Data ONTAPは、UNIXユーザをWindowsユーザにマッピングする際のマルチドメイン検索をサポ ートしています。一致する結果が返されるまで、検出されたすべての信頼できるドメインで、変換 後のパターンに一致する名前が検索されます。信頼できる優先ドメインのリストを設定することも できます。このリストは、検出された信頼できるドメインのリストの代わりに使用され、一致する結果 が返されるまで順に検索されます。
ドメインの信頼性がUNIXユーザからWindowsユーザへのネーム マッピング検索に与える影響 マルチドメインのユーザ名マッピングの仕組みを理解するには、ドメインの信頼性がData ONTAP に与える影響を理解しておく必要があります。 CIFSサーバのホームドメインとのActive Directory の信頼関係には、双方向の信頼と単一方向の信頼(インバウンドまたはアウトバウンドのどちら か)があります。ホームドメインは、Storage Virtual Machine(SVM)のCIFSサーバが属しているド メインです。
• 双方向の信頼
双方向の信頼では、両方のドメインが相互に信頼し合っています。 CIFSサーバのホームドメイ ンが別のドメインと双方向の信頼関係にある場合、ホーム ドメインは信頼できるドメインに属し ているユーザを認証および許可でき、逆に、信頼できるドメインはホームドメインに属している ユーザを認証および許可することができます。
UNIXユーザからWindowsユーザへのネーム マッピング検索は、ホーム ドメインともう一方のド メインとの間に双方向の信頼関係があるドメインでのみ実行できます。
• アウトバウンドの信頼
アウトバウンドの信頼では、ホームドメインがもう一方のドメインを信頼しています。この場合、
ホームドメインはアウトバウンドの信頼できるドメインに属しているユーザを認証および許可で きます。
ホームドメインとアウトバウンドの信頼関係にあるドメインは、UNIXユーザからWindowsユー ザへのネームマッピング検索の際に検索されません。
• インバウンドの信頼
インバウンドの信頼では、もう一方のドメインがCIFSサーバのホーム ドメインを信頼していま す。この場合、ホームドメインはインバウンドの信頼できるドメインに属しているユーザを認証 することも許可することもできません。
ホームドメインとインバウンドの信頼関係にあるドメインは、UNIXユーザからWindowsユーザ へのネームマッピング検索の際に検索されません。
ネーム マッピングでのワイルドカード(*)を使用したマルチドメイン検索の設定方法
マルチドメインのネームマッピング検索では、Windowsユーザ名のドメインセクションにワイルドカ ードを使用できます。次の表に、ネームマッピングエントリのドメイン部にワイルドカードを使用し て、マルチドメイン検索を可能にする方法を示します。
パター ン
変換後 結果
root *\\administrator UNIXユーザ「root」が「administrator」というユーザにマッピング されます。「administrator」という名前のユーザとの最初の一致 が見つかるまで、すべての信頼できるドメインが順に検索され ます。
* *\\* 有効なUNIXユーザが対応するWindowsユーザにマッピングさ れます。 該当する名前のユーザとの最初の一致が見つかるま で、すべての信頼できるドメインが順に検索されます。
注: パターン*\\*は、UNIXからWindowsへのネームマッピン グでのみ有効であり、反対方向では無効です。
マルチドメインの名前検索の実行方法
マルチドメインの名前検索で使用する信頼できるドメインのリストは、次の2つの方法のどちらかで 決定できます。
• Data ONTAPが作成した自動検出による双方向の信頼リストを使用する
◦ この方法の長所は、管理のオーバーヘッドがまったく生じないことと、Data ONTAPによって 有効と判断された信頼できるドメインでリストが構成されることです。
◦ 短所は、信頼できるドメインの検索順序を選択できないことです。
• 自分で作成した信頼できる優先ドメインリストを使用する
◦ この方法の長所は、信頼できるドメインのリストを検索を行いたい順序で設定できることで す。
◦ 短所は、管理のオーバーヘッドが増えることと、リストの情報が古くなり、一部のドメインが 双方向の信頼関係にある有効なドメインでなくなる可能性があることです。
ユーザ名のドメイン セクションにワイルドカードを使用してUNIXユーザがWindowsユーザにマッピ ングされている場合、Windowsユーザはすべての信頼できるドメインで次のように検索されます。
• 信頼できるドメインの優先リストが設定されている場合、マッピング先のWindowsユーザはこの 検索リスト内でのみ順に検索されます。
該当するWindowsユーザが見つかり次第、検索は終了します。同じWindowsユーザ名が2つ
の異なる信頼できるドメインに存在する場合は、信頼できるドメインの優先リストの上位にある ドメインのユーザが返されます。 該当するWindowsユーザが優先リスト内のどのドメインにも 見つからない場合は、エラーが返されます。
ホームドメインを検索対象にする場合は、信頼できるドメインの優先リストに含める必要があり ます。
• 信頼できるドメインの優先リストが設定されていない場合は、ホーム ドメインと双方向の信頼関 係にあるすべてのドメインでWindowsユーザが検索されます。
該当するWindowsユーザが見つかり次第、検索は終了します。同じWindowsユーザ名が2つ
の異なる信頼ドメインに存在する場合は、自動検出された信頼できるドメイン リストの上位にあ るドメインのユーザが返されます。 自動検出されたリストの信頼できるドメインの順序は変更 できません。該当するWindowsユーザが検出された信頼できるドメインのいずれにも見つから ない場合は、ホームドメインでユーザが検索されます。
• ホーム ドメインと双方向の信頼関係にあるドメインが存在しない場合、ホーム ドメインでユーザ が検索されます。
UNIXユーザがユーザ名にドメインセクションのないWindowsユーザにマッピングされている場合 は、ホームドメインでWindowsユーザが検索されます。
双方向の信頼関係にあるドメインのリストを管理する方法については、『clustered Data ONTAP フ ァイル アクセス管理ガイド(CIFS)』を参照してください。
ネーム マッピングの変換ルール
Data ONTAPシステムは、Storage Virtual Machine(SVM)ごとに一連の変換ルールを使用します。
各ルールは、パターンとリプレースメントという2つの要素で構成されます。変換は該当するリスト の先頭から開始され、最初に一致したルールに基づいて実行されます。パターンはUNIX形式の 正規表現です。リプレースメントは、UNIXのsedプログラムと同様に、パターンの部分式を表すエ スケープ シーケンスを含む文字列です。
適切なマッピングルールがあれば、ストレージシステムとは異なるドメインに属するユーザに対し て、NTFSセキュリティ形式のボリュームへのNFSアクセスを付与することが可能です。
あるユーザがルールに一致して別のドメインのユーザにマッピングされる場合、そのドメインは信 頼されている必要があります。SMBアクセスとNFSアクセス両方に関して、ほかのドメインのユー ザにマッピングするためには、ドメイン間に双方向の信頼関係が必要です。
ユーザがルールに一致しても、ドメインが信頼されていないために認証できない場合、マッピング は失敗します。
SVMでは、双方向の信頼関係が確立されたすべてのドメインが自動的に検出され、それらを使用 してマルチドメインのユーザマッピングの検索が行われます。自動的に検出された信頼できるドメ インではなく、信頼できるドメインのリストを独自に設定してネームマッピングの検索に使用するこ ともできます。
WindowsからUNIXへのマッピングでは、正規表現の大文字と小文字は区別されません。ただし、
KerberosからUNIXへのマッピングと、UNIXからWindowsへのマッピングでは、大文字と小文字が
区別されます。
たとえば、次のルールでは、「ENG」というドメインの「jones」というWindowsユーザが、「jones」とい うUNIXユーザに変換されます。
パターン 変換後
ENG\\jones jones
バックスラッシュは正規表現の特殊文字であるため、バックスラッシュを1つ追加してエスケープす る必要があることに注意してください。
変換後のパターンには、キャレット(^)、アンダースコア(_)、アンパサンド(&)といった記号を、プレ フィックスとして文字に付加できます。これらの記号はそれぞれ、すべて大文字にする、すべて小 文字にする、先頭の文字だけを大文字にすることを指定します。たとえば次のように指定できま す。
• 元のパターンが(.+)で、返還後のパターンが\1の場合、文字列jOeはjOeにマッピングされます
(変更されません)。