admin権限レベルに戻ります。

NFSでのIPv6の有効化

3. admin権限レベルに戻ります。

状況入力するコマンド非予約ポートからのNFSマウ

ント要求を拒否する

vserver nfs modify -vserver vserver_name -mount-rootonly enabled

非予約ポートからのすべてのNFS要求を許可する

vserver nfs modify -vserver vserver_name -nfs-rootonly disabled

非予約ポートからのすべてのNFS要求を拒否する

vserver nfs modify -vserver vserver_name -nfs-rootonly enabled

不明な UNIX ユーザによる NTFS ボリュームまたは qtree への NFS アクセスの処理

NTFSセキュリティ形式のボリュームまたはqtreeへの接続を試みるUNIXユーザを識別できない場合、Data ONTAPはそのユーザをWindowsユーザに明示的にマッピングできません。 Data ONTAP では、そのようなユーザのアクセスを拒否するように設定してセキュリティを厳しくするか、またはデフォルトのWindowsユーザにマッピングするように設定してすべてのユーザに最小限のアクセスを保証することができます。

開始する前に

このオプションを有効にする場合は、デフォルトのWindowsユーザを設定しておく必要があります。

タスク概要

UNIXユーザがNTFSセキュリティ形式のボリュームまたはqtreeへのアクセスを試みると、Data

ONTAPがNTFS権限を正しく評価できるように、そのUNIXユーザはまずWindowsユーザにマッピ

ングされます。設定されているユーザ情報ネームサービスソースでそのUNIXユーザの名前を検索できなかった場合、特定のWindowsユーザにそのUNIXユーザを明示的にマッピングすることができません。このような不明なUNIXユーザの処理方法には次の選択肢があります。

• 不明なUNIXユーザのアクセスを拒否する。

NTFSボリュームまたはqtreeにアクセスしようとするすべてのUNIXユーザについて明示的なマッピングを要求することで、より厳しいセキュリティを適用します。

• 不明なUNIXユーザをデフォルトのWindowsユーザにマッピングする。

すべてのユーザにデフォルトのWindowsユーザとしてNTFSボリュームまたはqtreeへの最小限のアクセスを許可することで、セキュリティは低下しますが利便性は向上します。

手順

1. 権限レベルをadvancedに設定します。

set -privilege advanced 2. 次のいずれかを実行します。

不明なUNIXユーザへのデフォルトのWindowsユーザのマッピング

入力するコマンド

有効にする vserver nfs modify -vserver vserver_name -map-unknown-uid-to-default-windows-user enabled 無効にする vserver nfs modify -vserver vserver_name

-map-unknown-uid-to-default-windows-user disabled

set -privilege admin

非予約ポートを使用して NFS エクスポートをマウントするクライアントに関する注意事項

非予約ポートを使用してNFSエクスポートをマウントするクライアントをサポートするストレージシステムでは、ユーザがrootでログインする場合でも、-mount-rootonlyオプションを無効にする必要があります。 HummingbirdクライアントやSolaris NFS / IPv6クライアントがこれに該当します。

-mount-rootonlyオプションを有効にした場合、NFSクライアントで非予約ポート、つまり1,024以上のポートを使用してNFSエクスポートをマウントすることはできません。

ドメインの検証によるネットグループのより厳密なアクセスチェックの実行

Data ONTAPは、ネットグループに対するクライアントアクセスを評価する際に追加の検証をデフォ

ルトで実行します。追加チェックでは、クライアントのドメインがStorage Virtual Machine（SVM）のドメイン設定に一致しているかどうかが確認されます。一致していない場合、Data ONTAPはクライアントアクセスを拒否します。

タスク概要

Data ONTAPがクライアントアクセス用のエクスポートポリシールールを評価し、あるエクスポートポリシールールにネットグループが含まれていた場合、Data ONTAPはクライアントのIPアドレスがそのネットグループに属しているかどうかを確認する必要があります。そのために、Data ONTAP は、DNSを使用してクライアントのIPアドレスをホスト名に変換し、完全修飾ドメイン名（FQDN）を取得します。

ネットグループファイルにホストの短縮名のみが記載されていて、そのホストの短縮名が複数のドメインに存在している場合、このチェックがないと、別のドメインのクライアントがアクセス権を取得することが可能になります。

この問題を回避するために、Data ONTAPは、ホストに対してDNSから返されたドメインをSVMに対して設定されているDNSドメイン名のリストと比較し、一致した場合はアクセスが許可されます。

一致しなかった場合、アクセスは拒否されます。

この検証はデフォルトで有効になっています。この検証機能は、advanced権限レベルで使用可能な-netgroup-dns-domain-searchパラメータを変更することで管理できます。

手順

1. 権限レベルをadvancedに設定します。

set -privilege advanced 2. 次のうち必要な操作を実行します。

ネットグループのドメイン検証の設定

コマンド

有効にする vserver nfs modify vserver vserver_name -netgroup-dns-domain-search enabled

無効にする vserver nfs modify vserver vserver_name -netgroup-dns-domain-search disabled

3. 権限レベルをadminに設定します。

set -privilege admin

ストレージレベルのアクセス保護を使用したファイルアクセスの保護

ネイティブファイルレベルのセキュリティとエクスポートおよび共有のセキュリティを使用したアクセスの保護に加えて、ボリュームレベルでData ONTAPによって適用される第3のセキュリティレイヤとしてストレージレベルのアクセス保護を設定できます。ストレージレベルのアクセス保護は、すべてのNASプロトコルからその適用先となるストレージオブジェクトへのアクセスに適用されます。

ストレージレベルのアクセス保護の動作

• ストレージレベルのアクセス保護は、ストレージオブジェクト内のすべてのファイルまたはすべてのディレクトリに適用されます。

ボリューム内のすべてのファイルまたはディレクトリがストレージレベルのアクセス保護設定の影響を受けるため、伝播による継承は必要ありません。

• ストレージレベルのアクセス保護は、ボリューム内にある、ファイルのみ、ディレクトリのみ、またはファイルとディレクトリの両方に適用されるように設定できます。

◦ ファイルとディレクトリのセキュリティ

ストレージオブジェクト内のすべてのディレクトリおよびファイルに適用されます。これがデフォルト設定です。

◦ ファイルセキュリティ

ストレージオブジェクト内のすべてのファイルに適用されます。このセキュリティを適用しても、ディレクトリへのアクセスとディレクトリの監査は影響を受けません。

◦ ディレクトリセキュリティ

ストレージオブジェクト内のすべてのディレクトリに適用されます。このセキュリティを適用しても、ファイルへのアクセスとファイルの監査は影響を受けません。

• ストレージレベルのアクセス保護は、アクセス権を制限するために使用されます。

追加のアクセス権限を与えることはありません。

• NFSまたはSMBクライアントからファイルまたはディレクトリのセキュリティ設定を表示した場合、ストレージレベルのアクセス保護のセキュリティは表示されません。

このセキュリティは、有効な権限を決定するために、ストレージオブジェクトレベルで適用され、メタデータ内に格納されます。

• システム（WindowsまたはUNIX）管理者であっても、ストレージレベルのセキュリティをクライアントから取り消すことはできません。

このセキュリティは、ストレージ管理者のみが変更できるように設計されています。

• ストレージレベルのアクセス保護は、NTFSまたはmixedセキュリティ形式のボリュームに適用できます。

• ストレージレベルのアクセス保護をUNIXセキュリティ形式のボリュームに適用できるのは、そのボリュームが含まれているStorage Virtual Machine（SVM）でCIFSサーバが設定されている場合に限られます。

• ボリュームがあるボリュームジャンクションパスの下にマウントされていて、ストレージレベルのアクセス保護がそのパス上にある場合、ストレージレベルのアクセス保護はそのパスの下にマウントされているボリュームには伝播されません。

• ストレージレベルのアクセス保護のセキュリティ記述子は、SnapMirrorデータレプリケーションおよびStorage Virtual Machine（SVM）レプリケーションによってレプリケートされます。

• ウィルススキャンについては特別な免除があります。

ファイルやディレクトリのスクリーニングを行うこうしたサーバに対しては、ストレージレベルのアクセス保護によってそのオブジェクトへのアクセスが拒否されている場合でも、例外的なアクセスが許可されます。

• ストレージレベルのアクセス保護によってアクセスが拒否された場合、FPolicy通知は送信されません。

NFSアクセスに対するストレージレベルのアクセス保護

ストレージレベルのアクセス保護では、NTFSのアクセス権限のみがサポートされています。 Data

ONTAPでUNIXユーザに対するセキュリティチェックを実行している場合、ストレージレベルのアク

セス保護が適用されているボリューム上のデータにアクセスするには、UNIXユーザをそのボリュームを所有しているSVM上のWindowsユーザにマッピングする必要があります。

ストレージレベルのアクセス保護は、UNIX専用のSVMやCIFSサーバが含まれていないSVMには適用されません。

アクセスチェックの順序

ファイルまたはディレクトリへのアクセスは、エクスポートまたは共有の権限、ボリュームで設定されているストレージレベルのアクセス保護権限、ファイルやディレクトリに適用されるネイティブのファイルアクセス権の各影響の組み合わせによって決定されます。すべてのレベルのセキュリティが評価されて、ファイルまたはディレクトリの有効な権限が決定されます。セキュリティアクセスチェックは、次の順序で実行されます。

1. SMB共有またはNFSエクスポートレベルの権限

2. ストレージレベルのアクセス保護

3. NTFSのファイルやフォルダのAccess Control List（ACL;アクセス制御リスト）、NFSv4 ACL、ま

ドキュメント内 clustered Data ONTAP 8.3 ファイルアクセス管理ガイド（NFS） (ページ 92-95)

NFSでのIPv6の有効化

3. admin権限レベルに戻ります。

不明な UNIX ユーザによる NTFS ボリュームまたは qtree への NFS ア クセスの処理

非予約ポートを使用して NFS エクスポートをマウントするクライアント に関する注意事項

ドメインの検証によるネットグループのより厳密なアクセス チェックの 実行

ストレージレベルのアクセス保護を使用したファイル アクセスの保護

不明な UNIX ユーザによる NTFS ボリュームまたは qtree への NFS アクセスの処理

非予約ポートを使用して NFS エクスポートをマウントするクライアントに関する注意事項

ドメインの検証によるネットグループのより厳密なアクセスチェックの実行

ストレージレベルのアクセス保護を使用したファイルアクセスの保護