RPCSEC_GSSのみ
(AUTH_SYSはデフォルト値 16のまま)
vserver nfs modify vserver vserver_name -extended-groups-limit {32-1024} -auth-sys-extended-groups disabled
RPCSEC_GSSとAUTH_SYS の両方
vserver nfs modify vserver vserver_name -extended-groups-limit {32-1024} -auth-sys-extended-groups enabled
3. -extended-groups-limitの値を確認し、AUTH_SYSが拡張グループを使用していることを 確認します。
vserver nfs show -vserver vserver_name -fields auth-sys-extended-groups,extended-groups-limit
4. admin権限レベルに戻ります。
set -privilege admin
例
次の例は、AUTH_SYS認証の拡張グループを有効にし、AUTH_SYS認証とRPCSEC_GSS 認証の両方で拡張グループの最大数を512に設定します。これらの変更は、SVM vs1にア クセスするクライアントに対してのみ行われます。
vs1::> set -privilege advanced
Warning: These advanced commands are potentially dangerous; use them only when directed to do so by NetApp personnel.
Do you want to continue? {y|n}: y
vs1::*> vserver nfs modify -vserver vs1 -auth-sys-extended-groups enabled -extended-groups-limit 512
vs1::*> vserver nfs show -vserver vs1 -fields auth-sys-extended-groups,extended-groups-limit
vserver auth-sys-extended-groups extended-groups-limit --- --- ---vs1 enabled 512
vs1::*> set -privilege admin
NTFS セキュリティ形式のデータへの root ユーザ アクセスの制御
NTFSセキュリティ形式のデータへのNFSクライアント アクセスを許可したり、NTFSクライアントによ るNFSセキュリティ形式データへのアクセスを許可したりするようにData ONTAPを設定することが できます。 NFSデータストアでNTFSセキュリティ形式を使用する際には、rootユーザによるアクセ スの処理方法を決定し、 それに応じてStorage Virtual Machine(SVM)を設定する必要がありま す。
タスク概要
rootユーザがNTFSセキュリティ形式のデータにアクセスする際には、次の2つのオプションがあり ます。
• その他すべてのNFSユーザと同様にrootユーザをWindowsユーザにマッピングし、NTFS ACL に従ってアクセスを管理する。
• NTFS ACLを無視してフルアクセスをrootに対して提供する。
手順
1. 権限レベルをadvancedに設定します。
set -privilege advanced 2. 次のうち必要な操作を実行します。
rootユーザへの対処方法. 入力するコマンド Windowsユーザへのマッピン
グ
vserver nfs modify -vserver vserver_name -ignore-nt-acl-for-root disabled
rootユーザへの対処方法. 入力するコマンド
NT ACLチェックのバイパス vserver nfs modify -vserver vserver_name -ignore-nt-acl-for-root enabled
このパラメータはデフォルトで無効になっています。
このパラメータが有効になっていてもrootユーザに対するネームマッピングが存在しない場合、
Data ONTAPはデフォルトのSMB管理者のクレデンシャルを監査に使用します。
3. admin権限レベルに戻ります。
set -privilege admin
FlexVol を備えた SVM での NAS イベントの監査
NASイベントの監査は、FlexVolを備えたStorage Virtual Machine(SVM)で特定のCIFSおよびNFS イベントを追跡してログに記録できるセキュリティ対策です。これは、潜在的なセキュリティの問題 を追跡するのに役立つほか、セキュリティ違反が発生した場合の証拠にもなります。 Active
Directoryの集約型アクセスポリシーのステージングおよび監査によってこれらを実施した場合の
結果を確認することもできます。
CIFSイベント
次のイベントを監査できます。
• SMBファイルおよびフォルダアクセスイベント
監査が有効になっているSVMに属するFlexVol上に格納されているオブジェクトに対するSMB によるファイルおよびフォルダ アクセス イベントを監査できます。
• CIFSログオンおよびログオフイベント
FlexVolを備えたSVM上にあるCIFSサーバでのCIFSログオンおよびログオフイベントを監査で
きます。
• 集約型アクセス ポリシーのステージング イベント
提案された集約型アクセス ポリシーによって適用された権限を使用したCIFSサーバ上のオブ ジェクトへの有効なアクセスを監査できます。集約型アクセスポリシーのステージングによって 監査を行うと、集約型アクセスポリシーを導入する前に、その影響を確認できます。
集約型アクセス ポリシーのステージングによる監査は、Active DirectoryのGPOを使用してセッ トアップされます。ただし、SVMの監査設定は、集約型アクセス ポリシー ステージング イベント を監査するように設定されている必要があります。
監査設定では、CIFSサーバでDynamic Access Control(DAC;ダイナミックアクセス制御)を有 効にしなくても、集約型アクセスポリシーのステージングを有効にできますが、集約型アクセス ポリシーのステージング イベントはダイナミック制御が有効になっている場合にしか生成されま せん。 ダイナミック アクセス制御は、CIFSサーバ オプションを使用して有効にします。 デフォ ルトでは有効になっていません。
NFSイベント
FlexVolを備えたSVM上に格納されているオブジェクトに対するファイルおよびディレクトリの
NFSv4アクセスイベントを監査できます。
監査の仕組み
監査の設定を計画して設定する前に、監査の仕組みについて理解しておく必要があります。
監査の基本概念
Data ONTAPの監査について理解するために、監査の基本概念を確認しておく必要があります。
ステージング ファイル
統合および変換の前に監査レコードが格納される、個々のノード上の中間バイナリファ イル。ステージングファイルはステージングボリュームに格納されます。
ステージングボリューム
ステージング ファイルを格納するためにData ONTAPによって作成される専用ボリュー ム。各アグリゲートに1つのステージングボリュームがあります。ステージングボリュー ムは、監査が有効なすべてのStorage Virtual Machine(SVM)で共有され、そのアグリゲ