Celerra NFS の構成方法 - Dell EMC Isilon...Celerra NFS の構成方法バージョン5.5 5 /...

1 / 134

Celerra NFSの構成方法P/N 300-005-465

REV A01

バージョン 5.52006年 3月

目次

はじめに. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4用語. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4制限事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

NFSの概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7プランニングの考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9システムのアクセス制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9ユーザー認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9モード・ビットを使用したユーザー・アクセス制御 . . . . . . . . . . . . . . .10ACLを使用したユーザー・アクセス制御 . . . . . . . . . . . . . . . . . . . . . . .11多言語対応 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12NFSv4のドメイン名 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12NFSv4のデリゲーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13ファイル・ロック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14クライアント・コンテキスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15NFSv4クライアントのみへのアクセスの制限. . . . . . . . . . . . . . . . . . . .15

システム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16EMC NAS相互運用性マトリックス . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

ユーザー・インターフェースの選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17制限事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

Celerra NFSの構成のロードマップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18はじめに. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20タスク 1：NFSv4の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20タスク 2：NFSv4ドメインの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21タスク 3：ネーム・サービスへのアクセスの構成 . . . . . . . . . . . . . . . . .23タスク 4：ファイルシステムの Unicodeへの変換 . . . . . . . . . . . . . . . .24

マウントポイントの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25ファイルシステムのマウント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26基本的な NFSアクセス用のファイルシステムのマウント . . . . . . . . . .26NFSv4アクセス用のファイルシステムのマウント . . . . . . . . . . . . . . . .28ファイルシステムのアンマウント . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

ファイルシステムのエクスポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30基本的な NFSアクセス用のファイルシステムのエクスポート . . . . . . .30

Celerra NFSの構成方法バージョン 5.5 2 / 134

アクセス・レベルの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31VLANによるアクセス制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33NFSv4アクセスの指定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34ユーザー認証方法の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35次に行うべきこと . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37

Windows Kerberos KDCを使用した Secure NFSの構成 . . . . . . . . . . . . .38タスク 1：逆引き参照の動的な更新の有効化. . . . . . . . . . . . . . . . . . . . .39タスク 2：CIFSの構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41タスク 3：Secure NFSサービス・インスタンスの設定 . . . . . . . . . . . .44タスク 4：NFSのユーザーおよびグループのマッピング・サービスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47タスク 5：ACEの並べ替え（マルチプロトコル環境のみ）. . . . . . . . . .49

UNIXまたは Linuxの Kerberos KDCを使用した Secure NFSの構成. . . .51タスク 1：Data Moverの名前の設定. . . . . . . . . . . . . . . . . . . . . . . . . . .53タスク 2：Kerberosレルムの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . .54タスク 3：Secure NFSサービス・インスタンスの設定 . . . . . . . . . . . .55タスク 4：NFS Kerberosサービス・プリンシパルの作成 . . . . . . . . . .57タスク 5：ユーザー・プリンシパル名への UIDのマッピング. . . . . . . .60

クライアント・システムへの Celerraファイルシステムのマウント . . . . . .68NFSの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69

Celerraファイルシステムへの NFSパスのアンエクスポート . . . . . . .69Celerra上のすべての NFSパスの再エクスポート . . . . . . . . . . . . . . . .70Data Mover上のすべてのファイルシステムに対する NFSアクセスの無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71NFSオートマウンタ機能のサポート . . . . . . . . . . . . . . . . . . . . . . . . . . .73

NFSv4の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77デリゲーションの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77NFSv4サービス・ステータスの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . .81NFSv4サービスの停止. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .82NFSv4サービスの再開. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83NFSv4クライアントの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84NFSv4クライアント情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85NFSv4クライアントの解放 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8632ビットおよび 64ビット NFSクライアントのサポート . . . . . . . . . .87

Secure NFSの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88古いキータブ・エントリーの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88すべての Secure NFSサービス・インスタンスの表示 . . . . . . . . . . . . .90ユーザー属性の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .91ローカル・マッピング・ファイル内のユーザー情報の表示 . . . . . . . . .91ローカル・マッピング・ファイルからのユーザーの削除 . . . . . . . . . . .93サービス・プリンシパルの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93認証の解除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94

トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95ファイルシステムのエクスポートのトラブルシューティング. . . . . . . .95NFSv4のトラブルシューティング. . . . . . . . . . . . . . . . . . . . . . . . . . . . .96Secure NFSのトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . .113

3 / 134バージョン 5.5Celerra NFSの構成方法

関連情報. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115カスタマー・トレーニング・プログラム . . . . . . . . . . . . . . . . . . . . . . .115

付録 A：システム・アクセスの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116アクセス・モードの組み合わせを指定した場合の動作 . . . . . . . . . . . .116ホスト間、サブネット間、ネットグループ間の競合解決のルール . . .117デフォルトのアクセス・モードとして読み取り専用を指定 . . . . . . . .120

付録 B：ユーザー認証動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122セキュリティ・オプションを指定するときの全般的なルール. . . . . . .122ルート・アクセス・モード. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123

付録 C：ネットワーク・アクセスなしでサービス・プリンシパルを追加する方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124キータブ・ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124サービス・プリンシパル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125セキュリティ・キーの生成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125ファイルのコピー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126キータブ・ファイルの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126

付録 D： PCクライアントの NFS認証デーモン . . . . . . . . . . . . . . . . . . . . .128PCクライアント・ソフトウェアの設定 . . . . . . . . . . . . . . . . . . . . . . .129Hummingbird PC NFSクライアントに関する問題点. . . . . . . . . . . . .130

索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131

Celerra NFSの構成方法4 / 134 バージョン 5.5

はじめにCelerra® Network Server（以下 Celerra）は、NFS（Network File System）を含むさまざまなファイル・アクセス・プロトコルによるデータへのアクセスを提供するマルチプロトコル・システムです。NFSは、ネットワーク環境でのファイル共有を実現する、クライアント /サーバの分散ファイル・サービスです。NFSサーバとして Celerraを構成すると、クライアントは、バージョン 2、3、4の NFSプロトコルを使用して、Celerraファイルシステムにアクセスできるようになります。

このテクニカル・モジュールは、Celerraマニュアル集に含まれており、Celerraでの NFSの構成と管理を担当するシステム管理者を対象としています。

用語このセクションでは、Celerraの NFS機能を理解するうえで重要な用語を定義します。Celerraの用語の一覧については、「Celerra Network Server User Information Glossary」を参照してください。

ACE（アクセス・コントロール・エントリー）： ACL（アクセス・コントロール・リスト）の構成要素。この構成要素は、ファイルシステム・オブジェクトへのアクセス権をユーザーまたはグループに対して定義するために使用される許可プロセスの一部です。ACL（アクセス・コントロール・リスト）：あるオブジェクトへのアクセスが許可されたユーザーとグループに関する情報を提供する ACE（アクセス・コントロール・エントリー）のリスト。認証：ファイルやディレクトリなどのリソース、オブジェクト、サービスにアクセスしようとしているユーザーの IDを確認するためのプロセス。

許可：ファイルやサービスなどのリソースまたはオブジェクトにアクセスしようとしているプリンシパル（ユーザー、サービス、サーバのいずれか）に付与された権限またはアクセスのレベルを確認するためのプロセス。

CDMS（Celerra Data Migration Service）： NFSまたは CIFSのソース・ファイルサーバから Celerraにファイルシステムを移行するための機能。オンライン移行は、いったん開始すると、ユーザーが意識しないうちに実行されます。Celerra FileMover：ファイルを格納する物理的な場所を決定するために使用されるポリシー・ベースのシステム。多くの場合、ファイル・サイズや最終アクセス時間に基づくポリシーを使用して、低速で低コストのストレージに移動できるデータを識別します。CIFS（Common Internet File System）： Microsoftの SMB（Server Message Block）プロトコルに基づくファイル共有プロトコル。インターネットおよびイントラネットを介してファイルシステムを共有できます。DNS（Domain Name System）： TCP/IPネットワーク上でのコンピュータとサービスの場所を提供する名前解決プロトコル。DNSサーバは、ドメイン名、ホスト名、それらに対応する IPアドレスのデータベース、これらのホストによって提供されるサービスを保持します。ファイルシステム：ディスク・パーティション上でファイルとディレクトリをカタログ化および管理する方式。

../../mergedprojects/Glossary/index.htm

../../mergedprojects/Glossary/index.htm


FQDN （完全修飾ドメイン名）：組織およびその最上位のサブドメインの名前を含む、システムの完全な名前。GID（グループ識別子）：特定のユーザー・グループに対して割り当てられた数値識別子。

Kerberos：ユーザー、システム、アプリケーションの認証に関して、データのエンコードと署名のために使用される、認証、データ整合性、データ・プライバシーの暗号化メカニズム。Celerraでは、NTLMや AUTH_SYSなどの他のセキュリティ・メカニズムと Kerberosを併用できます。

NFS（Network File System）：リモート・ファイルシステムへの透過的なアクセスを提供する分散ファイルシステム。NFSを使用すると、ネットワーク上のすべてのシステムが、ファイルまたはディレクトリの単一のコピーを共有できます。NIS（Network Information Service）：ユーザー名、パスワード、ホーム・ディレクトリ、グループ、ホスト名、IPアドレス、ネットグループの定義を含む、ユーザーおよびシステムの情報をネットワーク上で共有する、分散データ検索サービス。プリンシパル： Kerberosの KDC（キー配布センター）がチケットを割り当てることのできる一意の名前。ユーザー、サービス、サーバなどがプリンシパルになります。レルム：ネットワーク環境で、Kerberos認証の対象となり、同じ Kerberos機関によって管理される、セキュリティ・プリンシパル（ユーザー、サービス、コンピュータ）のセット。Secure NFS： NFSユーザーの認証および NFSデータの署名と暗号化に使用される、Kerberosベースの認証、データ整合性、データ・プライバシーの暗号化メカニズム。SID（セキュリティ識別子）： Microsoft Windows環境内のユーザーまたはグループを定義する一意の識別子。個々のユーザーまたはグループは、固有の SIDを持っています。ストレージ・システム：物理ディスク・デバイスのアレイと、それらをサポートするソフトウェア、プロセッサ、電源、ケーブル。UID（ユーザー識別子）：特定のユーザーに対して割り当てられた数値識別子。Unicode：コンピュータ処理でテキストを表現するために使用される汎用文字エンコード規格ファミリ。UTF-8（Unicodeまたは UCS Transformation Format-8）：マルチバイトのエンコード形式。UTF-8は、アルゴリズム・マッピング・スキームを使用して、すべてのUnicode値を、1～ 4 バイトの一意のシーケンスに変換します。ヌル文字の埋め込みは行われません。


制限事項Celerraはすべての NFS機能をサポートしますが、次の制限があります。

◆ Data Moverがホストできる NFSサーバのインスタンスおよびドメインは 1つのみ。

◆ Secure NFSは、NFSv3および NFSv4に対してのみサポートされる。

◆ Celerraの FileMover機能またはCDMSを使用する場合、Celerraとセカンダリ・ストレージの間の NFS通信には、UNIX AUTH_SYS認証が必要であり、NFSv4はサポートされない。

◆ Celerra HighRoad機能では、NFSv4はサポートされない。ただし、NFSクライアントは、NFSv4および Secure NFSを使用して、HighRoadファイルシステムにアクセスできる。

◆ VDM（仮想 Data Mover）では NFSはサポートされない。

Celerraへの NFSv4の実装では次のものがサポートされます。

◆ ネットワーク・プロトコル IP V4経由の NFSv4。

◆ UNIXおよび Kerberos V5によるユーザー認証。

◆ 推奨される属性archiveおよびfs_locationを除くすべての定義済みファイル属性。

◆ UTF-8および ASCII。

◆ 擬似ルート・ファイルシステム。◆ ACL（アクセス・コントロール・リスト）。

Celerraへの NFSv4の実装では次のものはサポートされません。

◆ ブロッキング・ロック機能。◆ Windows SIDを使用したアクセス制御。

◆ 公開鍵ベースの認証（SPKM-3および Lipkey）。

◆ ASCIIコード・ページ。

◆ 擬似ファイルシステム。◆ ネスト・マウント・ファイルシステム。◆ Data Moverのサーバ・ログに書き込まれる NFSv4サービス・ステータス（起動と停止）を示すログ・メッセージ。


NFSの概念Celerraは、NFS（Network File System）を含むさまざまなファイル・アクセス・プロトコルによるデータへのアクセスを提供するマルチプロトコル・システムです。NFSは、ネットワーク環境でのファイル共有を実現する、クライアント /サーバの分散ファイル・サービスです。NFS環境は次のもので構成できます。

◆ UNIXクライアント

◆ Linuxクライアント

◆ NFSクライアント・サービスを提供するサード・パーティ・アプリケーション（Hummingbirdなど）で構成されたWindowsシステム

Celerraを NFSサーバとして構成すると、ファイルシステムは Data Mover上にマウントされて、そのファイルシステムへのパスがエクスポートされます。エクスポートされたファイルシステムは、ネットワーク全体で使用でき、リモート・ユーザーがマウントできます。図 1は、NFSクライアント用に構成された Data Moverを示しています。

図 1 NFSファイルシステムの構成

NFS構成の Data Moverでは次の処理を行います。

◆ IPネットワークを介して、エクスポートされたファイルシステムへのアクセスを提供する。

◆ Secure NFSを使用する場合、ユーザーを認証する。

◆ 許可プロセスは次の処理により実行されます。• 情報を要求している NFSクライアントのアクセス権と、エクスポートされたファイルシステムに定義されているアクセス権を比較する。

• ファイルシステム・オブジェクトでユーザー・アクセスの制御を行う。


Celerraでは、バージョン 2、3、4の NFSプロトコルがサポートされています。NFSバージョン 4プロトコルは、バージョン 2および 3で定義されている NFSプロトコルをさらに改訂したものです。以前のバージョンの基本的な特性（トランスポート・プロトコル、オペレーティング・システム、ファイルシステムに依存しない設計）を保ちつつ、ファイル・ロック、強力なセキュリティ、操作の結合、デリゲーション機能を統合することにより、クライアントのパフォーマンスを向上できます。次のドキュメントでは、各バージョンの機能が詳細に説明されています。

◆ [RFC1094] Network File System Protocol Specification（NFSバージョン 2プロトコルの仕様）（1989年 3月）

◆ [RFC1813] NFS Version 3 Protocol Specification（1995年 6月）

◆ [RFC3530] Network File System (NFS) version 4 Protocol（2003年 4月）

注：「マルチプロトコル環境での Celerraの管理」テクニカル・モジュールでは、NFSとCIFSの両方をサポートするための Celerraの構成について説明されています。「Celerra CIFSの構成方法」テクニカル・モジュールでは、CIFSのみの情報が提供されています。

../ConfWinMulti/index.htm

../ConfWindows/index.htm



プランニングの考慮事項このセクションでは、Celerraで NFSを構成する際に理解しておくと便利な情報について説明します。NFS環境の要件によっては、該当しない機能もあります。

◆ 9ページの「システムのアクセス制御」

◆ 9ページの「ユーザー認証」

◆ 10ページの「モード・ビットを使用したユーザー・アクセス制御」

◆ 11ページの「ACLを使用したユーザー・アクセス制御」

◆ 12ページの「多言語対応」

◆ 12ページの「NFSv4のドメイン名」

◆ 13ページの「NFSv4のデリゲーション」

◆ 14ページの「ファイル・ロック」

◆ 15ページの「クライアント・コンテキスト」

◆ 15ページの「NFSv4クライアントのみへのアクセスの制限」

システムのアクセス制御NFSクライアント・システムのアクセス権を設定するには、server_exportコマンドを使用します。エクスポートへのアクセスを許可されるクライアントは、ホスト名、ネットグループ、サブネット、IPアドレスにより指定されます。特定のファイルに対して、クライアント・システムには読み取り /書き込みアクセスを許可し、特定のユーザーには読み取りアクセスだけを許可する、といったことができます。この手順については、30ページの「基本的な NFSアクセス用のファイルシステムのエクスポート」を参照してください。エクスポートされたファイルシステムの NFSクライアントに対して設定する読み取りおよび書き込みアクセスの解釈については、116ページの「付録 A：システム・アクセスの動作」を参照してください。

ユーザー認証ユーザー認証を使用すると、Celerraシステムで、ファイルやサービスなどのリソースまたはオブジェクトにアクセスしようとしているユーザー、サービス、サーバの IDを確認できます。Celerraの NFSサービスは、次のメカニズムを使用してユーザーを認証します。

◆ UNIXセキュリティ：デフォルトのセキュリティとして機能します。AUTH_SYSセキュリティ・モデルを使用すると、ローカル認証方法を使用してユーザーがログオンする際に、NFSクライアント・マシンにより NFSユーザーの認証が実行されるものと想定されます。AUTH_SYSを使用すると、ユーザーの UIDとグループの GIDが RPCプロトコルにより送信され、ユーザーが属することのできるグループが 16に制限されます。


◆ Secure NFS：Kerberosベースのユーザーおよびデータの認証、データの整合性、データ・プライバシーを提供します。分散認証サービスである Kerberosは、秘密鍵暗号形式を使用して強力な認証を提供するように設計されています。Secure NFSサーバとして機能するように構成された Data Moverは、RPCSEC_GSSセキュリティ・フレームワークと Kerberos認証プロトコルを使用して、ユーザーとサービスを確認します。Secure NFS環境では、NFSでエクスポートされたファイルシステムに対するユーザー・アクセスは、Kerberosのプリンシパル名に基づいて許可されます。ただし、エクスポートされたファイルシステム内のファイルとディレクトリに対するアクセス制御は、引き続き UID/GIDまたは ACLに基づきます。ユーザーの Kerberosプリンシパルは、マッピング・サービスを使用して UIDにマップされます。

◆ 認証デーモン：NFSを使用して CelerraにアクセスするWindowsシステム（PCクライアント）の場合は、認証デーモン（通常は rpc.pcnfsdまたはpcnfsd）を使用して、Windowsと UNIXの NFSのユーザー認証方法の間の違いをブリッジする。

NFSの各バージョンでは、次のユーザー認証方法がサポートされます。

◆ NFSのすべてのバージョンで UNIXセキュリティおよび PC認証デーモンがサポートされる。

◆ NFSバージョン 3および 4では、UNIX/Linux、またはWindowsのKerberos KDC（キー配布センター）を使用する Secure NFSがサポートされる。

35ページの「ユーザー認証方法の指定」では、server_exportコマンドで secオプションを使用してユーザー認証方法を指定する方法について説明します。122ページの「付録 B：ユーザー認証動作」では、エクスポートされたファイルシステムの NFSクライアントに対して設定する認証を解釈する方法について説明します。128ページの「付録 D： PCクライアントの NFS認証デーモン」では、認証デーモンの使用方法について説明します。38ページの「Windows Kerberos KDCを使用した Secure NFSの構成」および 51ページの「UNIXまたは Linuxの Kerberos KDCを使用した Secure NFSの構成」では、Windowsまたは UNIX/Linuxの Kerberosを使用して Secure NFSを構成する手順について説明します。

モード・ビットを使用したユーザー・アクセス制御UNIX、NATIVE、SECURE、MIXED_COMPATのいずれかの Celerraアクセス・ポリシーを指定してファイルシステムをマウントすると、Celerraは、NFSクライアントに対してモード・ビット・ベースのアクセス制御を実行します。アクセス・ポリシーは、server_mountコマンドの accesspolicyオプションを使用して指定します。UNIXのアクセス権は、ファイルシステム・オブジェクトのモード・ビットと呼ばれます。モード・ビットは文字列で表され、文字列の各ビットは、ファイルを所有するユーザー、所有者グループ、およびその他のすべてのユーザーに許可されているアクセス・モードまたは権限を表します。


UNIXのモード・ビットは、次のファイルシステム・ディレクトリの例で示されているように、ユーザーのカテゴリー（ユーザー /グループ /その他）ごとに連結された 3つの文字 rwx（読み取り、書き込み、実行）の 3つのセットとして表されます。

前述の例では、各行の最初の 10文字が、ファイル・タイプとファイルの権限を示します。先頭の文字は、ディレクトリの場合は d、シンボリック・リンクの場合は l、通常のファイルの場合はダッシュ（-）になります。

次の 3つの文字は、ユーザー（この例では kcb）がファイルシステム・オブジェトの読み取り、書き込み、実行を行うことができるかどうかを指定します。次の3つの文字は、所有者グループ（所有者プライマリ・グループ、この例では eng）の権限を指定します。最後の 3文字は、所有者でも所有者グループのメンバーでもない他のすべてのユーザーの権限を指定します。この例では、xyz.docはシンボリック・リンクであり、すべてのユーザーがxyz.htmlファイルに移動して取得できます。abc.htmlは通常のファイルで、すべてのユーザーが読み取ることはできますが、書き込むことができるのはユーザー kcbだけです。scheduleはディレクトリで、すべてのユーザーが検索して読み取ることができますが、ファイルを追加したり削除したりできるのはユーザー kcbだけです。

アクセス要求の際には UNIX認証情報が送信されます。この情報は、UID（ユーザーの ID）およびユーザーが属する最大 16の GID（グループの ID）で構成されます。ユーザーがファイルシステム・オブジェクトへのアクセスを要求すると、Celerraは、ユーザーの認証情報とそのオブジェクトに対する権限を比較します。

ACLを使用したユーザー・アクセス制御NFSv4では、ACL（アクセス・コントロール・リスト）のサポートが追加されました。ACLを使用すると、ファイルシステム・オブジェクトに対し、従来の NFSモード・ビットよりさらにきめ細かいユーザー・アクセス制御を行うことができます。Celerraは ACLの単一の実装を備えており、データへのアクセスに使用されるプロトコル（NFSまたは CIFS）が何であっても、一貫したアクセス制御を実現します。NT、SECURE、MIXED、MIXED_COMPATのいずれかの Celerraアクセス・ポリシーを指定してファイルシステムをマウントすると、Celerraは、NFSクライアントに対して ACLベースのアクセス制御を実行します。NFSv4クライアントでファイルシステム・オブジェクトの ACLを管理できるようにするには、アクセス・ポリシー MIXEDまたは MIXED_COMPATを指定してファイルシステムをマウントします。アクセス・ポリシーは、server_mountコマンドの accesspolicyオプションを使用して指定します。この手順については、28ページの「NFSv4アクセス用のファイルシステムのマウント」を参照してください。「マルチプロトコル



環境での Celerraの管理」テクニカル・モジュールでは、Celerraアクセス制御ポリシーの構成に関する詳細が提供されています。

注：NFSv4の標準では、Windows ACL文法と似てはいても同じではない ACL文法が定義されていますが、各プリンシパルについての ACEの順序や数などのアイテムのリレーションシップは定義されていません。したがって、Windows、UNIX、Linuxの各クライアントでは、ファイルシステム・オブジェクトの ACLの管理方法が異なる場合があります。場合によっては、Windowsクライアントで設定された ACLが UNIXまたは Linuxクライアントでは使用できず、クライアントが ACLを表示できないことがあります。その場合でも、ファイルシステム・オブジェクトに対するアクセス制御には影響ありません。

多言語対応Celerraは、マルチバイト文字セットを使用する環境のクライアントをサポートします。マルチバイト文字セットは、Unicode（汎用文字エンコード規格）を有効化することでサポートされます。Celerraでは、NFSv4での要件に合わせて、文字エンコードに UTF-8仕様もサポートします。UTF-8クライアントの場合、ファイル名とディレクトリ名は受け取ったままの状態で格納され、名前の大文字と小文字が維持されるので、変換は必要ありません。非 UTF-8クライアントでは、ファイルシステム・オブジェクト名は UTF-8仕様に変換されます。

注：Unicode対応ではないファイルシステムは、NFSv4クライアントにエクスポートする前に Unicodeに変換する必要があります。さらに、Celerraの文字エンコード方法を、デフォルトから UTF-8に変更する必要があります。

Celerraを新規にインストールする場合、ユーザーのファイルおよびディレクトリを作成する前に、インストール中に Unicodeを有効化できます。既存の Celerraを使用する場合、Unicodeを有効化してから、ファイルおよびディレクトリを変換する必要があります。「Using International Character Sets with Celerra」テクニカル・モジュールでは、Unicodeを構成および管理する方法について説明されています。

NFSv4のドメイン名すべての Celerraユーザーは、ディレクトリとファイルの所有権を示す一意の数値 UIDおよび GIDによって識別される必要があります。Celerraは、ディレクトリとファイルの所有権を使用して、アクセス権限とクォータ上限を適用および実施します。NFSv2および V3は、UIDと GIDを使用してユーザーとグループを識別します。これにより、Celerraは NFSクライアントによって提供される UIDと GIDを使用して、ファイルの所有権とアクセス制御を決定できます。一方、NFSv4では、UTF-8でエンコードされたユーザーまたはグループのドメイン名を使用してユーザーとグループを識別します。この場合のドメインは、サーバ、クライアント、ユーザー、グループがメンバーである NFSv4ドメインになります。NFSv4のユーザーおよびグループのドメイン名の形式は、user@domainまたはgroup@domainです。これらのユーザーおよびグループのドメイン名は、UIDおよび GIDに変換する必要があります。


../i18N/index.htm


注：ファイルシステムでは、NFSのバージョンに関係なく、ファイルの所有者および所有者グループが数値の UIDと GIDによって表されます。

Celerraで NFSv4を使用する前に、nfsv4.domainパラメータを使用してNFSv4のドメイン名を指定する必要があります。ドメイン名の指定方法については、21ページの「NFSv4ドメインの構成」を参照してください。

注：サーバまたは NFSv4クライアントで NFSv4ドメイン名が指定されないと、クライアントはデータにアクセスできない場合があり、ファイルとディレクトリの所有権は誰にも設定されません。

NFSv4のデリゲーションNFSv4を使用すると、Celerraはファイルに対する特定のアクションをデリゲーション（委任）することが出来ます。特定のアクションとは具体的には、ファイルのデータ、メタデータ、ファイルへのロックをクライアントにキャッシュさせることを指します。デリゲーションにより、NFSクライアントはファイルのデータやメタデータをローカルなバッファに格納し、サーバに送信する前にそのデータやメタデータに対して操作を実行できるので、ネットワーク・パフォーマンスが向上します。デリゲーションはファイルシステムごとに構成され、読み取り /書き込みのデリゲーションがデフォルトで有効になります。次の場合には、デリゲーションを無効にすることをお勧めします。

◆ 別のクライアントに存在するアプリケーションにより、データを頻繁に共有する必要がある。

◆ クライアントの障害がデータの整合性に影響を与える可能性のある、データベースなどのミッション・クリティカルでトランザクション・ベースのアプリケーションが、データにアクセスする。

注：デリゲーションが行われている間、すべてのデータ操作は NFSv4クライアントによって実行され、サーバに送信されないので、サーバの UNIXアプリケーションは、クライアントによって保存された変更を認識しません。クライアントで障害が発生すると、データに対するすべての変更が失われます。

Celerraは、次のファイル・デリゲーション・レベルをサポートします。

◆ なし：ファイルのデリゲーションは許可されない◆ 読み取り：読み取りのデリゲーションだけが許可される◆ 読み取り /書き込み：読み取りと書き込みのデリゲーションが許可される

デリゲーション・レベルの指定方法については、28ページの「NFSv4アクセス用のファイルシステムのマウント」を参照してください。NFSv4のパラメータを使用してデリゲーション操作を変更する方法については、77ページの「NFSv4の管理」を参照してください。


ファイル・ロックCelerraは、NFSのファイル・ロックをサポートします。NFSv4のファイル・ロックは、NFSv2および V3で使用されていた NLM（ネットワーク・ロック・マネージャ）プロトコルと似ていますが、V4では NFSv4プロトコルに統合されており、異なるオペレーティング・システム・セマンティクスおよびエラー・リカバリのサポートが拡張されています。

強制かアドバイザリかNFSv2および V3では、ロック・ルールは協調動作であり、ロック・プロシージャを使用していないクライアントは、別のクライアントがロックしたファイルにアクセスできます。Celerraは、NFSv2および V3のロックをアドバイザリと見なしています。アドバイザリ・ロックは、ファイルに対する読み取りおよび書き込みアクセスに影響を与えませんが、ファイルがすでに使用されていることを他のユーザーに通知します。NFSv4では、強制ロック、つまりロックしたファイルに対する他のアプリケーションの操作をブロックする機能が提供されています。

共有予約共有予約は、ファイルに対するプロセス・アクセス（読み取り、書き込み、読み取り /書き込み）、および同じファイルに対する他のプロセス・アクセスを拒否する機能を許可します。たとえば、アプリケーションは、読み取りと書き込み用にファイルを予約し、他のアプリケーションによる書き込みを拒否できます。NLMは、NFSv2および V3ではアドバイザリ共有予約を提供します。NLMの共有予約は、共同ではないクライアントがファイルにアクセスするのを妨げません。NFSv4は、OPEN操作で強制の共有予約をサポートします。共有予約は、すべてのファイル・アクセスに対して適用されます。

範囲ロックこのロックは、ファイル内のバイトの範囲に対して適用されます。この範囲はファイル全体をカバーできます。範囲ロックはレコード・ロックと呼ばれることもあります。範囲ロックには 2つのタイプがあります。

◆ 共有（読み取り）ロック◆ 排他（書き込み）ロック通常、複数のプロセスが特定のファイルに読み取りロックを設定できます。しかし、あるプロセスが特定のバイト範囲に対して排他ロックを設定すると、この範囲のロックが解除されるまで、他のプロセスは、このファイルで排他ロックされた範囲の一部を含む範囲に対してロックを設定することはできません。読み取りロックを排他ロックに変更することも、排他ロックを読み取りロックに変更することもできます。


リースNFSv2および V3では、クライアントが解放するまで、ロックはサーバによって許可されていました。このアプローチの欠点は、クラッシュしたクライアントが、リカバリするまでロックを保持することです。この欠点を回避するため、NFSv4のロックは、クライアント・リース期間についてのみ許可されます。リース期間内は、クライアントはすべてのロックの維持を保証されます。リースは、クライアントによる更新の対象になります。クライアントが何らかの操作を行うと、リースは更新されます。リース期限が切れると、サーバはクライアントで障害が発生したものと見なし、猶予期間の後、他のクライアントが同じロックを取得するのを許可します。サーバで障害が発生した場合は、サーバの再起動時に、少なくともリース期間だけクライアントがロックを再要求するのを待った後、新しいロック要求に応えます。Celerraでファイルシステム・ベースのロックを構成する方法については、26ページの「ファイルシステムのマウント」を参照してください。

クライアント・コンテキストステートレスプロトコルである NFSv2および V3とは異なり、NFSv4プロトコルは、ファイルサーバにアクセスするクライアント・システムおよび設定されているロックのコンテキストまたは状態を保持し、サーバやクライアントの障害またはネットワーク・パーテションの後にクライアントがロック状態を復旧できるようにします。クライアント・システムは、ホスト名または IPアドレスによって識別され、状態の IDを割り当てられます。Celerraでは次のことが可能です。

◆ クライアントの状態のリストを表示する◆ 特定のクライアントの状態の属性を表示する◆ クライアントの状態を解放するクライアントの状態を解放すると、すべてのファイル・ロックは解除され、クライアントが保持している可能性のあるすべてのデリゲーションはリコールされ、そのクライアントによって開かれていたファイルはすべて閉じられます。server_nfsコマンドの-v4 -clientオプションを使用してクライアントの状態を管理する方法については、77ページの「NFSv4の管理」を参照してください。

NFSv4クライアントのみへのアクセスの制限NFSv2および V3で使用可能なセキュリティ対策は NFSv4で使用できるものほど厳しくないので、Celerraでは、エクスポートされるファイルシステムに対してNFSv4だけを使用するように指定できます。この機能により、クライアントが安全性が低い NFSバージョンを使用したファイルシステムにアクセスしないようにできます。server_exportコマンドで NFSv4オプションを指定する方法については、34ページの「NFSv4アクセスの指定」を参照してください。


システム要件このセクションでは、このテクニカル・モジュールの説明に従って NFSを構成するために必要な、Celerraのソフトウェア、ハードウェア、ネットワーク、ストレージの構成について説明します。

EMC NAS相互運用性マトリックスEMC相互運用性マトリックスは Powerlink™にて入手できます。このマトリックスには、バックアップ・ソフトウェア、ファイバ・チャネル・スイッチ、Celerra NAS（ネットワーク接続型ストレージ）製品に対するアプリケーション・サポートなど、サポートされるソフトウェアとハードウェアについての最新の情報が記載されています。

表 1 NFSのシステム要件

ソフトウェア

Celerraバージョン 5.5以降UNIX/Linuxベースの Kerberosを使用した Secure NFSの場合：Kerberosバージョン 5を実行する Linux KDCまたは SEAM（Sun Enterprise Authentication Mechanism）ソフトウェア

注：その他の UNIXシステムの KDCは未テスト。

Windowsベースの Kerberosを使用した Secure NFSの場合：Windows 2000またはWindows Server 2003ドメイン

Secure NFSを使用するには、クライアント・コンピュータは次のものを実行している必要がある。• SunOSバージョン 5.8以降（NFSv4の場合は Solaris 10）• Linuxカーネル 2.4以降（NFSv4の場合は 2.6.12 _ NFSv4パッチ）• Hummingbird Maestroバージョン 7以降（バージョン 8を推奨）、NFSv4の場合はバージョン 9

• AIX 5.3 ML3

注：その他のクライアントは未テスト。

• DNS• NTP（Network Time Protocol）サーバWindows環境の場合は、Active Directoryに Celerraを構成する必要がある。

ハードウェア固有のハードウェア要件なし

ネットワーク固有のネットワーク要件なし

ストレージ固有のストレージ要件なし


ユーザー・インターフェースの選択Celerraでは、ユーザーのサポート環境とインターフェースの選択に基づいて、ネットワーク・ストレージを柔軟に管理できます。このテクニカル・モジュールでは、CLI（コマンドラインインターフェース）を使用して NFSを構成する方法について説明します。これらのタスクの一部は、Celerra Managerを使用して実行することもできます。ナビゲーション・ペインで、［NFS Exports］を選択してファイルシステムへのパスをエクスポートし、各エクスポートへのアクセスのレベルを指定します。Celerraの管理に関する補足情報については、次の資料を参照してください。◆ Learning about Celerra

◆ Celerra Manager Online Help

◆ Monitoring Celerra

◆ Celerra Network Server Documentation CDのアプリケーションのオンライン・ヘルプ・システム

制限事項Celerra Managerを使用して次の機能を構成することはできません。

◆ オートマウンタ◆ Secure NFS

◆ NFSv4の機能

Celerraの管理アプリケーションに関する最新の補足情報については、「Celerra Network Serverリリース・ノート」を参照してください。

../../mergedprojects/Concepts/Celerra_Product_Line.htm

../../HelpSystems/ManagerHelp/wwhelp/wwhimpl/java/html/wwhelp.htm


../../mergedprojects/MonitoringCelerra/Monitoring_Celerra.htm


Celerra NFSの構成のロードマップこのロードマップでは、このテクニカル・モジュールの説明に従って NFSを構成するためのプロセスを示します。このプロセスには、ロードマップのシーケンシャル・フェーズを表すコンポーネントが含まれます。さらに、非シーケンシャル・フェーズは、ロードマップのベースのブロックで表されています。各フェーズには、そのプロセスを完了するために必要なタスクが含まれます。

注：オンラインで表示している場合は、ロードマップのテキストをクリックすると、そのフェーズにアクセスできます。別のページからこのロードマップに戻るには、ページの下部にあるロードマップのシンボルをクリックしてください。


はじめに

クライアント・システムへのCelerraファイルシステムのマウント

Secure NFSの管理

NFSの管理

NFSv4の管理

マウントポイントの作成

ファイルシステムのエクスポート

ファイルシステムのマウント

基本操作

認証（次の 4つの方法のいずれか）

UNIXまたは LinuxのKerberos KDCを使用した Secure NFSの構成

付録 D： PCクライアントのNFS認証デーモン

UNIX認証（デフォルト）

Windows Kerberos KDCを使用した Secure NFSの構成

クライアント操作


はじめにNFSv2または NFSv3を使用する場合、実行することが必要なタスクはありません。デフォルトでは、NFSv3が、Celerra上でのアクティブな NFSサービスになります。ただし、NFSv4を使用する場合、次のセットアップ手順を実行します。

タスク 1：NFSv4の有効化Celerra上では、NFSv4サポートを有効化する必要があります。NFSv4サービスを有効化するには、次の手順を使用します。

はじめに

Windows Kerberos KDCを使用した Secure NFS

の構成または


または付録D： PCクライアントの NFS認証デーモン

またはUNIX認証

（デフォルト）

Secure NFSの管理

NFSv4の管理

NFSの管理


クライアント・システムへの Celerraファイルシステムのマウント



表 2 NFSv4のタスク

タスク操作処理手順

1. NFSv4サポートの有効化 20ページのタスク 1：「NFSv4の有効化」

2. NFSv4ドメインの構成 21ページのタスク 2：「NFSv4ドメインの構成」

3. ネーム・サービスへのアクセスを構成 23ページのタスク 3：「ネーム・サービスへのアクセスの構成」

4. ファイルシステムを Unicodeに変換 24ページのタスク 4：「ファイルシステムの Unicodeへの変換」

ステップ操作

1. テキスト・エディタで /nas/server/slot_<x>/netdファイルを開きます。

2. nfs startの行で、オプションの hivers=4を追加するか、オプションが存在する場合、その値を 2または 3から 4に変更します。その後、ファイルを保存して閉じます。例：nfs start openfiles=240000 nfsd=256 hivers=4

注：netdファイル内のその他の行やオプションは変更しないでください。

3. コマンド server_cpu server_<x> -reboot nowを使用して Data Moverを再起動します。


タスク 2：NFSv4ドメインの構成次のコマンドを使用して、NFSv4のドメイン名を指定します。NFSv4のドメイン名は、ローカルの DNSドメイン名と同じにするか、NFSv4に対して一意にすることができます。NFSv4ドメインは、ユーザーおよびグループのマッピングにのみ使用されます。

注：NFSv4サーバと、NFSv4サーバにアクセスするすべての NFSv4クライアントでは、同じ NFSv4ドメインを使用する必要があります。

はじめに

Windows Kerberos KDCを使用したSecure

NFSの構成または


または付録 D： PCクライアントの NFS認証デーモン

またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

NFSv4のドメイン名を指定するには、次のコマンドの文法を使用します。$ server_param <movername> -facility <facility_name> -modify <param_name> -value <new_value>

ここで：<movername> = 指定された Data Moverの名前<facility_name> = パラメータが属するデバイスの名前<param_name> = パラメータの名前<new_value> = 指定されたパラメータに設定する値例：domainパラメータに「emc.com」を設定するには、次のように入力します。$ server_param server_2 -facility nfsv4 -modify domain -value emc.com

注：パラメータ名とデバイス名は大文字と小文字が区別されます。

出力

server_2 : done

確認

domainパラメータが設定されたことを確認するには、次のコマンドの文法を使用します。$ server_param <movername> -facility <facility_name> -info <param_name>

ここで：<movername> = 指定された Data Moverの名前<facility_name> = パラメータが属するデバイスの名前<param_name> = パラメータの名前例：domainパラメータが設定されたことを確認するには、次のように入力します。$ server_param server_2 -facility nfsv4 -info domain


出力

server_2 : name = domainfacility_name = nfsv4default_value = ''current_value = 'emc.com'configured_value = emc.comuser_action = nonechange_effective = immediaterange = '*'description = Sets the NFS v4 domain


デフォルト値、現在の値、構成された値を持つ、NFSv4の全パラメータを一覧表示するには、次のコマンドを使用します。

表 3に、domainパラメータを示します。「Celerra Network Server Parameters Guide」では、Celerraのすべてのパラメータについて説明されています。

タスク 3：ネーム・サービスへのアクセスの構成Celerra上の各 Data Moverには、ユーザー名、パスワード、ホーム・ディレクトリ、グループ、ホスト名、IPアドレス、ネットグループの定義を含む、ユーザーおよびシステムの情報を検索するメカニズムが必要です。Data Moverは、ネーム・サービスにクエリーを実行してこの情報を取得します。各 Data Moverには、次のネーム・サービスのうち 1つ以上を構成できます。

◆ ローカル・ファイル（passwd、group、hosts、netgroup）

◆ NIS（Network Information Service）

◆ ホスト名および IPアドレスの解決のための DNS（Domain Name System）

◆ Sun Java System Directory Server（iPlanet）

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





確認

NFSv4の全パラメータを一覧表示するには、次のコマンドの文法を使用します。$ server_param <movername> -facility <facility_name> -list

ここで：<movername> = 指定された Data Moverの名前<facility_name> = パラメータが属するデバイスの名前例：NFSv4の全パラメータを一覧表示するには、次のコマンドの文法を使用します。$ server_param server_2 -facility nfsv4 -list

出力

server_2 : param_name facility default current configuredleaseDuration nfsv4 40 40 recallTimeout nfsv4 10 10 domain nfsv4 emc.com delegLeaseDuration nfsv4 180 180 32bitClient nfsv4 1 1

表 3 NFSv4の domainパラメータ

デバイスパラメータ値注釈 /説明

NFSv4 domain abc.def.ghi形式のドメイン名。デフォルト値は空白文字列。

NFSv4のドメイン名を指定する。

../Parameters/index.htm



注：ASCII以外の名前を持つユーザーおよびグループを使用する環境では、iPlanetを使用する必要があります。

「Configuring Celerra Naming Services」テクニカル・モジュールでは、ネーム・サービスの構成および管理に関する詳細が提供されています。

注：Celerraと、Celerraにアクセスするすべての NFSv4クライアントは、同じネーム・サービスにアクセスする必要があります。ローカル・ファイルを使用する場合、Data Moverの passwdと groupのファイルでは、クライアントで使用するものと同じコンテンツを共有する必要があります。

ユーザーおよびグループの名前を解決するように NFSv4ドメインとネーム・サービスの一方または両方を構成することに失敗した場合、次の問題が発生します。◆ ファイルまたはディレクトリを作成できない。◆ アクセスが拒否される。◆ ファイルシステム・オブジェクトの所有権が誰にも設定されない。

タスク 4：ファイルシステムの Unicodeへの変換NFSv4では、文字エンコードに UTF-8が必要です。デフォルトでは、Celerraシステムは ASCII Latin-1文字エンコードを使用するように構成されています。NFSv4クライアントからデータにアクセスするには、/nas/site/locale/xlt.cfgファイルで文字エンコード方式をUTF-8に変更する必要があります。Celerraを新規にインストールする場合、ユーザーのファイルおよびディレクトリを作成する前に、インストール中に Unicodeを有効化できます。既存の Celerraを使用する場合、NFSv4クライアントからデータにアクセスする前に、Unicodeを有効化してから、ファイルおよびディレクトリを変換する必要があります。また、適切な変換ディレクトリが作成され、必要な構成ファイルがインストールされていることを確認する必要があります。「Using International Character Sets with Celerra」テクニカル・モジュールでは、Unicodeを構成および管理する方法について説明されています。

!注意!いったん有効化した Unicodeは無効化することはできないので、ASCIIモードに戻すことはできません。

../NameServices/index.htm

../i18N/index.htm


マウントポイントの作成エクスポートされた Celerraファイルシステムをマウントするには、Data Mover上でそのファイルシステムのマウントポイント（空のディレクトリ）を作成する必要があります。オンラインの Celerraマニュアル・ページまたは「Celerra Network Serverコマンド・リファレンス・マニュアル」では、このセクションで示されているコマンドと表記規則に関する詳細な概要を提供しています。マウントポイントを作成するには、次の手順を使用します。

はじめに

Windows Kerberos KDCを使用した

Secure NFSの構成または



またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

ファイルシステムのマウントポイントを作成するには、次のコマンドの文法を使用します。$ server_mountpoint <movername> -create <pathname>

ここで： <movername> = 指定された Data Moverの名前<pathname> = マウントポイントへのパス例：

/usf1という名前のマウントポイントを server_2で作成するには、次のように入力します。$ server_mountpoint server_2 -create /ufs1

出力

server_2 : done

確認

マウントポイントが作成されたことを確認するには、次のコマンドの文法を使用します。$ server_mountpoint <movername> -list

ここで：<movername> = 指定された Data Moverの名前例：マウントポイントが作成されたことを確認するには、次のように入力します。$ server_mountpoint server_2 -list

出力

server_2 : /.etc_common /ufs1 /ufs1_ckpt1 /ufs2 /ufs3

../CommandReference/index.htm



ファイルシステムのマウントマウントポイントの作成後、server_mountコマンドを使用して、そのマウントポイントにファイルシステムをマウントします。ファイルシステムは、マウントされると、ローカルのディレクトリ・ツリーに組み込まれます。ファイルシステムは、デフォルトでは永続的にマウントされます。ファイルシステムを一時的にアンマウントした場合、ファイルサーバを再起動すると、ファイルシステムは自動的に再マウントされます。オンラインの Celerraマニュアル・ページまたは「Celerra Network Serverコマンド・リファレンス・マニュアル」では、このセクションで示されているコマンドと表記規則に関する詳細な概要を提供しています。

基本的な NFSアクセス用のファイルシステムのマウントファイルシステムを Data Moverにマウントするには、次の手順を使用します。デフォルトでは、このコマンドは、NATIVEアクセス・ポリシーを使用してファイルシステムをマウントします。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

ファイルシステムを Data Moverにマウントするには、次のコマンドの文法を使用します。$ server_mount <movername> -option <options> <fs_name> <mount_point>

ここで： <movername> = 指定された Data Moverの名前<options> = コンマで区切られた、マウント・オプションの指定<fs_name> = マウントするファイルシステム<mount_point> = 指定された Data Moverのマウントポイントへのパス

注：<mount_point>は先頭をスラッシュ（/）で始める必要があります。

例：

ファイルシステムを server_2にマウントするには、次のように入力します。$ server_mount server_2 ufs1 /ufs1

出力

server_2 : done

確認

マウントが作成されたことを確認するには、次のコマンドの文法を使用します。$ server_mount <movername>

ここで：<movername> = 指定された Data Moverの名前例：マウントが作成されたことを確認するには、次のように入力します。$ server_mount server_2




出力

server_2 : root_fs_2 on / uxfs,perm,rw root_fs_common on /.etc_common uxfs,perm,ro ufs1 on /ufs1 uxfs,perm,rw


NFSv4アクセス用のファイルシステムのマウントserver_mountコマンドの -option引数は、NFSv4クライアントからアクセスしたマウント済みファイルシステムに対して、次のようなさまざまなオプションを指定するために使用します。◆ アクセス制御および ACL（アクセス・コントロール・リスト）管理のタイプ

◆ デリゲーション・モードこれらのオプションの構成に関する詳細については、9ページの「プランニングの考慮事項」を参照してください。ファイルシステムを Data Moverにマウントするには、次の手順を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

ファイルシステムを Data Moverにマウントするには、次のコマンドの文法を使用します。$ server_mount <movername> -option <options> <fs_name> <mount_point>

ここで： <movername> = 指定された Data Moverの名前<options> = コンマで区切られた、マウント・オプションの指定<fs_name> = マウントするファイルシステム<mount_point> = 指定された Data Moverのマウントポイントへのパス

注：<mount_point>は先頭をスラッシュ（/）で始める必要があります。

例：

server_2にファイルシステムをマウントし、ファイルシステム ufs1のアクセス・ポリシーにMIXEDを設定するには、次のように入力します。$ server_mount server_2 -option accesspolicy=MIXED ufs1 /ufs1

server_2にファイルシステムをマウントし、ファイルシステム ufs1の読み取り /書き込みのデリゲーションを無効にするには、次のように入力します。$ server_mount server_2 -option nfsv4delegation=NONE ufs1 /ufs1

出力

server_2 : done


ファイルシステムのアンマウントserver_umountコマンドを使用すると、ファイルシステムを Data Moverから一時的または永続的にアンマウントすることができます。EMCでは、特にファイルシステムを永続的にアンマウントする場合、Data Mover上のファイルシステムをすべてアンマウントする前に、（server_export -unexportオプションを使用して）ファイルシステムの NFSエクスポートをアンエクスポートすることを推奨します。ファイルシステムのマウント方法を変更するには、server_umountコマンドを使用して Data Mover上のファイルシステムを永続的にアンマウントしてから、ファイルシステムを再マウントします。「Managing Celerra Volumes and File Systems Manually」テクニカル・モジュールでは、ファイルシステムのアンマウントに関する詳細が提供されています。

注：server_umountコマンドを使用すると、NFSv4デリゲーションがすべてリコールされ、未処理のロックがすべて解除されます。

../VolFSManually/index.htm


ファイルシステムのエクスポート Celerraファイルシステムを NFSユーザーが使用できるようにするには、server_exportコマンドを使用して、ファイルシステムへのパスをエクスポートする必要があります。server_exportコマンドを発行するたびに、エントリーがエクスポート・テーブルの既存のエントリーに追加されます。テーブルへのエントリーは永続的であり、システムが再起動すると自動的に再エクスポートされます。次のような -option引数を使用して、エクスポートされた各ファイルシステムの NFSクライアントに複数のオプションを指定できます。

◆ 読み取り /書き込みアクセスのレベル

◆ VLANによるアクセス制限

◆ 排他的な NFSv4アクセス

◆ ユーザー認証方法これらのオプションの詳細については、9ページの「プランニングの考慮事項」を参照してください。オンラインの Celerraマニュアル・ページまたは「Celerra Network Serverコマンド・リファレンス・マニュアル」では、このセクションで示されているコマンドと文法表記規則に関する詳細な概要を提供しています。

基本的な NFSアクセス用のファイルシステムのエクスポートクライアント・システムからの NFSアクセス用に特定の Data Moverから Celerraファイルシステムをエクスポートするには、次のコマンドを使用します。デフォルトでは、このコマンドは、すべての NFSクライアント用にファイルシステムを読み取り /書き込みとしてエクスポートし、UNIXのユーザー認証を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

NFSアクセス用に Celerraファイルシステムをエクスポートするには、次のコマンドの文法を使用します。$ server_export <movername> -Protocol nfs [-name <name>][-ignore][-option <options>] [-comment <comment>] <pathname>

ここで：<movername> = 指定された Data Moverの名前<name> = NFSエクスポートのオプション名<options> = NFSエクスポートのカスタマイズに利用できるオプション<comment> = NFSエクスポートに関連づけられるオプションのコメント<pathname> = NFSエクスポートのパス名例：NFSアクセス用にファイルシステムをエクスポートするには、次のように入力します。$ server_export server_2 -Protocol nfs -name nasdocsfs -comment 'NFS Export for ufs1' /ufs1

NFSアクセス用にすべてのファイルシステムをエクスポートするには、次のように入力します。$ server_export server_2 -Protocol nfs -all




アクセス・レベルの指定エクスポートされた各ファイルシステムの NFSクライアントで利用可能な読み取り /書き込みアクセスのレベルを指定するには、server_exportコマンドで-option引数を使用します。クライアントは、ホスト名、ネットグループ、サブネット、IPアドレスで識別されます。

注：モード・ビットまたは ACLを使用して、個別のユーザー・アクセスを指定してください。これらのオプションの詳細については、9ページの「プランニングの考慮事項」を参照してください。

出力

server_2: done

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





確認

ファイルシステムがエクスポートされたことを確認するには、次のコマンドの文法を使用します。$ server_export <movername> -list <pathname>

ここで：<movername> = 指定された Data Moverの名前<pathname> = NFSエクスポートのパス名。パス名を指定しない場合、ファイルシステムのエクスポートおよび共有がすべて一覧表示される。例：ファイルシステムがエクスポートされたことを確認するには、次のように入力します。$ server_export server_2 -list /ufs1

出力

server_2 : export "/ufs1" name=/nasdocsfs comment="NFS Export for ufs1"


アクセス・レベルを指定するには、次の手順を使用します。

操作

エクスポートされたファイルシステム上でアクセス・レベルを指定するには、次のコマンドの文法を使用します。$ server_export <movername> -Protocol nfs -option <options> <pathname>

ここで： <movername> = 指定された Data Moverの名前<options> = コンマで区切られた、エクスポート・オプションの指定<pathname> = 指定されたパス例：

すべての NFSクライアント用にファイルシステム /ufs1を読み取り専用としてエクスポートするには、次のように入力します。$ server_export server_2 -Protocol nfs -option ro /ufs1

指定した NFSクライアント用にファイルシステム /ufs1を読み取り専用としてエクスポートするには、次のように入力します。$ server_export server_2 -Protocol nfs -option ro,access=172.24.102.0/255.255.255.0 /ufs1

指定した NFSクライアント用にファイルシステム /ufs1を読み取り専用として root権限を付与してエクスポートするには、次のように入力します。$ server_export server_2 -Protocol nfs -option ro,root=172.24.102.240,access=172.24.102.0/255.255.255.0 /ufs1

出力

server_2 : done


表 4に、アクセス・オプションを示します。

ro=、rw=、access=、root=には、ホスト名、ネットグループ、サブネット、IPアドレスでクライアントを記述することができ、スペースではなくコロンで区切る必要があります。また、たとえば、rw=-host1のように、ro=、rw=、access=に対する入力の前にダッシュ（-）を使用して、アクセスを除外することもできます。アクセス・オプションの設定方法およびその設定の意味に関する詳細については、116ページの「付録 A：システム・アクセスの動作」を参照してください。

重要：secオプションを使用してユーザー認証方法を定義する場合、アクセス・オプションを定義する前にユーザー認証方法を指定する必要があります。そうしない場合、エクスポートは失敗します。セキュリティ・オプションを定義する際に遵守すべき規則については、122ページの「付録 B：ユーザー認証動作」を参照してください。

VLANによるアクセス制限vlanオプションを設定すると、エクスポートされたファイルシステムのアクセスを特定の VLANに属するホストに制限することができます。それ以外の VLAN上のホストでは、アクセスが拒否されます。単一または複数の VLANを指定できます。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





表 4 NFSエクスポートのアクセス・オプション

オプション説明

ro すべての NFSクライアントに読み取り専用としてパスをエクスポートする。

ro=<clients> 指定した NFSクライアントに読み取り専用としてパスをエクスポートする。

rw=<clients> 指定したクライアントに読み取り /書き込みとしてパスをエクスポートする。その他のオプションを指定しない場合、すべてのクライアントに読み取り専用のアクセスが許可される。

access=<clients> 指定したクライアントにデフォルトのアクセスを付与する。アクセスが明示的に付与されていない NFSクライアントのアクセスは拒否する。

root=<clients> root=にクライアントを指定することで、exportコマンドに記述されるクライアントにルート・アクセスを与える。ただし、ルート・アクセスを設定しても、エクスポート自体へのアクセスは付与されない。ルート・アクセスはその他の権限に追加される。


指定した VLANに含まれているクライアント・システムからのアクセス用として、特定の Data Moverから Celerraファイルシステムをエクスポートするには、次の手順を使用します。

NFSv4アクセスの指定通常、ファイルシステムは NFSプロトコルのすべてのバージョンにエクスポートされます。ファイルシステムへのアクセスは、nfsv4onlyオプションを設定して制限することができます。

注：netdファイルで nfs startコマンドの hiversオプションを設定して NFSv4サービスを有効化せずに、nfsv4onlyオプションを使用してファイルシステムをエクスポートすると、問題がログに記録されますがエクスポートは継続されます。エクスポートは失敗しませんが、NFSv2、NFSv3、NFSv4によるアクセスはブロックされます。

重要：secオプションを使用してユーザー認証方法を定義する場合、nfsv4onlyオプションを定義する前にユーザー認証方法を指定する必要があります。そうしない場合、エクスポートは失敗します。セキュリティ・オプションを定義する際に遵守すべき規則については、122ページの「付録 B：ユーザー認証動作」を参照してください。

クライアント・システムからの NFSv4アクセス用に特定の Data MoverからCelerraファイルシステムをエクスポートするには、次の手順を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

指定した VLANに含まれているクライアント・システムからの NFSアクセス用に Celerraファイルシステムをエクスポートするには、次のコマンドの文法を使用します。$ server_export <movername> -Protocol nfs [-option <options>] <pathname>

ここで：<movername> = 指定された Data Moverの名前<options> = NFSエクスポートのカスタマイズに利用できるオプション<pathname> = NFSエクスポートのパス名例：指定した VLANに含まれているクライアント・システムからの NFSアクセス用にファイルシステムをエクスポートするには、次のように入力します。$ server_export server_2 -Protocol nfs -option vlan=102,103,104

出力

server_2: done


ユーザー認証方法の指定ファイルシステムをエクスポートするとき、NFSサービスでのユーザー認証方法を指定します。この方法には、次のいずれかを指定します。◆ UNIXセキュリティ◆ Kerberos

UNIXセキュリティ（AUTH_SYSセキュリティとも呼ばれる）は、すべての標準の NFSクライアントおよびサーバで使用するデフォルトの認証方法です。UNIXセキュリティは、セキュリティ・オプションの sysを使用して指定します。

Secure NFSでは、Kerberosベースのユーザーおよびデータの認証、整合性、プライバシーを提供します。Secure NFSでは、次のセキュリティ・オプションをサポートおよび指定します。

◆ krb5：Kerberosのユーザーおよびデータの認証。

◆ krb5i：各 NFSパケットへのシグナチャの追加による、Kerberosによる認証およびデータの整合性。

◆ krb5p：データをネットワークに送信する前に暗号化する、Kerberosによる認証とデータのプライバシー。データの暗号化には、システム処理リソースを追加する必要がある。

これらのオプションの詳細については、9ページの「ユーザー認証」を参照してください。

重要：EMCでは、まず、デフォルトの UNIXセキュリティのユーザー認証方法を使用して NFSを構成することを推奨します。Secure NFSは、NFSサービスが正常に実行されてから構成してください。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

NFSアクセス用に Celerraファイルシステムをエクスポートするには、次のコマンドの文法を使用します。$ server_export <movername> -Protocol nfs [-option <options>] <pathname>

ここで：<movername> = 指定された Data Moverの名前<options> = NFSエクスポートのカスタマイズに利用できるオプション<pathname> = NFSエクスポートのパス名例：NFSアクセス用にファイルシステムをエクスポートするには、次のように入力します。$ server_export server_2 -Protocol nfs -option nfsv4only /ufs1

出力

server_2: done


Kerberos認証用のファイルシステムのエクスポート前提条件：Kerberos認証を使用してファイルシステムをエクスポートするには、Secure NFSを設定する必要があります。Secure NFSの構成に関する詳細については、38ページの「Windows Kerberos KDCを使用した Secure NFSの構成」および 51ページの「UNIXまたは Linuxの Kerberos KDCを使用した Secure NFSの構成」を参照してください。 Kerberos認証を使用して、特定の Data Moverから Celerraファイルシステムをエクスポートするには、次の手順を使用します。UNIX認証情報を提示するユーザーにはアクセスは許可されません。デフォルトでは、このコマンドは、すべての NFSクライアント用にファイルシステムを読み取り /書き込みとしてエクスポートします。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

Kerberos認証を使用して Celerraファイルシステムをエクスポートするには、次のコマンドの文法を使用します。$ server_export <movername> -Protocol nfs -option <options> <pathname>

ここで：<movername> = 指定された Data Moverの名前<options> = NFSエクスポートのカスタマイズに利用できるオプション<pathname> = NFSエクスポートのパス名例：Kerberos認証を使用してファイルシステムをエクスポートするには、次のように入力します。$ server_export lngbe245 -Protocol nfs -option sec=krb5 /ufs1

出力

lngbe245: done


UNIXおよび Kerberosの認証のためのファイルシステムのエクスポート前提条件：Kerberos認証を使用してファイルシステムをエクスポートするには、Secure NFSを設定する必要があります。Secure NFSの構成に関する詳細については、38ページの「Windows Kerberos KDCを使用した Secure NFSの構成」および 51ページの「UNIXまたは Linuxの Kerberos KDCを使用した Secure NFSの構成」を参照してください。

特定の Data Moverから Celerraファイルシステムをエクスポートするには、次の手順を使用します。この例では、UNIX認証情報を使用して認証を受けるユーザーには、読み取り専用のアクセスが許可されます。また、Kerberosを使用して認証を受けるユーザーには、ファイルシステムへの読み取り /書き込みアクセスが許可されます。

次に行うべきことデフォルトの UNIXセキュリティ方式（AUTH_SYSセキュリティとも呼ばれる）以外のユーザー認証方法を使用する場合、次のステップは、Secure NFS、またはPCクライアント用の NFS認証デーモンを構成することです。Secure NFSの構成方法については、38ページの「Windows Kerberos KDCを使用した Secure NFSの構成」および 51ページの「UNIXまたは Linuxの Kerberos KDCを使用した Secure NFSの構成」を参照してください。デーモンについては、128ページの「付録 D： PCクライアントの NFS認証デーモン」を参照してください。

認証方法を構成したら、Celerraファイルシステムをクライアント・システムにマウントする必要があります。詳細については、68ページの「クライアント・システムへの Celerraファイルシステムのマウント」を参照してください。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

UNIXおよび Kerberosの認証を使用して Celerraファイルシステムをエクスポートするには、次のコマンドの文法を使用します。$ server_export <movername> -Protocol nfs -option <options> <pathname>

ここで：<movername> = 指定された Data Moverの名前<options> = NFSエクスポートのカスタマイズに利用できるオプション<pathname> = NFSエクスポートのパス名例：UNIXおよび Kerberos認証の両方を使用してファイルシステムをエクスポートするには、次のように入力します。$ server_export lngbe245 -Protocol nfs -option sec=krb5,sec=sys:ro /ufs1

出力

lngbe245: done


Windows Kerberos KDCを使用した Secure NFSの構成Secure NFSでは、Windowsまたは UNIX/Linuxの Kerberos KDCの使用がサポートされています。これらのオプションの詳細については、9ページの「プランニングの考慮事項」を参照してください。Windows環境で Secure NFSを構成する前に、Windows 2000またはWindows Server 2003のドメイン、ならびにタイム・サーバ、ネーム・サービス（理想的には NIS）へのアクセスを構成する必要があります。

◆ Data Mover、NFSクライアント、KDCのシステム時間は、すべてをほぼ同じ時刻に設定する必要があります。これは、レルムのすべてのクロックが、Kerberos認証を実行できるよう同期する必要があるためです。「Configuring Celerra Time Services」テクニカル・モジュールでは、タイム・サービスの構成方法について説明されています。

◆ UIDに対するユーザーおよび GIDに対するグループを解決するには、EMCでは、Secure NFSと NISまたは iPlanetを併用することを推奨します。Kerberos KDC、すべてのクライアント、すべての Data Moverは、同じ NISまたは iPlanetのドメインのメンバーである必要があります。NISと iPlanetのどちらも使用していない場合、Data Mover上で /etc/passwdファイルにすべてのユーザー名を追加し、/etc/groupファイルにグループを追加する必要があります。「Configuring Celerra Naming Services」テクニカル・モジュールでは、NISおよび iPlanetへのアクセスを構成する方法について説明されています。

Windows KDCを使用した Secure NFSの構成は、次のタスクで構成されます。

オンラインの Celerraマニュアル・ページまたは「Celerra Network Serverコマンド・リファレンス・マニュアル」では、このセクションで示されているコマンドと文法表記規則に関する詳細な概要を提供しています。

はじめに


Secure NFSの構成

Secure NFSの管理

NFSv4の管理

NFSの管理





表 5 Secure NFSのタスクを使用したユーザー認証の構成

タスク操作処理手順

1. 動的な更新の有効化 39ページの「逆引き参照の動的な更新の有効化」

2. CIFSの構成 41ページの「CIFSの構成」

3. Secure NFSサービス・インスタンスの設定 44ページの「Secure NFSサービス・インスタンスの設定」

4. NFSのユーザーおよびグループのマッピング・サービスの設定

47ページの「NFSのユーザーおよびグループのマッピング・サービスの設定」

5. ACEの並べ替え 49ページの「ACEの並べ替え（マルチプロトコル環境のみ）」

../TimeServices/index.htm






タスク 1：逆引き参照の動的な更新の有効化DNSでは、IPアドレスへのホスト名のマッピングを保持します。また、DNSでは、IPアドレスをホスト名にマッピングする PTR（ポインタ）レコードを保持することで逆引き参照を行うこともできます。Data Moverの DNSクライアントに、すべての CIFSサーバの PTRレコードを動的に更新するよう指示するには、updatePTRrecordパラメータを設定します。

注：PTRレコードは手動で更新できます。

server_paramコマンドまたは Celerra Managerグラフィカル・ユーザー・インターフェースを使用することで、パラメータ値を表示および動的に変更できます。このテクニカル・モジュールでは、コマンドライン・プロシージャについてのみ説明しています。「Celerra Manager Online Help」では、グラフィカル・ユーザー・インターフェースを使用してパラメータ値を変更する方法について説明されています。「Celerra Network Server Parameters Guide」では、Celerraのすべてのパラメータについて説明されています。Data Moverの DNSクライアントに、すべての CIFSサーバの PTRレコードを更新するよう指示するには、次のコマンドを使用します。

はじめに


Secure NFSの構成

Secure NFSの管理

NFSv4の管理

NFSの管理





操作

Data Moverの DNSクライアントに、すべての CIFSサーバの PTRレコードを更新するよう指示するには、次のコマンドの文法を使用します。$ server_param <movername> -facility <facility_name> -modify <param_name> -value <new_value>

ここで：<movername> = 指定された Data Moverの名前<facility_name> = パラメータが属するデバイスの名前<param_name> = パラメータの名前<new_value> = 指定されたパラメータに設定する値例：cifs acl.sortAcesパラメータを 1に設定するには、次のように入力します。$ server_param server_2 -facility dns -modify updatePTRrecord -value 1


出力

server_2 : done




表 6では、updatePTRrecordパラメータについて示しています。

はじめに


Secure NFSの構成

Secure NFSの管理

NFSv4の管理

NFSの管理





表 6 DNS updatePTRrecordパラメータ

モジュールパラメータ値注釈 /説明

DNS updatePTRrecord 0 （無効：デフォルト）または 1（有効）

Data Moverの DNSクライアントに、すべての CIFSサーバの PTRレコードを更新するよう指示するために使用される。param DNS updatePTRrecord=0の場合、DNSクライアントは PTRレコードを更新しない。param DNS updatePTRrecord=1の場合、DNSクライアントは PTRレコードの更新を許可される。


タスク 2：CIFSの構成Windows KDCを使用している場合、KDCにアクセスするために Data Mover上でCIFSを構成する必要があります。

Data Mover上で CIFSを構成するには、次の手順を使用します。「Celerra CIFSの構成方法」テクニカル・モジュールでは、構成に関する詳細が提供されています。

はじめに


Secure NFSの構成

Secure NFSの管理

NFSv4の管理

NFSの管理





ステップ操作

1. 次のコマンドの文法を使用して、Data Mover上で CIFSサーバを作成します。$ server_cifs <movername> -add compname=<comp_name>, domain=<full_domain_name>

例：server_2で CIFSサーバ cifsserverを作成するには、次のように入力します。$ server_cifs server_2 -add compname=cifsserver, domain=emc.com

注：オンラインの Celerraマニュアル・ページまたは「Celerra Network Serverコマンド・リファレンス・マニュアル」では、server_cifsコマンドの追加のオプションについて説明されています。

2. 次のコマンドの文法を使用して、CIFSサービスを開始し、Data Moverの CIFSプロトコルをアクティブ化します。$ server_setup <movername> -Protocol cifs -option start[=<n>]

例：server_2で CIFSサービスを開始するには、次のように入力します。$ server_setup server_2 -Protocol cifs -option start

[=<n>] = CIFSユーザーのスレッドの数（Data Mover上にメモリが 1 GBある場合、デフォルトのスレッドの数は 96個です。ただし、1 GBを超えるメモリが存在する場合、デフォルトのスレッドの数は 256個になります）。

注：Secure NFSサービスでは、CIFSのスレッドを追加する必要はありません。

3. まだ参加させていない場合、次のコマンドの文法を使用して CIFSサーバをWindowsドメインに参加させます。$ server_cifs <movername> -Join compname=<comp_name>,domain=<full_domain_name>,admin=<domain_administrator_name>,ou=<organizational_unit>

例：管理者アカウントを使用して cifsserverを Active Directoryドメイン emc.comに参加させ、このサーバを Engineering\Computers組織単位に追加するには、次のように入力します。$ server_cifs server_2 -Join compname=cifsserver, domain=emc.com, admin=administrator,ou="ou=Computers:ou=Engineering"server_2 : Enter Password:*******done






4. 次のコマンドの文法を使用して、コンピュータ・アカウントにNFSサービスを追加します。$ server_cifs <movername> -Join compname=<comp_name>,domain=<full_domain_name>,admin=<domain_administrator_name>,ou=<organizational_unit> -options addservice=nfs

例：前のステップでWindowsドメインに参加させたサーバに NFSサービスを追加するには、次のように入力します。$ server_cifs server_2 -Join compname=cifsserver, domain=emc.com, admin=administrator -options addservice=nfsserver_2 : Enter Password:*******done

5. 次のコマンドの文法を使用してマウントポイントを作成します。$ server_mountpoint <movername> -create <pathname>

ここで： <movername> = 指定された Data Moverの名前<pathname> = マウントポイントへのパス例：

/usf1という名前のマウントポイントを server_2で作成するには、次のように入力します。$ server_mountpoint server_2 -create /ufs1

6. マウントポイントを作成したら、次のコマンドの文法を使用してファイルシステムをマウントします。$ server_mount <movername> -option <options> <fs_name> <mount_point>

例：ファイルシステム ufs1を server_2にマウントするには、次のように入力します。$ server_mount server_2 -option accesspolicy=MIXED ufs1 /ufs1

7. ファイルシステムを NFSユーザーが使用できるようにするには、ファイルシステムへのパスをエクスポートします。次のコマンドの文法を使用して、NFSアクセス用のファイルシステムを作成します。$ server_export <movername> -Protocol nfs <pathname>

ここで： <movername> = 指定された Data Moverの名前<pathname> = マウントポイントへのパス例：NFSアクセス用のファイルシステムを作成するには、次のように入力します。$ server_export server_2 -Protocol nfs -name /ufs1

ステップ操作（続き）


8. （オプション）NFSと CIFSの両方のユーザーに同じファイルシステムにアクセスさせる環境を使用する場合、CIFS共用を作成する必要があります。共有のパス名をエクスポートして CIFSアクセスの共有を作成するには、次のコマンドの文法を使用します。$ server_export <movername> -Protocol cifs -name <sharename> <pathname>

ここで： <movername> = 指定された Data Moverの名前<sharename> = CIFS共有の名前<pathname> = マウントポイントへのパス例：cifs_shareという名前の共有を server_2で作成するには、次のように入力します。$ server_export server_2 -Protocol cifs -name cifs_share /ufs1



タスク 3：Secure NFSサービス・インスタンスの設定Secure NFSサービスで Kerberosの認証を行ってからユーザー認証を行うには、Secure NFSサービス・インスタンスが必要です。これは、service@serverの形式で表されます。ここで、serviceは NFS、serverは Data Moverのホスト名を表し、たとえば、nfs@server_2となります。

Celerraをインストールすると、Secure NFSインスタンスは、デフォルトでは、Secure NFS構成ファイルに追加されます。このインスタンスを使用するか、新しいインスタンスを作成できます。

Secure NFSの初期構成の表示Data Mover上で Secure NFSサービスの初期構成を表示するには、次の手順を使用します。

はじめに


Secure NFSの構成

Secure NFSの管理

NFSv4の管理

NFSの管理




ファイルシステムのエクスポート操作

Secure NFSサービスの構成を表示するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs

ここで：<movername> = 指定された Data Moverの名前例：Secure NFSサービスの構成を表示するには、次のように入力します。$ server_nfs server_2 -secnfs

出力

server_2 :RPCSEC_GSS server stats

Credential count: 1 principal: nfs@server_2 Total number of user contexts: 0 Current context handle: 1


Secure NFSサービス・インスタンスの作成Secure NFSインスタンスを作成するには、次の手順を使用します。

はじめに


Secure NFSの構成

Secure NFSの管理

NFSv4の管理

NFSの管理





ステップ操作

1. デフォルトの Secure NFSインスタンスを削除するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -principal -delete <service@server>

ここで：<movername> = 指定された Data Moverの名前<service@server> = サービスおよびレルムのタイプ例：server_2のデフォルトの Secure NFSインスタンスを削除するには、次のように入力します。$ server_nfs server_2 -secnfs -principal -delete nfs@server_2

出力：server_2 : done

2. 新しい Secure NFSサービスを追加するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -principal -create <service@server>

ここで：<movername> = 指定された Data Moverの名前<service@server> = サービスおよびレルムのタイプ

注：nfs@<Data_Mover_host_name>および nfs@<Data_Mover_fqdn>の両方の形式を使用して、サービスを 2回追加する必要があります。

例：新しいホスト名に Secure NFSサービスを追加するには、次のように入力します。$ server_nfs server_2 -secnfs -principal -create nfs@cifsserver


サーバの完全修飾ドメイン名を使用して 2つ目のサービス・インスタンスを追加するには、次のように入力します。$ server_nfs server_2 -secnfs -principal -create [email protected]

3. Secure NFSサービスを停止するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -service -stop

ここで：<movername> = 指定された Data Moverの名前例：server_2の Secure NFSサービスを停止するには、次のように入力します。$ server_nfs server_2 -secnfs -service -stop



4. Secure NFSサービスを開始するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -service -start

ここで：<movername> = 指定された Data Moverの名前例：server_2の Secure NFSサービスを開始するには、次のように入力します。$ server_nfs server_2 -secnfs -service -start




タスク 4：NFSのユーザーおよびグループのマッピング・サービスの設定Secure NFS環境では、ユーザー認証は Kerberosプリンシパル名に基づいています。ただし、エクスポートされたファイルシステム内のファイルおよびディレクトリへのアクセスは、UIDおよび GIDに基づいています。ユーザーの Kerberosプリンシパル名は、マッピング・サービスを使用して UIDにマッピングされます。ユーザー認証の間、このマッピング情報は、Kerberos対応サービスへのデータ・アクセスを決定するために使用されます。Windows Kerberos KDCを使用している場合、マッピングは自動的に実行されます（デフォルトの方法）。自動マッピングを使用する場合、ユーザーの UNIX名はユーザーの Kerberosプリンシパル名から生成されます。つまり、UNIXユーザーのネームスペースは Kerberosユーザーのネームスペースと同じになり、すべてのユーザーが、Kerberosと UNIXに同じ名前で認識されるということです。ユーザー認証中に、ユーザーの UIDとプライマリおよびセカンダリの GIDは、Secure NFSのマッピング・サービスで生成されます。マッピングは必要に応じて自動的に生成されるので、マッピング・ファイルは作成されません。

注：このマッピング・サービスを、CIFSで使用される Celerraの UserMapper機能と混同しないよう注意してください。

自動マッピングの仕組みKerberosを使用して NFSユーザーが認証を行うと、ユーザー・プリンシパルのレルムコンポーネントは削除され、システムにより、UNIXユーザー・データベース（NISまたはローカルの /etc/passwdファイル）でユーザー名が検索されます。たとえば、プリンシパル [email protected]が、Kerberosのセキュリティ・オプションを使用してエクスポートされたファイルシステムにアクセスしようとすると、システムはプリンシパルを認証してから、ユーザー名 johnのみを使用してパスワード・データベースでユーザーを検索して、ユーザーの UIDおよびプライマリ GIDを取得します。グループ・メンバーシップはグループ・データベースから取得されます。

注：「Configuring Celerra Naming Services」テクニカル・モジュールでは、パスワード・ファイルの作成方法について説明されています。

はじめに


Secure NFSの構成

Secure NFSの管理

NFSv4の管理

NFSの管理







自動マッピングの使用マッピング方法を確認するには、次の手順を使用します。

このオプションが automapに設定されていない場合、次の手順を使用して自動マッピングを設定します。

注：自動マッピングが機能していない場合、server_logにメッセージが送信されます。

確認

Secure NFSで使用するマッピング・サービスのタイプを確認するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -mapper -info

ここで：<movername> = 指定された Data Moverの名前例：server_2のマッピング・サービスの一覧を表示するには、次のように入力します。$ server_nfs server_2 -secnfs -mapper -info

出力

server_2: Current NFS user mapping configuration is:Config_Gsscred::initialize: Reading NFS user mapper configuration: /.etc/gsscred.conf... gsscred db = automap gsscred db version = None passwd db = NIS

注

Config_Gsscredメッセージは、Secure NFSのマッピングの初期化中にのみ表示されます。

操作

マッピング方法として自動マッピングを設定するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -mapper -set -source auto

ここで：<movername> = 指定された Data Moverの名前例：server_2に自動マッピングを設定するには、次のように入力します。$ server_nfs server_2 -secnfs -mapper -set -source auto

出力

server_2: done


タスク 5：ACEの並べ替え（マルチプロトコル環境のみ）ACLを構成する ACEの順序づけには標準の方法はありません。SolarisなどのUNIXクライアントでは、Windowsクライアントとは異なる方法で ACEを順序づけます。UNIXとWindowsの両方のクライアントがファイルシステムにアクセスするマルチプロトコル環境では、ACEの順序は、ACLを設定または変更したプロトコル（NFSまたは CIFS）によって異なる場合があります。アプリケーションによっては、ACEをアプリケーション固有の順序に設定する場合があります。これにより、ファイルシステム・オブジェクトの ACLをWindowsエクスプローラで開いたときに、望ましい ACEの順序ではない場合は、ACEの順序が正しくないことを警告するポップアップがWindowsクライアントに表示され、ACEが並べ替えられます。Windowsエクスプローラが要求する順序にオブジェクトの ACEを常に並べ替えるよう、Data Moverに指示するには、acl.sortAcesパラメータを設定します。

server_paramコマンドまたは Celerra Managerグラフィカル・ユーザー・インターフェースを使用することで、パラメータ値を表示および動的に変更できます。このテクニカル・モジュールでは、コマンドライン・プロシージャについてのみ説明しています。「Celerra Manager Online Help」では、グラフィカル・ユーザー・インターフェースを使用してパラメータ値を変更する方法について説明されています。「Celerra Network Server Parameters Guide」では、Celerraのすべてのパラメータについて説明されています。Windowsエクスプローラが要求する順序に ACEを並べ替えるには、次のコマンドを使用します。

はじめに


Secure NFSの構成

Secure NFSの管理

NFSv4の管理

NFSの管理





操作

Windowsエクスプローラが要求する順序に ACEを並べ替えるには、次のコマンドの文法を使用します。$ server_param <movername> -facility <facility_name> -modify <param_name> -value <new_value>

ここで：<movername> = 指定された Data Moverの名前<facility_name> = パラメータが属するデバイスの名前<param_name> = パラメータの名前<new_value> = 指定されたパラメータに設定する値例：cifs acl.sortAcesパラメータを 1に設定するには、次のように入力します。$ server_param server_2 -facility cifs -modify acl.sortAces -value 1


出力

server_2 : done




表 7では、acl.sortAcesパラメータについて示しています。

はじめに


Secure NFSの構成

Secure NFSの管理

NFSv4の管理

NFSの管理





表 7 CIFS acl.sortAcesパラメータ


CIFS acl.sortAces 0 （無効：デフォルト）または 1（有効）

Windowsエクスプローラが要求する順序に ACLの ACEを並べ替えるために使用される。param CIFS acl.sortAces=0の場合、ACEは並べ替えられない。param CIFS acl.sortAces=1の場合、CIFSまたは NFSv4によって設定されたACLの ACEを次のように並べ替えることができる。1. 継承拒否 ACE2. 継承許可 ACE3. 非継承拒否 ACE4. 非継承許可 ACE


UNIXまたは Linuxの Kerberos KDCを使用したSecure NFSの構成Secure NFSでは、Windowsまたは UNIX/Linuxの Kerberos KDCの使用がサポートされています。これらのオプションの詳細については、9ページの「プランニングの考慮事項」を参照してください。Secure NFSを構成する前に、Kerberos KDCのインストールおよび構成と、DNS、タイム・サーバ、ネーム・サービス（NISが望ましい）へのアクセスを構成する必要があります。◆ Kerberos KDCは、SEAM（Sun Enterprise Authentication Mechanism）ソフトウェアを使用した Solaris Kerberos KDC、または Linux Kerberos KDCのいずれかです。詳細については、Sun Webサイトで利用可能な SEAMのマニュアル、または Linuxの標準のマニュアルを参照してください。

注：その他の UNIXシステムの KDCは未テストです。

◆ KDCの構成後、Kerberos KDCをホストするサーバのホスト（A）リソース・レコードを DNS構成に追加します。また、DNSにアクセスするように Data Moverおよび NFSクライアントを構成する必要があります。

◆ Data Mover、NFSクライアント、KDCのシステム時間は、ほぼ同じ時刻に設定する必要があります。これは、レルムのすべてのクロックが、Kerberos認証を実行できるよう同期する必要があるためです。「Configuring Celerra Time Services」テクニカル・モジュールでは、タイム・サービスの構成方法について説明されています。

◆ UIDに対するユーザーおよび GIDに対するグループを解決するには、EMCでは、Secure NFSと NISまたは iPlanetを併用することを推奨します。Kerberos KDC、すべてのクライアント、すべての Data Moverは、同じ NISまたは iPlanetのドメインのメンバーである必要があります。NISと iPlanetのどちらも使用していない場合、Data Mover上で /etc/passwdファイルにすべてのユーザー名を追加し、/etc/groupファイルにグループを追加する必要があります。「Configuring Celerra Naming Services」テクニカル・モジュールでは、NISおよび iPlanetへのアクセスを構成する方法について説明されています。

はじめに


Secure NFSの管理

NFSv4の管理

NFSの管理









Secure NFSの構成は、次のタスクで構成されます。

オンラインの Celerraマニュアル・ページまたは「Celerra Network Serverコマンド・リファレンス・マニュアル」では、このセクションで示されているコマンドと文法表記規則に関する詳細な概要を提供しています。

表 8 Secure NFSのタスクを使用したユーザー認証の構成

タスク操作手順

1. Data Moverの名前の変更 53ページの「Data Moverの名前の設定」

2. Kerberosレルムの構成 54ページの「Kerberosレルムの構成」

3. Secure NFSサービス・インスタンスの設定 44ページの「Secure NFSサービス・インスタンスの設定」

4. Kerberosプリンシパルの作成 57ページの「NFS Kerberosサービス・プリンシパルの作成」

5. プリンシパル名への UIDのマッピング 47ページの「NFSのユーザーおよびグループのマッピング・サービスの設定」




タスク 1：Data Moverの名前の設定Kerberosレルムでは、各 Data Moverに一意の名前が必要です。このため、Data Moverの名前を設定する必要があります。たとえば、ホスト名として Data Moverの名前を使用しており、同じ Kerberosレルムに複数の Celerraシステムが存在する場合、Data Moverの名前を変更する必要があります。

注：一意のホスト名と IPアドレスが Data Moverのインターフェースに関連づけられている場合、Data Moverの名前を設定する必要はありません。

Data Moverの名前を設定するには、次の手順を使用します。

はじめに


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

Data Moverの名前を設定するには、次のコマンドの文法を使用します。 $ server_name <movername> <new_name>

ここで：<movername> = 指定された Data Moverの名前<new_name> = Data Moverの新しい名前例：$ server_name server_2 lngbe245

注：Data Moverの名前を変更する場合、その名前を DNSサーバに追加してください。

出力

server_2 : lngbe245


タスク 2：Kerberosレルムの構成Kerberosレルムおよび DNSドメインに関する情報を Data Mover上の Kerberos構成に追加します。次の処理が必要です。◆ KDCおよび DNSドメインを少なくとも 1つずつ指定する。

◆ デフォルトのレルムとして Secure NFSで使用するレルムを宣言する。

Secure NFSの Kerberos認証を構成するには、次の手順を使用します。

はじめに


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

ドメインおよびレルムについての情報を入力するには、次のコマンドの文法を使用します。$ server_kerberos <movername> -add realm=<realm_name>,kdc=<fqdn_kdc_name>,kadmin=<kadmin_server>,domain=<domain_name>,defaultrealm

ここで：<movername> = 指定された Data Moverの名前<realm_ name> = KDC（キー配布センター）構成に追加する Kerberosレルムの FQDN（完全修飾ドメイン名）<fqdn_kdc_name> = 指定されたレルムに対する KDCの FQDN<kadmin_server> = kadminサーバの FQDN<domain_name> = レルムに対するDNSドメインの完全な名前（レルムとDNSドメインが同じ場合は省略可能）defaultrealm = 追加されるレルムがデフォルトとして使用されるものであることを示す（必須）例：lngbe245のドメインおよびレルムについての情報を追加するには、次のように入力します。$ server_kerberos lngbe245 -add realm=example.com,kdc=kdc_1.lss.exam.com,kadmin=kdc_1.lss.exam.com,domain=lss.exam.com,defaultrealm

注：この構成情報は、Data Mover上の /.etc/krb5.confファイルに保存されます。エラーを回避するために、この情報は直接編集せずに、server_kerberosコマンドを使用するようにしてください。

出力

lngbe245 : done

確認

結果を確認するには、次のコマンドの文法を使用します。$ server_kerberos <movername> -list

ここで：<movername> = 指定された Data Moverの名前例：$ server_kerberos lngbe24 -list


タスク 3：Secure NFSサービス・インスタンスの設定Secure NFSサービスで Kerberosの認証を行ってからユーザー認証を行うには、Secure NFSサービス・インスタンスが必要です。これは、service@serverの形式で表されます。ここで、serviceは NFS、serverは Data Moverのホスト名を表し、たとえば、nfs@lngbe245となります。

Celerraをインストールすると、Secure NFSインスタンスは、デフォルトでは、Secure NFS構成ファイルに追加されます。このため、Data Moverの名前をserver_nから変更した場合、構成情報を変更する必要があります。

Secure NFSの初期構成の表示Secure NFSサービスの初期構成を表示するには、次の手順を使用します。

出力

Kerberos common attributes section: Supported TGS encryption types: rc4-hmac-md5 des-cbc-md5 Supported TKT encryption types: rc4-hmac-md5 des-cbc-md5 Use DNS locator: yes default_realm: example.com

End of Kerberos common attributes.

Kerberos realm configuration:

realm name: example.com (default realm) kdc: kdc_1.lss.exam.com kadmin: kdc_1.lss.exam.com default domain: lss.exam.com

End of Kerberos realm configuration.

Kerberos domain_realm section: DNS domain = Kerberos realm .lss.exam.com = example.com

操作

Secure NFSサービスの構成を表示するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs

ここで：<movername> = 指定された Data Moverの名前例：Secure NFSサービスの構成を表示するには、次のように入力します。$ server_nfs server_2 -secnfs


Secure NFSサービス・インスタンスの変更Data Moverの名前を server_nから変更したときに secure NFSインスタンスを削除および追加するには、次の手順を使用します。この例では、Data Moverの名前を server_2から lngbe245に変更しています。

出力

server_2 :RPCSEC_GSS server stats

Credential count: 1 principal: nfs@server_2 Total number of user contexts: 0 Current context handle: 1

ステップ操作

1. デフォルトの Secure NFSインスタンスを削除するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -principal -delete <service@server>

ここで：<movername> = 指定された Data Moverの名前<service@server> = サービスおよびレルムのタイプ例：server_2の Secure NFSインスタンスを削除するには、次のように入力します。$ server_nfs lngbe245 -secnfs -principal -delete nfs@server_2

出力：lngbe245 : done

2. 新しい Secure NFSサービスを追加するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -principal -create <service@server>

ここで：<movername> = 指定された Data Moverの名前<service@server> = サービスおよびレルムのタイプ

注：nfs@<Data_Mover_host_name>および nfs@<Data_Mover_fqdn>の両方の形式を使用して、サービスを 2回追加する必要があります。

例：新しいホスト名に Secure NFSサービスを追加するには、次のように入力します。$ server_nfs lngbe245 -secnfs -principal -create nfs@lngbe245


サーバの完全修飾ドメイン名を使用して 2つ目のサービス・インスタンスを追加するには、次のように入力します。$ server_nfs lngbe245 -secnfs -principal -create lngbe245.lss.exam.com


マルチホーム Data Moverサーバのホスト名ではなく、サーバのネットワーク・インターフェース名を使用してクライアントがアクセスするインストール環境では、マルチホーム Data Moverを使用してサーバのネットワーク・インターフェースに名前を付けることができます。マルチホーム Data Moverを使用する場合、ネットワーク・インターフェースごとに Secure NFSインスタンスを追加する必要があります。たとえば、lngbe245というホスト名と、lngbe245-1および lngbe245-2として認識される 2つのネットワーク・インターフェースを持つ Data Moverを使用する場合、nfs@lngbe245、nfs@lngbe245-1、nfs@lngbe245-2という 3つの Secure NFSインスタンスを追加する必要があります。

注：この場合、インターフェース名は DNSホスト名になります。このインターフェース名は、server_ifconfigコマンドを使用したときに表示されるインターフェース名とは異なる場合があります。

タスク 4：NFS Kerberosサービス・プリンシパルの作成サービス・プリンシパルは、Secure NFSサービス・インスタンスを Kerberosで表したものです。Secure NFSを動作させるには、次の処理が必要です。

◆ サービス・インスタンスごとに NFSサービス・プリンシパルを 2つ作成し、それらを Kerberosプリンシパルのデータベースに追加する。サービス・プリンシパルでは次の形式を使用。nfs/<Data_Mover_host_name>

nfs/<Data_Mover_fqdn>

3. Secure NFSサービスを停止するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -service -stop

ここで：<movername> = 指定された Data Moverの名前例：lngbe245の Secure NFSサービスを停止するには、次のように入力します。$ server_nfs lngbe245 -secnfs -service -stop


4. Secure NFSサービスを開始するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -service -start

ここで：<movername> = 指定された Data Moverの名前例：lngbe245の Secure NFSサービスを開始するには、次のように入力します。$ server_nfs lngbe245 -secnfs -service -start


ステップ操作


◆ これらのサービス・プリンシパルに対して暗号化 /復号化セキュリティ・キーを生成し、それらを Data Moverのキータブに追加する。

これらのプリンシパルの作成方法は、Control Stationが KDCにアクセスする方法によって異なります。Control Stationから Kerberos KDCへのネットワーク・アクセスが可能な場合、58ページの「Control Stationを使用したサービス・プリンシパルの KDCへの追加」を参照してください。Control Stationから Kerberos KDCへのネットワーク・アクセスが不可能な場合、124ページの「付録 C：ネットワーク・アクセスなしでサービス・プリンシパルを追加する方法」を参照してください。

Control Stationを使用したサービス・プリンシパルの KDCへの追加サービス・プリンシパルを追加するには、kadminユーティリティを使用します。サービス・プリンシパルを作成してセキュリティ・キーを生成する前に、kadminユーティリティを開きます。

注： Control Stationの /etc/hostsファイルを使用してホストを IPアドレスにマッピングすると、hostsファイルでは、ホストの略称の前にホストの FQDNが表示されます。たとえば、192.168.10.20 lngbe245.lss.exam.com lngbe245となります。

NFSサービス・プリンシパルの作成サービス・プリンシパルを作成し、KDCに保存します。

前提条件： 58ページの「Control Stationを使用したサービス・プリンシパルのKDCへの追加」の説明に従って、kadminユーティリティを開きます。

はじめに


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

kadminユーティリティを開くには、次のコマンドの文法を使用します。$ server_kerberos <movername> -kadmin -p <principal>

ここで：<movername> = 指定された Data Moverの名前<principal> = kadmin権限を持つユーザー・プリンシパルユーザー・プリンシパルが nasadmin/adminの場合、このパラメータは使用しない。例：ユーティリティを開くには、次のように入力します。$ server_kerberos lngbe245 -kadmin

出力注

ユーティリティが KDC上で開かれ、次のプロンプトが表示されます。kadmin:

サービス・プリンシパルを追加し、セキュリティ・キーを生成するには、このユーティリティを使用してください。詳細については、kadminユーティリティに関する UNIXまたはLinuxのマニュアルを参照してください。


サービス・プリンシパルを生成するには、次の手順を使用します。

セキュリティ・キーの生成セキュリティ・キーを生成する前に、サービス・プリンシパルにキーが存在しないことを確認します。たとえば、[email protected]のキーを生成し、キータブ・ファイル principal: nfs/[email protected]でこのエントリーを表示するには、まず古いエントリーを削除します。前提条件：58ページの「Control Stationを使用したサービス・プリンシパルのKDCへの追加」の説明に従って、kadminユーティリティを開きます。

はじめに


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

サービス・プリンシパルを 2つ追加するには、次のコマンドの文法を使用します。kadmin: addprinc -randkey <service_principal>

ここで：<service principal> = 以下の形式によるサービス・プリンシパルの名前 <nfs/Data_Mover_host_name>または <nfs/Data_Mover_fqdn>

例：サービス・プリンシパルの 1つとして、Data Mover名 <nfs/Data_Mover_host_ name>を次のように入力します。kadmin: addprinc -randkey nfs/lngbe245

この手順を繰り返して、Data Moverの 2つ目のサービス・プリンシパル（FQDN）として（<Data_Mover_fqdn>）を追加します。kadmin: addprinc -randkey nfs/lngbe245.lss.exam.com

出力

Principal "nfs/[email protected]" created.kadmin:

確認

プリンシパルが追加されたことを確認するには、次のように入力します。kadmin: listprincs

出力注

kadmin/[email protected]/[email protected]/[email protected]/[email protected]/[email protected] changepw/[email protected]/[email protected]/[email protected]/[email protected]/[email protected]

このレルムは自動的にサービス・プリンシパルに追加されます。


セキュリティ・キーを生成するには、次の手順を使用します。

タスク 5：ユーザー・プリンシパル名への UIDのマッピングSecure NFS環境では、ユーザー認証は Kerberosプリンシパル名に基づいています。ただし、エクスポートされた Celerraファイルシステム内のファイルおよびディレクトリへのアクセスは、UIDおよび GIDに基づいています。ユーザーのKerberosプリンシパル名は、マッピング・サービスまたはネーム・サービスを使用して UIDにマッピングされます。ユーザー認証の間、このマッピング情報は、Kerberos対応サービスへのデータ・アクセスを決定するために使用されます。

はじめに


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

キーを生成するには、次のコマンドの文法を使用します。kadmin: ktadd <nfs/...>)

ここで：<nfs/...> = 以前に作成したサービス・プリンシパルの名前例：1つ目のサービス・プリンシパルのキーを生成するには、次のように入力します。kadmin: ktadd nfs/lngbe245

この手順を繰り返して、2つ目のサービス・プリンシパルのキーを生成するには、次のように入力します。kadmin: ktadd nfs/lngbe245.lss.exam.com

出力

Entry for principal nfs/lngbe245.lss.exam.com with kvno 5, encryption type DES-CBC-CRC added to keytab WRFILE:/etc/krb5/krb5.keytab.kadmin:

確認

キータブの生成を確認するには、次のように入力します。$ server_kerberos lngbe245 -keytab

出力

lngbe245 :Dumping keytab file

keytab file major version = 5, minor version 2

principal: nfs/[email protected]: example.comencryption type: des-cbc-crcprincipal type 1, key version: 2 key length: 8, key: e3a4570dbfb94ce5

principal: nfs/[email protected]: example.comencryption type: des-cbc-crcprincipal type 1, key version: 2 key length: 8, key: c497d3df255ef183

End of keytab entries.


表 9に、プリンシパル名を UIDにマッピングする 3つの方法を示します。

ユーザー・プリンシパル名の UIDへの自動マッピング自動マッピングを使用する場合、ユーザーの UNIX名はユーザーの Kerberosプリンシパル名から生成されます。つまり、UNIXユーザーのネームスペースはKerberosユーザーのネームスペースと同じになり、すべてのユーザーが、Kerberosと UNIXに同じ名前で認識されるということです。

ユーザー認証中に、ユーザーの UIDとプライマリおよびセカンダリの GIDは、Secure NFSのマッピング・サービスで生成されます。マッピングは必要に応じて自動的に生成されるので、マッピング・ファイルは作成されません。

注：このマッピング・サービスを Celerraの UserMapper機能と混同しないよう注意してください。

EMCでは、次の目的のために自動マッピングを使用することを推奨します。

◆ ユーザー・マッピングの作成（gsscred）および管理に伴う管理オーバーヘッドを回避する。

◆ ネットワーク・トラフィックを軽減する。◆ マッピング・データベースにマッピング・エントリーが存在しないためにファイルシステムへのユーザーのアクセスが拒否される可能性を排除する。

すべてのユーザーが同じ Kerberosレルムに存在する場合は、自動マッピングを使用してください。Windows Kerberos KDCを使用している場合は、常に自動マッピングが使用されます。自動マッピングの仕組み

Kerberosを使用して NFSユーザーが認証を行うと、ユーザー・プリンシパルのレルムコンポーネントは削除され、システムにより UNIXユーザー・データベース（NISまたはローカルの /etc/passwdファイル）でユーザー名が検索されます。たとえば、プリンシパル [email protected]が、Kerberosのセキュリティ・オプションを使用してエクスポートされたファイルシステムにアクセスしようとすると、システムはプリンシパルを認証してから、ユーザー名 johnのみを使用してパスワード・データベースでユーザーを検索して、ユーザーの UIDおよびプライマリ GIDを取得します。グループ・メンバーシップはグループ・データベースから取得されます。

はじめに


Secure NFSの管理

NFSv4の管理

NFSの管理





表 9 マッピング方法

マッピング方法用途

自動すべてのユーザーが同じ Kerberosレルムに存在する場合

マッピング・ユーティリティ（gsscred） Solaris環境で、複数のレルムが存在する場合

Data Moverに保存されたローカル・マッピング・ファイル

Secure NFSサーバが 1台だけ存在する場合のみ


注：「Configuring Celerra Naming Services」テクニカル・モジュールでは、パスワード・ファイルの作成方法について説明されています。

自動マッピングの使用

マッピング方法を確認するには、次の手順を使用します。

このオプションが automapに設定されていない場合、次の手順を使用して自動マッピングを設定します。

注：自動マッピングが機能しない場合、server_logにメッセージが送信されます。

はじめに


Secure NFSの管理

NFSv4の管理

NFSの管理





確認

Secure NFSで使用するマッピング・サービスのタイプを確認するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -mapper -info

ここで：<movername> = 指定された Data Moverの名前例：lngbe245のマッピング・サービスの一覧を表示するには、次のように入力します。$ server_nfs lngbe245 -secnfs -mapper -info

出力

lngbe245: Current NFS user mapping configuration is:Config_Gsscred::initialize: Reading NFS user mapper configuration: /.etc/gsscred.conf... gsscred db = automap gsscred db version = None passwd db = NIS

操作

マッピング方法に自動マッピングを設定するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -mapper -set -source auto

ここで：<movername> = 指定された Data Moverの名前例：lngbe245に自動マッピングを設定するには、次のように入力します。$ server_nfs lngbe245 -secnfs -mapper -set -source auto

出力

lngbe245: done



Solarisマッピング・ユーティリティ gsscredの使用 Solaris環境では、マッピング・ユーティリティ gsscredを使用してユーザー・プリンシパル名を UIDにマップします。ユーザー認証の間、このマッピング情報は、Kerberos対応サービスへのデータ・アクセスを決定するために使用されます。

注：このマッピング・サービスの詳細については、gsscredのマニュアル・ページと、SunのWebサイトから入手可能な SEAMのマニュアルを参照してください。

マッピング・ファイルのコピー

gsscredを実行している Sun Kerberosクライアントで作成されたマッピング・ファイル（gsscred_db）を NISサーバに保存するか（推奨）、Data Moverにローカルで保存することができます。表 10に、マッピング・ファイルの保存場所に応じた操作を示します。

注：gsscred.confファイルは、最初の Secure NFSアクセス時に作成されます。

NISサーバへのマッピング・ファイルのコピー

マッピング・ファイル（gsscred_db）を NISサーバにコピーした後で、NISをマッピング情報ソースとして指定するには、次の手順を使用します。

はじめに


Secure NFSの管理

NFSv4の管理

NFSの管理





表 10 マッピング・ファイルの場所

ファイルの保存場所操作

NISサーバマッピング・ファイル（gsscred_db）を NISサーバにコピーする。Data Moverで構成ファイル（gsscred.conf）の情報変更が必要になる場合がある。

Data Mover マッピング・ファイル（gsscred_db）を Data Moverにコピーする。構成ファイル（gsscred.conf）は変更しない。

ステップ操作

1. マッピング構成を NISとして指定するには、次のように入力します。$ server_nfs lngbe245 -secnfs -mapper -set -source nis

出力：lngbe245: done

2. パスワード・データベースの場所を設定するには、次のように入力します。$ server_nfs lngbe245 -secnfs -mapper -set -passwddb nis

出力：lngbe245: done


注：「Configuring Celerra Naming Services」テクニカル・モジュールでは、NISとCelerraに関する詳細が提供されています。

3. NISのマッピング構成を確認するには、次のように入力します。$ server_nfs lngbe245 -secnfs -mapper -info

出力：lngbe245: Current NFS user mapping configuration is:Config_Gsscred::initialize: Reading NFS user mapper configuration: /.etc/gsscred.conf... gsscred db = NIS gsscred db version = Solaris passwd db = NIS

4. NISマスター・サーバから、gsscred_dbの NISマップを構築します。詳細については、NISのマニュアルを参照してください。

ステップ操作



Data Moverへのマッピング・ファイルのコピー

前提条件： Solarisシステムから Control Stationにマッピング・ファイル（/etc/gss/gsscred_db）をコピーするには、FTPを使用します。「Using FTP on Celerra Network Server」テクニカル・モジュールでは、FTPの使用方法について説明されています。マッピング・ファイルを Data Moverにコピーするには、次の手順を使用します。

注：ファイルのコピー後に Data Moverを再起動しないでください。

ローカル・マッピング・ファイルの作成と Data Moverへの保存1つの Secure NFSサーバしかない場合にマッピング情報を作成するには、次の方法を使用します。ただし、EMCでは、自動マッピングまたは gsscredユーティリティを使用してマッピング情報を作成することを推奨しています。server_nfs <movername> -secnfs -mapper -mappingコマンドを使用して、マッピング・リレーションシップを作成します。-mappingオプション（-list、-create、-delete）は、ローカル・マッピング・ファイルを使用する場合のみ有効です。

はじめに


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

次のコマンドの文法を使用して、マッピング・ファイルを Data Moverにコピーします。$ server_file <movername> -put <src_file> <dst_file>

ここで：<movername> = 指定された Data Moverの名前<src_file> = ソース・ファイル<dst_file> = デスティネーション・ファイル例：マッピング・ファイル（gsscred_db）を Data Moverにコピーするには、次のように入力します。$ server_file lngbe245 -put gsscred_db gsscred_db

注：ディレクトリを指定しない場合は、デフォルトで /.etcディレクトリが使用されます。また、このファイルを別の場所にコピーする場合は、gsscred.confファイルを手動で変更する必要があります。

出力

lngbe245 : done

../FTP/index.htm

../FTP/index.htm


マッピング・ファイルに名前を追加するには、次の手順を使用します。

マッピング・ファイルの場所を指定するには、次の手順を使用します。

はじめに


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

マッピング・エントリーを作成するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -mapper -mapping -create { name= <user_name> | uid=<UID> }

ここで：<user_name> = ユーザー名<UID> = ユーザー ID

例：ローカル・マッピング・ファイルにユーザー nfsuser1のマッピング・エントリーを作成するには、次のように入力します。$ server_nfs lngbe245 -secnfs -mapper -mapping -create name=nfsuser1

出力

lngbe245 : done

注

Solarisと Celerraでは gsscred_dbマップの形式が異なるので、server_nfs -secnfs -mapper -mapping -createコマンドを使用して Solarisマップにマッピング・エントリーを追加することはできません。このような処理を実行すると、次のメッセージが表示されます。$ server_nfs server_x -secnfs -mapper -mapping -create name=user2server_x :addUser: Cannot update a Solaris map (would mix formats)

Error 4020: server_x : failed to complete command

操作

マッピング・ファイルの場所を指定するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -mapper -set -source file path=<file_path>

ここで：<movername> = Data Moverのホスト名<file_path> = 指定されたファイルのパス例：$ server_nfs lngbe245 -secnfs -mapper -set -source file path=/.etc/gsscred_db

注：この例では、デフォルトのファイル・パス名が使用されています。デフォルト値を使用する場合は、ファイル・パス名を指定しないでください。

出力

lngbe245 : done


確認

マッピング構成を確認するには、次のように入力します。$ server_nfs lngbe245 -secnfs -mapper -info

出力

lngbe245: Current NFS user mapping configuration is:Config_Gsscred::initialize: Reading NFS user mapper configuration: /.etc/gsscred.conf... gsscred db = File gsscred db version = Dart_V1 passwd db = NIS


クライアント・システムへの CelerraファイルシステムのマウントNFSユーザーに Celerraファイルシステムへのアクセスを許可するには、NFSツールが使用可能なクライアント・システムに、エクスポートされた Celerraファイルシステムをマウントする必要があります。NFSソフトウェアを実行しているコンピュータにファイルシステムをマウントする方法については、NFSソフトウェアに付属のマニュアルを参照してください。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理






NFSの管理このセクションでは、ファイルシステムに対する基本的な NFSアクセスを管理するためのタスクについて説明します。

Celerraファイルシステムへの NFSパスのアンエクスポートCelerraファイルシステムへの NFSクライアント・アクセスを停止するには、Data Mover上の NFSパスをアンエクスポートします。

ファイルシステムへの NFSアクセスは一時的または永続的に停止できます。デフォルトでは、NFSのアンエクスポートは一時的です。次にファイルサーバを再起動すると、エントリーが自動的に再エクスポートされます。永続的なアンエクスポートを指定すると、エクスポート・テーブルからエントリーが削除されます。

NFSパスの一時的なアンエクスポートNFSパスを一時的にアンエクスポートするには、次の手順を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





表 11 NFS管理

管理タスク処理手順

NFSパスのアンエクスポート 69ページの「CelerraファイルシステムへのNFSパスのアンエクスポート」

ファイルシステムの再エクスポート 70ページの「Celerra上のすべての NFSパスの再エクスポート」

Data Mover上のすべてのファイルシステムに対する NFSアクセスの無効化

71ページの「Data Mover上のすべてのファイルシステムに対する NFSアクセスの無効化」

NFSオートマウンタ機能の使用 73ページの「NFSオートマウンタ機能のサポート」

操作

Celerraファイルシステムへの NFSパスを一時的にアンエクスポートするには、次のコマンドの文法を使用します。$ server_export <movername> -Protocol nfs -unexport <pathname>

ここで：<movername> = 指定された Data Moverの名前<pathname> = NFSエクスポートのパス名例：NFSパス /ufs1を一時的にアンエクスポートするには、次のように入力します。$ server_export server_2 -Protocol nfs -unexport /ufs1

出力

server_2: done


NFSパスの永続的なアンエクスポートNFSパスを永続的にアンエクスポートするには、次の手順を使用します。

Celerra上のすべての NFSパスの再エクスポートファイルサーバを実行中に、Celerra上の CelerraファイルシステムへのすべてのNFSパスを再エクスポートできます。この処理によって、ファイルサーバ上のエクスポート・テーブルにあるすべての NFSエントリーが再エクスポートされます。CLIから一時的にアンエクスポートされたファイルシステムを再エクスポートすると、元の（アンエクスポート前の）オプションに新しいエクスポート・オプションが追加されます。パス名の再エクスポート時には、元のオプションと新しいオプションの両方が使用されます。一時的にアンエクスポートした NFSパスを再エクスポートする場合にこの機能を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

Celerraファイルシステムへの NFSパスを永続的にアンエクスポートするには、次のコマンドの文法を使用します。$ server_export <movername> -Protocol nfs -unexport -perm <pathname>

ここで：<movername> = 指定された Data Moverの名前<pathname> = NFSエクスポートのパス名例：NFSパス /ufs1を永続的にアンエクスポートするには、次のように入力します。$ server_export server_2 -Protocol nfs -unexport -perm /ufs1

出力

server_2: done

操作

Celerraからすべての NFSパスを再エクスポートするには、次のように入力します。$ server_export ALL -Protocol nfs -all

出力

server_2 : doneserver_3 : doneserver_4 : done


Data Mover上のすべてのファイルシステムに対する NFSアクセスの無効化 Data Mover上のすべての Celerraファイルシステムへの NFSクライアント・アクセスを停止するには、すべてのファイルシステムへの NFSパスを一度にアンエクスポートします。Celerraファイルシステムへの NFSアクセスを一時的または永続的に停止できます。デフォルトでは、NFSのアンエクスポートは一時的です。次にファイルサーバを再起動すると、ファイルシステムが自動的に再エクスポートされます。永続的なアンエクスポートを指定すると、エクスポート・テーブルからエントリーが削除されます。

すべての NFSパスの一時的なアンエクスポートData Mover上のすべての NFSパスを一時的にアンエクスポートするには、次の手順を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

Data Mover上のすべての NFSパスを一時的にアンエクスポートするには、次のコマンドの文法を使用します。$ server_export <movername> -Protocol nfs -unexport -all

ここで：<movername> = 指定された Data Moverの名前例：server_2上のすべての NFSパスを一時的にアンエクスポートするには、次のように入力します。$ server_export server_2 -Protocol nfs -unexport -all

出力

server_2: done


すべての NFSパスの永続的なアンエクスポートData Mover上のすべての NFSパスを永続的にアンエクスポートするには、次の手順を使用します。

操作

Data Mover上のすべての NFSパスを永続的にアンエクスポートするには、次のコマンドの文法を使用します。$ server_export <movername> -Protocol nfs -unexport -perm -all

ここで：<movername> = 指定された Data Moverの名前例：server_2上のすべての NFSパスを永続的にアンエクスポートするには、次のように入力します。$ server_export server_2 -Protocol nfs -unexport -perm -all

出力

server_2: done


NFSオートマウンタ機能のサポートNFSクライアントで NFSオートマウンタ機能を使用する場合、ファイルサーバからの NFSアクセス用に永続的にエクスポートされた各ファイルシステムのエントリーを含む、オートマウント・マップ・ファイルを Celerra上に生成できます。ファイルを作成し、ファイル内の競合を解決したら、そのファイルを NFSクライアントまたは NISサーバにコピーして、オートマウンタ構成への入力として使用できます。このセクションでは、Celerra上にオートマウント・マップ・ファイルを作成する方法と、ファイル内の競合を表示および解決する方法について説明します。オートマウンタ機能の構成および使用方法については、ご使用の NFSクライアントまたは NISサーバのマニュアルを参照してください。

注：このセクションに示すすべてのオートマウンタ機能の例では、内部 Data Mover IPアドレス（192.168.1.x、192.168.2.x）とループバック IPアドレス（127.0.0.1）を含む、不要な IPアドレスがすべて削除されています。

オートマウント・マップ・ファイルの作成と保存オートマウント・マップ・ファイルを作成して保存するには、次の手順を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

オートマウント・マップ・ファイルを作成して画面に表示するには、次のように入力します。$ nas_automountmap -create

オートマウント・マップ・ファイルを作成して保存するには、次のコマンドの文法を使用します。$ nas_automountmap -create -out <outfile>

ここで：<outfile> = 出力ファイルの名前例：automountmapという名前のオートマウント・マップ・ファイルを作成して保存するには、次のように入力します。$ nas_automountmap -create -out automountmap

注

オートマウント・マップ・ファイルを作成して保存する場合、画面には出力されません。

確認

オートマウント・マップ・ファイルを表示し、保存されたことを確認するには、次のコマンドの文法を使用します。$ more <outfile>

ここで：<outfile> = 出力ファイルの名前例：オートマウント・マップ・ファイルを表示し、automountmapとして保存されたことを確認するには、次のように入力します。$ more automountmap


出力

ufs1 -rw,intr,nosuid 127.0.0.1,10.172.128.47,192.168.2.2,192.168.1.2:/ufs1 ufs2 -rw,intr,nosuid 127.0.0.1,10.172.128.47,192.168.2.2,192.168.1.2:/ufs2


オートマウント・マップ・ファイルの更新追加のファイルシステムをエクスポートする場合、新しいファイルシステムを含むようにオートマウント・マップ・ファイルを更新する必要があります。オートマウント・マップ・ファイルを更新する際には、既存のバージョンを指定してファイルを更新します。更新されたオートマウント・マップ・ファイルを作成するには、次の手順を使用します。

オートマウント・マップ・ファイルを表示するには、次の手順を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

新しいオートマウント・マップ・ファイル・エントリーを作成し、既存のオートマウント・マップ・ファイル <infile>とマージして、マージされた新しいオートマウント・マップ・ファイルを <outfile>として保存するには、次のコマンドの文法を使用します。$ nas_automountmap -create -in <infile> -out <outfile>

ここで：<infile> = 既存のオートマウント・マップ・ファイルの名前<outfile> = 出力ファイルの名前例：新しいオートマウント・マップ・ファイル・エントリーを作成し、既存のオートマウント・マップ・ファイル（automountmap）とマージして、マージされた新しいオートマウント・マップ・ファイルを automountmap1として保存するには、次のように入力します。$ nas_automountmap -create -in automountmap -out automountmap1

出力

マージされたオートマウント・マップ・ファイル出力が作成され、保存されます。画面には出力されません。

操作

更新されたオートマウント・マップ・ファイルを表示するには、次のコマンドの文法を使用します。$ more <outfile>

ここで：<outfile> = 出力ファイルの名前例：$ more automountmap1

出力

ufs1 -rw,intr,suid 172.24.101.195:/ufs1ufs2 -rw,intr,suid 172.24.101.195:/ufs2ufs3_172.24.101.195 -rw,intr,suid 172.24.101.195:/ufs3ufs3 -rw,intr,suid 172.24.101.200:/ufs3ufs4 -rw,intr,suid 172.24.101.200:/ufs4

注

この例では、ufs3と ufs4の 2つのエントリーが追加されます。ufs3エントリーが既存のファイルシステムと競合するので、ファイルシステム名と IPアドレスの組み合わせをエントリーに追加することによって名前が変更されます。


オートマウント・マップ・ファイル内で競合するマウントポイントの表示と保存オートマウント・マップ・ファイルを更新すると、ファイル内で同じマウントポイントを指定するエントリーの競合が発生する可能性があります。オートマウント・マップ・ファイルに競合するエントリーが含まれる場合、そのファイルをオートマウンタ構成で使用するため NFSクライアントまたは NISサーバにコピーする前に、テキスト・エディタを使用して手動で訂正する必要があります。オートマウント・マップ・ファイル内で競合するマウントポイント・エントリーの一覧を表示するには、次の手順を使用します。

競合するマウントポイント・エントリーの一覧を保存するには、次の手順を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

オートマウント・マップ・ファイル <infile>内で競合するマウントポイント・エントリーの一覧を表示するには、次のコマンドの文法を使用します。$ nas_automountmap -list_conflict <infile>

ここで：<infile> = 既存のオートマウント・マップ・ファイルの名前例：競合するマウントポイント・エントリーの一覧を表示するには、次のように入力します。$ nas_automountmap -list_conflict automountmap1

出力

競合するマウントポイント・エントリーの一覧は、画面または出力ファイルのいずれかに出力されます。Conflicting lists:ufs1 -rw,intr,suid 172.16.21.202:/ufs1ufs1_172.16.21.203 -rw,intr,suid 172.16.21.203:/ufs1

操作

新しいオートマウント・マップ・ファイル <outfile>内で競合するマウントポイント・エントリーの一覧を保存するには、次のコマンドの文法を使用します。$ nas_automountmap -list_conflict <infile> -out <outfile>

ここで：<infile> = 既存のオートマウント・マップ・ファイルの名前<outfile> = 出力ファイルの名前例：新しいオートマウント・マップ・ファイル（automountmap2）内で競合するマウントポイント・エントリーの一覧を保存するには、次のように入力します。$ nas_automountmap -list_conflict automountmap1 -out automountmap2

出力

Conflicting lists:ufs1 -rw,intr,suid 172.16.21.202:/ufs1ufs1_172.16.21.203 -rw,intr,suid 172.16.21.203:/ufs1


NFSv4の管理このセクションでは、ファイルシステムに対する NFSv4アクセスを管理するためのタスクについて説明します。

デリゲーションの管理次の NFSv4パラメータを使用して、デリゲーション操作のデフォルトの動作を変更できます。◆ delegLeaseDuration

◆ leaseDuration

◆ recallTimeout

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





表 12 NFSv4管理


デリゲーション操作の管理 77ページの「デリゲーションの管理」

NFSv4サービス・ステータスの表示 81ページの「NFSv4サービス・ステータスの表示」

NFSv4サービスの停止 82ページの「NFSv4サービスの停止」

NFSv4サービスの開始 83ページの「NFSv4サービスの再開」

NFSv4クライアントの一覧表示 84ページの「NFSv4クライアントの表示」

NFSv4クライアント情報の表示 85ページの「NFSv4クライアント情報の表示」

NFSv4クライアントの解放 86ページの「NFSv4クライアントの解放」

32ビット NFSクライアントのサポート 87ページの「32ビットおよび 64ビット NFSクライアントのサポート」


デリゲーション期間の変更デリゲーション・リース期間を変更するには、次のコマンドを使用します。

表 13では、delegLeaseDurationパラメータについて示しています。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

サーバがデリゲーションを保持する期間を変更するには、次のコマンドの文法を使用します。$ server_param <movername> -facility <facility_name> -modify <param_name> -value <new_value>

ここで：<movername> = 指定された Data Moverの名前<facility_name> = パラメータが属するデバイスの名前<param_name> = パラメータの名前<new_value> = 指定されたパラメータに設定する値例：サーバがデリゲーションを保持する期間を変更するには、次のように入力します。$ server_param server_2 -facility nfsv4 -modify delegLeaseDuration -value 100


出力

server_2 : done

表 13 NFSv4の delegLeaseDurationパラメータ


NFSv4 delegLeaseDuration 180秒（デフォルト）、>= leaseDuration

およびrecallTimeout

クライアントのアクティビティがない場合にサーバがデリゲーションを保持する期間を秒数で定義する。クライアントのリース期限切れの場合はデリゲーションを削除してはいけない。クライアントにデリゲーションを再起動または復旧する時間を与える必要がある。この場合、その時間にクライアントがダーティ・データを安定したストレージ（ローカル・ディスク）に保存する。nfsv4.delegLeaseDurationは、nfsv4.leaseDurationおよびnfsv4.recallTimeout以上でなければならない。


状態期間の変更状態リース期間を変更するには、次のコマンドを使用します。

表 14では、leaseDurationパラメータについて示しています。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

サーバがクライアントの状態を保持する期間を変更するには、次のコマンドの文法を使用します。$ server_param <movername> -facility <facility_name> -modify <param_name> -value <new_value>

ここで：<movername> = 指定された Data Moverの名前<facility_name> = パラメータが属するデバイスの名前<param_name> = パラメータの名前<new_value> = 指定されたパラメータに設定する値例：サーバがクライアントの状態を保持する期間を変更するには、次のように入力します。$ server_param server_2 -facility nfsv4 -modify leaseDuration -value 20


出力

server_2 : done

表 14 NFSV4の leaseDurationパラメータ


NFSv4 leaseDuration 40秒（デフォルト）、< gpDuration

クライアントのアクティビティがない場合にサーバがクライアントの状態を保持する期間を定義する。リース期間は猶予期間未満でなければならない。


デリゲーション・リコール・タイムアウトの変更デリゲーションをリコールするまでサーバが待機する期間を変更するには、次のコマンドを使用します。

表 15では、recallTimeoutパラメータについて示しています。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

デリゲーションをリコールするまでサーバが待機する期間を変更するには、次のコマンドの文法を使用します。$ server_param <movername> -facility <facility_name> -modify <param_name> -value <new_value>

ここで：<movername> = 指定された Data Moverの名前<facility_name> = パラメータが属するデバイスの名前<param_name> = パラメータの名前<new_value> = 指定されたパラメータに設定する値例：デリゲーションをリコールするまでサーバが待機する期間を変更するには、次のように入力します。$ server_param server_2 -facility nfsv4 -modify recallTimeout -value 20


出力

server_2 : done

表 15 NFSv4の recallTimeoutパラメータ


NFSv4 recallTimeout 10秒（デフォルト）、最低 5秒、最高 60秒、delegLeaseDur

ation 未満

サーバがデリゲーションをリコールした後に待機するタイムアウト期間を秒数で設定する。リコール・タイムアウト期間内にクライアントがデリゲーションを返さない場合は、サーバはデリゲーションをキャンセルし、それ以上待機しない。


NFSv4サービス・ステータスの表示NFSv4サービス・ステータスを表示するには、次の手順を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

NFSv4サービス・ステータスを表示するには、次のように入力します。$ server_nfs <movername> -v4

ここで：<movername> = 指定された Data Moverの名前例：server_2上の NFSv4サービス・ステータスを表示するには、次のように入力します。$ server_nfs server_2 -v4

出力

server_2 : -------------- nfsv4 server status --------------- * Service Started * -------- NFSv4 Clients -------- Confirmed Clients : 2 UnConfirmed Clients : 0 -------------------------------- --------- NFSv4 State -------- Opens : 4 Locks : 0 Delegations : 0 --------------------------------


NFSv4サービスの停止NFSv4サービスを停止するには、次の手順を使用します。なお、NFSv4サービスの停止は、デッドロック状態の解決を試みる場合のみ実行します。Linuxベースのクライアントは、このサービスが停止しているとスムーズに応答しません。クライアント・システムへの Celerraファイルシステムの再マウントが必要になる場合があります。Celerraが NFSv4サービスを停止すると、NFSv4クライアントはサーバのシャットダウン又はネットワーク障害が発生したのと同様の状態となります。すべてのデリゲーションがリコールされ、ロックが解放され、ファイルが閉じられて、NFSv4クライアントの状態がフラッシュされます。

注：このコマンドは NFSv4サービスだけを停止します。その他のバージョンの NFSは引き続き実行されます。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

NFSv4サービスを停止するには、次のように入力します。$ server_nfs <movername> -v4 -service -stop

ここで：<movername> = 指定された Data Moverの名前例：server_2で NFSv4サービスを停止するには、次のように入力します。$ server_nfs server_2 -v4 -service -stop

出力

server_2 : done


NFSv4サービスの再開NFSv4サービスを再開するには、次の手順を使用します。

注：NFSv4サービスを開始する前に、NFSv4サービスを有効化する必要があります。NFSv4のサポートを有効化する方法については、20ページの「はじめに」を参照してください。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

NFSv4サービスを開始するには、次のように入力します。$ server_nfs <movername> -v4 -service -start

ここで：<movername> = 指定された Data Moverの名前例：server_2で NFSv4サービスを開始するには、次のように入力します。$ server_nfs server_2 -v4 -service -start

出力

server_2 : done


NFSv4クライアントの表示NFSv4サーバと同期化状態にあるすべてのクライアント・システムを表示するには、次の手順を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

NFSv4サーバと同期化状態にあるすべてのクライアント・システムを表示するには、次のように入力します。$ server_nfs <movername> -v4 -client -list

ここで：<movername> = 指定された Data Moverの名前例：server_2上の NFSサービスと同期化状態にあるすべてのクライアント・システムを表示するには、次のように入力します。$ server_nfs server_2 -v4 -client -list

出力

server_2 : ------ nfsv4 server client list ------Hostname/ip: Indexwin901234 : 0xe2400000 10.171.2.76: 0xef400000

注

最初の列には、NFSv4クライアントのホスト名または IPアドレスが表示されます。2番目の列には、Celerraがクライアント接続の識別に使用するインデックス番号が表示されます。クライアント・リストは、NFSv4クライアントがクライアント IDを設定した回数、つまり、サーバ上でロック、共有予約、デリゲーション状態の作成を必要とする以降のリクエストで、特定のクライアント識別子、コールバック、コールバック識別子を使用する意図をサーバに通知した回数に基づいています。すべてのユーザーとファイルで 1つのクライアント IDを使用するNFSv4クライアントもあれば、プロセスごとに 1つのクライアント IDを使用する NFSv4クライアントもあります。状態を保持できるのはファイルだけで、ディレクトリはできません。NFSv4クライアントは、アクティブ状態を維持する必要はありません。クライアントがリースを更新する限り、クライアントのアクティブ状態が維持されます。クライアントが同期化状態でなくなると、コマンド出力には表示されなくなりますが、何らかの問題を示すものではありません。


NFSv4クライアント情報の表示ホスト名、IPアドレス、インデックス番号でクライアント・システムを識別できます。インデックス番号は、-v4 -client -listオプションを使用して取得します。NFSv4サーバと同期化状態にあるクライアント・システムの情報を表示するには、次の手順を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

NFSv4サーバと同期化状態にあるクライアント・システムの情報を表示するには、次のように入力します。$ server_nfs <movername> -v4 -client -info { index=<index> | hostname=<host> | IPaddress=<addr> }

ここで：<movername> = 指定された Data Moverの名前<index> = クライアント・システムに割り当てられたインデックス番号<host> = クライアント・システムのホスト名<addr> = クライアント・システムの IPアドレス例：server_2上の NFSサービスと同期化状態にある、インデックス番号で識別されるクライアント・システムの情報を表示するには、次のように入力します。$ server_nfs server_2 -v4 -client -info index=0xe2400000 $ server_nfs server_2 -v4 -client -info index=0xef400000

出力

server_2 : win901234 : 0xe2400000 user: usr1 : inode# 2479

server_2 :10.171.2.76 : 0xef400000 user: usr2 : inode# 2478 user: usr1 : inode# 2477 user: -2 : inode# 2476

注

出力には、接続されたクライアント・ユーザーと、それらのユーザーが開いたファイルのリストが表示されます。ファイルは inode番号で識別されます。特定の inode番号と関連づけられたファイルの名前を特定するには、UNIXベースの NFSクライアントから、<path-to-start-search-from> -inum <inode> -printを検索するコマンドを使用します。たとえば、find /ufs1 -inum 1103 -printと入力します。ファイルが複数の名前で認識されている場合があるので注意してください。


NFSv4クライアントの解放NFSv4サーバと同期化状態にあるクライアント・システムのクライアント IDを解放するには、次の手順を使用します。クライアント IDを解放すると、すべてのロックが解放され、そのクライアント IDに関連づけられたすべてのファイルが閉じられます。NFSv4クライアントによって複数のクライアント IDが作成されている場合、1つのクライアント IDを解放すると、そのクライアント IDに関連づけられたファイルが閉じられます。

重要：デッドロックの解決を試みる場合のみ、クライアントの状態を解放します。Linuxベースのクライアント・システムは、状態が解放されるとスムーズに応答しません。クライアント・システムへの Celerraファイルシステムの再マウントが必要になる場合があります。NFSv4クライアントでは、状態を解放すると、サーバのシャットダウンまたはネットワーク障害と同様の状態になります。すべてのデリゲーションがリコールされ、ロックが解放されて、ファイルが閉じられます。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

NFSv4サーバと同期化状態にあるクライアント・システムを解放するには、次のように入力します。$ server_nfs <movername> -v4 -client -release { index=<index> | hostname=<host> | IPaddress=<addr> }

ここで：<movername> = 指定された Data Moverの名前<index> = クライアント・システムに割り当てられたインデックス番号<host> = クライアント・システムのホスト名<addr> = クライアント・システムの IPアドレス例：server_2上の NFSサービスと同期化状態にある、インデックス番号で識別されるクライアント・システムを解放するには、次のように入力します。$ server_nfs server_2 -v4 -client -release index=0xe2400000

出力

server_2 : done


32ビットおよび 64ビット NFSクライアントのサポートNFSv4では標準で 64ビット属性のサポートが規定されていますが、一部のNFSv4クライアント（Solaris 10など）では、inodeなどの 64ビット属性がサポートされていません。このため、Celerra NFSv4サーバはデフォルトで 32ビットに設定されます。Celerra NFSv4サーバで 64ビットのサポートを有効化するには、次のコマンドを使用します。

表 16では、32bitClientパラメータについて示しています。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

NFSv4サーバで 64ビットのサポートを有効化するには、次のコマンドの文法を使用します。$ server_param <movername> -facility <facility_name> -modify <param_name> -value <new_value>

ここで：<movername> = 指定された Data Moverの名前<facility_name> = パラメータが属するデバイスの名前<param_name> = パラメータの名前<new_value> = 指定されたパラメータに設定する値例：NFSv4サーバで 64ビットのサポートを有効化するには、次のように入力します。$ server_param server_2 -facility nfsv4 -modify 32bitClient -value 0


出力

server_2 : done

表 16 NFSv4の 32bitClientパラメータ


NFSv4 32bitClient 1（有効：デフォルト）または 0（無効）

属性値のビット・サイズの設定に使用する。param NFSv4 32bitClient=1と指定すると、Celerra NFSv4サーバに 32ビットの属性値のみを返すよう要求する。param NFSv4 32bitClient=0と指定すると、Celerra NFSv4サーバは 64ビットの属性値を返すことができる。


Secure NFSの管理このセクションでは、Secure NFSを管理するためのタスクについて説明します。

古いキータブ・エントリーの削除

注：次の手順は、UNIXまたは Linuxの KDCを使用している場合にのみ関連します。

サービス用の新しいキーが生成されて古いキーが廃止された場合、またはサービス全体が廃止された場合に、キータブ・エントリーを削除します。古いキータブ・セキュリティ・エントリーの削除には、次の操作が必要です。◆ セキュリティ・キーの有無の確認◆ 古いセキュリティ・キーの削除プリンシパルにセキュリティ・キーが存在するかどうかを確認するには、次の手順を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





表 17 Secure NFS管理


Secure NFSサービスからの古いキータブ・エントリーの削除（UNIX/Linux KDCを使用している場合のみ）

88ページの「古いキータブ・エントリーの削除」

ユーザー属性の表示 90ページの「すべての Secure NFSサービス・インスタンスの表示」

ユーザー・エントリー情報の表示（UNIX/Linux KDCを使用している場合のみ）

91ページの「ローカル・マッピング・ファイル内のユーザー情報の表示」

ユーザー・エントリーの削除（UNIX/Linux KDCを使用している場合のみ）

93ページの「ローカル・マッピング・ファイルからのユーザーの削除」

Secure NFSサービスからのサービス・プリンシパルの削除

93ページの「サービス・プリンシパルの削除」

Secure NFSサービスからのユーザー認証の解除 94ページの「認証の解除」


古いキータブ・エントリーを削除するには、次の手順を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

キータブ情報を表示するには、次のように入力します。$ server_kerberos lngbe245 -keytab

出力






ステップ操作

1. kadminユーティリティを開きます。このユーティリティを開く手順については、58ページの「Control Stationを使用したサービス・プリンシパルの KDCへの追加」を参照してください。

2. 次のコマンドの文法を使用して、両方のセキュリティ・プリンシパルのキータブ情報を削除します。kadmin: ktremove <nfs/Data_Mover_host_name> and kadmin: ktremove <nfs/Data_Mover_fqdn>

3. たとえば、Secure NFS Data Mover lngbe245のキータブ・ファイルからキータブ・エントリーを削除するには、次のように入力します。kadmin: ktremove nfs/lngbe245

出力：Entry for principal nfs/lngbe245 with kvno 4 removed from keytab WRFILE:/nas/quota/slot_2/.etc/krb5.keytab.


すべての Secure NFSサービス・インスタンスの表示すべての Secure NFSサービス・インスタンスを表示するには、次の手順を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

すべての Secure NFSサービス・インスタンスを表示するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -user -list

ここで：<movername> = 指定された Data Moverの名前例：lngbe245上のすべての Secure NFSサービス・インスタンスを表示するには、次のように入力します。$ server_nfs lngbe245 -secnfs -user -list

出力

lngbe245: RPCSEC_GSS server stats

Credential count: 2 principal: [email protected] principal: nfs@dm112-cge0

Total number of user contexts: 1 Current context handle: 3

PARTIAL user contexts: Total PARTIAL user contexts: 0

USED user contexts: [email protected], [email protected], handle=3, validity=35914s Total USED user contexts: 1

EXPIRED user contexts: Total EXPIRED user contexts: 0


ユーザー属性の表示認証されたユーザーの属性を表示して、ユーザー認証コンテキストと、Kerberosプリンシパルがマッピングされている UIDおよび GIDを確認します。

Kerberosユーザー、サービス名、ユーザー認証コンテキスト識別子によって識別されるユーザー属性を表示するには、次の手順を使用します。

ローカル・マッピング・ファイル内のユーザー情報の表示

注：次の手順は、Solaris UNIXの KDCと gsscred_dbまたはローカル・マッピング・ファイルを使用している場合にのみ関連します。ローカル・マッピング・ファイルの使用に関する詳細については、60ページの「ユーザー・プリンシパル名への UIDのマッピング」を参照してください。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

認証されたユーザーの属性を表示するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -user -info { principal=<user_principal> | handle=<handle_number> }

ここで：<movername> = 指定された Data Moverの名前<user_principal> = ユーザー名<handle_number> = ユーザーの ID

例：認証されたユーザーの属性を表示するには、次のように入力します。$ server_nfs lngbe245 -secnfs -user -info handle=38

出力

lngbe245: principal: [email protected]: [email protected] handle: 38validity: 6073sGSS flags: mutl conf intg redy trancredential: uid=1944, inuid=1944, gid=2765


ローカル・マッピング・ファイル内のユーザー・エントリー情報を表示するには、次の手順を使用します。

操作

ローカル・マッピング・ファイル内のユーザー・エントリーを表示するには、次のコマンドの文法を使用します。$ server_nfs <mover_name> -secnfs -mapper -mapping -list { name= <user_name> | uid=<UID> }


例：ローカル・マッピング・ファイル内のユーザー nfsuser1の情報を表示するには、次のように入力します。$ server_nfs lngbe245 -secnfs -mapper -mapping -list name=nfsuser1

出力

lngbe245: 0401000B06092A864886F7120102020000001A7365636E66737573657231407374617465

732E656D632E636F6D 1000 nfsuser1, kerberos_v5


ローカル・マッピング・ファイルからのユーザーの削除

注：次の手順は、Solaris UNIXの KDCと gsscred_dbまたはローカル・マッピング・ファイルを使用している場合にのみ関連します。ローカル・マッピング・ファイルの使用に関する詳細については、60ページの「ユーザー・プリンシパル名への UIDのマッピング」を参照してください。

ローカル・マッピング・ファイルからユーザー・エントリーを削除するには、次の手順を使用します。

サービス・プリンシパルの削除Secure NFSを使用する必要がなくなった場合、または変更する必要がある場合に、サービス・プリンシパルを削除できます。サービス・プリンシパルを再開するには、-createオプションを使用します。

サービス・プリンシパルを削除するには、次の手順を使用します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

ローカル・マッピング・ファイルからユーザー・エントリーを削除するには、次のコマンドの文法を使用します。$ server_nfs -secnfs -mapper -mapping -delete { name=<user_name> | uid=<UID> }


例：ローカル・マッピング・ファイルからユーザー nfsuser1を削除するには、次のように入力します。$ server_nfs -secnfs -mapper -mapping -delete name=nfsuser1

出力

lngbe245: done

操作

サービス・プリンシパルを削除するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -principal -delete <service@server>

ここで：<movername> = 指定された Data Moverの名前<service@server> = サービス名とサーバ名例：サービス・プリンシパルを削除するには、次のように入力します。$ server_nfs lngbe245 -secnfs -principal -delete nfs@lngbe245

出力

lngbe245: done


認証の解除ユーザーの Secure NFS認証コンテキストを解除するには、次の手順を使用します。たとえば、UID/GIDマッピングの問題を解決するために、認証の解除が必要になる場合があります。現在のユーザーとプリンシパルの一覧は、-listオプションを使用して取得します。

はじめに





またはUNIX認証


Secure NFSの管理

NFSv4の管理

NFSの管理





操作

ユーザーの認証を解除するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -user -release { principal=<user_principal> | handle=<handle_number> }

ここで：<movername> = 指定された Data Moverの名前<user_principal> = 解除するプリンシパルの名前<handle_number> = ユーザー ID

例：nfsuser1の認証を解除するには、次のように入力します。$ server_nfs lngbe245 -secnfs -user -release [email protected]

出力

lngbe245: done


トラブルシューティングEMC WebSupportデータベースで問題に関する情報を照会したり、リリース・ノートを取得することができます。また、Powerlink（EMCの安全なエクストラネット・サイト）を利用して、Celerraの技術的な問題を EMCにレポートできます。「Celerra Problem Resolution Roadmap」テクニカル・モジュールでは、Powerlinkの使用方法と問題の解決方法に関する補足情報が提供されています。

ファイルシステムのエクスポートのトラブルシューティング表 18は、エラー・メッセージ、定義、対処方法を示しています。「Celerra Network Server Error Messages Guide」には、エラー・メッセージについての補足情報が記載されています。

表 18 エクスポートに関するエラー・メッセージ

メッセージ・テキスト説明対処方法

<pathname> cannot be exported: cannot export sub-dirs of nested file systems

ネスト・ファイルシステムのサブディレクトリをエクスポートしようとしている。

サブディレクトリではなく、コンポーネント・ファイルシステムのルートをエクスポートする。

<pathname> cannot be exported: No such directory

存在しないエクスポート・パスをエクスポートしようとしている。

1. server_mountpoint <movername> -listコマンドを使用してマウントポイント名を確認する。

2. 既存のマウントポイント名を使用してパス名をエクスポートする。

<pathname> cannot be exported: parent-directory <pathname> has been exported

エクスポートされるディレクトリのサブディレクトリをエクスポートしようとしている。ファイルシステムがマウントされていない。

1. 現在のエクスポート・リストをレビューして、何らかの再編成が必要かどうかを判断する。

2. 親ディレクトリをアンエクスポートしてから、コマンドを再実行する。

3. エクスポートされるパスにファイルシステムがマウントされているかどうかを確認する。

<pathname> cannot be exported: sub-directory <pathname> has been exported

エクスポートされるディレクトリの親ディレクトリをエクスポートしようとしている。

1. 現在のエクスポート・リストをレビューして、何らかの再編成が必要かどうかを判断する。

2. サブディレクトリをアンエクスポートしてから、コマンドを再実行する。

../ProblemResolutionRoadmap/index.htm

../ErrorMsgs/index.htm




NFSv4のトラブルシューティングNFSv4の使用中に問題が発生した場合、次を確認します。

◆ netdファイルで、hiversオプションが 4に設定されていることを確認する。

◆ server_mountコマンドで、accesspolicyオプションが MIXEDまたはMIXED_COMPATに設定されていることを確認する。

addOneSubnet: Invalid ip <ip-address>

サブネットに対して無効な IPアドレスが指定された。

1. ネットワーク構成をレビューして、有効な情報を使用していることを確認する。

2. 有効な IPアドレスを使用してパス名をエクスポートする。

addOneSubnet: Invalid netmask <netmask>

サブネットに対して無効なネットマスクが指定された。

1. ネットワーク構成をレビューして、有効な情報を使用していることを確認する。

2. 有効なネットマスクを使用してパス名をエクスポートする。

checkExportedByPath: verifyPath failed with status 7 for path <pathname> client <ipaddr in hex>

存在しないパス名を使用してクライアントからパス名をマウントしようとしている。

エクスポートされるエントリーを確認し、有効なエントリーを使用してクライアントからパスをマウントする。

Export alias <alias-name> for <export-pathname> must contain a leading /

エイリアス名に先頭のスラッシュ（/）がない。

先頭のスラッシュ（/）を含む正しいエイリアス名を使用してパス名をエクスポートする。

Export Error: No list specified for rw= or root= options.

server_exportコマンドの rw=または root=オプションに、ホスト、ネットグループ、サブネットが指定されていない。

rw=または root=オプションに、ホスト、サブネット、ネットグループを指定してエクスポート・コマンドを実行する。

Invalid value for VLAN: <vlan-number>

VLAN IDが無効。この IDは整数でなければならない。

ネットワーク構成をレビューして、有効な情報を使用していることを確認する。有効な VLAN IDを使用してパス名をエクスポートする。

processOneList: addOneSubnet() failed on subnet: <ip-address>/<netmask>

サーバがサブネットやネットマスクを正しく処理できない。

有効な IPアドレスやネットマスクを使用してパス名をエクスポートする。

表 18 エクスポートに関するエラー・メッセージ（続き）



◆ NFSv4の domainパラメータで次を確認する。

• 設定されているかどうか。［インデント］ - このパラメータが設定されていないとユーザーやグループがどこにもマッピングされない。

• サーバとクライアントで同じドメイン名を使用していること。◆ NFSv4クライアント・システムの mountコマンドで、バージョン 4が指定されていることを確認する。

次についても確認します。◆ 接続性

• Data Moverから KDCに対する ping

• Data Moverからクライアントに対する ping

• NISを使用している場合– Data Moverから NISに対する ping

– 問題のあるユーザーまたはグループが、NISの passwdファイル、groupファイル、gsscred_dbファイルに存在することを確認する。

◆ ネーム・サービスの構成。［インデント］- NFSv4サーバとクライアントが同じ情報にアクセスする必要がある。

NFSv4ステータスの表示NFSv4サービス・ステータスを表示するには、次の手順を使用します。

操作

NFSv4サービス・ステータスを表示するには、次のコマンドの文法を使用します。$ server_nfs <movername> -v4

ここで：<movername> = 指定された Data Moverの名前例：server_2上の NFSv4サービス・ステータスを表示するには、次のように入力します。$ server_nfs server_2 -v4

出力

server_2: ---------- nfsv4 server status ----------* service started *----- nfsv4 clients -----configurmed clients: 5unconfirmed clients: 0------------------------------ nfsv4 state -----opens: 8locks: 4delegations: 0


NFSv4サーバ・ログ・メッセージ表 19は、Data Moverのサーバ・ログに書き込まれる NFSv4メッセージを示しています。「Celerra Network Server Error Messages Guide」には、エラー・メッセージについて補足情報が記載されています。

表 19 NFSv4サーバ・ログ・エラー・メッセージ


allocation failed for nfsv4 ClientTable

必要なアロケーション・サイズに十分な連続したメモリがない。

Data Moverを再起動する。

allocation failed for nfsv4 StateTable

必要なアロケーション・サイズに十分な連続したメモリがない。


Delegation::umount: Append error <error code>

現在ある唯一のエラーはLINKLIST_INSUFFICIENT_RESOURCESで、ファイルシステムのアンマウント中にメモリが使い果たされたことを示す。


Delegation::umount: No mem

ファイルシステムのアンマウント中にメモリが使い果たされた。


getattr: None of the Quotas are ON <NFSv4 error code>

サーバがクォータ情報を取得できない。

クォータを有効化する。

getattr: unable to get file attr stat=<NFSv4 error code>

サーバが指定されたファイルの属性情報を取得できない。ファイルシステムの問題を示す可能性がある。

ファイルシステムの整合性を確認する。ファイルシステムのモニタリングと修復に関する情報については、「Managing Celerra Volumes and File Systems Manually」テクニカル・モジュールを参照。

getattr: unable to get file quota stat=<NFSv4 error code>

サーバがファイルのクォータ情報を取得できない。

クォータが有効化され、正しく設定されていることを確認する。

getattr: unable to get filesystem stat status=<NFSv4 error code>

サーバがファイルシステムの属性を取得できない。クライアントがマウントに失敗する。

1. ファイルシステムの整合性を確認する。ファイルシステムのモニタリングと修復に関する情報については、「Managing Celerra Volumes and File Systems Manually」テクニカル・モジュールを参照。

2. ファイルシステムをバックアップからリストアする。

NFS read: allocb failed for padding

利用可能なメモリが不足している。

NFSv4クライアントが操作をリトライする。









NFS4_GETNODE: Unable to map handle to node, stat=<NFSv4 error code>

NFSv4クライアントが正しくないファイル・ハンドルを提供したか、ファイルシステムで（アンマウント以外の）エラー状態が発生した。クライアントのオペレーティング・システムのバグの可能性もある。NFSv4のエラー・コードについては、106ページの「NFSv4エラー・メッセージ」を参照。

ファイルシステムのステータスを確認する。ファイルシステムのモニタリングと修復に関する情報については、「Managing Celerra Volumes and File Systems Manually」テクニカル・モジュールを参照。

NFSv4 ClientTable failed to initialize

NFSv4を開始できない。クライアントに問題がある可能性もある。

サーバ・ログでその他のメッセージを確認する。EMCカスタマー・サービスに問い合わせる。

NFSv4 TableArray: dangling state

State Cleanerが状態の未使用部分を削除できない。

このエントリーは使用不可としてマークされている。対処方法を行う必要なし。これらのメッセージが頻繁に表示される場合は EMCカスタマー・サービスに問い合わせる。

NFSv4 TableArray: no space to grow StateTable.

利用可能なメモリが不十分なため、これ以上 NFSv4の状態コンテキストを作成できない。

この問題は自動修復される。十分なメモリが利用可能になるまで NFSv4クライアントにエラー NFS4ERR_RESOURCEが表示される。

nfsv4.delegLeaseDuration must be > than nfsv4.leaseDuration <leaseDuration>

パラメータnfsv4.delegLeaseDurationに不適切な値が入力された。

より大きい値を入力するか、デフォルト値に戻す。

nfsv4.delegLeaseDuration must be > than nfsv4.recallTimeout <currentcallTimeout>

パラメータnfsv4.delegLeaseDurationに不適切な値が入力された。

より大きい値を入力するか、デフォルト値に戻す。

nfsv4.delegLeaseDuration: Integer value expected

パラメータnfsv4.leaseDurationに不適切な値が入力された。

整数値を入力するか、デフォルト値に戻す。

nfsv4.leaseDuration must be less than lockd.gpDuration <lockd_gpDuration param>

現在ある唯一のエラーはLINKLIST_INSUFFICIENT_RESOURCESで、ファイルシステムのアンマウント中にメモリが使い果たされたことを示す。

より小さい値を入力するか、デフォルト値に戻す。

表 19 NFSv4サーバ・ログ・エラー・メッセージ（続き）





nfsv4.leaseDuration must be less than nfsv4.delegLeaseDuration <current deleg lease duration>


より小さい値を入力するか、デフォルト値に戻す。

nfsv4.leaseDuration: Integer value expected



nfsv4.recallTimeout must be < than nfsv4.delegLeaseDuration <delegLeaseDuration>

パラメータnfsv4.recallTimeoutに不適切な値が入力された。

デリゲーション・リース期間より小さい値を入力するか、デフォルト値に戻す。

nfsv4.recallTimeout: Integer value expected

パラメータnfsv4.recallTimeoutに不適切な値が入力された。


NFSv4-commit: cannot commit file

サーバがキャッシュ・データを書き込めない。


NFSv4-commit: unable to create open handle

サーバが現在のファイル・ハンドルを設定できない。


NFSv4-commit: unable to get pre-attributes

サーバが親ディレクトリの属性を取得できない。


NFSv4-create: cannot get post-attributes














NFSv4-create: cannot get pre-attributes



NFSv4-create: unable to get new handle

サーバが現在のファイル・ハンドルを設定できない。


NFSv4-link: unable to get node from handle

ファイル・ハンドルをファイルシステム内のファイルにマッピングできない。クライアント・エラーまたはサードパーティ製品によるファイルの削除が原因の可能性がある。

NFSv4-link: unable to get post-attributes



NFSv4-link: unable to get pre-attributes



NFSv4-lockt: unable to get pre-attributes



NFSv4-lookup: credp=NULL

クライアントがアクセス認証情報を提供していない。クライアント・エラー。














NFSv4-lookup: unable to get handle from node

ファイル・ハンドルをファイルシステム内のファイルにマッピングできない。クライアント・エラーまたはサードパーティ製品によるファイルの削除が原因の可能性もある。


NFSv4-open_confirm: unable to get pre-attributes



NFSv4-openatttr: unable to get current handle from container node

サーバが指定された属性を指定されたストリームにマッピングできない。


NFSv4-putPubFH: unable to get root FH

サーバがルート・ファイル・ハンドルを特定できなかった。


NFSv4-putRootFH: unable to get root FH

サーバがルート・ファイル・ハンドルを特定できなかった。


NFSv4-readdir: bad cookie

クライアントからの cookieが、サーバが送信したcookieと同一でない。クライアントのバグの可能性がある。


NFSv4-readdir: no resource left

利用可能なメモリが不足している。

クライアントが操作をリトライする。

NFSv4-remove: unable get post-attributes

サーバが親ディレクトリの属性を取得できなかった。



















NFSv4-remove: unable to get pre-attributes



NFSv4-rename: unable to get node from handle

ファイル・ハンドルをファイルシステム内のファイルにマッピングできない。別のクライアント（多くの場合別のプロトコル）によってファイルが削除されている。

NFSv4-rename: unable to get post-attributes



NFSv4-rename: unable to get pre-attributes



nfsv4_StateTable::OpenClaim Previous: Unable to get node from handle stat=<NFSv4 error code>

NFSv4クライアントがOpenClaim Previous処理で正しくないファイル・ハンドルを提供したか、ファイルシステムで（アンマウント以外の）エラー状態が発生した。クライアントのオペレーティング・システムのバグの可能性もある。NFSv4のエラー・コードについては、106ページの「NFSv4エラー・メッセージ」を参照。


OpenClaimNull: create exclusive. unable to get file attr stat=<NFSv4 error code>

サーバが直前に作成されたファイルの属性を取得できない。















OpenClaimNull: exclusive: lookupComponent Failed=<NFSv4 error code>

サーバが直前に作成されたファイルを検索できない。


OpenClaimNull: unable to get file attr stat=<NFSv4 error code>

サーバが作成されたファイルの属性を取得できない。


OpenClaimNull: unchecked: lookupComponent Failed=<NFSv4 error code>

サーバが作成されたファイルを検索できない。


OpenClaimPrevious: unable to get file attr stat=<NFSv4 error code>

サーバがファイルの属性を取得できない。


OpenDelegateCur: unable to get file attr stat=<NFSv4 error code>

サーバが作成されたファイルの属性を取得できない。


OpenDelegateCur: Unable to get node from handle stat=<NFSv4 error code>

NFSv4クライアントがOpenDelegateCur処理で正しくないファイル・ハンドルを提供したか、ファイルシステムで（アンマウント以外の）エラー状態が発生した。クライアントのオペレーティング・システムのバグの可能性もある。NFSv4のエラー・コードについては、106ページの「NFSv4エラー・メッセージ」を参照。

















OpenDowngrade: Unable to get node from handle stat=<NFSv4 error code>

NFSv4クライアントがOpenDowngrade処理で正しくないファイル・ハンドルを提供したか、ファイルシステムで（アンマウント以外の）エラー状態が発生した。クライアントのオペレーティング・システムのバグの可能性もある。NFSv4のエラー・コードについては、106ページの「NFSv4エラー・メッセージ」を参照。


putPubFH: unable to get root FH, invalid file handle.

クライアントが無効なファイル・ハンドルを使用してファイルを開いた。

サーバまたはクライアントのバグの場合は、ネットワーク・トレースを取得して分析する。

setacl cannot convert SID for owner <owner_name>

サーバが指定された所有者の SIDを取得できない。

ユーザー・マッピングが正しく設定されていることを確認する。

setacl cannot init SD DACL

サーバが ACLセキュリティの記述情報を初期化できなかった。

ファイルシステムがMIXEDモードでマウントされていることを確認する。

setAttr: unable to map Group=%s err=%d,n",name,err

サーバが所有者を有効なGIDに変換できない。

グループ・マッピングが正しく設定され、ネーム・データベース内にグループがあることを確認する。

setAttr: unable to map Owner=<owner_name>

サーバが所有者を有効なUIDに変換できない。

ユーザー・マッピングが正しく設定され、ネーム・データベース内にユーザーがあることを確認する。

Unable to get node from handle stat=<NFSv4 error code>

サーバがファイルシステムの属性を取得できない。クライアントがマウントに失敗する。

ファイルシステムをバックアップからリストアする。

Unable to get node from handle stat=<NFSv4 error code>

NFSv4クライアントがOpenClaimNull処理で正しくないファイル・ハンドルを提供したか、ファイルシステムで（アンマウント以外の）エラー状態が発生した。

ファイルシステムのステータスを確認する。NFSv4クライアントのバグの可能性もある。NFSv4のエラー・コードについては、106ページの「NFSv4エラー・メッセージ」を参照。

Unable to load SD サーバがセキュリティの記述を取得できない。

ファイルシステムがMIXEDモードでマウントされていることを確認する。






NFSv4エラー・メッセージ表 20は、RFC 3530 Network File System (NFS) Version 4 Protocol で定義されている NFSv4エラー・メッセージの一覧です。NFSエラー番号は、複合要求内の失敗した操作に割り当てられます。複合要求には複数の NFS操作が含まれ、その結果は複合応答のシーケンス内にエンコードされます。成功した操作の結果は、NFS4_OKステータスの後に操作のエンコードされた結果を付加して示されます。NFS操作が失敗した場合は、エラー・ステータスが応答に表示され、複合要求は中止されます。

注：次の説明と RFC 3530の間に相違がある場合は、RFCの説明が優先されます。

Verify:getattr failed=<NFSv4 error code>

サーバがファイル属性情報を取得できない。ファイルシステムの問題を示す可能性がある。

ファイルシステムの整合性を確認する。



表 20 NFSv4エラー・メッセージ

エラー・メッセージ説明

NFS4_OK 操作が成功したことを示す。

NFS4ERR_ACCESS 権限がない。コーラーには、要求した操作を実行するための適切な権限がない。これに対し、NFS4ERR_PERMは所有者または管理者ユーザーの権限の問題に限られる。

NFSV4ERR_ATTRNOTSUPP 指定された属性は、サーバでサポートされていない。GETATTR操作には適用されない。

NFS4ERR_ADMIN_REVOKED 管理者の介入のため、ロック所有者のレコード・ロック、共有予約、デリゲーションは、サーバによって取り消される。

NFS4ERR_BADCHAR UTF-8の文字列に、使用されているコンテキストではサーバがサポートしない文字が含まれている。

NFS4ERR_BAD_COOKIE READDIR Cookieが古い。

NFS4ERR_BADHANDLE 不正な NFSファイル・ハンドル。ファイル・ハンドルは、内部的なコンシステンシ・チェックに適合しなかった。

NFS4ERR_BADNAME 要求に含まれる名前の文字列はサーバがサポートする有効な UTF-8文字で構成されているが、名前自体が現在の操作に対する有効な名前としてサーバでサポートされていない。

NFS4ERR_BADOWNER owner、owner_group、ACLのいずれかの属性値を、ローカル表現に変換できない。

NFS4ERR_BADTYPE サーバがサポートしないタイプのオブジェクトの作成を試行した。


NFS4ERR_BAD_RANGE LOCK、LICKT、LOCKUのいずれかの操作の範囲が、サーバのオフセットの許容される範囲に対して適切ではない。

NFS4ERR_BAD_SEQID ロック要求のシーケンス番号が、次に予想される番号でも、最後に処理された番号でもない。

NFS4ERR_BAD_STATEID 現在のサーバ・インスタンスによって生成されたが、現在のロック所有者とファイルのペアに対するロック状態（現在のもの、または置き換えられたもの）を示さない状態 IDが使用された。

NFS4ERR_BADXDR サーバは、操作の処理中に、XDRデコード・エラーを検出した。

NFS4ERR_CLID_INUSE SETCLIENTID操作で、クライアント IDが別のクライアントによって使用されていることが検出された。

NFS4ERR_DEADLOCK ブロック・ロック要求に対してファイル・ロックのデッドロック状態であると、サーバが判断した。

NFS4ERR_DELAY サーバが要求を開始したが、適切な時間内に完了できない。クライアントは、しばらく待った後、新しい RPCトランザクション IDで要求を試みる必要がある。たとえば、このエラーは、階層的なストレージをサポートするサーバが、移行されたファイルの処理要求を受け取った場合に返される。この場合、サーバは移行プロセスを開始し、クライアントにこのエラーで応答する必要がある。必要なデリゲーション・リコールのために要求を適切な時間内に処理できない場合にも、このエラーが発生する可能性がある。

NFS4ERR_DENIED ファイルをロックする試行が拒否された。これは一時的な状態の可能性があるため、クライアントは、ロックが受け付けられるまでロック要求をリトライすることが推奨される。

NFS4ERR_DQUOT リソース（クォータ）のハード限界超過。サーバでのユーザーのリソース限界を超過した。

NFS4ERR_EXIST 指定したファイルは存在している。

NFS4ERR_EXPIRED 現在の操作で使用されているリースの期限が切れた。

NFS4ERR_FBIG ファイルが大きすぎる。操作によりファイルのサイズが増加して、サーバの限界を超えた。

NFS4ERR_FHEXPIRED 提供されたファイル・ハンドルは揮発性であり、サーバで期限が切れた。

NFS4ERR_FILE_OPEN 操作に含まれるファイルが現在開かれているため、操作を正常に処理できない。

NFS4ERR_GRACE サーバは、サーバのリース期間と一致する必要のあるリカバリ期間または猶予期間中である。

NFS4ERR_INVAL 操作に対する引数が無効か、またはサポートされていない。シンボリック・リンク以外のオブジェクトに対して READLINKを試行したり、プロトコルで定義されていない enumフィールド（nfs_ftype4など）に値を指定したりすると発生する。

NFS4ERR_IO I/Oエラー。要求された操作の処理中に、ハード・エラー（ディスク・エラーなど）が発生した。

NFS4ERR_ISDIR ディレクトリである。コーラーが、ディレクトリ以外の操作でディレクトリを指定した。

表 20 NFSv4エラー・メッセージ（続き）



NFS4ERR_LEASE_MOVED 更新されたリースは、新しいサーバに移行されたファイルシステムと関連づけられる。

NFS4ERR_LOCKED ロックされたファイルに対して、読み取り操作または書き込み操作が試行された。

NFS4ERR_LOCKED_NOTSUPP サーバは、微細な単位でのロックのアップグレードまたはダウングレードをサポートしていない。

NFS4ERR_LOCK_RANGE ロック所有者の現在のロックのサブ範囲に対してロック要求が行われているが、サーバはこのような要求をサポートしていない。

NFS4ERR_LOCKS_HELD CLOSEが試行されたが、CLOSEの後でもファイル・ロックが存在する。

NFS4ERR_MINOR_VERS_MISMATCH

サーバは、サポートされないマイナー・バージョンを指定する要求を受け取った。サーバは、長さがゼロの操作結果アレイで COMPOIND4resを返す必要がある。

NFS4ERR_MLINK ハード・リンクが多すぎる。

NFS4ERR_MOVED 現在のファイル・ハンドル・オブジェクトを含むファイルシステムは、再配置されているか、別のサーバに移行されている。クライアントは、現在のファイル・ハンドルの「fs_locations」属性を取得することで、ファイルシステムの新しい場所を取得できる。

NFS4ERR_NAMETOOLONG ファイル名が長すぎる。

NFS4ERR_NOENT 指定したファイル名またはディレクトリ名は存在しない。

NFS4ERR_NOFILEHANDLE 現在の論理ファイル・ハンドル値（または、RESTOREFHの場合は、保存されているファイル・ハンドル値）が、正しく設定されていない。不適切な COMPOUND操作（つまり、現在のファイル・ハンドルを設定する必要がある操作の前に、PUTFHまたはPUTROOTFHがない）の結果である可能性がある。

NFS4ERR_NO_GRACE クライアントの状態の再利用が、サーバの猶予期間の範囲外になった。その結果、サーバは、競合する状態が別のクライアントに提供されることを保証できない。

NFS4ERR_NOSPC デバイスにスペースがない。操作を行うと、サーバのファイルシステムが限界を超える。

NFS4ERR_NOTDIR ディレクトリではない。コーラーが、ディレクトリの操作でディレクトリ以外を指定した。

NFS4ERR_NOTEMPTY 空ではないディレクトリを削除しようとしている。

NFS4ERR_NOTSUPP サポートされていない操作。

NFS4ERR_NOT_SAME このエラーは、比較された属性がクライアントの要求で提供されたものと同じではないことを示すために、VERIFY操作によって返される。

NFS4ERR_NXIO I/Oエラー。指定されたデバイスまたはアドレスが存在しない。

NFS4ERR_OLD_STATEID ロック所有者とファイルに対するロック状態を指定する状態 IDが、以前に使用されている。




NFS4ERR_OPENMODE READ、WRITE、LOCK、SETATTRのいずれかの操作を試行したクライアントが、渡された状態 IDによって拒否された（たとえば、読み取り専用で開かれたファイルへの書き込み）。

NFS4ERR_OP_ILLEGAL COMPOUNDまたは CB_COMPOUNDプロシージャの argopフィールドに、不正な操作値が指定された。

NFS4ERR_PERM 所有者ではない。コーラーが管理者ユーザー（ルート）または操作対象の所有者ではないため、操作が許可されなかった。

NFS4ERR_RECLAIM_BAD クライアントによって提供された再利用が、サーバの状態のどのコンシステンシ・チェックとも一致せず、正しくない。

NFS4ERR_RECLAIM_CONFLICT クライアントによって提供された再利用で競合が検出されたため、提供できない。クライアントの動作が正しくないことを示している可能性がある。

NFS4ERR_RESOURCE COMPOUNDプロシージャの処理の場合、サーバは使用可能なリソースをすべて消費し、COMPOUNDプロシージャ内で処理操作を継続できない可能性がある。このエラーは、COMPOUNDプロシージャの処理に関連してリソースを使い切った場合に、サーバから返される。

NFS4ERR_RESTOREFH RESTOREFH操作には、操作対象となる保存されたファイル・ハンドル（SAVEFHで示される）がない。

NFS4ERR_ROFS 読み取り専用ファイルシステム。読み取り専用のファイルシステムに対して、変更操作が試行された。

NFS4ERR_SAME このエラーは、比較された属性がクライアントの要求で提供されたものと同じであることを示すために、NVERIFY操作によって返される。

NFS4ERR_SERVERFAULT NFSバージョン 4プロトコルのどの有効なエラー値にも対応しないエラーが、サーバで発生した。クライアントは、これを適切なエラーに変換する必要がある。UNIXクライアントは、これを EIOに変換できる。

NFS4ERR_SHARE_DENIED 共有予約でファイルを開こうとしたが、共有の競合のために失敗した。

NFS4ERR_STALE 無効なファイル・ハンドル。引数で指定されたファイル・ハンドルが無効。ファイル・ハンドルで参照されているファイルが存在しないか、ファイルへのアクセスが取り消された。

NFS4ERR_STALE_CLIENTID サーバが認識できないクライアント IDが、ロックまたは SETCLIENTID_CONFIRM要求で使用されている。

NFS4ERR_STALE_STATEID 以前のサーバ・インスタンスで生成された状態 IDが使用されている。

NFS4ERR_SYMLINK LOOKUPに対して提供された現在のファイル・ハンドルは、ディレクトリではなく、シンボリック・リンクである。OPENパスの最終コンポーネントがシンボリック・リンクの場合にも使用される。

NFS4ERR_TOOSMALL READDIR要求に対するエンコードされた応答が、初期要求で設定されたサイズ限界を超える。




NFS4ERR_WRONGSEC 操作に対してクライアントで使用されているセキュリティ・メカニズムが、サーバのセキュリティ・ポリシーと一致しない。クライアントは、セキュリティ・メカニズムを変更し、操作をリトライする必要がある。




NFSv4のカウンタNFSのすべての統計情報を表示するには、server_nfs -statsコマンドを使用します。オンラインの Celerraマニュアル・ページまたは「Celerra Network Serverコマンド・リファレンス・マニュアル」では、このセクションで示されているコマンドと文法表記規則に関する詳細な概要を提供しています。

操作

NFSの統計情報を表示するには、次のコマンドの文法を使用します。$ server_nfs <movername> -stats

ここで：<movername> = 指定された Data Moverの名前例：NFSの統計情報を表示するには、次のように入力します。$ server_nfs server_2 -stats

出力

server_2: Server nfs (v2):proc ncalls %totcalls ms/call failuresnull 10 100.0 0.0 0 getattr 0 0.0 0.0 0 setattr 0 0.0 0.0 0 root 0 0.0 0.0 0 lookup 0 0.0 0.0 0 readlink 0 0.0 0.0 0 read 0 0.0 0.0 0 wrcache 0 0.0 0.0 0 write 0 0.0 0.0 0 create 0 0.0 0.0 0 remove 0 0.0 0.0 0 rename 0 0.0 0.0 0 link 0 0.0 0.0 0 symlink 0 0.0 0.0 0 mkdir 0 0.0 0.0 0 rmdir 0 0.0 0.0 0 readdir 0 0.0 0.0 0 fsstat 0 0.0 0.0 0

Server nfs (v3):proc ncalls %totcalls ms/call failuresv3null 4 0.4 3.0 0 v3getattr 366 38.5 0.7 0 v3setattr 5 0.5 4.0 0 v3lookup 177 18.6 0.0 0 v3access 326 34.3 0.0 0 v3readlink 0 0.0 0.0 0 v3read 4 0.4 0.0 0 v3write 12 1.3 4.7 0 v3create 10 1.1 7.2 0




出力

v3mkdir 1 0.1 16.0 0 v3symlink 0 0.0 0.0 0 v3mknod 0 0.0 0.0 0 v3remove 8 0.8 0.5 0 v3rmdir 0 0.0 0.0 0 v3rename 1 0.1 0.0 0 v3link 0 0.0 0.0 0 v3readdir 13 1.4 0.0 0 v3readdirplus 2 0.2 0.0 0 v3fsstat 6 0.6 0.0 0 v3fsinfo 15 1.6 0.0 0 v3pathconf 0 0.0 0.0 0 v3commit 0 0.0 0.0 0

nfsv4 stats

Proc Calls Max RWMax Ticks Failed microsec/call ---- ----- --- ----- ----- ------ -------------

Null: 103 0 0 0 0 0 v4Null: 51 7106300 0 14194070 0 278315 v4Compound: 13674 13213 0 3560727 0 260 v4Close: 3 57 0 165 0 55 v4Create: 80 4252 0 283343 12 3541 v4GetAttr: 97 9337 0 47144 22 486 v4GetFh: 50 3 0 110 0 2 v4Lookup: 2035 8777 0 148343 1 72 v4Open: 37 4883 0 142310 0 3846 v4Open_Conf: 33 33 0 758 0 22 v4PutFh: 266 69 0 7309 0 27 v4PutrootFh: 531 939 0 2655 0 5 v4ReadDir: 13 8461 0 22995 0 1768 v4Remove: 79 11098 0 121760 4 1541 v4Renew: 12792 43 0 157575 14 12 v4SetAttr: 126 4182 0 176486 251 1400 v4SetClntid: 35 40 0 732 0 20v4Clntid_Conf: 35 22 0 666 0 19 v4Write: 5 13117 0 16417 0 3283------------- ---------- ---------- -------- ----------

Total: 30045 18883565 304 628Max active nfs threads: 9, bad read stream 0Total NFS procs; 13725, time 19245, ave 1Time in readStream 870991 usec (ave 0)Time in writeStream 63 usec (ave 80)

Server lookupcache:nHit nFind nNegadd nChecked 1736 6603 13 1736

Server rpc:ncalls nBadRpcData nDuplicates nResends nBadAuths 256947 1 0 0 0


Secure NFSのトラブルシューティングSecure NFSの使用中に問題が発生した場合は、次を確認します。

◆ レルムの構成◆ Secure NFSの構成

◆ 暗号化 /復号化キー

◆ Data Moverのサーバ・ログ：server_log <movername>

◆ Data Moverおよびクライアントでの DNSおよび NISの構成

◆ NFSユーザー・マッピングの構成

◆ 時間同期のセットアップ◆ セキュリティ・オプションを指定している server_mountコマンドの文法

◆ server_exportコマンドの文法

◆ ネットワーク・トレース◆ クライアントのチケット・キャッシュ：klist

◆ クライアントの KDCログ、デフォルトの場所は /var/krb5/kdc.log（UNIX/Linux KDCを使用している場合のみ）

次についても確認します。◆ サービスが実行されていること

• gssdデーモン• KDCサービス• DNSサービス

◆ 接続性• Data Moverから KDCに対する ping

• Data Moverからクライアントに対する ping

• NISを使用している場合– Data Moverから NISに対する ping

– 問題のあるユーザーまたはグループが、NISの passwdファイル、groupファイル、gsscred_dbファイルに存在することを確認する

◆ NFSクライアント

• Data Moverから、指定された共有を Kerberosを使用せずにエクスポートする

• 指定された共有を NFSクライアントからマウントする


ユーザーがファイルシステムにアクセスできないユーザーがファイルシステムにアクセスできない場合は、ユーザーが有効なセキュリティ・コンテキストを持っていることを確認します。ユーザーとプリンシパルの一覧を取得するには、次の手順を使用します。

ユーザーが一覧に含まれる場合は、そのユーザーに対する認証を解除した後、ユーザーに再びファイルシステムにアクセスさせるようにします。

操作

ユーザーとプリンシパルの一覧を取得するには、次のように入力します。$ server_nfs lngbe245 -secnfs -user -list

出力

server_lngbe245 : RPCSEC_GSS server stats

Credential count: 1 principal: nfs@lngbe245

Total number of user contexts: 2 Current context handle: 5

PARTIAL user contexts: Total PARTIAL user contexts: 0

USED user contexts: principal=root/[email protected], service=nfs@lngbe245, handle=1, validity=28028s [email protected], service=nfs@lngbe245, handle=4, validity=28510s Total USED user contexts: 2

EXPIRED user contexts: Total EXPIRED user contexts: 0

操作

ユーザーに対する認証を解除するには、次のコマンドの文法を使用します。$ server_nfs <movername> -secnfs -user -release principal=<user_principal>

ここで：<movername> = 指定された Data Moverの名前<user_principal> = 解除するプリンシパル例：nsfuser1に対する認証を解除するには、次のように入力します。$ server_nfs lngbe245 -secnfs -user -release [email protected]

出力

lngbe245: done


関連情報このテクニカル・モジュールで解説されている機能に関連する具体的な情報については、次を参照してください。◆ Celerra CIFSの構成方法

◆ マルチプロトコル環境での Celerraの管理

◆ Using International Character Sets with Celerra

◆ Configuring Celerra Naming Services

◆ Configuring Celerra Time Services

◆ Managing Celerra Volumes and File Systems Manually

◆ Celerra Network Serverコマンド・リファレンス・マニュアル

◆ オンラインの Celerraマニュアル・ページ◆ Celerra Network Server Parameters Guide

その他に次の関連資料があります。◆ [RFC1094] Network File System Protocol Specification（NFSバージョン 2プロトコルの仕様）（1989年 3月）

◆ [RFC1510] The Kerberos Network Authentication Service (V5)（1993年 9月）

◆ [RFC1813] NFS Version 3 Protocol Specification（1995年 6月）

◆ [RFC1964] The Kerberos Version 5 GSS-API mechanism（1996年 6月）

◆ [RFC2203] RPCSEC_GSS Protocol Specification（1997年 9月）◆ [RFC2623] NFS Version 2 and Version 3 Security Issues and the NFS

Protocol’s use of RPCSEC_GSS and Kerberos V5（1999年 6月）

◆ [RFC3530] Network File System (NFS) version 4 Protocol（2003年 4月）

Celerraとともに提供され、Powerlinkでも参照できる「Celerra Network Server Documentation CD」では、その他の EMC Celerraの資料に関する一般的な情報を提供します。

カスタマー・トレーニング・プログラムEMCカスタマー・トレーニング・プログラムは、インフラストラクチャに対する全投資の効果を最大化するためにユーザー環境内で EMCストレージ製品がどのように連携し、統合されるかを学ぶのに役立つように設計されています。EMCカスタマー・トレーニング・プログラムでは、オンライン・トレーニング、および世界中に適宜設置されている最先端ラボでの実践的なトレーニングが用意されています。EMCカスタマー・トレーニング・プログラムは、EMCのエキスパートによって開発および提供されます。プログラムの情報と登録については、Powerlink、お客様とパートナーのWebサイトを参照してください。



../i18N/index.htm







付録 A：システム・アクセスの動作この付録では、server_exportコマンドの -option引数を使用して、エクスポートされたファイルシステムの NFSクライアントに対して設定する読み取り /書き込みアクセスの解釈方法について説明します。クライアントは、ホスト名、ネットグループ、サブネット、IPアドレスで識別されます。

アクセス・モードの組み合わせを指定した場合の動作表 21は、server_exportコマンドにアクセス・モードの組み合わせを指定した場合の結果を示したものです。表の列の Xは、そのアクセス・モードを指定したことを意味します。

表 21 アクセス・モードの組み合わせ

ro ro= rw= access= 結果の動作

1 X X X X 同じエクスポートで roと ro=の両方を指定することはできない。roオプションは無視される。アクセスは 9行目と同じ。

2 X X X 同じエクスポートで roと ro=の両方を指定することはできない。roオプションは無視される。アクセスは 10行目と同じ。

3 X X X 同じエクスポートで roと ro=の両方を指定することはできない。roオプションは無視される。アクセスは 11行目と同じ。

4 X X 同じエクスポートで roと ro=の両方を指定することはできない。roオプションは無視される。アクセスは 12行目と同じ。

5 X X X アクセス・リストのホストには読み取り専用、読み取り /書き込みリストのホストには読み取り /書き込み。他のすべてのホストに対するアクセスは拒否される。

6 X X 読み取り /書き込みリストのホストには読み取り /書き込み。他のすべてのホストには読み取り専用アクセス。

7 X X アクセス・リストのホストには読み取り専用アクセス。他のすべてのホストに対するアクセスは拒否される。

8 X すべてに読み取り専用アクセス。


ホスト間、サブネット間、ネットグループ間の競合解決のルールホストが複数のネットグループに属し、server_exportコマンドを使用してこれらのネットグループに異なるタイプのアクセスが設定される場合は、一定のルールが適用されます。表 22では、これらのルールを説明し、その例を示します。例において、host1はすべてのサブネットとネットグループのメンバーです。

9 X X X 同じエクスポートで ro=と access=の両方を指定することはできない。読み取り専用リストとアクセス・リストのホストには読み取り専用。読み取り /書き込みリストのホストには読み取り /書き込み。他のすべてのホストに対するアクセスは拒否される。

10 X X 読み取り /書き込みリストのホストには読み取り /書き込み、読み取り専用リストのホストには読み取り専用。他のすべてのホストに対するアクセスは拒否される。

11 X X 同じエクスポートで ro=と access=の両方を指定することはできない。読み取り専用リストとアクセス・リストのホストには読み取り専用。他のすべてのホストに対するアクセスは拒否される。

12 X 読み取り専用リストのホストには読み取り専用。他のすべてのホストに対するアクセスは拒否される。

13 X X 読み取り /書き込みリストのホストには読み取り /書き込み、アクセス・リストのホストには読み取り専用。他のすべてのホストに対するアクセスは拒否される。

14 X 読み取り /書き込みリストのホストには読み取り /書き込み。他のすべてのホストには読み取り専用。

15 X アクセス・リストのホストには読み取り /書き込みアクセス。他のすべてのホストに対するアクセスは拒否される。

16 すべてのホストに読み取り /書き込み。

表 21 アクセス・モードの組み合わせ（続き）

ro ro= rw= access= 結果の動作


表 22 競合解決のルール

ルール例アクセス

ホストとサブネットで、ネットグループが選択されている

rw=host1,ro=netgrp1

rw=netgrp1,ro=subnet1

Host1は、読み取り /書き込みアクセスを許可される。netgrp1に属する他のすべてのホストは、読み取り専用アクセスを許可される。

Host1は、読み取り専用アクセスを許可される。host1を含む、subnet1に属するすべてのホストは、読み取り専用アクセスを許可される。host1を除く、netgrp1に属するすべてのホストは、読み取り /書き込みアクセスを許可される。

読み取り /書き込みアクセスと読み取り専用アクセスを使用した場合は、読み取り /書き込みアクセスがデフォルトで許可される。デフォルトのアクセスとして読み取り専用を指定するには、secureExportModeパラメータを指定する。このパラメータの設定については、120ページの「デフォルトのアクセス・モードとして読み取り専用を指定」を参照。

rw=host1,ro=host1

ro=subnet1,rw=subnet1

Host1は、読み取り /書き込みアクセスを許可される。

subnet1に属するすべてのホストは、読み取り /書き込みアクセスを許可される。

注：パラメータが設定されている場合、Host1は読み取り専用アクセスを許可される。

ホストとサブネットを使用すると、最初に一致するエントリーがアクセスの許可に使用される。

rw=-subnet1:host1

rw=host1:-subnet1

Host1は、読み取り /書き込みアクセスを拒否される。host1を含む、subnet1に属するすべてのホストは、読み取り /書き込みアクセスを拒否される。

Host1は、読み取り /書き込みアクセスを許可される。subnet1に属する他のすべてのホストは、読み取り /書き込みアクセスを拒否される。

注：この例では、否定が使用される。


ホストが 2つある場合は、最初に一致するエントリーがアクセスの許可に使用される。

rw=-host1:host1

rw=host1:-host1

Host1は、読み取り /書き込みアクセスを拒否される。Host1は、読み取り /書き込みアクセスを許可される。


サブネットが 2つある場合は、最初に一致するエントリーがアクセスの許可に使用される。

rw=-subnet1:subnet2

rw=subnet2:-subnet1

Host1は、読み取り /書き込みアクセスを拒否される。subnet1に属する他のすべてのホストは、読み取り /書き込みアクセスを拒否される。subnet2に属する他のすべてのホストは、読み取り /書き込みアクセスを許可される。

Host1は、読み取り /書き込みアクセスを許可される。subnet2に属する他のすべてのホストは、読み取り /書き込みアクセスを許可される。subnet1に属する他のすべてのホストは、読み取り /書き込みアクセスを拒否される。


ネットグループが 2つある場合は、最初に一致するエントリーがアクセスの許可に使用される。

rw=-netgrp1:netgrp2

rw=netgrp2:-netgrp1

Host1は、読み取り /書き込みアクセスを拒否される。netgrp1に属する他のすべてのホストは、読み取り /書き込みアクセスを拒否される。netgrp2に属する他のすべてのホストは、読み取り /書き込みアクセスを許可される。

Host1は、読み取り /書き込みアクセスを許可される。netgrp2に属する他のすべてのホストは、読み取り /書き込みアクセスを許可される。netgrp1に属する他のすべてのホストは、読み取り /書き込みアクセスを拒否される。


表 22 競合解決のルール（続き）

ルール例アクセス


デフォルトのアクセス・モードとして読み取り専用を指定クライアント、サブネット、ネットグループが server_export -optionリスト内に存在するときに、読み取り /書き込みアクセス権と読み取り専用アクセス権のどちらを付与するかで競合が生じる場合、デフォルトでは、読み取り /書き込みアクセス権が付与されます。

secureExportModeパラメータを変更することによって、競合が存在する場合に読み取り専用アクセス権を有効化するパラメータを設定できます。詳細については、117ページの「ホスト間、サブネット間、ネットグループ間の競合解決のルール」を参照してください。セキュア・エクスポートモードをオンに変更するには、次のコマンドを使用します。

表 23では、secureExportModeパラメータについて示しています。server_paramコマンドまたは Celerra Managerグラフィカル・ユーザー・インターフェースを使用することで、パラメータ値を表示および動的に変更できます。このテクニカル・モジュールでは、コマンドライン・プロシージャについてのみ説明しています。「Celerra Manager Online Help」では、グラフィカル・ユーザー・インターフェースを使用してパラメータ値を変更する方法について説明されています。「Celerra Network Server Parameters Guide」では、Celerraのすべてのパラメータについて説明されています。

操作

セキュア・エクスポートモードをオンにするには、次のコマンドの文法を使用します。$ server_param <movername> -facility <facility_name> -modify <param_name> -value <new_value>

ここで：<movername> = 指定された Data Moverの名前<facility_name> = パラメータが属するデバイスの名前<param_name> = パラメータの名前<new_value> = 指定されたパラメータに設定する値例：NFS secureExportModeパラメータを 128に設定するには、次のように入力します。$ server_param server_2 -facility nfs -modify secureExportMode -value 1


出力

server_2 : done




表 23 NFS secureExportModeパラメータ


NFS secureExportMode 0（オフ：デフォルト）または 1（オン）

複数のネットグループで server_export

コマンドを使用したときに、読み取り専用アクセス権と読み取り /書き込みアクセス権の間で発生する競合を解決するために使用される。param NFS secureExportMode=0では、競合が生じたときに読み取り /書き込みアクセス権が付与される。param NFS secureExportMode=1では、競合が生じたときに読み取り専用アクセス権が付与される。


付録 B：ユーザー認証動作この付録では、server_exportコマンドに secオプションを使用して、エクスポートされたファイルシステムの NFSクライアントに対して設定するセキュリティを解釈する方法について説明します。

セキュリティ・オプションを指定するときの全般的なルールセキュリティ・オプションを指定する場合は、次のルールが適用されます。エクスポート時のアクセス・モードとの相互関係については、31ページの「アクセス・レベルの指定」を参照してください。

注：アクセス・モードにはスペースを含めず、各アクセス・モードをコンマ（,）で区切ります。

表 24 セキュリティ・オプション・ルールの指定

ルール例

セキュリティ・オプションが指定されない場合、ファイルシステムは AUTH_SYS方式を使用してエクスポートされる。

server_export lngbe245 -Protocol nfs -option ro /ufs1

アクセス・モードを指定してからセキュリティ・オプションを指定すると、エクスポートは失敗する。

server_export lngbe245 -Protocol nfs -option rw=client1:client2,sec=krb5:ro=client3 /ufs1

セキュリティ・オプションの値を繰り返すと、エクスポートは失敗する。

server_export lngbe245 -Protocol nfs -option sec=krb5:rw=client1,sec=krb5:ro=client2 /ufs1

同じコマンドで複数のセキュリティ・オプションを使用できる。この例では、UNIX証明書を使用して認証されたユーザーには読み取り専用のアクセスが許可され、Kerberosを使用して認証されたユーザーは読み取り /書き込みアクセスが許可される。

server_export lngbe245 -Protocol nfs -option sec=krb5,sec=sys:ro /ufs1

1つのセキュリティ・オプションで複数のモードを利用できる。この例では、クライアントはすべて Kerberosを使用して認証され、client1と client2には読み取り /書き込みアクセス、client3と client4には読み取り専用のアクセスが許可される。

server_export lngbe245 -Protocol nfs -option sec=krb5:rw=client1:client2,ro=client3:client4 /ufs1


ルート・アクセス・モードroot=アクセス・モードは、指定したホスト名、ネットグループ、サブネット、IPアドレスの rootユーザーにのみ適用されます。セキュリティ・モードは、ファイルシステムへのアクセス権の可否には影響しませんが、rootユーザーが受け取るアクセスのタイプは、表 25に説明するように、認証で使用されるセキュリティ・メカニズムによって異なります。

表 25 ルート・アクセスと Secure NFS

コマンド例説明

server_export lngbe245 -Protocol nfs -option sec=krb5:root=client1,sec=sys:ro/ufs1

client1の rootユーザーはファイルシステムにアクセスできる。Kerberosセキュリティを使用して認証されたrootユーザーは、読み取り /書き込みアクセス権が付与される。デフォルトのセキュリティを使用して認証されたユーザーは、読み取り専用アクセス権が付与される。

server_export lngbe245 -Protocol nfs -option sec=krb5:root=client1,sec=sys:access=client1 /ufs1

Kerberosを使用して認証されたクライアントは、すべて読み取り /書き込みアクセス権が付与される。client1の rootユーザーのアクセス権には、root権限も付与される。

server_export lngbe245 -Protocol nfs -option sec=krb5:access=client1,root=client2 /ufs1

client1のみがファイルシステムにアクセスできる。client2を含む、その他のクライアントはすべてアクセスを拒否される。client2がアクセスできるようにするには、client2をアクセス・リストに含める必要がある。


付録 C：ネットワーク・アクセスなしでサービス・プリンシパルを追加する方法

注：次の手順は、UNIXまたは Linuxの Kerberos KDCを使用している場合にのみ関連します。

サービス・プリンシパルは、Secure NFSサービス・インスタンスを Kerberosで表したものです。これらのプリンシパルの作成方法は、Control Stationが KDCにアクセスする方法によって異なります。Control Stationで Kerberos KDCにネットワーク・アクセスが不可能な場合にサービス・プリンシパルを追加するには、次の操作を行います。

◆ Data Moverにキータブ・ファイルがあるかどうかを確認する。

◆ 2つの NFSサービス・プリンシパルを作成する。

◆ 関連づけるセキュリティ・キーを生成する。◆ キータブ・ファイルを Data Moverにコピーする。

キータブ・ファイルData Moverにキータブ・ファイルがあるかどうかと、Data Moverから Kerberos KDCにキータブ・ファイルがコピーされたかどうかを確認します。

操作

Data Moverにキータブ・ファイル（Windows構成から）がある場合は、キータブ・ファイル（/.etc/krb5.keytab）を Data Moverから Kerberos KDCにコピーします。キータブ・ファイルがない場合は、57ページの「NFS Kerberosサービス・プリンシパルの作成」の説明に従ってサービス・プリンシパルを追加します。server_fileコマンドと FTP（バイナリ転送）を使用して、Kerberos KDCのある /etcディレクトリにファイルをコピーします。

注

server_fileコマンドの使用方法の詳細については、「Celerra Network Serverコマンド・リファレンス・マニュアル」を参照してください。「Using FTP on Celerra Network Server」テクニカル・モジュールでは、FTPの使用に関する情報が提供されています。



../FTP/index.htm


サービス・プリンシパルサービス・プリンシパルを作成するには、次の手順を使用します。

セキュリティ・キーの生成前提条件：セキュリティ・キーを生成する前に、サービス・プリンシパルにキーが存在しないことを確認します。たとえば、[email protected]のキーを生成し、キータブ・ファイルの principal: nfs/[email protected]でこのエントリーを表示するには、まず古いエントリーを削除します。

操作

Kerberos KDCから、次のコマンドの文法を使用して、NFSサービス・プリンシパルを作成します。kadmin: addprinc -randkey <service_principal>

ここで：<service_principal> = サービス・プリンシパルの名前例：サービス・プリンシパルのうちの 1つを作成し、Data Moverの名前（nfs/<Data_Mover_host_name>）を使用するには、次のように入力します。kadmin: addprinc -randkey nfs/lngbe245

もう 1つのサービス・プリンシパルを作成し、Data Moverの FQDNの nfs/

<Data_Mover_fqdn>を使用するには、次のように入力します。kadmin: addprinc -randkey nfs/lngbe245.lss.exam.com

出力

Principal "nfs/[email protected]" created.

確認

プリンシパルが追加されたことを確認するには、次のように入力します。kadmin: listprincs

出力注

kadmin/[email protected]/[email protected]/[email protected]/[email protected]/[email protected] changepw/[email protected]/[email protected]/[email protected]/[email protected]/[email protected]

このレルムは自動的にサービス・プリンシパルに追加されます。


サービス・プリンシパルごとにキーを生成するには、次の手順を使用します。

ファイルのコピーFTP（バイナリ転送）と server_fileコマンドを使用して、krb5.keytabファイルを Kerberos KDCから Data Moverにコピーします。server_fileコマンドの使用方法については、「Celerra Network Serverコマンド・リファレンス・マニュアル」を参照してください。

キータブ・ファイルの表示サービス・プリンシパルを作成してセキュリティ・キーを生成したら、キータブ情報を表示します。

操作

サービス・プリンシパルごとにキーを生成し、これらのキーをキータブ・ファイルに追加するには、次のように入力します。kadmin: ktadd -k <keytab_file_path> <nfs/...>

ここで：<keytab_file_path> = キータブ・ファイルの場所<nfs/...> = 以前に作成したサービス・プリンシパルの名前例：kadmin: ktadd -k /tmp/krb5.keytab nfs/lngbe245

出力

Entry for principal nfs/lngbe245..lss.exam.com with kvno 5, encryption type DES-CBC-CRC added to keytab WRFILE:/etc/krb5/krb5.keytab.

注

サービス・プリンシパルのセキュリティ・キーは、キー・テーブルに追加されます。

操作

キータブ情報を表示するには、次のように入力します。$ server_kerberos lngbe245 -keytab




出力







付録 D： PCクライアントの NFS認証デーモンUNIXおよび Linuxのネイティブ・クライアントと同様に、NFSを使用してCelerraファイルシステムにアクセスする PCクライアントについては、適切な認証を行ってから Celerraへのアクセスを許可する必要があります。図 2を参照してください。

図 2 PCクライアント・アクセス

PC環境と UNIX環境では、NFSユーザー認証方法が異なります。認証デーモン（通常、rpc.pcnfsdまたは pcnfsd）を利用することによってこの違いを埋めます。認証デーモンは顧客の環境にあるホスト上（推奨）または Data Mover上で実行され、次のサービスを行います。1. デーモンは、PCクライアントによって提供されたユーザー名とパスワードを受け取って検証します。

2. デーモンは、PCクライアントに対して、ユーザーとパスワードの組み合わせごとにユーザー IDとグループ ID（UID/GID）を割り当てます。

3. PCクライアントは、割り当てられた UID/GIDを使用して Celerraにアクセスします。

通常、PCクライアント上の NFSソフトウェアは、Celerra上で実行中の認証デーモンと変更なしで通信できます。


NFSソフトウェアが PCソフトウェアの構成に含まれていない場合に、その PCを利用して NFSプロトコルにより Celerraファイルシステムにアクセスするときは、Hummingbird Communications Ltd.の PC NFSソフトウェアまたは NFS Maestroソフトウェアなど、PCクライアント用 NFSソフトウェア・パッケージを購入することができます。

PCクライアント・ソフトウェアの設定このセクションでは、Celerraにネットワーク・アクセスするために、PCクライアント・ソフトウェア・パッケージを設定する方法について説明します。次の例では、PC NFSと NFS Maestroを使用しています。

PCクライアント用ソフトウェア・パッケージを設定するには、次の手順を使用します。

ここからは、PCクライアントがマウント要求を発行すると、常にユーザー認証が行われ、認証後の処理はクライアントとサーバーを行き来する通常の純粋な NFSトラフィックとなります。

ステップ操作

1. ユーザー・アカウントを設定します。詳細については、server_userコマンドを参照してください。

2. テキスト・エディタを使用して /nas/server/server_<x>/netdファイルを開き、nfs start行の後に、pcnfsを独立した行として追加してファイルを保存します。<x>は Data Moverの番号です。

3. Data Moverを再起動します。

4. ユーザーがアクセスするファイルシステムをエクスポートします。詳細については、30ページの「ファイルシステムのエクスポート」を参照してください。

5. PC上で、PC NFSソフトウェアまたは NFS Maestroソフトウェアを起動します。

注：この時点でセットアップ /ログインに必要な操作の詳細については、ベンダーの対応するユーザー・マニュアルを参照してください。たとえば、PC NFSではサブネット内で pcnfsdを実行中のシステムを検出することができ、NFS Maestroではシステムの名前を指定するオプションを利用できます。

6. ソフトウェア・パッケージに応じて usernameと passwordを入力します。ユーザー名とパスワードが pcnfsdを実行している Data Moverに送信され、これにより PCクライアントの UID/GID番号が返されます。


Hummingbird PC NFSクライアントに関する問題点CIFSクライアントと Hummingbird PC NFSクライアントの両方が、Microsoft Wordファイルまたは Corel WordPerfectファイルにアクセスする環境において、相互運用性の問題が確認されています。◆ 範囲ロック：CIFSクライアントが Microsoft Wordファイルを開いているときに、Hummingbird（または任意の PC NFS）クライアントがそのファイルを削除しようとすると、CIFSクライアントがファイルを開いた時点で削除拒否のロックが設定されているため、通常、この削除要求は拒否されます。ファイルにも範囲ロックが設定されますが、そのオフセット値はファイルの先頭または末尾からの値ではありません。したがって、範囲ロックで指定された範囲の外側のファイル部分については書き込み可能です。範囲ロック内への書き込み要求は拒否されます。範囲ロックがファイルのどの部分に設定されているのかを確認する手段がないため、予測できない結果になることがあります。

◆ 共有の認証：Hummingbirdユーザーは、Celerra（またはその他の）ドライブがクライアント上にマウントされた場合、これらのドライブの共有の認証を上書きすることができます。この場合、CIFSクライアントと Hummingbirdクライアントによるファイルへのコンカレント・アクセスが生じます。

◆ ディレクトリのロック：CIFSクライアントがWindowsエクスプローラでディレクトリを開いているときに、Hummingbirdクライアントが同じディレクトリでWordPerfectファイルを開き、そのファイルを閉じる場合、Hummingbirdクライアントはこのファイルのロックを試みます。このファイルはWindowsエクスプローラで開かれたため、ロックは存在し、Hummingbirdのロック要求は拒否されます。Hummingbirdクライアントは、CIFSクライアントがディレクトリを閉じてそのロックを解放するまで、サーバーに対してロック要求を発行し続けます。


索引

数値32bitClientパラメータ 87

Aacl.sortAcesパラメータ 49ACL（アクセス・コントロール・リスト） 11, 28

CCDMS、制限事項 6Celerra FileMover、制限事項 6Celerra Manager

NFSを構成するための使用 17制限事項 17

CIFSパラメータ

acl.sortAces 49

DdelegLeaseDuration parameter 78DNS

Secure NFSの構成 51パラメータ

updatePTRrecord 39domainパラメータ 21

FFQDN、定義 5

GGUI

NFSを構成するための使用 17制限事項 17

Hhiversオプション 20

KKerberos

Secure NFSと UNIXまたは Linuxの KDCの併用 51Secure NFSとWindows KDCの併用 38セキュリティ 10定義 5

LleaseDurationパラメータ 79Linux Kerberos KDC、Secure NFSの構成 51

Nnas_automountmap 73netdファイル 20NFS

NFS V4 8PCクライアントの認証 10, 128Secure NFS 10Secure NFSの管理 88UNIXおよび Linuxクライアントの認証 9アクセスの無効化 71オートマウンタ機能 73管理 69システムのアクセス制御 9仕様概要 8多言語対応 12定義 4, 7統計情報の表示 111パラメータ

secureExportMode 120ファイルシステムのエクスポート 30ファイルシステムのマウント 26ファイル・ロック 14マウントポイントの作成 25モード・ビット 10ユーザー認証 9

NFS V4Secure NFS 10Secure NFSの管理 88Unicode 24UNIXおよび Linuxクライアントの認証 9Windowsクライアントの認証 9アクセス・コントロール・リスト 11, 28エクスポート 15エラー・メッセージ 106管理 77クライアント・コンテキスト 15サーバ・ログ・エラー・メッセージ 98セットアップ手順 20デリゲーション 13, 28統計情報の表示 111トラブルシューティング 96ネーム・サービス 23パラメータ

32bitClient 87delegLeaseDuration 78leaseDuration 79recallTimeout 80ドメイン 21

ファイルシステムのエクスポート 30ファイルシステムのマウント 28ファイル・ロック 14マウントポイントの作成 25有効化 20ユーザー認証 9ユーザー・マッピング 12

NFSアクセスの無効化 71NIS

Secure NFSの構成 38, 51定義 5

PPC NFSクライアント、Hummingbird 130

132 / 134 Celerra NFSの構成方法バージョン 5.5

RrecallTimeoutパラメータ 80

SsecureExportModeパラメータ 120Secure NFS 10, 35

UNIXまたは Linuxの Kerberos KDCの使用 51Windows Kerberos KDCの使用 38管理 88トラブルシューティング 113ファイルシステムへのアクセス 114

server_export 30, 69, 70Kerberos 35Kerberosセキュリティ 36NFS V4

NFS V4クライアントのみによるアクセス 34UNIXおよび Kerberosのセキュリティ 37UNIXセキュリティ 35VLANアクセス 33アクセス・オプション 33アクセス・レベルの設定 32組み合わせの指定 116

server_kerberos 88, 126サービス・プリンシパルの作成 58領域の作成 54

server_mount 26, 28server_mountpoint 25server_name 53server_nfs 111

Kerberosユーザー・プリンシパル名の UIDへのマッピング 47, 60

NFS V4クライアントの解放 86NFS V4クライアントの表示 84NFS V4ステータスの表示 81NFS V4の開始 83NFS V4の停止 82Secure NFSサービス・インスタンスの設定 44, 45, 56クライアント情報の表示 85認証の解除 94プリンシパルの削除 93マッピング・エントリーの削除 93マッピング・エントリーの表示 92ユーザー属性の表示 90, 91

server_umount 29Solaris Kerberos KDC、Secure NFSの構成 51

UUID、ユーザー・プリンシパル名へのマッピング 63Unicode 12UNIXセキュリティ 9updatePTRrecordパラメータ 39UTF-8 12

VVLAN、アクセスの指定 33

あアクセス、NFSの無効化 71アンエクスポート、ファイルシステム 69

いインターフェースの選択 17

えエクスポート

Kerberos認証の使用 35, 36NFS V4 15UNIX認証の使用 35エラー・メッセージ 95セキュリティ・オプションの全般的なルール 122ファイルシステム 30UNIXおよび Kerberosの認証の使用 37

エラー・メッセージNFS V4 106NFS V4サーバ・ログ 98エクスポート 95

おオートマウンタ機能 73

きキータブ・ファイル、表示 126

くクライアント・コンテキスト 15

さサービス・プリンシパル

Control Stationを使用した追加 58KDCを使用した追加 124

しシステムのアクセス制御 9, 31

せセキュリティ

Kerberosベース 10UNIXベース 9

たタイム・サービス、Secure NFSの構成 38, 51多言語対応 12

てデリゲーション 13, 28

に認証

PCクライアント 10


PCクライアント用 128UNIXおよび Linuxクライアント 9

ねネーム・サービス 23

はパラメータ

32bitClient 87acl.sortAces 49delegLeaseDuration 78leaseDuration 79recallTimeout 80secureExportMode 120updatePTRrecord 39ドメイン 21

ふファイルシステム

Kerberos認証を使用したエクスポート 35, 36UNIXおよび Kerberosの認証を使用したエクスポート

37UNIX認証を使用したエクスポート 35アンエクスポート 69アンマウント 29エクスポート 30権限 10, 11再エクスポート 70システムのアクセス 9セキュリティ・オプションの全般的なルール 122マウント 26

ファイルシステムの再エクスポート 70ファイル・ロック 14プリンシパル

UIDへのマッピング 63サービス・プリンシパルの追加 124

プロトコルNFS 4, 7

まマウントファイルシステム 26

マップ・ファイルコピー 63作成 63

マルチホーム Data Mover 57

もモード・ビット 10

ゆユーザー・インターフェースの選択 17ユーザー認証目的 9

ユーザー・マッピング 12

About this technical module

Celerra Network Server製品ラインのパフォーマンスおよび機能を、継続的に改善、強化するための努力の一環として、EMCでは Celerraハードウェアおよびソフトウェアの新しいリビジョンを順次リリースしています。そのため、本書で説明されている機能の中には、現在お使いの Celerraソフトウェアまたはハードウェアのリビジョンでサポートされていないものもあります。製品機能の最新情報については、お使いの製品のリリース・ノートを参照してください。 Celerraシステムが本書の説明どおりに動作しない場合は、EMCカスタマー・サポートの担当者にハードウェア・アップグレードまたはソフトウェア・アップグレードについてお問い合わせください。

ドキュメントについてのご意見およびご提案マニュアルの精度、構成および品質を向上するため、お客様のご意見をお待ちしております。このガイドに関するご意見を[email protected]へお送りください。

Copyright © 1998-2006 EMC Corporation. All rights reserved.

EMC Corporationは、この資料に記載される情報が、発行日時点で正確であるとみなしています。この情報は予告なく変更されることがあります。この資料に記載される情報は、「現状有姿」の条件で提供されています。 EMC Corporationは、この資料に記載される情報に関する、どのような内容についても表明保証条項を設けず、特に、商品性や特定の目的に対する適応性に対する黙示の保証はいたしません。この資料に記載される、いかなる EMCソフトウェアの使用、複製、頒布も、当該ソフトウェア・ライセンスが必要です。最新の EMC製品名については、EMC.comで EMC Corporationの商標を参照してください。他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。

バージョン 5.5 134 / 134

Celerra NFS の構成方法 - Dell EMC Isilon...Celerra NFS の構成方法バージョン5.5 5 /...

Documents

Transcript of Celerra NFS の構成方法 - Dell EMC Isilon...Celerra NFS の構成方法バージョン5.5 5 /...

Celerra NFS の構成方法 - Dell EMC Isilon...Celerra NFS の構成方法 バージョン5.5 5 /...

Documents

Transcript of Celerra NFS の構成方法 - Dell EMC Isilon...Celerra NFS の構成方法 バージョン5.5 5 /...

Celerra NFS の構成方法 - Dell EMC Isilon...Celerra NFS の構成方法バージョン5.5 5 /...

Transcript of Celerra NFS の構成方法 - Dell EMC Isilon...Celerra NFS の構成方法バージョン5.5 5 /...