FUJITSU Storage ETERNUS AX/HX Series NFSリファレンス

A3CA08733-A646-03

FUJITSU Storage ETERNUS AX/HX Series

NFSリファレンス

| ⽬次 |

⽬次

このガイドの対象者....................................................................................... 5NASファイルアクセスについて....................................................................6

ネームスペースとジャンクションポイント...................................................................................... 6⼀般的なNASネームスペースアーキテクチャとは.................................................................7

ONTAPによるファイルアクセスの制御⽅法..................................................................................... 10認証ベースの制限....................................................................................................................10ファイルベースの制限............................................................................................................ 10

ONTAPによるNFSクライアント認証の処理........................................................................................11ONTAPでのネームサービスの使⽤⽅法................................................................................. 11ONTAPによるNFSクライアントからのCIFSファイルアクセスの許可⽅法........................... 11NFSクレデンシャルキャッシュの仕組み.............................................................................. 12

NASネームスペース内でのデータボリュームの作成と管理.....................13ジャンクションポイントを指定したボリュームの作成................................................................. 13ジャンクションポイントが指定されていないデータボリュームの作成......................................14NASネームスペースでの既存のボリュームのマウントまたはアンマウント................................. 14ボリュームマウントポイントとジャンクションポイントに関する情報の表⺬......................... 16

セキュリティ形式の設定............................................................................. 17セキュリティ形式がデータアクセスに与える影響.........................................................................17

セキュリティ形式とその影響とは......................................................................................... 17セキュリティ形式を設定する場所とタイミング.................................................................. 18SVMで使⽤するセキュリティ形式を決定する⽅法............................................................... 18セキュリティ形式の継承の仕組み......................................................................................... 18ONTAPによるUNIXアクセス権の維持⽅法.............................................................................. 18Windowsの[セキュリティ]タブを使⽤したUNIXアクセス権の管理⽅法.............................. 19

SVMルートボリュームでのセキュリティ形式の設定......................................................................19FlexVolでのセキュリティ形式の設定.................................................................................................20qtreeでのセキュリティ形式の設定....................................................................................................20

NFSを使⽤したファイルアクセスの設定................................................... 21エクスポートポリシーを使⽤したNFSアクセスの保護...................................................................21

エクスポートポリシーがボリュームまたはqtreeへのクライアントアクセスを制御する仕組み............................................................................................................................. 21

SVMのデフォルトのエクスポートポリシー..........................................................................22エクスポートルールの仕組み............................................................................................... 22リストにないセキュリティタイプを使⽤するクライアントの処理⽅法........................... 23セキュリティタイプによるクライアントアクセスレベルの決定⽅法............................. 25スーパーユーザアクセス要求の処理⽅法.............................................................................27ONTAPでのエクスポートポリシーキャッシュの使⽤⽅法.................................................. 28アクセスキャッシュの仕組み............................................................................................... 29アクセスキャッシュパラメータの仕組み........................................................................... 30qtreeからのエクスポートポリシーの削除............................................................................30qtreeファイル操作のqtree IDの検証....................................................................................... 31FlexVolのエクスポートポリシーの制限とネストされたジャンクション............................31

NFSでのKerberos使⽤によるセキュリティ強化.................................................................................31ONTAPでのKerberosのサポート............................................................................................... 31NFSでのKerberos使⽤を設定するための要件......................................................................... 32NFSv4のユーザIDドメインの指定........................................................................................... 35

ネームサービスの設定...................................................................................................................... 35ONTAPのネームサービススイッチ設定の仕組み................................................................. 35

ii

| ⽬次 |

LDAPの使⽤.............................................................................................................................. 37ネームマッピングの設定.................................................................................................................. 44

ネームマッピングの仕組み................................................................................................... 44UNIXユーザからWindowsユーザへのネームマッピングのためのマルチドメイン検索..... 45ネームマッピングの変換ルール............................................................................................46ネームマッピングの作成.......................................................................................................46デフォルトユーザの設定.......................................................................................................47ネームマッピングの管理⽤コマンド.................................................................................... 48

Windows NFSクライアント向けのアクセスの有効化........................................................................48NFSクライアントでNFSエクスポートの表⺬を有効にする⽅法...................................................... 49

NFSを使⽤したファイルアクセスの管理................................................... 50NFSv3の有効化と無効化..................................................................................................................... 50NFSv4.0の有効化と無効化.................................................................................................................. 50NFSv4.1の有効化と無効化.................................................................................................................. 50pNFSの有効化と無効化....................................................................................................................... 51TCPおよびUDP経由のNFSアクセスの制御.......................................................................................... 51⾮予約ポートからのNFS要求の制御.................................................................................................. 52不明なUNIXユーザ向けのNTFSボリュームまたはqtreeへのNFSアクセスの処理............................. 52⾮予約ポートを使⽤してNFSエクスポートをマウントするクライアントに関する注意事項....... 53ドメインの検証によるネットグループのより厳密なアクセスチェックの実⾏........................... 53NFSv3サービスで使⽤するポートの変更...........................................................................................54NFSサーバの管理⽤コマンド..............................................................................................................55ネームサービスに関する問題のトラブルシューティング............................................................. 56ネームサービスの接続の確認...........................................................................................................58ネームサービススイッチエントリの管理⽤コマンド...................................................................59ネームサービスキャッシュの管理⽤コマンド............................................................................... 59ネームマッピングの管理⽤コマンド............................................................................................... 60ローカルUNIXユーザの管理⽤コマンド.............................................................................................60ローカルUNIXグループの管理⽤コマンド.........................................................................................61ローカルUNIXユーザ、グループ、およびグループメンバーに対する制限...................................61

ローカルUNIXユーザおよびグループに対する制限の管理...................................................62ローカルネットグループの管理⽤コマンド.................................................................................... 62NISドメイン設定の管理⽤コマンド................................................................................................... 63LDAPクライアント設定の管理⽤コマンド........................................................................................ 63LDAP設定の管理⽤コマンド............................................................................................................... 64LDAPクライアントスキーマテンプレートの管理⽤コマンド........................................................ 64NFS Kerberosインターフェイス設定の管理⽤コマンド.................................................................... 65NFS Kerberos Realm設定の管理⽤コマンド....................................................................................... 65エクスポートポリシーの管理⽤コマンド........................................................................................65エクスポートルールの管理⽤コマンド............................................................................................66NFSクレデンシャルキャッシュの設定............................................................................................. 66

NFSクレデンシャルキャッシュのTime-To-Liveを変更する理由........................................... 66キャッシュされたNFSユーザクレデンシャルのTTLの設定.................................................. 67

エクスポートポリシーキャッシュの管理.......................................................................................68エクスポートポリシーキャッシュのフラッシュ................................................................ 68エクスポートポリシーネットグループキューおよびキャッシュの表⺬......................... 69クライアントIPアドレスがネットグループのメンバーかどうかのチェック......................70アクセスキャッシュのパフォーマンスの最適化................................................................. 71

ファイルロックの管理...................................................................................................................... 71プロトコル間のファイルロックについて.............................................................................72ONTAPによる読み取り専⽤ビットの処理⽅法....................................................................... 72共有パスコンポーネントのロックの処理に関するONTAPとWindowsの違い......................73ロックに関する情報の表⺬.................................................................................................... 73ロックの解除........................................................................................................................... 74

NFSでのFPolicyのfirst-readおよびfirst-writeフィルタの動作..............................................................75

iii

| ⽬次 |

NFSv4.1サーバ実装IDの変更...............................................................................................................75NFSv4 ACLの管理................................................................................................................................. 76

NFSv4 ACLを有効化する利点................................................................................................... 76NFSv4 ACLの仕組み.................................................................................................................. 76NFSv4 ACLの変更の有効化と無効化........................................................................................77ONTAPでのNFSv4 ACLを使⽤したファイル削除の可否の判別⽅法........................................77NFSv4 ACLの有効化と無効化................................................................................................... 77

NFSv4ファイル委譲の管理................................................................................................................. 78NFSv4読み取りファイル委譲の有効化と無効化.................................................................... 78NFSv4書き込みファイル委譲の有効化と無効化.................................................................... 79

NFSv4ファイルおよびレコードロックの設定.................................................................................. 80NFSv4ファイルおよびレコードロックについて...................................................................80NFSv4ロックリース期間の指定............................................................................................. 80NFSv4ロック猶予期間の指定.................................................................................................. 80

NFSv4リファーラルの仕組み..............................................................................................................80NFSv4リファーラルの有効化と無効化...............................................................................................81NFS統計の表⺬.................................................................................................................................... 81DNS統計の表⺬....................................................................................................................................82NIS統計の表⺬..................................................................................................................................... 83VMware vStorage over NFSのサポート................................................................................................84VMware vStorage over NFSの有効化と無効化.....................................................................................85rquotaのサポートの有効化と無効化..................................................................................................85TCP転送サイズの変更によるNFSv3 / NFSv4パフォーマンスの改善..................................................86NFSv3とNFSv4のTCP最⼤転送サイズの変更....................................................................................... 86NFSユーザに許可するグループID数の設定....................................................................................... 87NTFSセキュリティ形式のデータへのrootユーザアクセスの制御................................................... 89

付録：サポートされるNFSのバージョンとクライアント..........................90ONTAPでサポートされるNFSv4.0の機能............................................................................................ 90ONTAPでのNFSv4のサポートの制限................................................................................................... 90ONTAPでのNFSv4.1のサポート............................................................................................................91ONTAPでのNFSv4.2のサポート............................................................................................................91

NFSv4.2セキュリティラベルの有効化...................................................................................92ONTAPでのParallel NFSのサポート..................................................................................................... 92ハードマウントの使⽤...................................................................................................................... 92

付録：NFSおよびSMBのファイルとディレクトリの命名規則について................................................................................................................93

ファイル名またはディレクトリ名に使⽤できる⽂字...................................................................... 93マルチプロトコル環境でのファイル名とディレクトリ名の⼤⽂字と⼩⽂字の区別.....................93ONTAPによるファイル名とディレクトリ名の作成⽅法................................................................... 94マルチバイトを含むファイル名、ディレクトリ名、qtree名のONTAPでの処理.............................94ボリュームでのSMBファイル名の変換のための⽂字マッピングの設定........................................ 95

SMBファイル名の変換のための⽂字マッピングの管理コマンド........................................ 97著作権に関する情報..........................................................................................................98登録商標.............................................................................................................................99マニュアルの更新について............................................................................................ 100

iv

『NFSリファレンス』の対象者

このガイドでは、NFSプロトコルで利⽤できるONTAPのファイルアクセス機能について説明します。また、NFSサーバを有効にする⽅法、およびボリュームやqtreeをエクスポートする⽅法を記載します。また、計画のガイダンスと導⼊の詳細な⼿順も⺬します。

このマニュアルは、次のような状況で使⽤することを想定しています。

• ONTAPのNFSプロトコル機能の範囲について理解する必要がある。• NFSの基本的な設定ではなく、あまり⼀般的でない設定および保守作業を⾏う。• ONTAP System Managerや⾃動スクリプトツールではなく、コマンドラインインターフェイス

（CLI）を使⽤する必要がある。

ベストプラクティスに基づいて基本構成を作成する場合は、以下のマニュアルを参照してください。

• NFSv3 構成エクスプレスガイド（ONTAP System Managerを使⽤した基本的な設定）

NFS構成エクスプレスガイド• NFS構成パワーガイド（CLIを使⽤した⾼度な設定）

NFS構成パワーガイド

構成または概念の詳細な情報が必要な場合は、以下のマニュアルを参照してください。

• NFS機能の背景にある概念

コンセプトガイド• ネットワークおよびLIFの管理

ネットワーク管理ガイド• 標準および外部のサーバ実装を使⽤した監査の設定と管理

SMB / CIFSおよびNFS監査とセキュリティトレーシングガイド

5

https://www.fujitsu.com/jp/products/computing/storage/manual/





| NASファイルアクセスについて |

NASファイルアクセスについて

NASクライアントがNFS、CIFS、またはその両⽅を経由してストレージにアクセスできるように、SVMでファイルサーバを構成することができます。マルチプロトコル構成では、接続に使⽤するプロトコルや必要な認証の種類を気にせずにファイルにアクセスできます。

作成するNFSサーバとCIFSサーバは、SVMがクライアントに単⼀のネームスペースを提供できるようにする論理エンティティです。このネームスペースにより、1つのNFSマウントまたはCIFS共有を介して多数のクラスタノード上のファイルストレージにアクセスすることができます。

ネームスペースとジャンクションポイントNASネームスペースは、複数のボリュームをジャンクションポイントで論理的にグループ化して単⼀のファイルシステム階層にまとめたものです。必要な権限があるクライアントは、ストレージ内のファイルの場所を指定せずにネームスペース内のファイルにアクセスできます。ジャンクションされたボリュームはクラスタ内の任意の場所に配置できます。

NASクライアントは、⽬的のファイルを含むすべてのボリュームをマウントする代わりに、NFSエクスポートをマウントするか、SMB共有にアクセスします。エクスポートまたは共有は、ネームスペース全体またはネームスペース内の中間的な場所を表します。クライアントは、これらのアクセスポイントより下にマウントされたボリュームにのみアクセスします。

ネームスペースには必要に応じてボリュームを追加できます。ジャンクションポイントは、親ボリュームジャンクションのすぐ下に作成することも、ボリューム内のディレクトリに作成することもできます。「vol3」というボリュームのボリュームジャンクションへのパスは、/vol1/vol2/vol3や/vol1/dir2/vol3、あるいは/dir1/dir2/vol3のようになります。これらのパスをジャンクションパスと呼びます。

SVMには、それぞれ⼀意のネームスペースがあります。SVMのルートボリュームがネームスペース階層へのエントリポイントです。

注 : ノードに障害やフェイルオーバーが発⽣したときにデータを引き続き利⽤できるようにするには、SVMルートボリュームに負荷共有ミラーコピーを作成する必要があります。

6


例

次の例では、ジャンクションパスが/eng/homeである「home4」という名前のボリュームをSVMvs1上に作成します。

cluster1::> volume create -vserver vs1 -volume home4 -aggregate aggr1 -size 1g -junction-path /eng/home[Job 1642] Job succeeded: Successful

⼀般的なNASネームスペースアーキテクチャとはSVMネームスペースを作成するときに使⽤できる⼀般的なNASネームスペースアーキテクチャがいくつかあります。ビジネス要件やワークフロー要件に合わせて、ネームスペースアーキテクチャを選択できます。

ネームスペースの最上位は常にルートボリュームであり、スラッシュ（/）で表されます。ルートの下位のネームスペースアーキテクチャは以下の3つの基本カテゴリに分類されます。

• ネームスペースのルートへのジャンクションポイントを1つ備えた単⼀分岐ツリー• ネームスペースのルートへのジャンクションポイントを複数備えた複数分岐ツリー• ボリュームごとにネームスペースのルートへの個別のジャンクションポイントを備えた複数のスタ

ンドアロンボリューム

単⼀分岐ツリーを使⽤するネームスペース

単⼀分岐ツリーを使⽤するアーキテクチャには、SVMネームスペースのルートへの挿⼊ポイントが1つあります。単⼀の挿⼊ポイントは、ジャンクションされたボリュームまたはルートの下のディレクトリのどちらかです。それ以外のすべてのボリュームは、単⼀の挿⼊ポイントの下のジャンクションポイント（ボリュームまたはディレクトリ）でマウントされます。

7


たとえば、上記のネームスペースアーキテクチャを使⽤する⼀般的なボリュームジャンクション構成は、すべてのボリュームが単⼀の挿⼊ポイント（「data」という名前のディレクトリ）の下にジャンクションされる次のような構成になります。

Junction JunctionVserver Volume Active Junction Path Path Source------- ------------ -------- ------------------- -----------vs1 corp1 true /data/dir1/corp1 RW_volumevs1 corp2 true /data/dir1/corp2 RW_volumevs1 data1 true /data/data1 RW_volumevs1 eng1 true /data/data1/eng1 RW_volumevs1 eng2 true /data/data1/eng2 RW_volumevs1 sales true /data/data1/sales RW_volumevs1 vol1 true /data/vol1 RW_volumevs1 vol2 true /data/vol2 RW_volumevs1 vol3 true /data/vol3 RW_volumevs1 vs1_root - / -

複数分岐ツリーを使⽤するネームスペース

複数分岐ツリーを使⽤するアーキテクチャには、SVMネームスペースのルートへの挿⼊ポイントが複数あります。挿⼊ポイントは、ルート直下にジャンクションされたボリュームまたはディレクトリのどちらかです。それ以外のすべてのボリュームは、単⼀の挿⼊ポイントの下のジャンクションポイント（ボリュームまたはディレクトリ）でマウントされます。

たとえば、上記のネームスペースアーキテクチャを使⽤する標準的なボリュームジャンクション構成は、SVMのルートボリュームへの挿⼊ポイントが3つある以下のような構成になります。挿⼊ポイントのうち2つは、それぞれ「data」、「projects」という名前のディレクトリです。もう1つの挿⼊ポイントは、「audit」という名前の結合されたボリュームです。

Junction JunctionVserver Volume Active Junction Path Path Source------- ------------ -------- ------------------- -----------vs1 audit true /audit RW_volumevs1 audit_logs1 true /audit/logs1 RW_volumevs1 audit_logs2 true /audit/logs2 RW_volumevs1 audit_logs3 true /audit/logs3 RW_volumevs1 eng true /data/eng RW_volumevs1 mktg1 true /data/mktg1 RW_volumevs1 mktg2 true /data/mktg2 RW_volume

8


vs1 project1 true /projects/project1 RW_volumevs1 project2 true /projects/project2 RW_volumevs1 vs1_root - / -

複数のスタンドアロンボリュームを使⽤するネームスペース

スタンドアロンボリュームを使⽤するアーキテクチャでは、すべてのボリュームにSVMネームスペースのルートへの挿⼊ポイントがありますが、各ボリュームが別のボリュームの下でジャンクションされることはありません。各ボリュームは⼀意のパスを持ち、ルート直下でジャンクションされるか、ルートより下のディレクトリでジャンクションされます。

たとえば、上記のネームスペースアーキテクチャでの標準的なボリュームジャンクション構成は、SVMのルートボリュームへの挿⼊ポイントが5つあり、それぞれの挿⼊ポイントが1つのボリュームへのパスを表す以下のような構成になります。 Junction JunctionVserver Volume Active Junction Path Path Source------- ------------ -------- ------------------- -----------vs1 eng true /eng RW_volumevs1 mktg true /vol/mktg RW_volumevs1 project1 true /project1 RW_volumevs1 project2 true /project2 RW_volumevs1 sales true /sales RW_volumevs1 vs1_root - / -

9


ONTAPによるファイルアクセスの制御⽅法ONTAPでは、指定された認証ベースおよびファイルベースの制限に従って、ファイルアクセスが制御されます。

クライアントがファイルにアクセスするためにストレージシステムに接続するとき、ONTAPは2つのタスクを実⾏する必要があります。

• 認証

ONTAPは、信頼できるソースでIDを検証して、クライアントを認証する必要があります。また、クライアントの認証タイプは、エクスポートポリシーの設定時にクライアントがデータにアクセスできるかどうかの判断に使⽤できる⽅法の1つです（CIFSの場合は省略可能）。

• 許可

ONTAPは、ユーザのクレデンシャルとファイルまたはディレクトリに対して設定されているアクセス許可を⽐較し、提供するアクセスのタイプ（該当する場合）を決定して、ユーザを許可する必要があります。

ファイルアクセス制御を適切に管理するため、ONTAPは、NIS、LDAP、およびActive Directoryサーバなどの外部サービスと通信します。CIFSまたはNFSを使⽤するストレージシステムのファイルアクセスを設定するには、ONTAPの導⼊環境に応じて、サービスを適切に設定する必要があります。

認証ベースの制限認証ベースの制限を使⽤すると、Storage Virtual Machine（SVM）に接続できるクライアントマシンおよびユーザを指定できます。

ONTAPは、UNIXサーバおよびWindowsサーバの両⽅からのKerberos認証をサポートします。

ファイルベースの制限ONTAPでは、3つのレベルのセキュリティを評価して、SVM上にあるファイルおよびディレクトリに対して要求された処理を実⾏する権限がエンティティにあるかどうかを判断します。アクセスは、3つのセキュリティレベルの評価後に有効な権限によって判断されます。

すべてのストレージオブジェクトに、次のセキュリティレイヤを最⼤で3種類含めることができます。

• エクスポート（NFS）および共有（SMB）セキュリティ

エクスポートおよび共有セキュリティは、特定のNFSエクスポートまたはSMB共有へのクライアントアクセスに適⽤されます。管理者権限を持つユーザは、SMBクライアントとNFSクライアントからエクスポートおよび共有レベルのセキュリティを管理できます。

• ストレージレベルのアクセス保護ファイルおよびディレクトリセキュリティ

ストレージレベルのアクセス保護セキュリティは、SVMボリュームへのSMBおよびNFSクライアントアクセスに適⽤されます。NTFSのアクセス権のみがサポートされています。ONTAPがストレージレベルのアクセス保護が適⽤されているボリューム上のデータにアクセスするUNIXユーザのセキュリティチェックを⾏うには、UNIXユーザがボリュームを所有するSVM上のWindowsユーザにマッピングされている必要があります。

注 : NFSまたはSMBクライアントからファイルまたはディレクトリのセキュリティ設定を表⺬した場合、ストレージレベルのアクセス保護のセキュリティは表⺬されません。システム（WindowsまたはUNIX）管理者であっても、ストレージレベルのアクセス保護セキュリティをクライアントから取り消すことはできません。

• NTFS、UNIX、およびNFSv4のネイティブのファイルレベルのセキュリティ

ストレージオブジェクトを表すファイルやディレクトリには、ネイティブのファイルレベルのセキュリティが存在します。ファイルレベルのセキュリティはクライアントから設定できます。ファイル権限は、データへのアクセスにSMBとNFSのどちらを使⽤するかに関係なく有効です。

10


ONTAPによるNFSクライアント認証の処理NFSクライアントからSVM上のデータにアクセスするためには、NFSクライアントが正しく認証されている必要があります。ONTAPでは、UNIXクレデンシャルを設定されたネームサービスに照らしてチェックすることで、そのクライアントを認証します。

NFSクライアントがSVMに接続すると、ONTAPは、SVMのネームサービス設定に応じて複数のネームサービスをチェックし、そのユーザのUNIXクレデンシャルを取得します。ONTAPでチェックできるのは、ローカルのUNIXアカウント、NISドメイン、およびLDAPドメインのクレデンシャルです。ONTAPがユーザを認証できるように、このうちの少なくとも1つを設定しておく必要があります。複数のネームサービスと検索順序を指定できます。

UNIXのボリュームセキュリティ形式のみを使⽤するNFS環境の場合、この設定だけでNFSクライアントから接続するユーザが認証され、適切なファイルアクセスが提供されます。

ボリュームのセキュリティ形式がMixed、NTFS、またはUnifiedの場合、ONTAPがUNIXユーザをWindowsドメインコントローラで認証するためにはCIFSユーザ名を取得する必要があります。そのためには、ローカルのUNIXアカウントまたはLDAPドメインを使⽤して個々のユーザをマッピングするか、代わりにデフォルトのCIFSユーザを使⽤します。ONTAPが検索するネームサービスの種類と検索順序を指定するか、またはデフォルトのCIFSユーザを指定します。

ONTAPでのネームサービスの使⽤⽅法ONTAPは、ネームサービスを使⽤してユーザやクライアントに関する情報を取得します。ONTAPは、ストレージシステム上でデータにアクセスしたりストレージシステムを管理したりするユーザの認証や、混在環境でのユーザクレデンシャルのマッピングを⾏うために、この情報を使⽤します。

ストレージシステムを設定する際に、ONTAPが認証⽤のユーザクレデンシャルを取得するために使⽤するネームサービスを指定する必要があります。ONTAPでは、次のネームサービスをサポートしています。

• ローカルユーザ（ファイル）• 外部NISドメイン（NIS）• 外部LDAPドメイン（LDAP）

ネットワーク情報を検索するソースやそうしたソースの検索順序をSVMで設定するには、vserverservices name-service ns-switchコマンドファミリーを使⽤します。これらのコマンドは、UNIXシステムの/etc/nsswitch.confファイルに相当する機能を提供します。

NFSクライアントがSVMに接続すると、ONTAPは指定されたネームサービスをチェックして、ユーザのUNIXクレデンシャルを取得します。ネームサービスが正しく設定されていてONTAPがUNIXクレデンシャルを取得できる場合、ONTAPはユーザの認証に成功します。

mixedセキュリティ形式の環境では、ONTAPによるユーザクレデンシャルのマッピングが必要になる場合があります。ONTAPがユーザクレデンシャルを適切にマッピングできるようにするには、環境のネームサービスを適切に設定する必要があります。

ONTAPは、SVM管理者アカウントの認証にもネームサービスを使⽤します。ネームサービススイッチを設定または変更する際にはこの点を念頭に置いて、SVM管理者アカウントの認証を誤って無効にしないようにする必要があります。SVM管理ユーザの詳細については、管理者認証とRBACパワーガイドを参照してください。

管理者認証とRBACパワーガイド

ONTAPによるNFSクライアントからのCIFSファイルアクセスの許可⽅法ONTAPでは、NTFS（Windows NTファイルシステム）のセキュリティセマンティクスを利⽤して、NTFSアクセス権によるファイルへのアクセス権が、NFSクライアント上のUNIXユーザにあるかどうかが判別されます。

ONTAPでは、ユーザのUNIX User ID（UID;UNIXユーザID）から変換されたCIFSクレデンシャルを使⽤して、ファイルに対するユーザのアクセス権の有無が確認されます。CIFSクレデンシャルは、通常はユー

11



ザのWindowsユーザ名であるプライマリSecurity Identifier（SID;セキュリティID）と、ユーザがメンバーとなっているWindowsグループに対応する1つ以上のグループSIDで構成されています。

ONTAPでUNIX UIDをCIFSクレデンシャルへ変換するときに要する時間は、数⼗ミリ秒から数百ミリ秒です。これは、この変換処理にドメインコントローラへの問い合わせも含まれるためです。ONTAPではUIDがCIFSクレデンシャルにマッピングされます。このマッピングはクレデンシャルキャッシュ内に⼊⼒されるので、変換によって発⽣する照合時間が短縮されます。

NFSクレデンシャルキャッシュの仕組みNFSユーザがストレージシステム上のNFSエクスポートへのアクセスを要求すると、ONTAPは、ユーザの認証を⾏うために外部ネームサーバまたはローカルファイルからユーザクレデンシャルを取得する必要があります。その後、ONTAPは、以降の参照⽤にこれらのクレデンシャルを内部のクレデンシャルキャッシュに格納します。NFSクレデンシャルキャッシュの仕組みを理解しておくと、パフォーマンスおよびアクセスに関する潜在的な問題に対処できます。

クレデンシャルキャッシュがないと、ONTAPはNFSユーザがアクセスを要求するたびにネームサービスを照会しなければなりません。多数のユーザがアクセスする使⽤頻度の⾼いストレージシステムでは、こうした状況がすぐに深刻なパフォーマンス上の問題につながり、不必要な遅延や、場合によってはNFSクライアントアクセスの拒否さえ引き起こす可能性があります。

クレデンシャルキャッシュがあれば、ONTAPは取得したユーザクレデンシャルをあらかじめ決められた期間だけ格納しておき、同じNFSクライアントから再び要求があっても迅速かつ容易にアクセスすることができます。この⽅法には次の利点があります。

• 外部ネームサーバ（NISやLDAPなど）に対する要求の処理を減らすことで、ストレージシステムの負荷が軽減されます。

• 外部ネームサーバに送信する要求を減らすことで、外部ネームサーバの負荷が軽減されます。• ユーザの認証を⾏う前に外部ソースからクレデンシャルを取得するための待ち時間をなくすこと

で、ユーザアクセスのスピードが向上します。

ONTAPは、受理されたクレデンシャルと拒否されたクレデンシャルの両⽅をクレデンシャルキャッシュに格納します。受理されたクレデンシャルとは、ユーザが認証されてアクセス権を付与されたことを意味します。拒否されたクレデンシャルとは、ユーザが認証されずにアクセスが拒否されたことを意味します。

デフォルトでは、ONTAPは受理されたクレデンシャルを24時間保存します。つまり、ユーザの最初の認証から24時間は、そのユーザからのすべてのアクセス要求でONTAPはキャッシュされたクレデンシャルを使⽤します。24時間後にそのユーザからアクセスが要求された場合は、最初からやり直しになります。ONTAPはキャッシュされたクレデンシャルを破棄し、適切なネームサービスソースから再びクレデンシャルを取得します。それまでの24時間にネームサーバ上でクレデンシャルが変更された場合、ONTAPは、次の24時間での使⽤に備えて、更新されたクレデンシャルをキャッシュします。

デフォルトでは、ONTAPは拒否されたクレデンシャルを2時間保存します。つまり、ユーザに対する最初のアクセス拒否から2時間は、そのユーザからのすべてのアクセス要求をONTAPは拒否し続けます。2時間後にそのユーザからアクセスが要求された場合は、最初からやり直しになります。ONTAPは適切なネームサービスソースから再びクレデンシャルを取得します。それまでの2時間にネームサーバ上でクレデンシャルが変更された場合、ONTAPは、次の2時間での使⽤に備えて、更新されたクレデンシャルをキャッシュします。

12

NASネームスペース内でのデータボリュームの作成と管理

NAS環境でファイルアクセスを管理するには、Storage Virtual Machine（SVM）上でデータボリュームおよびジャンクションポイントを管理する必要があります。これには、ネームスペースアーキテクチャの計画、ジャンクションポイントが設定されたボリュームまたはジャンクションポイントが設定されていないボリュームの作成、ボリュームのマウントまたはアンマウント、およびデータボリュームやNFSサーバまたはCIFSサーバのネームスペースに関する情報の表⺬が含まれます。

関連概念ネームスペースとジャンクションポイント（6ページ）

ジャンクションポイントを指定したボリュームの作成データボリュームを作成するときは、ジャンクションポイントを指定できます。作成したボリュームは、ジャンクションポイントに⾃動的にマウントされ、NASアクセス⽤の設定にすぐに使⽤できます。

始める前に

ボリュームを作成するアグリゲートがすでに存在している必要があります。

注 : ジャンクションパスに次の⽂字は使⽤できません。

* # " > < | ? \

また、ジャンクションパスの⻑さは255⽂字以下にする必要があります。

⼿順

1. ジャンクションポイントを設定してボリュームを作成します。volume create -vservervserver_name -volume volume_name -aggregate aggregate_name -size{integer[KB|MB|GB|TB|PB]} -security-style {ntfs|unix|mixed} -junction-path junction_path

ジャンクションパスはルート（/）で始まる必要があり、ディレクトリおよび結合されたボリュームを含むことができます。ジャンクションパスにボリュームの名前を含める必要はありません。ジャンクションパスはボリューム名に依存しません。

ボリュームのセキュリティ形式の指定は省略可能です。セキュリティ形式を指定しない場合、Storage Virtual Machine（SVM）のルートボリュームと同じセキュリティ形式を使⽤してボリュームが作成されます。ただし、ルートボリュームのセキュリティ形式が、作成するデータボリュームには適切でないセキュリティ形式である場合もあります。解決が困難なファイルアクセスの問題ができるだけ発⽣しないように、ボリュームの作成時にセキュリティ形式を指定することを推奨します。

ジャンクションパスでは⼤⽂字と⼩⽂字が区別されません。/ENGは/engと同じものとみなされます。CIFS共有を作成する場合、Windowsでは、ジャンクションパスがあたかも⼤⽂字と⼩⽂字の区別があるかのように扱われます。たとえば、ジャンクションが/ENGの場合、CIFS共有のパスは、/engではなく、/ENGで始まっている必要があります。

データボリュームのカスタマイズに使⽤できるオプションのパラメータが多数⽤意されています。詳細については、volume createコマンドのマニュアルページを参照してください。

2. 指定したジャンクションポイントでボリュームが作成されたことを確認します。volume show -vserver vserver_name -volume volume_name -junction

例

次の例では、ジャンクションパスが/eng/homeである「home4」という名前のボリュームをSVMvs1上に作成します。

13

| NASネームスペース内でのデータボリュームの作成と管理 |

cluster1::> volume create -vserver vs1 -volume home4 -aggregate aggr1 -size 1g -junction-path /eng/home[Job 1642] Job succeeded: Successful

cluster1::> volume show -vserver vs1 -volume home4 -junction Junction JunctionVserver Volume Active Junction Path Path Source--------- ------- -------- --------------- -----------vs1 home4 true /eng/home RW_volume

ジャンクションポイントが指定されていないデータボリュームの作成ジャンクションポイントを指定せずにデータボリュームを作成できます。作成したボリュームは、⾃動的にはマウントされず、NASアクセス⽤の設定に使⽤することはできません。このボリュームに対してSMB共有またはNFSエクスポートを設定するには、まず、ボリュームをマウントする必要があります。

始める前に

ボリュームを作成するアグリゲートがすでに存在している必要があります。

⼿順

1. 次のコマンドを使⽤して、ジャンクションポイントが設定されていないボリュームを作成します。volume create -vserver vserver_name -volume volume_name -aggregateaggregate_name -size {integer[KB|MB|GB|TB|PB]} -security-style {ntfs|unix|mixed}

ボリュームのセキュリティ形式の指定は省略可能です。セキュリティ形式を指定しない場合、Storage Virtual Machine（SVM）のルートボリュームと同じセキュリティ形式を使⽤してボリュームが作成されます。ただし、ルートボリュームのセキュリティ形式が、データボリュームには適切でないセキュリティ形式である場合もあります。解決が困難なファイルアクセスの問題ができるだけ発⽣しないように、ボリュームの作成時にセキュリティ形式を指定することを推奨します。

データボリュームのカスタマイズに使⽤できるオプションのパラメータが多数⽤意されています。詳細については、volume createコマンドのマニュアルページを参照してください。

2. ジャンクションポイントが設定されていないボリュームが作成されたことを確認します。volumeshow -vserver vserver_name -volume volume_name -junction

例

次の例は、ジャンクションポイントにマウントされない「sales」という名前のボリュームをSVMvs1上に作成します。

cluster1::> volume create -vserver vs1 -volume sales -aggregate aggr3 -size 20GB[Job 3406] Job succeeded: Successful

cluster1::> volume show -vserver vs1 -junction Junction JunctionVserver Volume Active Junction Path Path Source--------- ---------- -------- --------------- -----------vs1 data true /data RW_volumevs1 home4 true /eng/home RW_volumevs1 vs1_root - / -vs1 sales - - -

NASネームスペースでの既存のボリュームのマウントまたはアンマウントStorage Virtual Machine（SVM）ボリュームに含まれているデータに対するNASクライアントのアクセスを設定するには、ボリュームがNASネームスペースにマウントされている必要があります。現在マウントされていないボリュームであれば、そのボリュームをジャンクションポイントにマウントできます。また、ボリュームはアンマウントすることもできます。

14


このタスクについて

ボリュームをアンマウントし、オフラインにすると、アンマウントしたボリュームのネームスペース内に含まれたジャンクションポイントのあるボリューム内のデータも含め、ジャンクションポイント内のすべてのデータに、NASクライアントからアクセスできなくなります。

注 : NASクライアントからボリュームへのアクセスを切断するには、ボリュームをアンマウントするだけでは不⼗分です。ボリュームをオフラインにするか、または他の⼿順でクライアント側のファイルハンドルキャッシュを確実に無効にする必要があります。

ボリュームをアンマウントし、オフラインにしても、ボリューム内のデータは失われません。また、既存のボリュームエクスポートポリシーおよびボリュームまたはディレクトリ上に作成されたSMB共有、およびアンマウントされたボリューム内のジャンクションポイントは保持されます。アンマウントしたボリュームを再マウントすれば、NASクライアントは、既存のエクスポートポリシーとSMB共有を使⽤してボリューム内のデータにアクセスできるようになります。

⼿順

1. 次のうち必要な操作を実⾏します。

状況⼊⼒するコマンド

ボリュームのマウント volume mount -vserver svm_name -volume volume_name -junction-pathjunction_path

ボリュームのアンマウント volume unmount -vserver svm_name-volume volume_name volumeoffline -vserver svm_name -volumevolume_name

2. ボリュームが⽬的のマウント状態になっていることを確認します。 volume show -vservervserver_name -volume volume_name -fields state,junction-path,junction-active

例

次に、vs1というSVM上の「sales」という名前のボリュームをジャンクションポイント/salesにマウントする例を⺬します。

cluster1::> volume mount -vserver vs1 -volume sales -junction-path /sales

cluster1::> volume show -vserver vs1 state,junction-path,junction-active

vserver volume state junction-path junction-active--------- ---------- -------- --------------- ----------------vs1 data online /data truevs1 home4 online /eng/home truevs1 sales online /sales true

次に、vs1というSVM上の「data」という名前のボリュームをアンマウントし、オフラインにする例を⺬します。

cluster1::> volume unmount -vserver vs1 -volume datacluster1::> volume offline -vserver vs1 -volume data

cluster1::> volume show -vserver vs1 -fields state,junction-path,junction-active

vserver volume state junction-path junction-active--------- ---------- --------- --------------- ---------------vs1 data offline - -vs1 home4 online /eng/home truevs1 sales online /sales true

15


ボリュームマウントポイントとジャンクションポイントに関する情報の表⺬

Storage Virtual Machine（SVM）のマウントボリューム、およびボリュームがマウントされているジャンクションポイントに関する情報を表⺬できます。また、ジャンクションポイントにマウントされていないボリュームを確認することもできます。この情報を使⽤して、SVMネームスペースを理解し、管理することができます。

⼿順

次のうち必要な操作を実⾏します。

表⺬する項⽬⼊⼒するコマンド

SVMのマウントされたボリュームとマウントされていないボリュームに関する概要情報

volume show -vserver vserver_name -junction

SVMのマウントされたボリュームとマウントされていないボリュームに関する詳細情報

volume show -vserver vserver_name -volume volume_name -instance

SVMのマウントされたボリュームとマウントされていないボリュームに関する特定の情報

a. 必要に応じて、次のコマンドを使⽤して、-fieldsパラメータの有効なフィールドを表⺬できます。volume show -fields ?

b. -fieldsパラメータを使⽤して、必要な情報を表⺬します。volume show -vservervserver_name -fields fieldname,...

例

次の例は、SVM vs1のマウントされたボリュームとマウントされていないボリュームの概要を表⺬します。

cluster1::> volume show -vserver vs1 -junction Junction JunctionVserver Volume Active Junction Path Path Source--------- ---------- -------- --------------- -----------vs1 data true /data RW_volumevs1 home4 true /eng/home RW_volumevs1 vs1_root - / -vs1 sales true /sales RW_volume

次の例は、SVM vs2上に配置されたボリュームの指定したフィールドに関する情報を表⺬します。cluster1::> volume show -vserver vs2 -fields vserver,volume,aggregate,size,state,type,security-style,junction-path,junction-parent,nodevserver volume aggregate size state type security-style junction-path junction-parent node------- ------ --------- ---- ------ ---- -------------- ------------- --------------- ----- vs2 data1 aggr3 2GB online RW unix - - node3vs2 data2 aggr3 1GB online RW ntfs /data2 vs2_root node3 vs2 data2_1 aggr3 8GB online RW ntfs /data2/d2_1 data2 node3vs2 data2_2 aggr3 8GB online RW ntfs /data2/d2_2 data2 node3vs2 pubs aggr1 1GB online RW unix /publications vs2_root node1vs2 images aggr3 2TB online RW ntfs /images vs2_root node3vs2 logs aggr1 1GB online RW unix /logs vs2_root node1vs2 vs2_root aggr3 1GB online RW ntfs / - node3

16

セキュリティ形式の設定

FlexVolおよびqtreeのセキュリティ形式を設定することで、アクセスを制御するためにONTAPが使⽤するアクセス権のタイプや、そのアクセス権を変更できるクライアントタイプを決定できます。

セキュリティ形式がデータアクセスに与える影響ストレージシステムの各ボリュームおよびqtreeには、セキュリティ形式が設定されています。セキュリティ形式は、ユーザを許可する際に使⽤されるボリュームのデータに対するアクセス権のタイプを決定します。セキュリティ形式はボリュームのタイプによって異なります。

セキュリティ形式とその影響とはセキュリティ形式には、UNIX、NTFS、mixed、およびunifiedの4種類があり、セキュリティ形式ごとにデータに対する権限の扱いが異なります。⽬的に応じて適切なセキュリティ形式を選択できるように、それぞれの影響について理解しておく必要があります。

セキュリティ形式はデータにアクセスできるクライアントの種類には影響しないことに注意してください。セキュリティ形式で決まるのは、データアクセスの制御にONTAPで使⽤される権限の種類と、それらの権限を変更できるクライアントの種類だけです。

たとえば、ボリュームでUNIXセキュリティ形式を使⽤している場合でも、ONTAPはマルチプロトコルに対応しているため、SMBクライアントから引き続きデータにアクセスできます（認証と許可が適切な場合）。ただし、ONTAPでは、UNIXクライアントのみが標準のツールを使⽤して変更できるUNIX権限が使⽤されます。

表 1 :

セキュリティ形式

権限を変更できるクライアント

クライアントで使⽤できる権限

有効になるセキュリティ形式

ファイルにアクセスできるクライアント

NFSv3モードビット UNIXUNIX NFS

NFSv4.x ACL UNIX

NTFS SMB NTFS ACL NTFS

NFSv3モードビット UNIX

NFSv4.x ACL UNIX

Mixed NFSまたはSMB

NTFS ACL NTFS

NFSv3モードビット UNIX

NFSv4.1 ACL UNIX

Unified NFSまたはSMB

NTFS ACL NTFS

NFSとSMB

FlexVolでは、UNIX、NTS、およびmixedのセキュリティ形式がサポートされます。セキュリティ形式がmixedまたはunifiedの場合は、ユーザがセキュリティ形式を各⾃設定するため、権限を最後に変更したクライアントの種類によって有効になる権限が異なります。権限を最後に変更したクライアントがNFSv3クライアントの場合、権限はUNIX NFSv3モードビットになります。最後のクライアントがNFSv4クライアントの場合、権限はNFSv4 ACLになります。最後のクライアントがSMBクライアントの場合、権限はWindows NTFS ACLになります。

vserver security file-directoryコマンドのshow-effective-permissionsパラメータを使⽤して、指定したファイルやフォルダパスに対してWindowsユーザまたはUNIXユーザに付与されている有

17

| セキュリティ形式の設定 |

効な権限を表⺬できます。また、オプションの-share-nameパラメータを使⽤して、有効な共有権限を表⺬することもできます。

注 : ONTAPで、最初にデフォルトのファイル権限がいくつか設定されます。デフォルトでは、UNIX、mixed、およびunifiedのセキュリティ形式のボリュームにあるデータについては、セキュリティ形式はUNIX、権限の種類はUNIXモードビット（特に指定しないかぎり0755）が有効になります。これは、デフォルトのセキュリティ形式で許可されたクライアントで設定するまで変わりません。同様に、NTFSセキュリティ形式のボリュームにあるデータについては、デフォルトでNTFSセキュリティ形式が有効になり、すべてのユーザにフルコントロール権限を許可するACLが割り当てられます。

セキュリティ形式を設定する場所とタイミングセキュリティ形式は、FlexVol（ルートボリュームとデータボリュームのどちらでも可）およびqtree上に設定できます。セキュリティ形式は、作成時に⼿作業で設定したり、⾃動的に継承したり、後から変更したりすることができます。

SVMで使⽤するセキュリティ形式を決定する⽅法ボリュームで使⽤するセキュリティ形式を決定するには、2つの要素を考慮する必要があります。第1の要素は、ファイルシステムの管理者のタイプで、第2の要素は、ボリューム上のデータにアクセスするユーザまたはサービスのタイプです。

ボリュームのセキュリティ形式を設定する際は、最適なセキュリティ形式を選択してアクセス権の管理に関する問題を回避するために、環境のニーズを考慮する必要があります。決定時には以下を考慮すると役⽴ちます。

表 2 :

セキュリティ形式以下の場合に選択

UNIX • ファイルシステムがUNIX管理者によって管理される。• ユーザの⼤半がNFSクライアントである。• データにアクセスするアプリケーションで、サービスアカウントとし

てUNIXユーザが使⽤される。

NTFS • ファイルシステムがWindows管理者によって管理される。• ユーザの⼤半がSMBクライアントである。• データにアクセスするアプリケーションで、サービスアカウントとし

てWindowsユーザが使⽤される。

Mixed ファイルシステムがUNIX管理者とWindows管理者の両⽅によって管理され、ユーザがNFSクライアントとSMBクライアントの両⽅で構成される。

セキュリティ形式の継承の仕組み新しいFlexVolまたはqtreeの作成時にセキュリティ形式を指定しない場合、セキュリティ形式はさまざまな⽅法で継承されます。

セキュリティ形式は、次のように継承されます。

• FlexVolは、そのFlexVolを含むSVMのルートボリュームのセキュリティ形式を継承します。• qtreeは、そのqtreeを含むFlexVolのセキュリティ形式を継承します。• ファイルまたはディレクトリは、そのファイルまたはディレクトリを含むFlexVolまたはqtreeのセ

キュリティ形式を継承します。

ONTAPによるUNIXアクセス権の維持⽅法UNIXアクセス権を現在持っているFlexVol内のファイルがWindowsアプリケーションによって編集および保存されても、ONTAPはUNIXアクセス権を維持できます。

18


Windowsクライアントのアプリケーションは、ファイルを編集して保存するときに、ファイルのセキュリティプロパティを読み取り、新しい⼀時ファイルを作成し、セキュリティプロパティを⼀時ファイルに適⽤して、⼀時ファイルに元のファイル名を付けます。

セキュリティプロパティのクエリの実⾏時に、Windowsクライアントは、UNIXアクセス権を正確に表す構築済みACLを受け取ります。この構築済みACLは、Windowsアプリケーションによってファイルが更新されるときにファイルのUNIXアクセス権を維持し、⽣成されたファイルが同じUNIXアクセス権を持つようにするためだけに使⽤されます。ONTAPは、構築済みACLを使⽤してNTFS ACLを設定しません。

Windowsの[セキュリティ]タブを使⽤したUNIXアクセス権の管理⽅法SVMでmixedセキュリティ形式のボリュームまたはqtree内にあるファイルまたはフォルダのUNIXアクセス権を操作する場合は、Windowsクライアントの[セキュリティ]タブを使⽤します。または、WindowsACLを照会または設定できるアプリケーションを使⽤できます。

• UNIXアクセス権の変更

Windowsの[セキュリティ]タブで、mixedセキュリティ形式のボリュームまたはqtreeのUNIXアクセス権を表⺬および変更することができます。Windowsのメイン[セキュリティ]タブを使⽤してUNIXアクセス権を変更する場合は、変更を⾏う前にまず、編集する既存のACEを削除する必要があります（これによりモードビットが0に設定されます）。また、⾼度なエディタを使⽤してアクセス権を変更することもできます。

モードのアクセス権を使⽤している場合は、リストされたUID、GID、およびその他（コンピュータにアカウントを持つその他すべてのユーザ）のモードアクセス権を直接変更できます。たとえば、表⺬されたUIDにr-xのアクセス権が設定されている場合、このUIDのアクセス権をrwxに変更できます。

• UNIXアクセス権からNTFSアクセス権への変更

Windowsの[セキュリティ]タブを使⽤して、ファイルおよびフォルダがUNIX対応のセキュリティ形式で設定されているmixed型セキュリティ形式のボリュームまたはqtree上の場合であれば、UNIXのセキュリティオブジェクトをWindowsのセキュリティオブジェクトで置き換えることができます。

その場合は、適切なWindowsのユーザおよびグループのオブジェクトで置き換える前に、リストされているUNIXアクセス権のすべてのエントリをまず削除する必要があります。次に、WindowsのユーザおよびグループのオブジェクトにNTFSベースのACLを設定します。すべてのUNIXセキュリティオブジェクトを削除し、Windowsのユーザおよびグループのみをmixedセキュリティ形式のボリュームまたはqtree上のファイルまたはフォルダに追加すると、ファイルまたはフォルダのセキュリティ形式がUNIXからNTFSへ変換されます。

フォルダへのアクセス権を変更する際には、Windowsのデフォルトの動作により、フォルダの配下のすべてのフォルダとファイルにもアクセス権の変更が反映されます。したがって、セキュリティ形式の変更をすべての⼦フォルダ、サブフォルダ、およびファイルに反映したくない場合は、反映する範囲を希望の範囲に変更する必要があります。

SVMルートボリュームでのセキュリティ形式の設定Storage Virtual Machine（SVM）のルートボリューム上のデータに使⽤するアクセス権のタイプを決定するには、SVMルートボリュームのセキュリティ形式を設定します。

⼿順

1. セキュリティ形式を定義するには、vserver createコマンドで-rootvolume-security-styleパラメータを使⽤します。ルートボリュームのセキュリティ形式に使⽤できるオプションは、unix、ntfs、またはmixedです。

2. 作成したSVMのルートボリュームセキュリティ形式を含む設定を表⺬して確認します。 vservershow -vserver vserver_name

19


FlexVolでのセキュリティ形式の設定Storage Virtual Machine（SVM）のFlexVol上のデータに使⽤するアクセス権のタイプを決定するには、FlexVolのセキュリティ形式を設定します。

⼿順

1. 次のいずれかを実⾏します。

FlexVolの有無使⽤するコマンド

まだ存在しない volume create（-security-styleパラメータでセキュリティ形式を指定）

すでに存在する volume modify（-security-styleパラメータでセキュリティ形式を指定）

FlexVolのセキュリティ形式に使⽤できるオプションは、unix、ntfs、またはmixedです。

FlexVolの作成時にセキュリティ形式を指定しない場合、ボリュームはルートボリュームのセキュリティ形式を継承します。

volume createコマンドまたはvolume modifyコマンドの詳細については、論理ストレージ管理ガイドを参照してください。

2. 作成したFlexVolのセキュリティ形式を含む設定を表⺬するには、次のコマンドを⼊⼒します。volume show -volume volume_name -instance

関連情報論理ストレージ管理ガイド

qtreeでのセキュリティ形式の設定qtree上のデータに使⽤するアクセス権のタイプを決定するには、qtreeのセキュリティ形式を設定します。

⼿順


qtreeの有無使⽤するコマンド

まだ存在しない volume qtree create（-security-styleパラメータでセキュリティ形式を指定）

すでに存在する volume qtree modify（-security-styleパラメータでセキュリティ形式を指定）

qtreeのセキュリティ形式に使⽤できるオプションは、unix、ntfs、またはmixedです。

qtreeの作成時にセキュリティ形式を指定しない場合、デフォルトセキュリティ形式のmixedになります。

volume qtree createコマンドまたはvolume qtree modifyコマンドの詳細については、論理ストレージ管理ガイドを参照してください。

2. 作成したqtreeのセキュリティ形式を含む設定を表⺬するには、次のコマンドを⼊⼒します。volume qtree show -qtree qtree_name -instance


20



NFSを使⽤したファイルアクセスの設定

クライアントがNFSを使⽤してStorage Virtual Machine（SVM）上のファイルにアクセスできるようにするには、いくつかの⼿順を実⾏する必要があります。環境の現在の設定によっては、さらにいくつかの追加⼿順があります。

クライアントがNFSを使⽤してSVM上のファイルにアクセスできるようにするには、次の⼿順を実⾏する必要があります。

1. SVMでNFSプロトコルを有効にします。

クライアントからのNFS経由のデータアクセスを許可するようにSVMを設定する必要があります。2. SVMにNFSサーバを作成します。

NFSサーバは、NFS経由のファイル提供を可能にするSVM上の論理エンティティです、SVM NFSサーバを作成し、許可するNFSプロトコルのバージョンを指定する必要があります。

3. SVMにエクスポートポリシーを設定します。

エクスポートポリシーを設定して、クライアントがボリュームとqtreeを使⽤できるようにする必要があります。

4. ネットワークおよびストレージの環境に応じて、適切なセキュリティおよびその他の設定を使⽤してNFSサーバを設定します。

この⼿順には、Kerberos、LDAP、NIS、ネームマッピング、ローカルユーザの設定が含まれます。

エクスポートポリシーを使⽤したNFSアクセスの保護エクスポートポリシーを使⽤することにより、ボリュームまたはqtreeへのNFSアクセスを特定のパラメータに⼀致するクライアントだけに制限することができます。新しいストレージをプロビジョニングするときに、既存のポリシーとルールを使⽤するか、既存のポリシーにルールを追加するか、新しいポリシーとルールを作成するかを選択できます。エクスポートポリシーの設定を確認することもできます。

注 : エクスポートポリシーの設定チェックをバックグラウンドジョブとして有効にし、すべてのルール違反をエラールールリストに記録することができます。vserver export-policy config-checkerコマンドを実⾏するとこのチェックが開始されて結果が表⺬されます。これを基に設定を確認し、エラーを含むルールをポリシーから削除できます。

このコマンドで検証されるのは、エクスポート設定のホスト名、ネットグループ、匿名ユーザのみです。

エクスポートポリシーがボリュームまたはqtreeへのクライアントアクセスを制御する仕組み

エクスポートポリシーには、各クライアントアクセス要求を処理するエクスポートルールが1つ以上含まれています。この処理の結果によって、クライアントアクセスを許可するかどうか、およびアクセスのレベルが決定します。クライアントがデータにアクセスするためには、エクスポートルールを含むエクスポートポリシーがStorage Virtual Machine（SVM）上に存在する必要があります。

ボリュームまたはqtreeへのクライアントアクセスを設定するには、各ボリュームまたはqtreeにポリシーを1つ関連付けます。SVMには複数のエクスポートポリシーを含めることができます。これにより、複数のボリュームまたはqtreeを含むSVMに対して次の操作を実⾏できます。

• SVMのボリュームまたはqtreeごとに異なるエクスポートポリシーを割り当て、SVMの各ボリュームまたはqtreeへのクライアントアクセスを個別に制御する。

• SVMの複数のボリュームまたはqtreeに同じエクスポートポリシーを割り当て、同⼀のクライアントアクセス制御を実⾏する。ボリュームまたはqtreeごとに新しいエクスポートポリシーを作成する必要はありません。

21

| NFSを使⽤したファイルアクセスの設定 |

クライアントが適⽤可能なエクスポートルールで許可されていないアクセス要求を⾏うと、権限拒否のメッセージが表⺬され、その要求は失敗します。クライアントがエクスポートポリシーのどのルールにも⼀致しない場合、アクセスは拒否されます。エクスポートポリシーが空の場合は、すべてのアクセスが暗黙的に拒否されます。

エクスポートポリシーは、ONTAPが実⾏されているシステム上で動的に変更できます。

SVMのデフォルトのエクスポートポリシー各SVMには、ルールが含まれていないデフォルトのエクスポートポリシーが割り当てられています。SVM上のデータにクライアントからアクセスできるようにするには、ルールを備えたエクスポートポリシーを⽤意する必要があります。SVM内の各FlexVolにエクスポートポリシーを関連付ける必要があります。

SVMを作成すると、SVMのルートボリュームに対してdefaultという名前のデフォルトのエクスポートポリシーが⾃動的に作成されます。SVM上のデータにクライアントからアクセスできるようにするには、デフォルトのエクスポートポリシーのルールを1つ以上作成する必要があります。または、ルールを備えたカスタムのエクスポートポリシーを作成することもできます。デフォルトのエクスポートポリシーは、変更および名前変更は可能ですが、削除することはできません。

SVM内にFlexVolを作成すると、作成されたボリュームにはSVMのルートボリュームのデフォルトのエクスポートポリシーが関連付けられます。デフォルトでは、SVMに作成した各ボリュームには、ルートボリュームのデフォルトのエクスポートポリシーが関連付けられます。SVM内のすべてのボリュームでデフォルトのエクスポートポリシーを使⽤することも、ボリュームごとに独⾃のエクスポートポリシーを作成することもできます。また、複数のボリュームに同じエクスポートポリシーを関連付けることもできます。

エクスポートルールの仕組みエクスポートルールは、エクスポートポリシーの機能要素です。エクスポートルールでは、ボリュームへのクライアントアクセス要求が設定済みの特定のパラメータと照合され、クライアントアクセス要求の処理⽅法が決定されます。

エクスポートポリシーには、クライアントにアクセスを許可するエクスポートルールを少なくとも1つ含める必要があります。エクスポートポリシーに複数のルールが含まれている場合、ルールはエクスポートポリシーに表⺬される順に処理されます。ルールの順序は、ルールインデックス番号によって決まります。ルールがクライアントに⼀致すると、そのルールのアクセス権が使⽤され、それ以降のルールは処理されません。⼀致するルールがない場合、クライアントはアクセスを拒否されます。

次の条件を使⽤して、クライアントのアクセス権を決定するようにエクスポートルールを設定できます。

• クライアントが要求の送信に使⽤するファイルアクセスプロトコル（NFSv4やSMBなど）• クライアント識別⼦（ホスト名やIPアドレスなど）• クライアントが認証に使⽤するセキュリティタイプ（Kerberos v5、NTLM、AUTH_SYSなど）

ルールで複数の条件が指定されている場合、クライアントがそれらのすべてに⼀致しないとルールは適⽤されません。

例

エクスポートポリシーに、次のパラメータが指定されたエクスポートルールが含まれています。

• -protocol nfs3• -clientmatch 10.1.16.0/255.255.255.0• -rorule any• -rwrule any

クライアントアクセス要求はNFSv3プロトコルを使⽤して送信され、クライアントのIPアドレスは10.1.17.37です。

22


クライアントアクセスプロトコルは⼀致していますが、クライアントのIPアドレスがエクスポートルールで指定されているアドレスとは異なるサブネット内にあります。したがって、クライアントは⼀致せず、このルールはこのクライアントに適⽤されません。

例


• -protocol nfs• -clientmatch 10.1.16.0/255.255.255.0• -rorule any• -rwrule any

クライアントアクセス要求はNFSv4プロトコルを使⽤して送信され、クライアントのIPアドレスは10.1.16.54です。

クライアントアクセスプロトコルが⼀致し、クライアントのIPアドレスが指定されたサブネット内にあります。したがって、クライアントは⼀致し、このルールはこのクライアントに適⽤されます。セキュリティタイプに関係なく、クライアントは読み取り / 書き込みアクセス権を取得します。

例


• -protocol nfs3• -clientmatch 10.1.16.0/255.255.255.0• -rorule any• -rwrule krb5,ntlm

クライアント#1は、IPアドレスが10.1.16.207で、NFSv3プロトコルを使⽤してアクセス要求を送信し、Kerberos v5で認証されます。

クライアント#2は、IPアドレスが10.1.16.211で、NFSv3プロトコルを使⽤してアクセス要求を送信し、AUTH_SYSで認証されます。

両⽅のクライアントで、クライアントアクセスプロトコルとIPアドレスは⼀致しています。読み取り専⽤パラメータでは、認証に使⽤されるセキュリティタイプに関係なく、読み取り専⽤アクセスがすべてのクライアントに許可されています。したがって、両⽅のクライアントが読み取り専⽤アクセス権を取得します。ただし、読み取り / 書き込みアクセス権を取得するのはクライアント#1だけです。これは、認証に承認されたセキュリティタイプKerberos v5を使⽤したためです。クライアント#2は読み取り / 書き込みアクセス権を取得できません。

リストにないセキュリティタイプを使⽤するクライアントの処理⽅法エクスポートルールのアクセスパラメータで指定されていないセキュリティタイプを使⽤しているクライアントが現れた場合は、クライアントアクセスを拒否するか、アクセスパラメータでオプションnoneを使⽤してクライアントを匿名ユーザIDにマッピングすることができます。

クライアントは、別のセキュリティタイプで認証されているか、まったく認証されていない（セキュリティタイプAUTH_NONE）場合に、アクセスパラメータで指定されていないセキュリティタイプを使⽤しているとみなされます。デフォルトでは、そのクライアントはそのレベルへのアクセスを⾃動的に拒否されます。ただし、アクセスパラメータにオプションnoneを追加できます。追加すると、リストにないセキュリティタイプを使⽤するクライアントは、拒否されずに匿名ユーザIDにマッピングされます。-anonパラメータでは、このようなクライアントに割り当てられるユーザIDを指定します。-anonパラメータに指定するユーザIDは、匿名ユーザに適していると判断したアクセス権が設定されている有効なユーザである必要があります。

-anonパラメータに指定できる値の範囲は、0∼65535です。

23


表 3 :

-anonに割り当てられたユーザID クライアントアクセス要求の処理結果

0 - 65533 クライアントアクセス要求は匿名ユーザIDにマッピングされ、このユーザに対して設定されたアクセス権に応じてアクセスできるようになります。

65534 クライアントアクセス要求はユーザnobodyにマッピングされ、このユーザに対して設定されたアクセス権に応じてアクセスできるようになります。この値がデフォルトです。

65535 クライアントからのアクセス要求は、このIDにマッピングされ、セキュリティタイプAUTH_NONEをクライアントが使⽤している場合、すべて拒否されます。

ユーザIDが0のクライアントからのアクセス要求は、このIDにマッピングされ、他のセキュリティタイプをクライアントが使⽤している場合、拒否されます。

オプションnoneを使⽤する場合は、最初に読み取り専⽤パラメータが処理される点に注意することが重要です。リストにないセキュリティタイプを使⽤するクライアントのエクスポートルールを設定する際は、次のガイドラインを考慮してください。

表 4 :

読み取り専⽤にnoneが指定されている

読み取り / 書き込みにnoneが指定されている

リストにないセキュリティタイプを使⽤するクライアントのアクセス結果

いいえいいえ拒否

いいえはい最初に読み取り専⽤が処理されるため、拒否

はいいいえ匿名として読み取り専⽤

はいはい匿名として読み取り / 書き込み

例


• -protocol nfs3• -clientmatch 10.1.16.0/255.255.255.0• -rorule sys,none• -rwrule any• -anon 70



クライアント#3は、IPアドレスが10.1.16.234で、NFSv3プロトコルを使⽤してアクセス要求を送信し、認証は⾏われていません（セキュリティタイプAUTH_NONE）。

3つすべてのクライアントで、クライアントアクセスプロトコルとIPアドレスは⼀致しています。読み取り専⽤パラメータでは、読み取り専⽤アクセスが、AUTH_SYSで認証された、⾃⾝のユーザIDを持つクライアントに許可されています。また、読み取り専⽤パラメータでは、ユーザIDが70の匿名ユーザとしての読み取り専⽤アクセスが、他のセキュリティタイプを使⽤して認証されたクライアントに許可されています。読み取り / 書き込みパラメータでは、読み取り / 書き込みアクセスがすべてのセ

24


キュリティタイプに許可されていますが、この場合は、読み取り専⽤ルールですでにフィルタされているクライアントにのみ適⽤されます。

したがって、クライアント#1とクライアント#3は、ユーザIDが70の匿名ユーザとしてのみ読み取り /書き込みアクセス権を取得します。クライアント#2は、⾃⾝のユーザIDで読み取り / 書き込みアクセス権を取得します。

例


• -protocol nfs3• -clientmatch 10.1.16.0/255.255.255.0• -rorule sys,none• -rwrule none• -anon 70



クライアント#3は、IPアドレスが10.1.16.234で、NFSv3プロトコルを使⽤してアクセス要求を送信し、認証は⾏われていません（セキュリティタイプAUTH_NONE）。

3つすべてのクライアントで、クライアントアクセスプロトコルとIPアドレスは⼀致しています。読み取り専⽤パラメータでは、読み取り専⽤アクセスが、AUTH_SYSで認証された、⾃⾝のユーザIDを持つクライアントに許可されています。また、読み取り専⽤パラメータでは、ユーザIDが70の匿名ユーザとしての読み取り専⽤アクセスが、他のセキュリティタイプを使⽤して認証されたクライアントに許可されています。読み取り / 書き込みパラメータでは、匿名ユーザとしてのみ読み取り / 書き込みアクセスが許可されています。

したがって、クライアント#1とクライアント#3は、ユーザIDが70の匿名ユーザとしてのみ読み取り /書き込みアクセス権を取得します。クライアント#2は、⾃⾝のユーザIDで読み取り専⽤アクセス権を取得しますが、読み取り / 書き込みアクセスは拒否されます。

セキュリティタイプによるクライアントアクセスレベルの決定⽅法クライアントの認証に使⽤されるセキュリティタイプは、エクスポートルールで特別な役割を果たします。クライアントがボリュームまたはqtreeにアクセスする際のレベルがセキュリティタイプによってどのように決定されるかについて理解しておく必要があります。

有効なアクセスレベルには、次の3つがあります。

1. 読み取り専⽤2. 読み取り / 書き込み3. スーパーユーザ（ユーザIDが0のクライアントの場合）

セキュリティタイプに基づくアクセスレベルはこの順序で評価されるため、エクスポートルールでアクセスレベルパラメータを作成するときは、次のルールに従う必要があります。

表 5 :

クライアントに必要なアクセスレベル

クライアントのセキュリティタイプと⼀致する必要があるアクセスパラメータ

標準ユーザの読み取り専⽤読み取り専⽤（-rorule）

標準ユーザの読み取り / 書き込み

読み取り専⽤（-rorule）および読み取り / 書き込み（-rwrule）

スーパーユーザの読み取り専⽤

読み取り専⽤（-rorule）および-superuser

25


クライアントに必要なアクセスレベル

クライアントのセキュリティタイプと⼀致する必要があるアクセスパラメータ

スーパーユーザの読み取り / 書き込み

読み取り専⽤（-rorule）、読み取り / 書き込み（-rwrule）、および-superuser

次に、3つそれぞれのアクセスパラメータで有効なセキュリティタイプを⺬します。

• any

• none

• never

このセキュリティタイプは、-superuserパラメータには使⽤できません。• krb5

• krb5i

• krb5p

• ntlm

• sys

クライアントのセキュリティタイプを3つそれぞれのアクセスパラメータと照合したときの結果としては、次の3つが想定されます。

表 6 :

クライアントのセキュリティタイプ結果

アクセスパラメータで指定されたタイプと⼀致する。

クライアントは、⾃⾝のユーザIDでそのレベルのアクセス権を取得します。

指定されたタイプと⼀致しないが、アクセスパラメータにオプションnoneが指定されている。

クライアントは、そのレベルのアクセス権を取得しますが、-anonパラメータで指定されているユーザIDを持つ匿名ユーザとして取得します。

指定されたタイプと⼀致せず、アクセスパラメータにオプションnoneが指定されていない。

クライアントは、そのレベルのアクセス権を取得できません。

これは、-superuserパラメータには適⽤されません。このパラメータには、指定しなくても常にnoneが指定されるためです。

例


• -protocol nfs3• -clientmatch 10.1.16.0/255.255.255.0• -rorule any• -rwrule sys,krb5• -superuser krb5

クライアント#1は、IPアドレスが10.1.16.207、ユーザIDが0で、NFSv3プロトコルを使⽤してアクセス要求を送信し、Kerberos v5で認証されます。

クライアント#2は、IPアドレスが10.1.16.211、ユーザIDが0で、NFSv3プロトコルを使⽤してアクセス要求を送信し、AUTH_SYSで認証されます。

クライアント#3は、IPアドレスが10.1.16.234、ユーザIDが0で、NFSv3プロトコルを使⽤してアクセス要求を送信し、認証は⾏われていません（AUTH_NONE）。

3つすべてのクライアントで、クライアントアクセスプロトコルとIPアドレスは⼀致しています。読み取り専⽤パラメータでは、セキュリティタイプに関係なく、読み取り専⽤アクセスがすべてのクライアントに許可されています。読み取り / 書き込みパラメータでは、読み取り / 書き込みアクセス

26


が、AUTH_SYSまたはKerberos v5で認証された、⾃⾝のユーザIDを持つクライアントに許可されています。スーパーユーザパラメータでは、スーパーユーザアクセスが、Kerberos v5で認証された、ユーザIDが0のクライアントに許可されています。

したがって、クライアント#1は、3つすべてのアクセスパラメータに⼀致するため、スーパーユーザの読み取り / 書き込みアクセス権を取得します。クライアント#2は、読み取り / 書き込みアクセス権を取得しますが、スーパーユーザアクセス権は取得できません。クライアント#3は、読み取り専⽤アクセス権を取得しますが、スーパーユーザアクセス権は取得できません。

スーパーユーザアクセス要求の処理⽅法エクスポートポリシーを設定する際には、ユーザIDが0のクライアント（スーパーユーザ）からアクセス要求を受け取った場合のストレージシステムの処理を検討し、それに応じてエクスポートルールを設定する必要があります。

UNIXでは、ユーザIDが0のユーザはスーパーユーザ（通常はroot）と呼ばれ、システムに対して無制限のアクセス権を持ちます。スーパーユーザ権限の使⽤は、システムやデータのセキュリティ侵害などのいくつかの理由により、リスクを伴う可能性があります。

デフォルトでは、ユーザIDが0のクライアントは匿名ユーザにマッピングされます。ただし、エクスポートルールで-superuserパラメータを指定すると、ユーザIDが0のクライアントの処理⽅法をセキュリティタイプに応じて決定することができます。次に、-superuserパラメータで有効なオプションを⺬します。

• any

• none

これは、-superuserパラメータを指定しない場合のデフォルト設定です。• krb5

• ntlm

• sys

ユーザIDが0のクライアントは、-superuserパラメータの設定に応じて2通りの⽅法で処理されます。

表 7 :

-superuserパラメータとクライアントのセキュリティタイプ

結果

⼀致するクライアントは、ユーザID 0でスーパーユーザアクセス権を取得します。

⼀致しないクライアントは、-anonパラメータで指定されているユーザIDを持つ匿名ユーザとしてアクセスし、そのユーザに割り当てられたアクセス権を取得します。

読み取り専⽤パラメータまたは読み取り / 書き込みパラメータでオプションnoneが指定されているかどうかは関係ありません。

-superuserパラメータがnoneに設定されている場合にクライアントがNTFSセキュリティ形式のボリュームにアクセスするためにユーザID 0を提⺬すると、ONTAPは匿名ユーザ⽤のネームマッピングを使⽤して適切なクレデンシャルを取得します。

例


• -protocol nfs3• -clientmatch 10.1.16.0/255.255.255.0• -rorule any

27


• -rwrule krb5,ntlm• -anon 127



両⽅のクライアントで、クライアントアクセスプロトコルとIPアドレスは⼀致しています。読み取り専⽤パラメータでは、認証に使⽤されるセキュリティタイプに関係なく、読み取り専⽤アクセスがすべてのクライアントに許可されています。ただし、読み取り / 書き込みアクセス権を取得するのはクライアント#1だけです。これは、認証に承認されたセキュリティタイプKerberos v5を使⽤したためです。

クライアント#2は、スーパーユーザアクセス権を取得できません。-superuserパラメータが指定されていないため、代わりに匿名にマッピングされます。つまり、デフォルトでnoneが設定され、ユーザID0は⾃動的に匿名にマッピングされます。また、クライアント#2はセキュリティタイプが読み取り / 書き込みパラメータと⼀致しなかったため、読み取り専⽤アクセス権のみを取得します。

例


• -protocol nfs3• -clientmatch 10.1.16.0/255.255.255.0• -rorule any• -rwrule krb5,ntlm• -superuser krb5• -anon 0



両⽅のクライアントで、クライアントアクセスプロトコルとIPアドレスは⼀致しています。読み取り専⽤パラメータでは、認証に使⽤されるセキュリティタイプに関係なく、読み取り専⽤アクセスがすべてのクライアントに許可されています。ただし、読み取り / 書き込みアクセス権を取得するのはクライアント#1だけです。これは、認証に承認されたセキュリティタイプKerberos v5を使⽤したためです。クライアント#2は読み取り / 書き込みアクセス権を取得できません。

このエクスポートルールでは、ユーザIDが0のクライアントにスーパーユーザアクセスが許可されています。クライアント#1は、ユーザIDが⼀致し、読み取り専⽤パラメータと-superuserパラメータのセキュリティタイプにも⼀致するため、スーパーユーザアクセス権を取得します。クライアント#2は、セキュリティタイプが読み取り / 書き込みパラメータとも-superuserパラメータとも⼀致しないため、読み取り / 書き込みアクセス権もスーパーユーザアクセス権も取得できません。代わりに、クライアント#2は匿名ユーザ（この場合はユーザIDが0）にマッピングされます。

ONTAPでのエクスポートポリシーキャッシュの使⽤⽅法システムパフォーマンスを向上するために、ONTAPはローカルキャッシュを使⽤してホスト名やネットグループなどの情報を格納します。これにより、ONTAPは外部ソースから情報を取得するよりも短時間でエクスポートポリシールールを処理できます。キャッシュとは何か、またキャッシュによって何が⾏われるのかを理解すると、クライアントアクセスに関する問題のトラブルシューティングに役⽴ちます。

NFSエクスポートへのクライアントアクセスを制御するには、エクスポートポリシーを設定します。それぞれのエクスポートポリシーにはルールが含まれ、各ルールにはアクセスを要求しているクライアントに対するマッチングを⾏うパラメータが含まれています。こうしたパラメータの⼀部では、

28


ドメイン名、ホスト名、ネットグループなどのオブジェクトを解決するためにONTAPがDNSサーバやNISサーバのような外部ソースと通信する必要があります。

外部ソースとのこうした通信には少し時間がかかります。パフォーマンス向上のために、ONTAPは、各ノード上の複数のキャッシュに情報をローカルに格納して、エクスポートポリシールールオブジェクトの解決にかかる時間を短縮します。

表 8 :

キャッシュ名格納される情報の種類

Access 対応するエクスポートポリシーへのクライアントのマッピング

Name 対応するUNIXユーザIDへのUNIXユーザ名のマッピング

ID 対応するUNIXユーザIDおよび拡張されたUNIXグループIDへのUNIXユーザIDのマッピング

Host 対応するIPアドレスへのホスト名のマッピング

Netgroup メンバーの対応するIPアドレスへのネットグループのマッピング

showmount SVMネームスペースからエクスポートされたディレクトリのリスト

ONTAPが外部ネームサーバ上の情報を取得してローカルに格納したあとに、環境内の外部ネームサーバ上の情報を変更すると、キャッシュ内の情報が古くなる可能性があります。ONTAPは定期的に⾃動でキャッシュを更新しますが、有効期限や更新の時期およびアルゴリズムはキャッシュごとに異なります。

キャッシュの情報が古くなるもう1つの理由として、ONTAPがキャッシュされた情報の更新を試みる際にネームサーバとの通信でエラーが発⽣する場合があります。この場合、ONTAPは、クライアント操作の中断を避けるために現在ローカルキャッシュに格納されている情報を引き続き使⽤します。

その結果、成功することが想定されるクライアントアクセス要求がエラーとなったり、エラーとなることが想定されるクライアントアクセス要求が成功したりする可能性があります。クライアントアクセスに関するそのような問題のトラブルシューティング時には、エクスポートポリシーキャッシュの⼀部を表⺬したり、⼿動でフラッシュしたりできます。

アクセスキャッシュの仕組みONTAPは、アクセスキャッシュを使⽤して、ボリュームまたはqtreeへのクライアントアクセス処理に対するエクスポートポリシールール評価の結果を格納します。これにより、クライアントからI/O要求が送信されるたびにエクスポートルール評価の処理を⾏う場合よりもかなり迅速に情報をアクセスキャッシュから取得できるので、パフォーマンスが向上します。

NFSクライアントがボリュームまたはqtree上のデータにアクセスするためのI/O要求を送信するたびに、ONTAPはそれぞれのI/O要求を評価して、そのI/O要求を許可するか拒否するかを決定する必要があります。この評価には、そのボリュームまたはqtreeに関連付けられているすべてのエクスポートポリシールールのチェックが伴います。ボリュームまたはqtreeへのパスが1つ以上のジャンクションポイントと交差している場合は、そのパスに付随する複数のエクスポートポリシーに対してこうしたチェックの実⾏が必要になる可能性があります。

なお、この評価は、最初のマウント要求についてだけでなく、読み取り、書き込み、リスト、コピーをはじめとする操作など、NFSクライアントから送信されたすべてのI/O要求について⾏われます。

ONTAPは、適⽤可能なエクスポートポリシールールを特定して要求を許可するか拒否するかを決定したあと、その情報を格納するためのエントリをアクセスキャッシュ内に作成します。

NFSクライアントがI/O要求を送信すると、ONTAPは、そのクライアントのIPアドレス、SVMのID、ターゲットボリュームまたはqtreeに関連付けられているエクスポートポリシーを記録したうえで、まずアクセスキャッシュをチェックして⼀致するエントリがないか確認します。⼀致するエントリがアクセスキャッシュ内に存在する場合、ONTAPはそこに格納されている情報を使⽤して、I/O要求を許可また

29


は拒否します。⼀致するエントリが存在しない場合、ONTAPは先ほど述べたすべての適⽤可能なポリシールールを評価する通常の処理を⾏います。

アクティブに使⽤されていないアクセスキャッシュエントリは更新されません。これにより、外部ネームサーバとの無駄な通信が削減されます。

アクセスキャッシュからの情報の取得は、I/O要求のたびにエクスポートポリシールールを評価する全体的な処理よりもずっと⾼速です。そのため、アクセスキャッシュを使⽤すると、クライアントアクセスチェックのオーバーヘッドが軽減され、パフォーマンスが⼤幅に向上します。

アクセスキャッシュパラメータの仕組みアクセスキャッシュ内にあるエントリの更新期間を制御するパラメータがいくつかあります。これらのパラメータの仕組みを理解すると、各パラメータを変更して、アクセスキャッシュを調整したり、パフォーマンスと格納される情報の鮮度のバランスをとったりできます。

アクセスキャッシュには、ボリュームまたはqtreeへのアクセスを試みるクライアントに適⽤される1つ以上のエクスポートルールで構成されるエントリが格納されます。これらのエントリは、⼀定期間格納されたあと、更新されます。更新時間は、アクセスキャッシュパラメータによって決定され、アクセスキャッシュエントリのタイプによって異なります。

個々のSVMに対してアクセスキャッシュパラメータを指定できます。このため、SVMのアクセス要件に応じてパラメータを変えることができます。アクティブに使⽤されていないアクセスキャッシュエントリは更新されないため、外部ネームサーバとの無駄な通信が削減されます。

表 9 :

アクセスキャッシュエントリタイプ

説明更新期間（秒）

正のエントリクライアントへのアクセス拒否を発⽣させなかったアクセスキャッシュエントリです。

最⼩値：300

最⼤値：86,400

デフォルト：3,600

負のエントリクライアントへのアクセス拒否を発⽣させたアクセスキャッシュエントリです。

最⼩値：60

最⼤値：86,400

デフォルト：3,600

例

NFSクライアントがクラスタ上のボリュームへのアクセスを試みます。ONTAPは、エクスポートポリシールールに対するクライアントのマッチングを⾏い、クライアントがエクスポートポリシールール設定に基づいてアクセスを⾏っていると判断します。ONTAPはエクスポートポリシールールを正のエントリとしてアクセスキャッシュに格納します。デフォルトでは、ONTAPは、この正のエントリを1時間（3,600秒）アクセスキャッシュ内に保持したあと、情報を最新の状態にするためにこのエントリを⾃動的に更新します。

アクセスキャッシュが不必要にいっぱいになるのを避けるために、クライアントアクセスの解決に⼀定期間使⽤されていない既存のアクセスキャッシュエントリをクリアするための追加のパラメータがあります。この-harvest-timeoutパラメータには60∼2,592,000秒の範囲の値を指定できます。デフォルトの設定は86,400秒です。

qtreeからのエクスポートポリシーの削除qtreeに割り当てられている特定のエクスポートポリシーが不要になった場合は、代わりに格納先ボリュームのエクスポートポリシーを継承するようにqtreeを変更することで、そのエクスポートポリシーを削除できます。この操作を⾏うには、volume qtree modifyコマンドで-export-policyパラメータと空の名前⽂字列（""）を指定します。

30


⼿順

1. qtreeからエクスポートポリシーを削除するには、次のコマンドを⼊⼒します。volume qtreemodify -vserver vserver_name -qtree-path /vol/volume_name/qtree_name -export-policy ""

2. 次のコマンドを⼊⼒して、qtreeが適切に変更されたことを確認します。volume qtree show -qtree qtree_name -fields export-policy

qtreeファイル操作のqtree IDの検証ONTAPでは、オプションでqtree IDの検証を追加で実⾏できます。この検証により、クライアントのファイル操作の要求で有効なqtree IDが使⽤されるとともに、クライアントによるファイルの移動が同じqtree内でのみ⾏えるようになります。この検証を有効または無効にするには、-validate-qtree-exportパラメータを変更します。このパラメータはデフォルトで有効になっています。

このタスクについてこのパラメータは、Storage Virtual Machine（SVM）上の1つ以上のqtreeにエクスポートポリシーを直接割り当てている場合にのみ有効です。

⼿順

1. 権限レベルをadvancedに設定します。set -privilege advanced


qtree ID検証の設定⼊⼒するコマンド

有効にする vserver nfs modify -vservervserver_name -validate-qtree-exportenabled

無効にする vserver nfs modify -vservervserver_name -validate-qtree-exportdisabled

3. admin権限レベルに戻ります。set -privilege admin

FlexVolのエクスポートポリシーの制限とネストされたジャンクション上位レベルのジャンクションでネストされたジャンクションよりも制限が厳しいエクスポートポリシーを設定した場合は、下位レベルのジャンクションへのアクセスに失敗する可能性があります。

上位レベルのジャンクションには下位レベルのジャンクションよりも制限が厳しくないエクスポートポリシーを設定するようにしてください。

NFSでのKerberos使⽤によるセキュリティ強化Kerberosを使⽤してSVMとNFSクライアント間の認証を強化すると、セキュアなNFS通信を実現することができます。NFSにKerberosを設定すると、NFSクライアントとストレージシステム間の通信の整合性とセキュリティが向上します。

ONTAPでのKerberosのサポートKerberosは、クライアント / サーバアプリケーションに対して強⼒でセキュアな認証を提供し、サーバに対してユーザおよびプロセスのIDの検証機能を提供します。ONTAP環境では、Storage VirtualMachine（SVM）とNFSクライアント間の認証をKerberosで実⾏できます。

次のKerberos機能がサポートされます。

• 整合性チェック機能を備えたKerberos 5認証（krb5i）

Krb5iでは、チェックサムを使⽤して、クライアントとサーバとの間で転送される各NFSメッセージの整合性を検証します。これは、セキュリティ上の理由（データが改ざんされていないことの保証

31


など）とデータ整合性に関する理由（信頼性の低いネットワークでNFSを使⽤する場合のデータ破損の防⽌など）の両⽅で有⽤です。

• プライバシーチェック機能を備えたKerberos 5認証（krb5p）

krb5pでは、クライアントとサーバ間のすべてのトラフィックがチェックサムで暗号化されます。これによって安全性は⾼まりますが、負荷も⾼くなります。

• 128ビットおよび256ビットのAES暗号化

Advanced Encryption Standard（AES）は電⼦データを保護するための暗号化アルゴリズムです。ONTAPでは、セキュリティ強化のために、128ビットキーによるAES（AES-128）と256ビットキーによるAES（AES-256）がKerberosでサポートされるようになりました。

• SVMレベルのKerberos Realm設定

SVM管理者は、Kerberos Realm設定をSVMレベルで作成できるようになりました。つまり、SVM管理者は、Kerberos Realm設定に関してクラスタ管理者に頼る必要がなくなり、個別のKerberos Realm設定をマルチテナンシー環境で作成することができます。

NFSでのKerberos使⽤を設定するための要件NFSでKerberosを使⽤するための設定をシステムで⾏う前に、ネットワークおよびストレージの環境のいくつかの項⽬について、適切に設定されていることを確認する必要があります。

注 : 環境を設定する⼿順は、クライアントで使⽤しているオペレーティングシステム、ドメインコントローラ、Kerberos、DNSなどのバージョンや種類によって異なります。このドキュメントでは、それらのすべてについては説明していません。詳細については、それぞれのコンポーネントの対応するドキュメントを参照してください。

次の項⽬について事前に設定しておく必要があります。

ネットワーク環境の要件

• Kerberos

KerberosをKey Distribution Center（KDC;キー配布センター）で設定しておく必要があります（たとえば、Windows Active DirectoryベースのKerberosまたはMIT Kerberos）。

NFSサーバでは、マシンプリンシパルの主要コンポーネントとして「nfs」を使⽤する必要があります。

• ディレクトリサービス

Active DirectoryやOpenLDAPなどのセキュアなディレクトリサービスを環境に導⼊し、SSL / TLS経由のLDAPを使⽤するように設定する必要があります。

• NTP

タイムサーバでNTPを実⾏している必要があります。これは、時刻のずれによるKerberos認証の失敗を回避するために必要です。

• ドメイン名解決（DNS）

それぞれのUNIXクライアントおよびSVM LIFについて、KDCの前⽅参照ゾーンと逆引き参照ゾーンに適切なサービスレコード（SRV）が登録されている必要があります。すべてのコンポーネントは、DNSで正しく解決できる必要があります。

• ユーザアカウント

各クライアントについて、Kerberos Realmのユーザアカウントが必要です。NFSサーバでは、マシンプリンシパルの主要コンポーネントとして「nfs」を使⽤する必要があります。

NFSクライアントの要件

• NFS

NFSv3またはNFSv4を使⽤してネットワーク経由で通信するように各クライアントが適切に設定されている必要があります。

32


クライアントでRFC1964およびRFC2203がサポートされている必要があります。• Kerberos

Kerberos認証を使⽤するように各クライアントが適切に設定されている必要があります。詳細は次のとおりです。

• TGS通信に対する暗号化を有効にします。

⾮常にセキュリティ性の⾼いAES-256。• TGT通信に対する最も安全な暗号化タイプを有効にします。• Kerberos Realmとドメインを正しく設定します。• GSSを有効にします。

マシンのクレデンシャルを使⽤する場合：

• gssdを実⾏する際に-nパラメータを指定しないでください。• kinitをrootユーザとして実⾏しないでください。

• 各クライアントは、最新かつ更新済みバージョンのオペレーティングシステムを使⽤している必要があります。

これにより、KerberosでのAES暗号化の互換性と信頼性が最⼤限確保されます。• DNS

DNSを使⽤して名前が正しく解決されるように各クライアントが適切に設定されている必要があります。

• NTP

各クライアントがNTPサーバと同期されている必要があります。• ホストとドメインの情報

各クライアントの/etc/hostsファイルと/etc/resolv.confファイルに、正しいホスト名とDNSの情報が格納されている必要があります。

• keytabファイル

各クライアントについて、KDCのkeytabファイルが必要です。Realmは⼤⽂字で指定する必要があります。最⾼レベルのセキュリティを得るために、暗号化タイプをAES-256にする必要があります。

• オプション：パフォーマンスを最⼤限に⾼めるには、ローカルエリアネットワークとの通信⽤とストレージネットワークとの通信⽤に、少なくとも2つのネットワークインターフェイスを設定します。

ストレージシステムの要件

• NFSライセンス

ストレージシステムに有効なNFSライセンスがインストールされている必要があります。• CIFSライセンス

CIFSライセンスはオプションです。マルチプロトコルのネームマッピングを使⽤する環境で、Windowsクレデンシャルのチェックを⾏う場合にのみ必要になります。純粋なUNIXのみの環境では必要ありません。

• SVM

システムでSVMを少なくとも1つ設定しておく必要があります。• SVMでのDNS

各SVMでDNSを設定しておく必要があります。• NFSサーバ

SVMでNFSを設定しておく必要があります。• AES暗号化

33


最⾼レベルのセキュリティを得るために、KerberosでAES-256暗号化のみを許可するようにNFSサーバを設定する必要があります。

• CIFSサーバ

マルチプロトコル環境の場合は、SVMでCIFSを設定しておく必要があります。CIFSサーバはマルチプロトコルのネームマッピングに必要です。

• ボリューム

SVMで使⽤するルートボリュームと少なくとも1つのデータボリュームを設定しておく必要があります。

• ルートボリューム

SVMのルートボリュームを次のように設定しておく必要があります。

表 10 :

名前設定

セキュリティ形式 UNIX

UID rootまたはID 0

GID rootまたはID 0

UNIX権限 777

ルートボリュームとは異なり、データボリュームのセキュリティ形式は任意に設定してかまいません。

• UNIXグループ

SVMで次のUNIXグループを設定しておく必要があります。

表 11 :

グループ名グループID

daemon 1

root 0

pcuser 65534（SVMを作成するとONTAPで⾃動的に作成されます）

• UNIXユーザ

SVMで次のUNIXユーザを設定しておく必要があります。

表 12 :

ユーザ名ユーザID プライマリグループID

コメント

nfs 500 0 GSS INITフェーズで必要

NFSクライアントユーザのSPNの最初のコンポーネントがユーザとして使⽤されます。

pcuser 65534 65534 NFSとCIFSのマルチプロトコルで必要

SVMを作成すると、ONTAPで⾃動的に作成されてpcuserグループに追加されます。

root 0 0 マウントに必要

34


NFSクライアントユーザのSPNに対するKerberos-UNIXネームマッピングがある場合は、nfsユーザは必要ありません。

• エクスポートポリシーとエクスポートルール

ルートボリュームとデータボリュームおよびqtreeに対するエクスポートポリシーと必要なエクスポートルールを設定しておく必要があります。SVMのすべてのボリュームがKerberos経由でアクセスされる場合は、ルートボリュームに対するエクスポートルールのオプション-rorule、-rwrule、および-superuserを、krb5、krb5i、またはkrb5pに設定できます。

• Kerberos-UNIXネームマッピング

NFSクライアントユーザのSPNによって識別されたユーザにroot権限を持たせる場合は、rootに対するネームマッピングを作成する必要があります。

関連情報

サポート組み合わせ表

システムアドミニストレーションリファレンス

論理ストレージ管理ガイド

サポート組み合わせ表については、富⼠通サポートにお問い合わせください。

NFSv4のユーザIDドメインの指定ユーザIDドメインを指定するには、-v4-id-domainオプションを設定します。


NISドメインが設定されている場合、ONTAPはNFSv4ユーザIDのマッピングにデフォルトでNISドメインを使⽤します。NISドメインが設定されていない場合はDNSドメインが使⽤されます。たとえば、複数のユーザIDドメインがあると、ユーザIDドメインの設定が必要になる場合があります。ドメイン名は、ドメインコントローラのドメインの設定と⼀致する必要があります。これは、NFSv3の場合は必要ありません。

⼿順

次のコマンドを⼊⼒します。 vserver nfs modify -vserver vserver_name -v4-id-domain NIS_domain_name

ネームサービスの設定ストレージシステムの構成によっては、クライアントに適切なアクセス権を提供するためにONTAPでホスト、ユーザ、グループ、またはネットグループの情報を検索できるようにする必要があります。こうした情報を取得するためには、ONTAPがローカルまたは外部のネームサービスにアクセスできるようにネームサービスを設定する必要があります。

ONTAPのネームサービススイッチ設定の仕組みONTAPでは、UNIXシステムの/etc/nsswitch.confファイルに相当するテーブルにネームサービス設定情報が格納されます。このテーブルを環境に応じて適切に設定するためには、その機能とONTAPでテーブルがどのように使⽤されるかを理解しておく必要があります。

ネームサービススイッチテーブルは、ONTAPが特定の種類のネームサービス情報を取得する際にどのネームサービスソースをどの順番で参照するかを決定します。ネームサービススイッチテーブルは、SVMごとに作成および保存されます。

データベースタイプ

テーブルには、次の各データベースタイプについてネームサービスのリストが格納されます。

35




表 13 :

データベースタイプ

ネームサービスソースの⽤途有効なソース

hosts ホスト名のIPアドレスへの変換 files、dns

group ユーザグループ情報の検索 files、nis、ldap

passwd ユーザ情報の検索 files、nis、ldap

netgroup ネットグループ情報の検索 files、nis、ldap

namemap ユーザ名のマッピング files、ldap

ソースタイプ

ソースタイプによって、該当する情報を取得するために使⽤するネームサービスソースが決まります。

表 14 :

ソースタイプ

情報の検索先使⽤するコマンド

files ローカルのソースファイル vserver services name-service unix-user

vserver services name-service unix-group

vserver services name-service netgroup

vserver services name-service dns hosts

nis SVMのNISドメイン設定で指定された外部のNISサーバ

vserver services name-service nis-domain

ldap SVMのLDAPクライアント設定で指定された外部のLDAPサーバ

vserver services name-service ldap

dns SVMのDNS設定で指定された外部のDNSサーバ vserver services name-service dns

データアクセスとSVM管理者の両⽅の認証にNISまたはLDAPを使⽤する場合も、NIS認証またはLDAP認証が失敗した場合に備え、filesでローカルユーザも設定しておく必要があります。

外部ソースへのアクセスに使⽤されるプロトコル

ONTAPでは、外部ソースのサーバへのアクセスに次のプロトコルを使⽤します。

表 15 :

外部のネームサービスソースアクセスに使⽤するプロトコル

NIS UDP

DNS UDP

LDAP TCP

36


例

次の例では、SVM svm_1のネームサービススイッチ情報を表⺬しています。

cluster1::*> vserver services name-service ns-switch show -vserver svm_1 SourceVserver Database Order--------------- ------------ ---------svm_1 hosts files, dnssvm_1 group filessvm_1 passwd filessvm_1 netgroup nis, files

ホストのIPアドレス検索では、最初にローカルのソースファイルが参照され、結果が返されない場合は、次にDNSサーバが照会されます。

ユーザまたはグループ情報の検索では、ローカルのソースファイルだけが参照され、結果が返されない場合、検索は失敗します。

ネットグループ情報の検索では、最初に外部のNISサーバが参照され、結果が返されない場合は、次にローカルのネットグループファイルが照会されます。

SVM svm_1のテーブルには、ネームマッピング⽤のネームサービスエントリは含まれていません。そのため、デフォルトの設定に従ってローカルのソースファイルだけが参照されます。

LDAPの使⽤LDAP（Lightweight Directory Access Protocol）サーバを使⽤すると、ユーザ情報を⼀元的に管理できます。ユーザデータベースを環境内のLDAPサーバに格納している場合、既存のLDAPデータベース内のユーザ情報を検索するようにストレージシステムを設定できます。

• LDAPをONTAP⽤に設定する前に、サイト環境がLDAPサーバおよびクライアント設定のベストプラクティスを満たしていることを確認する必要があります。具体的には、次の条件を満たす必要があります。

• LDAPサーバのドメイン名がLDAPクライアント上のエントリと⼀致する必要があります。• LDAPサーバでサポートされるLDAPユーザのパスワードハッシュタイプに、ONTAPでサポートさ

れる次のタイプが含まれている必要があります。

• CRYPT（すべてのタイプ）およびSHA-1（SHA、SSHA）• ONTAP 9.8以降では、SHA-2ハッシュ（SHA-256、SSH-384、SHA-512、SSHA-256、SSHA-384、

およびSSHA-512）もサポートされます。• LDAPサーバにセッションセキュリティ対策が必要な場合は、LDAPクライアントで設定する必要

があります。

以下のセッションセキュリティオプションを使⽤できます。

• LDAP署名（データの整合性チェックを提供）およびLDAP署名と封印（データの整合性チェックと暗号化を提供）

• START TLS• LDAPS（LDAP over TLSまたはSSL）

• 署名および封印されたLDAPクエリを有効にするには、次のサービスが設定されている必要があります。

• LDAPサーバでGSSAPI（Kerberos）SASLがサポートされている必要があります。• LDAPサーバに、DNS A/AAAAレコード、およびDNSサーバで設定されたPTRレコードが必要で

す。• Kerberosサーバに、DNSサーバ上に存在するSRVレコードが必要です。

• START TLSまたはLDAPSを有効にする場合、次の点を考慮する必要があります。

• 富⼠通では、LDAPSではなくStart TLSの使⽤を推奨しています。

37


• LDAPSを使⽤する場合は、TLS⽤またはSSL⽤にLDAPサーバが有効になっている必要があります。

• 証明書サーバがドメインで設定済みである必要があります。• LDAPリファーラル追跡を有効にするには、次の条件を満たしている必要があります。

• 両⽅のドメインで次のいずれかの信頼関係が設定されている必要があります。

• 双⽅向• ⼀⽅向（プライマリドメインがリファーラルドメインを信頼）• 親⼦

• 参照されているすべてのサーバ名を解決するようにDNSが設定されている必要があります。• -bind-as-cifs-serverがtrueに設定されている場合、認証には両ドメインのパスワードが同じで

あることが必要です。

注 : 次の設定はLDAPリファーラル追跡でサポートされていません。

• すべてのONTAPバージョン：

• 管理SVM上のLDAPクライアント

• ONTAP 9.8、9.7（9.9.1以降ではサポート）：

• LDAPの署名と封印（-session-securityオプション）• 暗号化されたTLS接続（-use-start-tlsオプション）• LDAPSポート636経由の通信（-use-ldaps-for-ad-ldapオプション）

• SVMでLDAPクライアントを設定する際は、LDAPスキーマを⼊⼒する必要があります。

ほとんどの場合、デフォルトのONTAPスキーマのいずれかで問題ありません。ただし、環境のLDAPスキーマがデフォルトのスキーマと異なる場合は、LDAPクライアントを作成する前にONTAP⽤の新しいLDAPクライアントスキーマを作成する必要があります。環境の要件については、LDAP管理者にお問い合わせください。

• LDAPをホスト名解決に使⽤することはサポートされていません。

LDAPセッションの通信の保護ADサーバへの照会に対するLDAPセッションを保護する⽅法は2つあります。LDAPの署名と封印を使⽤すると、Storage Virtual Machine（SVM）のLDAPクライアントとLDAPサーバの間のセッションについて、トラフィックを暗号化（封印）して整合性を保護（署名）することができます。あるいは、STARTTLS（LDAP over TLS）またはLDAPS（LDAP over SSL）を使⽤してすべてのセッショントラフィックを暗号化できます。LDAPの署名と封印の概念署名と封印を設定して、Active Directory（AD）サーバへの照会に対するLDAPセッションセキュリティを有効にすることができます。Storage Virtual Machine（SVM）のNFSサーバセキュリティ設定をLDAPサーバの設定に対応するように設定する必要があります。

署名は、シークレットキー技術を使⽤してLDAPペイロードデータの整合性を確保します。封印は、LDAPペイロードデータを暗号化して機密情報がクリアテキストで送信されないようにします。LDAPトラフィックについて、署名が必要か、署名と封印が必要か、どちらも必要ないかは、「LDAP Security Level」オプションで指定します。デフォルトはnoneです。

SVMでCIFSトラフィックに対するLDAPの署名と封印を有効にするには、vserver cifs securitymodifyコマンドで-session-security-for-ad-ldapオプションを指定します。

LDAPSの概念ONTAPでのLDAP通信の保護⽅法に関する⽤語や概念を理解しておく必要があります。ONTAPは、ActiveDirectory統合LDAPサーバ間またはUNIXベースのLDAPサーバ間の認証されたセッションを設定するために、Start TLSまたはLDAP over TLSを使⽤できます。

⽤語

ONTAPでのLDAPSを使⽤したLDAP通信の保護⽅法に関して理解しておくべき⽤語があります。

38


LDAP

（Lightweight Directory Access Protocol;ライトウェイトディレクトリアクセスプロトコル）情報ディレクトリに対するアクセスおよび管理を⾏うためのプロトコルです。LDAPは、ユーザ、グループ、ネットグループのようなオブジェクトを格納するための情報ディレクトリとして使⽤されます。またLDAPは、これらのオブジェクトを管理したりLDAPクライアントからの要求を満たしたりするディレクトリサービスを提供します。

SSL

（Secure Sockets Layer）インターネット上で情報を安全に送信するために開発されたプロトコルです。TLSの導⼊に伴い廃⽌されました。

TLS

（Transport Layer Security）それまでのSSL仕様に基づいたIETF標準の追跡プロトコルです。SSLの後継にあたります。

LDAPS（LDAP over SSLまたはTLS）

TLSまたはSSLを使⽤してLDAPクライアントとLDAPサーバ間の通信を保護するプロトコルです。「LDAP over SSL」と「LDAP over TLS」の2つの⽤語が区別なく使⽤されることがありますが、TLS、SSLはサポートされます。

• ONTAP 9.7∼9.8では、LDAPSはポート636でのみ有効にできます。有効にするには、vserver cifs security modifyコマンドで-use-ldaps-for-ad-ldapパラメータを使⽤します。

• ONTAP 9.9.1以降では、任意のポートでLDAPSを有効にできます（ただしデフォルトはポート636です）。-ldaps-enabledパラメータをtrueに設定し、-portパラメータに⽬的のポートを指定します。詳細については、vserverservices name-service ldap client createのマニュアルページを参照してください。

注 : 富⼠通では、LDAPSではなくStart TLSの使⽤を推奨しています。

Start TLS

（start_tls、STARTTLS、StartTLSとも表記）TSLプロトコルを使⽤してセキュアな通信を提供するメカニズムです。

ONTAPでは、LDAP通信を保護するためにSTARTTLSを使⽤し、デフォルトのLDAPポート（389）を使⽤してLDAPサーバと通信します。LDAPサーバは、LDAPポート389経由の接続を許可するように設定する必要があります。そうしないと、SVMからLDAPサーバへのLDAP TLS接続が失敗します。

ONTAPでのLDAPSの使⽤⽅法

ONTAPはTLSサーバ認証をサポートしています。この認証により、SVMのLDAPクライアントは、バインド操作時にLDAPサーバの識別情報を確認できます。TLSに対応したLDAPクライアントは、公開鍵暗号化の標準的な技法を使⽤して、サーバの証明書および公開IDが有効であり、かつクライアントの信頼できるCertificate Authority（CA;認証局）のリストにあるCAによって発⾏されたものであるかどうかをチェックできます。

LDAPでは、TLSを使⽤した通信の暗号化⽅法としてSTARTTLSがサポートされています。STARTTLSは標準のLDAPポート（389）経由でプレーンテキスト接続として開始され、その後TLS接続にアップグレードされます。

ONTAPでは以下をサポートしています。

• Active Directory統合LDAPサーバとSVMとの間のSMB関連トラフィックに対するLDAPSの使⽤• ネームマッピングやその他のUNIX情報のLDAPトラフィックに対するLDAPSの使⽤

39


Active Directory統合LDAPサーバまたはUNIXベースLDAPサーバのどちらかを使⽤して、LDAPネームマッピングの情報やその他のUNIX情報（ユーザ、グループ、ネットグループなど）を格納できます。

• ⾃⼰署名ルートCA証明書

Active-Directory統合LDAPを使⽤している場合は、Windows Server証明書サービスがドメインにインストールされていると⾃⼰署名ルート証明書が⽣成されます。UNIXベースのLDAPサーバをLDAPネームマッピングに使⽤している場合は、該当するLDAPアプリケーションに適切な⼿段を使⽤して、⾃⼰署名ルート証明書の⽣成と保存が⾏われます。

デフォルトでは、LDAPSは無効になっています。

LDAPのRFC2307bisサポートの有効化LDAPを使⽤するとともに、ネストされたグループメンバーシップを使⽤するための追加機能を必要とする場合は、ONTAPを設定してLDAPのRFC2307bisサポートを有効にすることができます。

始める前にデフォルトのLDAPクライアントスキーマのうち、使⽤するいずれか1つのコピーを作成しておく必要があります。

このタスクについてLDAPクライアントスキーマでは、グループオブジェクトによってmemberUid属性が使⽤されます。この属性は、複数の値を格納でき、そのグループに属するユーザの名前を⼀覧表⺬できます。RFC2307bis対応のLDAPクライアントスキーマでは、グループオブジェクトによってuniqueMember属性が使⽤されます。この属性には、LDAPディレクトリ内の別のオブジェクトの完全なDistinguished Name（DN;識別名）を含めることができます。これにより、グループに他のグループをメンバーとして追加できるため、ネストされたグループを使⽤できます。

ユーザは、ネストされたグループを含めて256を超えるグループのメンバーになることはできません。ONTAPは、この256グループの上限を超えるグループをすべて無視します。

デフォルトでは、RFC2307bisサポートは無効になっています。

注 : MS-AD-BISスキーマを使⽤してLDAPクライアントを作成すると、RFC2307bisサポートは⾃動的に有効になります。

⼿順


2. コピーしたRFC2307 LDAPクライアントスキーマを変更して、RFC2307bisのサポートを有効にします。 vserver services name-service ldap client schema modify -vservervserver_name -schema schema-name -enable-rfc2307bis true

3. LDAPサーバでサポートされているオブジェクトクラスに⼀致するように、スキーマを変更します。 vserver services name-service ldap client schema modify -vservervserver-name -schema schema_name -group-of-unique-names-object-classobject_class

4. LDAPサーバでサポートされている属性名に⼀致するように、スキーマを変更します。 vserverservices name-service ldap client schema modify -vserver vserver-name -schema schema_name -unique-member-attribute attribute_name


関連資料LDAPクライアント設定の管理⽤コマンド（63ページ）

LDAPディレクトリ検索の設定オプション環境にとって最も適した⽅法でLDAPサーバに接続するようにLDAPクライアントを構成することで、ユーザ、グループ、およびネットグループ情報を含め、LDAPディレクトリ検索を最適化することがで

40


きます。デフォルトのLDAPベースおよびスコープ検索値で⼗分な状況や、カスタム値のほうが適切な場合に指定すべきパラメータを理解しておく必要があります。

ユーザ、グループ、およびネットグループ情報のLDAPクライアント検索オプションは、LDAPクエリの失敗、ひいてはストレージシステムへのクライアントアクセスの失敗を回避するのに役⽴ちます。また、クライアントのパフォーマンスに関する問題を回避するために、検索をできるだけ効率的なものにするのにも役⽴ちます。

デフォルトのベースおよびスコープ検索値

LDAPベースは、LDAPクライアントがLDAPクエリを実⾏するために使⽤するデフォルトのベースDNです。ユーザ、グループ、ネットグループの検索を含むすべての検索は、ベースDNを使⽤して⾏われます。このオプションは、LDAPディレクトリが⽐較的⼩さくてすべての関連エントリが同じDN内にある場合に適しています。

カスタムベースDNを指定しない場合、デフォルト値はrootです。つまり、各クエリでディレクトリ全体が検索されます。この場合、LDAPクエリが成功する⾒込みは最⼤になりますが、⾮効率的であったり、⼤きなLDAPディレクトリではパフォーマンスの⼤幅な低下につながったりする可能性があります。

LDAPベーススコープは、LDAPクライアントがLDAPクエリを実⾏するために使⽤するデフォルトのベーススコープです。ユーザ、グループ、ネットグループの検索を含むすべての検索は、ベーススコープを使⽤して⾏われます。LDAPクエリによる検索範囲を、名前付きエントリのみ、DNの1レベル下にあるエントリ、またはDNの下にあるサブツリー全体のどれにするかが決定されます。

カスタムベーススコープを指定しない場合、デフォルト値はsubtreeです。つまり、各クエリでDNの下にあるサブツリー全体が検索されます。この場合、LDAPクエリが成功する⾒込みは最⼤になりますが、⾮効率的であったり、⼤きなLDAPディレクトリではパフォーマンスの⼤幅な低下につながったりする可能性があります。

カスタムベースおよびスコープ検索値

必要に応じて、ユーザ、グループ、およびネットグループ検索で、別々のベースおよびスコープ値を指定できます。クエリの検索ベースおよびクエリをこうした形で制限すると、検索対象がLDAPディレクトリのより⼩さなサブセクションに制限されるため、パフォーマンスを⼤幅に向上できます。

カスタムベースおよびスコープ値を指定した場合、ユーザ、グループ、およびネットグループ検索の全般的なデフォルト検索ベースおよびスコープは無視されます。カスタムベースおよびスコープ値を指定するパラメータは、advanced権限レベルで使⽤できます。

表 16 :

LDAPクライアントパラメータカスタム指定要素

-base-dn すべてのLDAP検索のベースDN

必要に応じて複数の値を⼊⼒できます（ONTAP 9.7以降のリリースでLDAPリファーラル追跡を有効にした場合など）。

-base-scope すべてのLDAP検索のベーススコープ

-user-dn すべてのLDAPユーザ検索のベースDN

このパラメータはユーザ名マッピング検索にも適⽤されます。

-user-scope すべてのLDAPユーザ検索のベーススコープ

このパラメータはユーザ名マッピング検索にも適⽤されます。

-group-dn すべてのLDAPグループ検索のベースDN

-group-scope すべてのLDAPグループ検索のベーススコープ

41


LDAPクライアントパラメータカスタム指定要素

-netgroup-dn すべてのLDAPネットグループ検索のベースDN

-netgroup-scope すべてのLDAPネットグループ検索のベーススコープ

複数のカスタムベースDN値

LDAPディレクトリが複雑な場合は、特定の情報を求めてLDAPディレクトリの複数の部分を検索するために複数のベースDNの指定が必要になる可能性があります。複数のユーザ、グループ、およびネットグループDNパラメータを指定するには、各パラメータをセミコロンで区切り、DN検索リスト全体を⼆重引⽤符（"）で囲みます。DNにセミコロンが含まれる場合、DNではセミコロンの直前にエスケープ⽂字（\）を追加する必要があります。

スコープは、対応するパラメータで指定されているDNのリスト全体に適⽤されることに注意してください。たとえば、3つの異なるユーザDNのリストとサブツリーをユーザスコープで指定した場合は、LDAPユーザ検索により、指定された3つのDNのそれぞれでサブツリー全体が検索されます。

また、LDAPリファーラル追跡を指定することで、プライマリLDAPサーバからLDAPリファーラル応答が返された場合に、ONTAP LDAPクライアントがその他のLDAPサーバへのルックアップ要求を参照することができます。クライアントは、このリファーラルデータに記載されたサーバからターゲットオブジェクトを取得します。参照されたLDAPサーバにあるオブジェクトを検索するには、参照されたオブジェクトのベースDNをLDAPクライアント設定の⼀部としてベースDNに追加します。ただし、参照されたオブジェクトがルックアップされるのは、LDAPクライアントの作成時または変更時にリファーラル追跡を（-referral-enabled trueオプションを使⽤して）有効にした場合のみです。

関連資料LDAPクライアント設定の管理⽤コマンド（63ページ）

LDAPディレクトリのホスト単位ネットグループ検索のパフォーマンス向上LDAP環境がホスト単位のネットグループ検索を許可するように設定されている場合は、この機能を利⽤するようにONTAPを設定し、ホスト単位のネットグループ検索を実⾏することができます。これにより、ネットグループ検索の処理速度を⼤幅に引き上げ、ネットグループ検索時のレイテンシによるNFSクライアントアクセスの問題を減らすことができます。

始める前に

LDAPディレクトリにnetgroup.byhostマップが含まれている必要があります。

DNSサーバには、NFSクライアントに対するフォワード（A）およびリバース（PTR）ルックアップレコードの両⽅が含まれている必要があります。

ネットグループ内のIPv6アドレスを指定する際には、常にRFC 5952で指定されているとおりに各アドレスを短縮および圧縮する必要があります。

このタスクについてNISサーバは、netgroup、netgroup.byuser、netgroup.byhostの3つの独⽴したマップにネットグループ情報を格納します。netgroup.byuserマップとnetgroup.byhostマップの⽬的は、ネットグループの検索速度を上げることです。ONTAPは、マウントの応答時間を短縮するためにNISサーバ上でホスト単位のネットグループ検索を実⾏できます。

デフォルトでは、LDAPディレクトリにはNISサーバにあるようなnetgroup.byhostマップがありません。ただしサードパーティツールを使⽤すれば、NISのnetgroup.byhostマップをLDAPディレクトリ内にインポートし、ホスト単位の⾼速なネットグループ検索を有効にすることができます。ホスト単位のネットグループ検索が⾏えるようにLDAP環境を設定している場合は、ONTAP LDAPクライアントでnetgroup.byhostマップ名、DN、および検索範囲を設定して、ホスト単位のネットグループ検索を⾼速化できます。

ホスト単位のネットグループ検索の結果をより迅速に受け取ることで、ONTAPは、エクスポートへのアクセスをNFSクライアントから要求されたときに、より速くエクスポートルールを処理できます。

42


これにより、ネットグループ検索によるレイテンシの問題によってアクセスが遅延する可能性が低下します。

⼿順

1. LDAPディレクトリ内にインポートしたNISのnetgroup.byhostマップの完全な識別名（DN）を取得します。マップのDNは、インポートに使⽤したサードパーティツールによって異なる場合があります。最⾼のパフォーマンスを得るために、正確なマップDNを指定してください。


3. Storage Virtual Machine（SVM）のLDAPクライアント設定でホスト単位のネットグループ検索を有効にします。vserver services name-service ldap client modify -vservervserver_name -client-config config_name -is-netgroup-byhost-enabled true-netgroup-byhost-dn netgroup-by-host_map_distinguished_name -netgroup-byhost-scope netgroup-by-host_search_scope

-is-netgroup-byhost-enabled {true|false}は、LDAPディレクトリでのホスト単位のネットグループ検索を有効または無効にします。デフォルトはfalseです。

-netgroup-byhost-dn netgroup-by-host_map_distinguished_name netgroup.byhostは、LDAPディレクトリ内のnetgroup.byhostマップの識別名を指定します。この値は、ホスト単位のネットグループ検索のベースDNを上書きします。このパラメータを指定しない場合、ONTAPはベースDNを使⽤します。

-netgroup-byhost-scope {base|onelevel|subtree}は、ホスト単位のネットグループ検索の検索範囲を指定します。このパラメータを指定しない場合は、デフォルトのsubtreeが使⽤されます。

LDAPクライアントがまだ設定されていない場合は、vserver services name-service ldapclient createコマンドで新しいLDAPクライアント設定を作成する際にこれらのパラメータを指定することで、ホスト単位のネットグループ検索を有効にできます。

注 : フィールド-ldap-serversが、フィールド-serversの代わりに使⽤されています。この新しいフィールドには、LDAPサーバのホスト名またはIPアドレスを指定できます。


例

次のコマンドは、「ldap_corp」という既存のLDAPクライアント設定を変更し、「nisMapName="netgroup.byhost",dc=corp,dc=example,dc=com」というnetgroup.byhostマップとデフォルトの検索範囲であるsubtreeを使⽤して、ホスト単位のネットグループ検索を有効にします。

cluster1::*> vserver services name-service ldap client modify -vserver vs1 -client-config ldap_corp -is-netgroup-byhost-enabled true -netgroup-byhost-dn nisMapName="netgroup.byhost",dc=corp,dc=example,dc=com

次のタスク

ディレクトリ内のnetgroup.byhostマップとnetgroupマップは、クライアントアクセスに関する問題を避けるために、常に同期された状態を維持する必要があります。

関連情報IETF RFC 5952：『A Recommendation for IPv6 Address Text Representation』

LDAP統計の表⺬パフォーマンスを監視して問題を診断するために、ストレージシステム上のStorage VirtualMachine（SVM）のLDAP統計を表⺬することができます。

始める前に

• SVMにLDAPクライアントを設定しておく必要があります。

43

http://tools.ietf.org/html/rfc5952


• データを表⺬できるLDAPオブジェクトを特定しておく必要があります。

⼿順

カウンタオブジェクトのパフォーマンスデータを表⺬します。statistics show

例

次の例は、オブジェクトsecd_external_service_opのパフォーマンスデータを表⺬します。

cluster::*> statistics show -vserver vserverName -object secd_external_service_op -instance “vserverName:LDAP (NIS & Name Mapping):GetUserInfoFromName:1.1.1.1”

Object: secd_external_service_opInstance: vserverName:LDAP (NIS & Name Mapping):GetUserInfoFromName:1.1.1.1Start-time: 4/13/2016 22:15:38End-time: 4/13/2016 22:15:38Scope: vserverNameCounter Value-------------------------------- --------------------------------instance_name vserverName:LDAP (NIS & Name Mapping):GetUserInfoFromName: 1.1.1.1last_modified_time 1460610787node_name nodeNamenum_not_found_responses 1num_request_failures 1num_requests_sent 1num_responses_received 1num_successful_responses 0num_timeouts 0operation GetUserInfoFromNameprocess_name secdrequest_latency 52131us

ネームマッピングの設定ONTAPでは、ネームマッピングを使⽤して、CIFS IDをUNIX IDに、Kerberos IDをUNIX IDに、UNIXIDをCIFS IDにマッピングします。この情報は、NFSクライアントからの接続かCIFSクライアントからの接続かに関係なく、ユーザクレデンシャルを取得して適切なファイルアクセスを提供するために必要になります。

ネームマッピングを使⽤する必要がない例外が2つあります。

• 純粋なUNIX環境を構成しており、ボリュームに対してCIFSアクセスまたはNTFSセキュリティ形式を使⽤する予定がない場合。

• 代わりにデフォルトユーザが使⽤されるように設定している場合。

このシナリオでは、すべてのクライアントクレデンシャルをそれぞれマッピングするのではなく、すべてのクライアントクレデンシャルが同じデフォルトユーザにマッピングされるため、ネームマッピングは必要ありません。

ネームマッピングはユーザに対してのみ使⽤でき、グループに対しては使⽤できません。

ただし、個々のユーザのグループを特定のユーザにマッピングすることはできます。たとえば、SALESという単語が先頭または末尾に付くすべてのADユーザを、特定のUNIXユーザおよびそのユーザのUIDにマッピングできます。

ネームマッピングの仕組みONTAPがユーザのクレデンシャルをマッピングする必要がある場合、最初に、ローカルのネームマッピングデータベースおよびLDAPサーバで既存のマッピングの有無をチェックします。⼀⽅をチェックするか両⽅をチェックするか、およびそのチェック順序は、SVMのネームサービスの設定で決まります。

• WindowsからUNIXへのマッピングの場合

マッピングが⾒つからなかった場合、⼩⽂字のWindowsユーザ名がUNIXドメインで有効なユーザ名かどうかを確認します。無効だった場合、デフォルトのUNIXユーザを使⽤します（設定済みの場

44


合）。デフォルトのUNIXユーザが設定されておらず、この⽅法でもONTAPがマッピングを取得できない場合、マッピングは失敗し、エラーが返されます。

• UNIXからWindowsへのマッピングの場合

マッピングが⾒つからなかった場合、SMBドメインでUNIX名と⼀致するWindowsアカウントを探します。⾒つからない場合、デフォルトのSMBユーザを使⽤します（設定済みの場合）。デフォルトのCIFSユーザが設定されておらず、この⽅法でもONTAPがマッピングを取得できない場合、マッピングは失敗し、エラーが返されます。

マシンアカウントは、デフォルトでは、指定されたデフォルトのUNIXユーザにマッピングされます。デフォルトのUNIXユーザが指定されていない場合、マシンアカウントのマッピングは失敗します。

• マシンアカウントをデフォルトのUNIXユーザ以外のユーザにマッピングできます。

UNIXユーザからWindowsユーザへのネームマッピングのためのマルチドメイン検索ONTAPは、UNIXユーザをWindowsユーザにマッピングする際のマルチドメイン検索をサポートしています。⼀致する結果が返されるまで、検出されたすべての信頼できるドメインで、変換後のパターンに⼀致する名前が検索されます。また、信頼できる優先ドメインのリストを設定することもできます。このリストは、検出された信頼できるドメインのリストの代わりに使⽤され、⼀致する結果が返されるまで順に検索されます。

ドメインの信頼性がUNIXユーザからWindowsユーザへのネームマッピング検索に与える影響

マルチドメインのユーザ名マッピングの仕組みを理解するには、ドメインの信頼性がONTAPに与える影響を理解しておく必要があります。CIFSサーバのホームドメインとのActive Directory信頼関係は、双⽅向の信頼にすることも、インバウンドとアウトバウンドの2つのタイプがある単⼀⽅向の信頼のどちらかにすることもできます。ホームドメインは、SVMのCIFSサーバが属しているドメインです。

• 双⽅向の信頼双⽅向の信頼では、両⽅のドメインが相互に信頼し合っています。CIFSサーバのホームドメインが別のドメインと双⽅向の信頼関係にある場合、このホームドメインは信頼できるドメインに属しているユーザを認証および認可でき、その反対に、この信頼できるドメインはホームドメインに属しているユーザを認証および認可することができます。

UNIXユーザからWindowsユーザへのネームマッピング検索は、ホームドメインおよび他⽅のドメインとの間に双⽅向の信頼関係にあるドメインでのみ実⾏できます。

• アウトバウンドの信頼アウトバウンドの信頼では、ホームドメインが他⽅のドメインを信頼しています。この場合、ホームドメインはアウトバウンドの信頼できるドメインに属しているユーザを認証および認可できます。

ホームドメインとアウトバウンドの信頼関係にあるドメインは、UNIXユーザからWindowsユーザへのネームマッピング検索の際に検索の対象になりません。

• インバウンドの信頼インバウンドの信頼では、CIFSサーバのホームドメインが他⽅のドメインによって信頼されています。この場合、ホームドメインはインバウンドの信頼できるドメインに属しているユーザを認証することも認可することもできません。

ホームドメインとインバウンドの信頼関係にあるドメインは、UNIXユーザからWindowsユーザへのネームマッピング検索の際に検索の対象になりません。

ワイルドカード（*）を使⽤したネームマッピングのためのマルチドメイン検索の設定⽅法

マルチドメインネームマッピング検索は、Windowsユーザ名のドメインセクションにワイルドカードを使⽤することで容易になります。次の表に、マルチドメイン検索を有効にするためにネームマッピングエントリのドメイン部にワイルドカードを使⽤する⽅法を⺬します。

45


表 17 :

パターン置換結果

root *\\administrator UNIXユーザ「root」は「administrator」というユーザにマッピングされます。「administrator」という名前のユーザとの最初の⼀致が⾒つかるまで、すべての信頼できるドメインが順に検索されます。

* *\\* 有効なUNIXユーザは対応するWindowsユーザにマッピングされます。該当する名前のユーザとの最初の⼀致が⾒つかるまで、すべての信頼できるドメインが順に検索されます。

注 : パターン*\\*は、UNIXからWindowsへのネームマッピングでのみ有効であり、反対⽅向では無効です。

マルチドメインの名前検索の実⾏⽅法

マルチドメインの名前検索で使⽤する信頼できるドメインのリストを決定するために、次の2つの⽅法のどちらかを選択できます。

• ONTAPが作成した⾃動検出による双⽅向の信頼リストを使⽤する• ⾃分で作成した信頼できる優先ドメインリストを使⽤する

ユーザ名のドメインセクションにワイルドカードを使⽤してUNIXユーザがWindowsユーザにマッピングされている場合、Windowsユーザはすべての信頼できるドメインで次のように検索されます。

• 信頼できるドメインの優先リストが設定されている場合、マッピング先のWindowsユーザはこの検索リスト内でのみ順に検索されます。

• 信頼できるドメインの優先リストが設定されていない場合は、ホームドメインと双⽅向の信頼関係にあるすべてのドメインでWindowsユーザの検索が⾏われます。

• ホームドメインと双⽅向の信頼関係にあるドメインが存在しない場合、ホームドメインでユーザの検索が⾏われます。

UNIXユーザがユーザ名にドメインセクションのないWindowsユーザにマッピングされている場合は、ホームドメインでWindowsユーザの検索が⾏われます。

ネームマッピングの変換ルールETERNUS AX/HXシリーズには、SVMごとに⼀連の変換ルールが保存されています。各ルールは、パターンとリプレースメントという2つの要素で構成されます。変換は該当するリストの先頭から開始され、最初に⼀致したルールに基づいて実⾏されます。パターンはUNIX形式の正規表現です。リプレースメントは、UNIXのsedプログラムと同様に、パターンの部分式を表すエスケープシーケンスを含む⽂字列です。

ネームマッピングの作成vserver name-mapping createコマンドを使⽤して、ネームマッピングを作成できます。ネームマッピングを使⽤すると、WindowsユーザからUNIXセキュリティ形式のボリュームへのアクセスおよびその逆⽅向のアクセスが可能になります。


ONTAPでは、SVMごとに、各⽅向について最⼤12,500個のネームマッピングがサポートされます。

⼿順

ネームマッピングを作成します。 vserver name-mapping create -vserver vserver_name-direction {krb-unix|win-unix|unix-win} -position integer -pattern text -replacement text

46


注 : -patternおよび-replacementには正規表現を使⽤できます。また、リプレースメント⽂字列をnull（スペース⽂字" "）にして-replacementを使⽤すると、そのユーザに対するマッピングを明⺬的に拒否できます。詳細については、vserver name-mapping createのマニュアルページを参照してください。

WindowsからUNIXへのマッピングを作成した場合、新しいマッピングが作成されたときにETERNUS AX/HXシリーズに接続していたすべてのSMBクライアントは、新しいマッピングを使⽤するために、⼀度ログアウトしてから、再度ログインする必要があります。

例

次のコマンドは、vs1という名前のSVM上にネームマッピングを作成します。このマッピングはUNIXからWindowsへのマッピングで、優先順位リスト内での位置は1番⽬です。UNIXユーザjohndをWindowsユーザENG\JohnDoeにマッピングします。

vs1::> vserver name-mapping create -vserver vs1 -direction unix-win -position 1 -pattern johnd -replacement "ENG\\JohnDoe"

次のコマンドは、vs1という名前のSVM上に別のネームマッピングを作成します。このマッピングはWindowsからUNIXへのマッピングで、優先順位リスト内での位置は1番⽬です。パターンとリプレースメントには正規表現が使⽤されています。ドメインENG内のすべてのCIFSユーザを、SVMに関連付けられたLDAPドメイン内のユーザにマッピングします。

vs1::> vserver name-mapping create -vserver vs1 -direction win-unix -position 1 -pattern "ENG\\(.+)" -replacement "\1"

次のコマンドは、vs1という名前のSVM上に別のネームマッピングを作成します。パターンには、エスケープする必要があるWindowsユーザ名の要素に「$」が使⽤されています。WindowsユーザENG\john$opsをUNIXユーザjohn_opsにマッピングします。

vs1::> vserver name-mapping create -direction win-unix -position 1 -pattern ENG\\john\$ops -replacement john_ops

関連資料ネームマッピングの管理⽤コマンド（48ページ）

デフォルトユーザの設定ユーザに対する他のマッピングの試⾏がすべて失敗した場合や、UNIXとWindowsの間で個々のユーザをマッピングしないようにする場合に使⽤するデフォルトユーザを設定できます。ただし、マッピングされていないユーザの認証を失敗にする必要がある場合は、デフォルトユーザを設定しないでください。


CIFS認証で、各Windowsユーザを個別のUNIXユーザにマッピングしないようにする場合は、代わりにデフォルトのUNIXユーザを指定できます。

NFS認証で、各UNIXユーザを個別のWindowsユーザにマッピングしないようにする場合は、代わりにデフォルトのWindowsユーザを指定できます。

⼿順

次のいずれかを実⾏します。


デフォルトのUNIXユーザを設定する vserver cifs options modify -default-unix-user user_name

デフォルトのWindowsユーザを設定する vserver nfs modify -default-win-useruser_name

47


関連概念ネームマッピングの設定（44ページ）

関連タスク不明なUNIXユーザ向けのNTFSボリュームまたはqtreeへのNFSアクセスの処理（52ページ）

ネームマッピングの管理⽤コマンドONTAPには、ネームマッピングを管理するためのコマンドが⽤意されています。

表 18 :

状況使⽤するコマンド

ネームマッピングを作成する vserver name-mapping create

特定の位置にネームマッピングを挿⼊する vserver name-mapping insert

ネームマッピングを表⺬する vserver name-mapping show

2つのネームマッピングの位置を交換する

注 : ネームマッピングがIP修飾⼦エントリで設定されている場合は交換できません。

vserver name-mapping swap

ネームマッピングを変更する vserver name-mapping modify

ネームマッピングを削除する vserver name-mapping delete

ネームマッピングが正しいことを確認する vserver security file-directoryshow-effective-permissions -vservervs1 -win-user-name user1 -path / -share-name sh1

詳細については、各コマンドのマニュアルページを参照してください。

関連タスクネームマッピングの作成（46ページ）

Windows NFSクライアント向けのアクセスの有効化ONTAPはWindows NFSv3クライアントからのファイルアクセスをサポートします。NFSv3をサポートするWindowsオペレーティングシステムを実⾏しているクライアントから、クラスタのNFSv3エクスポートのファイルにアクセスできるようになります。この機能を正しく使⽤するには、Storage VirtualMachine（SVM）を適切に設定し、⼀定の要件と制限事項に注意する必要があります。

始める前にSVMでNFSv3を有効にする必要があります。


デフォルトでは、Windows NFSv3クライアントサポートが無効になっています。

Windows NFSv3クライアントは、Network Status Monitor（NSM;ネットワークステータスモニタ）プロトコルをサポートしていません。そのため、Windows NFSv3クライアントセッションでは、ストレージフェイルオーバーやボリューム移動処理の途中で中断が⽣じる場合があります。

⼿順

1. Windows NFSv3クライアントのサポートを有効にします。vserver nfs modify -vservervserver_name -v3-ms-dos-client enabled

48


2. Windows NFSv3クライアントをサポートするすべてのSVMで、-enable-ejukeboxおよび-v3-connection-dropパラメータを無効にします。vserver nfs modify -vserver vserver_name -enable-ejukebox false -v3-connection-drop disabled

これで、Windows NFSv3クライアントはストレージシステム上にエクスポートをマウントできるようになります。

3. -o mtype=hardオプションを指定して、各Windows NFSv3クライアントでハードマウントが使⽤されるようにします。これは、マウントの信頼性を確保するために必要です。mount -o mtype=hard \\10.53.33.10\vol\vol1 z:\

NFSクライアントでNFSエクスポートの表⺬を有効にする⽅法NFSクライアントでは、showmount -eコマンドを使⽤して、ONTAP NFSサーバで使⽤可能なエクスポートのリストを表⺬できます。これは、マウントするファイルシステムを確認するのに役⽴ちます。

NFSクライアントでのエクスポートリストの表⺬がデフォルトで許可されます。それよりも前のリリースでは、vserver nfs modifyコマンドのshowmountオプションを明⺬的に有効にする必要があります。エクスポートリストを表⺬するには、SVMでNFSv3が有効になっている必要があります。

例

次のコマンドは、vs1というSVMに対してshowmountを実⾏します。

clusterl : : > vserver nfs show -vserver vs1 -fields showmountvserver showmount------- ---------vs1 enabled

次のコマンドは、IPアドレスが10.63.21.9のNFSサーバ上のエクスポートのリストを表⺬します。

showmount -e 10.63.21.9Export list for 10.63.21.9:/unix (everyone)/unix/unixl (everyone)/unix/unix2 (everyone)/ (everyone)

49

| NFSを使⽤したファイルアクセスの管理 |

NFSを使⽤したファイルアクセスの管理

Storage Virtual Machine（SVM）でNFSを有効にして設定したあとは、NFSを使⽤したファイルアクセスを管理するためにいくつかのタスクを実⾏できます。

NFSv3の有効化と無効化NFSv3を有効または無効にするには、-v3オプションを変更します。これにより、NFSv3プロトコルを使⽤してクライアントがファイルにアクセスできるかどうかを指定できます。デフォルトでは、NFSv3が有効です。

⼿順


⽬的⼊⼒するコマンド

NFSv3を有効にする vserver nfs modify -vservervserver_name -v3 enabled

NFSv3を無効にする vserver nfs modify -vservervserver_name -v3 disabled

NFSv4.0の有効化と無効化NFSv4.0を有効または無効にするには、-v4.0オプションを変更します。これにより、NFSv4.0プロトコルを使⽤してクライアントがファイルにアクセスできるかどうかを指定できます。デフォルトではNFSv4.0は無効になっています。

⼿順



NFSv4.0を有効にする vserver nfs modify -vservervserver_name -v4.0 enabled

NFSv4.0を無効にする vserver nfs modify -vservervserver_name -v4.0 disabled

NFSv4.1の有効化と無効化NFSv4.1を有効または無効にするには、-v4.1オプションを変更します。これにより、NFSv4.1プロトコルを使⽤してクライアントがファイルにアクセスできるかどうかを指定できます。デフォルトではNFSv4.1は無効になっています。

⼿順



NFSv4.1を有効にする vserver nfs modify -vservervserver_name -v4.1 enabled

50



NFSv4.1を無効にする vserver nfs modify -vservervserver_name -v4.1 disabled

pNFSの有効化と無効化pNFSは、NFSクライアントがストレージデバイスに対する読み取り / 書き込み処理を直接かつ並⾏して実⾏し、ボトルネックとなる可能性があるNFSサーバをバイパスできるようにすることで、実⾏パフォーマンスを向上します。Parallel NFS（pNFS）を有効または無効にするには、-v4.1-pnfsオプションを変更します。デフォルトではpNFSは有効になっています。

始める前に

pNFSを使⽤するには、NFSv4.1のサポートが必要です。

pNFSを有効にする場合は、まずNFSリファーラルを無効にする必要があります。両⽅を同時に有効にすることはできません。

SVMでpNFSとKerberosを併⽤する場合は、SVM上のすべてのLIFでKerberosを有効にする必要があります。

⼿順



pNFSを有効にする vserver nfs modify -vservervserver_name -v4.1-pnfs enabled

pNFSを無効にする vserver nfs modify -vservervserver_name -v4.1-pnfs disabled

関連タスクNFSv4リファーラルの有効化と無効化（81ページ）NFSv4.1の有効化と無効化（50ページ）

TCPおよびUDP経由のNFSアクセスの制御TCPおよびUDP経由でのStorage Virtual Machine（SVM）へのNFSアクセスを有効または無効にするには、それぞれ-tcpおよび-udpパラメータを使⽤します。これにより、環境でNFSクライアントがTCPまたはUDP経由でデータにアクセスできるかどうかを制御できます。

このタスクについてこれらのパラメータはNFSのみに適⽤されます。補助プロトコルには影響を与えません。たとえば、TCP経由のNFSが無効になっていても、TCP経由でのマウント処理は依然として正常に⾏われます。TCPまたはUDPトラフィックを完全にブロックするには、エクスポートポリシールールを使⽤できます。

注 : コマンドの失敗を防ぐために、NFSに対してTCPを無効にする前にSnapDiff RPCサーバをオフにする必要があります。TCPを無効にするには、vserver snapdiff-rpc-server off -vservervserver nameコマンドを使⽤します。

⼿順


51


設定するNFSアクセスの状態⼊⼒するコマンド

TCP経由で有効化 vserver nfs modify -vservervserver_name -tcp enabled

TCP経由で無効化 vserver nfs modify -vservervserver_name -tcp disabled

UDP経由で有効化 vserver nfs modify -vservervserver_name -udp enabled

UDP経由で無効化 vserver nfs modify -vservervserver_name -udp disabled

関連概念TCP転送サイズの変更によるNFSv3 / NFSv4パフォーマンスの改善（86ページ）

⾮予約ポートからのNFS要求の制御-mount-rootonlyオプションを有効にすると、⾮予約ポートからのNFSマウント要求を拒否することができます。⾮予約ポートからのすべてのNFS要求を拒否するには、-nfs-rootonlyオプションを有効にします。


デフォルトでは、オプション-mount-rootonlyはenabledになっています。

デフォルトでは、オプション-nfs-rootonlyはdisabledになっています。

これらのオプションは、NULLプロシージャには適⽤されません。

⼿順



⾮予約ポートからのNFSマウント要求を許可する vserver nfs modify -vservervserver_name -mount-rootonly disabled

⾮予約ポートからのNFSマウント要求を拒否する vserver nfs modify -vservervserver_name -mount-rootonly enabled

⾮予約ポートからのすべてのNFS要求を許可する vserver nfs modify -vservervserver_name -nfs-rootonly disabled

⾮予約ポートからのすべてのNFS要求を拒否する vserver nfs modify -vservervserver_name -nfs-rootonly enabled

不明なUNIXユーザ向けのNTFSボリュームまたはqtreeへのNFSアクセスの処理ONTAPは、NTFSセキュリティ形式のボリュームまたはqtreeへの接続を試みるUNIXユーザを識別できない場合、そのユーザをWindowsユーザに明⺬的にマッピングできません。ONTAPは、セキュリティを厳しくするためにそのようなユーザに対してアクセスを拒否するように設定することも、そうしたユーザをデフォルトのWindowsユーザにマッピングしてすべてのユーザに最⼩限のレベルのアクセスを保証するように設定することもできます。

始める前にこのオプションを有効にする場合は、デフォルトのWindowsユーザを設定しておく必要があります。

52


このタスクについてUNIXユーザがNTFSセキュリティ形式のボリュームまたはqtreeへのアクセスを試みる場合、そのUNIXユーザは、ONTAPがNTFSアクセス権を適切に評価できるように、まずWindowsユーザにマッピングされている必要があります。ただし、ONTAPは、設定されているユーザ情報ネームサービスソースでそのUNIXユーザの名前を検索できなかった場合、特定のWindowsユーザにそのUNIXユーザを明⺬的にマッピングすることができません。そのような不明なUNIXユーザの処理⽅法は、次のように決定できます。

• 不明なUNIXユーザに対してアクセスを拒否する。

この場合は、NTFSボリュームまたはqtreeへのアクセス権を得ようとするすべてのUNIXユーザについて明⺬的なマッピングを要求することで、より厳しいセキュリティが適⽤されます。

• 不明なUNIXユーザをデフォルトのWindowsユーザにマッピングする。

この場合、セキュリティ性は低下しますが、すべてのユーザがデフォルトのWindowsユーザを介してNTFSボリュームまたはqtreeへの最⼩限のレベルのアクセス権を得られるようにすることで、利便性が向上します。

⼿順



不明なUNIXユーザへのデフォルトのWindowsユーザのマッピング

⼊⼒するコマンド

有効にする vserver nfs modify -vservervserver_name -map-unknown-uid-to-default-windows-user enabled

無効にする vserver nfs modify -vservervserver_name -map-unknown-uid-to-default-windows-user disabled


関連概念ネームマッピングの設定（44ページ）

関連タスクデフォルトユーザの設定（47ページ）

⾮予約ポートを使⽤してNFSエクスポートをマウントするクライアントに関する注意事項

⾮予約ポートを使⽤してNFSエクスポートをマウントするクライアントをサポートするストレージシステムでは、ユーザがrootでログインする場合でも、-mount-rootonlyオプションを無効にする必要があります。HummingbirdクライアントやSolaris NFS / IPv6クライアントがこれに該当します。

-mount-rootonlyオプションを有効にした場合、NFSクライアントで⾮予約ポート、つまり1,024以上のポートを使⽤してNFSエクスポートをマウントすることはできません。

ドメインの検証によるネットグループのより厳密なアクセスチェックの実⾏デフォルトでは、ONTAPはネットグループに対するクライアントアクセスを評価する際に追加の検証を実⾏します。この追加チェックにより、クライアントのドメインがStorage Virtual Machine（SVM）のドメイン設定に⼀致していることが確認されます。⼀致していない場合、ONTAPはクライアントアクセスを拒否します。

53


このタスクについてONTAPは、クライアントアクセス⽤のエクスポートポリシールールおよびネットグループが含まれているエクスポートポリシールールを評価する際に、クライアントのIPアドレスがそのネットグループに属しているかどうかを確認する必要があります。そのために、ONTAPは、DNSを使⽤してクライアントのIPアドレスをホスト名に変換し、Fully Qualified Domain Name（FQDN;完全修飾ドメイン名）を取得します。

ネットグループファイルにホストの短い名前のみがリストされていて、そのホストの短い名前が複数のドメインに存在している場合は、異なるドメインのクライアントがこうしたチェックなしにアクセス権を取得することが可能になります。

この問題を回避するために、ONTAPは、ホストについてDNSから返されたドメインをSVM⽤に設定されているDNSドメイン名のリストと⽐較します。⼀致した場合は、アクセスが許可されます。⼀致しなかった場合、アクセスは拒否されます。

この検証はデフォルトで有効になっています。この検証機能は、advanced権限レベルで使⽤できる-netgroup-dns-domain-searchパラメータを変更することで管理できます。

⼿順



ネットグループのドメイン検証の設定⼊⼒する内容

有効にする vserver nfs modify -vservervserver_name -netgroup-dns-domain-search enabled

無効にする vserver nfs modify -vservervserver_name -netgroup-dns-domain-search disabled

3. 権限レベルをadminに設定します。set -privilege admin

NFSv3サービスで使⽤するポートの変更ストレージシステムのNFSサーバは、マウントデーモンやNetwork Lock Manager（NLM;ネットワークロックマネージャ）のようなサービスを使⽤して、特定のデフォルトネットワークポートを介してNFSクライアントと通信します。デフォルトポートは、ほとんどのNFS環境で正しく機能するので変更する必要はありませんが、別のネットワークポートをNFSv3環境で使⽤したい場合はそうすることができます。

始める前に

ストレージシステムでNFSポートを変更するには、すべてのNFSクライアントがシステムに再接続する必要があるので、変更に先⽴ってこの情報をユーザに伝えておく必要があります。


NFSマウントデーモン、Network Lock Manager（NLM;ネットワークロックマネージャ）、NetworkStatus Monitor（NSM;ネットワークステータスモニタ）、およびNFSクォータデーモンの各サービスで使⽤されるポートをStorage Virtual Machine（SVM）ごとに設定できます。ポート番号の変更は、データへのアクセスにTCPとUDPのどちらを使⽤するNFSクライアントにも影響を与えます。

NFSv4およびNFSv4.1のポートは変更できません。

⼿順


54


2. NFSへのアクセスを無効にします。vserver nfs modify -vserver vserver_name -access false

3. 特定のNFSサービスのNFSポートを設定します。vserver nfs modify -vservervserver_namenfs_port_parameterport_number

表 19 :

NFSポート番号説明デフォルトのポート

-mountd-port NFSマウントデーモン 635

-nlm-port ネットワークロックマネージャ

4045

-nsm-port ネットワークステータスモニタ

4046

-rquotad-port NFSクォータデーモン 4049

デフォルトポートに加えて、1,024∼65,535の範囲のポート番号を使⽤できます。各NFSサービスは固有のポートを使⽤する必要があります。

4. NFSへのアクセスを有効にします。vserver nfs modify -vserver vserver_name -access true

5. network connections listening showコマンドを使⽤して、ポート番号の変更を確認します。


例

次のコマンドは、vs1という SVMでNFSマウントデーモンのポートを1113に設定します。

vs1::> set -privilege advancedWarning: These advanced commands are potentially dangerous; use them only when directed to do so by Fujitsu personnel.Do you want to continue? {y|n}: y

vs1::*> vserver nfs modify -vserver vs1 -access false

vs1::*> vserver nfs modify -vserver vs1 -mountd-port 1113

vs1::*> vserver nfs modify -vserver vs1 -access true

vs1::*> network connections listening showVserver Name Interface Name:Local Port Protocol/Service---------------- ------------------------------- ----------------Node: cluster1-01Cluster cluster1-01_clus_1:7700 TCP/ctlopcpvs1 data1:4046 TCP/smvs1 data1:4046 UDP/smvs1 data1:4045 TCP/nlm-v4vs1 data1:4045 UDP/nlm-v4vs1 data1:1113 TCP/mountvs1 data1:1113 UDP/mount....

vs1::*> set -privilege admin

NFSサーバの管理⽤コマンドONTAPには、NFSサーバを管理するためのコマンドが⽤意されています。

55


表 20 :


NFSサーバを作成する vserver nfs create

NFSサーバを表⺬する vserver nfs show

NFSサーバを変更する vserver nfs modify

NFSサーバを削除する vserver nfs delete

NFSv3マウントポイントの.snapshotディレクトリの⼀覧を⾮表⺬にする

注 : このオプションを有効にした場合も、.snapshotディレクトリへの明⺬的なアクセスは許可されます。

vserver nfsコマンドで-v3-hide-snapshotオプションを有効化


ネームサービスに関する問題のトラブルシューティングネームサービスの問題でクライアントでアクセスエラーが発⽣した場合は、vserver servicesname-service getxxbyyyコマンドファミリーを使⽤して、さまざまなネームサービス検索を⼿動で実⾏したり、検索の詳細や結果を調べたりして、トラブルシューティングに役⽴てることができます。


• 各コマンドでは、次の情報を指定できます。

• 検索を実⾏するノードまたはStorage Virtual Machine（SVM）の名前。

この情報により、特定のノードまたはSVMでネームサービス検索をテストして、想定されるネームサービス設定の問題の探索範囲を絞り込むことができます。

• 検索で使⽤されるソースを表⺬するかどうか。

この情報があれば、適切なソースが使⽤されたかどうかをチェックできます。• ONTAPは、設定されているネームサービススイッチの順序に基づいて、検索を実⾏するためのサー

ビスを選択します。• これらのコマンドはadvanced権限レベルで使⽤できます。

⼿順


取得する情報使⽤するコマンド

ホスト名のIPアドレス vserver services name-servicegetxxbyyy getaddrinfo

vserver services name-servicegetxxbyyy gethostbyname（IPv4アドレスのみ）

グループのメンバー（グループIDを指定） vserver services name-servicegetxxbyyy getgrbygid

グループのメンバー（グループ名を指定） vserver services name-servicegetxxbyyy getgrbyname

56


取得する情報使⽤するコマンド

ユーザが属しているグループのリスト vserver services name-servicegetxxbyyy getgrlist

IPアドレスのホスト名 vserver services name-servicegetxxbyyy getnameinfo

vserver services name-servicegetxxbyyy gethostbyaddr（IPv4アドレスのみ）

ユーザ情報（ユーザ名を指定） vserver services name-servicegetxxbyyy getpwbyname

-use-rbacパラメータをtrueに設定すると、RBACユーザの名前解決をテストできます。

ユーザ情報（ユーザIDを指定） vserver services name-servicegetxxbyyy getpwbyuid

-use-rbacパラメータをtrueに設定すると、RBACユーザの名前解決をテストできます。

クライアントのネットグループメンバーシップ vserver services name-servicegetxxbyyy netgrp

クライアントのネットグループメンバーシップ（ホスト単位のネットグループ検索を使⽤）

vserver services name-servicegetxxbyyy netgrpbyhost

次の例は、ホストacast1.eng.example.comのIPアドレスの取得を試みることでvs1というSVMのDNSルックアップをテストします。

cluster1::*> vserver services name-service getxxbyyy getaddrinfo -vserver vs1 -hostname acast1.eng.example.com -address-family all -show-source trueSource used for lookup: DNSHost name: acast1.eng.example.comCanonical Name: acast1.eng.example.comIPv4: 10.72.8.29

次の例は、501768というUIDを持つユーザのユーザ情報の取得を試みることでSVM vs1のNIS検索をテストします。

cluster1::*> vserver services name-service getxxbyyy getpwbyuid -vserver vs1 -userID 501768 -show-source trueSource used for lookup: NISpw_name: jsmithpw_passwd: $1$y8rA4XX7$/DDOXAvc2PC/IsNFozfIN0pw_uid: 501768pw_gid: 501768pw_gecos:pw_dir: /home/jsmithpw_shell: /bin/bash

次の例は、ldap1というユーザのユーザ情報の取得を試みることでSVM vs1のLDAP検索をテストします。

cluster1::*> vserver services name-service getxxbyyy getpwbyname -vserver vs1 -username ldap1 -use-rbac false -show-source trueSource used for lookup: LDAPpw_name: ldap1pw_passwd: {crypt}JSPM6yc/ilIX6pw_uid: 10001pw_gid: 3333

57


pw_gecos: ldap1 userpw_dir: /u/ldap1pw_shell: /bin/csh

次の例は、クライアントdnshost0がネットグループlnetgroup136のメンバーであるかどうかを調べることでSVM vs1のネットグループ検索をテストします。

cluster1::*> vserver services name-service getxxbyyy netgrp -vserver vs1 -netgroup lnetgroup136 -client dnshost0 -show-source trueSource used for lookup: LDAPdnshost0 is a member of lnetgroup136

2. 実⾏したテストの結果を分析し、必要な措置を取ります。

表 21 :

状況チェック対象

ホスト名またはIPアドレスの検索に失敗したか、正しくない結果が得られた

DNS設定

検索を⾏うソースが正しくないネームサービススイッチの設定

ユーザまたはグループの検索に失敗したか、正しくない結果が得られた

ネームサービススイッチの設定

ソースの設定（ローカルファイル、NISドメイン、LDAPクライアント）

ネットワーク設定（LIF、ルートなど）

ホスト名の検索に失敗したかタイムアウトになり、DNSの短縮名（例：host1）がDNSサーバで解決されない

Top-Level Domain（TLD;最上位レベルのドメイン）クエリのDNS設定

TLDクエリを無効にするには、vserverservices name-service dns modifyコマンドで-is-tld-query-enabled falseオプションを使⽤します。

ネームサービスの接続の確認DNSネームサーバとLDAPネームサーバがONTAPに接続されているかどうかを確認できます。確認⽤のコマンドはadvanced権限レベルで使⽤できます。


DNSまたはLDAPネームサービスの設定が有効かどうかは、必要時にネームサービス設定チェックを使⽤して確認できます。この検証チェックは、コマンドラインまたはONTAP System Managerで実⾏できます。

DNS設定の場合、すべてのサーバがテストされ、設定が有効とみなされるためにはすべてのサーバが動作している必要があります。LDAP設定の場合は、いずれかのサーバが稼働していれば設定は有効です。各ネームサービスコマンドでは、skip-config-validationフィールドがtrueでないかぎり（デフォルトはfalse）、設定チェックが実⾏されます。

⼿順

適切なコマンドを使⽤してネームサービスの設定を確認します。設定されているサーバのステータスがUIに表⺬されます。

58


表 22 :

チェックの対象使⽤するコマンド

DNSの設定ステータス vserver services name-service dns check

LDAPの設定ステータス vserver services name-service ldap check

cluster1::> vserver services name-service dns check -vserver vs0 Vserver Name Server Status Status Details-------------- --------------- ------- ------------------------- vs0 10.11.12.13 up Response time (msec): 55 vs0 10.11.12.14 up Response time (msec): 70 vs0 10.11.12.15 down Connection refused.+---------------------------------------------------------------+

cluster1::> vserver services name-service ldap check -vserver vs0

| Vserver: vs0 || Client Configuration Name: c1 || LDAP Status: up || LDAP Status Details: Successfully connected to LDAP server "10.11.12.13". |

設定されているサーバ（name-servers/ldap-servers）の少なくとも1つが到達可能でサービスを提供していれば、設定の検証は成功です。到達不能なサーバがある場合、警告が表⺬されます。

ネームサービススイッチエントリの管理⽤コマンドネームサービススイッチエントリは、作成、表⺬、変更、削除の操作によって管理することができます。

表 23 :


ネームサービススイッチエントリを作成する vserver services name-service ns-switch create

ネームサービススイッチエントリを表⺬する vserver services name-service ns-switch show

ネームサービススイッチエントリを変更する vserver services name-service ns-switch modify

ネームサービススイッチエントリを削除する vserver services name-service ns-switch delete


ネームサービスキャッシュの管理⽤コマンドネームサービスキャッシュは、Time-To-Live（TTL）値を変更することで管理できます。TTL値は、ネームサービス情報がキャッシュに保持される期間です。

59


表 24 :

TTL値を変更する対象使⽤するコマンド

UNIXユーザ vserver services name-service cacheunix-user settings

UNIXグループ vserver services name-service cacheunix-group settings

UNIXネットグループ vserver services name-service cachenetgroups settings

ホスト vserver services name-service cachehosts settings

グループメンバーシップ vserver services name-service cachegroup-membership settings

ネームマッピングの管理⽤コマンドONTAPには、ネームマッピングを管理するためのコマンドが⽤意されています。

表 25 :


ネームマッピングを作成する vserver name-mapping create

特定の位置にネームマッピングを挿⼊する vserver name-mapping insert

ネームマッピングを表⺬する vserver name-mapping show

2つのネームマッピングの位置を交換する

注 : ネームマッピングがIP修飾⼦エントリで設定されている場合は交換できません。

vserver name-mapping swap

ネームマッピングを変更する vserver name-mapping modify

ネームマッピングを削除する vserver name-mapping delete

ネームマッピングが正しいことを確認する vserver security file-directoryshow-effective-permissions -vservervs1 -win-user-name user1 -path / -share-name sh1


関連タスクネームマッピングの作成（46ページ）

ローカルUNIXユーザの管理⽤コマンドONTAPには、ローカルUNIXユーザを管理するためのコマンドが⽤意されています。

表 26 :


ローカルUNIXユーザを作成する vserver services name-service unix-usercreate

60



URIからローカルUNIXユーザをロードする vserver services name-service unix-userload-from-uri

ローカルUNIXユーザを表⺬する vserver services name-service unix-usershow

ローカルUNIXユーザを変更する vserver services name-service unix-usermodify

ローカルUNIXユーザを削除する vserver services name-service unix-userdelete


ローカルUNIXグループの管理⽤コマンドONTAPには、ローカルUNIXグループを管理するためのコマンドが⽤意されています。

表 27 :


ローカルUNIXグループを作成する

vserver services name-serviceunix-group create

ローカルUNIXグループにユーザを追加する

vserver services name-serviceunix-group adduser

URIからローカルUNIXグループをロードする

vserver services name-serviceunix-group load-from-uri

ローカルUNIXグループを表⺬する

vserver services name-serviceunix-group show

ローカルUNIXグループを変更する

vserver services name-serviceunix-group modify

ローカルUNIXグループからユーザを削除する

vserver services name-serviceunix-group deluser

ローカルUNIXグループを削除する

vserver services name-serviceunix-group delete


ローカルUNIXユーザ、グループ、およびグループメンバーに対する制限ONTAPでは、クラスタ内のUNIXユーザおよびグループの最⼤数の制限と、この制限を管理するためのコマンドが導⼊されました。これらの制限は、管理者がクラスタ内にローカルUNIXユーザおよびグループを過剰に作れないようにすることでパフォーマンスの問題を回避するのに役⽴ちます。

ローカルのUNIXユーザグループとグループメンバーの合計数には制限があります。ローカルUNIXユーザについては別途制限があります。これらの制限はクラスタ全体に適⽤されます。各制限はそれぞれデフォルト値に設定されていますが、あらかじめ割り当てられたハードリミットまで引き上げることができます。

61


表 28 :

データベースデフォルトの制限ハードリミット

ローカルUNIXユーザ 32,768 65,536

ローカルUNIXグループおよびグループメンバー

32,768 65,536

ローカルUNIXユーザおよびグループに対する制限の管理ONTAPには、ローカルUNIXユーザおよびグループに対する制限を管理するための固有のコマンドが⽤意されています。クラスタ管理者は、これらのコマンドを使⽤して、過剰な数のローカルUNIXユーザおよびグループに関連していると考えられる、クラスタ内のパフォーマンスの問題のトラブルシューティングを⾏うことができます。

このタスクについてこれらのコマンドはadvanced権限レベルのクラスタ管理者が使⽤できます。

⼿順



ローカルUNIXユーザの制限に関する情報を表⺬する

vserver services unix-user max-limitshow

ローカルUNIXグループの制限に関する情報を表⺬する

vserver services unix-group max-limitshow

ローカルUNIXユーザの制限を変更する vserver services unix-user max-limitmodify

ローカルUNIXグループの制限を変更する vserver services unix-group max-limitmodify


ローカルネットグループの管理⽤コマンドURIからのロード、ノード間でのステータスの確認、表⺬や削除を⾏うことで、ローカルネットグループを管理することができます。

表 29 :


URIからネットグループをロードする

vserver services name-service netgroup load

ノード間でのネットグループのステータスを確認する

vserver services name-service netgroup status

advanced権限レベル以上で使⽤できます。

ローカルネットグループを表⺬する vserver services name-service netgroup fileshow

ローカルネットグループを削除する vserver services name-service netgroup filedelete

62



関連タスククライアントIPアドレスがネットグループのメンバーかどうかのチェック（70ページ）ドメインの検証によるネットグループのより厳密なアクセスチェックの実⾏（53ページ）

NISドメイン設定の管理⽤コマンドONTAPには、NISドメイン設定を管理するためのコマンドが⽤意されています。

表 30 :


NISドメイン設定を作成する vserver services name-service nis-domaincreate

NISドメイン設定を表⺬する vserver services name-service nis-domainshow

NISドメイン設定のバインドステータスを表⺬する

vserver services name-service nis-domainshow-bound

NISの統計を表⺬する vserver services name-service nis-domainshow-statistics


NISの統計をクリアする vserver services name-service nis-domainclear-statistics


NISドメイン設定を変更する vserver services name-service nis-domainmodify

NISドメイン設定を削除する vserver services name-service nis-domaindelete

ホスト単位のネットグループ検索でのキャッシュを有効にする

vserver services name-service nis-domainnetgroup-database config modify



LDAPクライアント設定の管理⽤コマンドONTAPには、LDAPクライアント設定を管理するためのコマンドが⽤意されています。

注 : SVM管理者は、クラスタ管理者が作成したLDAPクライアント設定を変更したり削除したりできません。

表 31 :


LDAPクライアント設定を作成する vserver services name-service ldap clientcreate

LDAPクライアント設定を表⺬する vserver services name-service ldap clientshow

63



LDAPクライアント設定を変更する vserver services name-service ldap clientmodify

LDAPクライアントのバインドパスワードを変更する

vserver services name-service ldap clientmodify-bind-password

LDAPクライアント設定を削除する vserver services name-service ldap clientdelete


関連概念LDAPディレクトリ検索の設定オプション（40ページ）

LDAP設定の管理⽤コマンドONTAPには、LDAP設定を管理するためのコマンドが⽤意されています。

表 32 :


LDAP設定を作成する vserver services name-service ldapcreate

LDAP設定を表⺬する vserver services name-service ldapshow

LDAP設定を変更する vserver services name-service ldapmodify

LDAP設定を削除する vserver services name-service ldapdelete


LDAPクライアントスキーマテンプレートの管理⽤コマンドONTAPには、LDAPクライアントスキーマテンプレートを管理するためのコマンドが⽤意されています。

注 : SVM管理者は、クラスタ管理者が作成したLDAPクライアントスキーマを変更したり削除したりできません。

表 33 :


既存のLDAPスキーマテンプレートをコピーする

vserver services name-service ldap clientschema copy


LDAPスキーマテンプレートを表⺬する vserver services name-service ldap clientschema show

64



LDAPスキーマテンプレートを変更する vserver services name-service ldap clientschema modify


LDAPスキーマテンプレートを削除する vserver services name-service ldap clientschema delete



NFS Kerberosインターフェイス設定の管理⽤コマンドONTAPには、NFS Kerberosインターフェイスの設定を管理するためのコマンドが⽤意されています。

表 34 :


LIFでNFS Kerberosを有効にする vserver nfs kerberos interfaceenable

NFS Kerberosインターフェイスの設定を表⺬する vserver nfs kerberos interface show

NFS Kerberosインターフェイスの設定を変更する vserver nfs kerberos interfacemodify

LIFでNFS Kerberosを無効にする vserver nfs kerberos interfacedisable


NFS Kerberos Realm設定の管理⽤コマンドONTAPには、NFS Kerberos Realmの設定を管理するためのコマンドが⽤意されています。

表 35 :


NFS Kerberos Realmの設定を作成する vserver nfs kerberos realm create

NFS Kerberos Realmの設定を表⺬する vserver nfs kerberos realm show

NFS Kerberos Realmの設定を変更する vserver nfs kerberos realm modify

NFS Kerberos Realmの設定を削除する vserver nfs kerberos realm delete


エクスポートポリシーの管理⽤コマンドONTAPには、エクスポートポリシーを管理するためのコマンドが⽤意されています。

65


表 36 :


エクスポートポリシーに関する情報を表⺬する vserver export-policy show

エクスポートポリシーの名前を変更する vserver export-policy rename

エクスポートポリシーをコピーする vserver export-policy copy

エクスポートポリシーを削除する vserver export-policy delete


エクスポートルールの管理⽤コマンドONTAPには、エクスポートルールを管理するためのコマンドが⽤意されています。

表 37 :


エクスポートルールを作成する vserver export-policy rule create

エクスポートルールに関する情報を表⺬する vserver export-policy rule show

エクスポートルールを変更する vserver export-policy rule modify

エクスポートルールを削除する vserver export-policy rule delete

注 : 異なるクライアントを照合する同⼀のエクスポートルールが複数設定されている場合は、エクスポートルールの管理時にそれらのルールの同期を必ず維持するようにしてください。


NFSクレデンシャルキャッシュの設定ONTAPは、アクセス⾼速化とパフォーマンス向上のために、クレデンシャルキャッシュを使⽤して、NFSエクスポートアクセスでのユーザ認証に必要な情報を格納します。現在の環境に合わせてクレデンシャルキャッシュをカスタマイズするために、情報がクレデンシャルキャッシュに格納される期間を設定できます。

NFSクレデンシャルキャッシュのTime-To-Liveを変更する理由NFSクレデンシャルキャッシュのTime-To-Live（TTL）の変更が問題の解決に役⽴つ場合があります。どのような状況がこれに該当するのか、またそうした変更がどのような影響を及ぼすのかを理解しておく必要があります。

理由

次の状況では、デフォルトTTLの変更を検討します。

表 38 :

問題対応策

環境内のネームサーバでONTAPからの要求の負荷が⾼いためにパフォーマンスが低下している。

キャッシュされている受理および拒否されたクレデンシャルに対するTTLを⻑くして、ONTAPからネームサーバへの要求数を減らします。

66


問題対応策

ネームサーバ管理者がこれまで拒否されていたNFSユーザに対してアクセスを許可する変更を⾏った。

キャッシュされている拒否されたクレデンシャルに対するTTLを短くして、ONTAPが新しいクレデンシャルを外部ネームサーバに要求してNFSユーザがアクセスできるようになるまでの待機時間を短縮します。

ネームサーバ管理者がこれまで許可されていたNFSユーザに対してアクセスを拒否する変更を⾏った。

キャッシュされている受理されたクレデンシャルに対するTTLを短くして、ONTAPが新しいクレデンシャルを外部ネームサーバに要求してNFSユーザがアクセスを拒否されるようになるまでの時間を短縮します。

影響

受理および拒否されたクレデンシャルをキャッシュしておく期間を個別に変更することができます。ただし、こうした変更の⻑所と短所の両⽅に注意する必要があります。

表 39 :

状況⻑所短所

受理されたクレデンシャルのキャッシュ時間を⻑くする

ONTAPがクレデンシャルの要求をネームサーバに送信する頻度が低下し、ネームサーバの負荷が軽減されます。

それまではアクセスが許可されていたが今後は許可されなくなるNFSユーザに対し、アクセスを拒否するのにかかる時間が⻑くなります。

受理されたクレデンシャルのキャッシュ時間を短くする

それまではアクセスが許可されていたが今後は許可されなくなるNFSユーザに対し、アクセスを拒否するのにかかる時間が短くなります。

ONTAPがクレデンシャルの要求をネームサーバに送信する頻度が⾼くなり、ネームサーバの負荷が増⼤します。

拒否されたクレデンシャルのキャッシュ時間を⻑くする

ONTAPがクレデンシャルの要求をネームサーバに送信する頻度が低下し、ネームサーバの負荷が軽減されます。

それまではアクセスが許可されていなかったが今後は許可されるようになるNFSユーザに対し、アクセスを許可するのにかかる時間が⻑くなります。

拒否されたクレデンシャルのキャッシュ時間を短くする

それまではアクセスが許可されていなかったが今後は許可されるようになるNFSユーザに対し、アクセスを許可するのにかかる時間が短くなります。

ONTAPがクレデンシャルの要求をネームサーバに送信する頻度が⾼くなり、ネームサーバの負荷が増⼤します。

キャッシュされたNFSユーザクレデンシャルのTTLの設定Storage Virtual Machine（SVM）のNFSサーバを変更することで、ONTAPがNFSユーザのクレデンシャルを内部キャッシュに格納する期間であるTime-To-Live（TTL）を設定できます。これにより、ネームサーバの⾼負荷に関する問題や、NFSユーザアクセスに影響を及ぼすクレデンシャルの変更に関する問題を軽減できます。


これらのパラメータはadvanced権限レベルで使⽤できます。

⼿順


67



TTLを変更するキャッシュ対象使⽤するコマンド

受理のクレデンシャル vserver nfs modify -vservervserver_name -cached-cred-positive-ttl time_to_live

TTLの測定単位はミリ秒です。デフォルト値は24時間（86,400,000ミリ秒）です。この値の許容範囲は1分（60,000ミリ秒）∼7⽇間（604,800,000ミリ秒）です。

拒否のクレデンシャル vserver nfs modify -vservervserver_name -cached-cred-negative-ttl time_to_live

TTLの測定単位はミリ秒です。デフォルト値は2時間（7,200,000ミリ秒）です。この値の許容範囲は1分（60,000ミリ秒）∼7⽇間（604,800,000ミリ秒）です。


エクスポートポリシーキャッシュの管理ONTAPは、アクセスを⾼速化するために、エクスポートポリシーに関連する情報の格納に複数のエクスポートポリシーキャッシュを使⽤します。トラブルシューティングの⽬的でエクスポートポリシーキャッシュを管理するために実⾏できる特定のタスクがあります。

エクスポートポリシーキャッシュのフラッシュエクスポートポリシーキャッシュを⼿動でフラッシュすると（vserver export-policy cacheflush）、古くなった情報が削除され、ONTAPが適切な外部リソースから最新情報を取得します。これは、NFSエクスポートへのクライアントアクセスに関するさまざまな問題の解決に役⽴ちます。


エクスポートポリシーキャッシュの情報は、次の理由によって古くなる可能性があります。

• エクスポートポリシールールが最近変更された• ネームサーバでホスト名のレコードが最近変更された• ネームサーバでネットグループエントリが最近変更された• ネットグループの完全なロードを妨げていたネットワーク停⽌からのリカバリが⾏われた

⼿順

1. ネームサービスキャッシュを有効にしていない場合は、advanced権限モードで次のいずれかを実⾏します。

フラッシュ対象⼊⼒するコマンド

すべてのエクスポートポリシーキャッシュ（showmountを除く）

vserver export-policy cache flush -vserver vserver_name

エクスポートポリシールールアクセスキャッシュ

vserver export-policy cache flush -vserver vserver_name -cache access

オプションの-nodeパラメータを使⽤すると、アクセスキャッシュのフラッシュを⾏うノードを指定できます。

68



ホスト名キャッシュ vserver export-policy cache flush -vserver vserver_name -cache host

ネットグループキャッシュ vserver export-policy cache flush-vserver vserver_name -cachenetgroup

ネットグループの処理は⼤量のリソースを消費します。ネットグループキャッシュのフラッシュは、古いネットグループが原因で発⽣したクライアントアクセスに関する問題の解決を試みる場合にのみ⾏ってください。

showmountキャッシュ vserver export-policy cache flush-vserver vserver_name -cacheshowmount

2. ネームサービスキャッシュが有効になっている場合は、次のいずれかを実⾏します。


エクスポートポリシールールアクセスキャッシュ

vserver export-policy cache flush -vserver vserver_name -cache access

オプションの-nodeパラメータを使⽤すると、アクセスキャッシュのフラッシュを⾏うノードを指定できます。

ホスト名キャッシュ vserver services name-service cachehosts forward-lookup delete-all

ネットグループキャッシュ vserver services name-service cachenetgroups ip-to-netgroup delete-allvserver services name-service cachenetgroups members delete-all

ネットグループの処理は⼤量のリソースを消費します。ネットグループキャッシュのフラッシュは、古いネットグループが原因で発⽣したクライアントアクセスに関する問題の解決を試みる場合にのみ⾏ってください。

showmountキャッシュ vserver export-policy cache flush-vserver vserver_name -cacheshowmount

エクスポートポリシーネットグループキューおよびキャッシュの表⺬ONTAPでは、ネットグループのインポート時および解決時にネットグループキューを使⽤し、結果として得られる情報を格納するためにネットグループキャッシュを使⽤します。エクスポートポリシーのネットグループに関連する問題をトラブルシューティングする際には、vserver export-policynetgroup queue showおよびvserver export-policy netgroup cache showコマンドを使⽤して、ネットグループキューのステータスやネットグループキャッシュの内容を表⺬できます。

⼿順


69


エクスポートポリシーネットグループに関する表⺬対象

⼊⼒するコマンド

キュー vserver export-policy netgroup queueshow

キャッシュ vserver export-policy netgroup cacheshow -vserver vserver_name


クライアントIPアドレスがネットグループのメンバーかどうかのチェックネットグループに関連したNFSクライアントアクセスの問題をトラブルシューティングする際に、vserver export-policy netgroup check-membershipコマンドを使⽤してクライアントIPが特定のネットグループのメンバーであるかどうかを判断できます。

このタスクについてネットグループメンバーシップのチェックにより、クライアントがネットグループのメンバーであることまたはメンバーでないことをONTAPが認識しているかどうかを確認できます。また、ネットグループ情報の更新中にONTAPのネットグループキャッシュが⼀時的な状態にあるかどうかもわかります。この情報は、クライアントに対する予期しないアクセス許可または拒否の理由を把握するのに役⽴ちます。

⼿順

クライアントIPアドレスのネットグループメンバーシップを確認します。vserver export-policynetgroup check-membership -vserver vserver_name -netgroup netgroup_name -client-ip client_ip

このコマンドによって次のような結果が返される可能性があります。

• クライアントはネットグループのメンバーです。

これは、リバースルックアップスキャンまたはホスト単位のネットグループ検索によって確認されました。

• クライアントはネットグループのメンバーです。

クライアントがONTAPのネットグループキャッシュに⾒つかりました。• クライアントはネットグループのメンバーではありません。• ONTAPが現在ネットグループキャッシュを更新中なので、まだクライアントのメンバーシップを決

定できません。

更新が完了するまで、メンバーシップの判断を明⺬的に下すことはできません。vserverexport-policy netgroup queue showコマンドを使⽤してネットグループのロードを監視し、ロード完了後に再びチェックを試みます。

例

次の例は、IPアドレスが172.17.16.72のクライアントがSVM vs1上のネットグループmercuryのメンバーであるかどうかをチェックします。

cluster1::> vserver export-policy netgroup check-membership -vserver vs1 -netgroup mercury -client-ip 172.17.16.72

関連タスクドメインの検証によるネットグループのより厳密なアクセスチェックの実⾏（53ページ）

関連資料ローカルネットグループの管理⽤コマンド（62ページ）

70


アクセスキャッシュのパフォーマンスの最適化複数のパラメータを設定して、アクセスキャッシュを最適化したり、パフォーマンスとアクセスキャッシュ内の保存情報の鮮度とのバランスをとったりすることができます。

このタスクについてアクセスキャッシュの更新期間を設定する際には、次の点に注意してください。

• 値を⼤きくすると、アクセスキャッシュ内でのエントリの存続時間が⻑くなります。

⻑所としては、ONTAPがアクセスキャッシュエントリの更新時に消費するリソースの減少によるパフォーマンスの向上が挙げられます。短所は、エクスポートポリシールールが変更されてアクセスキャッシュエントリが古くなった場合、エントリの更新にかかる時間が⻑くなることです。その結果、アクセスできるはずのクライアントが拒否され、拒否されるはずのクライアントがアクセス権を得る可能性があります。

• 値を⼩さくすると、ONTAPによるアクセスキャッシュエントリの更新頻度が⾼くなります。

⻑所は、エントリの鮮度が向上し、クライアントに対するアクセスの許可または拒否が正しく⾏われる可能性が⾼くなることです。短所としては、ONTAPがアクセスキャッシュエントリの更新時に消費するリソースの増加によるパフォーマンスの低下が挙げられます。

⼿順



変更の対象⼊⼒する内容

正のエントリの更新期間 vserver export-policy access-cache config modify-all-vservers -refresh-period-positivetimeout_value

負のエントリの更新期間 vserver export-policy access-cache config modify-all-vservers -refresh-period-negativetimeout_value

古いエントリのタイムアウト時間 vserver export-policy access-cache config modify-all-vservers -harvest-timeout timeout_value

3. 新しいパラメータ設定を確認します。vserver export-policy access-cache configshow-all-vservers


ファイルロックの管理ボリュームやファイルにクライアントがアクセスできない理由を特定する最初の⼿順として、SVMの現在のロック状態について、情報を表⺬できます。ファイルのロックを解除する必要がある場合、この情報が役に⽴ちます。

関連概念NFSv4ファイル委譲の管理（78ページ）

関連タスクNFSv4ファイルおよびレコードロックの設定（80ページ）

71


プロトコル間のファイルロックについてファイルロックとは、あるユーザがすでに開いているファイルに別のユーザがアクセスすることを防ぐ機能で、クライアントアプリケーションで使⽤されます。ONTAPでファイルをロックする⽅法は、クライアントのプロトコルによって異なります。

クライアントがNFSクライアントである場合、ロックは任意に設定します。クライアントがSMBクライアントである場合、ロックは必須となります。

NFSファイルとSMBファイルのロックの違いのため、SMBアプリケーションですでに開いているファイルにNFSクライアントからアクセスすると、エラーになる場合があります。

NFSクライアントがSMBアプリケーションによってロックされたファイルにアクセスすると、次のいずれかの状態になります。

• mixed形式またはNTFS形式のボリュームでは、rm、rmdir、mvなどのファイル操作を⾏うと、NFSアプリケーションがエラーになる場合があります。

• NFSの読み取りと書き込みの処理は、SMBの読み取り拒否および書き込み拒否のオープンモードによってそれぞれ拒否されます。

• また、ファイルの書き込み対象となる範囲が、排他的なSMBバイトロックでロックされている場合も、NFSの書き込みの処理はエラーになります。

UNIXセキュリティ形式のボリュームでは、NFSのリンク解除および名前変更の処理でSMBのロック状態が無視され、ファイルへのアクセスが許可されます。UNIXセキュリティ形式のボリュームでのその他すべてのNFS処理では、SMBのロック状態が考慮されます。

ONTAPによる読み取り専⽤ビットの処理⽅法読み取り専⽤ビットは、ファイルが書き込み可能（無効）なのか読み取り専⽤（有効）なのかを⺬すためにファイルごとに設定されます。

Windowsを使⽤するSMBクライアントは、ファイルごとの読み取り専⽤ビットを設定できます。NFSクライアントは、ファイルごとの読み取り専⽤ビットを設定しません。NFSクライアントは、ファイルごとの読み取り専⽤ビットを使⽤するプロトコル操作を⾏わないためです。

ONTAPは、Windowsを使⽤するSMBクライアントによってファイルが作成される際に、そのファイルに読み取り専⽤ビットを設定できます。ファイルがNFSクライアントとSMBクライアント間で共有されている場合も、読み取り専⽤ビットを設定できます。⼀部のソフトウェアは、NFSクライアントおよびSMBクライアントで使⽤される場合、読み取り専⽤ビットが有効になっている必要があります。

NFSクライアントとSMBクライアント間で共有されるファイルに対して、適切な読み取りおよび書き込み権限を保持するために、読み取り専⽤ビットが次の規則に従って処理されます。

• NFSは、読み取り専⽤ビットが有効になっているファイルを書き込み権限ビットすべてが無効になっているファイルとして扱います。

• NFSクライアントがすべての書き込み権限ビットを無効にしたときに、これらのうち少なくとも1つが以前有効であったら、そのファイルの読み取り専⽤ビットは有効になります。

• NFSクライアントがすべての書き込み権限ビットを有効にすると、そのファイルの読み取り専⽤ビットは無効になります。

• あるファイルの読み取り専⽤ビットが有効になっているときに、NFSクライアントがそのファイルの権限を調べようとすると、そのファイルの権限ビットはNFSクライアントには送信されず、代わりに書き込み権限ビットがマスクされた権限ビットがNFSクライアントに送信されます。

• ファイルの読み取り専⽤ビットが有効になっているときに、SMBクライアントがこの読み取り専⽤ビットを無効にすると、そのファイルに対する所有者の書き込み権限ビットが有効になります。

• 読み取り専⽤ビットが有効になっているファイルに書き込めるのは、rootのみです。

注 : ファイル権限の変更は、SMBクライアントではすぐに反映されますが、NFSクライアントが属性のキャッシュを有効にしている場合はNFSクライアントではすぐに反映されないことがあります。

72


共有パスコンポーネントのロックの処理に関するONTAPとWindowsの違いWindowsとは異なり、ONTAPでは、ファイルが開いているときにそのファイルのパスの各コンポーネントがロックされません。この動作はSMB共有パスにも影響します。

ONTAPではパスの各コンポーネントがロックされないため、開いているファイルまたは共有より上のパスコンポーネントの名前を変更できます。このため、特定のアプリケーションで問題が発⽣したり、SMB構成の共有パスが無効になったりする可能性があります。これにより、共有にアクセスできなくなる場合があります。

パスコンポーネントの名前変更で⽣じる問題を回避するには、ユーザまたはアプリケーションが重要なディレクトリの名前を変更できないようにするセキュリティ設定を適⽤します。

ロックに関する情報の表⺬有効になっているロックの種類とロックの状態、バイト範囲ロック、共有ロックモード、委譲ロック、および便宜的ロックの詳細、永続性ハンドルを使⽤してロックが開かれているかどうかなど、現在のファイルロックに関する情報を表⺬できます。


NFSv4またはNFSv4.1を使⽤して確⽴されたロックについては、クライアントIPアドレスを表⺬できません。

デフォルトでは、すべてのロックに関する情報が表⺬されます。コマンドパラメータを使⽤すると、特定のStorage Virtual Machine（SVM）のロックに関する情報を表⺬したり、他の条件によってコマンドの出⼒をフィルタリングしたりできます。

vserver locks showコマンドは、次の4種類のロックに関する情報を表⺬します。

• バイト範囲ロック。ファイルの⼀部のみをロックします。• 共有ロック。開いているファイルをロックします。• 便宜的ロック。SMBを使⽤してクライアント側キャッシュを制御します。• 委譲。NFSv4.xを使⽤してクライアント側キャッシュを制御します。

オプションのパラメータを指定すると、これらの各種のロックに関する重要な情報を確認できます。詳細については、コマンドのマニュアルページを参照してください。

⼿順

vserver locks showコマンドを使⽤して、ロックに関する情報を表⺬します。

例

次の例は、パス/vol1/file1のファイルに対するNFSv4ロックについての概要情報を表⺬します。共有ロックのアクセスモードはwrite-deny_noneであり、書き込み委譲でロックが許可されています。cluster1::> vserver locks show

Vserver: vs0Volume Object Path LIF Protocol Lock Type Client------- ------------------------- ----------- --------- ----------- -------vol1 /vol1/file1 lif1 nfsv4 share-level - Sharelock Mode: write-deny_none delegation - Delegation Type: write

次の例は、パス/data2/data2_2/intro.pptxのファイルに対するSMBロックについてのoplockおよび共有ロックの詳細情報を表⺬します。IPアドレスが10.3.1.3のクライアントに対して、共有ロックのアクセスモードをwrite-deny_noneとして、永続性ハンドルが許可されています。バッチのoplockレベルでoplockリースが許可されています。cluster1::> vserver locks show -instance -path /data2/data2_2/intro.pptx

Vserver: vs1 Volume: data2_2 Logical Interface: lif2 Object Path: /data2/data2_2/intro.pptx Lock UUID: 553cf484-7030-4998-88d3-1125adbba0b7 Lock Protocol: cifs

73


Lock Type: share-level Node Holding Lock State: node3 Lock State: granted Bytelock Starting Offset: - Number of Bytes Locked: - Bytelock is Mandatory: - Bytelock is Exclusive: - Bytelock is Superlock: - Bytelock is Soft: - Oplock Level: - Shared Lock Access Mode: write-deny_none Shared Lock is Soft: false Delegation Type: - Client Address: 10.3.1.3 SMB Open Type: durable SMB Connect State: connectedSMB Expiration Time (Secs): - SMB Open Group ID: 78a90c59d45ae211998100059a3c7a00a007f70da0f8ffffcd445b0300000000

Vserver: vs1 Volume: data2_2 Logical Interface: lif2 Object Path: /data2/data2_2/test.pptx Lock UUID: 302fd7b1-f7bf-47ae-9981-f0dcb6a224f9 Lock Protocol: cifs Lock Type: op-lock Node Holding Lock State: node3 Lock State: granted Bytelock Starting Offset: - Number of Bytes Locked: - Bytelock is Mandatory: - Bytelock is Exclusive: - Bytelock is Superlock: - Bytelock is Soft: - Oplock Level: batch Shared Lock Access Mode: - Shared Lock is Soft: - Delegation Type: - Client Address: 10.3.1.3 SMB Open Type: - SMB Connect State: connectedSMB Expiration Time (Secs): - SMB Open Group ID: 78a90c59d45ae211998100059a3c7a00a007f70da0f8ffffcd445b0300000000

ロックの解除ファイルロックが原因でクライアントがファイルにアクセスできなくなっている場合は、現在有効なロックの情報を表⺬して、特定のロックを解除することができます。ロックの解除が必要になるケースとしては、アプリケーションのデバッグなどが挙げられます。


vserver locks breakコマンドは、advanced以上の権限レベルでのみ使⽤できます。詳細については、コマンドのマニュアルページを参照してください。

⼿順

1. ロックを解除するために必要な情報を確認するには、vserver locks showコマンドを使⽤します。詳細については、コマンドのマニュアルページを参照してください。



ロックを解除するための指定項⽬⼊⼒するコマンド

SVM名、ボリューム名、LIF名、およびファイルパス

vserver locks break -vservervserver_name -volume volume_name -path path -lif lif

ロックID vserver locks break -lockid UUID


74


NFSでのFPolicyのfirst-readおよびfirst-writeフィルタの動作外部FPolicyサーバを使⽤してFPolicyが有効になっており、読み取り / 書き込み処理が監視対象イベントの場合、読み取り / 書き込み要求のトラフィックが多いとNFSクライアント側で応答時間が⻑くなります。NFSクライアントの場合、FPolicyでfirst-readフィルタとfirst-writeフィルタを使⽤すると、FPolicy通知の数が減り、パフォーマンスが向上します。

NFSでは、クライアントはファイルに対してI/Oを実⾏する際にそのファイルのハンドルを取得します。このハンドルは、サーバとクライアントのリブート後も有効のまますることができます。このため、クライアントはハンドルを⾃由にキャッシュして、再度取得することなくハンドルに対する要求を送信できます。通常のセッションでは、⼤量の読み取り / 書き込み要求がファイルサーバに送信されます。このすべての要求について通知が⽣成されると、次の問題が発⽣する可能性があります。

• 余計な通知処理のために負荷が増⼤し、応答時間が⻑くなる。• サーバに影響のない通知も含め、多数の通知がFPolicyサーバに送信される。

クライアントから特定のファイルに対する読み取り / 書き込み要求を初めて受信すると、キャッシュエントリが作成され、読み取り / 書き込みのカウンタが増分されます。この要求は初回読み取り / 書き込み処理とマーキングされ、FPolicyイベントが⽣成されます。NFSクライアント⽤のFPolicyフィルタを計画して作成する前に、FPolicyフィルタの基本的な仕組みを理解しておく必要があります。

• first-read：初回読み取りのクライアント要求をフィルタリングします。

このフィルタをNFSイベントに使⽤すると、-file-session-io-grouping-count設定と-file-session-io-grouping-duration設定によって、FPolicyが処理された初回読み取り要求が判別されます。

• first-write：初回書き込みのクライアント要求をフィルタリングします。

このフィルタをNFSイベントに使⽤すると、-file-session-io-grouping-count設定と-file-session-io-grouping-duration設定によって、FPolicyが処理された初回書き込み要求が判別されます。

次のオプションがNFSサーバのデータベースに追加されます。

file-session-io-grouping-count: Number of I/O Ops on a File to Be Clubbed and Considered as One Session for Event Generationfile-session-io-grouping-duration: Duration for Which I/O Ops on a File to Be Clubbed and Considered as One Session for Event Generation

NFSv4.1サーバ実装IDの変更NFSv4.1プロトコルには、サーバのドメイン、名前、および⽇付を記録したサーバ実装IDが含まれています。このサーバ実装IDのデフォルト値は変更することができます。デフォルト値を変更することは、たとえば、使⽤率の統計を収集したり、相互運⽤性の問題を解決したりする場合に役⽴つことがあります（詳細については、RFC 5661を参照）。

このタスクについて3つのオプションのデフォルト値は、次のとおりです。

表 40 :

オプションオプション名デフォルト値

NFSv4.1実装ID - ドメイン -v4.1-implementation-domain ---

NFSv4.1実装ID - 名前 -v4.1-implementation-name クラスタバージョンの名前

NFSv4.1実装ID - ⽇付 -v4.1-implementation-date クラスタバージョンの⽇付

75


⼿順



変更するNFSv4.1実装IDのオプション⼊⼒するコマンド

ドメイン vserver nfs modify -v4.1-implementation-domain domain

名前 vserver nfs modify -v4.1-implementation-name name

⽇付 vserver nfs modify -v4.1-implementation-date date


NFSv4 ACLの管理NFSv4 Access Control List（ACL;アクセス制御リスト）を有効化、無効化、設定、変更、および表⺬できます。

NFSv4 ACLを有効化する利点NFSv4 ACLを有効化すると多くの利点を得られます。

以下に、その利点を⺬します。

• ファイルやディレクトリへのユーザアクセスのより詳細な制御• NFSセキュリティの向上• CIFSとの相互運⽤性の向上• ユーザあたりの最⼤NFSグループ数（16）の解除

NFSv4 ACLの仕組みNFSv4 ACLを使⽤しているクライアントは、システム上のファイルとディレクトリにACLを設定し、そのACLを表⺬することができます。ACLが設定されているディレクトリ内にファイルやサブディレクトリを新しく作成すると、新しいファイルやサブディレクトリには、そのACL内のACEのうち、該当する継承フラグが指定されたACLエントリ（ACE）がすべて継承されます。

ファイルやディレクトリがNFSv4要求によって作成される場合、作成されるファイルやディレクトリのACLは、ファイル作成要求にACLが含まれているか、または標準のUNIXファイルアクセス権限のみが含まれているか、および親ディレクトリにACLが設定されているかどうかによって異なります。

• 要求にACLが含まれる場合は、そのACLが使⽤されます。• 要求に標準のUNIXファイルアクセス権限のみが含まれ、親ディレクトリにACLがある場合、親ディ

レクトリのACLのACEに該当する継承フラグが設定されていれば、それらのACEが新しいファイルやディレクトリに継承されます。

注 : 親のACLは、-v4.0-aclがoffの場合でも継承されます。• 要求に標準のUNIXファイルアクセス権限のみが含まれ、親ディレクトリにACLがない場合は、クラ

イアントのファイルモードを使⽤して標準のUNIXファイルアクセス権限が設定されます。• 要求に標準のUNIXファイルアクセス権限のみが含まれ、親ディレクトリに継承できないACLがある

場合は、モードビットのみを使⽤して新しいオブジェクトが作成されます。

注 : vserver nfsまたはvserver export-policy ruleファミリーのコマンドで-chown-modeパラメータがrestrictedに設定されている場合は、NFSv4 ACLで設定されたディスクの権限でroot以外のユーザにファイル所有権の変更が許可されていても、スーパーユーザしかファイル所有権を変更できません。詳細については、関連するマニュアルページを参照してください。

76


NFSv4 ACLの変更の有効化と無効化ONTAPがACLが設定されたファイルまたはディレクトリに対するchmodコマンドを受信した場合、デフォルトではACLは保持され、モードビットの変更が反映されます。ACLを破棄するには、-v4-acl-preserveパラメータを無効にしてこの動作を変更します。


unifiedセキュリティ形式を使⽤している場合、このパラメータは、クライアントがファイルまたはディレクトリに対するchmod、chgroup、またはchownコマンドを送信した際にNTFSファイルアクセス権が保持されるか破棄されるかの指定も⾏います。

このパラメータのデフォルト設定は有効になっています。

⼿順




既存のNFSv4 ACLの保持と変更を有効にする（デフォルト）

vserver nfs modify -vservervserver_name -v4-acl-preserveenabled

保持を無効にして、モードビットの変更時にNFSv4 ACLを破棄する

vserver nfs modify -vservervserver_name -v4-acl-preservedisabled


ONTAPでのNFSv4 ACLを使⽤したファイル削除の可否の判別⽅法ファイルを削除できるかどうかを判別するために、ONTAPは、そのファイルのDELETEビットと、ファイルが含まれるディレクトリのDELETE_CHILDビットの組み合わせを使⽤します。詳細については、NFS4.1 RFC 5661を参照してください。

NFSv4 ACLの有効化と無効化NFSv4 ACLを有効または無効にするには、-v4.0-aclオプションと-v4.1-aclオプションを変更します。これらのオプションはデフォルトで無効になっています。


-v4.0-aclオプションまたは-v4.1-aclオプションは、NFSv4 ACLの設定と表⺬を制御しますが、アクセスチェックでのNFSv4 ACLの適⽤は制御しません。

⼿順


状況操作

NFSv4.0 ACLを有効にする次のコマンドを⼊⼒します。vserver nfsmodify -vserver vserver_name -v4.0-acl enabled

NFSv4.0 ACLを無効にする次のコマンドを⼊⼒します。vserver nfsmodify -vserver vserver_name -v4.0-acl disabled

77


状況操作

NFSv4.1 ACLを有効にする次のコマンドを⼊⼒します。 vserver nfsmodify -vserver vserver_name -v4.1-acl enabled

NFSv4.1 ACLを無効にする次のコマンドを⼊⼒します。 vserver nfsmodify -vserver vserver_name -v4.1-acl disabled

NFSv4 ACLの最⼤ACE数の変更パラメータ-v4-acl-max-acesを編集して、各NFSv4 ACLに追加できるACEの最⼤数を変更できます。デフォルトでは、ACLあたりのACEの数は400個に制限されています。この制限を引き上げることで、400個を超えるACEを含むACLのデータを、ONTAPを実⾏するストレージシステムに移⾏できるようになります。


ただし、この制限値を増やすと、NFSv4 ACLを含むファイルにアクセスするクライアントのパフォーマンスが低下することがあります。

⼿順


2. NFSv4 ACLのACEの最⼤数を変更するには、次のコマンドを⼊⼒します。 vserver nfs modify -v4-acl-max-aces max_ace_limit

max_ace_limit値の有効範囲は192∼1024です。3. admin権限レベルに戻ります。set -privilege admin

NFSv4ファイル委譲の管理NFSv4ファイル委譲を有効または無効にしたり、NFSv4ファイル委譲統計を取得したりできます。

関連概念ファイルロックの管理（71ページ）

NFSv4読み取りファイル委譲の有効化と無効化NFSv4読み取りファイル委譲を有効または無効にするには、-v4.0-read-delegationオプションまたは-v4.1-read-delegationオプションを変更します。読み取りファイル委譲を有効にすると、ファイルのオープンとクローズに伴うメッセージのオーバーヘッドを⼤幅に軽減できます。


デフォルトでは、読み取りファイル委譲は無効です。

読み取りファイル委譲を有効にした場合の⽋点は、サーバのリブートまたはリスタート後、クライアントのリブートまたはリスタート後、あるいはネットワークを分割したあとに、サーバおよびそのクライアントが委譲をリカバリする必要があることです。

⼿順


状況操作

NFSv4読み取りファイル委譲を有効にする次のコマンドを⼊⼒します。vserver nfsmodify -vserver vserver_name -v4.0-read-delegation enabled

78


状況操作

NFSv4.1読み取りファイル委譲を有効にする次のコマンドを⼊⼒します。 vserver nfsmodify -vserver vserver_name -v4.1-read-delegation enabled

NFSv4読み取りファイル委譲を無効にする次のコマンドを⼊⼒します。 vserver nfsmodify -vserver vserver_name -v4.0-read-delegation disabled

NFSv4.1読み取りファイル委譲を無効にする次のコマンドを⼊⼒します。 vserver nfsmodify -vserver vserver_name -v4.1-read-delegation disabled

タスクの結果ファイル委譲オプションへの変更はすぐに反映されます。NFSのリブートやリスタートは必要ありません。

NFSv4書き込みファイル委譲の有効化と無効化書き込みファイル委譲を有効または無効にするには、-v4.0-write-delegationオプションまたは-v4.1-write-delegationオプションを変更します。書き込みファイル委譲を有効にすると、ファイルのオープンとクローズだけでなく、ファイルおよびレコードのロックに関連するメッセージのオーバーヘッドを⼤幅に軽減できます。


デフォルトでは、書き込みファイル委譲は無効です。

書き込みファイル委譲を有効にした場合の⽋点は、サーバのリブートまたはリスタート後、クライアントのリブートまたはリスタート後、あるいはネットワークを分割したあとに、サーバおよびそのクライアントが委譲をリカバリするための追加タスクを実⾏する必要があることです。

⼿順


状況操作

NFSv4書き込みファイル委譲を有効にする次のコマンドを⼊⼒します。vserver nfsmodify -vserver vserver_name -v4.0-write-delegation enabled

NFSv4.1書き込みファイル委譲を有効にする次のコマンドを⼊⼒します。 vserver nfsmodify -vserver vserver_name -v4.1-write-delegation enabled

NFSv4書き込みファイル委譲を無効にする次のコマンドを⼊⼒します。vserver nfsmodify -vserver vserver_name -v4.0-write-delegation disabled

NFSv4.1書き込みファイル委譲を無効にする次のコマンドを⼊⼒します。 vserver nfsmodify -vserver vserver_name -v4.1-write-delegation disabled

タスクの結果ファイル委譲オプションへの変更はすぐに反映されます。NFSのリブートやリスタートは必要ありません。

79


NFSv4ファイルおよびレコードロックの設定NFSv4のファイルおよびレコードロックを設定するには、ロックリース期間および猶予期間を指定します。

関連概念ファイルロックの管理（71ページ）

NFSv4ファイルおよびレコードロックについてNFSv4クライアントの場合、ONTAPはNFSv4のファイルロックメカニズムをサポートしているため、すべてのファイルのロック状態がリースベースモデルで保持されます。

NFSv4ロックリース期間の指定NFSv4ロックリース期間（ONTAPがクライアントに解除不能なロックを付与する期間）を指定するには、-v4-lease-secondsオプションを変更します。リース期間が短いほどサーバのリカバリにかかる時間は短くなりますが、多数のクライアントに対処するサーバについてはリース期間を⻑くすると効果的です。


デフォルトでは、このオプションは30に設定されています。このオプションの最⼩値は10です。このオプションの最⼤値はロック猶予期間の値です。ロック猶予期間はlocking.lease_secondsオプションで設定できます。

⼿順


2. 次のコマンドを⼊⼒します。vserver nfs modify -vserver vserver_name -v4-lease-seconds number_of_seconds


NFSv4ロック猶予期間の指定NFSv4ロック猶予期間（サーバリカバリ中に、クライアントがロック状態になるようにONTAPに再要求する期間）を指定するには、-v4-grace-secondsオプションを変更します。


デフォルトでは、このオプションは45に設定されています。

⼿順


2. 次のコマンドを⼊⼒します。vserver nfs modify -vserver vserver_name -v4-grace-seconds number_of_seconds


NFSv4リファーラルの仕組みNFSv4リファーラルを有効にすると、ONTAPはNFSv4クライアントに「SVM内」リファーラルを返します。SVM内リファーラルでは、NFSv4要求を受け取ったクラスタノードが、NFSv4クライアントにStorage Virtual Machine（SVM）の別の論理インターフェイス（LIF）を紹介します。

NFSv4クライアントは、それ以降、ターゲットLIFでリファーラルを受け取ったパスにアクセスする必要があります。元のクラスタノードがこのようなリファーラルを返すのは、データボリュームが存在

80


するクラスタノード上のSVMにLIFがあるため、クライアントがデータにより⾼速にアクセスでき、余分なクラスタ通信を回避できると判断した場合です。

NFSv4リファーラルの有効化と無効化Storage Virtual Machine（SVM）でNFSv4リファーラルを有効にするには、-v4-fsid-changeオプションと、-v4.0-referralsオプションまたは-v4.1-referralsオプションを有効にします。NFSV4リファーラルを有効にすると、この機能をサポートするNFSv4クライアントのデータへのアクセススピードを向上できます。

始める前に

NFSリファーラルを有効にする場合は、まずParallel NFSを無効にする必要があります。両⽅を同時に有効にすることはできません。

⼿順




NFSv4リファーラルを有効にする vserver nfs modify -vservervserver_name -v4-fsid-changeenabled vserver nfs modify -vservervserver_name -v4.0-referralsenabled

NFSv4リファーラルを無効にする vserver nfs modify -vservervserver_name -v4.0-referralsdisabled

NFSv4.1リファーラルを有効にする vserver nfs modify -vservervserver_name -v4-fsid-changeenabled vserver nfs modify -vservervserver_name -v4.1-referralsenabled

NFSv4.1リファーラルを無効にする vserver nfs modify -vservervserver_name -v4.1-referralsdisabled


関連タスクpNFSの有効化と無効化（51ページ）

NFS統計の表⺬パフォーマンスを監視して問題を診断するために、ストレージシステム上のStorage VirtualMachine（SVM）のNFS統計を表⺬することができます。

⼿順

1. statistics catalog object showコマンドを使⽤して、データを表⺬できるNFSオブジェクトを特定します。statistics catalog object show -object nfs*

statisticsコマンドの詳細については、パフォーマンス管理パワーガイドを参照してください。

81


2. statistics startコマンドおよびオプションのstatistics stopコマンドを使⽤して、1つ以上のオブジェクトからサンプルデータを収集します。

3. statistics showコマンドを使⽤してサンプルデータを表⺬します。

例：NFSv3のパフォーマンスの監視

以下に、NFSv3プロトコルのパフォーマンスデータを表⺬する例を⺬します。

次のコマンドは、新しいサンプルのデータ収集を開始します。

vs1::> statistics start -object nfsv3 -sample-id nfs_sample

次のコマンドは、正常に⾏われた読み込み要求および書き込み要求の数と読み込み要求と書き込み要求の総数を⽐較するカウンタを指定して、サンプルからデータを表⺬します。

vs1::> statistics show -sample-id nfs_sample -counter read_total|write_total|read_success|write_success

Object: nfsv3Instance: vs1Start-time: 2/11/2013 15:38:29End-time: 2/11/2013 15:38:41Cluster: cluster1

Counter Value --------------------------- --------------------------- read_success 40042 read_total 40042 write_success 1492052 write_total 1492052

関連情報パフォーマンス監視エクスプレスガイド

DNS統計の表⺬パフォーマンスを監視し、問題を診断するために、ストレージシステム上のStorage VirtualMachine（SVM）のDNS統計を表⺬することができます。

⼿順

1. statistics catalog object showコマンドを使⽤して、データを表⺬できるDNSオブジェクトを特定します。statistics catalog object show -object external_service_op*

statisticsコマンドの詳細については、パフォーマンス管理パワーガイドを参照してください。2. statistics startコマンドとstatistics stopコマンドを使⽤して、1つ以上のオブジェクト

からサンプルデータを収集します。3. statistics showコマンドを使⽤してサンプルデータを表⺬します。

DNS統計の監視

次の例は、DNSクエリのパフォーマンスデータを表⺬します。次のコマンドは、新しいサンプルのデータ収集を開始します。

vs1::*> statistics start -object external_service_op -sample-id dns_sample1vs1::*> statistics start -object external_service_op_error -sample-id dns_sample2

次のコマンドは、送信したDNSクエリの数と、受信した / 失敗した / タイムアウトになったDNSクエリの数を⽐較するカウンタを指定して、サンプルからデータを表⺬します。

82



vs1::*> statistics show -sample-id dns_sample1 -counter num_requests_sent|num_responses_received|num_successful_responses|num_timeouts|num_request_failures|num_not_found_responses Object: external_service_opInstance: vs1:DNS:Query:10.72.219.109Start-time: 3/8/2016 11:15:21End-time: 3/8/2016 11:16:52Elapsed-time: 91sScope: vs1 Counter Value -------------------------------- -------------------------------- num_not_found_responses 0 num_request_failures 0 num_requests_sent 1 num_responses_received 1 num_successful_responses 1 num_timeouts 06 entries were displayed.

次のコマンドは、特定のサーバのDNSクエリに対して特定のエラーを受信した回数を⺬すカウンタを指定して、サンプルからデータを表⺬します。

vs1::*> statistics show -sample-id dns_sample2 -counter server_ip_address|error_string|count Object: external_service_op_errorInstance: vs1:DNS:Query:NXDOMAIN:10.72.219.109Start-time: 3/8/2016 11:23:21End-time: 3/8/2016 11:24:25Elapsed-time: 64sScope: vs1 Counter Value -------------------------------- -------------------------------- count 1 error_string NXDOMAIN server_ip_address 10.72.219.1093 entries were displayed.


NIS統計の表⺬パフォーマンスを監視して問題を診断するために、ストレージシステム上のStorage VirtualMachine（SVM）のNIS統計を表⺬することができます。

⼿順

1. statistics catalog object showコマンドを使⽤して、データを表⺬できるNISオブジェクトを特定します。statistics catalog object show -object external_service_op*

statisticsコマンドの詳細については、パフォーマンス管理パワーガイドを参照してください。2. statistics startコマンドとstatistics stopコマンドを使⽤して、1つ以上のオブジェクト

からサンプルデータを収集します。3. statistics showコマンドを使⽤してサンプルデータを表⺬します。

NIS統計の監視

次の例では、NISクエリのパフォーマンスデータを表⺬します。次のコマンドは、新しいサンプルのデータ収集を開始します。

vs1::*> statistics start -object external_service_op -sample-id nis_sample1vs1::*> statistics start -object external_service_op_error -sample-id nis_sample2

次のコマンドは、送信したNISクエリの数と、受信した / 失敗した / タイムアウトになったNISクエリの数を⽐較するカウンタを指定して、サンプルからデータを表⺬します。

83



vs1::*> statistics show -sample-id nis_sample1 -counter instance|num_requests_sent|num_responses_received|num_successful_responses|num_timeouts|num_request_failures|num_not_found_responses Object: external_service_opInstance: vs1:NIS:Query:10.227.13.221Start-time: 3/8/2016 11:27:39End-time: 3/8/2016 11:27:56Elapsed-time: 17sScope: vs1 Counter Value -------------------------------- -------------------------------- num_not_found_responses 0 num_request_failures 1 num_requests_sent 2 num_responses_received 1 num_successful_responses 1 num_timeouts 06 entries were displayed.

次のコマンドは、特定のサーバのNISクエリに対して特定のエラーを受信した回数を⺬すカウンタを指定して、サンプルからデータを表⺬します。

vs1::*> statistics show -sample-id nis_sample2 -counter server_ip_address|error_string|count Object: external_service_op_errorInstance: vs1:NIS:Query:YP_NOTFOUND:10.227.13.221Start-time: 3/8/2016 11:33:05End-time: 3/8/2016 11:33:10Elapsed-time: 5sScope: vs1 Counter Value -------------------------------- -------------------------------- count 1 error_string YP_NOTFOUND server_ip_address 10.227.13.2213 entries were displayed.


VMware vStorage over NFSのサポートONTAPは、NFS環境で特定のVMware vStorage APIs for Array Integration（VAAI）機能をサポートしています。

サポートされる機能

次の機能がサポートされます。

• コピーオフロード

ESXiホストで、仮想マシンや仮想マシンディスク（VMDK）のコピーを、ホストを介さずにソースとデスティネーションのデータストア間で直接⾏うことができます。これにより、ESXiホストのCPUサイクルやネットワーク帯域幅を節約できます。ソースボリュームがスパースボリュームの場合、コピーオフロードでスペース効率が保持されます。

• スペースリザベーション

スペースをリザーブしてVMDKファイル⽤のストレージスペースを確保します。

制限事項

NFSでVMware vStorageを使⽤する際には、次の制限事項があります。

• 次の場合にコピーオフロード処理が失敗することがあります。

• ソースまたはデスティネーションのボリュームでwaflironを実⾏しているとき（ボリュームが⼀時的にオフラインになるため）。

• ソースボリュームまたはデスティネーションボリュームを移動しているとき。

84



• ソースまたはデスティネーションのLIFを移動しているとき。• テイクオーバーまたはギブバック処理を実⾏しているとき。• スイッチオーバーまたはスイッチバック処理を実⾏しているとき。

• 次のシナリオでは、ファイルハンドル形式の違いによってサーバ側のコピーが失敗する可能性があります。

qtreeのエクスポートを現在⾏っているか、以前⾏っていたSVMから、これまでにqtreeをエクスポートしたことがないSVMへのデータのコピーを試みます。上記の制限を回避するために、コピー先SVMで少なくとも1つのqtreeをエクスポートすることができます。

VMware vStorage over NFSの有効化と無効化Storage Virtual Machine（SVM）でVMware vStorage over NFSのサポートを有効または無効にするには、vserver nfs modifyコマンドを使⽤します。


デフォルトでは、VMware vStorage over NFSのサポートは無効になっています。

⼿順

1. 次のコマンドを⼊⼒して、SVMでの現在のvStorageのサポートステータスを表⺬します。vservernfs show -vserver vserver_name -instance



VMware vStorageのサポートを有効にする vserver nfs modify -vservervserver_name -vstorage enabled

VMware vStorageのサポートを無効にする vserver nfs modify -vservervserver_name -vstorage disabled

次のタスク

この機能を使⽤する前に、VMware VAAIのNFSプラグインをインストールする必要があります。詳細については、Installing the Fujitsu NFS Plug-in for VMware VAAIを参照してください。

関連情報Fujitsu NFS Plug-in 1.1.2 for VMware VAAI のインストール

rquotaのサポートの有効化と無効化ONTAPは、remote quota protocolバージョン1（rquota v1）をサポートしています。rquotaプロトコルを使⽤すると、NFSクライアントは、リモートマシンからユーザのクォータ情報を取得できます。Storage Virtual Machine（SVM）でrquotaを有効にするには、vserver nfs modifyコマンドを使⽤します。


デフォルトでは、rquotaは無効です。

⼿順


85




SVMでrquotaのサポートを有効にする vserver nfs modify -vservervserver_name -rquota enable

SVMでrquotaのサポートを無効にする vserver nfs modify -vservervserver_name -rquota disable

クォータの詳細については、論理ストレージ管理ガイドを参照してください。


TCP転送サイズの変更によるNFSv3 / NFSv4パフォーマンスの改善TCP最⼤転送サイズを変更することで、⾼レイテンシのネットワーク経由でストレージシステムに接続するNFSv3 / NFSv4クライアントのパフォーマンスを改善できます。

レイテンシが10ミリ秒を超えるワイドエリアネットワーク（WAN）またはメトロエリアネットワーク（MAN）などの⾼レイテンシネットワークを介してクライアントがストレージシステムにアクセスしている場合は、TCP最⼤転送サイズを変更することで、ネットワーク接続のパフォーマンスを改善できます。ローカルエリアネットワーク（LAN）などの低レイテンシネットワークでストレージシステムにアクセスするクライアントは、これらのパラメータを変更してもパフォーマンスの向上はあまり期待できません。スループットの向上がレイテンシの影響を上回らない場合は、これらのパラメータを使⽤しないでください。

ストレージ環境がこれらのパラメータの変更の恩恵を受けるかどうかを判断するには、まずパフォーマンスの低いNFSクライアントで総合的なパフォーマンス評価を⾏ってください。低パフォーマンスの原因が、クライアント側の過剰なラウンドトリップによるレイテンシとデータ量の少ない要求であるかどうかを確認します。このような条件の場合、クライアントとサーバは、接続を介して送信されるデータ量の少ない要求と応答を待機することにそのデューティサイクルの⼤部分を費やすので、利⽤可能な帯域幅を完全に使⽤することができません。

NFSv3とNFSv4の要求サイズを⼤きくすることにより、利⽤可能な帯域幅をクライアントとサーバがより効果的に使⽤できるようになり、単位時間当たりの転送データ量も増えるため、接続の全体的な効率が向上します。

ストレージシステムとクライアントの間で設定が異なる場合があることに留意してください。ストレージシステムとクライアントでサポートされる転送処理の最⼤サイズは1MBです。ただし、ストレージシステムで最⼤転送サイズを1MBに設定しても、クライアントがサポートするサイズが64KBであると、マウントの転送サイズは64KB以下に制限されます。

これらのパラメータを変更する前に注意しなければならないのは、変更した結果、データ量の多い応答を構築して送信するのに時間がかかり、ストレージシステムでのメモリ消費が増えるということです。ストレージシステムへの⾼レイテンシ接続が増えるほど、メモリ消費量も増加します。メモリ容量が多いストレージシステムでは、パラメータを変更しても影響はほとんどありません。メモリ容量が少ないストレージシステムでは、パフォーマンスが著しく低下する可能性があります。

これらのパラメータをうまく調整できるかどうかは、クラスタの複数のノードからデータを取得できるかどうかによります。クラスタネットワークが継承するレイテンシによって、応答の全体的なレイテンシが増加する可能性があります。これらのパラメータを使⽤するときに、全体的なレイテンシが増⼤する傾向があります。そのため、レイテンシの影響を受けやすいワークロードは悪影響を受ける可能性があります。

NFSv3とNFSv4のTCP最⼤転送サイズの変更NFSv3およびNFSv4.xプロトコルを使⽤するTCP接続の最⼤転送サイズを設定するには、-tcp-max-xfer-sizeオプションを変更します。

86



このタスクについてこのオプションはStorage Virtual Machine（SVM）ごとに変更できます。

v3-tcp-max-read-sizeオプションとv3-tcp-max-write-sizeオプションが廃⽌されたため、代わりに、-tcp-max-xfer-sizeオプションを使⽤する必要があります。

⼿順




NFSv3またはNFSv4のTCP最⼤転送サイズを変更する

vserver nfs modify -vservervserver_name -tcp-max-xfer-sizeinteger_max_xfer_size

表 41 :

オプション範囲デフォルト

-tcp-max-xfer-size 8,192∼1,048,576バイト 65,536バイト

注 : 最⼤転送サイズには、4KB（4,096バイト）の倍数を⼊⼒する必要があります。要求が要件を満たしていない場合は、パフォーマンスが低下します。

3. vserver nfs show -fields tcp-max-xfer-sizeコマンドを使⽤して変更を確認します。4. 静的マウントを使⽤しているクライアントがある場合、変更したパラメータのサイズを有効にする

には、いったんアンマウントしてから再度マウントします。

例

次のコマンドは、vs1というSVMでNFSv3とNFSv4.xのTCP最⼤転送サイズを1,048,576バイトに設定します。

vs1::> vserver nfs modify -vserver vs1 -tcp-max-xfer-size 1048576

NFSユーザに許可するグループID数の設定ONTAPは、Kerberos（RPCSEC_GSS）認証を使⽤してNFSユーザクレデンシャルを処理する場合、デフォルトで最⼤32個のグループIDをサポートします。AUTH_SYS認証を使⽤する場合は、RFC 5331で定義されているとおり、グループIDのデフォルトの最⼤数は16個です。デフォルト数を超えるグループに属しているユーザがいる場合は、この最⼤数を1,024まで増やすことができます。


デフォルト数を超えるグループIDがクレデンシャルに設定されている場合、残りのグループIDは切り捨てられ、そのユーザがストレージシステムのファイルへのアクセスを試みるとエラーが発⽣する可能性があります。SVMあたりの最⼤グループ数は、環境内の最⼤グループ数と同じ数に設定する必要があります。

次の表に、グループIDの最⼤数を決定するvserver nfs modifyコマンドの2つのパラメータと3つの設定例を⺬します。

87


表 42 :

パラメータ設定設定される最⼤グループID数

-extended-groups-limit

-auth-sys-extended-groups

32

disabled

これがデフォルトの設定です。

RPCSEC_GSS：32

AUTH_SYS：16



256

disabled

RPCSEC_GSS：256

AUTH_SYS：16



512

enabled

RPCSEC_GSS：512

AUTH_SYS：512

注 : ⼀部の古いNFSクライアントはAUTH_SYSの拡張されたグループに対応していない可能性があります。

⼿順



許可される最⼤補助グループ数の設定対象⼊⼒するコマンド

RPCSEC_GSSのみ（AUTH_SYSはデフォルト値16のまま）

vserver nfs modify -vservervserver_name -extended-groups-limit{32-1024} -auth-sys-extended-groupsdisabled

RPCSEC_GSSとAUTH_SYSの両⽅ vserver nfs modify -vservervserver_name -extended-groups-limit{32-1024} -auth-sys-extended-groupsenabled

3. -extended-groups-limitの値を確認し、拡張されたグループがAUTH_SYSで使⽤されていることを確認します。vserver nfs show -vserver vserver_name -fields auth-sys-extended-groups,extended-groups-limit


例

次の例は、拡張されたグループをAUTH_SYS認証で有効にし、AUTH_SYS認証とRPCSEC_GSS認証の両⽅で拡張グループの最⼤数を512に設定します。これらの変更は、vs1というSVMにアクセスするクライアントに対してのみ適⽤されます。

vs1::> set -privilege advancedWarning: These advanced commands are potentially dangerous; use them only when directed to do so by Fujitsu personnel.Do you want to continue? {y|n}: y

vs1::*> vserver nfs modify -vserver vs1 -auth-sys-extended-groups enabled -extended-groups-limit 512

vs1::*> vserver nfs show -vserver vs1 -fields auth-sys-extended-groups,extended-groups-limitvserver auth-sys-extended-groups extended-groups-limit------- ------------------------ ---------------------vs1 enabled 512

88


vs1::*> set -privilege admin

NTFSセキュリティ形式のデータへのrootユーザアクセスの制御NTFSセキュリティ形式のデータへのNFSクライアントアクセスを許可したり、NTFSクライアントによるNFSセキュリティ形式データへのアクセスを許可したりするようにONTAPを設定することができます。NFSデータストアでNTFSセキュリティ形式を使⽤する際には、rootユーザによるアクセスの処理⽅法を決定し、それに応じてStorage Virtual Machine（SVM）を設定する必要があります。

このタスクについてrootユーザがNTFSセキュリティ形式のデータにアクセスする際には、次の2つのオプションがあります。

• その他すべてのNFSユーザと同様にrootユーザをWindowsユーザにマッピングし、NTFS ACLに従ってアクセスを管理する。

• NTFS ACLを無視してフルアクセスをrootに対して提供する。

⼿順



rootユーザへの対処⽅法. ⼊⼒するコマンド

Windowsユーザへのマッピング vserver nfs modify -vservervserver_name -ignore-nt-acl-for-root disabled

NTFS ACLチェックのバイパス vserver nfs modify -vservervserver_name -ignore-nt-acl-for-root enabled

このパラメータはデフォルトで無効になっています。

このパラメータが有効になっていてもrootユーザに対するネームマッピングが存在しない場合、ONTAPはデフォルトのSMB管理者のクレデンシャルを監査に使⽤します。


89

| 付録：サポートされるNFSのバージョンとクライアント |

付録：サポートされるNFSのバージョンとクライアント

ネットワークでNFSを使⽤する前に、ONTAPでサポートされるNFSのバージョンとクライアントを確認しておく必要があります。

ONTAPでサポートされるNFSプロトコルのメジャーバージョンとマイナーバージョンは以下のとおりです。

• NFSv3• NFSv4.0• NFSv4.1• NFSv4.2• pNFS

ONTAPでサポートされるNFSクライアントに関する最新情報については、サポート組み合わせ表を参照してください。サポート組み合わせ表については、富⼠通サポートにお問い合わせください。

ONTAPでサポートされるNFSv4.0の機能ONTAPは、セキュリティメカニズムSPKM3とLIPKEYを除くNFSv4.0の必須機能をすべてサポートしています。

次のNFSv4の機能がサポートされます。

COMPOUND

クライアントは1回のRemote Procedure Call（RPC;リモートプロシージャコール）要求で複数のファイル操作を要求できます。

ファイル委譲

サーバは⼀部の種類のクライアントにファイル制御を委任して読み取り / 書き込みアクセスを許可できます。

Pseudo-fs

NFSv4サーバでストレージシステムのマウントポイントの決定に使⽤します。NFSv4にはマウントプロトコルはありません。

ロック

リースベースです。NFSv4には独⽴したNetwork Lock Manager（NLM;ネットワークロックマネージャ）またはNetwork Status Monitor（NSM;ネットワークステータスモニタ）プロトコルはありません。

NFSv4.0プロトコルの詳細については、RFC 3530を参照してください。

関連概念NFSv4ファイル委譲の管理（78ページ）ファイルロックの管理（71ページ）

関連タスクNFSv4ファイルおよびレコードロックの設定（80ページ）

ONTAPでのNFSv4のサポートの制限ONTAPでのNFSv4のサポートにはいくつかの制限があることに注意してください。

• 委譲機能はすべてのクライアントタイプによってサポートされているわけではありません。• すべてのファイルハンドルは永続的です。サーバは揮発性のファイルハンドルを配布しません。

90


• 移⾏およびレプリケーションはサポートされません。• NFSv4クライアントは、読み取り専⽤負荷共有ミラーではサポートされていません。

ONTAPは、NFSv4クライアントを直接読み取りおよび書き込みアクセス⽤負荷共有ミラーのソースにルーティングします。

• 名前付き属性はサポートされません。• 次の属性を除くすべての推奨属性がサポートされています。

• archive

• hidden

• homogeneous

• mimetype

• quota_avail_hard

• quota_avail_soft

• quota_used

• system

• time_backup

注 : ONTAPはquota*属性をサポートしませんが、RQUOTA側のバンドプロトコルを通じてユーザクォータとグループクォータをサポートします。

ONTAPでのNFSv4.1のサポートONTAP 9.8以降、NFSv4.1が有効になっている場合はデフォルトでnconnect機能を使⽤できます。

以前のNFSクライアント実装は、1つのマウントでTCP接続を1つしか使⽤しません。ONTAPでは、単⼀のTCP接続はIOPSの増加時にボトルネックになることがあります。⼀⽅nconnect対応クライアントは、1つのNFSマウントに複数のTCP接続（最⼤16個）を関連付けることができます。ファイル操作が複数のTCP接続にラウンドロビン⽅式で多重化されるため、同じネットワーク帯域幅でより⾼いスループットが実現します。nconnectは、NFSv3およびNFSv4.1のマウントでのみ推奨されます。

お使いのクライアントバージョンでnconnectがサポートされているかどうかを確認するには、NFSクライアントのドキュメントを参照してください。

デフォルトではNFSv4.1は無効になっています。有効にするには、Storage Virtual Machine（SVM）にNFSサーバを作成するときに-v4.1オプションをenabledに設定します。

ONTAPは、NFSv4.1のディレクトリレベルとファイルレベルの委譲をサポートしていません。

関連タスクNFSv4.1の有効化と無効化（50ページ）

ONTAPでのNFSv4.2のサポートONTAP 9.8以降では、NFSv4.2プロトコルがサポートされており、NFSv4.2クライアントのアクセスが許可されます。

デフォルトではNFSv4.2は無効になっています。v4.2を有効にするには、Storage VirtualMachine（SVM）にNFSサーバを作成するときに-v4.1オプションをenabledに設定します。NFSv4.1を有効にすると、クライアントはv4.2としてマウントした状態でNFSv4.1の機能を使⽤することができます。

サポートされるNFSv4.2のオプション機能は次のとおりです。

• ONTAP 9.9.1以降でNFSv4.2が有効になっている場合は、強制アクセス制御（MAC: Mandatory AccessControl）ラベル付きNFSがサポートされます。

• NFSv4.2のその他のオプション機能は、ONTAPの今後のリリースで追加される予定です。

91


NFSv4.2セキュリティラベルの有効化ONTAP 9.9.1以降では、NFSv4.2を有効にしたあとにNFSセキュリティラベルを有効にできます。デフォルトでは無効になっています。


NFSv4.2セキュリティラベルを使⽤するONTAP NFSサーバは、強制アクセス制御（MAC: MandatoryAccess Control）に対応するため、クライアントから送信されたsec_label属性を保存および取得します。

詳細については、RFC7240を参照してください。

注 : 現在、NFSv4.2セキュリティラベルはNDMPダンプ処理ではサポートされていません。ファイルまたはディレクトリでセキュリティラベルが検出されると、ダンプは失敗します。

⼿順

1. NFSv4.2が有効になっていることを確認します。vserver nfs show -vserver svm_name

2. 権限の設定をadvancedに変更します。set -privilege advanced

3. セキュリティラベルを有効にします。vserver nfs modify -vserver svm_name -v4.2-seclabel enabled

ONTAPでのParallel NFSのサポートONTAPは、Parallel NFS（pNFS）をサポートします。pNFSプロトコルは、クラスタの複数のノードに分散されたファイルセットのデータにクライアントが直接アクセスできるようにして、パフォーマンスを向上します。この機能により、クライアントはボリュームへの最適なパスを⾒つけることができます。

関連タスクpNFSの有効化と無効化（51ページ）

ハードマウントの使⽤マウントの問題をトラブルシューティングする場合、正しい種類のマウントを使⽤していることを確認します。NFSは2つのマウントタイプをサポートしています。ソフトマウントとハードマウントです。信頼性を向上させるために、ハードマウントのみを使⽤してください。

ソフトマウントは使⽤しないでください（特に、NFSタイムアウトが頻繁に発⽣する場合）。タイムアウトによって競合状態が発⽣し、データが破損する可能性があります。

92

https://tools.ietf.org/html/rfc7204

付録：NFSおよびSMBのファイルとディレクトリの命名規則について

ファイルとディレクトリの命名規則は、ONTAPクラスタとクライアントの⾔語設定に加え、ネットワーククライアントのオペレーティングシステムとファイル共有プロトコルによって異なります。

オペレーティングシステムとそのファイル共有のプロトコルの種類によって、次の要素が決定します。

• ファイル名に使⽤できる⽂字• ファイル名での⼤⽂字と⼩⽂字の区別

ファイル、ディレクトリ、qtreeの名前でマルチバイト⽂字がサポートされるかどうかは、ONTAPのリリースによって異なります。

ファイル名またはディレクトリ名に使⽤できる⽂字異なるオペレーティングシステムのクライアントからファイルやディレクトリにアクセスする場合は、どちらのオペレーティングシステムでも有効な⽂字を使⽤します。

たとえば、UNIXを使⽤してファイルやディレクトリを作成する場合は、ファイル名やディレクトリ名にコロン（:）を使⽤しないでください。コロンは、MS-DOSファイル名やディレクトリ名では無効な⽂字となります。⽂字の制約はオペレーティングシステムごとに異なります。使⽤できない⽂字の詳細については、クライアントのオペレーティングシステムのマニュアルを参照してください。

マルチプロトコル環境でのファイル名とディレクトリ名の⼤⽂字と⼩⽂字の区別

ファイル名とディレクトリ名について、NFSクライアントでは⼤⽂字と⼩⽂字が区別されますが、CIFSクライアントでは⼤⽂字と⼩⽂字が区別されず、同じ⽂字として扱われます。この違いがマルチプロトコル環境に及ぼす影響、およびSMB共有の作成時にパスを指定するときや、共有内のデータにアクセスするときにどのように対処すべきかを理解しておく必要があります。

SMBクライアントでtestdirという名前のディレクトリを作成すると、SMBクライアントとNFSクライアントのどちらでもディレクトリ名はtestdirと表⺬されます。ただし、SMBユーザがあとでTESTDIRという名前のディレクトリを作成しようとしても、SMBクライアントではその名前がすでに存在しているとみなされるため作成できません。NFSユーザがあとでTESTDIRという名前のディレクトリを作成すると、このディレクトリ名はNFSクライアントとSMBクライアントで次のように異なって表⺬されます。

• NFSクライアントでは、ディレクトリ名の⼤⽂字と⼩⽂字が区別されるため、両⽅のディレクトリ名が作成したとおりに、testdirおよびTESTDIRと表⺬されます。

• SMBクライアントでは、2つのディレクトリを区別するために8.3形式の名前が使⽤されます。1つのディレクトリには基本ファイル名が付けられます。以降のディレクトリには8.3形式の名前が割り当てられます。

• SMBクライアントでは、testdirおよびTESTDI~1と表⺬されます。• ONTAPは、2つのディレクトリを区別するためにTESTDI~1というディレクトリ名を作成しま

す。

この場合、Storage Virtual Machine（SVM）での共有の作成時または変更時に共有パスを指定するときは、8.3形式の名前を使⽤する必要があります。

ファイルの場合も同様に、SMBクライアントでtest.txtというファイルを作成すると、SMBクライアントとNFSクライアントのどちらでもファイル名はtext.txtと表⺬されます。ただし、その

93

| 付録：NFSおよびSMBのファイルとディレクトリの命名規則について |

後SMBユーザがTest.txtというファイルを作成しようとしても、SMBクライアントではその名前がすでに存在しているとみなされるため作成できません。NFSユーザがTest.txtという名前のファイルを作成すると、このファイル名はNFSクライアントとSMBクライアントで次のように異なって表⺬されます。

• NFSクライアントでは、ファイル名の⼤⽂字と⼩⽂字が区別されるため、両⽅のファイル名が作成したとおりに、test.txtおよびTest.txtと表⺬されます。

• SMBクライアントでは、2つのファイルを区別するために8.3形式の名前が使⽤されます。⼀⽅のファイルには基本ファイル名が付けられます。追加のファイルには、8.3形式のファイル名が割り当てられます。

• SMBクライアントでは、test.txtおよびTEST~1.TXTと表⺬されます。• ONTAPは、2つのファイルを区別するためにTEST~1.TXTというファイル名を作成します。

注 : vserver cifs character-mappingコマンドを使⽤して⽂字マッピングを有効化または変更した場合、通常は⼤⽂字と⼩⽂字が区別されないWindowsでの検索で⼤⽂字と⼩⽂字が区別されるようになります。

ONTAPによるファイル名とディレクトリ名の作成⽅法ONTAPは、SMBクライアントからアクセスされるすべてのディレクトリ内のファイルまたはディレクトリに対して2つの名前が作成され、保持されます。元の⻑い名前と8.3形式の名前です。

名前が8⽂字を超える、または拡張⼦が3⽂字を超える（ファイルの場合）ファイル名やディレクトリ名について、ONTAPは次のように8.3形式の名前を⽣成します。

• 名前が6⽂字を超える場合は、元のファイル名またはディレクトリ名が6⽂字に切り捨てられます。• 切り捨てによって⼀意でなくなったファイル名またはディレクトリ名には、チルダ（~）と1∼5の

数字が追加されます。

同様の名前が6つ以上あって数字が⾜りなくなった場合には、元の名前とは無関係な⼀意の名前が作成されます。

• ファイルの場合は、ファイル名の拡張⼦が3⽂字に切り捨てられます。

たとえば、NFSクライアントがspecifications.htmlという名前のファイルを作成すると、ONTAPによってspecif~1.htmという8.3形式のファイル名が作成されます。この名前がすでに存在している場合は、ファイル名の最後の番号が別の番号になります。たとえば、NFSクライアントがspecifications_new.htmlという別の名前のファイルを作成すると、specifications_new.htmlの8.3形式の名前はspecif~2.htmになります。

マルチバイトを含むファイル名、ディレクトリ名、qtree名のONTAPでの処理4バイトのUTF-8エンコード形式の名前がサポートされるようになり、Basic Multilingual Plane（BMP;基本多⾔語⾯）以外のUnicode補助⽂字を含むファイル、ディレクトリ、ツリーの名前を作成および表⺬できるようになりました。以前のリリースでは、これらの補助⽂字はマルチプロトコル環境では正しく表⺬されませんでした。

4バイトのUTF-8エンコード形式の名前をサポートするために、vserverおよびvolumeのコマンドファミリーで新しい⾔語コードutf8mb4を使⽤できるようになりました。

• 次のいずれかの⽅法で新しいボリュームを作成する必要があります。

• -languageオプションを明⺬的に設定する。volume create -language utf8mb4 {…}

• -languageオプションを指定して作成または変更されたSVMから設定を継承する。vserver[create|modify] -language utf8mb4 {…}volume create {…}

• 既存のボリュームをutf8mb4をサポートするように変更することはできません。utf8mb4対応の新しいボリュームを作成し、クライアントベースのコピーツールを使⽤してデータを移⾏する必要があります。

94


SVMはutf8mb4をサポートするように更新できますが、既存のボリュームの⾔語コードは元の設定のままです。

注 : 現在のところ、4バイトのUTF-8⽂字を含むLUN名はサポートされていません。• ⼀般に、Unicode⽂字データは、Windowsファイルシステムアプリケーションでは16-bit Unicode

Transformation Format（UTF-16）、NFSファイルシステムでは8-bit Unicode TransformationFormat（UTF-8）を使⽤して表現されます。

Unicode⽂字をqtree名に使⽤できます。

• qtree名の設定または変更には、volume qtreeコマンドファミリーまたはONTAP SystemManagerを使⽤します。

• ⽇本語や中国語などのUnicode形式のマルチバイト⽂字をqtree名に含めることができます。• ONTAP 9.7以降のリリースでは、qtreeがutf8mb4に対応したボリュームに含まれていれば、

qtree名で4バイト⽂字がサポートされます。

ボリュームでのSMBファイル名の変換のための⽂字マッピングの設定NFSクライアントは、SMBクライアントと特定のWindowsアプリケーションでは無効な⽂字を含むファイル名を作成できます。ボリュームにおけるファイル名の変換のための⽂字マッピングを設定できます。これにより、そのままでは無効なNFS名を持つファイルにSMBクライアントからアクセスできます。


SMBクライアントがNFSクライアントによって作成されたファイルにアクセスすると、ONTAPはファイル名を調べます。ファイル名が有効なSMBファイル名でない場合は（たとえば、コロン「:」⽂字が含まれている場合）、ONTAPは各ファイルに対して維持されている8.3形式のファイル名を返します。ただし、これにより、⻑いファイル名に重要な情報をエンコードしているアプリケーションでは問題が発⽣します。

したがって、異なるオペレーティングシステムを使⽤するクライアント間でファイルを共有する場合は、両⽅のオペレーティングシステムで有効な⽂字をファイル名に使⽤するようにしてください。

これとは別に、SMBクライアントで有効でない⽂字を含むNFSクライアントが作成したファイル名がある場合は、無効なNFSの⽂字を、SMBと特定のWindowsアプリケーションの両⽅で有効なUnicode⽂字に変換するマッピングを定義できます。たとえば、この機能はCATIAR MCADおよびMathematicaアプリケーションをサポートしていますが、同じ要件を持つほかのアプリケーションでも使⽤できます。

⽂字マッピングはボリューム単位で設定できます。

ボリュームで⽂字マッピングを設定する場合は、次の点に留意する必要があります。

• ⽂字マッピングは、ジャンクションポイントを越えて適⽤されることはありません。

⽂字マッピングは、各ジャンクションボリュームに対して明⺬的に設定する必要があります。• 無効な⽂字を表すUnicode⽂字が、通常はファイル名に使⽤されないようにする必要があります。

これらの⽂字が使⽤されていた場合、不要なマッピングが発⽣します。

たとえば、コロン（:）をハイフン（-）にマッピングしようとした場合に、ファイル名に正しく使⽤されているハイフン（-）が存在すると、Windowsクライアントが「a-b」という名前のファイルにアクセスする要求を⾏ったときに、「a:b」というNFS名にマッピングされてしまいます（望ましい結果ではありません）。

• ⽂字マッピングを適⽤してもまだマッピングに無効なWindows⽂字が含まれている場合、ONTAPはWindows 8.3ファイル名にフォールバックします。

• FPolicy通知、NAS監査ログ、セキュリティトレースメッセージでは、マッピングされたファイル名が表⺬されます。

• タイプがDPであるSnapMirror関係が作成されても、ソースボリュームの⽂字マッピングはデスティネーションDPボリュームにレプリケーションされません。

95


• ⼤⽂字と⼩⽂字の区別：マッピングされたWindows名はNFS名に変わるため、名前の検索もNFSの基準に従います。これには、検索時に⼤⽂字と⼩⽂字が区別されることも含まれます。そのため、マッピングされた共有にアクセスするアプリケーションは、Windowsの⼤⽂字と⼩⽂字を区別しない動作に依存できません。ただし8.3形式の名前は（⼤⽂字と⼩⽂字が区別されませんが）使⽤可能です。

• 部分マッピングまたは無効なマッピング：名前をマッピングしてクライアントに戻ったあと、「dir」コマンドでディレクトリのファイル⼀覧を表⺬すると、⽣成されたUnicode名がWindowsで有効かどうかチェックされます。この名前に無効な⽂字が含まれているか、Windowsで無効なファイル名（「.」または空⽩で終了するなど）の場合は、無効なファイル名の代わりに8.3形式の名前が返されます。

⼿順

⽂字マッピングを設定します。 vserver cifs character-mapping create -vservervserver_name -volume volume_name -mapping mapping_text, ...

マッピングは、ソース⽂字とターゲット⽂字を「:」で区切ったペアのリストで指定します。⽂字は、16進数値を使⽤したUnicode⽂字で⼊⼒します。例：3C:E03C

コロンで区切った各mapping_textペアのうち、最初の値は変換するNFS⽂字の16進値、2番⽬の値はSMBが使⽤するUnicode値です。マッピングのペアは⼀意である必要があります（1対1のマッピングが存在する必要があります）。

• ソースマッピング

次の表に、ソースマッピングで許可されているUnicode⽂字セットを⺬します。

表 43 :

Unicode⽂字表⺬される⽂字説明

0x01-0x19 該当なし表⺬されない制御⽂字

0x5C \ バックスラッシュ

0x3A : コロン

0x2A * アスタリスク

0x3F ? 疑問符

0x22 " 引⽤符

0x3C < ⼩なり

0x3E > ⼤なり

0x7C | 縦線

0xB1 ± プラスマイナス記号• ターゲットマッピング

ターゲット⽂字には、U+E0000...U+F8FFの範囲のUnicodeの「私⽤領域」を指定できます。

例

次のコマンドは、Storage Virtual Machine（SVM）vs1の「data」という名前のボリュームに⽂字マッピングを作成します。

cluster1::> vserver cifs character-mapping create -volume data -mapping 3c:e17c,3e:f17d,2a:f745cluster1::> vserver cifs character-mapping show

Vserver Volume Name Character Mapping-------------- ----------- ------------------------------------------vs1 data 3c:e17c, 3e:f17d, 2a:f745

96


SMBファイル名の変換のための⽂字マッピングの管理コマンドFlexVol上でのSMBファイル名の変換に使⽤する情報を作成、変更、表⺬したり、それに使⽤するファイル⽂字マッピングを削除することによって⽂字マッピングを管理できます。

表 44 :


新しいファイル⽂字マッピングを作成する

vserver cifs character-mapping create

ファイル⽂字マッピング情報を表⺬する

vserver cifs character-mapping show

既存のファイル⽂字マッピングを変更する

vserver cifs character-mapping modify

ファイル⽂字マッピングを削除する

vserver cifs character-mapping delete


97

| 著作権に関する情報 |

著作権に関する情報

Copyright 2021 FUJITSU LIMITED. All rights reserved.

このドキュメントは著作権によって保護されています。著作権所有者の書⾯による事前承諾がある場合を除き、画像媒体、電⼦媒体、および写真複写、記録媒体、テープ媒体、電⼦検索システムへの組み込みを含む機械媒体など、いかなる形式および⽅法による複製も禁⽌します。

富⼠通の著作物から派⽣したソフトウェアは、次に⺬す使⽤許諾条項および免責条項の対象となります。

このソフトウェアは、富⼠通によって「現状のまま」提供されています。富⼠通は明⺬的な保証、または商品性および特定⽬的に対する適合性の暗⺬的保証を含み、かつこれに限定されないいかなる暗⺬的な保証も⾏いません。富⼠通は、代替品または代替サービスの調達、使⽤不能、データ損失、利益損失、業務中断を含み、かつこれに限定されない、このソフトウェアの使⽤により⽣じたすべての直接的損害、間接的損害、偶発的損害、特別損害、懲罰的損害、必然的損害の発⽣に対して、損失の発⽣の可能性が通知されていたとしても、その発⽣理由、根拠とする責任論、契約の有無、厳格責任、不法⾏為（過失またはそうでない場合を含む）にかかわらず、⼀切の責任を負いません。

富⼠通は、ここに記載されているすべての製品に対する変更を随時、予告なく⾏う権利を保有します。富⼠通による明⺬的な書⾯による合意がある場合を除き、ここに記載されている製品の使⽤により⽣じる責任および義務に対して、富⼠通は責任を負いません。この製品の使⽤または購⼊は、富⼠通の特許権、商標権、または他の知的所有権に基づくライセンスの供与とはみなされません。

98

登録商標

富⼠通、富⼠通ロゴ、ETERNUSは富⼠通の登録商標です。会社名、製品名等の固有名詞は、各社の商号、商標または登録商標です。

https://www.fujitsu.com/jp/products/computing/storage/trademark/

99

https://www.fujitsu.com/jp/products/computing/storage/trademark/

| マニュアルの更新について |

マニュアルの更新について

本書の最新版や本装置に関連する最新の情報は、以下のサイトで公開されています。


必要に応じてご使⽤モデルのマニュアルを参照してください。

100


FUJITSU Storage ETERNUS AX/HX Series

NFSリファレンス

A3CA08733-A646-03

発行日: 2021 年 6 月

発行責任: 富士通株式会社

• 本書の内容は、改善のため事前連絡なしに変更することがあります。

• 本書の内容は、細心の注意を払って制作致しましたが、本書中の誤字、情報の抜け、本書情報の使用に起因

する運用結果に関しましては、責任を負いかねますので予めご了承願います。

• 本書に記載されたデータの使用に起因する第三者の特許権およびその他の権利の侵害については、当社はそ

の責を負いません。

• 無断転載を禁じます。

FUJITSU Storage ETERNUS AX/HX Series NFSリファレンス

Documents

Transcript of FUJITSU Storage ETERNUS AX/HX Series NFSリファレンス