ServerView with Data ONTAP-vTM - Fujitsu...
Transcript of ServerView with Data ONTAP-vTM - Fujitsu...
CA92276-8997-01
ServerView with Data ONTAP-vTM
File Access and Protocols Management Guide
Data ONTAP® 8.0 7-Mode
2 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide
目次
著作権に関する注意事項 ............................................................................................. 10
商標に関する注意事項 ................................................................................................ 11
このガイドについて ....................................................................................................... 12
対象ユーザー ......................................................................................................................... 12 Data ONTAP のマニュアル ページの表示................................................................................. 12 コマンドの入力場所 ................................................................................................................. 13 キーボード表記と表記規則 ....................................................................................................... 14 特記事項 ................................................................................................................................ 15
ファイル アクセス管理の概要 ........................................................................................ 16
Data ONTAP でサポートされるファイル プロトコル ..................................................................... 16 Data ONTAP によるファイル アクセス制御方法......................................................................... 16
認証ベースの制限 ...................................................................................................... 16 ファイルベースの制限 ................................................................................................. 16
NFS を使用したファイル アクセス ................................................................................. 18
ファイル システム パスのエクスポートまたはエクスポート解除 ..................................................... 18 etc/exportsファイルの編集 ......................................................................................... 19 exportfs コマンドの使用 .............................................................................................. 20
1 つ以上のファイルシステムパスに対する 1 つ以上の NFS クライアントの遮断の有効化または無効
化 .................................................................................................................................... 22 エクスポートされたファイルシステムパスに対応した実際のファイルシステムパスの表示................ 23 ファイルシステムパスのエクスポートオプションの表示 ................................................................ 24 アクセスキャッシュの管理 ......................................................................................................... 24
アクセスキャッシュへのエントリの追加 .......................................................................... 25 アクセスキャッシュのエントリの削除 .............................................................................. 26 アクセスキャッシュの統計の表示 .................................................................................. 26 アクセスキャッシュのパフォーマンスの最適化................................................................ 26 アクセスキャッシュタイムアウト値の設定 ....................................................................... 27
Kerberos v5 セキュリティサービスの有効化 .............................................................................. 28 Active Directoryベース KDC のセキュリティサービスの設定 ......................................... 29 UNIXベース KDC のセキュリティサービスの構成.......................................................... 31 Kerberos v5 セキュリティサービスをサポートする NFS クライアント ................................. 36
マウント問題のデバッグ ........................................................................................................... 37 マウントサービス統計の表示 ....................................................................................... 37 マウント要求のトレース ................................................................................................ 37
目次 | 3
NFS 統計の表示 ..................................................................................................................... 38 NFSv3の有効化と無効化........................................................................................................ 38 NFSv3 および NFSv4 における FSID (File System ID)処理の相違点 ....................................... 39 NFSv4クライアントのサポート .................................................................................................. 39
NFSv4 の Data ONTAP サポートについて ................................................................... 40 NFSv4 の Data ONTAP サポートの制限 ...................................................................... 40 NFSv4における pseudo-fsのマウントポイントへの影響 ................................................ 41 NFSv4の有効化と無効化 ........................................................................................... 42 NFSv4のユーザーIDドメインの指定 ............................................................................ 42 NFSv4 ACL の管理 .................................................................................................... 43 NFSv4のオープン委譲の管理..................................................................................... 46 NFSv4のファイルおよびレコードロックの構成 ............................................................... 49 ネームサーバ データベースキャッシュのフラッシュ ......................................................... 51
PC-NFS クライアントのサポート ............................................................................................... 52 pcnfsd デーモンの仕組み ............................................................................................ 52 pcnfsd デーモンの有効化と無効化 ............................................................................... 53 ストレージシステムのローカルファイルでの PC-NFS ユーザーエントリの作成 .................. 53 umask と NFS ファイルパーミッションの連携方法 .......................................................... 54 PC-NFS ユーザーが作成したファイルおよびディレクトリの umask の定義 ....................... 54
WebNFS クライアントのサポート .............................................................................................. 54 WebNFS プロトコルの有効化と無効化 ......................................................................... 55 WebNFS のルートディレクトリの設定 ........................................................................... 55
CIFS を使用したファイルアクセス ................................................................................. 57
MMC とストレージシステムの接続 ............................................................................................ 57 ストレージシステムでの CIFS の設定 ........................................................................................ 57
サポート対象のWindowsクライアントおよびドメインコントローラ .................................... 58 cifs setup コマンドの機能 ............................................................................................ 59 システムの初期設定 ................................................................................................... 59 WINS サーバの指定 ................................................................................................... 59 ストレージシステムドメインの変更 ................................................................................. 60 プロトコルモードの変更 ............................................................................................... 61 Windowsユーザーアカウント名の指定 ......................................................................... 63 CIFS 再設定時の検討事項 ......................................................................................... 64 ストレージシステム上の CIFS の再設定 ....................................................................... 65
ストレージシステムでの SMB の設定 ........................................................................................ 66 SMB 1.0 プロトコルのサポート ..................................................................................... 66 SMB 2.0 プロトコルのサポート ..................................................................................... 66 SMB 2.0 プロトコルを有効化する場合 .......................................................................... 69 SMB 2.0 プロトコルの有効化と無効化 .......................................................................... 69
4 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide
SMB 2.0 永続ハンドルの有効化と無効化 ..................................................................... 70 SMB 2.0 永続ハンドルのタイムアウト値の指定 ............................................................. 70 SMB 署名 .................................................................................................................. 70 ストレージシステムの SMB2.0 プロトコルのクライアント機能の有効化と無効化 ................ 72
共有の管理............................................................................................................................. 73 共有の作成 ................................................................................................................ 73 共有のプロパティの表示と変更 .................................................................................... 76 共有の削除 ................................................................................................................ 84
アクセス制御リスト (Access Control List) .................................................................................. 85 共有レベル ACL について ........................................................................................... 85 共有レベル ACL の表示と変更 .................................................................................... 86 ファイルレベルの ACL の表示と変更 ............................................................................ 92 共有レベルでの ACL を使用したグループ ID の機能の指定 ........................................... 96
ホームディレクトリの管理 ......................................................................................................... 97 ストレージシステム上のホームディレクトリについて ........................................................ 98 Data ONTAP でのユーザとディレクトリの照合方法 ....................................................... 99 ホーム ディレクトリでのシンボリックリンクの機能............................................................ 99 ホーム ディレクトリバスの指定 ................................................................................... 100 ホーム ディレクトリパスのリストの表示 ........................................................................ 101 ホーム ディレクトリの名前形式の指定......................................................................... 101 ホーム ディレクトリパスでのディレクトリの作成 (ドメインの名前形式の場合) ................. 102 ホーム ディレクトリパスでのディレクトリの作成 (ドメインの名前形式以外の場合) .......... 103 ホーム ディレクトリのパス拡張機能を使用する場合のホーム ディレクトリにおけるサブディレ
クトリの作成 ....................................................................................................... 104 UNC 名を使用してホーム ディレクトリを指定するための構文........................................ 104 他のユーザーのホーム ディレクトリに対するアクセスの許可 ......................................... 105 共有エイリアスを使用した CIFS ホームディレクトリへのアクセス ................................... 105 共有からのWide Symbolic Link の有効化と無効化 .................................................... 106 ホームディレクトリの無効化 ....................................................................................... 106
ローカルユーザーとグループの管理........................................................................................ 106 ローカルユーザの管理 .............................................................................................. 107 ローカルグループの管理 ........................................................................................... 109
グループポリシーオブジェクトの適用 ....................................................................................... 112 ストレージシステムで GPO を使用するための要件 ...................................................... 113 ストレージシステムと OU の関連付け ......................................................................... 113 ストレージシステム上での GPO サポートの有効化と無効化 ......................................... 113 ストレージシステム上での GPO の管理 ...................................................................... 114
oplock でのクライアントパフォーマンスの向上.......................................................................... 121 oplocksを使用するときの書き込みキャッシュデータ消失に関する考慮事項 .................. 121 ストレージシステムでの oplock の有効化と無効化 ....................................................... 121
目次 | 5
qtree での oplock の有効化と無効化 ......................................................................... 122 oplock ブレークを送信するための遅延時間の変更 ...................................................... 123
認証とネットワーク サービスの管理......................................................................................... 124 認証問題について .................................................................................................... 124 ストレージシステムの最小セキュリティレベルの設定 .................................................... 125 Kerberosのパッシブリプレイアタックの防御 ................................................................ 126 ドメインコントローラと LDAP サーバの選択 ................................................................. 126 非-Kerberos環境でストレージにアクセスするための null セッションの使用 .................... 131 ストレージシステムの NetBIOSエイリアスの作成 ........................................................ 134 NetBIOS over TCP の無効化 ................................................................................... 135
CIFS アクティビティの監視 ..................................................................................................... 136 ユーザを指定するさまざまな方法 ............................................................................... 136 セッション情報の要約の表示...................................................................................... 137 アイドルセッションのタイムアウト ................................................................................ 137 統計のトラッキング .................................................................................................... 137 特定の統計の表示 .................................................................................................... 139 統計クエリの保存と再使用 ........................................................................................ 139 CIFS リソースの制限 ................................................................................................ 139
CIFS サービスの管理 ............................................................................................................ 140 MMC を使用した特定のクライアントの切断 ................................................................. 140 コマンドラインによる選択したユーザの切断 ................................................................. 140 ストレージシステム全体での CIFS サービスの無効化 .................................................. 141 CIFS シャットダウンメッセージを受信するユーザの指定 ............................................... 142 CIFS サービスの再開 ............................................................................................... 142 ストレージシステム上のすべてのユーザへのメッセージ送信 ......................................... 143 ストレージシステムの説明の表示と変更 ..................................................................... 144 ストレージシステムのコンピュータ アカウントパスワードの変更 ..................................... 144 Windows管理ツールを使用したファイル管理 ............................................................. 145
アクセス制御問題のトラブルシューティング .............................................................................. 145 権限トレースフィルターの追加 .................................................................................... 146 権限トレースフィルターの削除 .................................................................................... 147 権限トレースフィルターの表示 .................................................................................... 147 Data ONTAP で特定のクライアントまたはユーザへのアクセスが許可拒否される理由の詳細
の取得 ............................................................................................................... 148 Fpolicy の使用 ...................................................................................................................... 149
Fpolicy の概要 ......................................................................................................... 149 Data ONTAP 内での Fpolicyの使用 ......................................................................... 156 ネイティブファイルブロッキングの使用方法.................................................................. 157 Fpolicy との連携....................................................................................................... 161 FAQ、エラーメッセージ、警告メッセージ、およびキーワード .......................................... 209
6 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide
NFS と CIFS 間でのファイル共有 ............................................................................... 223
NFS と CIFS のファイルのネーミング規則について .................................................................. 223 ファイル名の長さ....................................................................................................... 224 ファイル名に使用できる文字 ...................................................................................... 224 ファイル名での大文字と小文字の区別 ........................................................................ 224 小文字のファイル名の作成 ........................................................................................ 224 Data ONTAP でのファイル名の作成方法 ................................................................... 225 CIFS クライアント上でのドットファイルの表示の制御 .................................................... 225
UNIXと Windows間におけるファイル名の文字変換の有効化 .................................................. 226 文字の制限事項 ....................................................................................................... 227
ボリュームからの文字マッピングの削除 .................................................................................. 227 プロトコル間のファイルロッキングについて .............................................................................. 227 読み取り専用ビットについて ................................................................................................... 228
読み取り専用ビットが設定されたファイルの削除 .......................................................... 229 CIFS クライアントの UNIXクレデンシャルの管理 ..................................................................... 229
CIFS ユーザーによる UNIXクレデンシャルの取得方法 ............................................... 230 特定の CIFS ユーザだけが UNIXクレデンシャルを受信できるように設定する方法 ........ 231
SID と名前のマッピングキャッシュの管理 ................................................................................ 241 SID と名前のマッピングキャッシュの有効化と無効化 ................................................... 242 SID と名前のマッピングエントリの有効期間の変更 ...................................................... 242 SID と名前のマッピングキャッシュの全体または一部の消去 ......................................... 242
LDAP(Lightweight Directory Access Protocol)サービスの使用 .............................................. 243 LDAP サービスの設定 .............................................................................................. 244 クライアント認証と許可の管理 .................................................................................... 249 LDAP ユーザマッピングサービスの管理 ..................................................................... 251 ユーザーマッピングのためのベースと範囲の指定 ........................................................ 252 Active Directory LDAP サーバの管理 ....................................................................... 252 LDAP スキーマの管理 .............................................................................................. 255
fsecurity コマンドによるストレージレベルアクセスガードの有効化 .............................................. 256 fsecurity コマンドについて ......................................................................................... 257 ジョブ定義ファイルの生成と編集 ................................................................................ 257 ジョブ定義ファイル要素の指定 ................................................................................... 259 セキュリティジョブの作成とストレージオブジェクトへの適用 ........................................... 259 セキュリティ ジョブのステータスの確認と取り消し ......................................................... 260 ファイルおよびディレクトリのセキュリティ設定の表示 .................................................... 261 ストレージレベルのアクセス保護の削除 ...................................................................... 261
システムアクセスイベントの監査 ............................................................................................. 262 監査について ........................................................................................................... 262 Data ONTAP で監査できるイベント ............................................................................ 262
目次 | 7
システムイベントの監査の設定 .................................................................................. 264 イベント詳細画面の表示と概要 .................................................................................. 275
シンボリックリンクへの CIFSアクセスの制御 ........................................................................... 279 クライアントのシンボリックリンク参照の有効化............................................................. 279 CIFS クライアントとシンボリックリンクの連動の指定 ..................................................... 280 ファイルへのシンボリックリンクを使用しない理由 ......................................................... 280 Map エントリについて ................................................................................................ 281 Widelink エントリについて.......................................................................................... 281 シンボリックリンクに対する共有の境界チェックの無効化 .............................................. 282 絶対シンボリックリンクのリダイレクト........................................................................... 283 ストレージシステムによる Map と Widelinkエントリの使用方法..................................... 285
CIFS クライアントに対する NFS ディレクトリアクセスの最適化 .................................................. 285 Unicode 形式のディレクトリの作成 ............................................................................. 286 Unicode 形式への変換 ............................................................................................. 286
CIFS クライアントで大文字のファイル名が作成されないようにする方法 ..................................... 286 NFS クライアントからの CIFSファイルへのアクセス ................................................................. 287
WAFLクレデンシャルキャッシュへのマッピングエントリの追加 ...................................... 287 WAFLクレデンシャルキャッシュからのマッピングエントリの削除 ................................... 288 マッピングエントリの有効時間の設定 .......................................................................... 289 WAFLクレデンシャルキャッシュ統計の監視................................................................ 289 マッピング不整合への対処 ........................................................................................ 291 CIFS ログインの追跡 ................................................................................................ 292 ドメインコントローラ接続の追加 .................................................................................. 292
UNIX の「実行」権限がない CIFS クライアントへの.dll および.exeファイルの暗黙的な実行権限の付
与 .................................................................................................................................. 293
FTP を使用したファイルアクセス ................................................................................. 294
FTP の管理 .......................................................................................................................... 294 FTP サーバの有効化と無効化 ................................................................................... 294 TFTP サーバの有効化と無効化 ................................................................................. 295 FTPファイルロッキングの有効化と無効化 .................................................................. 295 FTP 認証形式の指定 ................................................................................................ 295 FTP トラバースチェックのバイパスの有効化と無効化 .................................................. 297 FTPアクセスの制限 ................................................................................................. 297 FTP ログファイルの管理 ............................................................................................ 299 FTP サーバで生成された SNMP トラップの表示 .......................................................... 302 FTP の統計の表示 ................................................................................................... 303 FTP の統計のリセット ................................................................................................ 303 FTP 接続の最大数の指定 ......................................................................................... 303 TFTP 接続の最大数の指定 ....................................................................................... 304
8 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide
FTP 接続しきい値の設定 .......................................................................................... 304 FTP 処理用の TCP ウィンドウサイズの指定 ............................................................... 304 FTPアイドルタイムアウト値の指定 ............................................................................. 305 匿名 FTPアクセスの管理 .......................................................................................... 305
HTTP を使用したファイルアクセス .............................................................................. 307
Data ONTA の ビルドイン HTTP サーバの管理....................................................................... 307 Data ONTAP のビルドイン HTTPサーバの有効化と無効化 ........................................ 307 HTTP トラバースチェックのバイパスの有効化と無効化 ................................................ 308 Data ONTAP のビルドイン HTTPサーバのルートディレクトリの指定 ............................ 308 Data ONTAP のビルドイン HTTPサーバのログファイルの最大サイズの指定 ............... 309 Data ONTAP のビルドイン HTTPサーバのテスト ....................................................... 309 Data ONTAP のビルドイン HTTPサーバでの MIME コンテンツタイプとファイル名拡張子の
マッピング方法の指定 ......................................................................................... 310 Data ONTAP のビルドイン HTTPサーバでの HTTP要求の変換方法の指定 ............... 311 MIME コンテンツタイプの値の設定 ............................................................................. 313 Data ONTAP のビルドイン HTTPサーバのセキュリティーの維持 ................................. 314 Data ONTAP ビルドイン HTTP サーバの統計の表示 .................................................. 320 Data ONTAP のビルドイン HTTPサーバの統計のリセット ........................................... 323 Data ONTAP のビルドイン HTTPサーバの接続情報の表示 ....................................... 323
サードパーティ製 HTTP サーバの購入とストレージシステムへの接続........................................ 324
WebDAV を使用したファイルアクセス ........................................................................ 326
WebDAVの概要 .................................................................................................................. 326 Data ONTAP ビルドインWebDAVサーバの管理 ................................................................... 327
Data ONTAP ビルドインWebDAVサーバの有効化と無効化 ...................................... 327 WebDAVクライアントからのホームディレクトリの参照 ................................................. 327
サードパーティ製WebDAVサーバの購入とストレージストレージシステムへの接続.................... 328
システム メモリによる CIFS のリソース制限値 ............................................................. 329
FAS 60xx シリーズ ストレージシステムの制限......................................................................... 329 FAS 30xx および 31xx シリーズ ストレージ システムの制限 ..................................................... 329 FAS 2040 シリーズ ストレージ システムの制限 ....................................................................... 330
イベントログと監査ポリシーのマッピング ..................................................................... 331
イベントログのマッピング値 .................................................................................................... 331 監査のマッピング値 ............................................................................................................... 332
用語集 ....................................................................................................................... 334
目次 | 9
著作権に関する注意事項
Copyright © 1994–2010 NetApp, Inc. All rights reserved. Printed in the U.S.A.
このマニュアルは著作権によって保護されています。著作権所有者の書面による事前承諾があ
る場合を除き、画像媒体、電子媒体、および写真複写、記録媒体、テープ媒体、電子検索シス
テムへの組み込みを含む機械媒体など、いかなる形式および方法による複製も禁止します。
NetApp の著作物から派生したソフトウェアは、次に示す使用許諾条項および免責条項の対象
となります。
このソフトウェアは、NetApp によって「現状のまま」提供されています。明示的または商品性
および特定目的に対する適合性の黙示性の黙示的保証を含み、かつこれに限定されないいかな
る暗示的な保証も放棄します。NetApp は、代替品または代替サービスの調達、使用不能、デ
ータ損失、利益損失、業務中断を含み、かつこれに限定されない、このソフトウェアの使用に
より生じたすべての直接的損害、間接的損害、偶発的損害、特別損害、懲罰的損害、必然的損
害の発生に対して、損失の発生の可能性が通知されていたとしても、その発生理由、根拠とす
る責任論、契約の有無、厳格責任、不法行為 (過失またはそうでない場合を含む) に関わらず、
一切の責任を放棄します。
NetApp は、ここに記載されているすべての製品に対する変更を随時、予告なく行う権利を保
有します。NetApp による明示的な書面による合意がある場合を除き、ここに記載されている
製品の使用により生じる責任および義務に対して、NetApp は責任を放棄します。この製品の
使用または購入は、NetApp の特許権、商標権、または他の知的所有権に基づくライセンスの
供与とはみなされません。
このマニュアルに記載されている製品は、1 つ以上の米国特許、外国特許、および係属中の出
願によって保護されている場合があります。
権利の制限について:
政府による使用、複製、開示は DFARS 252.277-7103 (1988 年 10 月)の Rights in Technical Data and software(技術データおよびコンピュータソフトウェアに関する諸権利)条項の
(c)(1)(ii) 項、および FAR 52-227-19 (1987 年 6 月)に規定された制限が適宜適用されます。
商標に関する注意事項|11
商標に関する注意事項
「NetApp」、 「NetApp のロゴ」、 「Network Appliance のロゴ」、 「Bycast」、 「Cryptainer」、 「Cryptoshred」、 「DataFabric」、 「Data ONTAP」、 「Decru」、 「Decru DataFort」、 「FAServer」、 「FilerView」、 「FlexCache」、 「Flexclone」、 「FlexShare」、 「FlexVol」、 「Fpolicy」、 「gFiler」、 「Go further, faster」、 「Manage ONTAP」、 」Multistore」、 「Nearstore」、 「NetCache」、 「NOW」 (NetApp on the Web)、 「ONTAPI」、 「RAID-DP」、 「SANscreen」、 「SecureShare」、 「Simulate」、「ONTAP」、 「SnapCopy」、 「SnapDrive」、 「SnapLock」、 「SnapManager」、 「SnapMirror」、 「SnapMover」、 「Snaprestore」、 「SnapValidator」、 「SnapVault」、 「Spinnaker Networks」、 「Spinnaker Networks のロゴ」、 「SpinAccess」、 「SpinCluster」、 「SpinFlex」、 「SpinFS」、 「SpinHA」、 「SpinMove」、 「SpinServer」、 「SpinStor」、 「storageGRID」、 「storeVault」、 「SyncMirror」、 「Topio」、 「vFiler」、 「VFM」、 「WAFL」 は、 米国、その他の国、またはその両方に
おけるNetApp, Inc. の登録商標です。 「Network Appliance」、 「Snapshot」、 「The evolution of storage」は米国、その他の国、またはその両方におけるNetApp, Inc. の商標、および一部の国にお
ける登録商標です。 「StoreVault のロゴ」、 「ApplianceWatch」、 「ApplianceWatch PRO」、 「ASUP」 、 「AutoSupport」、 「ComplianceClock」、 「DataFort」、 「Data Motion」、 「FlexScale」、 「FlexSuite」、 「Lifetime Key Management」、 「LockVault」、 「NOW」、 「MetroCluster」、 「OpenKey」、 「ReplicatorX」、 「SecureAdmin」、 「Shadow Tape」、 「SnapDirector」、 「SnapFilter」、 「SnapMigrator」、 「SnapSuite」、 「Tech OnTap」、 「Virtual File Manager」、 「Vpolicy」、「Web Filer」は、米国、その他の国、またはその両方におけるNetApp, Inc. の商標です。 「Get Successful」 「Select」 は米国における NetApp, Inc. の役務商標です。
「IBM」、 「IBM のロゴ」、 ならびに、 「ibm.com」 は、米国、その他の国、またはその両方における
International Business Machines Corporation の登録商標です。 その他のすべてのIBM商標の最
新のリストは、 Webサイト( www.ibm.com/legal/copytrade.shtml)から入手できます。
Apple は米国、その他の国、またはその両方におけるApple, Inc. の登録商標です。QuickTime は米
国、その他の国、またはその両方におけるApple, Inc. の商標です。 Microsoft は米国、その他の国、
またはその両方におけるMicrosoft Corporationの登録商標でです。Windows Media は、同社の米
国、その他の国、またはその両方における商標です。 「RealAudio」、 「RealNetworks」、 「RealPlayer」、 「RealSystem」、 「RealText」、ならびに、 「RealVideo」は、 米国、その他の国、また
はその両方におけるRealNetworks, Inc. の登録商標です。「SureStream」 は米国、その他の国、ま
たはその両方におけるRealNetworks, Inc. の商標です。
その他すべてのブランドおよび製品は、それを所有する各社の商標または登録商標であり、相応の取
り扱いが必要です。
NetApp, Inc. は「CompactFlash」 ならびに 「CF Logo」の商標に対する使用許諾を有しています。
NetApp, Inc. の「NetCache」は RealSystem の認定互換製品です。
12 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide
このガイドについて
この文書の対象読者ならびにこの文書が情報を掲載するために用いている表記規約を理解すれ
ば、 お使いの製品をより効果的に使用できます。
メモ:このマニュアルは、Vシリーズ システムを含めたData ONTAP 8.0 7-Modeを実行する
システムに適用されます。Data ONTAP 8.0 7-Mode製品名での 7-Modeは、Data ONTAP 7.0、7.1、7.2 または 7.3 リリース ファミリーを使用していた場合、このリリースがこれ
まで使用していた機能と特徴を備えていることを意味します。Data ONTAP 8.0 Cluster-Modeを使用している場合、nodeshellから 7-Modeコマンドでアクセスする機能について
は、Data ONTAP 8.0 Cluster-ModeのマニュアルとData ONTAP 8.0 7-Modeのマニュアル
を使用してください。
次のトピック
対象ユーザー Data ONTAP のマニュアル ページの表示 コマンドの入力場所 キーボード表記と表記規則 特記事項
対象ユーザー
このガイドは、ユーザが一定の技術知識と経験を有していることを前提として作成されていま
す。このマニュアルは、ストレージシステムのクライアント上で動作するオペレーティング システム
(UNIX®や Windows®など)に精通しているシステム管理者を対象としています。
このマニュアルを使用するには、ストレージ システムの構成方法や、Network File System(NFS)、Common Internet File System(CIFS)、Hypertext Transport Protocol(HTTP)、
File Transport Protocol(FTP)、および Web-based Distributed Authoring and Versioning(WebDAV)を使用したファイル共有またはファイル転送に関する詳しい知識も必要です。
このマニュアルでは、基本システムやネットワーク管理のトピック(IP アドレスの指定、ル
ーティング、ネットワーク トポロジなど)については説明せず、ストレージ システムの特徴
に重点を置いています。
Data ONTAP のマニュアル ページの表示
技術的な情報については、Data ONTAP マニュアル (man) ページを利用できます。
このタスクについて
次のタイプの情報について、Data ONTAP マニュアル ページが用意されています。これらの
このガイドについて |13
ページは、UNIX の標準命名規則に従って、複数のセクションに分類されています。
手順
1. マニュアル ページを表示するには、次のいずれかの操作を実行してください。
• コンソールのコマンド ラインで次のコマンドを入力します。
man command_or_file_name
• FilerView ユーザー インターフェースの Data ONTAP ナビゲーション ページで manual pages ボタンをクリックします。
メモ:Data ONTAP 8.0 7-Mode のすべてのマニュアル ページは、システム上で他の
マニュアル ページと区別するために名前の先頭に「na_」が付加されたファイルに
保管されています。これらの接頭辞付きの名前は、マニュアル ページの NAME フ
ィールドに表示されることがありますが、これらの接頭辞はコマンド名、ファイル
名、およびサービス名の一部ではありません。
コマンドの入力場所
このマニュアルで使用されているコマンド表記を理解すると、製品をより効率的に使用できるよ
うになります。
一般的な管理者向け作業を、次の 1 つ以上の方法で実行できます。
メモ:このマニュアルで示すData ONTAPコマンドは、Data ONTAP 8.0 7-ModeおよびData ONTAP 7.xリリース ファミリー向けです。ただし、これらのコマンドの一部は、Data ONTAP 8.0 Cluster-Modeを実行するシステムのnodeshellプロンプトでも使用できます。詳
細は、『Data ONTAP 8.0 Cluster-ModeAdministration Reference』を参照してください。
• コマンドは、システム コンソール、または Telnet または Secure Shell(SSH)セッシ
ョンを使用してストレージ システムにアクセスできる任意のクライアント コンピュー
タから入力できます。コマンド実行を説明する例では、コマンド構文と出力は、お使い
のオペレーティング システムのバージョンによっては入力内容および表示内容が異なる
場合があります。 • FilerView グラフィカル ユーザ インターフェースを使用できます。
情報のタイプ マニュアルページのセクション
コマンド 1
特別なファイル 4
ファイルの形式と規約 5
システム管理とサービス 8
14 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide
キーボード表記と表記規則
このマニュアルで使用されているキーボード表記と表記規則を理解すると、製品をより効率的に利用する
ことができます。
キーボード規則
書式規則
規約 意味
斜体フォント • 特別な注意が必要な単語または文字
• 入力が必要な情報のプレースホルダー 例えば、ガイドから arp -d hostname コマンドの入力が指示された場合は、文字「arp -d」を入力
し、その後にホストの実際の名前を入力します。
• クロス リファレンス付きの書名
等幅フォント • コマンド名、オプション名、キーワード、デーモン名
• システム コンソールまたは他のコンピューター モニターに表示される情報
• ファイルのコンテンツ。
• ファイル、パス、およびディレクトリ名
等幅太字フォント 入力する単語または文字。プログラムが正常に機能するために大小文字を区別す
る必要がない限り、入力内容は常に小文字で表記されます。
表記規則 意味
NOW サイト NetApp On the Web (http://now.netapp.com/). Enter, enter • キャリッジ リターン(改行)キーです。キーボードによっては、「Return」キーと呼ばれ
ています。
• キーボードの1つ以上のキーを押してから「Enter」キーを押すか、またはグラフィカ
ル インターフェイスのフィールドをクリックして情報をフィールドに入力することを示し
ます。
ハイフン(-) 個々のキーを区切るために使用される。例えば、Ctrl-D とは Ctrl キーを押しながら D キーを押すこと。
タイプ(入力) キーボードで 1 つまたは複数のキーを押すこと
このガイドについて |15
特記事項
このマニュアルには、注意が必要な条件を通知する、次の種類のメッセージが記載されている場合があり
ます。
メモ: メモには、システムのインストールや操作を効率的に行うのに役立つ重要な情報が記述さ
れています。
注意: 注意には、システム クラッシュ、データ損失、または装置へのダメージを回避するため
に従う必要のある指示が記述されています。
16 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ファイル アクセス管理の概要
Data ONTAP を使用すると、さまざまなプロトコルのファイルアクセスを管理できます。
次のトピック
Data ONTAP でサポートされるファイル プロトコル Data ONTAP によるファイル アクセス制御方法
Data ONTAP でサポートされるファイル プロトコル
Data ONTAP は、NFS、CIFS、FTP、HTTP、および WebDAV など、最も一般的なファイ
ル プロトコルをすべてサポートします。
Data ONTAP によるファイル アクセス制御方法
Data ONTAP では、指定された認証ベースおよびファイル ベースの制限に従ってファイル
アクセスが制御されます。
次のトピック
認証ベースの制限 ファイルベースの制限
認証ベースの制限
認証ベースの制限を使用すると、ストレージ システム全体に接続できるクライアント マシ
ンおよびユーザーを指定できます。
Data ONTAP は、 UNIX および Windows サーバの両方の Kerberos 認証をサポートします。
ファイルベースの制限
ファイルベースの制限を使用して、ファイルごとにアクセス可能なユーザを指定することが
できます。
ユーザーがファイルを作成すると、Data ONTAP では、そのファイルにアクセス許可のリス
トが生成されます。このアクセス許可リストの形式はプロトコルごとに異なりますが、読み
取り/書き込み権限などの共通事項は必ず含まれます。
あるユーザがファイルにアクセスしようとすると、Data ONTAP は許可リストを使用してア
クセスを許可するかどうかを決定します。アクセスはユーザーが実行中の操作(読み取り/書き込みなど)および次の要素に基づき、許可または拒否されます。
• ユーザー アカウント
• ユーザー グループまたはネットグループ
• クライアントのプロトコル
ファイル アクセス管理の概要|17
• クライアントの IP アドレス
• ファイル 形式
Data ONTAP は検証プロセス中に、Lightweight Directory Access Protocol(LDAP)
Network Information Service (NIS)、またはローカル ストレージ システム情報など、指
定された検索サービスを使用して、ホスト名を IP アドレスにマッピングします。
18 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
NFS を使用したファイル アクセス
ご使用のストレージ システムでファイル システム パスのエクスポートおよび解除を実行でき
ます。エクスポートおよびエクスポート解除によって、それぞれ、PC-NFS や WebNFS クラ
イアントなどの NFS クライアントによるマウントが有効または無効になります。
次のトピック
ファイル システム パスのエクスポートまたはエクスポート解除 1 つ以上のファイルシステムパスに対する 1つ以上の NFS クライアントの遮断の有効化または無
効化 エクスポートされたファイルシステムパスに対応した実際のファイルシステムパスの表示 ファイルシステムパスのエクスポートオプションの表示 アクセスキャッシュの管理 Kerberos v5 セキュリティサービスの有効化 マウント問題のデバッグ NFS 統計の表示 NFSv3 の有効化と無効化 NFSv3 および NFSv4 における FSID (File System ID)処理の相違点 NFSv4 クライアントのサポート PC-NFS クライアントのサポート WebNFS クライアントのサポート
ファイル システム パスのエクスポートまたはエクスポート解除
ファイル システム パスをエクスポートまたはエクスポート解除して、 これらのパスを NFS クライアントで有効または無効にするには、/etc/exports ファイルを編集するかまたは exportfs コマンドを実行します。
作業を開始する前に
セキュアな NFS アクセスをサポートするには ( sec=krb* のエクスポート オプションを使用)、 最初に Kerberos v5 セキュリティ サービスを有効にする必要があります。
このタスクについて
複数のエクスポート エントリに永久的な変更を1度に行う必要がある場合は、/etc/exports ファ
イルを編集する方法が最も簡単です。 しかし、エクスポート エントリを1つ変更する必要が
ある場合や、一時的に変更する必要がある場合は、通常、 exportfs コマンドを実行する方法が
最も簡単です。
次のトピック
/etc/exports ファイルの編集 exportfs コマンドの使用
NFS を使用するファイル アクセス|19
/etc/exportsファイルの編集
NFS が起動した際に Data ONTAP が自動的にエクスポートするかを指定するには、 /etc/exports ファイルを編集します。 その詳細については、 na_exports(5) のマニュアル ページ
を参照してください。
作業を開始する前に
nfs.export.auto-update オプションが on (デフォルト)の場合、Data ONTAP は、ボリュームの
作成、 名前変更、 または、 あるいは削除の際に/etc/exports ファイルを自動的に更新します。 詳細については、 na_exports(1) のマニュアル ページを参照してください。
メモ: /etc/exports ファイルの最大エントリ数は 10,240 です。 各エクスポート エントリの
最大文字数は、行末文字を含め、 4,096 文字です。
このタスクについて
export エントリには、次の構文があります。
path -option[, option...]
export エントリの構文で、path はファイル システム パス (例えば、 ボリューム、 ディレクト
リ、 或いは、 ファイルへのパス) であり、 option は次の情報を指定するエクスポート オプシ
ョンです。
• NFS クライアントと、各クライアントが保持するアクセス権限 (読み取り専用、 読み取
り/書き込み、 または root) の対応関係。
• ファイル システム パスにアクセスするすべての anomymous または root の NFS クライ
アント ユーザーのユーザー ID (または名前)
• NFS クライアント ユーザーが setuid ならびに setgid 実行可能ファイルを作成して、ファ
イル システム パスにアクセスする際、 mknod コマンドを使用するかどうか。
• NFS クライアントがファイル システム パスへのアクセスでサポートする必要があるセキ
ュリティの種類
• エクスポートされたファイル システム パスに対応した実際のファイル システム パス
手順
1. ストレージ システムに対する root アクセス権を持つ NFS クライアント上で、/etc/exports ファイルをテキスト エディタで開きます。
2. 変更します。
3. ファイルを保存します。
コマンド実行後の作業
テキスト エディタを使用して/etc/exports ファイルを変更した場合は、 /etc/exports ファイル
にあるすべてのファイル システム パスをエクスポートするか、現在エクスポートされたファ
イル システム パスと/etc/exports ファイルで指定されたファイル システム パスを同期するま
で、 変更は有効になりません。
20 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
メモ: -b、 -p、 または、 -z オプションを指定して exportfs コマンドを実行した場合も、
/etc/exports ファイルは変更されます。
exportfs コマンドの使用
ファイル システム パスのエクスポートまたはエクスポート解除をコマンドラインから実行す
るには、 exportfs コマンドを実行します。 その詳細については、 na_exportfs(1)のマニュア
ル ページを参照してください。
次のトピック
ファイルシステムパスのエクスポート ファイルシステムパスのエクスポート解除 /etc/exports ファイルに指定されたすべてのファイルシステムパスのエクスポート
ファイルシステムパスのエクスポート
/etc/ exports ファイルに対応するエントリを追加または追加せずにファイル システム パスをエ
クスポートできます。 さらに、/etc/exports ファイルに指定されているすべてのファイル シス
テム パスをエクスポートできます。
次のトピック
ファイル システム パスのエクスポートおよび/etc/exports ファイルに対応するエントリの追加 対応するエントリを/etc/exports ファイルに追加しない場合のァイル システムパスのエクスポート /etc/exports ファイルに指定されたすべてのファイルシステムパスのエクスポート
ファイル システム パスのエクスポートおよび/etc/exportsファイルに対応するエントリの追加
ファイル システム パスをエクスポートして、対応する export エントリを/etc/exports ファイ
ルに追加するには、exportfs -p コマンドを使用します。
手順
1. 次のコマンドを入力します。
exportfs -p [options] path
options はエクスポート オプションのコンマで区切りのリストを表します。
(詳細については、 na_exports(5) マニュアル ページをご参照ください。)
path は、ファイル システム パス (例えば、ボリューム、ディレクトリ、ファイルへのパス)を表します。
メモ: エクスポート オプションを1つも指定しない場合、Data ONTAP はファイル システム パスを rw および sec=sys のエクスポート オプションで自動的にエクスポートします。
NFS を使用するファイル アクセス|21
対応するエントリを/etc/exportsファイルに追加しない場合のァイル システムパスのエクスポート
対応する export エントリを/etc/exports ファイルに追加しないでファイル システム パスを
エクスポートするには、exportfs -io コマンドを入力します。
手順
1. 次のコマンドを入力します。
exportfs -io [options] path
options は、エクスポート オプションのコンマで区切りのリストを表します。 詳細について
は、 na_exports(5) マニュアル ページをご参照ください。
path は、ファイル システム パス (例えば、 ボリューム、 ディレクトリ、 或いは、 ファイル
へのパス)を表します。
メモ: エクスポート オプションを指定しない場合、 Data ONTAP は、 /etc/exports ファイル
にあるファイル システム パスに指定されたエクスポート オプションを使用します。
/etc/exportsファイルに指定されたすべてのファイルシステムパスのエクスポート
exportfs -a コマンドにより、/etc/exports ファイルに指定されているすべてのファイル システ
ム パスをエクスポートできます。
手順
1. 次のコマンドを入力します。
exportfs -a
ファイルシステムパスのエクスポート解除
特定のファイル システム パスをエクスポート解除したり、 対応するエントリを/etc/exports フ
ァイルから任意に削除したりすることができます。また、対応するエントリを /etc/exports ファ
イルから削除せずに、すべてのファイル システム パスをエクスポート解除することもできま
す。
次のトピック
特定のファイルシステムパスのエクスポート解除 すべてのファイルシステムパスのエクスポート解除
特定のファイルシステムパスのエクスポート解除
対応するエントリを /etc/exports ファイルから削除せずに、特定のファイルシステムパスをエ
クスポート解除するには、exportfs -u コマンドを使用します。特定のファイルシステムパスを
エクスポート解除して、対応するエントリを/etc/exports ファイルから削除するには、exportfs -z コマンドを使用します。
22 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
手順
1. 次の操作の 1 つを行います。
特定のファイルシステムパスをエクスポートする場合の操作 操作
/etc / exportsファイルから対応するエントリを削除せずに削除しな
い場合
次のコマンドを入力します。 exportfs -u path path は、ファイルシステムのパスです。
c/exports ファイルから対応するエントリを削除する 場合
次のコマンドを入力します。 exportfs -z path path は、ファイルシステムのパスです。
すべてのファイルシステムパスのエクスポート解除
対応するエントリを/etc/exports ファイルから削除せずに,すべてのファイルシステムパスをエクス
ポート解除するには、exportfs -ua コマンドを入力します。
メモ: このコマンドを実行すると、 すべてのファイル システム パスをアンマウントして、 ストレージ システムからすべての NFS クライアントを切断します。
手順
1. 次のコマンドを入力します。
exportfs -ua
-u は、ファイル システム パスをアンエクスポートするように指定します。
-a は、すべてのファイル システム パスを指定します。
現在エクスポートされたファイルシステムパスと/etc/exportsファイルで指定されたものと同期
exportfs -r コマンドを使用して /etc/ exports ファイルに指定されたすべてのファイル システ
ム パスをエクスポートして、 /etc/exports ファイルに指定されていないすべてのファイル システム パスをアンエクスポートできます。
手順
1. 次のコマンドを入力します。
exportfs -r
1 つ以上のファイルシステムパスに対する 1 つ以上の NFS クライアントの遮断の有効化また
は無効化
遮断を使用すると、複数の ファイルシステムパスへの読み取り専用アクセスまたは読み取り/書き込みアクセスを、複数の NFS クライアントに一時的または永続的に付与することができ
NFS を使用するファイル アクセス|23
ます。
タスク概要
遮断を有効または無効にすると、 Data ONTAP は指定された NFS クライアントを新しいア
クセス リストの前に移動します (rw= または ro=)。 この順序変更によって、元のエクスポー
ト ルールが変更されることがあります。
手順
1. 次のコマンドを入力します。
exportfs -b enable | disable save | nosave allhosts |
clientid[:clientid...] allpaths | path[:path...]
目的 操作
遮断を有効にする場合 enable オプションを指定
遮断を無効にする場合 disable オプションを指定
/etc/exports ファイルを更新する場合 save オプションを指定
/etc/exports ファイルが更新を禁止する場合 nosave オプションを指定
すべての NFS クライアントを対象にする場合 allhosts オプションを指定
エクスポートされたすべてのファイル システム パスを対
象にする場合 allpaths オプションを指定
特定の NFS クライアント セットを対象にする場合 NFS クライアント識別子のコロンで区切りリストを指
定
特定のファイル システム パスを対象にする場合 ファイル システム パスのコロンで区切りリストを指定
Data ONTAP では遮断を有効または無効にする前に、キュー内のすべての NFS 要求が処理さ
れるため、すべてのファイル書き込みは完了します。
エクスポートされたファイルシステムパスに対応した実際のファイルシステムパスの表示
エクスポートされたファイルシステムパスに対応した実際のファイルシステムパスを表示する
には、exportfs -s コマンドを使用します。
タスク概要
ファイル システムの実際のパスは -actual オプションを使用してファイルシステムパスをエク
スポートする場合を除いて、エクスポートされるパスと同じです。詳細については、 na_exports(5) マニュアル ページを参照してください。
手順
1. 次のコマンドを入力します。
exportfs -s path
path はエクスポートされたファイル システム パスを指定します。
24 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ファイルシステムパスのエクスポートオプションの表示
エクスポート問題のデバックに役立つファイルシステムパスのエクスポートオプションを表示
するには、exportfs -q コマンドを使用します。
手順
1. 次のコマンドを入力します。
exportfs -q path
path はファイル システム パスを指定します。
結果
メモ: Data ONTAP はオプションのルール識別子も表示されますが、診断コマンドを使用し
ないかぎり、ルール識別子は必要ありません。 詳細については、 テクニカル サポートに
お問い合わせください。
アクセスキャッシュの管理
ファイル システム パスに NFS クライアント アクセス を許可または拒否する際に、 リバー
ス DNS 検索の実行やネットグループ解析の実行頻度を軽減できるように、Data ONTAP はア
クセス キャッシュが使用されます。
NFS クライアントがファイル システム パスにアクセスしようとするときは、Data ONTAP はそのアクセスを許可するか拒否するかを判別する必要があります。 最も単純なケース (例えば、
ファイル システム パスが ro または rw オプションのみを使用してエクスポートされる場合を
除き)、 Data ONTAP は次の情報に対応するアクセス キャッシュ内の値に基づいて許可または
拒否を実行します。:
• ファイル システム パス
• NFS クライアントの IP アドレス、 アクセス タイプ、 ならびに、 セキュリティ タイプ
該当する値がアクセスキャッシュエントリに存在しない場合(たとえば、Data ONTAP が以前
にアクセスの判断をしていない場合や、この特定の NFS クライアントとシステムパスの組み
合わせに対応するアクセスキャッシュエントリを exportfs -c コマンドを使用して作成してい
なかった場合)、Data ONTAP は次の情報を比較して、その結果に基づいてアクセスの許可ま
たは拒否を実行します:
• NFS クライアントの IP アドレス (または、 必要に応じてホスト名)、 アクセス タイプ、 ならびに、 セキュリティ タイプ
• ファイル システム パスのエクスポート オプション
Data ONTAP はこの比較結果をアクセス キャッシュに保存します。
リバース DNS 検索を実行したりネットグループを解析したりする機会を減らすため、比較処
NFS を使用するファイル アクセス|25
理を 3 段階に分割して行われます。 NFS クライアントがファイル システム パスへのアクセ
ス許可があるかどうかを判断する必要がある場合にだけ、 各段階の比較が連続して行われま
す。
第1段階では、 NFS クライアントの IP アドレスとすべてのエクスポートルート(単一 IP アド
レスを含むすべての IP アドレス、サブネット、 ならびに、 Data ONTAP が以前に IP アドレ
スへの名前解決を行ったホスト名で構成されるルール)を比較します。
第 2 段階では、NFS クライアントの IP アドレスでリバース DNS 検索を実行してから、NFS クライアントのホスト名とすべてのエクスポートルール(サブドメイン名および Data ONTAPが IP アドレスへ名前解決していないホスト名で構成されるルール)と比較します。
第 3 段階では、Data ONTAP はネットグループを解析します。
エントリキャッシュは、リブート後およびテイクオーバまたはギブバック後もアクセスキャッ
シュ内の情報を使用できるように、15 分毎にディスクにバックアップされます。
次のトピック
アクセスキャッシュへのエントリの追加 アクセスキャッシュのエントリの削除 アクセスキャッシュの統計の表示 アクセスキャッシュのパフォーマンスの最適化 アクセスキャッシュタイムアウト値の設定
アクセスキャッシュへのエントリの追加
NFS クライアントがファイル システム パスへの特定のアクセス 権を持っているかどうかを調
べるには(また同時に、対応するエントリアクセスをアクセスキャッシュに追加するには)、exportfs -c コマンドを使用します。
手順
1. 次のコマンドを入力して、NFS クライアントのアクセスを確認して、 アクセス キャッシ
ュにエントリを追加します。
exportfs -c clientaddr[:clientaddr...] path [accesstype] [securitytype] clientaddr
clientaddr:は、NFS クライアントの IP アドレス
path は、ファイル システム パス
accesstype は、次のアクセス タイプのオプションのうち いずれかを使用します。
• ro - 読み取り専用アクセス
• rw - 読み取り/書き込みアクセス
• root - root アクセス
アクセス タイプを指定しない場合、NFS クライアントによるファイル システム パスをマ
ウントが可能かどうかだけ確認します。
26 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
securitytype は次のセキュリティ タイプのオプションのうち いずれかを使用します。
• sys - Unix 形式のセキュリティ
• none- セキュリティ無し
• krb5 - Kerberos Ver 5 認証
• krb5i - Kerberos Ver 5 インテグリティ サービス
• krb5p - Kerberos Ver 5 プライバシー サービス
セキュリティ タイプを指定しない場合、NFS クライアントのセキュリティ タイプは sysであるとみなされます。
アクセスキャッシュのエントリの削除
ファイル システム パスのエクスポートを解除する、またはエントリが タイムアウトすると、
アクセス キャッシュのエントリが自動的に削除されます。アクセス キャッシュのエントリを
削除するには、exportfs -f コマンドを使用します。
タスク概要
手順
アクセス キャッシュのエントリを削除するには、 次のコマンドを入力します。
exportfs -f [path]
path は、アクセス キャッシュから削除するエントリのファイル システム パスを指定しま
す。 ファイル システム パスを指定しない場合は、アクセス キャッシュのすべてのエント
リが削除されます。
詳細については、 na_exportfs(1) マニュアル ページを参照してください。
アクセスキャッシュの統計の表示
アクセス キャッシュの統計を表示するには、nfsstat -d コマンドを入力します。これによりア
クセス キャッシュの統計、 接続、 要求、 さらにトラブルシューッティングするための詳細を
見ることができます。
手順
1. アクセス キャッシュの統計を表示するには、 次のコマンドを入力します。
nfsstat -d
これらのアクセス キャッシュの統計について詳細は na_nfsstat(1) マニュアル ページを参
照してください。
アクセスキャッシュのパフォーマンスの最適化
アクセス キャッシュのパフォーマンスを最適化するには、同じエクスポート ルールをできる
だけ頻繁に再利用する必要があります。
NFS を使用するファイル アクセス|27
タスク概要
Data ONTAP では、同じルールを指定するすべてのエクスポート エントリに対して、1つの
アクセス キャッシュ エントリが保持されます。
手順
1. 同一エクスポート ルールを使えるときは使用します。
例 ro,rw=@group1
ro,rw=@group1 ルールは次の両方のエントリ内にありますが、このルールに対して保持されるアクセス キャッシュ エントリは1つです。
/vol/a -sec=sys,ro,sec=sys,rw=@group1,sec=krb5,rw=@group2 /vol/b -sec=sys,ro,sec=sys,rw=@group1
アクセスキャッシュタイムアウト値の設定
いくつかのオプションを設定して、 アクセス キャッシュのタイムアウト動作をカスタマイズ
できます。 これにより、 保存された情報がどれほど新しいかによりアクセス キャッシュのパ
フォーマンスをバランスさせることができます。
手順
1. アクセス キャッシュにエントリに保持する時間を指定するために、 次の コマンドを入力
します
options nfs.export.harvest.timeout integer
integer は、秒単位でエクスポート アクセス キャッシュにあるエントリのアイドル期限を
指定します。 デフォルト値は、 3600 秒 (1 時間) です。 最小値は 60 秒です。 最大値は 604800 秒 (7 日間) です。
2. 更新前にアクセスが拒否されたアクセス キャッシュ エントリが保持する時間を指定する
には、 次のコマンドを入力します。
options nfs.export.neg.timeout integer
integer は秒単位でタイムアウト時間を指定します。 デフォルトでは 1800 秒 (30 分) です。 最小値は 60 秒です。 最大値は 604800 秒 (7 日間) です。
3. 更新前にアクセスが許可されたアクセス キャッシュ エントリが保持する時間を指定する
には、 次のコマンドを入力します。
options nfs.export.pos.timeout integer
integer は秒単位でエクスポート アクセス キャッシュにあるエントリのアイドル期限を指
28 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
定します。 そのデフォルト値は 36000 秒 (10 時間) です。 最小値は 60 秒です。 最大値
は 604800 秒 (7 日間) です。 その詳細については、 na_options(1) マニュアル ページを
ご参照ください。
Kerberos v5 セキュリティサービスの有効化
NFS の Kerberos v5 セキュリティ サービスを有効にするには、 nfs setup コマンドを使用し
ます。
タスク概要
Data ONTAP で実現される、セキュリティで保護された NFS アクセスでは、Kerberos v5 認証
プロトコルを使用して、制御されたドメイン内のデータとユーザーID のセキュリティを確保
します。
Data ONTAP の Kerberos v5 の実装により、2 種類の Kerberos Key Distribution Center (KDC)がサポートされています。下の表に記載のとおり、Active Directory ベースと UNIX ベー
スがあります。
KDC の種類 説明
Active Directory ベース
Windows ドメインは Kerberos 領域です。 CIFS および Active Directory サーバには、同じドメインコントローラを使用します。
UNIX タイプ NFS 用の Kerberos 領域は、 MIT または Heimdal KDC です。
Multirealm NFS 用には UNIX ベースの KDC 、 CIFS 用には Active Directory ベースの KDC を 使用します。Data ONTAP 7.3.1 以降のバージョンでご利用できます。
メモ: Kerberos multirealm 構成をサポートするため、 Data ONTAP は 2 セットのプリンシパ
ルファイルと keytab ファイルを使用します 。 Data ONTAP 7.3.1.より前のリリースの場合の
ように、アクティブ ディレクトリ ベースの KDC では、 プリンシパル ファイルと keytab ファイルは それぞれ、/etc/ krb5auto.conf と /etc/krb5.keytab です。
しかし、Data ONTAP 7.3.1 以降のバージョンの場合、UNIX ベースの KDC では、メイン ファイルと keytab ファイルは /etc/krb5.conf と /etc/UNIX_krb5.keytab になっています。 Data ONTAP 7.3.1 からは、 UNIX ベースの KDC の keytab ファイルが /etc/krb5.keytab から /etc/UNIX_krb5.keytab に変更されました。
Data ONTAP が NFS 用に UNIX ベースの KDC を使用するように構成された Data ONTAP 7.3.1 より前のリリースからバージョンからアップグレードする場合、 Data ONTAP は引き続
き keytab file /etc/krb5.keytab ファイルを使用します。 この以前のバージョンからアップグレ
ードした後 CIFS を再構成する場合、 または、 アクティブ ディレクトリ タイプ KDC を CIFS 用に構成した後で最初に NFS を構成する場合、 UNIX タイプ KDC には、 新しい keytab ファ
イル/etc/UNIX_krb5.keytab を使用することしか必要になりません。
次のトピック
NFS を使用するファイル アクセス|29
Active Directory ベース KDC のセキュリティサービスの設定 UNIX ベース KDC のセキュリティサービスの構成 Kerberos v5 セキュリティサービスをサポートする NFS クライアント
Active DirectoryベースKDCのセキュリティサービスの設定
cifs setup コマンドの実行前または実行後に、Active Directory ベース KDC を使用するため
に NFS 用に Kerberos v5 セキュリティ サービスを構成することができます。 セキュリティ サービス セットアップ手順では、ストレージ システムを
nfs/hostname.domain@REALM というサービスプリンシパルとしてActive Directoryベースの
KDC に追加します。hostname.domain@REALM.
次のトピック
Active Directory ベース KDC のセキュリティサービスの設定 UNIX ベース KDC のセキュリティサービスの構成
CIFS 設定前のActive DirectoryベースKDCのセキュリティサービスの設定
cifs setup がまだ実行されず、CIFS が設定されていない場合は、CIFS 構成から取り込まれる
はずの構成情報を入力する必要があります。
Active Directory ベースのドメイン ネーム サービスを使用するようストレージ システムを設定
し、必要に応じて /etc/resolv.conf ファイルを変更して、Active Directory サーバだけが表示され
るようにします。
例えば、 Active Directory サーバが 172.16.1.180 と 172.16.1.181 であるような Kerberos 領域
については、 次の Active Directory サーバ エントリだけが含まれるように/etc/resolv.conf を変
更します:
nameserver 172.16.1.180
nameserver 172.16.1.181
この領域で他のすべての Active Directory サーバが削除されたことを確認します。
すでに nfs setup を使用して構成情報を入力している場合は、表示されるプロンプトは次の手
順に示されるものと異なっている場合があります。
手順
1. 次のコマンドを入力します。
nfs setup
次のメッセージが表示されます。
Enable Kerberos for NFS?
2. y キーを押して次に進みます。 KDC 種類を指定するように指示されます。 The filer supports these types of Kerberos Key Distribution Centers (KDCs):
30 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
1 - UNIX KDC
2 - Microsoft Active Directory KDC
Enter the type of your KDC (1-2):
3. 2 を入力します。
ストレージ システム名を指定するよう指示されます:
The default name of this filer will be 'SERVER'
Do you want to modify this name? [no]:
4. ここではストレージ システム名を入力するので、yesと入力します。デフォルトのストレ
ージシステム名"SERVER" を使用する場合は、Enter キーを押してください。
ストレージ システムのActive Directoryサーバ用のドメイン名を指定するように指示され
ます:
Enter the Windows Domain for the filer []:
5. Active Directoryサーバのドメイン名 を入力します
入力したドメイン名は Kerberos 領域名としても使用されます。 ローカル管理者アカウントを指定するよう指示されます。
6. ローカル管理者アカウント情報を入力します。
メモ:この手順は Active Directory KDC の Kerberos 構成には影響がありません。
7. ローカル管理者アカウント情報を入力したあとで、次の例のようなメッセージが表示され
ていることを確認します。
ADKDC.LAB.DOCEXAMPLE.COM is a Windows 2000(tm) domain.
このメッセージは、 ストレージ システムが Active Directory サーバを検出したこと、そし
てストレージ システムがこのサーバは KDC サーバとして機能できると判断したことを確
認するものです。
上記のようなメッセージが表示されない場合、ア Active Directory サーバに問題がある、
または、ストレージシステムの DNS サーバが Active Directory サーバではない可能性があ
ります。ネットワーク構成を確認して、nfs setup を再び実行してください。
8. 次の種類のメッセージが表示された場合は、 Active Directoryドメイン管理者の名前とパス
ワードを入力してください。 In order to create this filer's domain account, you must supply the name and password of an administrator account with sufficient privilege to add the filer to the ADKDC.LAB.DOCEXAMPLE.COM domain.
Please enter the Windows 2000 user [[email protected]] Password for Administrator:
パスワードが正しく、指定されたアカウントにストレージ システム ドメイン内の適切な
権限がある場合は、次のようなメッセージが表示されます:
CIFS - Logged in as [email protected].
Welcome to the ADKDC (ADKDC.LAB.DOCEXAMPLE.COM) Windows 2000(tm) domain. Kerberos now enabled for NFS.
NFS を使用するファイル アクセス|31
NFS setup complete.
NFS 設定が終了すると出力テキストに次のメッセージが表示されることがあります。この
出力はインストールプロセスの誤認であり、無視してかまいません:
CIFS is not licensed.
(Use the "license" command to license it.)
CIFS設定後のActive DirectoryベースKDCのセキュリティサービスの設定
すでに cifs setup が実行されており、CIFS で Active Directory を使用するよう Data ONTAP が設定されている場合、nfs setup では CIFS に指定した構成情報の一部を自動的に使用しま
す。
メモ:すでに nfs setup を使用して構成情報を入力している場合は、表示されるプロンプトは次の手
順とことなっているかもしれません。
手順
1. 次のコマンドを入力します。
nfs setup
nfs setup により次のメッセージが表示されます。
Enable Kerberos for NFS?
2. y を入力して次に進みます。
KDC の種類を指定するように指示されます:
The filer supports these types of Kerberos Key Distribution Centers (KDCs):
1 - UNIX KDC
2 - Microsoft Active Directory KDC
Enter the type of your KDC (1-2):
3. 2 を入力します。
次のメッセージが表示されます:
Kerberos now enabled for NFS.
NFS setup complete.
この操作により、Data ONTAP で Active Directory ベースの KDC Kerberos over NFS が設定されました。
UNIXベースKDCのセキュリティサービスの構成
UNIX ベース KDC のセキュリティ サービスを有効にするには、プリンシパル(領域ユーザ ID)
を作成して、ストレージ システムの keytab(キー テーブル ファイル)を生成し、UNIX ベー
ス KDC を使用するように Data ONTAP を設定します。
32 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
開始する前に行うべきこと
次の要件が満たされていることを確認します:
• ルートおよび 1 つ以上のルートではないクライアントのクライアントプリンシパルで、
NFS クライアントと UNIX ベースの KDC 設定されていること
• NFS アクセスがクライアントと既存のネットワーク サーバで確認されていること。
NFS をセットアップして使用する前に、 ストレージ システムに DNS を有効にする必要があ
ります。 ホストのコンポーネントがまだ完全に限定されたドメイン名ではなく、 DNS が有効
になっていない場合、後でDNSを有効にできるよう NFS サーバ プリンシパル名をすべて変
更する必要があります。
メモ:所有権制約のため、CIFS クライアントをサポートする UNIX ベースの Kerberos 実装
はありません。Data ONTAP で UNIX ベースの KDC サービスを設定する場合は、CIFS クライアントを認証できないことに注意してください。しかし、 Data ONTAP 7.3.1 以降の
バージョンでは、 Kerberos マルチ領域機能が提供されています。このため、 NFS クライアントを認証するため UNIX ベース KDC を使用するために NFS を同時に構成する
間に、 CIFS 認証用の Microsoft Active Directory ベース KDC を使用するための CIFS を構成できます。
タスク概要
次の手順は、ストレージ システムを nfs/hostname.domain@REALM というサービス プリン
シパルとして標準 UNIX ベースの KDC に追加する例を使用して説明します。
次のトピック
プリンシパルの作成と keytab ファイルの生成 NFS 用 Kerberos v5 セキュリティ サービスの有効化
プリンシパルの作成とkeytabファイルの生成
プリンシパルを作成し、keytab ファイルを生成するには、kadmin コマンドを使用します。ど
のバージョンであっても Kerberos が現在ストレージ システム上で有効になっている場合は、
まず nfs setup を実行してこれを無効にする必要があります。どの形式であっても Kerberos が有効になっている場合は、次のプロンプトが表示されます:
Disable Kerberos for NFS?
y または n のどちらを入力しても、NFS の設定作業が終了します。Kerberos を無効にする選
択をした場合、ストレージ システムは設定された現在の Kerberos 実装をまず無効にします。
UNIX ベースの Kerberos については、nfs.kerberos.file_keytab.enable オプションが off に設
定されます。
手順
1. UNIX ベース Kerberos v5 サービスをサポートする UNIX または Linux システムでは、 kadmin コマンドを入力するか、kadmin.local コマンドを入力します。( KDC にすでにログインしている場
NFS を使用するファイル アクセス|33
合)。
2. kadmin または kadmn.local コマンド ラインで次のコマンドを入力します。
ank -randkey nfs/hostname.domain
hostname は 、NFS サーバ プリンシパルのホスト名です。 domain は、 NFS サーバ プリンシパ
ルのドメイン です。
NFS サーバにプリンシパルが作成されます。 例えば
nfs/ [email protected]_COMPANY.COM の場合、領域は
@LAB.MY_COMPANY.COM です。
KDC ソフトウェアが、Data ONTAP ではサポートされないデフォルト暗号化タイプ
(des3*または aes128*暗号化タイプなど)を使用してプリンシパルを作成している場合
は、-e をパラメータ指定して ank コマンドを呼び出し、des-cbc-md5:normal などの Data ONTAP でサポートされる暗号化タイプを指定する必要があります。次に、des-cbc-md5 暗号化タイプを使用し、プリンシパルを作成するコマンドの例を示します:
kadmin: ank -e des-cbc-md5:normal -randkey nfs/server.lab.my_company.com
詳細は KDC ソフトウェア ドキュメンテーションを参照してください。
3. kadmin または kadmn.local コマンド ラインで、次のコマンドを入力します。
xst -k/tmp/filer.UNIX_krb5.conf nfs/hostname.domain
hostname は、サーバ プリンシパルのホスト名、domain は、手順 2 で作成したサーバ メインのドメイン です。たとえば、
kadmin: xst -k/tmp/filer.UNIX_krb5.conf nfs/server.lab.my_company.com のように
入力します。
サーバのプリンシパルの nfs/[email protected]_COMPANY.COM.にkeytab が作成され、KVNO 3 暗号化タイプ DES-CBC-CRC が keytab の
WRFILE:/tmp/filer.UNIX_krb5.conf.に追加されます。
KDC ソフトウェアが、Data ONTAP ではサポートされないデフォルト暗号化タイプ
(des3* または aes128*暗号化タイプなど)を使用して keytab を作成している場合は、-e をパラメータ指定して xst コマンドを呼び出し、des-cbc-md5:normal などの Data ONTAP でサポートされる暗号化タイプを指定する必要があります。
次に、des-cbc-md5 暗号化タイプを使用し、keytab を作成するコマンドの例を示します。
xst -k /tmp/filer.keytab -e des-cbc-md5:normal nfs/ filer.lab.mycompany.com
詳細は KDC ソフトウェア ドキュメンテーションを参照してください。
4. NFS サーバで次のコマンドを入力します。
cp /tmp/filer.UNIX_krb5.keytab /net/filer/vol/vol0/etc/ krb5.UNIX_krb5.keytab
keytab がストレージ システムにコピーされます。
注意: keytab がストレージ システムにコピーされた後に、ボリュームから/etc サブデ
34 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ィレクトリをエクスポートしないでください。 /etc サブディレクトリをエクスポート
すると、クライアントがキー情報を読み取ることができるので ストレージ システム
になりすます可能性があります。
5. krb5.conf ファイルをストレージ システムにコピーするには、次のいずれかの手順を実行します。
MIT KDC ソフトウェアを実行しているUNIX クライアントでは、次のコマンドを入力します。
cp /etc/krb5.conf /net/filer/vol/vol0/etc/krb5.conf
SEAM を実行している Solaris クライアントでは、次のコマンドを入力します:
cp /etc/krb5/krb5.conf /net/filer/vol/vol0/etc/krb5.conf
NFS用Kerberos v5セキュリティ サービスの有効化
NFS 用 Kerberos v5 セキュリティ サービスを有効にするには、 nfs setup コマンドを使用し
ます。nfs setup コマンドは、 サーバ プリンシパルと keytab ファイルを作成する前に、 UNIX ベースの KDC を設定することができます。しかし、 サーバプリンシパルと Keytab フ
ァイルを作成しないと Kerberos を使用することはできません。
手順
1. 次のコマンドを入力します。
nfs setup
nfs setup から次のメッセージが表示されます。
Enable Kerberos for NFS?
2. y キーを入力して次に進みます。
KDC の種類を指定するように指示されます。
The filer supports these types of Kerberos Key Distribution Centers (KDCs):
1. - UNIX KDC
2. - Microsoft Active Directory KDC
Enter the type of your KDC (1-2):
3. 1 と入力します。
サーバ プリンシパルと keytab ファイルをまだ設定していない場合、次の警告のどちらか
または両方が表示されますが、設定プロセスは継続します。
新規インストール後に nfs setup を実行する場合、次の警告メッセージが表示されます。
There is no /etc/krb5.conf file yet. You will need to establish one.
Unix KDC uses the keytab file /etc/UNIX_krb5.keytab. There is no /etc/
UNIX_krb5.keytab file yet. You will need to establish one.
NFS を使用するファイル アクセス|35
cifs setup の実行後に nfs setup を実行すると(及び、 アクティブ ディレクトリ タイプ KDC を使用するために CIFS を構成後) 、 次の警告メッセージが表示されます。
There is no /etc/krb5.conf file yet. You will need to establish one.
You have an existing keytab file /etc/krb5.keytab. Your new keytab file
for Unix KDC would be /etc/UNIX_krb5.keytab.
NOTE: If CIFS Active Directory based authentication has been configured
on this filer at any point in the past, the /etc/krb5.keytab might
belong to CIFS. Do you want to rename your existing keytab file /etc/
krb5.keytab to the new keytab file /etc/UNIX_krb5.keytab.
(Yes/No)? n
Unix KDC uses the keytab file /etc/UNIX_krb5.keytab. There is no /etc/
UNIX_krb5.keytab file yet. You will need to establish one.
Data ONTAP 7.3.1 より前のバージョンから Data ONTAP をアップグレードした後初めて nfs setup を実行する場合、次の警告メッセージが表示されます。
Your new keytab file for Unix KDC would be /etc/UNIX_krb5.keytab.
NOTE: If CIFS Active Directory based authentication has been configured on this filer at any point in the past, the /etc/krb5.keytab might belong to CIFS. Do you want to rename your existing keytab file /etc/krb5.keytab to the new keytab file /etc/UNIX_krb5.keytab. (Yes/No)? y
/etc/krb5.keytab renamed to /etc/UNIX_krb5.keytab
最後の 2 つのプロンプトで n と答えると、 nfs setup は keytab ファイルの名前を変更せ
ずに進行します。
次に Kerberos 領域名を求められます。
Enter the Kerberos realm name.
4. UNIX タイプ KDC 用のレルム名を入力します。
領域名は NFS サーバの Kerberos プリンシパル名の領域に関連する部分(NFS サーバ プリ
ンシパルに指定された名前)。 たとえば、 MY_COMPANY.COM などを入力します。 入力
した領域名は nfs.kerberos.realm オプション値を変更することにより、後で確認または変
更することができます:
options nfs.kerberos.realm realm_name
例
options nfs.kerberos.realm LAB.MY_COMPANY.COM
メモ:Data ONTAP は、UNIX ベースの KDC の小文字の領域名をサポートしますが、
Active Directory KDC の小文字領域名はサポートしません。
ホスト インスタンスの入力をプロンプトされます。
Enter the host instance of the NFS server principal name [default:
server.lab.my_company.com]:
36 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
5. ホスト インスタンスを入力します。
例
server.lab.my_company.com
DNS が有効である場合、これを使用してホストの完全に限定されたドメイン名を入力し
たことを確認します。部分名を入力した場合、ホストが DNS に入力されていれば、欠落
したドメイン情報がエントリに追加されます。
入力したホスト インスタンスは nfs.kerberos.principal オプションで確認できます。
options nfs.kerberos.principal
nfs setup コマンドはホスト インスタンスと領域名のエントリを使用してKerberos プリン
シパルを識別します。このプリンシパルは、次に示すように nfs setup エントリから派生
したものです。
nfs/value from nfs.kerberos.principal@value from nfs.kerberos.realm
ホスト インスタンスを入力し、 nfs setup を終了すると、生成したキーテーブルファイル
を使用するようにストレージシステムが設定されます。nfs setup を再び実行することに
より、後で設定を変更することができます。
Kerberos v5セキュリティサービスをサポートするNFSクライアント
クライアントで Kerberos v5 セキュリティ サービスを使用する前に、クライアントが
RFC1964 および RFC2203 をサポートしているか確認する必要があります。
Kerberos v5 セキュリティをサポートするクライアントのリストには、一般に普及したクライ
アントのうち、ネットワーク アプライアンスの開発ラボまたは Connectathon(www.connectathon.org)などの相互運用性テスト イベントのどちらかがテストしたクライ
アントだけを記載しています。
たとえば、次のクライアントが Kerberos v5 をサポートしています。
• AIX 5L Expansion Pack および Web Download Pack による NFSv2、 NFSv3、 NFSv4 を実行している AIX 5.3。 IBM から入手できます。
• NFSv2、 NFSv3、 または、 NFSv4 を実行する Linux 2.6
• Sun Enterprise Authentication Mechanism (SEAM) 1.0 による NFSv2 または NFSv3を実
行する Solaris 2.6。Sun Microsystems の Solaris Easy Access Server (SEAS) 3.0 製品バ
ンドルされています。
• SEAM 1.0 による NFSv2 または NFSv3 を実行する Solaris 7。Sun Microsystems の SEAS 3.0 製品バンドル
• SEAM 1.0.1 による NFSv2 または NFSv3 を実行する Solaris 8。Sun Microsystems の Solaris 8 Admin Pack または Solaris 8 Encryption Pack で利用できます。
• NFSv2 または NFSv3 を実行する Solaris 9
NFS を使用するファイル アクセス|37
• NFSv2、 NFSv3、 または、 NFSv4 を実行する Solaris 10
• Hummingbird NFS Maestro バージョン 7 または NFS Maestro Solo バージョン 7 による
NFSv2 または NFSv3 を実行する Windows クライアント
• Hummingbird NFS Maestro Client バージョン 8 または NFS Maestro Solo バージョン 8 による NFSv2、 NFSv3、または、 NFSv4 を実行する Windows クライアント
マウント問題のデバッグ
マウントの問題をデバッグするには、 マウント サービス統計を表示し、 mountd 要求をトレ
ースします。
次のトピック
マウントサービス統計の表示 マウント要求のトレース
マウントサービス統計の表示
マウント サービス統計を表示するには、 nfsstat -d コマンドを入力します。
手順
1. 次のコマンドを入力します。
nfsstat -d
結果
Data ONTAP は次のマウント サービス統計を表示します。
v2 mount (requested, granted, denied, resolving)
v2 unmount (requested, granted, denied)
v2 unmount all (requested, granted, denied)
v3 mount (requested, granted, denied, resolving)
v3 unmount (requested, granted, denied)
v3 unmount all (requested, granted, denied)
mount service requests (curr, total, max, redriven)
その詳細については、 na_nfsstat(1) マニュアル ページを参照してください。
マウント要求のトレース
Mountd 要求をトレースするには、 /etc/syslog.conf ファイルに *.debug エントリを追加して、 nfs.mountd.trace オプション を on にセットします。
タスク概要
38 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
DOS攻撃中は syslog が何回もヒットされるため、このオプションはデバッグセッション時
のみ有効にしてください。
デフォルトでは、 nfs.mountd.trace オプションは off になっています。
手順
1. /etc/syslog.conf ファイルを編集して、 *.debug エントリを追加します。
syslog.conf ファイルにエントリを追加するについて詳細は、 na_syslog.conf(5) マニュアル ペー
ジを参照してください。
2. nfs.mountd.trace オプションを有効化するには、 次のコマンドを入力します。 options nfs.mountd.trace on
mountd.trace オプションの詳細については、 na_options(1) マニュアル ページを参照してくださ
い。
NFS 統計の表示
すべての NFS バージョンについて NFS 統計を表示するには、 nfsstat コマンドを使用します。
タスク概要
nfsstat コマンドを使用すると、すべてのクライアントの NFS 統計を表示できます。
nfs.per_client_stats.enable オプションが on の場合に、 nfsstat -h または nfsstat -l を使用する
と、クライアント単位で NFS 統計を表示できます。
NFS 統計を表示するだけでなく、 nfsstat コマンドを使用して NFS 統計をリセットすること
もできます。
その詳細については、 na_nfsstat(1) マニュアルページおよび次のトピックを参照してくださ
い。
関連参照事項
マウントサービス統計の表示マウント NFSv4 のオープン委譲の管理
手順
1. NFS の統計を表示するには、 次のコマンドを入力します。
nfsstat
NFSv3 の有効化と無効化
NFSv3 は有効または無効化するには、nfsv3.enable オプションを それぞれ on または off に設
定します。(このオプションは、デフォルトでは onになっています。)
NFS を使用するファイル アクセス|39
手順
1. 次のアクションのうち 1 つを行います。
目的 操作
NFSv3 を有効化にする場合 次のコマンドを入力します。 options nfs.v3.enable on
NFSv3 を無効化にする場合 次のコマンドを入力します。 options nfs.v3.enable off
NFSv3 および NFSv4 における FSID (File System ID)処理の相違点
NFSv3 および NFSv4 でのアクティブなファイル システムの場合と同じように、Data ONTAP を構成して .snapshot サブディレクトリおよびファイルの同じまたは異なる FSID を返すことができます。
エクスポート パスをマウントして .snapshot ディレクトリおよびサブディレクトリのディレ
クトリ リストを取得する場合、返されたファイルおよびディレクトリの属性には FSID が含
まれます。.snapshot サブディレクトリの FSID はアクティブなファイル システムの FSID と同じです。.snapshot サブディレクトリの FSID は、次の 2 つのオプションによって異なりま
す。
操作 結果
nfs.v3.snapshot.active.fsid.enable オプションを有効化する
NFSv3 では、.snapshot 内のディレクトリおよびファイルに
返された FSID はアクティブなファイル システムの FSID と同じである必要があります。
nfs.v3.snapshot.active.fsid.enable オプションを無効化する
NFSv3 では、.snapshot 内のディレクトリおよびファイルに
返された FSID はアクティブなファイル システムの FSID と異なる必要があります。
nfs.v4.snapshot.active.fsid.enable オプションを有効化する
NFSv4 では、.snapshot 内のディレクトリおよびファイルに
返された FSID はアクティブなファイル システムの FSID と同じである必要があります。
nfs.v4.snapshot.active.fsid.enable オプションを無効化する
NFSv4 では、.snapshot 内のディレクトリおよびファイルに
返された FSID はアクティブなファイル システムの FSID と異なる必要があります。
NFSv4 クライアントのサポート
NFSv4 クライアントをサポートされている場合は、NFSv4 プロトコルを有効または無効にし
たり、NFSv4 ユーザー ID ドメインを指定したり、NFSv4 ACL およびファイル委譲を管理し
たり、ファイルおよびレコード ロックを設定したりできます。
次のトピック
40 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
NFSv4 の Data ONTAP サポートについて NFSv4 の Data ONTAP サポートの制限 NFSv4 における pseudo-fs のマウントポイントへの影響 NFSv4 の有効化と無効化 NFSv4 のユーザーID ドメインの指定 NFSv4 ACL の管理 NFSv4 のオープン委譲の管理 NFSv4 のファイルおよびレコードロックの構成 ネームサーバ データベースキャッシュのフラッシュ
NFSv4のData ONTAPサポートについて
Data ONTAP は、SPKM3 および LIPKEY セキュリティ 機能を除く、NFSv4 の必須機能をすべてサ
ポートしています。
NFSv4 の必須機能は、次のとおりです。
COMPOUND クライアントは 1 回の Remote Procedure Call (RPC) で複数の ファイル操
作を要求できます。
オープン委任 サーバはある種類のクライアントにファイル制御を委任して読み取り/書き込み
を行うことができます。
Pseudo-fs NFSv4サーバでストレージ システムのマウント ポイントを決めます。NFSv4 には、マウント プロトコルがありません。
ロック リース ベース。NFSv4 には、個別の Network Lock Manager(NLM)または Network Status Monitor(NSM)プロトコルはありません。
名前付き属性 Windows NT ストリームと類似。
NFSv4 プロトコルの詳細については、Web で「RFC 3050」を検索してください。RFC 3050 は、NFSv4 プロトコルを定義する、タイトルが「Network File System (NFS) version 4 Protocol」の「IETF(インターネット技術標準化委員会)Request for Comments」の規定で
す。
NFSv4のData ONTAPサポートの制限
NFSv4 の Data ONTAP サポートには、いくつの制限があることに注意してください。
• SPKM3 および LIPKEY セキュリティ 機能はサポートされていません。
• 委譲機能はすべてのクライアントタイプによってサポートされているわけではない。
• LANG設定がUTF8 以外のボリュームでは、ASCII以外の文字を使用した名前は、ストレージシステム
で拒否されます。
NFS を使用するファイル アクセス|41
• すべてのファイル ハンドルは永続的です。サーバでは揮発性のファイル ハンドルを配布しません。
• 移行(Migration)および複製(Replication)はサポートされません。
• 次の属性を除く、すべての推奨属性がサポートされています。
• archive
• hidden
• homogeneous
• mimetype
• quota_avail_hard
• quota_avail_soft
• quota_used
• system
• time_backup
メモ: Data ONTAP は quota* 属性をサポートしませんが、RQUOTA 側のサイド バンド プロ
トコルを通じてユーザーおよびグループ クォータをサポートします。
• NFSv4 では、User Datagram Protocol (UDP)転送プロトコルを使用しません。
NFSv4 を有効にしていても、options nfs.tcp.enable を off に設定して NFS over TCP を無効
にすると、NFSv4 は実質的に無効になります。
NFSv4におけるpseudo-fsのマウントポイントへの影響
NFSv4 は、マウントポイントを決定するときのストレージ システムへのエントリ ポイントと
し pseudo-fs(ファイル システム)を使用します。pseudo-fs を使用すると、複数ではなく1
つのポートセキュリティ用に使用できます。すべての NFSv4 サーバでは pseudo-fs の使用を
サポートします。
NFSv4 で pseudo-fs を使用したことで、NFSv3 および NFSv4 間のマウントポイントで矛盾
する場合があります。
次の例では、以下のようなボリュームを使用します。
• /vol/vol0 (root)
• /vol/vol1
• /vol/home
例 1:
NFSv3 で、/vol/vol0 の絶対パスを使用せずに filer:/ をマウントする場合、マウントポイント
は filer:/vol/vol0 になります。つまり、NFSv3 ではパスが /vol で始まらない場合、Data ONTAP はパスの先頭に /vol/vol0 を補完します。
NFSv4 で、/vol/vol0 の絶対パスを使用せずに filer:/ をマウントする場合は、/vol/vol0 ではなく
42 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
pseudo-fs のルートをマウントします。Data ONTAP は、パスの先頭に /vol/vol0 を補完しま
せん。
したがって、NFSv3 を使用して filer:/を /n/filer にマウントしている場合、NFSv4 を使用して
同じマウントを実行すると、別のファイル システムがマウントされます。
例 2
Data ONTAP での NFSv4 pseudo-fs の実装では、ノードに続く / および /vol は常に必要で、
pseudo-fs に対する参照の共通のプレフィックスを形成します。/vol 以外で始まる参照は無効
です。
この例には、/vol/vol0/home ディレクトリがあります。NFSv3 で filer:/home を/users をマウ
ントすると、/home はディレクトリ /vol/vol0/home であると判断されます。NFSv4 で filer:/ home を/users にマウントすると、/home はボリューム /vol/home ではなく、pseudo-fs ツリ
ーの不正なパスであると解釈されます。
NFSv4の有効化と無効化
NFSv4 を有効化または無効化するには、nfs.v4.enable オプションを それぞれ on または off に設定します。(デフォルトでは、このオプションは off になっています。)
手順
1. 次のいずれかの操作を実行します。
目的 操作
NFSv4 の有効化 次のコマンドを入力します。 options nfs.v4.enable on
NFSv4 の無効化 次のコマンドを入力します。 options nfs.v4.enable off
NFSv4のユーザーIDドメインの指定
ユーザー ID ドメインを指定するには、nfs.v4.id_domain オプションを設定します。
タスク概要
NFSv4 ユーザー ID のマッピングにデフォルトで使用されているドメインは、 NIS ドメイン
が設定されている場合は、NIS ドメインになります。NIS ドメインが設定されていない場合は、
DNS ドメインが使用されます。たとえば、複数のユーザー ID ドメインがあると、ユーザー ID ドメインの設定が必要になる場合があります。
手順
1. 次のコマンドを入力します。
options nfs.v4.id_domain domain
NFS を使用するファイル アクセス|43
NFSv4 ACLの管理
NFSv4 Access Control List (ACL)を有効化、無効化、設定、変更、および表示できます。
次のトピック
NFSv4 ACL の仕組み NFSv4 ACL を有効化する利点 NFSv4 ACL と Windows (NTFS) ACL の互換性 Data ONTAP でのファイルの削除可否を判断するために NFSv4 ACL を使用する方法 NFSv4 ACL の有効化と無効化 NFSv4 ACL の設定と変更 NFSv4 ACL の表示
NFSv4 ACLの仕組み
NFSv4 ACL を使用するクライアントは、システム上のファイルとディレクトリに ACL を設
定したり、それらの ACL を表示したりすることができます。ACL を持つディレクトリ内にフ
ァイルやサブディレクトリを新規に作成すると、新規オブジェクトには対応する ACL の値が
継承されます。
アクセス チェックでは、CIFS ユーザは UNIX ユーザにマッピングされます。マッピングされ
た UNIX ユーザとそのユーザ グループのメンバーシップは ACL に対してチェックされます。
ファイルまたはディレクトリに ACL がある場合、その ACL はファイルまたはディレクトリ
のアクセスに使用されているプロトコル(NFSv2、NFSv3、NFSv4、または CIFS)に関わら
ずアクセスの制御に使用され、NFSv4 がシステム上で有効でなくなった場合でも使用されま
す。
ファイルやディレクトリは親ディレクトリから NFSv4 ACL を継承します(適切に変更さる可
能性があります)。
ファイルやディレクトリが NFSv4 要求の結果として作成された場合、結果のファイルやディ
レクトリの ACL は、ファイル作成要求に ACL を含むか、標準の UNIX ファイル アクセス権
限のみを含むか、あるいは、親ディレクトリに ACL があるかどうかによって異なります。
• 要求に ACL が含まれている場合、その ACL が使用されます。
• 要求に標準 UNIX ファイル アクセス権限のみが含まれ、親ディレクトリに ACL がある場
合は、親ディレクトリの ACL が新しいファイルやディレクトリに継承されます(変更を
伴う可能性あり)。
メモ: 親の ACL は、nfs.v4.acl.enable が off の場合でも継承されます。
• 要求に標準の UNIX ファイル アクセス権限のみが含まれ、親ディレクトリに ACL がない
場合は、クライアントのファイル モードが標準の UNIX ファイル アクセス権限の 設定に
使用されます。
44 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
• 要求に標準 UNIX ファイル アクセス権限のみが含まれ、親ディレクトリに継承可能でない
ACL がある場合は、要求に渡されたモード ビットに基づいてデフォルトの ACL が新規オ
ブジェクトに設定されます。
qtree のセキュリティ セマンティクスは、そのセキュリティ形式と ACL(NFSv4 または
NTFS)で定義されます。
UNIX セキュリティ スタイルの qtree の場合:
• NFSv4 ACL とモード ビットが有効 です。
• NTFS ACL が有効ではありません。
• Windows クライアントは属性を設定できません。
• NTFS セキュリティ形式の qtree
• NFSv4 ACL が有効ではありません。
• NTFS ACL とモード ビットが有効です。
• UNIX クライアントは属性を設定できません。
mixes セキュリティ 形式の qtree
• NFSv4 ACL およびモード ビットが有効です。
• NTFS ACL が有効 です。
• Windows クライアントと UNIX クライアントの両方に属性を設定できます。
メモ: qtree 内のファイルおよびディレクトリは、NFSv4 ACL または NTFS ACL のいずれ
か を持つことができますが、両方を持つことはできません。Data ONTAP は必要に応じ
てどちらかの形式を別のものに再マッピングします。
NFSv4 ACLを有効化する利点
NFSv4 ACL を有効化すると、多くの利点があります。
以下に、その利点を示します。
• ファイルやディレクトリへのユーザ アクセスのより詳細な制御
• NFS セキュリティの向上
• CIFS との相互接続性の向上
• ユーザごとに NFS グループ 16 個の制限の解除
NFSv4 ACLとWindows (NTFS) ACLの互換性
NFSv4 ACL は Windows のファイルレベル ACL(NTFS ACL)と異なりますが、Data ONTAP では、Windows プラットフォームを表示するために NFSv4 ACL を Windows ACL にマッピングできます。
NFS を使用するファイル アクセス|45
NFS クライアント側に表示される、Windows ACL を持つファイル権限「表示」権限です。ま
た、ファイル アクセスの確認に使用される権限は Windows ACL の権限です。
メモ: Data ONTAP は POSIX ACL をサポートしていません。
Data ONTAP でのファイルの削除可否を判断するために NFSv4 ACL を使用する方法
NFS 4.1 RFC に説明されているとおり、Data ONTAP でファイルの削除可否を判断するため
には、ファイルの DELETE ビットおよび所属するディレクトリの DELETE_CHILD ビットの
組み合わせを使用します。詳細については、NFS 4.1 RFC を参照してください。
NFSv4 ACLの有効化と無効化
NFSv4 ACL を有効化または無効化するためには、nfs.v4.acl.enable オプションを on または off に設定します。このオプションは、デフォルトで off に設定されています。
nfs.v4.acl.enable オプションは、NFSv4 ACL の設定および表示を制御しますが、アクセスチェックの際は、
NFSv4 ACL の適用に対する制御は行いません。詳細については、na_options(1) マニュアルページを参照して
ください。
手順
1. 次のいずれかの操作を実行します。
目的 操作 NFSv4 ACL の有効にす
る場合 次のコマンドを入力します。 options nfs.v4.acl.enable on
NFSv4 ACL の無効にす
る場合 次のコマンドを入力します。 options nfs.v4.acl.enable off
NFSv4 ACLの設定と変更
NFSv4 ACL を設定または変更するためには、setacl コマンドを使用します。
NFSv4 ACL を設定および変更するには、NFSv4 が有効で、NFSv4 ACL が有効である必要が
あります。ACL は一度有効になると、NFSv4 を使用するクライアントから設定または変更で
きます。
手順
1. 次のコマンドを入力します。
Setfacl -m user:nfsuser:rwx a
NFSv4 ACLの表示
NFSv4 ACL を表示するには、getfacl コマンドを使用します。
手順
1. 次のコマンドを入力します。
getfacl filename
46 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ファイル foo の NFSv4 ACL の表示
ss> getfacl foo # file: foo # owner: nfs4user # group: engr # group: engr user::rwuser: nfs4user:rwx #effective:rwx group::r-- #effective:r-- mask:rwx other:r--
同じファイルに ls -l コマンドを実行すると、次のように出力されます。 -rw-r--r--+ 1 nfs4user 0 May 27 17:43 foo この出力の「+」は、ACL がファイルに設定されたことを Solaris クライアントが認識したことを示します。
NFSv4のオープン委譲の管理
NFSv4 オープン委任を有効または無効にしたり、NFSv4 オープン委譲統計情報を取得してりすることが
できます。
次のトピック
NFSv4 オープン委譲の仕組み NFSv4 の読み取りオープン委譲の有効化と無効化 NFSv4 の書き込みオープン委譲の有効化と無効化 NFSv4 オープン委譲統計の表示
NFSv4オープン委譲の仕組み
Data ONTAP は RFC 3530 に従って、読み取りオープン委譲と書き込みオープン委譲をサポ
ートします。
RFC 3530 で指定されているとおり、NFSv4 クライアントがファイルを開くと、Data ONTAP はオープン要求や書き込み要求の処理を、開いているクライアントに委譲することが
できます。オープン委譲には、読み取り委譲と書き込み委譲の 2 種類があります。読み取り
オープン委譲の場合、クライアントは、他のファイルへの読み取りアクセスを禁止しない、読
み取りのためのファイル オープン要求を処理できます。書き込み委譲の場合、クライアント
はすべてのオープン要求を処理できます。
oplock が有効であるかどうかに関係なく、委譲は任意の形式の qtree 内のファイルで動作しま
す。
ファイル操作のクライアントへの委譲は、リースが期限切れになったとき、またはストレージ システムが他のクライアントから次の要求を受け取ったときにリコールすることができます。
• ファイルへの書き込み、書き込みのためのファイル オープン、または「読み取り拒否」の
ためのファイルオープン
• ファイル属性の変更
NFS を使用するファイル アクセス|47
• ファイルの名前変更
• ファイルの削除
リースが期限切れになると、委譲状態は取り消され、関連するすべての状態は「soft」とマー
クされます。つまり、以前に委譲状態であったクライアントがリースを更新する前に、ストレ
ージ システムが同じファイルに対して他のクライアントから競合するロック要求を受け取っ
た場合、この競合するロックは認められます。競合するロックがなく、委譲状態のクライアン
トによってリース期限が更新される場合、soft ロックは hard ロックに変更され、アクセスが
競合しても削除されることはありません。
ただし、リース期限が更新されても委譲は再び認められません。サーバがリブートされると、
委任状態は失われます。クライアントは、委譲要求プロセスをすべて再実行しなくても、再接
続時に委譲状態を再要求することができます。読み取り委譲を保持しているクライアントがリ
ブートされたときには、すべての委譲状態情報は再接続時にストレージ システムのキャッシ
ュからフラッシュされます。クライアントは委譲要求を発行して新しい委任を確立する必要が
あります。
NFSv4の読み取りオープン委譲の有効化と無効化
NFSv4 読み取りオープン委譲を有効または無効にするには、nfs.v4.read_delegation オプショ
ンをそれぞれ on または off に設定します。デフォルトでは、このオプションは off になってい
ます。
読み取りオープン委譲を有効にすると、ファイルのオープンとクローズに関連するメッセージ
のオーバーヘッドを大幅に軽減できます。読み取りオープン委譲を有効にした場合の欠点は、
サーバのリブートまたはリスタート後、クライアントのリブートまたはリスタート後、あるい
はネットワークを分割したあとに、サーバおよびそのクライアントが委譲をリカバリする必要
があることです。
手順
1. 次のいずれかの操作を実行してください。
目的 操作 読み取りオープン委譲の有効に
する場合 次のコマンドを入力します。 options nfs.v4.read_delegation on
読み取りオープン委譲の無効に
する場合 次のコマンドを入力します。 options nfs.v4.read_delegation off
オープン委任のオプションは、変更後すぐに有効になります。NFS を再起動する必要はあり
ません。
NFSv4の書き込みオープン委譲の有効化と無効化
書き込みオープン委譲を有効または無効にするには、nfs.v4.write_delegation オプションをそ
48 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
れぞれ on または off に設定します。デフォルトでは、このオプションは off になっています。 書き込みオープン委譲を有効にすると、ファイルのオープンとクローズだけでなく、ファイル
およびレコードのロックに関連するメッセージのオーバーヘッドを大幅に軽減できます。
書き込みオープン委譲を有効にした場合の欠点は、サーバのリブートまたはリスタート後、ク
ライアントのリブートまたはリスタート後、あるいはネットワークを分割したあとに、サーバ
およびそのクライアントが委譲をリカバリするための追加タスクを実行する必要があることで
す。
手順
1. 次のいずれかの操作を実行してください。
目的 操作 書き込みオープン委譲の有効に
する場合 次のコマンドを入力します。 options nfs.v4.write_delegation on
書き込みオープン委譲の無効に
する場合 次のコマンドを入力します。 options nfs.v4.write_delegation off
変更が行われるとすぐにオープン委譲オプションが反映されます。リブートや NFS の再起動
は必要ありません。
NFSv4オープン委譲統計の表示
NFSv4 オープン委任要求に関する情報を表示するめには、nfsstat コマンドを使用します。
nfsstat コマンドによって返される結果には、許可されたオープン委譲要求だけでなく、エラーが原因で拒否
された要求も含まれます。
ストレージ システムで拒否されたオープン委譲要求の情報については、システム ログ ファイルを参照してく
ださい。
次のトピック
すべてのクライアントの NFSv4 オープン委譲統計の表示 特定のクライアントの NFSv4 オープン委譲統計の表示 vFiler ユニットの NFSv4 オープン委譲統計の表示 ストレージ システムの NFSv4 オープン委譲統計の表示
すべてのクライアントのNFSv4オープン委譲統計の表示
すべてのクライアントの NFSv4 オープン委譲情報を表示するためには、nfsstat -l コマンドを
入力します。
手順すべてのクライアントのNFSv4 オープン委譲統計の表示
1. 次のコマンドを入力します。
nfsstat -l count
NFS を使用するファイル アクセス|49
ストレージ システムにより、クライアントごとに個々の NFSv4 オープン委譲統計情報が
返されます。クライアントの数を指定しない場合、ストレージ システムは、各クライアン
トによって実行された NFS 操作の合計を最初の 256 のクライアントの統計を返します。
特定のクライアントのNFSv4オープン委譲統計の表示
特定のクライアントの NFSv4 オープン委譲情報を表示するには、nfsstat -h コマンドを使用し
ます。
手順
1. 次のコマンドを入力します。
nfsstat -h hostname or ip_address
ストレージ システムにより、特定のクライアントの個々の NFSv4 オープン委譲統計が返され
ます。
vFilerユニットのNFSv4 オープン委譲統計の表示
vFiler ユニットの NFSv4 オープン委譲情報を表示するには、vFiler ユニットのコンテキスト
で nfsstat -d コマンドを実行します。
手順
1. 次のコマンドを入力します。
Vfiler run filername nfsstat -d
ストレージ システムのNFSv4オープン委譲統計の表示
ストレージ システムの NFSv4 オープン委譲情報を表示するには、nfsstat -d コマンドを入力し
ます。
手順
1. 次のコマンドを入力します。
nfsstat -d
ストレージ システムにより、現在の NFSv4 オープン委譲とリコールされたものを含めて、
自身で処理した NFSv4 オープン委譲の総数が返されます。ストレージ システムで処理さ
れた現在の NFSv4 オープン委譲のみを表示するには、lock status コマンドを使用します。
NFSv4のファイルおよびレコードロックの構成
NFSv4 のファイルおよびレコード ロックを設定するには、ロック リース期間および猶予
期間を指定します。
50 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
次のトピック
NFSv4 のファイルおよびレコードロックについて NFSv4 ロックリース期間の指定 NFSv4 ロックの猶予期間の指定
NFSv4のファイルおよびレコードロックについて
NFSv4 クライアントの場合、Data ONTAP は NFSv4 のバイト範囲ファイルロック メカニ
ズムをサポートしているため、すべてのファイルのロック状態がリースベース モデルで保持
されます。
Data ONTAP は RFC 3530 に従って、NFS クライアントで保持されているすべての状態のリ
ース期間を 1 つ定義します。この定義された期間内にクライアントがリースを更新しない場
合は、クライアントのリースに関連付けられたすべての状態がサーバによって解放される可能
性があります。クライアントはファイル読み取りなどの操作を実行して、リースを明示的また
は暗黙的に更新できます。
Data ONTAP は猶予期間も定義します。猶予期間とは、クライアントから、サーバ リカバリ
中に自身がロック状態になるように再要求される特殊な処理期間のことです。
用語 定義(RFC 3530 を参照)
リース Data ONTAP がクライアントを解除不能なロック状態に設定する期間
猶予期間 クライアントが、サーバのリカバリ中に自身がロック状態になるように、Data ONTAPに再要求する期間
ロック 他に特に記載がない限り、レコード(バイト範囲)ロックとファイル(共有)ロックの
両方を表します。
Data ONTAP では、非アクティブ/アクティブ構成の場合は最大 64 K のファイルロック状態が
保持され、アクティブ/アクティブ構成の場合は最大 32 K のファイルロック状態が保持されま
す。1 つのクライアントでは、これらの状態のうち最大 16 K のファイルロック状態が保持さ
れます。
メモ: リカバリ中は、リース期間と猶予期間を合計した期間が満了するまで待機しないと、
Data ONTAP は新しいロック要求を許可できません。
NFSv4ロックリース期間の指定
NFSv4 ロック リース期間(Data ONTAP により、クライアントが解除不能なロック状態に設
定される期間)を指定するには、nfs.v4.lease_seconds オプションを設定します。
デフォルトでは、このオプションは 30 に設定されています。 このオプションの最小値は 10です。このオプションの最大値は、locking.lease_seconds オプションで設定できるロック猶
予期間となります。
RFC 3530 で指定されているように、「サーバ リカバリが短時間で完了する場合は、短いリ
ース期間」が望ましく、「多数のクライアントを処理するインターネット サーバの場合は、
長いリース期間」が適しています。
NFS を使用するファイル アクセス|51
手順
1. 次のコマンドを入力します。
options nfs.v4.lease_seconds n
n はリース期間(秒単位)です。
NFSv4ロックの猶予期間の指定
NFSv4 ロック猶予期間(サーバのリカバリ中に、クライアントがロック状態になるように
Data ONTAP に再要求する期間)を指定するためには、 locking.grace_lease_seconds オプシ
ョンを設定します。このオプションにより、ロック リース期間と猶予期間の両方が指定され
ます。
デフォルトでは、このオプションは 45 に設定されています。
手順
1. 次のコマンドを入力します。
Options locking.grace_lease_seconds n
n は猶予期間(秒単位)です。
ネームサーバ データベースキャッシュのフラッシュ
nfs nsdb flush コマンドを使用して、name server database (NSDB) キャッシュの特定のエ
ントリまたはすべてのエントリをクリアすることができます。
タスク概要
環境でストレージ システムへの認証に NFSv4 または RPCSEC_GSS(Kerberos 付き)を使
用している場合、ユーザー/グループ ID として文字列名が使用されます。これらの文字列名は、
UID/GID 形式の適切な UNIX 認証情報に変換する必要があります。変換では、外部のネーム サーバ参照が使用されます。
パフォーマンスの最適化のために、NSDB ではネーム サーバ参照操作の結果をキャッシュし
ます。ネーム サービスでユーザーの認証情報を変更した場合、変更は直ちに有効化されない
ことがあります。これは、変更の前にユーザー情報が NSDB によってキャッシュされ、キャ
ッシュされたエントリの有効期間が切れていないため発生します。NSDB のキャッシュをフ
ラッシュすることで古い情報が削除されます。
手順
1. 次の操作のいずれかを実行します。
目的 操作 すべてのエントリをフラッシュする 場合
次のコマンドを入力します。 nfs nsdb flush -a
52 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
PC-NFS クライアントのサポート
PC-NFS クライアントをサポートするには、pcnfsd デーモンを有効にし、ストレージ システ
ムのローカル ファイルに PC-NFS ユーザ エントリを作成し、PC-NFS ユーザがストレージ システムに作成したファイルおよびディレクトリの umask を定義します。
次のトピック
pcnfsd デーモンの仕組み pcnfsd デーモンの有効化と無効化 ストレージシステムのローカルファイルでの PC-NFS ユーザーエントリの作成 umask と NFS ファイルパーミッションの連携方法 PC-NFS ユーザーが作成したファイルおよびディレクトリの umask の定義
pcnfsdデーモンの仕組み
Data ONTAP の pcnfsd デーモンは、PC-NFS バージョン 1 または 2 を使用してクライアント
に認証サービスを提供します。認証された PC-NFS ユーザは NFS ユーザと同様に、ストレー
ジ システムのファイルシステム パスをマウントできます。pcnfsd デーモンは、プリンター サービスをサポートしていません。
pcnfsd デーモンが認証要求を受信すると、ローカル ファイルまたは NIS マップを使用して
ユーザのパスワードが確認されます。
使用するローカル ファイルは/etc/shadow ファイルまたは/etc/passwd ファイルです。使用す
る NIS マップは、passwd.adjunct または passwd.byname です。
シャドウ ソースが使用できる場合には、これが使用されます。シャドウ ソースには、パスワ
ード データベースの代わりに暗号化ユーザ情報が含まれます。
PC-NFS バージョン 1 およびバージョン 2 のユーザを認証するために、pcnfsd デーモンがロ
ーカル ファイルまたは NIS マップを使用する方法を次に示します。
シャドウ ソースを使用できる場合、Data ONTAP では/etc/shadow ファイルまたは
passwd.adjunct NIS マップを使用してユーザのパスワードを照合します。
シャドウ ソースを使用できない場合は、Data ONTAP では/etc/passwd ファイルまたは
ユーザー名で指定したエントリを フラッシュする場合
次のコマンドを入力します。 nfs nsdb flush -U username1 [,username2,...]
ユーザー ID で指定したエントリを フラッシュする場合
次のコマンドを入力します。 nfs nsdb flush -u userID1[,userID2,...]
グループ名で指定したエントリを フラッシュする場合
次のコマンドを入力します。 nfs nsdb flush -G groupname1 [,groupnaem2,...]
グループ ID で指定したエントリを フラッシュする場合
次のコマンドを入力します。 nfs nsdb flush -g groupID1[,groupID2,...]
NFS を使用するファイル アクセス|53
passwd.byname NIS マップを使用して、UID、プライマリ GID(グループ ID)、およびパス
ワードを照合します。
pcnfsd デーモンは PC-NFS バージョン 2 の認証要求を受信すると、/etc/group ファイルまた
は
group.byname NIS マップを検索してユーザが属するすべてのグループを調べます。
pcnfsdデーモンの有効化と無効化
pcnfsd デーモンを有効または無効にするには、pcnfsd.enable オプションをそれぞれ on また
は off に設定します。
作業を始める前に
pcnfsd デーモンを有効にする前に、ストレージ システムで NFS を有効にする必要がありま
す。
タスク概要
PC-NFS ユーザがストレージ システムのファイルシステム パスをマウントするときに、スト
レージ システムが PC-NFS ユーザを認証できるように、pcnfsd デーモンを有効にします。他
のコンピュータを使用してユーザを認証する場合は、pcnfsd デーモンを有効にする必要はあ
りません。他のコンピュータで認証されたユーザは、ストレージ システムで認証されたユー
ザと同様に、ストレージ システムのファイルシステム パスにアクセスできます。
手順
1. 次のいずれかの操作を実行します。
目的 操作
pcnfsd デーモンを有効にする場合 次のコマンドを入力します。 options pcnfsd.enable on
pcnfsd デーモンを無効にする場合 次のコマンドを入力します。 options pcnfsd.enable off
ストレージシステムのローカルファイルでのPC-NFSユーザーエントリの作成
ストレージ システムのローカル ファイルに PC-NFS ユーザ エントリを作成するには、すべ
ての PC-NFS ユーザを適切に認証する UNIX ホストからストレージ システムに、/etc/passwd、/etc/shadow、および/etc/group ファイルをコピーします。
タスク概要
ローカル ファイルを使用して PC-NFS ユーザを認証し、グループ メンバーシップを判別する
場合は、ストレージ システムのローカル ファイルに PC-NFS ユーザ エントリを作成します。
手順
1. すべての PC-NFS ユーザーを適切に認証する UNIX ホストから、/etc/passwd、/etc/shadow、および
54 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
/etc/group ファイルをストレージ システムにコピーします。
umaskとNFSファイルパーミッションの連携方法
ファイルおよびディレクトリの umask を定義する前に、ファイルアクセス権の計算における umask の使用方法について理解しておく必要があります。
各ファイルのアクセス権は、3 個の 8 進数の値によって定義されます。これらの値は、所有者、グルー
プ、その他に適用されます。PC-NFS のクライアントが新しいファイルを作成する場合は、666 から
umask(ユーザが定義する 3 個の 8 進数の数字)が減算されます。
その結果の 8 進数は、ファイルのアクセス権として使用されます。
デフォルトでは、umask は 022 です。これは、アクセス権に関する有効な 8 進数の数字は
644 であることを意味しています。これらのアクセス権によってファイルの所有者はファイルの読み取
りと書き込みができ、グループおよびその他はファイルの読み取りができます。
次の表で、umask の各数字について説明します。
unmask の数字 説明
0 読み取り/書き込み権限
2 書き込み権限
4 読み取り専用権限
6 アクセス権限なし
PC-NFSユーザーが作成したファイルおよびディレクトリのumaskの定義
通常の NFS ユーザとは異なり、PC-NFS ユーザは、UNIX の umask コマンドを実行して、デ
フォルトのファイルのアクセス権を決めるファイル モード生成マスク(umask)を設定でき
ません。ただし、Data ONTAP の機能を利用してすべての PC-NFS ユーザに umask を定義す
ることができます。
手順
1. 次のコマンドを入力します。
options pcnfsd.umask umask
umask は 3 桁の 8 進数です。
WebNFS クライアントのサポート
WebNFS クライアントをサポートするには、WebNFS プロトコルを有効にして、WebNFS ル
ート ディレクトリを任意で設定します。
タスク概要
NFS を使用するファイル アクセス|55
WebNFS プロトコルを有効な場合、WebNFS クライアントのユーザーは nfs:// で始まる URL を指定して、ストレージ システムからファイルを転送することができます。
次のトピック
WebNFS プロトコルの有効化と無効化 WebNFS のルートディレクトリの設定
WebNFSプロトコルの有効化と無効化
WebNFS プロトコルを有効または無効にするためには、nfs.webnfs.enable オプションを それ
ぞれ on または off に設定します。
手順
1. 次のいずれかの操作を実行します。
Web NFS プロトコルへの操作 手順
有効にする場合 次のコマンドを入力します。 options nfs.webnfs.enable on
無効にする場合 次のコマンドを入力します。 options nfs.webnfs.enable off
WebNFSのルートディレクトリの設定
WebNFS のルート ディレクトリを設定するためには、ルート ディレクトリの名前を指定して
から、そのルート ディレクトリを有効にします。
タスク概要
WebNFS 検索のルート ディレクトリを設定する場合、WebNFS ユーザは絶対パス名でなく、
ルート ディレクトリに対する相対パス名のみを指定できます。たとえば、WebNFS のルート ディレクトリが/vol/vol1/web である場合は、URL として「nfs://specs」と指定することによ
り、WebNFS ユーザは/vol/vol1/web/specs ファイルにアクセスできます。
次のトピック
WebNFS のルートディレクトリの名前の指定 WebNFS のルートディレクトリの有効化
WebNFSのルートディレクトリの名前の指定
WebNFS のルート ディレクトリの名前を指定するには、nfs.webnfs.rootdir オプションを設定
します。
手順
1. 次のコマンドを入力します。
options nfs.webnfs.rootdir directory
56 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
directory には、ルートディレクトリへの完全パスを指定します。
WebNFSのルートディレクトリの有効化
WebNFS のルート ディレクトリを有効にするには、nfs.webnfs.rootdir.set オプションを on に設定します。 WebNFS のルート ディレクトリを有効にするには、まず名前を指定する必要
があります。
手順
1. 次のコマンドを入力します。
options nfs.webnfs.rootdir.set on
CIFS によるファイルアクセス| 57
CIFS を使用したファイルアクセス
ストレージシステム上のファイルに CIFS クライアントがアクセスできるように、CIFS サー
バを有効化または設定することができます。
次の項目
MMC とストレージシステムの接続 ストレージシステムでの CIFS の設定 ストレージシステムでの SMB の設定 共有の管理 アクセス制御リスト (Access Control List) ホームディレクトリの管理 ローカルユーザーとグループの管理 グループポリシーオブジェクトの適用 oplock でのクライアントパフォーマンスの向上 認証とネットワーク サービスの管理 CIFS アクティビティの監視 CIFS サービスの管理 アクセス制御問題のトラブルシューティング Fpolicy の使用
MMC とストレージシステムの接続
特定の CIFS 管理タスクは MMC によって実行できます。 このタスクを実行する前に、MMC をストレージシステムに接続する必要があります。MMC メニューコマンドを使って、MMC をストレージシステムに接続することができます。
手順
1. MMC を Windows サーバ上に起動するには、Windows Explorerのマイコンピュータのアイコン
を 右クリックし、Manage(管理) を選択します。
2. 左側のパネルの Computer Management(コンピュータの管理) を選択します。
3. Action(操作) > Connect to another computer(別のコンピュータへ接続) を選択します。
Select Computer(コンピュータの選択) ダイアログボックス が現れます。
4. ストレージシステムの名前を入力するか、[Browse(参照)] をクリックしてストレージのシステムを
検索します。
5. [OK] をクリックします。
ストレージシステムでの CIFS の設定
cifs setup コマンドを使用すると、ストレージシステムに CIFS を設定できます。ストレージ
58 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
システムの初期設定についての一般的な情報については、Data ONTAP Software Setup Guideを参照してください。
次の項目
サポート対象の Windows クライアントおよびドメインコントローラ cifs setup コマンドの機能 システムの初期設定 WINS サーバの指定 ストレージシステムドメインの変更 プロトコルモードの変更 Windows ユーザーアカウント名の指定 CIFS 再設定時の検討事項 ストレージシステム上の CIFS の再設定
サポート対象のWindowsクライアントおよびドメインコントローラ
Data ONTAP を実行するストレージシステムでは、特定の Windows クライアントとドメイン
コントローラの特定の組み合わせに対してサービスを提供できます。
サポート対象の Windows クライアント:
• Windows 7
• Windows サーバ 2008 R2
• Windows サーバ 2008
• Windows Vista
• Windows サーバ 2003 R2
• Windows サーバ 2003
• Windows XP
• Windows 2000
• Windows NT
• Windows 98
• Windows 95
サポート対象のドメインコントローラ:
• Windows サーバ 2008 R2
• Windows Server 2008
• Windows Server 2003 R2
• Windows Server 2003
• Windows 2000
CIFS によるファイルアクセス| 59
• Windows NT
詳細については、NOW サイト(now.netapp.com/)にある Windows File Services (CIFS)の互
換性マトリクスを参照してください。
このマトリクスには、次の内容に関する情報が記載されています。
• Data ONTAP と Microsoft オペレーティングシステムの最新のリリースとの互換接続性
• Data ONTAP と Microsoft Service Packs の互換性マトリクス
• Data ONTAP と Microsoft のセキュリティ アップデート
cifs setupコマンドの機能
CIFS の初期設定以外に、cifs setup コマンドは次の複数のタスクを実行します。
cifs setup コマンドで、 次のタスクを実行することができます。
• CIFS クライアントからアクセスできる CIFS のサーバの作成および名前設定
• ドメインまたはワークグループへの CIFS サーバの参加、またはドメインやワークグルー
プ間での移動
• ローカル CIFS ユーザーおよびグループのデフォルトセットの作成
メモ:グループ検索サービスに NIS を使用する場合、NIS グループ キャッシュを無効にす
ると、パフォーマンスが極度に悪化する場合があります。nis.enable オプションを使用して
NIS 検索を有効にする場合は、nis.group_update.enable オプションを使用してキャッシン
グも有効にすることを強く推奨します。
これらの 2 つのオプションを同時に有効にしないと、CIFS クライアントが認証を試行する
ときに、タイムアウトになることがあります。
NIS の設定の詳細については、Data ONTAP 7-Mode Network Management Guide を参照し
てください。
システムの初期設定
有効な CIFS のライセンスが存在する場合、ストレージシステムの初期セットアップ中に cifs setup コマンドが自動的に呼び出されます。cifs setup コマンドにより、認証の種類、使用す
る検索サービスなどの情報の入力が求められます。
cifs setup を実行する際に必要な情報など CIFS の初期設定における cifs setup コマンドの使
用の詳細については、Data ONTAP Software Setup Guide をご参照ください。
WINSサーバの指定
WINS サーバを指定するには無停止型の cifs.wins_servers オプションを使用するか、または
CIFS サービスの停止を要求する cifs setup コマンドを使います。
このタスクについて
60 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
WINS サーバリストは追加式ではありません。3 番目の WINS サーバを追加する際は、必ず 3つの IP アドレスをすべてカンマ区切りのリストで入力してください。そうしないと、最初の
2 つの WINS サーバは追加するサーバで置き換えだれてしまいます。
手順
1. 次の動作のどれかを実行します。
目的 操作
cifs.wins_servers オプションを使用して WINS サーバを指定する場合
次のコマンドを入力します。 options cifs.wins_servers servers server は、WINS サーバのカンマ区切りのリストです。
cifs.wins_servers オプションの更に詳しい情報は
options(1)のマニュアルページをご参照ください。
cifs setup コマンドを使用して WINS サーバを
指定する場合 次のコマンドを入力します。 cifs setup IPv4 WINS サーバの入力を求められたら、4 つまで指
定します。 cifs setup コマンドの詳細については cifs(1) マニュア
ルページを参照してください。
ストレージシステムドメインの変更
ストレージシステムをすでに Windows ドメイン認証用に設定しており、ストレージシステム
を別のドメインに移動する場合は、cifs setup コマンドを実行する必要があります。
始める前に
この手順を実行するには、ドメインに任意の Windows サーバを追加する権限を持つ管理アカ
ウントが必要です。
このタスクについて
ストレージシステムのドメインを変更すると、BUILTIN\Administrators グループのメンバーシ
ップが更新され、新しいドメインが有効になります。この変更によって、新しいドメインが古
いドメインから信頼されていないドメインであった場合でも、新しいドメインの管理者グルー
プがストレージシステムを管理できるようになります。
メモ: CIFS サーバを新しいドメインまたはワークグループに実際に追加するまでは、Ctrl+Cを押して、cifs restart コマンドを入力することにより、CIFS 設定プロセスをキャンセルし、
以前の設定に戻すことができます。
手順
1. CIFS が現在実行中の場合は、次のコマンドを入力します。
cifs terminate
2. cifs setup コマンドを実行します。
CIFS によるファイルアクセス| 61
cifs setup
次のプロンプトが表示されます。
Do you want to delete the existing filer account information? [no]
3. 既存のアカウント情報を削除するには、次のコマンドを入力します。
yes
メモ: DNS サーバのエントリ プロンプトを表示するためには、既存のアカウント情報
を削除する必要があります。
アカウント情報を削除すると、ストレージシステムの名前を変更することができます。
The default name of this filer will be 'filer1'.
Do you want to modify this name? [no]:
4. ストレージシステム名を維持する場合は、 [Enter]キーを押します。現在のストレージシス
テム名を変更する場合は、yes を入力して、新しいストレージシステム名を入力します。
Data ONTAP displays a list of authentication methods:
Data ONTAP CIFS services support four styles of user authentication. Choose the one from the list below that best suits your situation.
Active Directory domain authentication (Active Directory domains only)
Windows NT 4 domain authentication (Windows NT or Active Directory domains)
Windows Workgroup authentication using the filer's local user accounts
/etc/passwd and/or NIS/LDAP authentication
Selection (1-4)? [1]:
5. ドメイン認証のデフォルト方式(Active Directory)を受け入れる場合は、[Enter]キーを押
します。それ以外の場合は、新しい認証方式を選択します。
6. cifs setup プロンプトの残りの要求に応答します。デフォルト値を受け入れるには [Enter] キーを押します。終了すると、cifs setup アップユーティリティは CIFS を起動します。
7. 変更を確認するには、次のコマンドを入力します。
cifs domaininfo
ストレージシステムのドメイン情報が表示されます。
プロトコルモードの変更
有効な CIFS ライセンスと NFS ライセンスを保持している場合は、プロトコル設定を unix (デフォルト)から ntfs または mixed (マルチプロトコル) モードに変更できます。
このタスクについて
NFS、CIFS、または両方のクライアントからストレージ システム上のファイルにアクセスで
62 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
きるかどうかは、プロトコル モードによって決まります。
プロトコル モードを設定するには、cifs setup ユーティリティを実行するか、または
wafl.default_security_style オプションを設定します。
cifs setup を使用してマルチプロトコル モードに変更する場合、NFS クライアントではファ
イルの利用がすぐには可能になりません。cifs setup を使用してマルチプロトコル モードに変
更したあと、ファイルを NFS クライアントで利用できるようにするには、ルート ボリューム
の qtree セキュリティ形式を unix に変更し、chmod コマンドを使用して必要な UNIX クライ
アント アクセスを許可する必要もあります。
メモ: Data ONTAP がユーザの UNIX ユーザ ID と CIFS クレデンシャルを正常にマッピン
グし、ユーザがファイルにアクセスできることを(CIFS クレデンシャルによって)確認し
た場合、NFS クライアントは Windows ACL を使用してファイルにアクセスすることもでき
ます。たとえば、Data ONTAP が UNIX root ユーザと BUILTIN\Administrators グループ内の
ユーザを正常にマッピングした場合、UNIX root ユーザはセキュリティ形式に関係なく、
Windows ユーザがアクセスできるファイルと同じファイルにアクセスできます。
手順
1. 次のいずれかを実行します。
目的 操作
CIFS setupユーティリティを
使用してプロトコルモードを
変更する場合
次のコマンドを入力します。 cifs terminate cifs setup プロンプトに従って、プロトコルモードを変更します。
wafl.default_security_style オプションを
設定してプロトコルモードを変更する場合
次のコマンドを入力します。 options wafl.default_security_style {unix | NTFS | mixed}
次の項目
NTFS 専用ストレージシステムをマルチプロトコルストレージシステムに変更することによる影響 マルチプロトコルストレージシステムを NTFS 専用ストレージシステムに変更する影響
NTFS専用ストレージシステムをマルチプロトコルストレージシステムに変更することによる影響
NTFS ストレージシステム をマルチプロトコルストレージシステム に変更すると次のよ
うな影響が出ます。
• ボリュームを作成すると、そのデフォルトのセキュリティは、UNIX です。
• wafl.default_security_style オプションが UNIX に設定されます。
既存の ACL、現在のすべてのボリュームと qtree のセキュリティ形式は変更されません。
CIFS によるファイルアクセス| 63
メモ:ストレージ システムをマルチプロトコルに変更したあとも、ルート ボリュームのセ
キュリティ形式は ntfs のままなので、UNIX からルートとしてルート ボリュームにアクセス
しようとすると、拒否される場合があります。ただし、ルート ボリュームの ACL によって、
ルートにマッピングされる Windows ユーザにフル コントロールが許可される場合は、アク
セスができます。cifs.nfs_root_ignore_acl オプションを on に設定して、アクセスすること
もできます。
マルチプロトコルストレージシステムをNTFS専用ストレージシステムに変更する影響
マルチプロトコルストレージシステムから NTFS ストレージシステムへ変更すると様々な
影響があります。
• ストレージ システムのルート ディレクトリ( /etc)と、 /etc ディレクトリのファ
イルに既存の ACL がある場合、ACL は影響を受けません。ACL が存在しない場
合は、BUILTIN\Administrators グループがフル コントロールを持つように ACL が作成されます。 /etc/http ディレクトリ内のものはすべて「Everyone Read」に
割り当てられます。
• その他のファイルおよびディレクトリの ACL は影響を受けません。
• 読み取り専用ボリュームを除き、すべてのボリュームのセキュリティ形式が、ntfs に変更
されます。
• /etc ディレクトリが qtree の場合、 そのセキュリティ形式は ntfs に変更されます。
• 他のすべての qtrees のセキュリティ形式は影響をうけません。
• ボリュームまたは qtree を作成する場合、 そのデフォルトのセキュリティは ntfs です。
• wafl.default_security_style オプションは ntfs に設定されています。
Windowsユーザーアカウント名の指定
一部の Data ONTAP コマンドおよび構成ファイルでは、Windows ユーザーアカウント名を指
定できます。
このタスクについて
Windows ユーザアカウント名は次の場所で指定できます。
• Windows ユーザーに関する情報を表示する場合、cifs session コマンドの引数として
• Windows 名を UNIX 名にマッピングする場合は、/etc/usermap.cfg ファイル内
• Windows ユーザーのクォータを設定する場合、/etc/quotas ファイル内
構成ファイル内で円記号(\)を使用して UNIX ユーザ名を指定すると、Data ONTAP では
Windows ユーザ アカウント名として扱われます。たとえば、/etc/quotas ファイルで指定した
corp\john のような UNIX 名は、Windows ユーザ アカウント名として解釈されます。
メモ:user@domain 形式を使用して Windows ユーザーアカウント名を指定できるコマンド
64 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
は、cifs setup コマンドだけです。 また、構成ファイルによっては、そのファイル固有の
Windows ユーザーアカウント名を指定するときに規則が適用される場合があります。これ
らの規則の詳細については、それぞれの構成ファイルに関連するセクションを参照してくだ
さい。
手順
1. 次の動作のどれかを実行します。
目的 操作
Windows 2000 より前の形式
で Windows 名を指定する場
合
ドメイン名に円記号およびユーザ名を追加します。
(corp\john_smith など)
Windows 2000 のユーザ名
を Windows 2000より前の
形式で指定する場合
ドメイン名の NETBIOS 形式を使用し、ユーザー名が 20文字以下になる
ようにします。たとえば [email protected]_company.com が Windows 2000 ユーザの場合、Data ONTAP コマンドおよび構成ファイ
ル内では、このユーザを engineering\john_smith として参照できます。
ローカルユーザーアカウント
を指定する場合 Windows 2000 より前の形式で、ドメイン名の代わりにストレージシステ
ム名を入力します。(filer1\john_smith など)
CIFS再設定時の検討事項
ストレージシステム上の CIFS 再構成前に、前提条件およびその他の重要な情報について知る
必要があります。
CIFS を再設定する前に、ご使用の設定に適した準備作業をすべて完了しておいてください。
• ストレージ システムを再設定するときに、ストレージ システムのドメインを Windows NT ドメインから別のドメインに変更する場合は、ストレージ システムをインストールす
るドメインのプライマリ ドメイン コントローラとストレージ システム間の通信が可能に
なっている必要があります。
ストレージ システムのインストールにはバックアップ ドメイン コントローラを使用でき
ません。
• ストレージ システムの名前を変更する場合、ドメイン コントローラ上に新しいコンピュ
ータ アカウントを作成します(Windows 2000 よりあとの Windows バージョンの場合の
み必要)。
• 同じドメインのストレージシステムおよびドメインコントローラは、同じタイムソースと
同期している必要があります。ストレージシステムの時間とドメインコントローラの時間
が同期していない場合は、次のエラーメッセージが表示されます。
Clock skew too great
時刻同期サービスの設定方法の詳しい手順については、 Data ONTAP System Administration Guide をご参照ください。
Cifs setup コマンドを使用して、CIFS 再構成する場合、UNIX ベースの KDC が、NFS に設
CIFS によるファイルアクセス| 65
定されているとき、Data ONTAP は、UNIX 文字列を含むように UNIX keytab ファイルの名前
を変更します。UNIX ベースの KDC の keytab ファイルの名前を変更するには、CIFS 構成中
に Data ONTAP が次のメッセージプロンプトを表示したら、yes を入力します。
*** Setup has detected that this filer is configured to support
Kerberos *** authentication with NFS clients using a non-Active
Directory KDC. If *** you choose option 1 below, to allow NFS to
use the non-Active *** Directory KDC, your existing keytab file
'/etc/krb5.keytab' will be *** renamed to '/etc/UNIX_krb5.keytab'.
NFS will be using the new keytab *** file '/etc/UNIX_krb5.keytab'.
Do you want to continue. (Yes/No)?
yes を入力すると、Data ONTAP は UNIX ベースの KDC の keytab ファイルの名前を変更し
ます。no を入力するか、または[Enter] を押すと、Data ONTAP は CIFS 再構成プロセスを中
止します。この名前変更は Kerberos Multirealm 構成に必要です。
ストレージシステム上のCIFSの再設定
初期設定後にCIFSを再設定するには、cifs setupユーティリティを再実行します。
このタスクについて
CIFSセットアップを実行して変更できるCIFS構成設定は次の通りです。
• WINS サーバのアドレス
• ストレージシステム がマルチプロトコルであるか、または NTFS 専用であるか
• ストレージシステム が Windows ドメイン認証、Windows ワークグループ認証、または
UNIX パスワード認証のどの認証方法を使用するか
• ストレージシステムが属しているドメインまたはワークグループ
• ストレージシステム名
メモ: 進行中の cifs setup ユーティリティを終了する必要がある場合は、 [Ctrl-C] を押しま
す。次に、cifs restart コマンドを入力し、古い構成情報を使用して CIFS を再起動してくだ
さい。
手順
1. 次のコマンドを入力します。
cifs terminate
ストレージシステムへの CIFS のサービスが停止します。
2. 次のコマンドを入力します。
cifs setup
cifs setup プログラムが実行され、CIFS の再構成を求める一連のメッセージが表示されま
す。
66 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ストレージシステムでの SMB の設定
CIFS プロトコルに付け加えて、Data ONTAP は Server Message Block (SMB) 1.0 プロトコ
ルと SMB 2.0 に対応しています。
次の項目
SMB 1.0 プロトコルのサポート
SMB 2.0 プロトコルのサポート
SMB 2.0 プロトコルを有効化する場合
SMB 2.0 プロトコルの有効化と無効化
SMB 2.0 永続ハンドルの有効化と無効化
SMB 2.0 永続ハンドルのタイムアウト値の指定
SMB 署名
ストレージシステムの SMB2.0 プロトコルのクライアント機能の有効化と無効化
SMB 1.0 プロトコルのサポート
Data ONTAP はセキュリティ、ファイル、およびディスク管理機能を使用して CIFS を拡張す
る SMB 1.0 プロトコルに対応しています。
SMB プロトコルの仕様によると、SMB1.0 プロトコルには、次の機能が含まれています。
• Kerberos 認証などの新しい認証方式
• メッセージの署名
• 旧バージョンのファイルの列挙とアクセス
• サーバのデータをすべて読み込み/書き込みの必要がないクライアントによるサーバのフ
ァイル管理
• SMB 通信のためにダイレクト TCP (NetBIOS over TCP/UDP の代わりに), NetBIOS over Internetwork Packet Exchange (IPX), NetBIOS Extended User Interface (NetBEUI)を使用
した SMB 接続
• サーバーによって公開されるファイルシステム操作を要求する FSCTL(File System Controls)のクライアント使用対応
• 既存のコマンドに応答する拡張情報取得のサポート
更に詳しい情報は、「SMB 1.0 プロトコルの仕様」をご参照ください。
SMB 2.0 プロトコルのサポート
従来の SMB プロトコルに付け加えて、Data ONTAP は SMB 2.0 プロトコルに対応していま
CIFS によるファイルアクセス| 67
す。 これは従来のプロトコルにいくつかの拡張機能を提供します。
SMB2.0 プロトコルは従来の SMB の大幅改訂版であり、完全に別のパケットフォーマットを
使用しています。 しかし、クライアントは、従来の SMB プロトコルの使用を交渉する SMB 2.0 プロトコルを使用できるので、 SMB 2.0 プロトコルは従来の SMB 対応のサーバとクライ
アントとの互換性を維持します。
SMB2.0 プロトコルの仕様によると、SMB2.0 プロトコルには、次の機能が含まれています。
• クライアント接続がいったん中断した後に、中断前に開いていたファイルを再確立する」
ことができます。
開いているとは「[a] 特定のユーザーのセキュリティコンテキストを使用して、現在確立さ
れている特定のクライアントから特定のサーバへアクセスに対応するファイルまたは名前
付きパイプランタイムオブジェクト」のことです。クライアントとサーバの両方はアクテ
ィブなアクセスを表わす開いた状態を維持します。
• これは「サーバがいつでも、同時に実行できる未処理の操作数を調節する」ことができる
ようにします。
• これは「共有、ユーザー数、同時に開いているファイルのスケーラビリティを提供します。
特に Data ONTAP は次の SMB 2.0 機能に対応しています。
• 非同期メッセージ
Data ONTAP は非同期メッセージを使って次の要求を含む潜在的に無期限量の完全な応答
をブロックする可能性のある要求に対して SMB 2.0をクライアントに暫定的な応答を送
信します。
• CHANGE_NOTIFY 要求
• oplock の失効によってブロックされた CREATE 要求
• 既にロックされているバイトの範囲への LOCK 要求
• 永続性ハンドル
Data ONTAP は永続性ハンドルを使います。これはネットワークの短い停止発生による、
データの損失を防ぐために、SMB セッションを保持するファイルハンドルです。クライ
アントはファイルを開くときに、永続性ハンドルが必要かどうかを指定します。必要な場
合は、Data ONTAP は永続性ハンドルを作成します。その後、SMB 2.0 接続がダウンした
場合、Data ONTAP は、別の SMB2.0 接続上の同じユーザーによる回収に永続性ハンドル
が利用できるようにします。Data ONTAP の永続性ハンドル対応は有効化/無効化するこ
とができます。ONTAP にネットワーク障害が発生した後、永続性ハンドルを保持する時
間の長さも指定することができます。
• SHA-256 署名
Data ONTAP は SHA-256 ハッシュ機能を使って SMB 2.0 メッセージの署名のための MAC(Message Authentication Codes)を生成します。SMB 2.0 署名を有効化すると、 Data ONTAP は 有効な署名がある SMB 2.0 メッセージのみを受け入れます。
• クレジット付与のためのアルゴリズム
68 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
SMB 2.0 プロトコルの仕様によれば、クレジットは「クライアントがサーバに送信するこ
とができる未解決の要求の数を制限する」と共に、「クライアントは、ストレージシステ
ムへの複数の同時要求を送信する」ことができます。
• 配合要求
SMB 2.0 プロトコルの仕様によれば、配合要求は「複数の SMB2.0 プロトコル要求を基本
的なトランスポートに提出するための個別の送信要求に結合したもの」です。
さらに、Windows サーバは SMB2.0 プロトコルのクライアント機能を有効化/無効化するこ
とができます。それはストレージシステムが Windows サーバ通信するために、従来の SMBプロトコル SMB プロトコルのどちらを使うかを決定します。
メモ:Data ONTAP SMB2.0 プロトコルはオプション機能で、シンボリック リンクを
サポートしていません。
更に詳しい情報は、「SMB 2.0 プロトコルの仕様」をご参照ください。
次の項目
コンテキスト作成のサポート
ファイルシステム制御のサポート
コンテキスト作成のサポート
Data ONTAP は SMB2.0 プロトコル仕様で定義されたコンテキスト作成のサブセットに対応
しています。Data ONTAP は次のコンテキスト作成に対応しています。
• SMB2_CREATE_EA_BUFFER
• SMB2_CREATE_SD_BUFFER
• SMB2_CREATE_QUERY_MAXIMAL_ACCESS
• SMB2_CREATE_TIMEWARP_TOKEN
• SMB2_CREATE_DURABLE_HANDLE_REQUEST
• SMB2_CREATE_DURABLE_HANDLE_RECONNECT
• SMB2_CREATE_ALLOCATION_SIZE
Data ONTAP は次のコンテキスト作成には対応していません。
• SMB2_CREATE_QUERY_ON_DISK_ID
ファイルシステム制御のサポート
Data ONTAP は SMB 2.0 プロトコル仕様で定義された FSCTL(File System Controls)のサ
ブセットに対応しています。
Data ONTAP は次のファイルシステム制御に対応しています。
• FSCTL_PIPE_TRANSCEIVE
CIFS によるファイルアクセス| 69
• FSCTL_PIPE_PEEK
• FSCTL_GET_DFS_REFERRALS
• FSCTL_SRV_ENUMERATE_SNAPSHOTS
Data ONTAP は次のような実例のないファイルシステム制御には対応していません。
• FSCTL_SRV_REQUEST_RESUME_KEY
• FSCTL_SRV_COPYCHUNK
SMB 2.0 プロトコルを有効化する場合
ファイル転送やプロセス間通信のシナリオの中には、従来の SMB プロトコルよりも SMB 2.0 が優れている場合があります。
SMB2.0 プロトコルの仕様によれば、このようなシナリオは次のような必要条件があることが
あります。
• より多くのスケーラビリティが必要な同時にファイル、共有の数、およびユーザセッショ
ンを開く場合
• サーバにとって要求数が大きいとみなされる場合のサービスの品質保証
• HMAC - SHA256 ハッシュアルゴリズムによるより強力なデータ整合性の保護
• 不均質特性のあるネットワーク上でのより良いスループット
• ネットワーク接続の断続的な損失の処理を改善
更に詳しい情報は、「SMB2.0 プロトコルの仕様」をご参照ください。
SMB 2.0 プロトコルの有効化と無効化
cifs.smb2.enable オプションを使って SMB 2.0 プロトコルの有効化/無効化ができます。 デフォルトではこのオプションは off に設定されています。
このタスクについて
SMB 2.0 プロトコルはストレージシステムで無効になっている場合、SMB 2.0 クライアント
とストレージシステム間のコミュニケーションは従来の SMB プロトコルに戻ります(SMB 2.0 クライアントの交渉要求に従来の SMB ダイアレクトを含むことが前提条件)。
手順
1. 次の動作の 1つを実行します。
目的 操作
SMB 2.0 プロトコルを有効化する場合 次のコマンドを入力します。 options cifs.smb2.enable on
SMB 2.0 プロトコルを無効化する場合 次のコマンドを入力します。 options cifs.smb2.enable off
70 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
SMB 2.0 永続ハンドルの有効化と無効化
cifs.smb2.durable_handle.enable オプションで SMB 2.0 永続ハンドルを有効化、または無効
化することができます。デフォルトではこのオプションは on に設定されています。
手順
1. 次の動作の 1つを実行します。
目的 操作
SMB 2.0 プロトコルを有効にする場合 次のコマンドを入力します。 options cifs.smb2.enable on
SMB 2.0 プロトコルを無効にする場合 次のコマンドを入力します。 options cifs.smb2.enable off
SMB 2.0 永続ハンドルのタイムアウト値の指定
cifs.smb2.durable_handle.timeout オプションを使って SMB 2.0 永続ハンドルのタイムアウト
値を指定することができます。 デフォルトではこのオプションは 960 秒(16 分)です。
手順
1. 次のコマンドを入力します。
options cifs.smb2.durable_handle.timeout value
value は 5 秒~4294967295 秒の 秒単位のタイムアウトです。
SMB 署名
Data ONTAP はクライアントから要求時に Server Message Block (SMB) 署名をサポートし
ます。(SMB 1.0 プロトコルと SMB 2.0 プロトコル経由で)。SMB 署名はリプレイアタッ
ク(別名「中間攻撃」の防御により、ストレージシステムとクライアント間のネットワークト
ラフィックが危険にさらされることのないようにします。
Microsoft Network クライアント:デジタル署名通信(サーバが同意した場合):この設定は
クライアントの SMB 署名機能を有効にするかどうかを制御します。この設定がクライアント
上で無効な場合は、ストレージ システム上の SMB 設定にかかわらず、クライアントは通常
SMB 署名以外でストレージ システムと通信します。
次の項目
クライアントの SMB 署名ポリシーがストレージシステムとの通信に及ぼす影響 SMB 署名のパフォーマンスへの影響 クライアントへの SMB1.0 メッセージ署名要求の強制 クライアントへの SMB2.0 メッセージ署名要求の強制
クライアントのSMB署名ポリシーがストレージシステムとの通信に及ぼす影響
クライアントとストレージ システム間の通信のデジタル署名を制御する、Windows クライア
CIFS によるファイルアクセス| 71
ント上の SMB 署名ポリシーには、「通常」と「サーバが同意した場合」の 2 つがあります。
クライアント SMB ポリシーは、Microsoft Management Console(MMC)を使用した
Security Settings で制御されます。クライアントの SMB 署名とセキュリティ問題の詳細につ
いては、Microsoft Windows のマニュアルを参照してください。
ここでは、2 つの SMB 署名ポリシーについて説明します。
次はクライアントの 2つの SMB 署名ポリシーについての説明です。
• Microsoft Network クライアント:デジタル署名通信(サーバが同意した場合):この設定
はクライアントの SMB 署名機能を有効にするかどうかを制御します。デフォルトでは有
効です。この設定がクライアント上で無効な場合は、ストレージ システム上の SMB 設定
にかかわらず、クライアントは通常 SMB 署名以外でストレージ システムと通信します。
クライアント上でこの設定が有効な場合:
• SMB 署名がストレージシステム上で有効な場合、クライアントとストレージシステム
間のすべての通信 は SMB 署名を使用します。
• SMB 署名がストレージシステム上で無効でない場合は、通信は通常 SMB 署名以外で
行われます。
• Microsoft Network クライアント:デジタル署名通信(通常):この設定では、クライアン
トがサーバとの通信に SMB 署名を必要とするかどうかを制御します。デフォルトでは無
効です。この設定がクライアント上で無効である場合、SMB 署名の動作は、「デジタル
署名通信(サーバが同意した場合)」のポリシー設定とストレージ システム上の設定に依
存します。この設定がクライアント上で有効な場合は、次のようになります。
• SMB 署名が ストレージシステム上で有効な場合、クライアントとストレージシステ
ム間のすべての通信 は SMB 署名を使用します。
• SMB 署名が ストレージシステム上で有効でない場合、 クライアントはストレージシ
ステムとの通信を拒否します。
メモ: ご使用中の環境に SMB 署名を要求するように設定された Windows クライアン
トが含まれる場合、ストレージシステム上の SMB 署名を有効にする必要があります。
有効にしないと、ストレージシステムはこのようなシステムにデータを提供できません。
SMB署名のパフォーマンスへの影響
SMB 署名が有効な場合、Windows クライアントとのすべての CIFS 通信によってパフォーマ
ンスに重大な影響が生じます。これは、クライアントとサーバ(つまり Data ONTAP を実行
中のストレージ システム)両方に影響があります。
パフォーマンスの低下は、CPU 使用率の増加としてクライアントとサーバの両方に表示され
ますが、ネットワークのトラフィック量は変わりません。
ネットワークとストレージ システムの実装によって、SMB 署名のパフォーマンスへの影響は
大きく異なるため、影響の検証はご使用のネットワーク環境でのテストによってのみ可能です。
72 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
多くの Windows クライアントは、サーバ上で SMB 署名が有効な場合は、SMB 署名をデフォ
ルトでネゴシエートします。ご使用の Windows クライアントのいくつかに SMB 保護が必要
で、SMB 署名がパフォーマンスの問題を引き起こしている場合は、リプレイ アタックからの
保護を必要としない Windows クライアントに対して SMB 署名を無効にすることができます。
Windows クライアントでの SMB 署名の無効化については、Microsoft Windows のマニュアル
を参照してください。
クライアントへのSMB1.0メッセージ署名要求の強制
cifs.signing.enable オプションを有効化すれば、クライアントが SMB 1.0 メッセージに署名す
るように強制することができます。デフォルトではこのオプションは off です。
手順
1. 次の動作の 1つを実行します。
目的 操作
SMB 署名を有効にする場合 次のコマンドを入力します。 options cifs.smb.signing.enable on
SMB 署名を無効にする場合 次のコマンドを入力します。 options cifs.smb2.signing.enable off
クライアントへのSMB2.0メッセージ署名要求の強制
cifs.smb2.signing.required オプションを有効化すればクライアントが SMB 2.0 メッセージに
強制的に署名できます。デフォルトではこのオプションは off です。
Data ONTAP は、SMB の 2.0 メッセージの署名用の Message Authentication Codes(MAC)を
生成する SHA - 256 ハッシュ関数を使用します。cifs.smb2.signing.required オプションを設
定する場合は、Data ONTAP は、有効な署名がある場合にのみ SMB 2.0 のメッセージを受け
付けます。
手順
1. 次の動作の 1つを実行します。
クライアントが SMB2.0 メッセージの署名に署名す
る機能 操作
Data ONTAPによって強制する場合 次のコマンドを入力します。 options cifs.smb2.signing.required on
Data ONTAPによって強制しない場合 次のコマンドを入力します。 options cifs.smb2.signing.required off
ストレージシステムのSMB2.0プロトコルのクライアント機能の有効化と無効化
cifs.smb2.client.enable オプションを使って、ストレージシステムの SMB 2.0 プロトコルクラ
CIFS によるファイルアクセス| 73
イアント機能の有効化または無効化ができます。デフォルトではこのオプションは off です。
このタスクについて
cifs.smb2.client.enable オプションは on に設定されていても Windows サーバが SMB 2.0 プロトコルに対応していない場合、ストレージシステムは従来の SMB プロトコルを使って
Windows サーバと通信します。
cifs.smb2.client.enable オプションを off に設定すると、ストレージシステムは従来の SMB プロトコルを Windows サーバとの新規の通信セッションで使います。 しかし、ストレージシス
テムは既存のセッションでは引き続き SMB 2.0 プロトコルを使い続けます。
手順
1. 次の動作の 1つを実行します。
ストレージシステムの SMB 2.0 プロトコルクライアント機能
操作
有効にする場合 次のコマンドを入力します。 options cifs.smb2.client.enable on
無効にする場合 次のコマンドを入力します。 options cifs.smb2.client.enable off
共有の管理
管理者としてストレージシステム上のユーザーとディレクトリを共有することができます
(「shares」の作成)。
次の項目
共有の作成 共有のプロパティの表示と変更 共有の削除
共有の作成
Windows クライアントの MMC(Microsoft Management Console)または Data ONTAP コマ
ンドラインから、共有を作成することができます(フォルダ、qtree、ボリュームへのアクセ
スを CIFS ユーザが指定することです)。
始める前に
共有を作成するときには、次のすべての情報を提供する必要があります。
• 共有する既存のフォルダ、qtree、ボリュームの完全なパス名
• 共有に接続するときにユーザーが入力する共有の名前
• 共有のアクセス権
メモ:アクセス権の一覧から選択するか、またはユーザーかユーザーグループごとに固有
のアクセス権を入力できます。
74 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
共有を作成する場合、共有の説明を任意で指定できます。共有の説明はネットワーク上の共有
を参照する際に Comment (コメント) フィールドに表示されます。
Data ONTAP コマンドラインから共有を作成する場合は、次のようなプロパティを指定する
こともできます。
• 共有内にあるファイルのグループのメンバシップ
• 同じストレージシステム上にある任意のデスティネーションへの共有のシンボリック リン
クを、CIFS クライアントが参照できるかどうか
• 共有内でのワイドシンボリックリンクのサポート
• 共有の umask 値
• 共有は参照可能かどうか
• 共有ファイル開いたときのウイルススキャンを無効にすること
• Windows クライアントによる共有内のファイルキャッシュを無効にすること
• Windows クライアントによる共有内の文書やプログラムの自動キャッシュのサポート
• Windows の Access-Based Enumeration (ABE)を使用して共有リソースの表示を制御
すること
メモ:共有を作成した後、これらのプロパティは随時変更できます。
終了後は
共有を作成した後、共有のプロパティを指定できます。
• 同時に共有にアクセスできるユーザーの最大数
メモ:ユーザー数を指定しない場合は、追加のユーザーはストレージシステムにメモリがな
くなると、ユーザを追加できなくなります。
• 共有レベル ACL
次の項目
共有のネーミング規則 Windows クライアントの MMC を使用した CIFS 共有の作成
共有のネーミング規則
Data ONTAP では、共有のネーミング規則は Windows でのネーミング規則と同じです。
たとえば、$文字で終わる共有名は非表示の共有です。また、ADMIN $や IPC$などの特定の
共有名は予約されています。
共有名は大文字と小文字が区別されません。
CIFS によるファイルアクセス| 75
WindowsクライアントのMMCを使用したCIFS共有の作成
Windows クライアントの MMC を使用して CIFS 共有を作成するには、MMC とストレージシ
ステムを接続して、フォルダ共有ウィザードを実行します。
フォルダ共有ウィザードの実行
フォルダ共有ウィザードは、MMC を使用して実行できます。
手順
1. MMC をストレージシステムに接続します。
2. 既に選択されていない場合は、左側のペインで Computer Management (コンピュータの
管理) を選択します。
3. System Tools (システムツール)> Shared Folders (共有フォルダ)> Shares(共有) > Action (操作)を選択します。
Windows のバージョンによって次のメニュー項目の文言は多少異なる場合があります。
4. New Share(新しい共有) をダブルクリックします。
5. フォルダ共有ウィザードの指示に従います。
Data ONTAPコマンドラインを使用したCIFS共有の作成
Data ONTAP コマンドラインを使用して共有を作成するには、cifs shares - add コマンドを使
用します。
手順
1. CIFS 共有を作成するには次のコマンドを入力します。
cifs shares -add shareName path
shareName 新規 CIFS 共有名を指定します。
path の区切り文字には、スラッシュまたはバックスラッシュを使用できますが、Data ONTAP では、どちらもスラッシュとして表示します。
詳細については、na_cifs_shares(1) マニュアルページを参照してください。
例 Web でアクセス可能な共有(webpages 共有)を、最大ユーザ数が 100 の/vol/vol1/companyinfo ディレクトリに作成し、CIFS ユーザがこのディレクトリ内に作成したす
べてのファイルをすべてのユーザが所有するように設定するには、次のコマンドを入力しま
す。 cifs shares -add webpages /vol/vol1/companyinfo -comment "Product Information" -forcegroup webgroup1 -maxusers 100
76 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
forcegroupオプションについて
Data ONTAP コマンドラインから共有を作成する場合は、forcegroup オプションを使用して、
その共有内の CIFS ユーザーが作成するすべてのファイルが同じグループ(forcegroup)に属す
るように指定できます。このグループは、UNIX グループデータベース内で既に定義されてい
る必要があります。
指定した forcegroup が利用可能になるのは、共有が UNIX qtree または mixed qtree 内にある
場合に限られます。NTFS qtree 内の共有に含まれているファイルへのアクセスは、GID では
なく Windows アクセス権によって判別されるため、このような共有に forcegroup を使用する
必要はありません。
共有に forcegroup が指定されている場合は、共有には次のようになります。
• この共有にアクセスする forcegroup 内の CIFS ユーザーは、forcegroup の GID に一時的
に変更されます。
この GID を使用すると、forcegroup を含んだ共有内のファイルにアクセスできます。通常、
このファイルには、プライマリ GID または UID ではアクセスできません。
• CIFS ユーザが作成した共有内にあるすべてのファイルは、ファイル所有者のプライマリ
GID に関係なく、同じ forcegroup に属します。
CIFS ユーザーが NFS によって作成されたファイルにアクセスしようとするときは、各ユー
ザのプライマリ GID によって、アクセス権があるかどうかが判断されます。
forcegroup は NFS ユーザーがこの共有内のファイルにアクセスする方法には影響しません。
NFS ユーザが作成したファイルは、ファイル所有者から GID を取得します。アクセス権の決
定は、ファイルにアクセスしようとしている NFS ユーザーUID およびプライマリ GID に基づ
きます。
forcegroup を使用すると、さまざまはグループに属する CIFS ユーザーがそのファイルにアク
セスできるようになります。たとえば、会社の Web ページを保存する共有を作成し、
Engineering グループと Marketing グループのユーザに書き込みアクセス権を付与する必要が
ある場合、共有を作成して「webgroup1」という forcegroup に書き込みアクセス権を与えま
す。Forcegroup が含まれているので、CIFS ユーザーがこの共有内に作成したすべてのファイ
ルは web グループの GID が自動的に割り当てられます。その結果、すべてのユーザーは、こ
の共有に書き込めるようになりますが、Engineering グループと Marketing グループのアクセ
ス権を管理する必要はありません。
共有のプロパティの表示と変更
MMC または Data ONTAP コマンドラインを使用して、共有プロパティを表示したり、変更
したりできます。
このタスクについて
次の共有プロパティを変更できます。
• 共有の説明
CIFS によるファイルアクセス| 77
• 共有に同時にアクセスできるユーザの最大数
• 共有レベルのアクセス権
• Access-Based Enumeration (ABE)の有効化と無効化
次の項目
Windows クライアントの MMC を使用した共有プロパティの表示と変更
Data ONTAP コマンドラインを使用した共有プロパティの表示
Data ONTAP コマンドラインを使用した共有プロパティの変更
WindowsクライアントのMMCを使用した共有プロパティの表示と変更
Windows クライアントの MMC を使用して、共有のプロパティを表示したり、変更したりで
きます。
手順
1. MMC とストレージシステムを接続します。
2. 左側パネルで[Computer Management (コンピュータの管理)]が選択されていない場合は、選
択します。
3. [System Tools(システムツール) ] > [Shared Folders (共有フォルダ)] の順に選択します。
4. [Shares (共有)] をダブルクリックします。
5. 右側のパネルで共有を右クリックします。
6. [Properties (プロパティ)]を選択します。
選択した共有のプロパティが例に示されたように表示されます。
78 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
7. [Share Permissions (共有のアクセス許可)]タブを選択します。 共有の ACL が表示されます。
8. 追加のグループまたはユーザーを含むように共有のACLを変更するには、[Group or user names(グループ名またはユーザ名)]ボックスでユーザーまたはグループを選択します。
9. [Permissions for group or user name (groupまたはuser nameのアクセス許可)]ボックス
で、アクセス権を変更します。
Data ONTAPコマンドラインを使用した共有プロパティの表示
cifs shares コマンドを使えば、Data ONTAP コマンドラインから共有プロパティを表示する
ことができます。
手順
1. 次のコマンドを入力します。
cifs shares sharename
sharename は単一共有の名前です。sharename を指定しない場合、すべての共有のプロパテ
ィが表示されます。
Data ONTAP は共有名、共有されたディレクトリのパス名、共有の説明、共有レベルACLが表示さ
CIFS によるファイルアクセス| 79
れます。
Data ONTAPコマンドラインを使用した共有プロパティの変更
cifs shares コマンドを使えば、Data ONTAP コマンドラインから共有プロパティを変更
することができます。
手順
1. 次のコマンドを入力します。
cifs shares -change sharename {-browse | -nobrowse} {-comment desc | - nocomment} {-maxusers userlimit | -nomaxusers} {-forcegroup groupname | -noforcegroup} {-widelink | -nowidelink} {-symlink_strict_security | - nosymlink_strict_security} {-vscan | -novscan} {-vscanread | - novscanread} {-umask mask | -noumask {-no_caching | -manual_caching | - auto_document_caching | -auto_program_caching}
詳細は、na_cifs_shares(1) マニュアル ページをご参照ください。
メモ: sharename で疑問符とアスタリスク文字をワイルドカードに使用すると、複数
の共有のプロパティを同時に変更することができます。たとえば、クライアントが任意
の共有内で開いたすべてのファイルのウィルス スキャンを無効にするには、次のコマン
ドを入力します。
cifs shares -change * -novscan
-nocomment、-nomaxusers、-noforcegroup、および -noumask を指定すると、説明、
ユーザの最大数、forcegroup、および umask 値がそれぞれ削除されます。
次の項目
共有からのシンボリックリンクに対する境界チェックの有効化と無効化 共有からのワイドシンボリックリンクの有効化と無効化 共有内に新規作成されたファイルおよびディレクトリのアクセス権の指定 参照の有効化と無効化 ウイルススキャンの有効化と無効化 キャッシュの有効化と無効化 共有のクライアント側キャッシュのプロパティの設定 ABE について ABE の有効化と無効化 Windows クライアントからの ABE コマンドの実行
共有からのシンボリックリンクに対する境界チェックの有効化と無効化
同じストレージ システム上にある任意のリンク先に関連する、共有内のシンボリック リンク
を、CIFS クライアントが参照できるようにする場合は、共有からのシンボリック リンクに対
する境界チェックを無効にします。
デフォルトでは、ユーザが共有の外からファイルにアクセスするのを防ぐため、シンボリック リンクに対する境界チェックは有効になっています。
境界チェックが無効になっている場合、ストレージ システムはシンボリック リンクを含んで
いる共有の共有権限だけを確認します。
80 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
手順
1. 次の動作のどれかを実行します。
共有からのシンボリック リンクに対す
る境界チェックの設定 操作
無効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename - nosymlink_strict_security
有効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename - symlink_strict_security
共有からのワイドシンボリックリンクの有効化と無効化
共有またはストレージ システムの外部に対する絶対パスによるシンボリック リンクを、CIFS クライアントが参照できるようにするには、共有からのワイド シンボリック リンクを有効に
します。デフォルトでは、この機能は無効になっています。
手順
1. 次の動作のどれかを実行します。
目的 操作
共有からの ワイド シンボリック リンク を有効にする場合
Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -widelink
共有からの ワイド シンボリック リンク を無効にする場合
Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -nowidelink
メモ:共有を作成する場合に widelink オプションを指定して、共有からの ワイド シン
ボリック リンク を有効にすることもできます。
共有からの ワイド シンボリック リンク を有効にしたあとで、ストレージシステムがワイド
シンボリックリンクのリンク先を決定する方法を指定するために、/etc/symlink.translations ファイル内に Widelink エントリを作成する必要があります。
共有内に新規作成されたファイルおよびディレクトリのアクセス権の指定
共有内に新規作成された、mixed または UNIX qtree セキュリティ形式のファイルおよびディ
レクトリのアクセス権を指定するには、共有の umask オプションを設定します。
共有の umask オプションは 8 進数(8 進法)値として指定する必要があります。デフォルト
の umask 値は 0 です。
メモ:共有の umask オプションの値は NFS に影響を与えません。
CIFS によるファイルアクセス| 81
手順
1. 次の動作のどれかを実行します。
アクセス権を指定する対象 操作
新規作成されたファイルおよび
ディレクトリ Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -umask mask mask は、新規作成されたファイルおよびディレクトリのデフォルト
アクセス権を指定する8 進数の値です。共有を作成する場合は、代わり
に umask オプションを設定します。
新規作成されたファイル(共有
の umask オプションの値を無
視する場合)
Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -file_umask mask mask は、新規作成されたファイルのデフォルト アクセス権を指定する
8 進数の値であり、umask 共有オプションの値は無視されます。共
有を作成する場合は、代わりに file_mask オプションを設定します。
新規作成されたディレクトリ(共有の umask オプションの値を
無視する場合)
Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -dir_umask mask mask は、新規作成されたディレクトリのデフォルト アクセス権を指
定する8 進数の値であり、umask 共有オプションの値は無視されます。
共有を作成する場合は、代わりに dir_mask オプションを設定します。
例
共有内でファイルを作成した場合に、「group」権限および「other」権限への書き込みアクセスを無
効にするには、次のコマンドを入力します。
dir_umask 022
参照の有効化と無効化
参照を有効または無効にすると、特定の共有の表示をユーザに対して許可したり、禁止したり
できます。
参照可能にしたい各共有の -browse オプションを有効化する必要があります。
手順
1. 次の動作のどれかを実行します。
目的 操作
特定の共有に関する参照を有効にする場合
(cifs.enable_share_browsing オプションが
on の場合は、影響がない)
Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -browse
特定の共有に関する参照を無効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -nobrowse
すべての共有の参照を有効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 options cifs.enable_share_browsing on
82 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
すべての共有の参照を無効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 options cifs.enable_share_browsing off
更に詳しい情報は、「na_options(1) マニュアル ページ」をご参照ください。
ウイルススキャンの有効化と無効化
1 つ以上の共有のウイルススキャンを有効化/無効化して、セキュリティ/パフォーマンスを
向上させることができます。
デフォルトでは、Data ONTAP はクライアントで開かれたすべてのファイルのウイルスがス
キャンされます。
手順
1. 次の動作のいずれかを実行します。
目的 操作
クライアントで開かれたすべてのファイル
のウイルススキャンを有効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -vscan
クライアントで開かれたすべてのファイル
のウイルススキャンを無効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -novscan
クライアントで開かれた読み取り専用ファ
イルのウイルススキャンを有効にする場
合
Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -vscanread
クライアントで開かれた読み取り専用ファ
イルのウイルススキャンを無効にする場
合
Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -novscanread
メモ: -nvscan または -nvscanread オプションを指定すれば、共有のウイルススキャンを無
効にすることもできます。
CIFS 共有のウイルススキャンの指定についての更に詳しい情報は「Data ONTAP Data Protection Online Backup and Recovery Guide」をご参照ください。
キャッシュの有効化と無効化
キャッシュを有効または無効にすると、共有のファイルのキャッシュをクライアントに対して
許可したり、禁止したりできます。
キャッシュするファイルをクライアントで手動選択する必要があるかどうかを指定できます。
手動で選択する必要がない場合は、クライアント設定に従って、プログラム、ユーザファイル、
または両方を自動的にキャッシュするかどうかを指定できます。デフォルトでは、キャッシュ
CIFS によるファイルアクセス| 83
するファイルをクライアントで手動選択する必要があります。
手順
1. 次の動作のどれかを実行します。
目的 操作
キャッシュを無効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -nocaching
手動キャッシュを有効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -manual_caching
ドキュメントの自動キャッシュを有効にする場合
Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -auto_document_caching
プログラムの自動キャッシュを有効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -auto_program_caching
メモ: 共有を作成する場合、デフォルトのキャッシュオプション(-manual_caching)を
無視するには、-nocaching、-auto_document_caching、 -auto_program_caching オプショ
ンを指定します。
共有のクライアント側キャッシュのプロパティの設定
Windows 2000、XP, 2003 クライアントのコンピュータ管理アプリケーションを使用して、共
有のクライアント側キャッシュのプロパティを設定することができます。詳細については、
「Microsoft Windows online Help system」を参照してください。
ABEについて
Access-Based Enumeration(ABE)が CIFS 共有で有効になっていると、共有フォルダまた
はその下のファイルに(個人またはグループの権限制限により)アクセスする権限がないユー
ザの環境には、その共有リソースは表示されません。
標準的な共有のプロパティを使用すると、ユーザ(個人またはグループ)を指定して共有リソ
ースの表示や変更を許可することができます。ただし、この方法では、アクセス権のないユー
ザに対し共有フォルダやファイルが表示可能かどうかを制御することができません。この状態
だと、共有フォルダ名またはファイル名に、顧客名や開発中の製品などの重要な情報が記述さ
れている場合に問題になることがあります。
ABE を使用すると、共有プロパティを拡張して共有リソースの一覧を含めることができます。
したがって、ABE を使用することにより、ユーザのアクセス権に基づいて共有リソースの表
示をフィルタすることができます。職場の重要な情報を保護することに加え、ABE を使用す
ると大きなディレクトリ構造の表示を簡略化できるので、ディレクトリ全体にアクセスする必
要のないユーザにはメリットです。
84 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ABEの有効化と無効化
Access-Based Eenumeration(ABE)を有効または無効にすると、アクセス権を設定していな
い共有リソースの表示をユーザに対して許可したり、禁止したりできます。
デフォルトでは、ABE は無効です。
1. 次の動作のどれかを実行します。
目的 操作
ABE を有効化する場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -accessbasedenum
ABE を無効化する場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -noaccessbasedenum
メモ:共有作成時に- accessbasedenum オプションを指定して、ABE を有効化するこ
ともできます。
WindowsクライアントからのABEコマンドの実行
abecmd コマンドで共有の ABE を有効化または無効化して、Access-Based Eenumeration (ABE) コマンドを Windows クライアントから実行することができます。
Windows クライアントから ABE コマンドを実行する前に Data ONTAP の ABE を有効化する
必要があります。
手順
1. ABE に対応する Windows クライアントから、次のコマンドを入力します。
abecmd [/enable | /disable] [/server filername] {/all | ShareName}
abecmd コマンドについての詳細は、Windows クライアントのドキュメントを参照してく
ださい。
共有の削除
MMC または Data ONTAP コマンドラインで共有を削除することができます。
次の項目
MMC を使用した共有の削除 Data ONTAP コマンドラインを使用した共有の削除
MMCを使用した共有の削除
MMC を使用して共有を削除することができます。
手順
1. MMC をストレージシステムに接続します。
CIFS によるファイルアクセス| 85
2. 選択されていない場合は、左側パネルで[Computer Management (コンピュータの管理)] を選
択します。
3. [System Tools (システムツール)] > [Shared Folders (共有フォルダ)]の順に選択します。
4. [Shares (共有)] をダブルクリックします。
5. 右側のパネルで、共有を右クリックしてから、[Stop Sharing (共有の停止)]を選択します。
6. 確認ボックスで、[Yes(はい)] を選択します。
MMC によって共有が削除されます。
Data ONTAPコマンドラインを使用した共有の削除
Data ONTAP コマンドラインを使用して共有を削除するには、cifs shares コマンドを使用し
ます。
手順
1. 次のコマンドを入力します。
cifs shares -delete [-f] sharename
-f オプションを指定すると、確認メッセージは表示されず、共有上のすべてのファイルは強制的に
閉じられます。このオプションは、スクリプトを使用するときに役立ちます。
sharename は削除したい共有名を指定します
アクセス制御リスト (Access Control List)
MMC またはコマンドラインで共有レベル ACLを表示し、変更することができます。ファイ
ルレベル ACLはコマンドラインでのみ変更することができます。
次の項目
共有レベル ACL について 共有レベル ACLの表示と変更 ファイルレベルの ACL の表示と変更 共有レベルでの ACLを使用したグループ ID の機能の指定
共有レベルACLについて
CIFS ユーザーが共有にアクセスしようとすると、Data ONTAP は共有を含む qtree のセキュ
リティスタイルに関わらず、常に共有レベル ACL をチェックして、アクセスを許可するかど
うか決定します。
共有レベル ACL (Access Control List)は ACE(Access Control Entries)リストから構成さ
れています。各 ACE はユーザー/グループ名とアクセス許可のセットを含み、アクセス許可
のセットがユーザー/グループが共有にアクセスするかどうかを決定します。
共有レベル ACL は共有内のファイルへのアクセスのみを制限します。ファイルレベル ACL 以上のアクセスを許可することはありません。
86 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
共有レベルACLの表示と変更
共有レベル ACL を変更して、ユーザーの共有へのアクセス権をより多く/少なくすることが
できます。
このタスクについて
共有を作成後、デフォルトでは、共有レベル ACLは Everyone と名づけられた標準的グルー
プに読み取りアクセスを与えます。ACL への読み取りアクセスは、ドメイン内のすべてのユ
ーザーおよびすべての信頼される側のドメインは共有への読み取り専用アクセス権があること
を意味します。
Windows クライアントの MMC または Data ONTAP コマンドラインを使って、共有レベル
ACL を変更することができます。
MMC を使う場合は、次のガイドラインを覚えてください。
• 指定するユーザー名とグループ名は Windows 名にする必要があります
• Windows のアクセス許可のみを指定することができます。
• 共有レベル ACL は UNIX スタイルのアクセス許可である必要があります。
Data ONTAP コマンドラインを使う場合は、次のガイドラインを覚えてください。
• Windows アクセス許可または UNIX スタイルのアクセス許可を指定することができます。
• ユーザー名とグループ名は、Windows または UNIX 名を指定できます。
• ストレージシステムが、/etc/passwd ファイルによって認証されている場合、ACL のユー
ザー名またはグループ名は、UNIX の名前であると仮定されます 。ストレージシステムが、
ドメインコントローラによって認証されている場合、名前は最初に Windows の名前とみ
なされますが、名前がドメインコントローラ上に見つからないときは、ストレージシステ
ムは、UNIX 名データベースで名前を検索しようとします。
次の項目
Windows クライアントの MMC を使用した共有レベル ACL へのユーザまたはグループの追加 Windows クライアントの MMC を使用した共有レベル ACL の表示と変更 Windows クライアントの MMC を使用した共有レベル ACL からのユーザーまたはグループの削除 Data ONTAP コマンドラインを使用した共有レベルの ACL の変更 Data ONTAP コマンドラインを使用した共有レベル ACL からのユーザーまたはグループの削除 NFSv3 および NFSv4 クライアントに表示される Windows ACL 権限の基準(最小アクセス権また
は最大アクセス権)
Windows クライアントのMMCを使用した共有レベルACLへのユーザまたはグループの追加
Windows クライアントの MMC を使用して、ユーザーまたはグループを ACL に追加できます。
手順
CIFS によるファイルアクセス| 87
1. MMC とストレージシステムを接続します。
2. 既に選択されていない場合は左ペインの [Computer Management (コンピュータの管理)] を選択します。
3. [System Tools(システムツール)] > [Shared Folders (共有フォルダ)] を選択します。
4. [Shares (共有)] をダブルクリックします。
5. 右ペインの共有を右クリックします。
6. [Properties (プロパティ)] を選択します。
7. [Share Permissions (共有のアクセス許可)]タブを選択します。
共有の ACL が現れます。
8. [Add (追加)] をクリックします。
9. [Select Users, Computers, or Groups(ユーザ、コンピュータ、またはグループの選択)]ウィンドウで、ユーザー名を[Enter the object names to select(選択するオブジェクト名
を入力してください)]に入力します。
88 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
10. [OK] をクリックします。
これで、ACLに新しいユーザーまたはグループが追加されます。
Windows クライアントのMMCを使用した共有レベルACLの表示と変更
Windows クライアントの MMC を使用して、共有レベル ACL を表示したり、変更したりでき
ます。
手順
1. MMC とストレージシステムを接続します。
2. 左側パネルで[Computer Management(コンピュータの管理)]が選択されていない場合は、
を選択します。
3. [System Tools(システムツール)] > [Shared Folders(共有フォルダ)]の順に選択します。
CIFS によるファイルアクセス| 89
4. [Shares(共有)]をダブルクリックします。
5. 右側のパネルで、 [share(共有)] を右クリックします。
6. [Properties(プロパティ)]を選択します。
7. [Share Permissions(共有のアクセス許可)] タブを選択します。共有の ACL が表示され
ます。
8. 特定のグループまたはユーザーに関する ACL を変更するには、[group or user names(グループ名またはユーザ名)] ボックスで [group or user(グループ名またはユーザ名)]を選択
し、[Permissions for group or user name(group または user name のアクセス許可)」ボックスで、アクセス権限を変更します。
90 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
Windows クライアントのMMCを使用した共有レベルACLからのユーザーまたはグループの削除
Windows クライアント上の MMC を使用して、共有レベル ACL からユーザーまたはグループ
を削除することができます。
手順
1. MMC とストレージシステムを接続します。
2. 左側パネルで[ Computer Management(コンピュータの管理)]が選択されていない場合は、
選択します。
3. [System Tools(システムツール)]> [Shared Folders(共有フォルダ)]を選択します。
4. [Shares(共有)]をダブルクリックします。
5. 右側のパネルで 、[share(共有)]を右クリックします。
6. [Properties(プロパティ)]を選択します。
7. [Share Permissions(共有のアクセス許可)] タブを選択します。
共有の ACL が表示されます。
8. ユーザーまたはグループを選択します。
9. [Remove(削除)]をクリックします。
これで、ACLからそのユーザーまたはグループが削除されました。
Data ONTAP コマンドラインを使用した共有レベルのACLの変更
Data ONTAP コマンド ラインを使用して共有レベル ACL を変更するには、cifs access コマン
ドを使用します。
手順
1. 次のコマンドを入力します。
cifs access share [-g] user rights
share は、共有の名前です。 (「* 」と「? 」 ワイルドカードを使用できます。)
user は、ユーザーまたはグループの名前です。 (UNIX または Windows)
user がローカルグループの場合、ドメイン名としてストレージシステム名を指定します。
(例:toaster\writers など)
rights は、アクセス権です。 Windows ユーザーの場合は、No Access、Read、Change、Full Control のアクセス権の中から1つを選択します。UNIX ユーザーの場合は、 r (read)、 w (write)、 x (execute)のアクセス権の中から1つを選択します。
CIFS によるファイルアクセス| 91
user が UNIX グループの名前であることを指定するには、-g オプションを指定します。
例 次に、releasesという共有上のWindows ユーザーENGINEERING\mary にWindows 読み取
りアクセス権を設定する例を示します。 cifs access releases ENGINEERING\mary Read 次に、accountingという共有上のユーザー「john 」に、UNIX の読み取りおよび実行アクセス権
を設定する例を示します。 cifs access accounting john rx 次に、sysadmins という共有上のUNIX グループ Wheelにフルコントロールアクセスを設定する
例を示します。
cifs access sysadmins -g wheel Full Control
Data ONTAP コマンドラインを使用した共有レベルACLからのユーザーまたはグループの削除
Data ONTAP コマンドラインを使用して、ACL からユーザーまたはグループを削除すること
ができます。
手順
1. 次のコマンドを入力します。
cifs access -delete share [-g] user
share は、共有の名前です。 (「* 」と「? 」 ワイルドカードを使用可)
user は、ユーザーまたはグループの名前 です。(UNIX または Windows)
user は、ローカルグループの場合、ドメイン名としてストレージシステム名を指定します。
(例:toaster\writers など)
-g オプションを使用して、user を UNIX グループの名前に指定します (つまり、user はUNIX ユーザー、 Windows ユーザーまたは Windows グループのいずれでもありません。)
例:releases共有からのENGINEERING\mary のACL エントリの削除 cifs access -delete releases ENGINEERING\mary
92 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
NFSv3 および NFSv4 クライアントに表示されるWindows ACL 権限の基準(最小アクセス権または最大
アクセス権)
NFSv3 および NFSv4 クライアントで、ACL によって付与された最小アクセス権を基にした
Windows ACL 権限(UNIX または NFSv4 ACL 権限ではありません)が表示されるように指
定するには nfs.ntacl_display_permissive_perms オプションを on に設定します。
それ以外の場合は、このオプションを off に設定します。デフォルトでは、このオプションは
off になっています。
7.2.1 より前の Data ONTAP バージョンでは、NFSv3 および NFSv4 クライアントに表示され
るファイルに関する権限は、Windows ACL によって付与された最大アクセス権に基づいてい
ました。
ただし、Data ONTAP 7.2.1 以降、NFSv3 および NFSv4 クライアントに表示されるファイル
に関する権限は、Windows ACL によってすべてのユーザに付与される最小アクセス権に基づ
いています。
手順
1. 次のコマンドを入力します。
options nfs.ntacl_display_permissive_perms {on | off}
ファイルレベルのACLの表示と変更
ファイルレベルの ACL を変更すると、特定のユーザーおよびグループにそのファイルへのア
クセス権を設定するかどうかを制御できます。
タスク概要
ファイルおよびディレクトリの権限の設定は、ファイルレベルの ACL に保存されます。これ
らの ACL は、Windows 2000 NTFS セキュリティ モデルに準拠しています。NTFS 形式の
セキュリティが設定されたファイルの場合、CIFS ユーザは、PC を使用してファイルレベル
の ACL を設定し、表示できます。NTFS 形式の qtree 内にあるすべてのファイルと mixed 形式の qtree 内にある一部のファイルは、NTFS 形式のセキュリティを備えています。
File Allocation Table(FAT)ファイルシステム内のファイルには ACL を使用しません。
UNIX アクセス権を使用します。CIFS クライアントから見た場合、ACL のないファイルでは、
ファイルの[Properties (プロパティ)]ウィンドウの[Security (セキュリティ)]タブは表示され
ません。
ある特定のリソースのファイルシステム(FAT または NTFS)は、ストレージ システム認証
方法およびそのリソースの qtree 形式によって異なります。
Qtree の型と認証方法 ファイルシステム
UNIX 形式の qtree ですべての認証方法 FAT
CIFS によるファイルアクセス| 93
mixed または NTFS 形式の qtree で /etc/passwd の認証 FAT
mixed または NTFS 形式の qtree でドメインまたはワークグループの認証 NTFS
94 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
手順
1. Windows のデスクトップで、ファイルを右クリックし、ポップアップメニューの
[Properties(プロパティ)] をクリックします。
注:NT4 クライアントでは、Widelink(wide symbolic link)をサポートしている共有内にあるファ
イルを右クリックし、[Properties (プロパティ)]をクリックしても、[(Security] セキュリティ]タブは
表示されません。 cacls などのセキュリティ ツールを使用して、セキュリティを設定できます。 あるいは、Windows 2000 クライアントからファイルにアクセスするか、ワイド シンボリック リンクをサポートしていない共有を使用してファイルにアクセスできます。
ワイド シンボリック リンクをサポートしている共有と、サポートしていない共有の 2 つの異なる
共有を同じディレクトリに置き、セキュリティの設定時は、ワイド シンボリック リンクをサポートし
ていない共有を使用できます。
2. [Security(セキュリティ)] タブをクリックします。
メモ:認証方法と qtree 形式によっては、[Security (セキュリティ)]タブは表示されませ
ん。
3. [user or group names(グループ名またはユーザ名)]ボックスから表示する権限のユーザ
ーまたはグループを選択します。
選択したグループまたはユーザーの権限は、[Permissions for user or group(user また
は group のアクセス許可)]ボックスに表示されます。
CIFS によるファイルアクセス| 95
96 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
4. ファイルにユーザーまたはグループを追加するには、[Add(追加)]をクリックし、それから
[Select Users, Computers, or Groups (ユーザー、コンピュータ、またはグループの選
択)]画面の[Enter the object names to select(選択するオブジェクト名を入力してくださ
い)] ボックスにユーザーまたはグループの名前を入力します。
ユーザーまたはグループは ACLへ追加されます。
共有レベルでのACLを使用したグループ IDの機能の指定
共有に UNIX 形式のセキュリティが設定されたファイルが含まれており、共有レベルの ACLを使用して UNIX グループによるアクセスを管理する場合は、グループ ID を基準にして、フ
ァイルへのアクセスをユーザに許可するかどうかを決める必要があります。
タスク概要
specs という共有が UNIX 形式の qtree 内にあり、engineering と marketing の 2 つの UNIX グループに共有へのフル アクセス権を与える必要がある場合、共有のレベルでこれらのグル
ープに rwx アクセス権を与えます。
この共有内では、engineering グループが所有するファイルは draft という名前で、次の権限
があると仮定します。
draft rwxr-x---
engineering のメンバーが draft ファイルへアクセスしようとした場合、共有レベルの ACL はこのユーザに specs 共有への無制限のアクセス権を与え、draft ファイルへのアクセスは
engineering グループに割り当てられたアクセス権(この例では r-x)によって決まります。
ただし、marketing グループのメンバーが draft ファイルにアクセスしようとすると、アクセ
スが拒否されます。UNIX 形式のファイル アクセス権では、engineering のメンバー以外はフ
ァイルにアクセスできないためです。marketing グループが draft ファイルを読めるようにす
るには、ファイルレベルの権限を次の設定に変更する必要があります。
draft rwxr-xr-x
これらの権限の欠点は、marketing グループだけでなくすべての UNIX ユーザがファイルを読
CIFS によるファイルアクセス| 97
めるようになるため、セキュリティ上の問題が生じることです。
この問題を解決するには、アクセスを許可するときに、GID を無視するように Data ONTAPを設定します。
アクセスを許可する際にユーザの GID を無視するように Data ONTAP を設定する場合、ファ
イル所有者以外のすべてのユーザが、ファイルを所有する UNIX グループのメンバーとみなさ
れます。
前述の例では、engineering グループに適用される権限は、ファイルにアクセスしようとする
marketing グループのメンバーにも適用されます。
つまり、engineering グループのメンバーと marketing グループのメンバーの両方に、draft ファイルへの r-x アクセス権があります。
Data ONTAP のデフォルトでは、アクセスを許可する前にユーザの GID が確認されます。
このデフォルトの設定は、次の条件のいずれかが当てはまる場合に役立ちます。
• UNIX 形式のセキュリティを備えたファイルが共有に含まれていない場合
• 共有レベルの ACL を使用して、UNIX グループのアクセスを管理していない場合
手順
1. 次の操作のどれかを実行します。
ユーザーアクセス権の許可に関するオプション
の指定 操作
ユーザーの GID を無視する場合 次のコマンドを入力します。 options cifs.perm_check_use_gid off
ユーザーの GID を検討する場合 次のコマンドを入力します。 options cifs.perm_check_use_gid on
ホームディレクトリの管理
ストレージ システム上にユーザのホーム ディレクトリを作成し、各ユーザにホーム ディレク
トリ共有を自動的に割り当てるよう Data ONTAP を設定できます。
タスク概要
CIFS クライアントからは、ホーム ディレクトリはユーザが接続できる他の共有と同じよう
に機能します。各ユーザは自分のホーム ディレクトリだけに接続できます。他のユーザのホ
ーム ディレクトリには接続できません。
次のトピック
ストレージシステム上のホームディレクトリについて Data ONTAP でのユーザとディレクトリの照合方法 ホーム ディレクトリでのシンボリックリンクの機能
98 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ホーム ディレクトリバスの指定 ホーム ディレクトリパスのリストの表示 ホーム ディレクトリの名前形式の指定 ホーム ディレクトリパスでのディレクトリの作成 (ドメインの名前形式の場合) ホーム ディレクトリパスでのディレクトリの作成 (ドメインの名前形式以外の場合) ホーム ディレクトリのパス拡張機能を使用する場合のホーム ディレクトリにおけるサブディレクトリ
の作成 UNC 名を使用してホーム ディレクトリを指定するための構文 他のユーザーのホーム ディレクトリに対するアクセスの許可 共有エイリアスを使用した CIFS ホームディレクトリへのアクセス 共有からの Wide Symbolic Link の有効化と無効化 ホームディレクトリの無効化
ストレージシステム上のホームディレクトリについて
Data ONTAP では、ホーム ディレクトリ名をユーザ名にマッピングし、指定されたホーム ディレクトリを検索し、標準共有の場合とはやや異なる方法でホーム ディレクトリを処理し
ます。
Data ONTAP では、名前が一致するユーザに共有が割り当てられます。照合するユーザ名に
は、Windows ユーザ名、ドメイン名付きの Windows ユーザ名、または UNIX ユーザ名のいず
れかを使用できます。ホーム ディレクトリ名の大文字と小文字は区別されません。
Data ONTAP でユーザ名と一致するディレクトリを検索するとき、指定したパスだけが検索
されます。
これらのパスをホーム ディレクトリ パスといいます。
ホーム ディレクトリ パスには、さまざまなボリュームを指定できます。
ホーム ディレクトリとその他の共有には次のような違いがあります。
• ホーム ディレクトリの共有レベルの ACLおよびコメントは変更できません。
• CIFS shares コマンドを実行しても、ホーム ディレクトリは表示されません。
• Universal Naming Convention (UNC) を使用して ホーム ディレクトリを指定する形式は、
他の共有の指定する形式とは異なる場合があります。
ホーム ディレクトリ パスとして/vol/vol1/enghome および/vol/vol2/mktghome を指定する
と、これらのパスでユーザのホーム ディレクトリが検索されます。
/vol/vol1/enghome パスで jdoe のディレクトリを作成し、/vol/vol2/mktghome パスで jsmith のディレクトリを作成した場合、両方のユーザにホーム ディレクトリが割り当てられます。
jdoe のホーム ディレクトリは/vol/vol1/enghome/jdoe ディレクトリに対応し、jsmith のホーム ディレクトリは/vol/vol2/mktghome/jsmith ディレクトリに対応します。
CIFS によるファイルアクセス| 99
Data ONTAPでのユーザとディレクトリの照合方法
ホーム ディレクトリの名前形式を指定して、ユーザとディレクトリの照合方法を決定できま
す。
次に、選択できる名前形式と、各形式の情報を示します。
• Windows 名—Data ONTAP は名前がユーザの Windows 名と一致するディレクトリを検
索します。 • 非表示名—名前形式が非表示の場合、ユーザはドル記号を付加した Windows ユーザ名
(name$)を使用してホーム ディレクトリに接続します。すると、Windows ユーザー名
(name)と一致するディレクトリが検索されます。 • Windows のドメイン名および Windows 名—異なるドメインに属しているユーザが同じ
名前を持つ場合、この名前はドメイン名を使用して区別する必要があります。この名前
形式では、ドメイン名と一致するホーム ディレクトリパスにあるディレクトリが検索
されます。さらに、ドメイン ディレクトリでユーザー名と一致するホーム ディレク
トリが検索されます。
例: engineering\jdoe のディレクトリと marketing\jdoe のディレクトリを作成するには、
ホーム ディレクトリ パスで 2 つのディレクトリを作成します。ディレクトリの名前は、
ドメイン名と同じになります(engineering と marketing)。これらのドメインディレクト
リにユーザのホーム ディレクトリを作成します。
• マッピングされた UNIX 名―名前形式が UNIX 方式の場合、ユーザのマッピングされた
UNIX 名と一致するディレクトリが検索されます。
例:John Doe の Windows 名 jdoe が UNIX 名 johndoe にマッピングされる場合、(jdoe ではなく)johndoe というディレクトリがホーム ディレクトリ パスで検索され、ホー
ム ディレクトリとして John Doe に割り当てられます。
ホーム ディレクトリの名前形式を指定しない場合は、ユーザの Windows 名を使用してディレ
クトリを照合します。これは、Data ONTAP バージョン 6.0 より前によって使用される形式
と同じです。
ホーム ディレクトリでのシンボリックリンクの機能
Symbolic Link の機能は、ホーム ディレクトリの名前形式によって異なります。
名前形式を指定しない場合、ホーム ディレクトリ パスの外部にあるディレクトリを指す
Symbolic Link に従って、ホーム ディレクトリが検索されます。
例:ホーム ディレクトリ パスが/vol/vol0/eng_homes であり、jdoe のホーム ディレクトリを
探すために、/vol/vol0/eng_homes/jdoe が検索されます。このパスは、/vol/vol1/homes/jdoe などのホーム ディレクトリ パスの外部にあるディレクトリを指す Symbolic Link として使
用できます。
ホーム ディレクトリの名前形式を指定する場合、デフォルトでは、Symbolic Link は、ホー
ム ディレクトリ パスのディレクトリを指す場合のみ機能します。
100 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
例:ホーム ディレクトリ パスが/vol/vol0/eng_homes であり、Windows 名前形式を使用す
ると仮定します。jdoe のホーム ディレクトリを探すため、Data ONTAP は/vol/vol0/eng_homes/jdoe を検索します。パスがシンボリック リンクである場合は、Symbolic Link のターゲットがホーム ディレクトリ パス内にある場合のみ、ユーザはホームディレクト
リにアクセスできます。
たとえば、Symbolic Link が/vol/vol0/eng_homes/john ディレクトリを指す場合は、シンボリッ
ク リンクが機能しますが、/vol/vol1/homes/john ディレクトリを指す場合は機能しません。
メモ:デフォルトのストレージ システム設定を変更すると、ホーム ディレクトリ パスの
外部にあるリンク先に関連する Symbolic Link を、CIFS クライアントが参照できるようにな
ります。
Data ONTAP 6.0 では、さまざまなボリューム内でホーム ディレクトリを作成できるように
なったため、
ホーム ディレクトリ名として Symbolic Link を使用する必要はありません。
ただし、Data ONTAP でも、下位互換性を維持するために、Symbolic Link をホーム ディレ
クトリ名として使用できます。
ホーム ディレクトリバスの指定
Data ONTAP はユーザー名と一致するディレクトリに指定した順に、ホーム ディレクトリパ
スを検索します。ホーム ディレクトリパスを指定するには、/etc/cifs_homedir.cfg ファイルを
編集します。
タスク概要
複数のホーム ディレクトリパスを指定することができます Data ONTAP は一致するディレク
トリを見つけると検索を停止します。
複数のホーム ディレクトリ パスを指定できます。一致するディレクトリが見つかれば、検索
は停止します。ユーザがホーム ディレクトリの最上位レベルにアクセスできないようにする
場合、ホーム ディレクトリ パスに拡張子を追加できます。
拡張子は、ユーザがホーム ディレクトリにアクセスするときに自動的に開くサブディレクト
リを表します。cifs_homedir.cfg ファイル内のエントリを変更することにより、ホーム ディ
レクトリ パスをいつでも変更できます。ただし、ユーザがホーム ディレクトリ パス内に
あるファイルを開いているときに、
リストからパスを削除しようとすると、変更の確認を求める警告メッセージが表示されます。
ファイルが開いた状態でディレクトリ パスを変更すると、ホーム ディレクトリへの接続が
切断されます。
デフォルトの cifs_homedir.cfg ファイルがない場合は、CIFS の開始時に/etc ディレクトリに
このファイルが作成されます。このファイルの変更内容は、CIFS の開始時に自動的に処理さ
れます。cifs homedir load コマンドを使用して、このファイルの変更内容を処理することもで
CIFS によるファイルアクセス| 101
きます
手順
1. ホーム ディレクトリパスとして使用するディレクトリを作成します。たとえば、/vol/vol0 ボリューム
内に、enghomeというディレクトリを作成します。
2. 編集のために/etc/cifs_homedir.cfg ファイルを開きます。
3. で/etc/cifs_homedir.cfg ファイルに、1 行につき 1 エントリずつ、Data ONTAPがユーザーホーム ディレクトリを検索するパスとして、作成したホーム ディレクトリパス名を入力します。
メモ:1000 個までパス名を入力できます。
4. 次のコマンドを入力して、エントリを処理します。
cifs homedir load [-f]
-fオプションを指定すると、新しいパスが強制的に使用されます。
ホーム ディレクトリパスのリストの表示
cifs homedir コマンドを使用すると、ディレクトリパスの現在のリストを表示できます。
手順
1. 次 の コ マ ン ド を 入 力 し ま す 。
cifs homedir
メモ:ホーム ディレクトリに非表示の名前形式を使用している場合、ホーム ディレク
トリ パスのリストを表示すると、ドル記号が自動的にホーム ディレクトリ名に付加
されます(name$など)。
結果
ホーム ディレクトリに非表示の名前形式を使用している場合、ホーム ディレクトリは次の場
合に表示されません。
• DOS で、net view \\filer コマンドを使用する場合。
• Windows で、Explorer アプリケーションを使用してストレージシステムにアクセスし、ホ
ーム ディレクトリフォルダーを表示する場合。
ホーム ディレクトリの名前形式の指定
ホーム ディレクトリに使用する名前形式を指定するには、cifs.home_dir_namestyle オプションを使
用します。
102 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
手順
1. 次のコマンドを入力します。
options cifs.home_dir_namestyle {ntname | hidden | domain | mapped | ""}
Windows ユーザ名と同じホーム ディレクトリ名を使用する場合は「ntname」 を使用しま
す。
ドル記号を付加した Windows ユーザ名を使用して、Windows ユーザ名と同じ名前のホー
ム ディレクトリの検索を開始したい場合は、「hidden」 を使用します。
Windows ユーザ名とともにドメイン名を使用してホーム ディレクトリを検索する場合
は、domain を使用します。
usermap.cfg ファイルで指定した UNIX ユーザ名と同じホーム ディレクトリ名を使用す
る場合は、mapped を使用します。
名前形式を指定せずに、ホーム ディレクトリとユーザを照合する場合は、「""」を使用
します。
このようにすると、ホーム ディレクトリ パスの外部にあるディレクトリを指す
Symbolic Link に従って、ホーム ディレクトリが検索されます。
デフォルトでは、cifs.home_dir_namestyle オプションは「""」になっています。
ホーム ディレクトリパスでのディレクトリの作成 (ドメインの名前形式の場合)
cifs.home_dir_namestyle オプションが domain の場合は、/etc/cifs_homedir.cfg を編集し、ホ
ーム ディレクトリを作成して、権限を設定することにより、ホーム ディレクトリを作成
できます。
手順
1. /etc/cifs_homedir.cfg ファイルを開き、ホーム ディレクトリを作成するパスを追加します。
各ユーザの所属するNetBIOS ドメインの名前の付いたフォルダ内に、ホームディレクトリを作成し
ます。たとえば、/vol/vol1/homedir というパスを/etc/cifs_homedir.cfg ファイルに追加します。
2. /etc/cifs_homedir.cfg ファイルに追加したディレクトリ内に、各ドメインのディレクトリを作成しま
す。
たとえば、HQ と UKという 2 つのドメインがある場合、/vol/vol1/homedir/hq/ ディレクトリおよび
/vol/vol1/homedir/uk/ ディレクトリを作成します。
3. 手順 2 で作成した各ドメインディレクトリに、そのドメイン内の各ユーザが使用するホーム ディレク
トリを作成します。
たとえば、2 人のユーザーが同じ jsmith で、HQ ドメインとUK ドメインに属している場合は、 /vol/vol1/homedir/HQ/jsmith ホーム ディレクトリと/vol/vol1/ homedir/UK/jsmith ホーム ディレク
トリを作成します。
CIFS によるファイルアクセス| 103
4. 各ユーザをそれぞれのホーム ディレクトリの所有者に設定します。
たとえば、 HQ\jsmith を/vol/vol1/homedir/HQ/jsmith ホーム ディレクトリの所有者に設定し、
UK\jsmith を /vol/vol1/homedir/UK/jsmith ホーム ディレクトリの所有者に設定します。
HQ\jsmith という名前のユーザーは、/vol/ vol1/homedir/HQ/jsmith ホーム ディレクトリに対応す
るjsmithという共有に接続することができます。
UK\jsmithという名のユーザーは、/vol/vol1/homedir/UK/jsmith ホーム ディレクトリに対応する
jsmith という共有に接続することができます。
5. 新しいCIFSの homedir 設定をストレージシステムにロードします。
たとえば、 次のコマンドを入力します。
cifs homedir load -f
6. 次のコマンドを入力して、CIFS homedir のドメイン名の形式が有効であることを確認します。
cifs homedir showuser user_name
たとえば、次のいずれかのコマンドを入力します。
cifs homedir showuser hq/jsmith
cifs homedir showuser uk/jsmith
ホーム ディレクトリパスでのディレクトリの作成 (ドメインの名前形式以外の場合)
cifs.home_dir_namestyle オプションが domain ではない場合は、ホームディレクトリを作成
して、ユーザをそのディレクトリの所有者にすることにより、ホーム ディレクトリを作成す
ることができます。
手順
1. 指定したホーム ディレクトリパスにホーム ディレクトリを作成します。
例
たとえば、jsmith と jdoeという 2 人のユーザがいる場合は、/vol/vol0/enghome/jsmith ホームデ
ィレクトリと /vol/vol1/mktghome/jdoe ホーム ディレクトリを作成します。
ユーザーは、ユーザー名と同名の共有に接続して、共有をホーム ディレクトリとして使用できるよ
うになります。
2. 各ユーザーをそれぞれのホーム ディレクトリの所有者にします。
例
たとえば、jsmithを/vol/vol0/enghome/jsmithホーム ディレクトリの所有者に設定し、jdoe を/vol/vol1/mktghome/jdoe ホーム ディレクトリの所有者に設定します。
メモ:名前形式が非表示の場合、ユーザはドル記号を付加したユーザ名(たとえば、
name$)を入力して、ホーム ディレクトリに接続する必要があります。
engineering\jsmith という名前のユーザを、/vol/vol0/enghome/engineering/jsmith ホーム ディ
104 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
レクトリに対応するjsmithという共有に接続することができます。
marketing\jdoeという名前のユーザーを、/vol/vol1/mktghome/marketing/jdoeホーム ディレクト
リに対応するjdoeという共有に接続することができます。
ホーム ディレクトリのパス拡張機能を使用する場合のホーム ディレクトリにおけるサブディレクトリの作成
ホーム ディレクトリ パス拡張機能を使用すると、ユーザがアクセスできるサブディレクト
リをホーム ディレクトリ内に作成することができます。
手順
1. 拡張されたホーム ディレクトリパス内にある各ホーム ディレクトに対して、ユーザがアクセスでき
るサブディレクトリを作成します。例えば、/etc/cifs_homedir.cfg ファイルに
/vol/vol0/enghome/%u%/data パスが含まれる場合、dataというサブディレクトリを各ホームディ
レクトリ内に作成します。
ユーザは、ユーザ名と同名の共有に接続できます。共有に読み書きするとき、ユーザはdata サブディレクトリに効
率よくアクセスできます。
UNC名を使用してホーム ディレクトリを指定するための構文
UNC の使用時にホーム ディレクトリを指定するための規則は、cifs.home_dir_namestyle オプションで指定
するホーム ディレクトリの名前形式によって異なります。
次の表に、namestyle 値ごとの UNC 名、および例を示します。
cifs.home_dir_namestyle の値 UNC 名
ntname または "" \\filer\Windows_NT_name 例:\\toaster\jdoe
Hidden \\filer\Windows_NT_name$ 例: \\toaster\jdoe$
domain \\filer\~domain~Windows_NT_name 例:\\toaster\~engineering~jdoe
mapped \\filer\~mapped_name 例:\\toaster\~jdoe
cifs.home_dir_namestyle が domain であるにもかかわらず、アクセス要求内の UNC 名でドメ
イン名を指定しない場合、ドメインは、要求の送信先となるドメインとみなされます。
アクセス要求内のドメイン名を省略する場合、ユーザ名の前のチルダ(~)も省略できます。
例
CIFS によるファイルアクセス| 105
jdoe というユーザが engineering ドメイン内の PC から engineering\jdoe としてログインしていま
す。このユーザが、marketing ドメインにある自分のユーザ名を使用して自分のホームディレクトリに
アクセスしようとする場合、次のコマンドのどちらかを使用してアクセスを要求することができます。 net use * \\toaster\~jdoe /user:marketing\jdoe net use * \\toaster\jdoe /user:marketing\jdoe
他のユーザーのホーム ディレクトリに対するアクセスの許可
ユーザは自分のホーム ディレクトリだけに接続できますが、他のユーザのホーム ディレクト
リへのアクセスを許可することができます。
手順
1. 次のどちらかのパス名に対応する共有を作成します。
• cifs.home_dir_name_style が domain ではない場合、ホーム ディレクトリパス
• cifs.home_dir_name_style が domain の場合、ホーム ディレクトリパス内のドメイン
ディレクトリ
例:vol/vol0/enghome がホーム ディレクトリパスの場合は、次のコマンドを使用します。
cifs shares -add eng_dirs /vol/vol0/enghome -comment "readable engineering home directories"
2. 各ユーザのホーム ディレクトリに対する適切なアクセス権を、各ユーザに割り当てます。
例:次のように、eng_dirs 共有の読み取り専用の権限を engineering グループに割り当て
ます。
cifs access eng_dirs engineering full
engineering グループのメンバーは、eng_dirs 共有内にあるすべてのホーム ディレクトリ
に対する読み取り専用の権限を持ちます。
共有エイリアスを使用したCIFS ホームディレクトリへのアクセス
CIFS ホーム ディレクトリのどの名前形式でも、cifs.homedir またはチルダ(~)のいずれか
の共有のエイリアスを使用すると、各自の CIFS ホーム ディレクトリに接続できます。
タスク概要
各自の CIFS ホーム ディレクトリに接続する方法は、スクリプトの作成時に役立ちます。
手順
1. cifs.homedir または チルダ (~) 共有エイリアスのどちらかを使って各自のCIFS ホーム ディレク
トリにアクセスします。
例
106 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
net use * \\toaster\cifs.homedir net use * \\toaster\~
共有からのWide Symbolic Linkの有効化と無効化
共有またはストレージ システムの外部に対する絶対パスによる Symbolic Link を、CIFS クラ
イアントが参照できるようにするには、共有からの Wide Symbolic Link を有効にします。デ
フォルトでは、この機能は無効になっています。
手順
1. 次のいずれかの操作を実行します。
目的 操作
共有からのWide Symbolic Linkを有効にする
場合
Data ONTAP コマンドラインで、次のコマンドを入力しま
す。 cifs shares -change sharename -widelink
共有からのWide Symbolic Link を無効にする
場合
On the Data ONTAP コマンドラインで、のコマンドを入
力します。 cifs shares -change sharename -nowidelink
メモ:共有を作成する場合に widelink オプションを指定して、共有からの Wide Symbolic Link を有効にすることもできます。
タスク概要
共有からの Wide Symbolic Link を有効にした後で、ストレージシステムが Wide Symbolic Link のリンク先を決定する方法を指定するために、/etc/ symlink.translations ファイル内に
Widelink エントリを作成する必要があります。
ホームディレクトリの無効化
ホーム ディレクトリの割り当てを停止するには、/etc/cifs_homedir.cfg ファイルを削除します。
cif sshares -delete コマンドを使用して、ホーム ディレクトリを削除することはできません。
手順
1. ストレージ システム上の /etc/cifs_homedir.cfg ファイルを削除します。
ローカルユーザーとグループの管理
このセクションでは、ストレージ システム上でのローカル ユーザーとグループの作成と管理
について説明します。
CIFS によるファイルアクセス| 107
次のトピック
ローカルユーザの管理
ローカルグループの管理
ローカルユーザの管理
ローカル ユーザは、ユーザおよびグループのリストで指定できます。
たとえば、ファイルレベルの ACL と共有レベルの ACL にローカル ユーザを指定できます。
また、ローカル ユーザをローカル グループに追加することもできます。
次のトピック
ローカル ユーザー アカウントの作成が必要な場合 ストレージシステムの認証方法の表示 ローカルユーザー アカウントの制限 ローカルユーザー アカウントを追加、表示、および削除
ローカル ユーザー アカウントの作成が必要な場合
ストレージ システムにローカル ユーザー アカウントを作成する理由はいくつかあります。
• ストレージ システムの設定時に、ストレージシステムを Windows ワークグループのメ
ンバーに設定した場合は、ローカルユーザアカウントを作成する必要があります。
この場合、ストレージシステムは、ローカルユーザアカウントの情報を使用して、ユーザ
を認証します。
• ストレージ システムがドメインのメンバーである場合:
• トレージ システムは、ローカル ユーザ アカウントを使用して、信頼できないドメイ
ンからストレージ システムに接続しようとするユーザを認証できます。
• ドメイン コントローラがダウンしているか、またはネットワークの問題によってスト
レージ システムがドメインコントローラに接続できない場合でも、ローカルユーザは
ストレージシステムにアクセスできます。 たとえば、ストレージシステムがドメイン
コントローラに接続できない場合でも、ローカルユーザアカウントを使用してストレ
ージシステムにアクセスできるように、BUILTIN\Administrator アカウントを定義でき
ます。
メモ:
ストレージ システムの設定時に、ストレージ システムが UNIX モードを使用してユーザを認
証するように設定した場合は、ローカル ユーザ アカウントを作成しないでください。 UNIX モードでは、ストレージ システムは常に UNIX パスワード データベースを使用してユーザを
認証します。
108 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ストレージシステムの認証方法の表示
ストレージ システムの認証方法を表示して、ローカル ユーザおよびグループを作成する必要
があるかどうかを判別するには、cifs sessions コマンドを入力します。
手順
1. 次のコマンドを入力します。
cifs sessions
詳細については、 na_cifs_セッション(1) マニュアル ページを参照してください。
ローカルユーザー アカウントの制限
ローカル ユーザー アカウントには次の制限があります。
• ユーザ マネージャを使用して、ストレージ システム上のローカル ユーザ アカウントを
管理することはできません。 • Windows NT 4.0 のユーザ マネージャは、ローカル ユーザ アカウントを表示するときの
み使用できます。ただし、Windows 2000 のユーザマネージャを使用する場合は、「ユーザ
ー」メニューから、ローカル ユーザーを表示できません。「グループ」メニューからローカ
ルユーザを表示する必要があります。
• 96 個までの ローカル ユーザー アカウントを作成できます。
ローカルユーザー アカウントを追加、表示、および削除
ローカル ユーザ アカウントを追加、表示、および削除するには、useradmin コマンドを使用
します。
ストレージ システム上で管理ユーザの作成、表示、および削除を行う場合にも、useradminコマンドを使用します(このコマンドを使用して、domainuser サブコマンドによってローカ
ルでないユーザを管理することもできます)。
useradmin コマンドの使用方法の詳細については、System Administration Guide Data ONTAP『システムアドミニストレーションガイド』の「管理者アクセスの制御」を参照してください。
メモ:Data ONTAP では、useradmin コマンドで作成されたユーザアカウントのリストが 1 つ
保持されます。 ローカル ユーザ アカウントと管理ユーザ アカウントでは、同じタイプ
の情報を保持しています。 適切な Admin Role のあるローカル ユーザアカウントを持つ
CIFS ユーザは、ストレージシステムへのログインに Windows の RPC コールを使用できます。 詳しくは、Data ONTAP『システムアドミニストレーションガイド』の「管理者アクセスの制
御」の章を 参照してください。
CIFS によるファイルアクセス| 109
ローカルグループの管理
ローカル グループを管理して、ユーザがアクセスできるリソースを制御できます。
タスク概要
ローカル グループは、信頼できるドメインからのユーザまたはグローバル グループで構成
されます。
ローカル グループのメンバーはファイルおよびリソースにアクセスできます。
特定のローカル グループのメンバーシップによって、ストレージ システムに関する特別な権
限が付与されます。
たとえば、BUILTIN\Power Users のメンバーは共有を操作できますが、それ以外の管理権限
はありません。
CIFS クライアントには、次のいずれかの形式でローカル グループの名前が表示されます。
• FILERNAME\localgroup
• BUILTIN\localgroup
次のトピック
Data ONTAP コマンドラインを使用したローカルグループの追加、表示、および削除 Windows クライアントの MMC を使用したローカルグループの追加 Windows クライアントの MMC を使用したローカルグループへのユーザの追加 Windows クライアントの MMC を使用したローカルグループの削除 SnapMirror によるローカルグループの処理
Data ONTAPコマンドラインを使用したローカルグループの追加、表示、および削除
Data ONTAP コマンド ライン を使用して、ローカル グループを追加、表示、および削除する
には、useradmin コマンドを使用します。
詳細については、Data ONTAP System Administration Guide を参照してください。
WindowsクライアントのMMCを使用したローカルグループの追加
Windows クライアントの MMC を使用して、ローカル グループを追加することができます。
手順
1. MMC とストレージ システムを接続します。
2. 左パネルで[Computer Management (コンピュータの管理)]が選択されていない場合は、
選択します。
3. [System Tools (システムツール)] > [Local Users and Groups (ローカルユーザとグループ)] の順に選択します。
110 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
4. [Groups (グループ)] を右クリックします。
5. [New Group (新しいグループ)] を選択します。
6. [New Group (新しいグループ)] ボックスにグループの名前と説明を入力します。
7. [Create (作成)]をクリックします。
新しいグループがストレージ システム上に作成されます。
WindowsクライアントのMMCを使用したローカルグループへのユーザの追加
Windows クライアントの MMC を使用して、ローカル グループにユーザを追加できます。
手順
1. MMC とストレージ システムを接続します。
2. 左側パネルで[Computer Management (コンピュータの管理)]が選択されていない場合は、
を選択します。
3. [System Tools (システムツール)] > [Local Users and Groups (ローカルユーザとグルー
プ) ]の順に選択します。
4. [Groups ( グループ)] をダブルクリックします。
5. 右側のパネルで、ユーザーを追加するグループを右クリックします。
6. [Add to Group (グループに追加)] を選択します。
結果: [Properties(プロパティ)] ボックスが表示されます。
7. [Properties(プロパティ)] ボックスで、 [Add (追加)]をクリックします。
8. [Select Users、Computer, Groups (ユーザ、コンピュータ、または、グループの選択)]ウィンド
ウで、 [Enter the object names to select (選択するオブジェクト名を入力してください)] ボッ
クスにユーザーの名前を入力します。
CIFS によるファイルアクセス| 111
9. OK をクリックします。
MMC がグループにユーザが追加されます。
WindowsクライアントのMMCを使用したローカルグループの削除
Windows クライアントの MMC を使用して、ローカル グループを削除することができます。
手順
1. MMC とストレージ システムを接続します。
2. 左パネルで[Computer Management (コンピュータの管理)]が選択されていない場合は、 選択します。
3. [System Tools (システムツール)] > [Local Users and Groups (ローカルユーザとグループ)] > [Groups (グループ)] の順に選択します。
4. 右側のパネルで、ユーザを追加するグループを右クリックします。
5. [Remove (削除)] を選択します。
6. [OK] をクリックします。
MMC がローカル グループを削除します。
SnapMirrorによるローカルグループの処理
複製データは、読み取り専用ボリュームであり、その ACL や権限を変更できないため、
SnapMirror によって複製されるファイルの ACL では、ローカルグループを使用しないでくだ
さい。
SnapMirror 機能を使用して、ローカル グループに ACL が設定されているボリュームを、他の
ストレージ システムにコピーする場合、ACL は複製データに適用されません。 これは、グル
112 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ープがソース ストレージ システムに対してローカルであるためです。
SnapMirror によって複製されるファイルの ACL でローカル グループを使用する場合は、
MultiStore 製品を使用します。 MultiStore 製品の詳細については、[MultiStore Management Guide]を参照してください。
グループポリシーオブジェクトの適用
ストレージ システムは、Group Policy Object(GPO;グループ ポリシー オブジェクト)をサ
ポートしています。 GPO は、Active Directory 環境のコンピュータに適用される一連のルー
ル(グループ ポリシー属性)です。
タスク概要
Data ONTAP は、ストレージ システム上でCIFS およびGPO が有効になっている場合、 Active Directory サーバにLDAP クエリを送信してGPO 情報を要求します。
Active Directory サーバは、ストレージ システムに適用できる GPO 定義がある場合、次の項
目を含む GPO の情報を返します。
• GPO 名
• 現在の GPO バージョン
• GPO 定義の場所
• GPO ポリシー セットの Universally Unique Identifier(UUID)一覧
メモ:Windows GPO の詳細については、Microsoft ウェブサイトを参照してください。
すべての GPO がストレージ システムに適用できるわけではありませんが、ストレージ シス
テムは関連する GPO を認識し処理することができます。
ストレージ システムでは現在、次の GPO をサポートしています。
• スタートアップおよびシャットダウン スクリプト
• コンピュータのグループ ポリシーの更新間隔(ランダム オフセットを含む)
• ファイルシステムのセキュリティ ポリシー
• 制限されたグループのセキュリティ ポリシー
• イベント ログ
• 監査
• 所有権の取得のユーザ権
メモ:イベント ログおよび監査ポリシーの設定は、ストレージ システムと Windows システ
ムで適用方法に違いがあります。 また、Windows のビルトイン管理者アカウントを含ま
ない所有権の取得のユーザ リストまたはグループ リストを定義すると、 これらの管理者
CIFS によるファイルアクセス| 113
は所有権の取得の権限を失います。
次のトピック
ストレージシステムで GPO を使用するための要件 ストレージシステムと OU の関連付け ストレージシステム上での GPO サポートの有効化と無効化 ストレージシステム上での GPO の管理
ストレージシステムでGPOを使用するための要件
ストレージ システムで GPO を使用するには、いくつか満たすべき要件があります。
該当する要件は次のとおりです。
• ストレージ システム上で CIFS のライセンス が付与され、有効になっている
• cifs setup コマンドを使用して CIFS が設定されており、セットアップ処理でストレージ システムが Windows ドメイン(バージョン 2000 以降)に参加するようになっている。
• Windows Active Directory サーバ上の GPO 設定には、ストレージ システムと Organizational Unit (OU) の関連付けがされている。
• ストレージシステム上で GPO のサポートが有効になっている。
ストレージシステムとOUの関連付け
デフォルトでは、cifs setup 処理中にストレージ システムと OU の関連付けはされません。こ
の関連付けを明示的に設定する必要があります。
手順
1. Windows サーバで[Active Directory ユーザとコンピュータ] ツリーを開きます。
2. ストレージ システムの Active Directory オブジェクトを探します。
3. 該当オブジェクトを右クリックして、 [Move (移動)] を選択します。
4. ストレージ システムに関連付ける OU を選択します。
結果
選択した OU 内にストレージ システム オブジェクトが移ります。
ストレージシステム上でのGPOサポートの有効化と無効化
cifs.gpo.enable オプションを設定すれば、ストレージ システムに GPO サポートを有効化ま
たは無効化できます。
手順
114 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
1. 次のいずれかの操作を行います。
目的 操作
GPO を有効にする場合 次のコマンドを入力します。 options cifs.gpo.enable on
GPO を無効にする場合 次のコマンドを入力します。 options cifs.gpo.enable off
ストレージシステム上でのGPOの管理
Group Policy Object(GPO)の作成、表示、更新、およびトラブルシューティングをストレ
ージ システム上で行えます。
次のトピック
ファイルシステムのセキュリティ GPO の作成 現在の GPO とその結果の表示 GPO 設定の更新 GPO の更新に関する問題のトラブルシューティング ストレージシステムのスタートアップとシャットダウンスクリプトについて /etc/ad ディレクトリについて Data ONTAP のパス名の設定要件
ファイルシステムのセキュリティGPOの作成
GPO ファイルシステムのセキュリティの設定は、Data ONTAP のファイルシステムオブジェ
クト(ディレクトリまたはファイル)に直接設定できます。
GPO ファイルシステムのセキュリティ設定はディレクトリ階層で共有されます。
つまり、GPO のセキュリティ設定をディレクトリ上で行うと、そのセキュリティ設定は該当
するディレクトリ内のオブジェクトに適用されます。
メモ:
これらのファイルシステムのセキュリティ設定は、mixed 形式または NTFS 形式のボリュ
ーム、または qtree 内にのみ適用できます。これらのセキュリティ設定を UNIX 形式のボ
リュームや qtree 内のファイルまたはディレクトリに適用することはできません。
ファイルシステムのセキュリティ ACL が伝播されるのは、約 280 のディレクトリ階層レ
ベルまでです。
手順
1. Windows サーバで[Active Directoryの ユーザとコンピュータ]ツリーを開きます。
CIFS によるファイルアクセス| 115
2. ストレージ システムを含むOrganization Unit (OU) を右クリックします。
3. [Group policy (グループ ポリシー)]タブを選択して、 [New(新規)] をクリックします。
4. 新しい GPO に名前を入力します。
5. 新しい GPO を強調表示し、[Edit (編集)]をクリックします。
グループポリシー オブジェクト エディタが表示されます。
6. [Computer configuration (コンピュータの構成)] > [Windows settings (Windows の設定)] > [security settings (セキュリティの設定)] の順にダブルクリックします。
7. [File System (ファイルシステム)]を右クリックして [Add File (ファイルの追
加)]を選択します。
[Add a file or folder (ファイルまたはフォルダの追加)]ボックスが表示されます。
メモ: ローカル サーバのドライブを検索するオプションは選択しないでください。
8. 「フォルダ」フィールドにGPO の適用先ストレージ システム のパスを入力し[OK] をクリックします。
「Database Security (データベースセキュリティ )」ウィンドウが開きます。
9. 「Database Security (データベース セキュリティ)」 ウィンドウで、必要な許可を選択し、[OK]をクリックします。
116 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
[Add Object (オブジェクトの追加)]ウィンドウが開きます。
10. [Add Object (オブジェクトの追加)]ウィンドウで、必要なACL 承継を選択し、[OK] をクリックします。
CIFS によるファイルアクセス| 117
グループポリシーエディタに新しいオブジェクト名が表示されます。
11. グループポリシーエディタと [OU Properties (組織単位のプロパティ)]ダイアログ ボックスを閉じます。
118 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
12. ストレージ システム上で、次のコマンドを入力して新しい GPO を取得し、適用します。
cifs gpupdate
cifs gpupdate コマンドで明示的に新しい GPO を適用しない場合、新しい GPO が適用さ
れるのは、ストレージ システムが次回に Active Directory サーバに照会したときになりま
す(つまり、90 分以内)。
現在のGPOとその結果の表示
ストレージ システムに現在適用されている GPO とその結果を表示するには、cifsgpresult コマンドを使用します。
cifs gpresult コマンドは、Windows 2000/XP の gpresult.exe / force コマンドの出力結果を
模しています。
メモ:cifs gpresult コマンド の出力には、ご使用のストレージ システムおよび現在の Data ONTAP リリースに関連する group policy 設定しのみ表示されます。
手順
1. 次のコマンドを入力します。
cifs gpresult [-r] [-d] [-v]
- r は、ストレージシステムへの現在の GPO の適用結果が表示されます。
- v は、適用できる GPO に関する情報および適用の結果などを含んだ詳細画面が表示されます。
- d は、 cifs gpresult -v の出力が/etc/ad/gpresult_timestamp ファイルにダンプされます。
オプションを指定しない場合は、ストレージ システムに現在適用できる GPO に関する情
報(名前、バージョン、場所など)が表示されます。
GPO設定の更新
Data ONTAP では、90 分ごとに GPO の変更が取得および適用され、16 時間ごとにセキュリ
ティ設定が更新されます。ただし、cifs gpupdate コマンドを入力して、強制的に更新するこ
ともできます。
ストレージ システム上のグループ ポリシーの設定は次の 3 つの方法で更新できます。
• すべての GPO を 90 分に 1 回確認。デフォルトでは、Data ONTAP は GPO の変更がな
いかどうかを Active Directory に照会します。Active Directory に記録されている GPO のバージョンがストレージ システム上の GPO のバージョンより高い場合、Data ONTAP は新しい GPO を取得して適用します。バージョンが同一の場合、ストレージ システム上の
GPO は更新されません
• セキュリティ設定の GPO を 16 時間に 1 回更新。Data ONTAP は、セキュリティ設定の
GPO に変更がある場合もない場合も、16 時間に1回これらの GPO を取得し適用します。
メモ:16 時間はデフォルトの値で、現在の Data ONTAP バージョンでは変更できません。こ
CIFS によるファイルアクセス| 119
れは Windows クライアントのデフォルト設定です。
• Data ONTAP コマンドを使用してオン デマンドですべての GPO を更新。このコマンドは、
Windows 2000/XP の gpupdate.exe /force コマンドの出力結果を模しています。
手順
1. グループ ポリシー 設定 を手動で更新するには、次のコマンドを使用します。
cifs gpupdate
GPOの更新に関する問題のトラブルシューティング
cifs gpupdate コマンドを実行した場合などに、Data ONTAP のコンソールに、GPO 設定が正
常に適用されたことを示すメッセージが表示されないときは cifs.gpo.trace.enable オプション
を使用して、ストレージ システムの GPO 接続に関する診断情報を確認する必要があります。
更新されたポリシー設定がストレージ システムの GPO に適用されると、ストレージ システ
ムのコンソール上に次のようなメッセージが 1 つまたは両方表示されます。
CIFS GPO System: GPO processing is successfully completed. CIFS GPO System: GPO security processing is completed.
手順
1. 次のコマンドを入力して GPO トレースを有効にします。
options cifs.gpo.trace.enable on
2. 次のコマンドを入力して GPO 設定を更新します。
cifs gpupdate
次の例に示すような、GPO に関する Active Directory 情報が含まれたメッセージが表示さ
れます。
CIFS GPO Trace: Site DN: cn=Default-First-Site-Name, cn=sites,CN=Configuration,DC=cifs,DC=lab,DC=company, DC=com. CIFS GPO Trace: Domain DN: dc=CIFS,dc=LAB,dc=COMPANY, dc=COM. CIFS GPO Trace: Filer DN: cn=user1,ou=gpo_ou,dc=cifs, dc=lab,dc=company,dc=com. CIFS GPO Trace: Processing GPO[0]: T_sub. CIFS: Warning for server \\LAB-A0: Connection terminated.
GPO のトレース メッセージは、 GPO トレース機能がオフにされるまでコンソールとメ
ッセージ ログに出力されます。
3. 次のコマンドを入力して、 GPO トレースを無効にします。
options cifs.gpo.trace.enable off
120 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ストレージシステムのスタートアップとシャットダウンスクリプトについて
GPO がストレージ システム上で有効になっていて、Active Directory ドメインで指定されて
いる場合、CIFS を起動またはシャットダウンするたびに、スタートアップおよびシャットダ
ウン スクリプトが実行されます。
ストレージ システムはドメイン コントローラの sysvol ディレクトリからスクリプトを取得し、
ローカルの/etc/ad ディレクトリに保存します。
メモ: ストレージ システムは、スタートアップおよびシャットダウン スクリプトの更新を
定期的に取得しますが、スタートアップ スクリプトが適用されるのは CIFS が次回に起動
されたときです。
/etc/adディレクトリについて
ストレージ システム上で cifs.gpo.enable オプションを使用して初回に GPO サポートを有効
にすると、/etc/ad ディレクトリが作成されます。
このディレクトリは、次のレポジトリとして使用されます。
• ドメイン コントローラから取得した GPO のスタートアップおよびシャットダウン スク
リプト。
• cifs gpresult -d コマンドの出力。
Data ONTAPのパス名の設定要件
対象となるファイル名またはディレクトリ名の形式は、Data ONTAP が認識できる、絶対パ
ス名または相対パス名形式である必要があります。
ここでは、パス名形式の詳細を示します。
• 絶対パス名-例: /vol/vol0/home
絶対パス名で示された場合、Data ONTAP は指定された対象ファイルまたは対象ディレク
トリ内のファイルにファイルシステムのセキュリティ設定を適用します。この例では、設
定はストレージ システムのルート ボリューム内の/home ディレクトリに適用されます。
• 相対パス名-例: /home
相対パス名(/vol で始まらないパス名)で示された場合、Data ONTAP は指定された要素
が含まれるすべての対象ファイルまたは対象ディレクトリにファイルシステムのセキュリ
ティ設定を適用します。この方法は、シングル ストレージ システム内で並列に位置する
複数の対象に設定を適用する場合に便利です。
この例では、設定は/home ディレクトリを持つすべての vFiler ユニットに適用されます。
CIFS によるファイルアクセス| 121
oplock でのクライアントパフォーマンスの向上
oplock(opportunistic locks)を使用すると、特定のファイル共有シナリオで動作する CIFS クライアントは、先読み、あと書き、およびロック情報をクライアント側でキャッシュできます。
これによりクライアントは、目的のファイルへのアクセス要求をサーバに定期的に通知しなく
ても、ファイルの読み書きを実行できます。この処理によって、ネットワーク トラフィック
が軽減し、パフォーマンスが向上します。
次のトピック
oplocks を使用するときの書き込みキャッシュデータ消失に関する考慮事項 ストレージシステムでの oplock の有効化と無効化 qtree での oplock の有効化と無効化 oplock ブレークを送信するための遅延時間の変更
oplocksを使用するときの書き込みキャッシュデータ消失に関する考慮事項
ある環境では、プロセスがファイルに対して排他的な oplock を使用している場合に、別のプ
ロセスがそのファイルを開こうとすると、最初のプロセスは、キャッシュされたデータを無効
にし、書き込みとロックをフラッシュする必要があります。クライアントは oplock を放棄し、
ファイルにアクセスする必要があります。このフラッシュ時にネットワーク障害が発生すると、
キャッシュされた書き込みデータが失われることがあります。
データ消失の可能性:データの書き込みがキャッシュされるアプリケーションでは、次の場合
にそのデータを失う可能性があります。
• ファイルに対して排他的な oplock を使用している場合
• その oplock を破棄するか、ファイルを閉じるように指示された場合
• 書き込みキャッシュをフラッシュするプロセスで、ネットワークまたはターゲット システ
ムにエラーが発生した場合
エラー処理および書き込みの完了。キャッシュ自体にはエラー処理機能がありません。アプリ
ケーションがエラー処理を行います。アプリケーションがキャッシュへの書き込みを行うと、
書き込みは必ず完了します。またキャッシュがネットワークを介してターゲット システムに
書き込みを行う場合、書き込みは正常に終了することを前提とする必要があります。このよう
な前提でないと、後続のプロセスでデータが失われるからです。
ストレージシステムでのoplockの有効化と無効化
ストレージ システムで oplock を有効にすると、個々の qtree の oplock を有効または無効にで
きます。
タスク概要
ストレージ システム上の CIFS oplocks はデフォルトでオンです。
次の状況のいずれかの状況では CIFS oplocks をオフにします。
122 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
• oplock をオフにするようにマニュアルで推奨されているデータベース アプリケーション
を使用している場合
• CIFS クライアントが信頼性の低いネットワーク上にある場合
• 重要なデータを処理中で、わずかなデータでも失うことができない場合。
その他の場合には、 CIFS oplocks をオンにしたままにできます。
ストレージ システムで CIFS oplock をオンにしても、クライアントの個々の設定は変更され
ません。
ストレージ システムで CIFS oplock をオフにすると、ストレージ システムとの間のすべての
oplock が無効になります。
Windows レジストリ設定を使用して、個々のクライアントで CIFS oplock をオンまたはオフ
にすることができます。
手順
1. 次の操作のいずれかを行います。
目的 操作
ストレージ システムに oplocksを有効にする場合 次のコマンドを使用します。 options cifs.oplocks.enable on
ストレージ システムに oplocksを無効にする場合 次のコマンドを使用します。 options cifs.oplocks.enable off
結果
cifs.oplocks.enable オプションを on に設定すると、qtree ごとの oplock 設定が有効になりま
す。
このオプションをオフに設定すると、qtree ごとの oplock 設定に関係なく、すべての qtree のoplock が無効になります。
qtreeでのoplockの有効化と無効化
ストレージ システム レベルで oplock を有効にすると、個々の qtree の oplock を有効または
無効にできます。
手順
1. 次のアクションのうち 1 つを行います。
目的 操作
qtree で oplocks を有効にする場合 次のコマンドを入力します。 qtree oplocks qtree_name enable
qtree で oplocks を無効にする場合 次のコマンドを入力します。 qtree oplocks qtree_name disable
CIFS によるファイルアクセス| 123
結果
cifs.oplocks.enable オプションを on に設定すると、qtree に対して qtree oplocks コマンドが
即座に有効になります。
cifs.oplocks.enable オプションが off の場合は、オプションを on に変更するまで qtree oplocks コマンドは有効になりません。
oplockブレークを送信するための遅延時間の変更
ファイルの oplock を所有しているクライアントがファイル オープン要求を送信した場合、そ
のクライアントはストレージ システムが oplock ブレークを要求した場合に発生する「競合
状態」に対して一時的に脆弱になります。
この状況を防ぐため、ストレージ システムは cifs.oplocks.opendelta オプションによって指
定された遅延時間の値(ミリ秒)に従い oplock ブレーク送信を遅延させます。
タスク概要
デフォルトの遅延時間値は 0 ミリ秒です。 仮にお使いのストレージ システムが古い Microsoft Windows クライアント、例えば最新サービスパックなしの Microsoft Windows NT 4.0 や Microsoft Windows NT 3.5.1 をサポートする必要がある場合、 Microsoft Knowledge Base 記事 163525 で説明されているパフォーマンス の障害を防止するために、このデフォル
ト値を変更しないでください。
古いバージョンの Windows を実行するクライアントがない場合は、この遅延時間を他の値、
例えば、8 に変更できます。
この意味は、ストレージ システムは、ファイルオープン要求を受信するか、または要求に応
答した後で、 8 ミリ秒経過してから oplock ブレイクをクライアントに送信します。
cifs stat コマンドを実行し、出力の OpLkBkNoBreakAck フィールドにゼロ以外の値が表示さ
れる場合は、遅延時間を延長できます。
次の例のような syslog メッセージが表示されたら、oplock ブレークを送信するための遅延時
間を長くします。
Mon Jan 21 15:18:38 PST [CIFSAdmin:warning]: oplock break timed out to station JOHN-PC for file \\FILER\share\subdir\file.txt
手順
1. 次のコマンドを入力します。
options cifs.oplocks.opendelta time
time is the delay in milliseconds.
cifs.oplocks.opendelta オプションを設定すると、ちょうどファイルを開いたばかりのクラ
イアントへの oplock ブレーク要求が延期されます。この数値を 35 より大きい値に設定す
る場合は、テクニカル サポートに問い合わせてください。
124 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
認証とネットワーク サービスの管理
このセクションでは、以前の NetBIOS プロトコルの管理の手順とストレージシステムの認証
について説明しています。
次のトピック
認証問題について ストレージシステムの最小セキュリティレベルの設定 Kerberos のパッシブリプレイアタックの防御 ドメインコントローラと LDAP サーバの選択 非-Kerberos 環境でストレージにアクセスするための null セッションの使用 ストレージシステムの NetBIOS エイリアスの作成 NetBIOS over TCP の無効化
認証問題について
ストレージ システムでは、UNIX 認証、 Windows ワークグループ認証、 Kerberos 認証の 3 種類の認証をサポートしています。
次のトピック
UNIX 認証について Windows ワークグループ認証について Kerberos 認証について
UNIX認証について
認証は、/etc/passwd ファイルにあるエントリ、NIS/LDAP ベース認証、またはその両方を使
用して UNIX モードで実行されます。
UNIX 認証の使用
• パスワードは “平文” (暗号化されていない文)で送信されます。 • 認証されたユーザには、一意でセキュア ユーザ ID (SID) のないクレデンシャルが付与され
ます。 • ストレージ システム は、ユーザー パスワードの “ハッシュ” (アルゴリズム変形)に対して受
信したパスワードを確認します。パスワードはストレージ システムには保存されません。
UNIX クライアント 認証を行うため、次の項目を設定する必要があります。
CIFS によるファイルアクセス| 125
• クライアント情報はストレージ システム の/etc/passwd ファイルの中になくてはなりませ
ん。 • クライアント情報は、 NIS 、 LDAP またはその両方に入力されなくてはなりません。 • Windows クライアント レジストリを変更して、平文パスワードを許可する必要があり
ます。
UNIX 認証は暗号化されていないパスワードを送信するため、Windows クライアントはレジ
ストリ編集を行い暗号化することなくパスワードを送信できるようにする必要があります。平
文パスワードをストレージ システムに送信するよう正しく設定されていないクライアントは、
アクセスが拒否され、次のようなエラー メッセージが表示されます。
クライアントが UNIX 認証を使用できるよう平文パスワードを有効にするための情報について
は、Microsoft のサポートに照会してください
Windowsワークグループ認証について
ワークグループ認証を行うとローカル Windows クライアント アクセスが可能になります。
ワークグループ認証の特徴は、次のとおりです。
• ドメイン コントローラには依存しません。 • ストレージ システム へ アクセスを 96 個 のローカル クライアントに制限します。 • トレージ システムの useradmin コマンドを使用して管理されます。
Kerberos認証について
Kerberos 認証が有効な場合、クライアントはストレージシステムに接続されると、最高のセ
キュリティ レベルをネゴシエートします。
選択できるセキュリティには 2つのプライマリ レベルがあります。
• NT Lan Manager (NTLM)、 lanman、 netlogon などのネットワーク サービスに基づく、
基本(Windows NT-4) セキュリティ
• Windows 2000 Kerberos 実装を使用した拡張セキュリティ
メモ:拡張セキュリティ機能は、 Windows Active Directory ドメインのメンバであるクライ
アントだけが利用できます。
ストレージシステムの最小セキュリティレベルの設定
ストレージ システムの最小セキュリティ レベル(ストレージ システムによって許可されるク
ライアントからのセキュリティ トークンの最低レベル)を設定するには、
cifs.LMCompatibilityLevel オプションを設定します。デフォルトでは、このオプションは 1 です。
System error 1240 has occurred. The account is not authorized to login from this station.
126 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
手順
1. 次のコマンドを入力します。
options cifs.LMCompatibilityLevel minimum_level
minimum_level は、ストレージ システムによって許可されるクライアントからのセキュリ
ティ トークンの最小レベルを表します。下表を参照してください。
Kerberosのパッシブリプレイアタックの防御
Kerberos 再生キャッシュは、ストレージ システムにユーザ認証コードを短期間保存すること
や、認証コードが後続の Kerberos チケットで再使用されないようにすることで、パッシブ リプレイ アタックを防ぎます。
タスク概要
Kerberos 認証コードの保存と比較によって、ストレージ システムでのいくつかの作業のパフ
ォーマンスにかなりの負荷がかかる場合があります。
このため、kerberos.replay_cache.enable オプションはデフォルトで off に設定されています。
手順
1. 次のいずれかの操作を実行します。
目的 操作
Kerberos 再生キャッシュを有効にする場合 次のコマンドを入力します。 options kerberos.replay_cache.enable on
Kerberos 再生キャッシュを無効にする場合 次のコマンドを入力します。 options kerberos.replay_cache.enable off
ドメインコントローラとLDAPサーバの選択
起動時には次に示すようにストレージ システムがWindows ドメイン コントローラを検索します。
値 説明
1 (デフォルト) ストレージ システムにより、 LM、 NTLM、 NTLMv2 のセッション セキュリティ が許可されます。また、NTLMv2 と Kerberos 認証も許可されます。
2 ストレージ システムにより、 NTLM と NTLMv2 セッション セキュリティ が許可さ
れます。また、NTLMv2 と Kerberos 認証も許可されます。 LM 認証は拒否されます。
3 ストレージ システムにより、 NTLMv2 セッション セキュリティ が許可されます。ま
た、 NTLMv2 と Kerberos 認証も許可されます。 LM と NTLM 認証は拒否されます。
4 ストレージ システム により、NTLMv2 と Kerberos 認証が許可されます。 LM、 NTLM、 NTLMv2 のセッション セキュリティ は拒否されます。
5 ストレージ システムにより Kerberos 認証のみが許可されます。
CIFS によるファイルアクセス| 127
このセクションでは、ストレージ システムがどのようにしていつドメイン コントローラを見つけて選択
するのかを説明します。
タスク概要
ストレージ システムは次のうちいずれかが当てはまる場合に、ドメイン コントローラを検索
します。
• ストレージ システムが起動またはリブートされている場合
• cifs resetdc コマンド が実行されている場合
• 直前の検索から 4 時間が経過した場合。
メモ:Active Directory LDAP サーバ は同じ条件で検索されます。
次のトピック
ドメイン コントローラの検出処理について 優先ドメインコントローラと LDAP サーバのリストの指定 prefdc リストからのサーバの削除 ドメインコントローラ接続のトラブルシューティング 優先ドメインコントローラと LDAP サーバのリストの表示 ドメインとストレージシステムの接続の再確立
ドメイン コントローラの検出処理について
ドメイン環境で CIFS を実行すると、ストレージ システムは Internet Control Message Protocol (ICMP)パケットを 4 時間ごとに送信することで、ドメイン環境のすべてのドメ
イン コントローラを再検出しようとします。これにより、現行のドメイン コントローラが
現在もアクセス可能であることを確認でき、パケットの応答時間を利用して使用可能なドメイ
ン コントローラの優先順位付けができます。
ストレージ システムは、接続レートの高いドメイン コントローラへのアクセスを失い、低
速レートのバックアップ ドメイン コントローラを使用することになった場合、接続レート
の高い接続が見つかるまで 2 分ごとにドメイン コントローラの検出処理を実行します。
該当する接続が検出されると、その新しいドメイン コントローラに接続して、元の 4 時間ご
との検出パケットの送信に戻ります。
次の表に、ドメイン コントローラの検出処理および優先グループを示します。ストレージ
システムは上位の優先グループのすべてのドメイン コントローラへの接続に失敗したときだ
け、優先順位が下位のグループに進みます。
メモ:Active Directory 環境については、サイト メンバーシップは、(使用できる優先ドメ
イン コントローラがない場合)ストレージ シスムがドメイン コントローラの選択時に
使用する基準の 1 つです。そのため、(ストレージ システムと同じサイトに含まれるス
トレージ システムのサブネット情報を使用して)Site と Service を適切に設定することが
重要です。
128 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ドメイン コントローラ カテゴリ 優先グループ: ドメイン コントローラが選択される順番
優先: prefdc リストのコントローラ グループ 1: 優先ドメイン コントローラは、コントローラが
prefdc リストに表示される順番に選択されます。 優遇: ストレージ システム と同じActive Directoryサイト
メンバーシップを共有するコントローラ
(Windows NT 環境のストレージ システムではこのカテゴ
リは空です。)
グループ 2: Ping されてから 1 秒以内に応答したドメイン コントローラ。応答時間の速い順 グループ 3: 1 秒以内に応答しなかったドメインコントロー
ラ、ただしストレージ システムと同じサブネットを共有 グループ 4: Ping に 1 秒以内に応答しなかったすべての
非ローカル ドメイン コントローラ
その他: サイト メンバーシップを共有しないコントローラ グループ 5: ping されてから 1 秒以内に応答したドメイン コントローラ。応答時間の速い順 グループ 6: 1 秒以内に応答しなかったドメインコントロー
ラ、ただしストレージ システムと同じサブネットを共有 グループ 7: ping に 1 秒以内に応答しなかったすべての
非ローカル ドメイン コントローラ
メモ:サイト メンバーシップは Active Directory ドメイン固有のものであるため、Windows
NT4 ドメインにも、ストレージ システムが NT4 サーバとして設定されている mixed モード
ドメインにも「優遇」カテゴリはありません。このような環境では、検出により見つかるすべ
てのドメイン コントローラは、「その他」のカテゴリに割り当てられます。
優先ドメインコントローラとLDAPサーバのリストの指定
優先ドメイン コントローラと LDAP サーバの一覧を指定するには、cifs prefdc add コマンドを
使用します。
手順
1. 次のコマンドを入力します。
cifs prefdc add domain address [address ...]
domain は、指定するドメイン コントローラまたは LDAP サーバ のドメインです。
address は、ドメイン コントローラまたは LDAP サーバ の IP アドレスです。
例 lab ドメインに対して 2 つの優先ドメイン コントローラを指定するには、次のコマンドを入力します。 cifs prefdc add lab 10.10.10.10 10.10.10.11 メモ:ストレージ システムに強制的に優先ドメイン コントローラまたは LDAP サーバの改訂リストを使用さ
せるには、cifs resetdc コマンドを使用します。
CIFS によるファイルアクセス| 129
prefdcリストからのサーバの削除
prefdc リストからサーバ を削除するには、 cifs prefdc delete コマンドを使用します。
手順
1. 次のコマンドを入力します。
cifs prefdc delete domain
domain は、優先ドメイン コントローラ または LDAP サーバ が配置されているドメイン
です。
2. 次のコマンドを入力します。
cifs resetdc [domain]
domain は、手順 1 で指定したドメインです。
ストレージ システムは、改訂された prefdc リストに指定された順番でドメイン コントロ
ーラの切断と検索を実行します。
例 prefdc リストから lab を削除するには、次のコマンドを入力します。 cifs prefdc delete lab
prefdc リストからドメインを削除したあとは、手順 2 に示すように、必ず cifs resetdc コマン
ドを実行して、ストレージシステムが使用可能なドメイン コントローラ情報を更新する必要
があります。
prefdc リストが更新されると、ストレージ システムはネットワーク サービスからドメイ
ン コントローラの検出情報を更新しません。
ドメインコントローラ情報をリセットできなかった場合には、ストレージ システムが使用で
きないドメインコントローラ(または LDAP サーバ)と接続を確立しようとしたときに接続
障害が発生することがあります。
メモ:再起動時に、ストレージ システムは自動的にドメイン コントローラの検出動作を実行
しません。ストレージ システムを再起動しても、使用できるドメイン コントローラと LDAP サーバのリストは更新されません。
ドメインコントローラ接続のトラブルシューティング
セキュリティを重視する観点から、ICTM エコー要求 (ping) のトラフィックが増加した場合は、
それがドメイン コントローラ接続ステータスの変更と関連しているかどうかを確認するよう
にしてください。
130 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
手順
1. ICMP パケットがすべて、ストレージ システム と既知の ドメイン コントローラとの間でやりとりされ
るパケットであることを確認します。既知のドメイン コントローラのリストを表示するには、 次のコ
マンドを入力します。
cifs domaininfo
2. ストレージ システムがこれらのデバイスに 4 時間ごとに Ping を実行していることを確認します。
3. これよりも多くの ping トラフィックが発生している場合は、ログを調べてドメイン コントローラとの
接続が切断されたことを示すメッセージがないかどうかを確認します。
4. 一時的に cifs.trace_dc_connection オプションを有効にして、ストレージ システム上のドメイン コントローラのアドレス検出と接続処理のすべてを記録することもできます。ログに取ることで、調べ
ているパケットと、ストレージ システムによるドメイン コントローラの再検出の通知時間を関連付
けることができます。このオプションの使用に関する詳細については、options(1)のマニュアル ページを参照してください。
優先ドメインコントローラとLDAPサーバのリストの表示
優先 ドメイン コントローラと LDAP サーバ リストを表示するには、 cifs prefdc print コマ
ンドを使用します。
手順
1. 次のコマンドを入力します。
cifs prefdc print [domain]
domain は、表示するドメイン コントローラのドメインです。ドメインが指定されないと、
このコマンドはすべてのドメインの優先ドメイン コントローラを表示します。
例 lab ドメインの優先コントローラと LDAP サーバ を表示するには、次のコマンドを入力します。 cifs prefdc print lab
ドメインとストレージシステムの接続の再確立
ストレージ システムとドメイン接続との接続を再確立するには、cifs resetdc コマンド を使用
します。
次の手順では、現在のドメイン コントローラからストレージ システムを切断して、ストレー
ジ システムと優先ドメイン コントローラとの接続を確立します。
CIFS によるファイルアクセス| 131
また、ドメイン コントローラを強制的に検出して、使用可能なドメイン コントローラの一覧
を更新します。
メモ:この手順は、 LDAP 接続も確立し、 LDAP サーバ 検出も実行します。
手順
1. 次のコマンドを入力します。
cifs resetdc [domain]
domain は、ストレージ システムから切断するドメインです。 省略すると、 ストレージ システムはストレージ システムがインストールされているドメインから切断されます。
例
lab ドメイン用のドメイン コントローラからストレージ システムを切断するには、次のコマンド
を入力します。 cifs resetdc lab
非-Kerberos環境でストレージにアクセスするためのnullセッションの使用
null セッション アクセスは、ローカル システムで稼働しているクライアントベースのサービ
スにストレージ システム データなどのネットワーク リソースのアクセス権を提供するこ
とです。null セッションは、クライアント処理が「システム」アカウントを使用して、ネット
ワーク リソースにアクセスする場合に発生します。null セッション設定は非 Kerberos 認証
に固有です。
次のトピック
ストレージシステムによる null セッションアクセスの実現方法 null ユーザに対するファイルシステム共有へのアクセス権の付与 Kerberos 環境のストレージにアクセスするためのマシンアカウントの使用
ストレージシステムによるnullセッションアクセスの実現方法
null セッション共有には認証が必要ないため、null セッション アクセスが必要なクライアン
トはその IP アドレスがストレージ システムにマッピングされている必要があります。
デフォルトでは、マッピングされていない null セッション クライアントは、共有の列挙など
一部の Data ONTAP システム サービスにはアクセスできますが、ストレージ システム
データへのアクセスは制限されます。
メモ: Data ONTAP では、cifs.restrict_anonymous オプションを使用して、Windows のレジストリ値の RestrictAnonymous をサポートします。これにより、マッピングされてい
ない null ユーザが表示またはアクセスできるシステム リソースの範囲を制御できます。
たとえば、共有の一覧や IPC$共有(非表示の名前付きパイプ共有)へのアクセスを無効
132 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
にできます。詳細については、options(1)のマニュアル ページを参照してください。
他の設定を行わない場合、null セッションを介してストレージ システム アクセスを要求する
ローカル処理を実行しているクライアントは、「everyone」などの非制限グループのメンバー
だけとなります。null セッション アクセスを選択されたストレージ システム リソースに制限
するため、すべての null セッション クライアントが属するグループを作成することができま
す。このグループを作成すると、ストレージ システム アクセスを制限して、特に null セッシ
ョン クライアントに適用されるストレージ システム リソース権限を設定することができます。
nullユーザに対するファイルシステム共有へのアクセス権の付与
null セッション クライアントからストレージ システム リソースへのアクセスを許可するには、
null セッション クライアントで使用されるグループを割り当てて、null セッション クライア
ントの IP アドレスを記録し、ストレージ システム上の、null セッションによるデータ アクセ
スが許可されているクライアント リストに追加します。
手順
1. /etc/usermap.cfg ファイルを開きます。 2. 次の形式を使用して各 null ユーザーごとにエントリを追加します。
IPqual:"" => UNIXacct
IPqual は IP アドレス (ホスト名または 数値ドット形式) またはサブネット (IP アドレス + ネトネットマスク)を指定します。 "" は、null ユーザーを指します。 => はマッピング方向を
指定します。UNIXacct はマッピングされた null ユーザに設定された UNIX アカウント (/etc/passwd か NIS 内) です。
3. null セッション クライアント用に使用しようとしているグループ名に
cifs.mapped_null_user_extra_group オプションを設定します。 4. 適切なアクセス権を null セッション クライアントに許可するための権限を設定します。
例 10.10.20.19:"" => exchuser 192.168.78.0/255.255.255.0:"" => iisuser IP アドレス10.10.20.19 のクライアントは、ストレージ システムへのnull セッション アクセスが許可
されます。 null ユーザ アカウントは、/etc/passwd またはNIS データベースになくてはならないexchuser というUNIX アカウントへマッピングされます。 また、192.168.78.0 クラスC サブネットからの接続を確立するクライアントは、null セッション アク
セスが許可され、UNIX アカウントiisuser にマッピングされます。他のnull ユーザのストレージ システムへの接続は許可されません。
CIFS によるファイルアクセス| 133
Data ONTAP は、/etc/usermap.cfg ファイルにマッピング構文を提供して、null ユーザ セッシ
ョンを使用したストレージ システム リソースへのアクセスが許可されるクライアントの IP アドレスを指定します。null ユーザのグループを作成すると、null セッションだけに適用される
ストレージ システム リソースおよびリソース権限のアクセス制限を指定できます。
マッピングされた IP アドレスからストレージ システムにアクセスするすべての null ユーザに
は、マッピングされたユーザ権限が付与されます。null ユーザでマッピングされたストレージ システムへの認証されていないアクセスを防ぐため適切な予防措置が必要です。
最大限の保護を行うため、ストレージ システムおよび null ユーザ ストレージ システム アク
セスが必要なすべてのクライアントを別のネットワークに置き、IP アドレスの「なりすまし」
を防ぎます。
Kerberos環境のストレージにアクセスするためのマシンアカウントの使用
マシン アカウントには、ユーザ アカウントとして同じ Kerberos 認証が適用されるため、スト
レージ システム上でマッピングする必要がありません。
Kerberos を使用して認証を行う場合、「システム」アカウントを使用してローカル処理を実
行するクライアントは、リモート リソースにアクセスするときに、これらの処理をマシン アカウントに割り当てます。マシン アカウントにはドメイン コントローラで登録されたコンピ
ュータ名が割り当てられ、後ろにドル記号($)が付きます。
マシン アカウントによるデータ アクセスを防ぐ方法
デフォルトでは、マシン アカウントは(他の認証ユーザと同様に)データ共有に常にアクセ
スできます。ただし、セキュリティ上の理由から、Kerberos 対応クライアント上で実行され
るサービスが CIFS を使用してデータにアクセスするのを防止したい場合があります。
メモ: マシン アカウントによるデータ共有へのアクセスを無効にすると、オフライン フ
ォルダやプロファイルのローミングなど多くのサービスが機能しなくなります。マシン
アカウントのアクセスを無効にする前に、ストレージ システムで必要なサービスをよく
確認してください。
手順
1. 次のコマンドを入力します。
cifs access -delete share_name –m
メモ: IPC$ 共有 (非表示の名前付きのパイプ共有) へのアクセスは変更できず、常に許
可されます。
その詳細については、 cifs_access(1) マニュアル ページを参照してください。
134 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ストレージシステムのNetBIOSエイリアスの作成
NetBIOS エイリアスを作成するには、cifs.netbios_aliases オプションを設定するか、または /etc/cifs_nbalias.cfg ファイルを編集します。
タスク概要
NetBIOS エイリアスは、ご使用のストレージ システムの代わりに使用される名前です。 リス
ト内に記述されるどの名前を使用しても、ストレージ システムに接続できます。
cifs.netbios_aliases オプションを使用すると、カンマで区切られたNetBIOSエイリアス
のリストを作成できます。リストにはカンマを含めて 255 文字まで入力できます。
/etc/cifs_nbalias.cfg ファイルには最大 200 個のエントリを入力できます。
次のトピック
コマンドラインを使用した NetBIOS エイリアスの作成 /etc/cifs_nbalias.cfg ファイルでの NetBIOS エイリアスの作成 NetBIOS エイリアスのリストの表示
コマンドラインを使用したNetBIOSエイリアスの作成
コマンド ラインを使用して、NetBIOSエイリアスを作成するには、cifs.netbios_aliases オプションを使用します。
手順
1. 次のコマンドを入力します。
options cifs.netbios_aliases name,...
カンマを含めて 255 文字まで入力できます。
例
options cifs.netbios_aliases alias1,alias2,alias3
2. 次のコマンドを入力して、エントリを処理します。
cifs nbalias load
/etc/cifs_nbalias.cfgファイルでのNetBIOSエイリアスの作成
/etc/cifs_nbalias.cfg ファイル内に NetBIOS エイリアスを作成できます。
デフォルトの cifs_nbalias.cfg ファイルがない場合には、CIFS 開始時に/etc ディレクトリにこ
のファイルが作成されます。
このファイルの変更内容は、CIFS 起動時に自動的に処理されます。
CIFS によるファイルアクセス| 135
コマンド cifs nbalias load を使用しても、このファイルの変更内容を処理することもできます。
手順
1. 編集する/etc/cifs_nbalias.cfg ファイルを開きます。 2. /etc/cifs_nbalias.cfg ファイルに 、NetBIOS エイリアスのエントリを 1 行に 1 つずつ入力します。
メモ: ASCII 文字または Unicode 文字を使用して、ファイルに NetBIOS エイリアスを
200 個 まで入力できます。
3. 次のコマンドを入力してエントリを処理します。
cifs nbalias load
NetBIOSエイリアスのリストの表示
NetBIOS エイリアスのリストを表示するには、cifs nbalias コマンドを入力します。
手順
1. 次のコマンドを入力します。
cifs nbalias
NetBIOS over TCPの無効化
NetBIOS over TCP が、Windows 2000 ネットワーク内で無効になっている場合、
cifs.netbios_over_tcp.enable オプションを使用して、ストレージ システム上で NetBIOS over TCP を無効にできます。
タスク概要
NetBIOS over TCP は、Windows 2000 より前の CIFS サービスに使用されていた標準プロト
コルです。デフォルトでは、ストレージ システム上で cifs.netbios_over_tcp.enable プロトコ
ルを使用するオプションが有効になります。
このオプションは、Windows 2000 の[TCP/IP 詳細設定]タブにある[enable NetBIOS over TCP (NetBIOS over TCP を有効にする)]と同等の機能があります。
ストレージ システム上で NetBIOS over TCP のステータスを確認するには、nbtstat(1)のマニ
ュアル ページの説明に従って nbtstat コマンドを使用します。
NetBIOS over TCP を無効にするため、すべてのストレージ システム クライアントは
Windows 2000 以降を実行している必要があります。NetBIOS over TCP を無効にしたら、
Windows 2000 ドメイン コントローラおよびウィルス スキャンだけを使用できます。
メモ: 一度 NetBIOS over TCP を無効にすると、クライアントは shutdown メッセージや vscan 警告などの Data ONTAP 通知メッセージを受信できません。
手順
136 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
1. 次のコマンドを入力します。
options cifs.netbios_over_tcp.enable off
CIFS アクティビティの監視
このセクションでは、CIFS セッションのアクティビティの監視とストレージシステムの統計
収集について説明します。
タスク概要
次の種類のセッション情報を表示できます。
• セッション情報の要約。ストレージ システム情報と、接続中の各ユーザが開いている共
有およびファイルの数が表示されます。 • 接続中の 1 ユーザーまたはすべてのユーザに関する共有およびファイルの情報。次の内
容が表示されます。 • 接続中の特定ユーザまたはすべてのユーザが開いている共有の名前 • 開いているファイルのアクセス レベル • 接続中の特定ユーザまたはすべてのユーザに関するセキュリティ 情報。UNIX UID
と 、ユーザが属している UNIX グループおよび Windows グループのリストが表示さ
れます。
メモ:セッション情報に表示される、開いている共有の数には、非表示の IPC$ 共有が含まれま
す。
次のトピック
ユーザを指定するさまざまな方法 セッション情報の要約の表示 アイドルセッションのタイムアウト 統計のトラッキング 特定の統計の表示 統計クエリの保存と再使用 CIFS リソースの制限
ユーザを指定するさまざまな方法
接続中のユーザに関するセッション情報を表示する場合は、ユーザ名またはワークステーシ
ョンの IP アドレスでユーザを指定します。さらに、ユーザが Windows 2000 より前のクライ
アントからストレージ システムに接続している場合は、ワークステーション名を指定できま
す。
クライアントが、認証されていない「null」セッションで接続することがあります。このよう
なセッションは、共有を列挙するためにクライアントが使用する場合があります。クライアン
CIFS によるファイルアクセス| 137
トが null セッションだけでストレージ システムに接続している場合、次のステータスメッセ
ージが表示されます。
User (or PC) not logged in
セッション情報の要約の表示
cifs sessions コマンドを使用すると、セッション情報の要約を表示できます。
手順
1. 次のコマンドを入力します。
cifs session
アイドルセッションのタイムアウト
アイドル セッションが切断するまでの経過時間(秒)を指定できます。
タスク概要
アイドル セッションが切断されるまでの経過時間(秒)を指定できます。ユーザがストレー
ジ システム上でファイルを開いていない場合、セッションはアイドル状態とみなされます。
デフォルトでは、アイドル状態になってから 30 秒経過したセッションは切断されます。
アイドル セッションが切断されると、次回クライアントがストレージ システムにアクセスす
るとき、そのセッションが自動的に再接続されます。
手順
1. 次のコマンドを入力します。
options cifs.idle_timeout time
time は、秒です。新しい切断までのアイドル時間を指定します。
このオプションの新しい値は、すぐに有効になります。
統計のトラッキング
stats コマンドを使用して、パフォーマンスをトラッキングするシステム統計を表示できます。
タスク概要
stats コマンドは、CIFS 関連の統計に限りません。統計データを出力する stats コマンドには、
stats show(リアルタイム統計データ)と stats stop(一定時間内での統計のトラッキング)
の 2 つがあります(cifs stat コマンドがまだ使用可能であることに注意してくだい)。
138 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
stats コマンドで表示される統計はカウンタで累算されます。特定のカウンタを参照するには、
object_name:instance_name:counter_name という形式の階層的な名前を使用します。たとえ
ば、カウンタ名は、system:system:cifs_ops などになります。stats list コマンドを使用すると、
ストレージ システムで使用可能な object_names、instance_names、および counter_names を判別できます。
stats show コマンドの出力により、コマンドを実行した瞬間のストレージ システムに関する
データが提供されます。一定の期間で統計をトラックするには、stats start コマンドを使用し
てトラックする期間の開始時点を指定し、stats stop コマンドで統計データ収集期間の終了時
点を指定します。Data ONTAP は、stats stop コマンドが入力されるとすぐに収集データを出
力します。
Data ONTAP では、stats start と stats stop コマンドを使用して異なる統計を並行してトラッ
クできます。これを実現するには、インスタンス(-i)引数を stats start と stats stop コマンドに
入力します。使用法と構文の詳細については、stats(1)のマニュアル ページを参照してくださ
い。
手順
次のコマンドを入力して、stats コマンドでトラックされたオブジェクトのリストを参照します。 stats list objects
Data ONTAP は、 stats show object_name コマンドを使用して、参照可能なオブジェク
トのリストを返します。
次のコマンドを入力して、統計インスタンスの一覧を表示します。
stats list instances
Data ONTAP は、 stats show コマンドを使用して参照可能なインスタンスの一覧を返し
ます。これらのインスタンスを使用して、stats show コマンドの出力を絞り込むことがで
きます。
次のコマンドを入力して、統計カウンターの一覧を表示します。
stats list counters
Data ONTAP は、 stats show コマンドを使用して参照可能なカウンタの一覧を返します。
次のコマンドを入力して、すべてのカウンター、インスタンス、または、オブジェクトの説明を表示してください。
stats explain counters
Data ONTAP により、stats show コマンドの出力の絞り込みに使用できるすべてのカウン
ター、インスタンス、または、オブジェクトの説明が返されます。
CIFS によるファイルアクセス| 139
特定の統計の表示
個々の統計をトラックするために監視できるオブジェクト、インスタンス、およびカウンタが
わかれば、cifs show コマンドの出力を絞り込むためにコマンド ラインの引数としてそれらを
使用できます。
タスク概要
詳細については、 stats(1) のマニュアルページを参照してください。
手順
1. 次のコマンドを入力します。
stats show [[object_name][:instance_name][:counter_name]]
Data ONTAP は、要求された特定の統計を返します。
統計クエリの保存と再使用
通常実行する「事前設定された」統計クエリは、保存して再使用することができます。
事前設定されたクエリは、次に示す場所と名前の形式で、XML ファイルに保存されます。
/etc/stats/preset/preset_name.xml
クエリの保存と再使用方法の詳細については、stats_preset(5)のマニュアル ページを参照して
ください。
CIFSリソースの制限
一部の CIFS のリソースへのアクセスは、ストレージシステムのメモリおよび CIFS サービス
に使用可能な最大メモリ量によって制限されます。
該当するリソースは、次のとおりです。
• 接続 • 共有 • 共有接続 • ファイルを開く • ロック されたファイル • ロック
メモ: ご使用のストレージ システムでこれらのカテゴリの十分なリソースを取得できな
い場合は、テクニカル サポートにお問い合わせください。
140 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
CIFS サービスの管理
このセクションでは、 ストレージ システム上の CIFS サービスを管理ついて説明しています。
次のトピック
MMC を使用した特定のクライアントの切断 コマンドラインによる選択したユーザの切断 ストレージシステム全体での CIFS サービスの無効化 CIFS シャットダウンメッセージを受信するユーザの指定 CIFS サービスの再開 ストレージシステム上のすべてのユーザへのメッセージ送信 ストレージシステムの説明の表示と変更 ストレージシステムのコンピュータ アカウントパスワードの変更 Windows 管理ツールを使用したファイル管理
MMCを使用した特定のクライアントの切断
MMC を使用して、クライアントを切断できます。
手順
1. MMC をストレージ システムに接続します。 2. 左パネルで[Computer Management (コンピュータの管理)]が選択されていない場合は、選択
します。 3. [System Tools (システムツール)] > [Shared folders (共有フォルダ)] > [sessions (セッショ
ン)]の順にダブルクリックします。 4. 次のアクションのうち 1 つを行います。
目的 操作
特定クライアントを切断する場合 a. クライアントの名前を右クリックします。 b. [Close session(セッションを閉じる)] をクリックしま
す。 c. [OK] をクリックします。
全クライアントを切断する場合
a. [Session (セッション)]を 右クリックします。 b. [Disconnect All Session (セッションをすべて切
断)] をクリックします。 c. [Yes]をクリックします。
コマンドラインによる選択したユーザの切断
コマンド ラインを使用して、選択したユーザを切断するには、 cifs terminate コマンドを使用
します。
CIFS によるファイルアクセス| 141
手順
1. 次のコマンドラインを入力して、接続中のクライアントの一覧を表示します。
cifs session*
2. 次のコマンドを入力して、クライアントを切断します。
cifs terminate client_name_or_IP_address [-t time]
client_name_or_IP_address は、ストレージ システムから切断したいワークステーション
の名前または IP アドレスを指定します。
time は、クライアントがストレージ システムから切断されるまでの待機時間(分)です。0 を指定すると、クライアントがすぐに切断されます。
メモ:time を指定しない場合に、クライアントで開いているファイルが検出されると、
クライアントを切断するまでの待機時間(分)の入力を求めるメッセージが表示されま
す。
事例 次のコマンドで、クライアントがすぐに切断されることをユーザに知らせるメッセージが、 jsmith-pc というワークステーションに通知されます。 コマンドを入力してから5 分後に、jsmith-pc がストレージ システムから切断されます cifs terminate jsmith-pc -t 5
ストレージシステム全体でのCIFS サービスの無効化
CIFS サービスの無効化の設定は、リブート後は維持されません。CIFS サービスを無効にした
あとでストレージシステムをリブートすると、CIFS サービスが自動的に再開されます。
手順
1. 次のコマンドを入力して、CIFS サービスを無効にします。
cifs terminate [-t time]
time は、ストレージ システムがすべてのクライアントを切断し CIFS サービスを終了す
るまでの待機時間(分)です。0 を入力すると、コマンドはすぐに有効になります。
メモ: 引数を指定しないで、cifs terminate コマンド を入力した場合に、クライアントで
開いているファイルが検出されると、クライアントを切断するまでの待機時間(分)の入
力を求めるメッセージが表示されます。
2. 次の操作のいずれかを行います。
目的 操作
次回のストレージ システムのりブート時に CIFSサービ
スが自動的に開始させる場合 特別な操作は必要ありません。
次回のストレージ システムのリブート時に CIFSサービ
スが自動的に開始しないようにする場合 /etc/cifsconfig.cfg ファイルの名前を変更します。
142 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
結果
クライアントがすぐに切断されることをユーザに知らせるメッセージが、接続中のすべてのク
ライアントに送信されます。コマンドは入力してから 5 分後に、すべてのクライアントが切断
され、ストレージシステムは CIFS サービスを停止します。
完了後
ストレージ システム全体でCIFS サービスを無効にすると、ほとんどの cifs コマンド は使
用できなくなります。 CIFS を無効にしても使用できる cifs コマンドは次の通りです。
• cifs prefdc
• cifs restart
• cifs setup
• cifs testdc
CIFSシャットダウンメッセージを受信するユーザの指定
cifs terminate コマンドを実行すると、Data ONTAP のデフォルトでは、CIFS サービスが切断
されることをユーザに知らせるメッセージが接続中のすべてのクライアントに送信されます。
デフォルトの設定を変更して、これらのメッセージを送信しないようにしたり、ファイルを開
いている接続中のクライアントだけに送信したりできます。
手順
1. 次のコマンドを入力します。
options cifs.shutdown_msg_level {0 | 1 | 2}
CIFS シャットダウン メッセージを送信しない場合は、 0 を使用します。
ファイルを開いている接続中のクライアントだけにメッセージを送信する場合は、 1 を使
用します。接続中のすべてのクライアントにメッセージを送信する場合は、2 を使用しま
す。これが、デフォルトの設定です。
CIFSサービスの再開
CIFS サービスを再開するには、cifs restart コマンドを入力します。
手順
1. 次のコマンドを入力します。
cifs restart
CIFS によるファイルアクセス| 143
結果
ストレージ システム はドメイン コントローラに接続し、CIFS サービスを再開します。
ストレージシステム上のすべてのユーザへのメッセージ送信
重要なイベントを知らせる場合、ストレージ システム上のすべてのユーザにメッセージを送
信することができます。このメッセージは、ユーザのコンピュータの警告ボックスに表示され
ます。
タスク概要
cifs terminate コマンドを入力すると、接続中のユーザにメッセージが自動的に送信されます。
ただし、すべてのファイルを閉じるようにユーザに指示する場合など、CIFS サービスを停止
しないでメッセージを送信する場合は、サーバー マネージャまたは Data ONTAP コマンド ラインを使用してメッセージを送信します。ブロードキャスト メッセージを受信しないクライ
アントがいるかもしれません。次の制限と前提条件がこの機能に適用されます。
• Windows 95 および Windows for Workgroups のクライアントは、WinPopup プログラム
を設定する必要があります。 • Windows 2003 および Windows XP Service Pack 2 のクライアントは、メッセンジャ サー
ビスを有効にする必要があります(デフォルトでは無効)。 • ユーザへのメッセージは、NetBIOS over TCP を使用して接続された Windows クライア
ントだけが見ることができます。
メモ: ネットワーク構成は、どのクライアントがブロードキャスト メッセージを受信す
るかに影響を与える場合もあります。
手順
1. 次のアクションのうち いずれかを行います。
目的 操作
ストレージ システムに接続中のすべての CIFS ユーザーに
メッセージを送信する場合 次のコマンドを入力します。 cifs broadcast * "message"
ストレージ システムに接続中の特定の CIFSユーザにメッ
セージを送信する場合 次のコマンドを入力します。 cifs broadcast client_name "message"
特定のボリュームに接続中のすべての CIFS ユーザにメッ
セージを送信する場合 次のコマンドを入力します。 cifs broadcast -v volume "message"
144 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ストレージシステムの説明の表示と変更
わかりやすい説明を追加すると、ネットワーク上の他のコンピュータとストレージ システム
を区別できます。
タスク概要
ストレージ システムの説明は、ネットワークを参照する際に[コメント]フィールドに表示され
ます。ストレージ システムを最初に使用するときは、ストレージ システムの説明はありませ
ん。説明は、48 文字まで入力できます。
手順
1. 次のコマンドを入力して、現在のストレージシステムの説明を表示します。
cifs comment
2. 次のコマンドを入力して説明を変更します。
cifs comment "description"
ストレージシステムのコンピュータ アカウントパスワードの変更
cifs changefilerpwd コマンドは、ストレージ システム(Active Directory ドメインまたは NT4 ドメインのどちらか)にそのドメイン アカウント パスワードをただちに変更するよう指示しま
す。
cifs.weekly_W2K_password_change オプションに on が設定されている場合、Windows Active Directory ドメインに属するストレージ システムでは 1 週間に 1 回ドメイン パスワード
が変更になります。
タスク概要
詳細については、 cifs_changepassword(1) と options (1) マニュアル ページをご参照ください。
手順
1. 次のコマンドを入力します。
cifs changefilerpwd
ストレージ システムによって次のメッセージが表示されます。
password change scheduled.
password change がスケジュールされて、 パスワードは通常 1 分以内に変更されます。
2. オプションとして、次のコマンドを入力します。
options cifs.weekly_W2K_password_change {on | off}
Windows Active Directory ドメインに属するストレージ システムでは、1 週間に 1 回ドメ
イン パスワードが変更されます。パスワードの変更は日曜日の午前 1 時前後に発生しま
す。デフォルトは off です。
CIFS によるファイルアクセス| 145
Windows管理ツールを使用したファイル管理
Windows 管理ツールを使用することで、一部の CIFS ファイル アクセス管理タスクを行うこ
とができます。次の Windows 管理ツールは、 Data ONTAP と互換性があります。
• Microsoft Management Console (MMC)用コンピュータ管理スナップイン(管理用) • Microsoft Active Directory ユーザ MMC スナップイン • Microsoft イベントビューア • Microsoft パフォーマンス
上記の Microsoft 管理ツールを使用してストレージ システムを管理する手順は、 Windows サーバを管理する手順とほとんど同じですこの章で説明する手順は、Windows サーバとは異な
る Data ONTAP 管理タスクの情報です。
Windows サーバ管理ツールに入力するテキストと異なり、Data ONTAP コマンド ラインは大
文字と小文字を区別します。たとえば、Windows でボリューム名を指定するときには、小文
字または大文字のどちらでも入力できます。Windows ツールでは、TEST という名前の qtree と同じレベルで Test という名前の qtree は作成できません。Windows ツールはこれらの名前
を区別しないためです。Data ONTAP コマンド ラインからなら、これら 2 つの qtree を作成
して区別することができます。
NT ユーザー マネージャを使用してストレージ システムを設定するときに、次の制限が NT ユーザー マネージャに適用されます。
ストレージ システムはローカル ユーザをサポートしていますが、ローカル ユーザ アカウ
ントの作成や削除には、[ユーザー]メニューの[新しいユーザー]を使用できません。
[原則]メニューは無効になりますが、ポリシーによっては、オプションまたはグループ メン
バーシップを使用して制御できます。
Data ONTAP に該当する機能がないため、次の NTサーバマネージャ機能はサポートされてい
ません。
• サービスの停止と開始 • 警告の受信者の指定
アクセス制御問題のトラブルシューティング
アクセス制御問題のトラブルシューティングを行うには(つまり、ストレージ システム上の
ファイルへのアクセスが、本来あるべき設定と異なり、クライアントまたはユーザに対して許
可または禁止されている理由を判別するには)、sectrace コマンドを使用します。
次のトピック
権限トレースフィルターの追加 権限トレースフィルターの削除
146 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
権限トレースフィルターの表示 Data ONTAP で特定のクライアントまたはユーザへのアクセスが許可拒否される理由の詳細の取
得
権限トレースフィルターの追加
権限トレース フィルタを追加すると、クライアントまたはユーザがストレージ システムの処
理を実行できる理由、またはできない理由に関する情報を Data ONTAP がシステム ログに記
録するようになります。
タスク概要
権限トレース フィルタを追加すると、ストレージ システムのパフォーマンスが若干低下する
ため、デバッグ目的以外で権限トレース フィルタを追加しないでください。デバッグが完了
したら、権限トレース フィルタをすべて削除する必要があります。さらに、コンソールに大
量の EMS メッセージが送信されないように、できるだけ具体的なフィルタリング基準を指定
する必要があります。
次の制限に注意してください。
• 権限トレース フィルタは vFiler ごとに 10 個まで追加できます。
• CIFS 要求に関する権限トレース フィルタだけを追加できます。
手順
1. 次のコマンドを入力します。
sectrace add [-ip ip_address] [-ntuser nt_username] [-UNIXuser
UNIX_username] [-path path_prefix] [-a]
ip_address は、アクセスを試みているクライアントの IP アドレス。
nt_username は、 アクセスを試みている Windows NT のユーザー名。
unix_username は、 アクセスを試みているユーザーの UNIX ユーザー名。NT ユーザを指
定する場合は、 UNIX ユーザ名を指定できません。
path_prefix は、アクセスをトレースするファイルのパス名の接頭辞。たとえば、
/vol/vol0/home/ディレクトリ内にある、名前が "file" で始まるすべてのファイル
(/vol/vol0/home/file100 や /vol/vol0/home/file200 など)へのアクセスをトレースするには、
/vol/vol0/home/file を指定します。
- a は、拒否される要求だけでなく、許可される要求もストレージシステムがトレースす
るように指定します。
例 次のコマンドを実行すると、IP アドレスが 192.168.10.23 のクライアントから送信されるアクセス要求のうち、
Data ONTAP で拒否されたアクセス要求をすべてトレースする権限トレースフィルタが追加されます。
CIFS によるファイルアクセス| 147
sectrace add -ip 192.168.10.23 次のコマンド を実行すると、UNIXユーザ foo からパス/vol/vol0/home4 に送信されるアクセス要求のうち、
DataONTAP で許可または拒否されたアクセス要求をすべてトレースする権限トレースフィルタが追加されます。 sectrace add -UNIXuser foo -path /vol/vol0/home4 -a
権限トレースフィルターの削除
権限トレース フィルタを追加すると、システムパフォーマンスが若干低下するため、アクセ
スエラーのデバックが完了したら削除する必要があります。
手順
1. 次の操作を実行のいずれかを実行してください。
目的 操作
すべての権限トレースフィルタを削除する場合 次のコマンドを入力します。 sectrace delete all
特定の権限トレースフィルタを削除する場合 次のコマンドを入力します。 sectrace delete index indexは、削除する権限とレースフィルタのインデックスで
す。(権限トレースフィルタを追加すると、1~10のインデッ
クスが割り当てられます。)
例 インデックスが 1 の権限トレースフィルタを削除するには、次のコマンドを入力します。 sectrace delete 1
権限トレースフィルターの表示
ストレージ システムまたは vFiler の権限トレース フィルターを表示するには、sectrace show コマンドを使用します。
手順
1. 次のコマンドを入力します。
sectrace show [index]
index は、表示する権限トレースフィルタのインデックスです(権限トレースフィルタを追
加すると、1~10 のインデックスが割り当てられます)。インデックスを指定しない場合は、
すべての権限トレースフィルタが表示されます。
148 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
例 ストレージシステムの権限トレースフィルタをすべて表示するには、次のコマンドを入力します。 sectrace show すべての権限トレースフィルタが次のような出力で表示されます。
Sectrace filter: 1 Hits: 5 Path: /vol/vol1/UNIX1/file1.txt NT User: CIFS-DOM\harry Trace DENY and ALLOW events Sectrace filter: 2 Hits: 7 IP Addr: 10.30.43.42 Path: /vol/vol1/mixed1/dir1/file1.txt NT User: CIFS-DOM\chris Trace DENY and ALLOW events Sectrace filter: 3 Hits: 1 Path: /vol/vol1/mixed1/file2.txt NT User: CIFS-DOM\chris
Trace DENY events
Data ONTAPで特定のクライアントまたはユーザへのアクセスが許可拒否される理由の詳細の取得
権限トレース フィルタの基準が満たされている場合は、コンソールに EMS メッセージが表示
されます。Data ONTAP で特定のクライアントまたはユーザへのアクセスが許可または拒否さ
れる理由の詳細を取得するには、sectrace print-status コマンドを使用します。
手順
1. 次のコマンドを入力します。
sectrace print-status status_code
status_code は、 ストレージ システムで許可または拒否されている要求に関するストレー
ジ システムログ内の"Status:"タグの値に対応しています。
例 権限トレースフィルタを追加した結果、コンソールに次の EMS メッセージが表示されたとします。
CIFS によるファイルアクセス| 149
Thu Dec 20 13:06:58 GMT [sectrace.filter.allowed:info]: [sectrace index: 1] Access allowed because 'Read Control, Read Attributes, Read EA, Read' permission (0x20089) is granted on file or directory (Access allowed by unix permissions for group) - Status: 1:6047397839364:0:0 - 10.73.9.89 - NT user name: CIFS-DOM\harry - UNIX user name: harry(4096) - Qtree security style is MIXED and unix permissions are set on file/directory - Path: /vol/vol1/mixed1/ file1.txt
Data ONTAP で特定ユーザーに特定のファイルへのアクセスが許可される理由の詳細を取得するには、次の
コマンドを入力します。
sectrace print-status 1:6047397839364:0:0
メモ: sectrace print-status コマンドを呼び出す場合は、対応するエラー メッセージの "Status:"行のテー
タス コードを指定する必要があります。
応答には、次のような詳細が示されます。 secAccess allowed because 'Traverse' permission is granted on requested path. - Access allowed by UNIX permissions for others. - Access allowed because requested permission is granted on file or directory. - Access allowed by share-level ACL. - Access allowed by UNIX permissions for group. trace print-status 1:6047397839364:0:0
Fpolicy の使用
Fpolicy を使用すると、ストレージ システムに接続されたパートナー アプリケーションから
ファイル アクセス権限を監視したり、設定したりすることができます。
次のトピック
Fpolicy の概要 Data ONTAP 内での Fpolicy の使用 ネイティブファイルブロッキングの使用方法 Fpolicy との連携 FAQ、エラーメッセージ、警告メッセージ、およびキーワード
Fpolicyの概要
ここでは、Fpolicy のシステム アーキテクチャ、Fpolicy の仕組み、 Fpolicy の一般的な使用事
例、さまざまな Fpolicy アプリケーション、 および Fpolicy の制限について説明します。
次のトピック
Fpolicy Fpolicy の機能 Fpolicy 作業フローチャート ストレージ環境の Fpolicy 複数サーバ構成機能 Fpolicy の制限
150 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
Fpolicy
FPolicy は、NetApp ストレージ システムに接続されたパートナー アプリケーションからファ
イル アクセス権限を監視および設定する機能を備えた、Data ONTAP のインフラ コンポーネ
ントです。
クライアントがネットアップ ストレージ システムからファイルにアクセスするたびに、
FPolicy の設定に基づいて、パートナー アプリケーションにファイル アクセス情報が通知され
ます。パートナーはこの情報を使用して、ストレージ システムに作成されたファイル、ある
いはアクセスされているファイルに制限を設定できます。
FPolicy を使用すると、ファイル形式に従ってファイル操作権限を指定するファイル ポリシー
を作成できます。たとえば、JPEG や.mp3 ファイルなど特定のファイル形式について、スト
レージ システムへの保存を制限することができます。
Data ONTAP 6.4 に最初に導入された FPolicy では、CIFS プロトコルのみがサポートされてい
ました。NFS プロトコルのサポート は、Data ONTAP 7.0 で追加されました。ただし、NFS固有のイベントを処理する場合も、FPolicy には CIFS のライセンスが付与されている必要が
あります。
FPolicy は、ファイルを作成する、開く、名前を変更する、削除するといった、個々のクライ
アント システムからの操作の要求をストレージ システムがどのように処理するかを決定しま
す。 ストレージ システムは、ポリシー名や該当するポリシーがアクティブかどうかなど、
FPolicy の一連のプロパティを維持します。ストレージ システム コンソール コマンドを使用
して、FPolicy のこれらのプロパティを設定できます。
FPolicy インターフェイスは Data ONTAP API(別名 ONTAPI )です。この API で Distributed Computing Environment(DCE)は動作し、Remote Procedure Calls(RPC;リモート プロシ
ージャ コール)が使用されます。これらのツールを使用することにより、外部アプリケーシ
ョンは FPolicy サーバとして登録できます。
プログラマは FPolicy インターフェイスを使用して、別のプラットフォームで実行中の外部ア
プリケーションから、ストレージ システムまたは NearStore システムに高度なファイル スク
リーニング機能を実装できます。
FPolicy インターフェイスを利用するアプリケーションは、次の処理を実行できます。
• 1 つ以上のストレージ システムに 1 つ以上の FPolicy を登録する • ファイルを開く、作成する、名前を変更するなど、ファイル操作に関する通知を受信する • 通知を受信した任意のファイルへのアクセスをブロックする
FPolicy では次のプロトコルがサポートされています。
• CIFS • NFS(バージョン 2、バージョン 3、バージョン 4)
FPolicy サーバでは次のフィルタを使用できます。
• プロトコル • ボリューム名
CIFS によるファイルアクセス| 151
• ファイル拡張子 • オフライン ビット • 操作
Data ONTAP のファイル スクリーニングは、次の 2 つの方法で有効にできます。
• 外部ファイル スクリーニング ソフトウェアの使用 ファイル スクリーニング ソフトウェアは、ファイル スクリーニング サーバとして機能す
るクライアント上で実行されます。ファイル スクリーニング ソフトウェアを使用すると、
ファイルの内容の制御とフィルタリングが柔軟に行えます。
メモ:最適なパフォーマンスを得るために、FPolicy サーバをストレージ システムと同一のサブ
ネットに設定することを推奨します。
• ネイティブ ファイル ブロッキングの使用
ファイル スクリーニング ソフトウェアはストレージ システム上でネイティブ実行されま
す。ネイティブ ファイル ブロッキングは、ファイル タイプで制限するシンプルな拒否機
能を備えています。
Fpolicyの機能
NFS および CIFS により、クライアントからアクセスされたときに通知を送信するように
FPolicy サーバを設定するには、FPolicy サーバを事前にストレージ システムに登録する必要
があります。
FPolicy サーバをストレージ システムに登録したあとに、クライアントがファイルへのアクセ
スを求める要求を行うと、ストレージ システムは FPolicy サーバに、登録されている通知用イ
ベントを通知します。クライアント要求を受信したストレージ システムは、通知の一部とし
て、クライアント アクセスに関する情報を FPolicy に送信します。FPolicy サーバに送信され
る情報には、ファイル名、パス名、クライアント情報、プロトコル情報、クライアントから要
求された操作などがあります。受信された情報および FPolicy サーバの構成に基づいて、
FPolicy サーバはクライアントの要求に応答します。FPolicy サーバは、クライアントからの要
求を許可または拒否するのかについて、ストレージ システムと通信します。
ファイル ポリシーを使用すると、ファイルまたはディレクトリ操作を指定して、これらに制
限を設けることができます。Data ONTAP は、(開く、書き込む、作成する、名前を変更する
などの)ファイルまたはディレクトリ操作要求を受信すると、ファイル ポリシーをチェック
してからその操作を許可します。
ポリシーでファイルの拡張子に基づいたスクリーニングが指定されている場合、ファイル スクリーニングはファイル スクリーニング サーバ上またはストレージ システム上で実行されま
す。
次に、これらのファイル スクリーニングの方法について説明します。
• ファイル スクリーニング サーバ上で実行する場合(外部スクリーニング ソフトウェアを使用):ファ
イルをスクリーニングするファイル スクリーニング サーバに通知が送信されます。ファイル スクリ
ーニング サーバはルールを適用して、要求されたファイル操作をストレージ システムが許可すべ
152 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
きかどうかを判断します。ファイル スクリーニング サーバは、要求されたファイル操作を許可また
は拒否する応答をストレージ システムに送信します。
• ストレージ システム上で実行する場合(ネイティブ ファイル ブロッキングを使用)要求
は拒否され、ファイル操作がブロックされます。
関連する概念
ネイティブファイルブロッキング
Fpolicy作業フローチャート
フローチャートに、Fpolicy の使用モデルの概要を示します。
CIFS によるファイルアクセス| 153
図 1: Fpolicy フローチャート
154 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ストレージ環境のFpolicy
クライアントがファイルを要求すると、要求はプロトコル スタックに送信されます。FPolicy機能が有効な場合、プロトコル スタックは CIFS および NFS 要求を識別し、FPolicy スクリー
ニング用のマークを付けます。
要求は WAFL モジュールに送信されます。WAFL モジュールはストレージ システムから
FPolicy サーバに要求をリダイレクトします。WAFL モジュールは FPolicy エンジンにファイ
ル要求を送信します。
FPolicy エンジンは FPolicy インフラ、ONTAPI、および RPC で構成されています。要求は
RPC コールとして、FPolicy サーバに送信されます。FPolicy サーバから応答が戻されたら、
FPolicy エンジンはクライアント要求に応答します。この応答は WAFL モジュールに転送され、
さらにプロトコル スタックに転送されて、クライアントに送信されます。
このファイルへのアクセスが許可されている場合は、クライアントにファイルが提供されます。
ファイルへのアクセスが禁止されている場合は、適切な応答がクライアントに送信されます。
CIFS クライアントでは、ファイル アクセスが禁止されている場合、
STATUS_ACCESS_DENIED というエラー メッセージが表示されます。
システム アーキテクチャ図に、システム アーキテクチャ全体の概要、および Data ONTAP の
各レイヤに含まれる FPolicy インフラを示します。
図 2: ストレージ環境の FPolicy
複数サーバ構成機能
FPolicy では、1 つのポリシーに登録された複数のサーバ間のロード シェアリングをサポート
しています。FPolicy を使用すると、1 つのポリシーに対して複数のサーバを登録できます。
これらのサーバはプライマリ サーバまたはセカンダリ サーバとして登録できます。
CIFS によるファイルアクセス| 155
複数の FPolicy サーバがストレージ システムにプライマリ サーバとして登録されている場合、
すべての FPolicy 通知は登録済みの FPolicy サーバ間で等しく共有されます。接続されたすべ
ての FPolicy サーバのロード シェアリングに従って、通知が送信されます。使用できるプライ
マリ サーバがない場合、通知はセカンダリ サーバ間で共有されます。プライマリ サーバが使
用可能になると、要求はセカンダリ サーバでなく、プライマリ サーバに送信されます。
いずれかの FPolicy サーバで未処理の要求数が上限に達すると(現在は 50)、通知は他のアク
ティブなサーバにリダイレクトされます。登録されたすべてのサーバで未処理の要求数が上限
に達すると、すべての通知がスロットル キューに格納されます。
サーバは機能タイプに基づいて設定されます。たとえば、パススルー リード、ファイル サイ
ズ、所有者はサーバベースの機能です。これらの機能は特定のサーバで有効にする必要があり
ます。ただし、許可変更通知、inode からファイルへのパス、オフライン ビットなどの機能は、
ポリシー全体に関する機能です。特定のポリシーでこれらの機能が有効な場合は、このポリシ
ーを使用するすべての FPolicy サーバに対して機能が更新されます。
複数サーバ構成 では、応答が低速なサーバと高速なサーバを区別できないという制限があり
ます。応答が低速なサーバが存在すると、システム全体のパフォーマンスが低下することがあ
ります。FPolicy サーバが接続されている場合は、この複数サーバ構成機能は有効です。
Fpolicyの制限
FPolicy の制限はプロトコルに関する制限、スクリーニングに関する制限、および一般的な制
限に分類されます。
次に Fpolicy のプロトコルに関する制限を示します。
• FPolicy がサポートしているのは、CIFS および NFS プロトコルのみです。
• FTP、HTTP、WebDAV、FileIO など、その他のプロトコルはサポートしていません。
• CIFS および NFS プロトコルに関する一部の操作は、FPolicy では監視できません。
• CIFS および NFS 操作を同じポリシーで個別に設定することはできません。
以下は Fpolicy のスクリーニング関する制限を示します。
• ファイル スクリーニングはボリューム 全体に設定する必要があります。個々の qtree お
よびディレクトリをスクリーニングすることはできません。
• FPolicy は、相互データストリームでの CIFS 操作のスクリーニングは、サポートしますが、
相互データストリームでの NFS 操作のスクリーニングは、サポートされません。
• 複数のサーバが登録されている場合、接続されたすべてのサーバのポリシーは、直前に登
録されたサーバの設定に基づいて変更されます。
• 特定の IP アドレスを持つ Fpolicy サーバは、ストレージシステムに一度のみ登録できます。
1 台のサーバに設定できるポリシーは1つのみです。
• Fpolicy に使用される CIFS システム リソースが不足すると、 Fpolicy エンジンによる CIFS スクリーニングは停止します。
156 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
Data ONTAP内でのFpolicyの使用
Data ONTAP ストレージ システムでのネイティブ ファイル ブロッキングには、FPolicy を使
用できます。
ネイティブファイルブロッキング
ネイティブ ファイル ブロッキングを使用すると、監視リストに記述されたファイルまたはデ
ィレクトリ操作をすべて拒否できます。
サーバベース ファイル スクリーニングでサポートされているフィルタとプロトコルの同一セ
ットも、ネイティブ ファイル ブロッキングのためにサポートされています。ネイティブ ファ
イル ブロッキング ポリシー および FPolicy サーバベース ファイル スクリーニングは、複数
のポリシーで同時に設定できます。
次の図に、ネイティブ ファイルブロッキングが有効な場合のクライアント要求の処理方法を
示します。数字は要求フローの順番です。
図 3: ネイティブ ファイル ブロッキング
CIFS または NFS クライアントが要求を送信すると、ネイティブ ブロッキングが有効な場合、
ストレージ システムでファイルがスクリーニングされます。要求とスクリーニング要件が一
致した場合、要求は拒否されます。
次に示す任意の操作に関して、ネイティブ ファイル ブロッキングが実行されます:
• ファイルを開く • ファイルの作成する • ファイルの名前変更
CIFS によるファイルアクセス| 157
• ファイルを閉じる • ファイルの削除 • ファイルを読み取り • ファイルを書き込み • ディレクトリの削除 • ディレクトリの名前変更 • ディレクトリの作成 • Getattr (NFS のみ) • Setattr • ハード リンクの作成(NFS のみ) • symlink の作成(NFS のみ) • 検索 (NFS のみ) • 許可変更通知 (CIFS のみ)
• 所有者の変更
• グループ変更
• システム ACL (SACL) の変更
• Discretionary ACL(DACL)の変更
関連する概念
ネイティブファイルブロッキングの使用方法
関連参照事項
CIFS を通して監視されるイベント NFS を通じて監視されるイベント
ネイティブファイルブロッキングの使用方法
ネイティブ ファイル ブロッキングを使用するには、まず FPolicy を作成してから、特定の処
理に対して通知するように FPolicy を設定します。ネイティブ ファイル ブロッキング機能は、
Data ONTAP ではデフォルトで有効になっています。
ネイティブ ファイル ブロッキングを使用すると、ファイル スクリーニング セクションに示さ
れたファイル操作をすべて拒否できます。また、特定の拡張子を持つファイルへのアクセスを
ブロックできます。
たとえば、.mp3 拡張子を含むファイルをブロックするには、拡張子が.mp3 のファイルをター
ゲットとする特定の処理に対する通知を送信するようにポリシーを設定します。このポリシー
は、.mp3 ファイルに関する要求を拒否するように設定されます。拡張子が.mp3 のファイルを
クライアントが要求すると、ストレージ システムはネイティブ ファイル ブロッキング設定に
基づいてこのファイルへのアクセスを拒否します。
158 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ネイティブ ファイル ブロッキングおよびサーバベース ファイル スクリーニング アプリケー
ションは同時に設定できます。
メモ:ネイティブ ファイル ブロッキング機能では、ファイルの内容でなく、拡張子のみを
基準としてファイルをスクリーニングします。
ネイティブファイルブロッキングの設定
ネイティブ ファイル ブロッキングを設定するには、ポリシーを作成してから、ブロックする
ファイル拡張子のリストを設定します。
CIFS プロトコルにライセンスを付与して、設定する必要があります。
手順
1. 下記の CLI コマンドを使用して、ファイル ポリシーを作成します。
fpolicy create policyName policytype
例
mp3blocker という名前のスクリーニング ポリシーを作成するには、 次のコマンドを入
力します。
fpolicy create mp3blocker screen
screen ポリシーのタイプを使用して、指定したポリシー名を持つ Fpolicy が作成されま
す。
2. mp3 拡張子をモニターするためのポリシーを構成します。 次のコマンドを使用します。
fpolicy extensions include set policyName ext-list
例
次のコマンドを使用して.mp3 拡張子を監視するためのポリシーを設定します。
fpolicy extensions include set mp3blocker mp3
3. 次のコマンドを使用して、ポリシーで監視される操作とプロトコルを設定します。
fpolicy monitor {add|remove|set} policyName [-p protocols] [-f] op-spec
policyName は、操作を追加するポリシーの名前です。
protocols は、監視を有効にする一連のプロトコルです。
CIFS 要求を監視するには cifs を 、 NFS 要求を監視するには nfs を 、 両方を監視するには cifs,nfs を使用します。
-f オプションを指定すると、ポリシーを実行するために使用できるサーバがない場合も、ポリシー
は強制的に有効になります。
op-spec は、追加する操作のリストです。
CIFS によるファイルアクセス| 159
例
ポリシー.mp3blocker に CIFS および NFS 操作で監視される操作リストを設定するには、次のコ
マンドを入力します。
fpolicy monitor set .mp3blocker -p cifs,nfs create,rename
create オプションを指定して、.mp3 ファイルの作成を防ぎます。
さらに、.mp3 ファイルが異なる拡張子でストレージ システム上にコピーされたり、名前を変更され
たりしないように、rename オプションも指定します。
この CLI コマンドを使用すると、監視対象となる特定の操作が設定されます。
4. 次のコマンド構文を使用して、required オプションを onに設定します。
fpolicy options policyName required on
例
mp3blocker ポリシーに対する必須のスクリーニング を有効化するには、 次のコマンドを入力し
ます。
fpolicy options mp3blockerrequired on
この CLI コマンドを使用すると、ファイルにアクセスする前に、ファイル スクリーニングが必ず実
行されます。
5. 次の CLI コマンドを使用して、 Fpolicy 機能を有効にします。
fpolicy enable policyName [-f]
例
Fpolicy .mp3blocker を有効にするには、 次のコマンドを入力します。
fpolicy enable mp3blocker
この CLI コマンドを使用すると、ファイル ポリシーが有効になります。
上記手順を完了後に、クライアントがブロックされたファイルを使用して操作を実行しようと
しても、操作に失敗し、STATUS_ACCESS_DENIED エラー コードが送信されます。
次のトピック
CIFS を通して監視されるイベント NFS を通じて監視されるイベント
関連する概念
FPolicy を使用して操作を監視する方法
関連タスク
160 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ファイルポリシーの作成 必須ファイルのスクリーニングの指定 Fpolicy 機能の有効化と無効化
CIFSを通して監視されるイベント
Fpolicy では多数の CIFS イベントを監視できます。
次の表に、 Fpolicy で監視できる CIFS 操作、および、Fpolicy による各操作の処理方法の概要
を示します。
イベント 説明
ファイルを開く ファイルを開くときに送信される通知
ファイルの作成 ファイルを作成するときに送信される通知
ファイルの名前変更 ファイルの名前を変更するときに送信される通知
ファイルを閉じる ファイルを閉じるときに送信される通知
ファイルの削除 ファイルを削除するときに送信される通知
ファイルの読み取り ファイルを読み取るときに送信される通知
ファイルの書き込み ファイルを変更するときに送信される通知
ディレクトリの削除 ディレクトリを削除するときに送信される通知
ディレクトリの名前変更 ディレクトリの名前を変更するときに送信される通知
ディレクトリの作成 ディレクトリを作成するときに送信される通知
setattr 属性情報を設定するときに送信される通知
NFSを通じて監視されるイベント
Fpolicy では多数の NFS イベントを監視できます。
下の表に、 Fpolicy で監視できるNFS 操作及、および各操作の概要を示します。
イベント 説明
ファイルを開く ファイルを開いたときに送信される通知
ファイルの作成 ファイルを作成されたときに送信される通知
ファイルの名前変更 ファイルの名前が変更されたときに送信される通知
ファイルを閉じる ファイルを閉じたときに送信される通知
ファイルの削除 ファイルを削除されたときに送信される通知
ファイルの読み取り ファイルが読み取るときに送信される通知
ファイルの書き込み ファイルを変更するときに送信される通知
ディレクトリの削除 ディレクトリを削除するときに送信される通知
ディレクトリの名前変更 ディレクトリの名前を変更するときに送信される通知
CIFS によるファイルアクセス| 161
イベント 説明
ディレクトリの作成 ファイルを作成するときに送信される通知
Setattr 属性情報を設定するときに送信される通知
Getattr 属性情報を要求するときに送信される通知
リンク ハード リンクを作成するときに送信される通知
Symlink シンボリック リンクを作成するときに送信される通知
検索 NFS 検索が発生したときに送信される通知
Fpolicyとの連携
CLI コマンドを使用すると、Fpolicy の作成、有効化、設定を行ったり、ボリュームおよび拡
張子に基づいてファイルをスクリーニングしたりすることができます。
次のトピック
Fpolicy の設定方法 NFS クライアントと CIFS クライアントでスクリーニングされるイベント ファイルまたはディレクトリイベント ボリュームによるスクリーニング 拡張子によるスクリーニング ファイルスクリーニングサーバの管理方法 FPolicy を使用して操作を監視する方法 さまざまな CLI コマンド
Fpolicyの設定方法
Fpolicy を設定するには、単純な CLI コマンドを使用します。
次のトピック
Fpolicy 機能の有効化と無効化 ファイルポリシーの作成 ファイルポリシーの有効化 必須ファイルのスクリーニングの指定 ファイルポリシー情報の表示 すべてのファイルポリシーの情報の表示 ファイルポリシーの無効化 ファイルポリシーの削除 切断された CIFS 要求に関するサーバ スクリーニングの停止 CIFS 要求の同時スクリーニングに関する制限の設定 サーバタイムアウトの設定
162 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
要求スクリーニングタイムアウトの設定 SMB 名前付きパイプの複数のインスタンスの有効化と無効化
Fpolicy機能の有効化と無効化
CIFS プロトコルにライセンスが付与されていて、設定されている場合は、Fpolicy はデフォ
ルトで有効です。Fpolicy 機能を手動で有効または無効にする場合は、fpolicy.enable オプショ
ンを使用します。
手順
1. 次の操作のいずれかを行います。
目的 操作
Fpolicy を有効にする場合 次のコマンドを入力します。 options fpolicy.enable on
Fpolicy を無効化する 次のコマンドを入力します。 options fpolicy.enable off
Fpolicy 機能を無効にした場合は、個々のポリシーの有効または無効の設定よりも優先さ
れ、すべてのポリシーが無効になります。
ファイルポリシーの作成
ファイル ポリシーを設定するには、まずファイルポリシーを作成する必要があります。
ファイル ポリシーを作成するには、 create コマンドを使用します。
通知に関するポリシーを設定するには、ファイル ポリシーを作成します。 特定のファイル操
作要求またはネイティブ ファイル ブロッキングが発生した場合に、Fpolicy サーバに通知を送
信するように、ファイルポリシーを設定できます。
create コマンドを実行すると、一意のポリシー名を持つ新しいファイルポリシーが作成されま
す。新しいファイル ポリシーが作成されたら、オプションを設定し、特定の拡張子の場合に
スクリーニングする必要がある要求を決定できます。
手順
1. ファイル ポリシーを作成するには、 次のコマンドを入力します。
fpolicy create policyName policytype
policyName は、作成するポリシーの名前です。 ポリシー名は、80 文字以内の一意の文字列である必要があります。ファイル ポリシーの名には
UNICODE 英数字を使用できます。 FPolicy がポリシー名で使用できる ASCII 文字セットの特殊文字は、アンダースコア (_) と ハイフ
CIFS によるファイルアクセス| 163
ン (-) のみです。 新しいファイル ポリシー名にほとんどの特殊文字が禁止されているほか、 Fpolicy は、 "."を含む既存のポリシー名が、そこでカットされます。 (ドット) がポリシー名にあるとド
ットを含むそれ以降の文字が削除されます。アップグレード後は、このファイル ポリシーに構成され
たどのオプションも失われることになります。 policytype は、このファイル ポリシーが属するポリシー グループです。 現在、Fpolicy でサポートさ
れているポリシー タイプは screen だけです。
例
fpolicy create policy1 screen
指定されたポリシー名 policy1、screen ポリシータイプを使用して、ファイルポリシーが作成
されます。
メモ: VFiler ユニットごとに、一度に最大 20 個のファイル ポリシーを作成して使用で
きます。
ファイル ポリシーを機能させるには、作成されたファイル ポリシーを有効にします。
関連タスク
Fpolicy 機能の有効化と無効化
ファイルポリシーの有効化
通知ポリシーを設定するには、作成されたファイル ポリシーを有効にしておく必要がありま
す。ファイル ポリシーを有効にするには、enable コマンドを使用します
手順
1. ファイル ポリシーを有効化するには、 次のコマンドを入力します。
fpolicy enable policyName
policyName は、有効化するポリシーの名前です。
例
fpolicy enable policy1
指定したファイルポリシーが有効になります。
メモ:ファイル ポリシーをアクティブにするには、options fpolicy.enable が on になって
いることを確認してください。
必須ファイルのスクリーニングの指定
required オプションは、ファイル スクリーニングが必須であるかどうかを決定します。
required オプションが on に設定されている場合、ファイルスクリーニングは必須になります。
Fpolicy サーバを使用できない場合、スクリーニングを実行できないため、クライアント要求
164 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
は拒否されます。
ネイティブ ファイル ブロッキングを有効にする場合も、このオプションを使用します。
required オプションが off に設定されている場合、ファイル スクリーニングは必須ではありま
せん。
Fpolicy サーバ が接続されていない場合、スクリーニングしなくても、操作は許可されます。
手順
1. ファイル スクリーニングを必須にするには、 次のコマンドを入力します。
fpolicy options policyName required on
policyName は、required オプションを設定するポリシーの名前です。
このオプションは、デフォルトでは off に設定されます。使用できるファイル スクリーニング サーバがない場合に、required オプションを on にすると、ネイティブ ファイル ブロッキング
機能によって、このポリシーで指定されたファイルへのアクセスがブロックされます。
メモ:ファイル スクリーニングを必須にしない場合は、同じコマンドを off に設定します。
関連概念
ネイティブファイルブロッキング
ファイルポリシー情報の表示
特定のファイル ポリシーの重要情報を表示するには、fpolicy show コマンドを使用します。
手順
1. 次のコマンドを入力します。
fpolicy show policyName
policyName は、情報を表示するファイル ポリシーの名前です。
show コマンド を実行すると、特定のファイル ポリシーに関する次の情報が表示されます。
• ファイル ポリシーのステータス • 監視対象操作のリスト • スクリーニング対象ボリュームのリスト • スクリーニング対象拡張子のリスト • サーバの合計接続時間 • スクリーニングされた要求数 • 拒否された要求数 • ローカルにブロックされた要求数
CIFS によるファイルアクセス| 165
すべてのファイルポリシーの情報の表示
すべてのファイル ポリシーの重要情報を表示するには、fpolicy コマンドを使用します。
手順
1. 次のコマンドを入力します。
fpolicy
fpolicy show コマンド を実行すると、既存のすべてのファイル ポリシーに関する次の情報が
表示されます。
• 登録された Fpolicy サーバのリスト • すべてのファイル ポリシーのステータス • 各ファイル ポリシーで監視される操作のリスト • 各ファイル ポリシーでスクリーニングされるボリュームのリスト • 各ファイル ポリシーでスクリーニングされる拡張子のリスト • サーバの合計接続時間 • 各ファイル ポリシーでスクリーニングされた要求数 • 各ファイル ポリシーで拒否された要求数 • ローカルにブロックされた要求数
ファイルポリシーの無効化
ファイル ポリシーが無効な場合は、この特定のファイル ポリシー用に指定された操作は監視
されません。
また、Fpolicy サーバがストレージ システムに登録されている場合でも、この Fpolicy サーバ
にファイル要求通知は送信されません。
手順
1. ファイル ポリシーを無効にするには、 次のコマンドを入力します。
fpolicy disable policyName
例
fpolicy disable policy1
ファイルポリシーの削除
ファイル ポリシーを削除するとすぐに、接続先のストレージ システムから既存のファイル ポ
166 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
リシーが削除されます。特定のファイル ポリシーを削除するには、 destroy コマンドを使用し
ます。 特定のファイル ポリシーを削除する前に、そのファイル ポリシーを無効に設定する必
要があります。
ファイルポリシーに Fpolicy サーバが関連付けられている場合は、その Fpolicy サーバが登録
解除されます。
手順
1. 特定のファイル ポリシーを削除してファイル ポリシーのリストから削除するには、 次の
コマンドを入力します。
fpolicy destroy policyName
例
fpolicy destroy policy1
policyName は、削除するファイル ポリシーの名前です。
このコマンドを入力すると、ファイル ポリシーのリストから、指定したファイルポリシーが
削除されます。
切断された CIFS 要求に関するサーバ スクリーニングの停止
セッションが切断された CIFS 要求のサーバ スクリーニングを停止するには、
cifs_disconnect_check オプションを有効にします。
冗長な要求を除外し、FPolicy サーバの負荷を軽減することができます。
手順
1. この機能をファイル ポリシーごとに有効にするには、次のコマンドを入力します。
fpolicy options policyName cifs_disconnect_check on
policyName は、チェックを有効にするファイル ポリシーの名前です。
メモ:デフォルトでは、 このオプションは off に設定されています。
例 F ファイルポリシーp1 に対して cifs_disconnect_check を有効にするには、次のコマンドを使用します。
filer> fpolicy options p1 cifs_disconnect_check fpolicy options p1 cifs_disconnect_check: off filer> fpolicy options p1 cifs_disconnect_check on
CIFS によるファイルアクセス| 167
CIFS要求の同時スクリーニングに関する制限の設定
FPolicy サーバが同時にスクリーニングできる CIFS 要求の数を制限できます。
このオプションを使用すると、CIFS 要求で pBlks が不足することはなくなります。
特定の制限が設定されている場合、この制限を超える要求がスクリーニングのために FPolicyサーバに送信されることはありません。
この制限を設定するには、フラグ fp_maxcifsreqs_pblkpercent を使用します。
このフラグは、ストレージ システムで使用可能な最大 pBlks 数に対する割合で制限を設定し
ます。この設定には、setflag および printflag コマンドを使用します。
メモ:setflag および printflag を使用できるのは、 diag 権限レベルの場合のみです。
手順
1. スクリーニングに関する制限を設定するには、次のコマンドを使用します。
setflag fp_maxcifsreqs_pblkpercent limit_value
limit_value は、許可する同時要求の最大数です。
値の範囲は 1 ~ 100 です。
メモ:1~100 以外の値を指定すると、この機能が無効になります。
例 制限を設定するには、次のコマンドを入力します。 filer> priv set diag filer*> printflag fp_maxcifsreqs_pblkpercent fp_maxcifsreqs_pblkpercent = 0 filer*> setflag fp_maxcifsreqs_pblkpercent 30
ストレージ システムの最大 pBlks 数を決定するには、cifs stat コマンドを実行します。出力の Max pBlks フィールドに、ストレージ システムの最大 pBlks 数が表示されます。
filer> cifs stat ... ... Max pBlks = 256 Current pBlks = 256 Num Logons = 0
サーバタイムアウトの設定
FPolicy サーバが要求に応答するまでのシステム待機時間の上限を設定することができます。
この上限はファイル ポリシーごとに個別に設定できます。これにより、FPolicy サーバは効率
化されます。
手順
168 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
1. ファイル ポリシーごとにタイムアウト値を設定するには、次のコマンドを入力します。
fpolicy options policyName serverprogress_timeout timeout-in-secs
policyName は、 Fpolicy サーバのタイムアウトを設定するファイル ポリシーの名前です。
timeout-in-secs は、タイムアウト値(秒)です。
入力可能なタイムアウト値は 0 ~4294967 秒です。
タイムアウト値を 0 に設定すると、 serverprogress_timeout オプションが無効になります。
メモ: デフォルトでは、 このオプションは無効で、タイムアウト値は設定されてい
ません。
タイムアウト値を設定した後は、 設定されたタイムアウト値までに Fpolicy サーバが応答しな
いと、サーバは切断されます。
例 ファイルポリシー p1 のタイムアウト値を設定するには、 次のコマンドを使用します。 filer> fpolicy options p1 serverprogress_timeout fpolicy options p1 serverprogress_timeout: 0 secs (disabled) filer> fpolicy options p1 serverprogress_timeout 600 filer> fpolicy options fp1 serverprogress_timeout 4294967
要求スクリーニングタイムアウトの設定
FPolicy サーバが要求をスクリーニングするまでのシステムの待機時間に上限を設定できます。
この上限はポリシーごとに個別に設定できます。
これにより、FPolicy サーバーのパフォーマンスは改善します。
手順
1. ファイル ポリシーごとにタイムアウト値を設定するには、次のコマンドを入力します。
fpolicy options policyName reqcancel_timeout timeout-in-secs
policyName は、 スクリーニングのタイムアウトを設定したいファイル ポリシーの名前です。
timeout-in-secs は、タイムアウト値(秒)です。
タイムアウト値が設定されている場合は、設定されたタイムアウト値までにスクリーニング 要求が完了しないと、スクリーニング要求はキャンセルされます。
例 ファイルポリシー p1 のタイムアウト値を設定するには、次のコマンドを入力します。 filer> fpolicy options p1 reqcancel_timeout fpolicy options p1 reqcancel_timeout: 0 secs (disabled) filer> fpolicy options p1 reqcancel_timeout 60
CIFS によるファイルアクセス| 169
SMB名前付きパイプの複数のインスタンスの有効化と無効化
SMB 名前付きパイプの複数のインスタンスを有効または無効にする。
fpolicy.multiple_pipes オプションを使用することにより、 Fpolicy サーバ上で SMB 名前付き
パイプの複数のインスタンスを有効化できます。
このオプションを有効にすると、 Fpolicy エンジンは Fpolicy サーバに対して最大 10 個の SMB 名前付きパイプのインスタンスを開くことができます。 このオプションを無効にすると、 1 個のみの SMB 名前付きパイプのインスタンスが、 Fpolicy サーバに対して開かれます。
手順
1. Fpolicy サーバ上で SMB 名前付きパイプの複数のインスタンスを有効または無効するには、 次のコマンドを入力します。
options fpolicy.multiple_pipes {on|off}
デフォルトでは、 このオプションは on に設定されています。
NFSクライアントとCIFSクライアントでスクリーニングされるイベント
FPolicy サーバは、NFS および CIFS クライアントから着信したファイル要求に関する多数の
操作またはイベントをスクリーニングできます。
次の表に、ネイティブ ファイル ブロッキングとサーバベース スクリーニングに関する、NFS および CIFS でスクリーニングされるイベントを示します。
イベント プロトコル 説明
ファイルを開く CIFS と NFS(v4) ファイルを開くときに送信される通知
ファイルの作成 CIFS と NFS ファイルを作成するときに送信される通知
ファイルの名前変更 CIFS と NFS ファイルの名前を変更するときに送信される通知
ファイルを閉じる CIFS と NFS(v4) ファイルを閉じるときに送信される通知
ファイルの削除 CIFS と NFS ファイルを削除するときに送信される通知
ファイルの読み取り CIFS と NFS ファイルを読み取るときに送信される通知
ファイルの書き込み CIFS とNFS ファイルに書き込むときに送信される通知
ディレクトリの削除 CIFS と NFS ディレクトリを削除するときに送信される通知
ディレクトリの名前変更 CIFS と NFS ディレクトリの名前を変更するときに送信される通知
ディレクトリの作成 CIFS と NFS ディレクトリを作成するときに送信される通知
Getattr NFS 属性情報要求に関して送信される通知
170 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
イベント プロトコル 説明
Setattr CIFS と NFS 属性情報設定に関して送信される通知
ハードリンクの作成 NFS ハード リンクを作成するときに送信される通知
symlinkの作成 NFS シンボリック リンクを作成するときに送信される通知
検索 NFS NFS検索が発生したときに送信される通知
メモ:CIFS setattr イベントはさまざまな機能を実行できますが、FPolicy で監視されるのは、
セキュリティ記述子情報を変更する setattr 操作のみです。
セキュリティ記述子情報には、所有者、グループ、 Discretionary Access Control List(DACL)、System Access Control List(SACL)情報があります。
Fpolicy を使用すると、ファイル システム関連の NFS 操作 と CIFS 操作におけるほとんどの
イベントに対応できます。Fpolicy で監視されない操作の一部を、次に示します。
• NFS (v2, v3, v4) : ACCESS、 COMMIT、 FSINFO、 FSTAT、 PATHCONF、 ROOT、 READLINK、 READDIR、 READDIRPLUS、 STATFS、 MKNOD
• NFSv4 : 検索と委譲に関連する操作
• CIFS:
• SMB_COM_TREE_CONNECT や SMB_COM_TREE_DISCONNECT などのツリー操作
• SMB_COM_session_SETUP_ANDX などのセッション関連操作
• ロック関連の操作
• プリント関連操作など、ファイル システム動作に関連しない操作
ファイルまたはディレクトリイベント
さまざまなファイルおよびディレクトリ操作がスクリーニングされます。
操作要求があると、ポリシー設定に基づいて FPolicy サーバに通知が送信されます。
次のトピック
ファイルオープン要求の監視 ファイル作成要求の監視 ファイルクローズ要求の監視 ファイル名前変更要求の監視 ファイル削除要求の監視 ファイル書込み要求の監視 ファイル読み取り要求の監視 リンク要求の監視 (NFS のみ) symlink 要求の監視(NFS のみ)
CIFS によるファイルアクセス| 171
ディレクトリ削除要求の監視 ディレクトリ名前変更要求の監視 ディレクトリ作成要求の監視 ファイル検索要求の監視 (NFS のみ) getattr 要求の監視 (NFS のみ) setattr 要求の監視
ファイルオープン要求の監視
ファイル オープン操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。
ファイル オープン 要求が CIFS または NFSv4 クライアントからストレージ システムに送信されると、
ストレージ システムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理
には、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしている
かどうかのチェックが含まれます。ファイル拡張子がファイル ポリシーの extension include リストに
含まれている場合、ファイルがチェックに合格すると、要求が FPolicy サーバに転送されます。
FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル オープン要求を許可またはブ
ロックします。
ストレージ システムがリブートした場合、NFSv4 クライアントはシャットダウン前に開いていたファイル
のファイル ハンドラを再要求できます。ストレージ システムが再び機能するようになったあとで、
FPolicy サーバが NFS クライアントより先にストレージ システムに接続した場合、ストレージ システ
ムはファイル再要求をオープン要求として FPolicy サーバに転送します。
FPolicy サーバが NFS クライアントのあとにストレージ システムに接続した場合、ストレージ システ
ムはオープン再要求をオープン要求として FPolicy サーバに転送しません。この場合、NFS クライア
ントは NFSv4 再要求操作を使用して、ファイル ハンドルを取得します。
NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上で
no_i2p オプションをオフに設定します。この設定により、ボリュームで inode とパス間のファイル名変
換が有効になります。
メモ: Data ONTAP 7.3 リリース以降、FPolicy ではボリューム上で NFSv4 プロトコルお
よび i2p オプションをサポートしています。古いリリースの FPolicy では、NFSv4 プロ
トコルおよび i2p オプションはサポートされません。
NFSv4 環境で Data ONTAP ベースのアプリケーションが動作している場合に、NFSv4 をサポート
するには、FPolicy アプリケーションをアップグレードする必要があります。
NFSv4 をサポートすることで、ファイルの OPEN および CLOSE イベントのサポートが追加されます。
したがって、古いリリースの FPolicy をベースとするアプリケーションでこれらのファイル操作を行うと、
FPolicy アプリケーションでは UNKNOWN イベント エラーとして認識されることがあります。
FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファイル オープン操作を追加する必要があります。ファイル オープン操作を監視するには、CLI または ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
172 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
次のトピック
CLI を通じてファイルオープン操作を監視するための Fpolicy の設定 ONTAPI を通じてファイルオープン操作を監視するため Fpolicy の設定 ファイルオープン要求を監視するための Fpolicy の登録
CLIを通じてファイルオープン操作を監視するためのFpolicyの設定
ファイルオープン操作を監視するようにファイル ポリシーを設定するには、 fpolicy monitor add コマンドを使用します。
この CLI コマンドを追加すると、CIFS と NFS 要求の監視対象イベント リストにファイル
オープン操作を追加できます。
手順
1. ファイルオープン操作を監視するには、次の CLI コマンドを入力します。
fpolicy monitor add policyName open
ONTAPI を通じてファイルオープン操作を監視するためFpolicyの設定
ONTAPI コールを使用すると、ファイルオープン操作を監視するようにファイル ポリシーを
設定できます。
手順
1. ファイルオープン操作に関する監視オプションを設定するには、次の ONTAPI コールを使用します。
fpolicy-operations-list-set
monitored-operations 入力名フィールドの、 monitored-operation-info[] には、file-open 操作を指定する必要があります。monitored-protocols には、監視する特定のプロトコルを指
定する必要があります。ファイルオープン操作の場合、 NFS と CIFS の両方の要求を監
視できます。
ファイルオープン要求を監視するためのFpolicyの登録
ファイルオープン操作を監視するためには Fpolicy サーバを登録するときにファイルオープン
操作を登録します。
手順
1. ファイルオープン操作のスクリーニングを有効にするには、 ストレージ システムに Fpolicy サーバを登録する場合に、 FP_registration() コールの OpsToScreen ビットマス
クに次のビットを設定します。
FS_OP_OPEN 0x0001
CIFS によるファイルアクセス| 173
登録が完了したら、 Fpolicy サーバはすべてのファイルオープン要求を監視します。
ファイル作成要求の監視
ファイル作成操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。
ファイル作成 要求が CIFS または NFS クライアントからストレージ システムに送信されると、ス
トレージ システムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処
理には、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセ
スしているかどうかのチェックが含まれます。ファイル拡張子が FPolicy の extension include リス
トに含まれている場合、ファイルがチェックに合格すると、要求が FPolicy サーバに転送されます。
FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル作成要求を許可またはブロッ
クします。
FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファイル
作成操作を追加する必要があります。ファイル作成操作を監視するには、CLI または ONTAPI を使
用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
次のトピック
CLI を通してファイル作成操作を監視するための Fpolicy の設定 ONTAPI を通してファイル作成操作を監視するための Fpolicy の設定 ファイル作成要求を監視するための FPolicy の登録
CLIを通してファイル作成操作を監視するためのFpolicyの設定
ファイル作成操作を監視するようにファイル ポリシーを構成するには、 fpolicy monitor add コマンドを使用します。
手順
1. ファイル作成操作を監視するには、次の CLI コマンドを入力します。
fpolicy monitor add policyName create
ONTAPI を通してファイル作成操作を監視するためのFpolicyの設定
ONTAPI コールを使用すると、ファイル作成操作を監視するようにファイル ポリシーを設定
できます。
手順
1. ファイル作成操作に関する監視するオプションを設定するには、次の ONTAPI コールを使
用します。
fpolicy-operations-list-set
monitored-operations 入力名フィールドの monitored-operation-info[] には、 file-create
174 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
操作を指定する必要があります。monitored-protocols には、監視する特定のプロトコルを
指定する必要があります。
ファイルを作成操作の場合は、 NFS と CIFS の両方の要求を監視できます。
ファイル作成要求を監視するためのFPolicyの登録
ファイル作成要求を監視するために は、Fpolicy サーバ を登録するときにファイル作成操作を
登録します。
手順
1. ファイル作成操作のスクリーニングを有効にするには、ストレージ システムに Fpolicy サーバを登録する場合に、FP_registration() コールの OpsToScreen ビットマスクに次のビッ
トを設定します。
FS_OP_CREATE 0x0002
登録が完了したら、 Fpolicy サーバはすべてのファイル作成要求を監視します。
ファイルクローズ要求の監視
ファイル クローズ操作が行われると、FPolicy サーバはストレージ システムから通知を受信し
ます。
ファイル クローズ 要求が CIFS または NFSv4 クライアントからストレージ システムに送信
されると、ストレージ システムはそのファイルに関連するすべてのチェックを実行します。
関連するチェック処理には、権限チェック、ファイルの可用性チェック、およびファイルに別
のクライアントがアクセスしているかどうかのチェックが含まれます。ファイルがチェックに
合格すると、要求が FPolicy サーバに転送されます。ファイルが閉じたら、ストレージ システ
ムは FPolicy サーバにファイルが閉じたことを通知します。
FPolicy サーバはファイル クローズ操作をブロックすることはできません。
FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファ
イル クローズ操作を追加する必要があります。ファイル クローズ操作を監視するには、CLI または ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することも
できます。
NFSv4 のオープン ダウングレード操作もクローズ操作とみなされ、この操作が実行された場
合は通知が送信されます。NFSv4 操作に対してファイル拡張子ベースのスクリーニングを有
効にするには、ボリューム上で no_i2p オプションを off に設定します。この設定により、ボリ
ュームで inode とパス間のファイル名変換が有効になります。
メモ: Data ONTAP 7.3 リリース以降、Fpolicy では NFSv4 プロトコルがサポートされてい
CIFS によるファイルアクセス| 175
ます。
次のトピック
CLI を通してファイルクローズ操作を監視するための FPolicy の設定 ONTAPI を通してファイルクローズ操作を監視するための Fpolicy の設定 ファイルクローズ要求を監視するための Fpolicy の登録
CLIを通してファイルクローズ操作を監視するためのFPolicyの設定
ファイルクローズ操作を監視するためにファイル ポリシーを構成するには、 fpolicy monitor add CLI コマンドを使用できます。この CLI コマンドを使用すると、 CIFS と NFS 要求の監
視対象イベント リストにファイルクローズ操作を追加します。
手順
1. ファイルクローズ操作を監視するには、次の CLI コマンドを入力します。
fpolicy monitor add policyName close
ONTAPIを通してファイルクローズ操作を監視するためのFpolicyの設定
ONTAPI コールを使用すると、ファイルクローズ操作を監視するようにファイル ポリシーを
設定できます。
手順
1. ファイルクローズ操作に関する監視オプションを設定するには、次の ONTAPI コールを使
用します。
fpolicy-operations-list-set
monitored-operations 入力名フィールドでは、 monitored-operation-info[] には、file-close 操作を指定する必要があります。monitored-protocols には、監視する特定のプロトコルを
指定する必要があります。ファイルクローズ操作の場合は、 NFS と CIFS 両方の要求 を監視できます。
ファイルクローズ要求を監視するための Fpolicyの登録
ファイルクローズ操作を監視するには、Fpolicy サーバを登録するときにファイルクローズ操
作を登録します。
手順
1. ファイルクローズ操作のスクリーニングを有効にするには、 ストレージ システムに Fpolicy サーバを登録する場合に、 FP_registration() コールの OpsToScreen ビットマス
クに次のビットを設定します。
176 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
FS_OP_CLOSE 0x0008
登録が完了したら、 Fpolicy サーバはすべてのファイルクローズ要求を監視します。
ファイル名前変更要求の監視
ファイル名前変更操作が行われると、FPolicy サーバはストレージ システムから通知を受信し
ます。
ファイル名前変更 要求が CIFS または NFS クライアントからストレージ システムに送信され
ると、ストレージ システムはそのファイルに関連するすべてのチェックを実行します。
関連するチェック処理には、権限チェック、ファイルの可用性チェック、およびファイルに別
のクライアントがアクセスしているかどうかのチェックが含まれます。ファイル拡張子が
FPolicy の ext[ension] inc[lude]リストに含まれている場合、ファイルがチェックに合格すると、
要求が FPolicy サーバに転送されます。
名前変更要求が FPolicy サーバに送信されるのは、古い拡張子または新しい拡張子が
ext[ension] inc[lude]リストに記述されている場合のみです。
つまり、ファイル名が test.txt から test.mp3 に変更される場合は、一方の拡張子、または両方
の拡張子(.txt または.mp3)が extension include リストに記述されている必要があります。
FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル名前変更要求を許可ま
たはブロックします。
FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファ
イル名前変更操作を追加する必要があります。
ファイル名前変更操作を監視するには、CLI または ONTAPI を使用します。ビットマスクを使
用して、FPolicy サーバから設定することもできます。
次のトピック
CLI を通してファイル名変更操作を監視するための FPolicy の設定 ONTAPI を通してファイル名変更操作を監視するための Fpolicy の設定 ファイル名変更要求を監視するための Fpolicy の登録
CLI を通してファイル名変更操作を監視するためのFPolicyの設定
ファイル名変更操作を監視するには、fpolicy monitor add CLI コマンドを使用します。
CLI コマンドは、 CIFS と NFS 要求の監視イベント リストにファイル作成操作を追加します。
手順
1. ファイル名の変更操作を監視するには、次の CLI コマンドを入力します。
fpolicy monitor add policyName rename
CIFS によるファイルアクセス| 177
ONTAPIを通してファイル名変更操作を監視するためのFpolicyの設定
policy-operations-list-set ONTAPI コールを使用すると、ファイル名変更操作を監視するよう
にファイル ポリシーを設定できます。
手順
1. ファイル名変更操作に関する監視するオプションを設定するには、次の ONTAPI コールを
使用します。
fpolicy-operations-list-set
monitored-operations 入力名フィールドの monitored-operation-info[]には、 file-rename 操作を指定する必要があります。
monitored-protocols には、監視する特定のプロトコルを指定する必要があります。ファイ
ルを作成操作の場合は、 NFS と CIFS 両方の要求を監視できます。
ファイル名変更要求を監視するためのFpolicyの登録
ファイル名変更操作を監視するには、Fpolicy サーバを登録するときにファイル名変更操作を
登録します。
手順
1. ファイル名の変更操作のスクリーニングを有効にするには、 ストレージ システムに Fpolicy サーバを登録する場合に、 FP_registration() コールの OpsToScreen ビットマス
クに次のビットを設定します。
FS_OP_RENAME 0x0004
登録が完了したら、 Fpolicy サーバはすべてのファイル名変更要求を監視します。
ファイル削除要求の監視
ファイル削除操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。
ファイル削除要求が CIFS または NFS クライアントからストレージ システムに送信されると、
ストレージ システムはそのファイルに関連するすべてのチェックを実行します。関連するチ
ェック処理には、権限チェック、ファイルの可用性チェック、およびファイルに別のクライア
ントがアクセスしているかどうかのチェックが含まれます。チェックが完了し、ファイルがチ
ェックに合格すると、要求通知が FPolicy サーバに送信されます。FPolicy サーバはこの要求
を受信し、ポリシー設定に基づいてファイル削除要求を許可またはブロックします。
FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファ
イル削除操作を追加する必要があります。ファイル削除操作を監視するには、CLI または
ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできま
178 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
す。
NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上
で no_i2p オプションをオフに設定します。この設定により、ボリュームで inode とパス間の
ファイル名変換が有効になります。
次のトピック
CLI を通してファイル削除操作を監視するための Fpolicy の設定 ONTAPI を通してファイル削除操作を監視するための FPolicy の設定 ファイル削除要求を監視するための FPolicy の登録
CLIを通してファイル削除操作を監視するためのFpolicyの設定
ファイル削除操作を監視するには、 CLI から fpolicy monitor コマンドを使用します。
この CLI コマンドを使用して、 CIFS と NFS 要求の監視イベント リストにファイル削除操作
を追加します。
手順
1. ファイル削除操作を監視するには、次のCLIコマンドを使用します。
fpolicy monitor add policyName delete
ONTAPIを通してファイル削除操作を監視するためのFPolicyの設定
ファイル削除操作を監視するには、fpolicy-operations-list-set ONTAPIコールを使用します。
ステップ
1. ファイル削除操作に関する監視オプションを設定するには、次のONTAPIコールを使用します。
fpolicy-operations-list-set
monitored-operations入力名フィールドでは、monitored-operation-info[]はfile-delete operationを指定する必要があります。monitored-protocolsには、監視する特定のプロトコルを
指定する必要があります。ファイル削除操作の場合は、CIFS要求とNFS要求の両方を監視でき
ます。
ファイル削除要求を監視するためのFPolicyの登録
ファイル削除操作を監視するには、FPolicyサーバーを登録する時にファイル削除操作を登録します。
ステップ
1. ファイル削除操作のスクリーニングを有効するには、ストレージシステムにFPolicyサーバをストレ
ージシステムに登録する場合に、FP_registration ()コールのOpsToScreenビットマスクに次のビ
ットを設定します。
FS_OP_DELETE 0x0010
登録が完了したら、FPolicyサーバはすべてのファイル削除要求を監視します。
CIFS によるファイルアクセス| 179
ファイル書込み要求の監視
ファイル書き込み操作が行われると、FPolicyサーバはストレージシステムから通知を受け取ります。
ファイル書き込み 要求がCIFS またはNFS クライアントからストレージ システムに送信されると、スト
レージ システムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、
権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどう
かのチェックが含まれます。ファイル拡張子がFPolicy のextension include リストに含まれている場
合、ファイルがチェックに合格すると、要求がFPolicy サーバに転送されます。
FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル書き込み要求を許可またはブ
ロックします。
FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファイル書
き込み操作を追加する必要があります。ファイル書き込み操作を監視するには、CLI またはONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上でno_i2p オプションをオフに設定します。この設定により、ボリュームでinode/パス間のファイル名変換が有効
になります。
次のトピックス
CLI を通してファイル書き込み操作を監視するための FPolicy の設定 ONTAPI を通してファイル書き込み操作を監視するための FPolicy 設定 ファイル書き込み要求を監視するための FPolicy の登録
CLIを通してファイル書き込み操作を監視するためのFPolicyの設定
ファイル書き込み操作を監視するには、fpolicy monitor CLIコマンドを使用します。
このCLIコマンドを使用すると、CIFSとNFS要求の監視対象にファイル書き込み操作を追加できます。
手順
1. ファイル書き込み操作を監視するには、次のCLIコマンドを使用します。
fpolicy monitor add PolicyName write
ONTAPIを通してファイル書き込み操作を監視するためのFPolicy設定
fpolicy-operations-list-set ONTAPコールを使用すると、ファイル書き込み操作を監視するようにファ
イル ポリシーを設定できます。
ステップ
1. ファイル書き込み操作を監視するために、次のONTAPIコールを使用します
fpolicy-operations-list-set
monitored-operations入力名フィールドの、monitored-operation-info[]には、write操作を指定す
る必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要があり
ます。ファイル書き込み操作の場合は、CIFS要求とNFS要求の両方を監視できます。
180 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ファイル書き込み要求を監視するためのFPolicyの登録
ファイル書き込み操作を監視するには、FPolicyサーバを登録するときにファイル書き込み操作を登
録します。
ステップ
1. ファイル書き込み操作のスクリーニングを有効にするには、ストレージシステムに登録する場合に
FPolicyサーバを登録する場合に、FP registration ()コールのOpsToScreenビットマスクに次の
ビットを設定して下さい。
FS_OP_WRITE 0x4000
登録が完了したら、FPolicyサーバは全てのファイル書き込み要求を監視します。
ファイル読み取り要求の監視
ファイル読み取り操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。
ファイル読み取り 要求がCIFS またはNFS クライアントからストレージ システムに送信されると、スト
レージ システムはそのファイルに関連するすべてのチェックを実行します。 関連するチェック処理に
は、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているか
どうかのチェックが含まれます。ファイル拡張子がFPolicy のext[ension] inc[lude]リストに含まれてい
る場合、ファイルがチェックに合格すると、要求がFPolicy サーバに転送されます。
FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル読み取り要求を許可またはブ
ロックします。
FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファイル読
み取り操作を追加する必要があります。ファイル読み取り操作を監視するには、CLI またはONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上でno_i2p オプションをoff に設定します。このようにすると、ボリュームでinode/パス間のファイル名変換が有効
になります。
次のトピックス
CLI を通してファイル読み取り操作を監視するための FPolicy の設定 ONTAPI を通してファイル読み取り操作を監視するための FPolicy の設定 ファイル読み取り要求を監視するための FPolicy の登録
CLI を通してファイル読み取り操作を監視するためのFPolicyの設定
ファイル読み取り操作を監視するには、fpolicy monitor CLIコマンドを使用します。
このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベントリストにファイル読み取り操
作を追加できます。
CIFS によるファイルアクセス| 181
ステップ
1. ファイル読み取り操作を監視するには、次のCLIコマンドを使用します。
fpolicy monitor add PolicyName read
ONTAPIを通してファイル読み取り操作を監視するためのFPolicyの設定
ファイル読み取り操作を監視するには、fpolicy-operations-list-set ONTAPIコールを使用します。
ステップ
1. ファイル読み取り操作に関する監視オプションを設定するには、次のON TAPIコールを使用しま
す。
fpolicyoperations-list-set
monitored-operations入力名フィールドのmonitored-operation-info[]には、read操作を指定す
る必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要があり
ます。ファイル読み取り操作の場合は、CIFSとNFSの両方の要求を監視できます。
ファイル読み取り要求を監視するためのFPolicyの登録
ファイル読み取り操作を監視するには、FPolicyサーバを登録するときにファイル読み取り操作を登録
します。
ステップ
1. ファイル読み取り操作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバ
を登録する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定しま
す。
FS_OP_READ 0x2000
登録が完了したら、FPolicyは全てのファイル読み取り要求を監視します。
リンク要求の監視 (NFSのみ)
ファイル リンク操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。
ファイル リンク 要求がNFS クライアントからストレージ システムに送信されると、ストレージ システム
はそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェック、
ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチェックが
含まれます。ファイル拡張子がFPolicy のextension include リストに含まれている場合、ファイルが
チェックに合格すると、要求がFPolicy サーバに転送されます。FPolicy サーバはこの要求を受信し、
ポリシー設定に基づいてファイル リンク要求を許可またはブロックします。
FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファイル リンク操作を追加する必要があります。ファイル リンク操作を監視するには、CLI またはONTAPI を使
用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
182 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
次のトピックス
CLI を通してファイルリンク操作を監視するための FPolicy の設定 ONTAPI を通してファイルリンク操作を監視するための FPolicy の設定 ファイルリンク要求を監視するための FPolicy の登録
CLIを通してファイルリンク操作を監視するためのFPolicyの設定
fpolicy monitor CLIコマンドを使用すると、ファイル リンク操作を監視するようにファイル ポリシーを
設定できます。
ステップ
1. ファイルリンク操作を監視するために、次のCLIコマンドを使用します。
fpolicy monitor add PolicyName link
このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象 イベント リストにファイル リンク操作
を追加できます。
ONTAPIを通してファイルリンク操作を監視するためのFPolicyの設定
ファイルリンク操作を監視するには、fpolicy-operations-list-set ONTAPIコールを使用します。
ステップ
1. ファイルリンク操作に関する監視オプションを設定するには、次のON TAPIコールを使用します。
fpolicyoperations-list-set
monitored-operations入力名フィールドのmonitored-operation-info[]は、link操作を指定する必
要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要があります。
ファイルリンク操作の場合は、NFS要求のみ監視できます。
ファイルリンク要求を監視するためのFPolicyの登録
ファイルリンク操作を監視するには、FPolicyサーバを登録するときにファイルリンク操作を登録します。
ステップ
1. ファイル リンク動作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバを
登録する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。
FS_OP_LINK 0x0400
登録が完了したら、FPolicyサーバはすべてのファイル リンク要求を監視します。
symlink要求の監視(NFSのみ)
ファイルsymlink(シンボリック リンク)操作が行われると、FPolicy サーバはストレージ システムから
通知を受信します。
CIFS によるファイルアクセス| 183
ファイルsymlink 要求がNFS クライアントからストレージ システムに送信されると、ストレージ システ
ムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェッ
ク、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチェッ
クが含まれます。ファイル拡張子がFPolicy のextension include リストに含まれている場合、ファイ
ルがチェックに合格すると、要求がFPolicy サーバに転送されます。FPolicy サーバはこの要求を受
信し、ポリシー設定に基づいてファイルsymlink 要求を許可またはブロックします。
FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファイル
symlink 操作を追加する必要があります。ファイルsymlink 操作を監視するには、CLI または
ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上でno_i2p オプションをオフに設定します。このようにすると、ボリュームでinode/パス間のファイル名変換が有効
になります。
次のトピックス
CLI を通してファイル symlink 操作を監視するための FPolicy の設定 ONTAPI を通してファイル symlink 操作を監視するための FPolicy の設定 ファイル symlink 要求を監視するためのの FPolicy の登録
CLIを通してファイルsymlink操作を監視するためのFPolicyの設定
CLIコマンドを使用すると、ファイルsymlink操作を監視するようにファイル ポリシーを設定できます。
このCLIコマンドを使用すると、CIFS要求と要求の監視対象 イベント リストにファイル symlink操作を
追加できます。
ステップ
1. ファイルsymlink動作を監視するために、次のCLIコマンドを使用して下さい。
fpolicy mon[itor] add PolicyName symlink
ONTAPIを通してファイルsymlink操作を監視するためのFPolicyの設定
ONTAPIコマンドを使用すると、ファイルsymlink操作を監視するようにファイル ポリシーを設定できま
す。
ステップ
1. ファイルsymlink操作の監視オプションを設定するために、次のON TAPIコールを使用して下さい。
fpolicy-operations-list-set
monitored-operations入力名フィールドのmonitored-operation-info[]には、link操作を指定する
必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要がありま
す。ファイルsymlink操作の場合、CIFS要求とNFS要求の両方を監視できます。
184 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ファイルsymlink要求を監視するためののFPolicyの登録
ファイルsymlink操作を監視するには、FPolicyサーバを登録するときにファイルsymlink操作を登録し
ます。
ステップ
1. ファイルsymlink操作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバを
登録する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。
FS_OP_SYMLINK 0x0800
登録が完了したら、FPolicyサーバはすべてのファイルsymlink要求を監視します。
ディレクトリ削除要求の監視
ディレクトリ削除操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。
ディレクトリ削除 要求がRMDIR 操作を使用してCIFS クライアントから、またはUNLINK操作を使用し
てNFS クライアントからストレージ システムに送信されると、ストレージ システムはそのディレクトリに
関連するすべてのチェックを実行します。関連するチェック処理には、権限チェック、ディレクトリの可
用性チェック、およびディレクトリに別のクライアントがアクセスしているかどうかのチェックが含まれま
す。ディレクトリがチェックに合格すると、要求はFPolicy サーバに転送されます。ファイル ポリシーで
required オプションがon に設定されている場合に、ディレクトリ削除操作が要求されると、要求は拒
否されます。
FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにディレクトリ
削除操作を追加する必要があります。ディレクトリ削除操作を監視するには、CLI またはONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
次のトピックス
CLI 通してディレクトリ削除操作を監視するための FPolicy の設定 ONTAPI を通してディレクトリ削除操作を監視するための FPolicy の設定 ディレクトリ削除要求を監視するための FPolicy の登録
CLI通してディレクトリ削除操作を監視するためのFPolicyの設定
CLIコマンドを使用すると、ディレクトリ削除操作を監視するようにファイルポリシーを設定できます。
このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベント リストにディレクトリ削除操
作を追加できます。
ステップ
1. ディレクトリ削除動作を監視するために、次のCLIコマンドを使用します。
fpolicy mon[itor] add PolicyName directory-delete
CIFS によるファイルアクセス| 185
ONTAPIを通してディレクトリ削除操作を監視するためのFPolicyの設定
ONTAPIコマンドを使用すると、ディレクトリ削除操作を監視するようにファイルポリシーを設定できま
す。
ステップ
1. ディレクトリ削除操作に関する監視オプションを設定するには、次のONTAPIコールを使用します。
fpolicy-operations-list-set
monitored-operations入力名フィールドのmonitored-operation-info[]には、directory-delete操作を指定する必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する
必要があります。ディレクトリ削除の場合は、CIFS要求とNFS要求の両方を監視できます。
ディレクトリ削除要求を監視するためのFPolicyの登録
ディレクトリ削除操作を監視するには、FPolicyサーバを登録するときにディレクトリ削除操作を登録し
ます。
ステップ
1. ディレクトリ削除操作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバを
登録する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。
FS_OP_DELETE_DIR 0x0020
登録が完了したら、FPolicyサーバはすべてのファイルディレクトリ削除要求を監視します。
ディレクトリ名前変更要求の監視
ディレクトリ名前変更操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。
ディレクトリ名前変更 要求がCIFS またはNFS クライアントからストレージ システムに送信されると、
ストレージ システムはそのディレクトリに関連するすべてのチェックを実行します。関連するチェック処
理には、権限チェック、ディレクトリの可用性チェック、およびディレクトリに別のクライアントがアクセス
しているかどうかのチェックが含まれます。ディレクトリがチェックに合格すると、要求はFPolicy サー
バに転送されます。ファイル ポリシーでrequired オプションがon に設定されている場合に、ディレクト
リ名前変更操作が要求されると、要求は拒否されます。
FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにディレクトリ
名前変更操作を追加する必要があります。ディレクトリ名前変更操作を監視するには、CLI または
ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
次のトピックス
CLI を通してディレクトリ名変更操作を監視するための FPolicy の設定 ONTAPI を通してディレクトリ名変更操作を監視するための FPolicy の設定 ディレクトリ名変更要求を監視するための FPolicy の登録
186 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
CLIを通してディレクトリ名変更操作を監視するためのFPolicyの設定
CLIコマンドを使用すると、ディレクトリ名変更操作を監視するようにファイルポリシーを設定できます。
このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベントリストにディレクトリ名変更操
作を追加できます。
ステップ
1. ディレクトリ名変更操作を監視するには、次のCLIコマンドを使用します。
fpolicy mon[itor] add PolicyName directory-rename
ONTAPIを通してディレクトリ名変更操作を監視するためのFPolicyの設定
ONTAPIを使用すると、ディレクトリ名変更操作を監視するようにファイル ポリシーを設定できます。
ステップ
1. ディレクトリ名変更操作に関する監視オプションを設定するには、次のON TAPIコールを使用しま
す。
fpolicy-operations-list-set
monitored-operations入力名フィールドのmonitored-operation-info[]には、directory-rename操作を指定する必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する
必要があります。ディレクトリ名変更操作の場合は、CIFS要求とNFS要求の両方が監視できます。
ディレクトリ名変更要求を監視するためのFPolicyの登録
ディレクトリ名変更操作を監視するには、FPolicyサーバを登録するときにディレクトリ名変更操作を登
録します。
ステップ
1. ディレクトリ名変更操作のスクリーニングを有効にするには、ストレージシステムにFPolicyを登録
する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。
FS_OP_RENAME_DIR 0x0040
登録が完了したら、FPolicyサーバはすべてのディレクトリ名変更要求を監視します。
ディレクトリ作成要求の監視
ディレクトリ作成操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。
ディレクトリ作成 要求がCIFS またはNFS クライアントからストレージ システムに送信されると、ストレ
ージ システムはそのディレクトリに関連するすべてのチェックを実行します。関連するチェック処理に
は、権限チェック、ディレクトリの可用性チェック、およびディレクトリに別のクライアントがアクセスして
いるかどうかのチェックが含まれます。ディレクトリがチェックに合格すると、要求がFPolicy サーバに
CIFS によるファイルアクセス| 187
転送されます。ファイル ポリシーでrequired オプションがon に設定されている場合に、ディレクトリ作
成操作が要求されると、要求は拒否されます。
FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにディレクトリ
作成操作を追加する必要があります。ディレクトリ作成操作を監視するには、CLI またはONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
次のトピックス
CLI を通してディレクトリ作成操作を監視するための FPolicy の設定 ONTAPI を通じてディレクトリ作成操作を監視するための FPolicy 設定 ディレクトリ作成要求を監視するための FPolicy の登録
CLIを通してディレクトリ作成操作を監視するためのFPolicyの設定
CLIコマンドを使用すると、ディレクトリ作成動作を監視するようにファイル ポリシーを設定できます。
このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベントリストにディレクトリ作成操作
を追加できます。
ステップ
1. ディレクトリ作成操作を監視するには、次のCLIコマンドを使用します。
fpolicy mon[itor] add PolicyName directory-create
ONTAPIを通じてディレクトリ作成操作を監視するためのFPolicy設定
ONTAPIを使用すると、ディレクトリ作成操作を監視するようにファイル ポリシーを設定できます。
ステップ
1. ディレクトリ作成操作に関する監視オプションを設定するには、次のON TAPIコールを使用します。
fpolicy-operations-list-set
monitored-operations入力名フィールドのmonitored-operation-info[]には、directory-create操作を指定する必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する
必要があります。ディレクトリ作成操作の場合は、CIFS要求とNFS要求の両方が監視できます。
ディレクトリ作成要求を監視するためのFPolicyの登録
ディレクトリ作成操作を監視するには、FPolicyサーバを登録するときにディレクトリ作成操作を登録し
ます。
ステップ
1. ディレクトリ作成操作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバを
登録する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。
FS_OP_CREATE_DIR 0x0080
188 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
登録が完了したら、FPolicyサーバはすべてのディレクトリ作成要求を監視します。
ファイル検索要求の監視 (NFSのみ)
ファイル検索操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。
ファイル検索 要求がNFS クライアントからストレージ システムに送信されると、ストレージ システム
はそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェック、
ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチェックが
含まれます。ファイル拡張子がFPolicy のext[ension] inc[lude]リストに含まれている場合、ファイル
がチェックに合格すると、要求がFPolicy サーバに転送されます。FPolicy サーバはこの要求を受信
し、ポリシー設定に基づいてファイル検索要求を許可またはブロックします。
FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファイル検
索操作を追加する必要があります。ファイル検索操作を監視するには、CLI またはONTAPI を使用し
ます。ビットマスクを使用して、FPolicy サーバから設定することもできます。
次のトピックス
CLI を通してファイル検索操作を監視するための FPolicy の設定 ONTAPI を通してファイル検索操作を監視するための FPolicy の設定 ファイル検索要求を監視するための FPolicy の登録
CLIを通してファイル検索操作を監視するためのFPolicyの設定
CLIコマンドを使用すると、ファイル検索操作を監視するようにファイル ポリシーを設定できます。
ステップ
1. ファイル検索操作を監視するには、次のCLIコマンドを使用します。
fpolicy mon[itor] add PolicyName lookup
ONTAPIを通してファイル検索操作を監視するためのFPolicyの設定
ONTAPIを使用すると、ファイル検索操作を監視するようにファイルポリシーを設定できます。
ステップ
1. ファイル検索操作に関する監視オプションを設定するには、次のON TAPIコールを使用します。
fpolicy-operations-list-set
monitored-operations入力名フィールドのmonitored-operation-info[]には、lookup操作を指定
する必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要があ
ります。ファイル検索操作の場合は、NFS要求のみが監視できます。
CIFS によるファイルアクセス| 189
ファイル検索要求を監視するためのFPolicyの登録
ファイル検索操作を監視するには、FPolicyサーバを登録するときにファイル検索操作を登録します。
ステップ
1. ファイル検索操作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバを登
録する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。
FS_OP_LOOKUP 0x1000
登録が完了したら、FPolicyサーバはすべてのファイル検索要求を監視します。
getattr要求の監視 (NFSのみ)
getattr 操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。
属性取得(getattr) 要求がNFS クライアントからストレージ システムに送信されると、ストレージ シス
テムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェ
ック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチェ
ックが含まれます。ファイル拡張子がFPolicy のext[ension] inc[lude]リストに含まれている場合、ファ
イルがチェックに合格すると、要求がFPolicy サーバに転送されます。
FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてgetattr 要求を許可またはブロックしま
す。
FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにgetattr 操作を追加する必要があります。getattr 操作を監視するには、CLI またはONTAPI を使用します。ビッ
トマスクを使用して、FPolicy サーバから設定することもできます。
NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上でno_i2p オプションをオフに設定します。このようにすると、ボリュームでinode/パス間のファイル名変換が有効
になります。
次のトピックス
CLI を通して属性取得操作を監視するための FPolicy の設定 ONTAPI を通して属性取得操作を監視するための FPolicy の設定 属性取得要求を監視するための FPolicy の登録
CLIを通して属性取得操作を監視するためのFPolicyの設定
CLIコマンドを使用すると、getattr操作を監視するようにファイルポリシーを設定できます。
このCLIコマンドを使用すると、NFS要求の監視対象イベント リストに属性取得操作を追加できます。
ステップ
1. 属性取得操作を監視するには、次のCLIコマンドを使用します。
fpolicy mon[itor] add PolicyName getattr
190 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ONTAPIを通して属性取得操作を監視するためのFPolicyの設定
ONTAPIを使用すると、getattr操作を監視するようにファイル ポリシーを設定できます。
ステップ
1. getattr操作に関する監視オプションを設定するには、次のON TAPIコールを使用します。
fpolicyoperations-list-set
monitored-operations入力名フィールドのmonitored-operation-info[]には、getattr操作を指定す
る必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要があり
ます。getattr操作の場合は、NFSの要求のみを監視できます。
属性取得要求を監視するためのFPolicyの登録
getattr操作を監視するには、FPolicyサーバを登録するときにgetattr操作を登録します。
ステップ
1. getattr操作のスクリーニングを有効にするには、ストレージ システムにFPolicyサーバを登録す
る場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。
FS_OP_GETATTR 0x0100
登録が完了したら、FPolicyサーバはすべての属性取得要求を監視します。
setattr要求の監視
setattr 操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。
属性設定(setattr) 要求がNFS クライアントからストレージ システムに送信されると、ストレージ シス
テムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェ
ック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチェ
ックが含まれます。ファイル拡張子がFPolicy のext[ension] inc[lude]リストに含まれている場合、ファ
イルがチェックに合格すると、要求がFPolicy サーバに転送されます。FPolicy サーバはこの要求を
受信し、ポリシー設定に基づいてsetattr 要求を許可またはブロックします。
属性設定(setattr)要求がNT_TRANSACT_SET_SECURITY_DESC 操作を使用してCIFS クライ
アントからストレージ システムに送信された場合、CIFS クライアントによってセキュリティ記述子が変
更されていれば、ストレージ システムはsetattr 通知を送信します。セキュリティ記述子情報には所有
者、グループ、Discretionary Access Control List(DACL)、およびSystem Access Control List(SACL)情報などが含まれています。Windows ベースのCIFS クライアントが
NT_TRANSACT_SET_SECURITY_DESC 操作をストレージ システムに送信した場合、セキュリテ
ィ記述子情報が変更されていなければ、要求はFPolicy サーバに転送されません。
FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにsetattr 操作を追加する必要があります。setattr 操作を監視するには、CLI またはONTAPI を使用します。ビッ
トマスクを使用して、FPolicy サーバから設定することもできます。
CIFS によるファイルアクセス| 191
NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上でno_i2p オプションをoff に設定します。このようにすると、ボリュームでinode/パス間のファイル名変換が有効
になります。
次のトピックス
CLI を通して属性設定操作を監視するための FPolicy の設定 ONTAPI を通して属性設定操作を監視するための FPolicy の設定 属性設定要求を監視するための FPolicy の登録
CLIを通して属性設定操作を監視するためのFPolicyの設定
CLIコマンドを使用すると、setattr操作を監視するようにファイルポリシーを設定できます。
このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベントリストに属性設定操作を追
加できます。
ステップ
1. 属性設定操作を監視するには、次のCLIコマンドを使用します。
fpolicy mon[itor] add PolicyName setattr
ONTAPIを通して属性設定操作を監視するためのFPolicyの設定
ONTAPIを使用すると、setattr操作を監視するようにファイル ポリシーを設定できます。
ステップ
1. setattr操作に関する監視オプションを設定するには、次のON TAPIコールを使用します。
fpolicyoperations-list-set
monitored-operations入力名フィールドのmonitored-operation-info[]には、setattr操作を指定す
る必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要があり
ます。setattr操作の場合は、NFS要求のみを監視できます。
属性設定要求を監視するためのFPolicyの登録
setattr操作を監視するには、FPolicyサーバを登録したときに、ビットマスクを使用します。
ステップ
1. setattr操作のスクリーニングを有効にするには、ストレージ システムにFPolicyサーバを登録する場合
に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。
FS_OP_SETATTR 0x0200
登録が完了したら、FPolicyサーバはすべての属性設定要求を監視します。
192 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ボリュームによるスクリーニング
FPolicy を使用すると、スクリーニングが必要なボリュームを含めるか、または除外することにより、ポ
リシーを特定のボリューム リストに制限することができます。
対象リストを使用すると、指定されたボリューム リストに対応する通知を要求できます。除外リストを
使用すると、指定されたボリューム リストを除くすべてのボリュームに対応する通知を要求できます。
メモ: 対象リストと除外リストが両方とも設定されている場合は、対照リストは無視されます。
ポリシーごとに異なる対象ボリュームや除外ボリュームを設定できます。ファイル ポリシー
のデフォルトのボリューム リストは、次のとおりです。
• すべてのボリュームは対象リスト表示されます。
• 除外リストに表示されるボリュームはありません。
除外リストと対象リストには、次の操作を実行できます。
• ボリューム リストをデフォルト リストにリセットまたはリストアする
• 対象リストまたは除外リストに含まれるボリュームを表示する
• 対象リストまたは除外リストにボリュームを追加する
• 対象リストまたは除外リストにボリュームを追加する
• 新しいボリューム リストを使用して既存リストを設定したり、置き換えたりする
• ワイルドカード文字を使用して、ファイル ポリシーのボリューム リストを表示する
コマンド ラインから、対象ボリュームまたは除外ボリュームのリストを表示したり、変更したりすること
ができます。
ファイル ボリューム リストをリセットまたは表示するコマンドの構文は、次のとおりです。
fpolicy vol[ume] {inc[lude]|exc[lude]} {reset|show} PolicyName
ファイル ボリュームリストを処理するコマンドの構文は、次のとおりです。
fpolicy vol[ume] {inc[lude]|exc[lude]} {add| remove|set|eval} PolicyNamevol-spec
includeは、対象リストを変更する場合に使用します。
excludeは、除外リストを変更する場合に使用します。
resetは、ファイル ボリュームリストをデフォルトリストにリストアする場合に使用します。
showは、入力された除外または対象リストを表示する場合に使用します。
addは、除外または対象リストにボリュームを追加する場合に使用します。
removeは、除外または対象リストからボリュームを削除する場合に使用します。
setは、既存リストを新しいボリュームリストで置き換える場合に使用します。
evaは、ワイルドカード文字を使用して、ファイル ポリシーのボリュームリストを表示する場合に使用し
ます。
CIFS によるファイルアクセス| 193
PolicyNameは、ファイル ポリシーの名前です。
vol-specは、変更するボリュームリストの名前です。
次のトピックス
ボリュームによるスクリーニングに使用するワイルドカードの情報 ボリュームリストの表示方法 リストへのボリューム追加方法 リストからボリュームの削除方法 ボリュームリストの指定または置き換え方法 対象ボリュームリストのリセット
ボリュームによるスクリーニングに使用するワイルドカードの情報
疑問符(?)またはアスタリスク(*)ワイルドカード文字を使用して、ボリュームを指定できます。
疑問符(?)ワイルドカード文字は、単一文字を表します。たとえば、vol1、vol2、vol23、voll4 が含まれ
ているボリューム リストでvol?を入力すると、vol1 とvol2 が一致します。
アスタリスク(*)ワイルドカード文字は、指定された文字列を含む任意の個数の文字列を表します。フ
ァイル スクリーニングから除外するボリュームのリストに*test*を入力すると、test_vol やvol_test など、この文字列を含むすべてのボリュームが除外されます。
ボリュームリストの表示方法
ファイル ポリシーに関する指定の対象ボリューム リストまたは除外ボリューム リストを表示するには、
show またはeval コマンドを使用します。
次のトピックス
show コマンドを使用したボリュームの表示 eval コマンドを使用したボリュームの表示
showコマンドを使用したボリュームの表示
指定されたボリュームのリストを表示するには、showコマンドを使用します。
show コマンドを fpolicy volume コマンドに対して実行すると、コマンド ラインに入力された指定ボリュ
ームのリストが表示されます。ワイルドカード文字を使用して一連のボリュームを指定して、 show コマンドを実行すると、入力したワイルドカード文字が表示されます。たとえば、vol*が表示されます。
ステップ
1. ファイル ポリシーに指定された除外ボリュームのリストを表示するには、次のコマンドを入力しま
す。
fpolicy vol[ume] exc[lude] show PolicyName
194 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
このコマンドを入力すると、Data ONTAP は、指定したファイルの除外リストのエントリのリストを表示
します。この表示には、ボリューム名と一連のボリュームを記述したワイルドカード文字(vol*など)が
含まれることがあります。
メモ:ファイル スクリーニングの対象となるファイル リスト内のボリュームを表示するには、
include (inc)オプションをexclude(exe)オプションの代わり使用します。
evalコマンドを使用したボリュームの表示
指定されたボリュームのリストを表示するには、eval コマンドを使用します。
eval コマンドを fpolicy volume コマンドに対して実行すると、入力したリストに含まれるワイルドカード
文字が評価されたあとで、指定されたボリュームが表示されます。たとえば、リストにvol*が含まれて
いる場合に eval コマンドを実行すると、文字列vol を含むすべてのボリューム(vol1、vol22、vol_sales など)が表示されます。
ステップ
1. ワイルドカードを評価して、ファイル ポリシーの除外ボリュームのリストを表示するためには、次
のコマンドを入力します。
fpolicy vol[ume] exc[lude] eval PolicyName
このコマンドを入力すると、Data ONTAP はワイルドカード文字を評価して、指定されたファイルの除
外リストのボリュームのリストを表示します。たとえば、vol*を入力した場合は、文字列vol を含むすべ
てのボリューム(vol1、vol22、vol_sales など)が表示されます。
メモ:evalコマンドを使用して、ファイルスクリーニングの対象となるファイルのリストを表
示するには、exclude (exc)オプションではなくinclude (inc)オプションを使用します。
リストへのボリューム追加方法
対象ボリュームリストまたは除外ボリュームリストにボリュームを追加することができます。
次のトピックス
対象リストへのボリュームの追加 除外リストへのボリュームの追加
対象リストへのボリュームの追加
対象ボリューム リストにボリュームを追加するには、fpolicy volume include add CLIコマンドを使用
します。
ステップ
1. ファイル ポリシーでスクリーニングされるボリュームの対象リストにボリュームを追加するには、
次のコマンドを入力します。
fpolicy volume include add PolicyName vol-spec
CIFS によるファイルアクセス| 195
そのポリシーが有効になったときに、対象リストに追加されたボリュームのファイルはファイル スクリ
ーニング サーバによってスクリーニングされます。
例 スクリーニングされるボリューム リストにvol1、vol2、vol3 を含めるには、次のコマンドを入力しま
す。 fpolicy vol inc add imagescreen vol1,vol2,vol3 ボリュームを追加すると、ポリシーimagescreen は、ボリューム vol1、vol2、およびvol3 にスクリー
ニングを実行します。
除外リストへのボリュームの追加
除外ボリューム リストにボリュームを追加するには、fpolicy volume exclude add CLIコマンドを使用
します。
ステップ
1. ファイル ポリシーでスクリーニングされるボリュームの除外リストにボリュームを追加するには、
次のコマンドを入力します。
fpolicy volume exclude add PolicyName vol-spec
そのポリシーが有効になると(別の有効なファイル スクリーニング ポリシーによって否定されないか
ぎり)除外リストに追加したボリュームのファイルは、ファイル スクリーニング サーバによってスクリー
ニングされません。
例
スクリーニングされるボリューム リストからvol4、vol5、vol6 を除外するには、次のコマンドを入力しま
す。
fpolicy vol exc add default vol4,vol5,vol6
これらのボリュームを除外リストに追加すると、変更されたデフォルト ポリシーはボリュームvol4、 vol5、および vol6 にスクリーニングを実行しなくなります。
リストからボリュームの削除方法
対象ボリューム リストまたは除外ボリューム リストからボリュームを削除することができます。
次のトピックス
対象リストからボリュームの削除 除外リストからのボリュームの削除
対象リストからボリュームの削除
対象ボリューム リストからボリュームを削除するには、fpolicy volume include remove CLI コマンド
を使用します。
196 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ステップ
1. ファイルスクリーニング ポリシーの対象ボリュームリストからボリュームを削除するには、次のコ
マンドを入力します。
fpolicy volume include remove PolicyName vol-spec
例
fpolicy volume include remove default vol4
ボリューム vol4内のファイルは、スクリーニングされません。
除外リストからのボリュームの削除
除外ボリューム リストからボリュームを削除するには、fpolicy volume exclude remove CLI コマンド
を使用します。
ステップ
1. ファイル スクリーニング ポリシーの除外ボリュームリストからボリュームを削除するには、次のコ
マンドを入力します。
fpolicy vol[ume] exc[lude] remove PolicyName vol-spec
例
fpolicy volume exclude remove default vol4
対象リストで指定されたボリュームがない場合、ボリュームvol4 内のファイルはスクリーニングされま
せん(たとえば、対象リストでボリュームvol1 が指定されている場合は、リストからvol4 を削除したあ
とも、ボリュームvor4 はスクリーニングされません)。
メモ:ファイル スクリーニングの対象となるファイル リストから特定のボリュームを削除す
るには、exclude(exc)オプションでなく、include(inc)オプションを使用します。
ボリュームリストの指定または置き換え方法
対象リストと除外リストを指定したり、置き換えたりします。
次のトピックス
対象ボリュームリストの設定 除外ボリュームリストの設定
対象ボリュームリストの設定
対象ボリューム リストを設定するには、fpolicy volume include set CLI コマンドを使用します。
ステップ
1. ファイル ポリシーの対象ボリュームリスト全体を設定したり、置き換えたりするには、次のコマンド
を入力します。
CIFS によるファイルアクセス| 197
fpolicy volume include set PolicyName vol-spec
このコマンドを使用して入力した新しいボリューム リストが、対象ボリュームの既存のリストに置き
換わります。その結果、新しいボリュームだけがスクリーニングの対象となります。
メモ:対象リスト内にボリュームが含まれないようにするには、次のように、set オプショ
ンを使用します。
fpolicy vol inc set PolicyName ""
ただし、このコマンドでは、ポリシーを無効にする場合と同じ効果が得られます。
除外ボリュームリストの設定
除外ボリューム リストを設定するには、fpolicy volume exclude set CLI コマンドを使用します。
ステップ
1. ファイル ポリシーの除外ボリュームリスト全体を設定したり、置き換えたりするには、次のコマンド
を入力します
fpolicy volume exclude set PolicyName vol-spec
このコマンドを使用して入力した新しいボリューム リストが、除外するボリュームの既存のリストに
置き換わります。その結果、新しいボリュームだけがスクリーニングから除外されます。
リスト内のボリュームのリセット方法
対象または除外ボリューム リスト内のボリュームを指定したり、置き換えたりすることができます。
次のトピックス
対象ボリュームリストのリセット 除外ボリュームリストのリセット
対象ボリュームリストのリセット
対象ボリューム リストをリセットするには、fpolicy volume include reset CLI コマンドを使用します。
ステップ
1. ファイル ポリシー用の除外リストまたは対象リスト内のすべてのエントリをデフォルト値にリセット
するには、次のコマンドを入力します。
fpolicy volume include reset PolicyName
対象リスト内のすべてのエントリがリセットされます。つまり、対象リスト内のすべてのボリューム
が削除されることになります。
除外ボリュームリストのリセット
除外ボリュームリストをリセットするには、CLIコマンドを使用します。
198 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ステップ
1. ファイル ポリシーの除外リスト内のすべてのエントリをデフォルト値にリセットするには、次のコマ
ンドを入力します。
fpolicy vol[ume] exc[lude] reset PolicyName
除外リスト内のすべてのボリュームが削除されます。
拡張子によるスクリーニング
FPolicy を使用すると、スクリーニングする必要がある拡張子を含めるか、または除外することにより、
ポリシーを特定のファイル拡張子リストに制限することができます。
対象リストを使用すると、指定されたファイル拡張子に対応する通知を要求できます。対象リストと除
外リストを両方指定できます。除外リスト内の拡張子が最初にチェックされます。要求されたファイル
の拡張子が除外リストに含まれていない場合は、対象リストがチェックされます。ファイル拡張子が対
象リストに記述されている場合は、ファイルがスクリーニングされます。ファイル拡張子が対象リストに
記述されていない場合は、スクリーニン
グは行われないで、要求が許可されます。
メモ:スクリーニングに使用できるファイル名拡張子の最大長は、260 文字です。拡張子によ
るスクリーニングの基準となるのは、ファイル名の最後のピリオド(.)のあとの文字列のみで
す。たとえば、ファイルfile1.txt.name.jpg のファイル アクセス通知が有効になるのは、ファ
イル ポリシーに.jpg 拡張子が設定されている場合のみです。
拡張子によるスクリーニング機能は、ポリシーベースとなります。したがって、ポリシーごとに異なる
拡張子を指定できます。
次に、ファイル ポリシーのデフォルトの拡張子リストを示します。
• すべてのファイル拡張子は対象リストにリスト表示されます
• 除外リストに表示されるファイル拡張子はありません。
除外リストおよび対象リストには、次の操作を実行できます。
• 拡張子リストをデフォルト リストにリセットまたはリストアする。
• 新しい拡張子リストを使用して既存リストを設定したり、置き換えたりする。
• 対象リストまたは除外リストに拡張子を追加する。
• 対象リストまたは除外リストから拡張子を削除する。
• 対象リストまたは除外リストに含まれる拡張子を表示する。
• ワイルドカード文字を使用して、ファイル ポリシーの拡張子リストを表示する。
コマンド ラインから、対象または除外拡張子リストを表示したり、変更したりすることができます。
ファイル拡張子リストをリセットまたは表示するコマンドの構文は、次のとおりです。
CIFS によるファイルアクセス| 199
fpolicy extensions { include | exclude } { reset | show } PolicyName
ファイル拡張子リストを処理するコマンド構文は、次の通りです。
fpolicy extensions { include | exclude } { set | add | remove } PolicyName
ext-list
include は、対象リストを変更する場合に使用します。
exclude は、除外リストを変更する場合に使用します。
reset は、ファイル拡張子リストをデフォルト リストにリストアする場合に使用します。
show は、入力された除外または対象リストを表示する場合に使用します。
set は、既存リストを新しい拡張子リストで置き換える場合に使用します。
add は、除外または対象リストに拡張子を追加する場合に使用します。
remove は、除外または対象リストから拡張子を削除する場合に使用します。
PolicyName は、ファイル ポリシーの名前です。
ext-listは、変更する拡張子のリストです。
メモ:拡張子を単位としたスクリーニングは、directory create、directory delete、directory renameなどのディレクトリ動作には実行されません。
次のトピックス
拡張子によるスクリーニングに使用するワイルドカードの情報 拡張子リストの表示方法 リストへの拡張子の追加方法 リストから拡張子の削除方法 拡張子のリストの設定方法または置き換え方法 リスト内の拡張子のリセット方法
拡張子によるスクリーニングに使用するワイルドカードの情報
ファイル拡張子を指定する場合は、疑問符(?)ワイルドカードを使用します。疑問符(?)ワイルドカード
文字が文字列の先頭に使用されている場合は、単一の文字を表します。文字列の末尾に使用されて
いる場合は、任意の個数の文字列を表します。
たとえば、次のようになります。
• ファイル スクリーニングの対象となるファイル拡張子リストに「?s」を入力すると、末尾がs で、文
字数が 2 のファイル拡張子がすべて対象となります(as やjs 拡張子など)。
• ファイル スクリーニングの対象となるファイル拡張子リストに「??m」を入力すると、末尾がm で、
文字数が 3 のファイル拡張子がすべて対象となります(htm やvtm 拡張子など)。
• ファイル スクリーニングの対象となるファイル拡張子リストに「j?」と入力すると、先頭がj のファイ
ル拡張子がすべて対象となります(js、jpg、jpe 拡張子など)。
200 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
拡張子リストの表示方法
対象および除外拡張子リストを表示するには、fpolicy extensions CLI コマンドを使用します。
次のトピックス
対象リスト内の拡張子リストの表示 除外リスト内の拡張子リストの表示
対象リスト内の拡張子リストの表示
対象拡張子リストに含まれる拡張子リストを表示するには、fpolicy extensions include show CLI コマンドを使用します。
ステップ
1. ファイル ポリシーの対象となるファイル拡張子のリストを表示するには、次のコマンドを入力しま
す。
fpolicy extensions include show PolicyName
このコマンドを入力すると、Data ONTAP は指定したファイルの対象リストに含まれる拡張子リストを
表示します。
除外リスト内の拡張子リストの表示
除外拡張子リストに含まれる拡張子リストを表示するには、fpolicy extensions exclude show CLI コマンドを使用します。
ステップ
1. ファイルポリシーで除外されるファイル拡張子のリストを表示するには、次のコマンドを入力しま
す。
fpolicy extensions exclude show PolicyName
このコマンドを入力すると、Data ONTAP は指定したファイルの除外リストに含まれる拡張子リストを
表示します。
リストへの拡張子の追加方法
対象および除外拡張子リストに拡張子を追加するには、fpolicy extensions CLI コマンドを使用しま
す。
次のトピック
対象リストへの拡張子の追加 除外リストへの拡張子の追加
対象リストへの拡張子の追加
対象拡張子リストに拡張子を追加するには、fpolicy extensions include CLI コマンドを使用します。
CIFS によるファイルアクセス| 201
ステップ
1. ファイルポリシーでスクリーニングされるファイル拡張子のリストにファイル拡張子を追加するに
は、次のコマンドを入力します。
fpolicy extensions include add PolicyName ext-list
例
fpolicy ext inc add imagescreen jpg,gif,bmp
リストに拡張子が追加されたあとに、ポリシーimagescreen が有効になると、ファイル拡張子
が.jpg、.gif、または.bmp のすべてのファイルがスクリーニングされます。
そのポリシーが有効になるといつでも、対象リストに追加されたファイル拡張子はファイル スクリ
ーニング サーバによってスクリーニングされます。
除外リストへの拡張子の追加
除外拡張子リストに拡張子を追加するには、fpolicy extensions exclude CLI コマンドを使用します。
ステップ
1. ファイルポリシーで、ファイルスクリーニングから除外するファイル拡張子のリストにファイル拡張
子を追加するには、次のコマンドを入力します。
fpolicy extensions exclude add PolicyName ext-list
例
fpolicy ext exc add default txt,log,hlp
リストに拡張子が追加されて、変更されたポリシーが有効になると、.txt、.log、および.hlp ファイルは
ファイル スクリーニング サーバによるスクリーニングの対象ではなくなります。
そのポリシーが有効になると(別の有効なファイル スクリーニング ポリシーによって否定されないか
ぎり)除外リストに追加したファイル拡張子は、ファイル スクリーニング サーバによってスクリーニング
されません。
リストから拡張子の削除方法
対象および除外拡張子リストから拡張子を削除するには、fpolicy extensions CLI コマンドを使用しま
す。
次のトピック
対象リストから拡張子の削除 除外リストから拡張子の削除
対象リストから拡張子の削除
対象拡張子リストから拡張子を削除するには、fpolicy extensions include remove CLIコマンドを使
用します。
202 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ステップ
1. ファイルポリシーの対象拡張子リストからファイル拡張子を削除するには、次のコマンドを入力し
ます。
fpolicy extensions include remove PolicyName ext-list
例
fpolicy ext inc remove default wav
.wav 拡張子のついたファイルはスクリーニングされません。
このコマンドを実行すると、現在のファイル拡張子リスト内のエントリが削除されます。
除外リストから拡張子の削除
除外拡張子リストから拡張子を削除するには、fpolicy extensions exclude remove CLI コマンドを使
用します。
ステップ
1. ファイルスクリーニングポリシーの除外拡張子リストからファイル拡張子を削除するには、次のコ
マンドを入力します。
fpolicy extensions exclude remove PolicyName ext-list
例
fpolicy ext exc remove default wav
.wav 拡張子の付いたファイルがスクリーニングされます。
このコマンドを実行すると、現在のファイル拡張子リスト内のエントリが削除されます。
拡張子のリストの設定方法または置き換え方法
対象および除外拡張子リストを設定したり、置き換えたりするには、fpolicy extensions CLI コマンドを
使用します。
次のトピック
対象拡張子リストの設定 除外拡張子リストの設定
対象拡張子リストの設定
対象拡張子リストを設定するには、fpolicy extensions include set CLI コマンドを使用します。
ステップ
1. Fpolicy の対象リスト全体を置き換えるには、次のコマンドを入力します。
fpolicy extensions include set PolicyName ext-list
このコマンドを入力すると、このコマンドで指定された新しい拡張子リストによって既存の除外拡張子
リストが置き換えられて、新しい拡張子だけがスクリーニングの対象となります。
CIFS によるファイルアクセス| 203
メモ: set オプションを使用すると、ファイル拡張子をスクリーニングしないように対象リス
トを設定することもできます。たとえば、次のように入力します。
fpolicy ext inc set PolicyName ""
このコマンドを使用すると、ファイルはスクリーニングされなくなります。
除外拡張子リストの設定
除外拡張子リストを設定するには、fpolicy extensions exclude set CLI コマンドを使用します。
ステップ
1. Fpolicy の除外リスト全体を置き換えるには、次のコマンドを入力してください。
fpolicy extensions exclude set PolicyName ext-list
このコマンドを入力すると、このコマンドで指定された新しい拡張子リストによって既存の除外拡張子
リストが置き換えられて、新しい拡張子だけがスクリーニングから除外されます。
リスト内の拡張子のリセット方法
対象および除外拡張子リストをリセットするには、fpolicy extensions CLI コマンドを使用します。
次のトピック
対象拡張子リストのリセット 除外拡張子リストのリセット
対象拡張子リストのリセット
対象拡張子リストをリセットするには、fpolicy extensions include reset CLI コマンドを使用します。
ステップ
1. FPolicy の対象リスト内のすべてのエントリをデフォルト値のリセットするには、次のコマンドを入
力します。
fpolicy extensions include reset PolicyName
このコマンドを使用すると、対象拡張子リスト内のファイル拡張子がデフォルト値にリストアされます。
除外拡張子リストのリセット
除外拡張子リストをリセットするには、fpolicy extensions exclude reset CLI コマンドを使用します。
ステップ
1. Fpolicy の除外リスト内のすべてのエントリをデフォルト値にリセットするには、次のコマンドを入
力します。
fpolicy extensions exclude reset PolicyName
このコマンドを使用すると、除外拡張子リスト内のファイル拡張子がデフォルト値にリストアされます。
204 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ファイルスクリーニングサーバの管理方法
ファイル スクリーニング サーバに関する重要な情報を表示するには、CLI コマンドを使用します。ま
た、セカンダリ サーバ リストにサーバを割り当てたり、セカンダリ サーバ リストからサーバを削除した
りすることができます。
次のトピック
ファイルスクリーニングサーバの情報の表示 接続の無効化 セカンダリサーバとは
ファイルスクリーニングサーバの情報の表示
ファイル スクリーニング サーバに関する重要な情報を表示するには、fpolicyservers show CLI コマ
ンドを使用します。表示される情報は、登録されたサーバのリスト、接続されたサーバのリスト、有効
な機能などです。
コマンドを実行すると、特定のFPolicy に関する次の情報が表示されます。
• 登録された Fpolicy サーバのリスト
• 接続された Fpolicy サーバのリスト
• サーバが接続された合計時間
• Data ONTAP 7.3 でサポートされるサーバで有効化な機能のリスト
• プライマリサーバのステータス
• セカンダリサーバのステータス
ステップ
1. スクリーニングサーバのステータスを表示するには、次のコマンドを入力します。
fpolicy servers show PolicyName
このコマンドを入力すると、Data ONTAP は指定したポリシーのファイル スクリーニング サーバのス
テータスを戻します。
接続の無効化
サーバの接続が無効な場合、FPolicy サーバとストレージ システム間の接続は終了します。
ステップ
1. ファイルスクリーンサーバとの接続を無効にするには、次のコマンドを入力します。
fpolicy servers stop PolicyName server-IP-address
PolicyName には、接続を無効にするポリシーの名前です。
server-IP-address は、ストレージシステムに対して無効にするFPolicy サーバ のIPアドレスのリ
ストです。
CIFS によるファイルアクセス| 205
サーバの接続が無効になります。
セカンダリサーバとは
FPolicy サーバはプライマリ サーバまたはセカンダリ サーバとして使用できます。セカンダリ サーバ
として特定のFPolicy サーバまたはFPolicy サーバのリストを指定するには、fpolicy options コマンド
を使用します。
使用可能なプライマリ サーバがない場合にかぎり、ストレージ システムはセカンダリ サーバを使用し
てファイル ポリシーを適用します。つまり、FPolicy サーバがセカンダリ サーバとして指定されていて
も、プライマリ サーバが使用可能である場合は、使用されません。すべてのプライマリ サーバが使用
できない場合、ストレージ システムはプライマリ サーバが再び使用できるようになるまで、接続されて
いるセカンダリ サーバを使用します。
セカンダリとして分類されないFPolicy サーバはプライマリ サーバとみなされます。
次のトピック
セカンダリサーバリストの割り当て すべてのセカンダリサーバの削除
セカンダリサーバリストの割り当て
セカンダリ サーバとして特定のFPolicy サーバを割り当てたり、指定したりするには、fpolicy options secondary_servers CLI コマンドを使用します。
ステップ
1. プライマリ ファイル スクリーニング サーバが使用できないときに使用するセカンダリサーバのリ
ストを指定するには、次のコマンドを入力します。
fpolicy options PolicyName secondary_servers [server_list]
PolicyName は、セカンダリサーバで使用するポリシーの名前です。
server_list は、セカンダリ サーバとして指定するFPolicy サーバのIP アドレスのリストです。複数
のIP アドレスを区切る場合は、カンマ(,)を使用します。このフィールドで指定されたIP アドレスに
接続されているサーバは、ストレージ システムによってセカンダリ サーバとして分類されます。
このコマンドを入力すると、指定されたサーバが指定されたFPolicy のセカンダリ サーバとして指定
されます。
メモ: IP アドレスのカンマ区切りリストを指定すると、すべての既存リストが新しいリスト
で置き換えられます。したがって、既存のセカンダリ サーバを保持するには、新しいリス
トに目的のIP アドレスを追加する必要があります。
すべてのセカンダリサーバの削除
すべてのセカンダリ サーバをプライマリ サーバに変換するには、fpolicy optionsCLI コマンドを使用
します。
206 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ステップ
1. 全てのセカンダリサーバをプライマリサーバに変換するには、次のコマンドを入力してください。
fpolicy options PolicyName secondary_servers ""
PolicyName は、セカンダリサーバで使用するポリシー名です。
このコマンドを実行すると、セカンダリ FPolicy サーバとして割り当てられたい全ての FPolicy サーバ
がプライマリ FPolicy サーバになります。
FPolicyを使用して操作を監視する方法
FPolicy を使ってファイル操作を監視することができます。ファイル操作監視を管理するタスクには、
監視される操作リストの追加、削除、または設定があります。
次のトピック
監視リストへの操作の追加 監視リストからの操作の削除 監視対象リスト設定または置き換え
監視リストへの操作の追加
FPolicy でネイティブ ファイル ブロッキングを実行するには、最初に、ネイティブ ブロッキングが必要
な操作を監視する必要があります。そのためには、監視対象リストに目的の操作を追加します。
ステップ
1. FPolicy でスクリーニングする監視対象操作 リストに操作を追加するには、次のコマンドを入力し
ます。
fpolicy mon[itor] add PolicyName [-p {cifs|nfs|cifs,nfs} ] [-f] op-spec
PolicyName は、変更を実施するポリシーの名前です。
-p {cifs|nfs|cifs,nfs} オプションには、FPolicy で監視するプロトコルを指定します。
CIFS 操作を監視するにはcifs を使用し、NFS 操作を監視するにはnfs を使用します。また、
CIFS とNFS の両方の操作を監視するにはcifs,nfs を使用します。monitor コマンドでプロトコル
情報が指定されなかった場合は、CIFS とNFS の両方のプロトコルに関する通知が送信されま
す。
-f オプションを指定すると、ポリシーを適用できるサーバがない場合も、ポリシーが強制的に有効
になります。
op-spec は、監視する操作のリストです。すべての操作にまとめて監視オプションを設定すること
もできます。その場合は、操作リストの代わりにall オプションを使用します。
CIFS 操作に対して特定の操作が設定されている場合に、あとでNFS 操作に対してこの操作を
設定すると、両方のプロトコルからの要求についてこの操作が監視されます。ただし、一方のプロ
トコルからこの操作を削除すると、操作に関する監視は両方のプロトコルで停止します。
CIFS によるファイルアクセス| 207
特定の操作がCIFS にのみ設定されていて、NFS に設定されていない場合、この操作は両方の
プロトコルで監視されます。この操作をNFS の監視対象操作リストから削除すると、CIFSでもこ
の操作の監視は停止します。
監視対象操作リストに、指定された操作が追加されます。
例 監視対象操作リストに読み取り、書き込み、および検索操作を追加するには、次のコマンドを入
力します。 fpolicy mon add p1 read,write,lookup ポリシーp1 が有効になると、読み取り、書き込み、検索操作に加えて、すでに設定されているそ
の他のすべての操作が監視されます。
監視リストからの操作の削除
リストから操作を削除するには、fpolicy monitor remove CLI コマンドを使用します。監視対象操作リ
ストから操作を削除すると、その操作はFPolicy で監視されなくなります。
ステップ
1. FPolicyでスクリーニングされる監視対象のリストから操作を削除するには、次のコマンドを入力し
ます。
fpolicy mon[itor] remove PolicyName [-p {cifs|nfs|cifs,nfs} ] [-f] opspec
監視対象操作リストから、指定された操作が削除されます。
例 読み取りおよびsetattr 操作の監視を停止して、監視対象操作リストからこれらの操作を削除
するには、次のコマンドを入力します。 fpolicy mon remove p1 read,setattr ポリシーp1 が有効になると、読み取りおよびsetattr 操作の監視が停止し、監視対象操作リス
トからこれらの 2 つの操作が削除されます。
監視対象リスト設定または置き換え
監視対象操作リストを置き換えるには、fpolicy monitor set CLI コマンドを使用します。
ステップ
1. 監視対象操作のリストを置き換えるには、次のコマンドを入力します。
fpolicy mon[itor] set PolicyName [-p {cifs|nfs|cifs,nfs } ] [-f] op-spec
監視対象操作のリストは、新しい一連の操作で置き換えられます。
例
208 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
監視対象操作リストを設定したり、置き換えたりするには、次のコマンドを入力します。 fpolicy mon set p1 read,setattr ポリシーp1 が有効になると、読み取りおよびsetattr 操作のみが監視されます。既存の監視対
象リストはすべて、このリストで置き換えられます。
さまざまなCLI コマンド
次の表に、FPolicy CLI コマンド表示します。
入力名 説明
fpolicy help [cmd] CLI ヘルプの表示します。
fpolicy create PolicyName PolicyType ファイルポリシーを作成します。
fpolicy destroy PolicyName ファイルポリシーを削除します。
fpolicy enable PolicyName [-f] ファイルポリシーを有効にします。
fpolicy disable PolicyName ファイルポリシーを無効にします。
fpolicy show PolicyName ファイルポリシーを表示します。
fpolicy servers show PolicyName Fpolicyサーバのステータス情報を表示します。
fpolicy servers stop PolicyName IPaddress FPolicyサーバの接続を無効にします。
fpolicy options PolicyName required {on|off}
ファイルポリシーのrequiredオプションをオンまたはオフ
にします。
fpolicy options PolicyName secondary_servers [ IP-address [,IP-address ]*]
FPolicyサーバのオプションを設定します。
fpolicy extension {exclude|include} show PolicyName
対象または除外リストに含まれる拡張子を表示します。
fpolicy extension {exclude|include} reset PolicyName
対象または削除リスト含まれる拡張子をリセットします。
fpolicy extension {exclude|include} add PolicyName ext-list
対象または削除リストに拡張子を追加します。
fpolicy extension {exclude|include} remove PolicyName ext-list
対象または削除リストから拡張子を削除します。
fpolicy extension {exclude|include} set PolicyName ext-list
対象または除外リストに含まれる全ての拡張子を置き換
えたりします。
fpolicy volume {include|exclude} show PolicyName
対象または除外リストに含まれるボリュームを表示しま
す。
fpolicy volume {include|exclude} reset PolicyName
対象または除外リストのボリュームをリセットします。
fpolicy volume {include|exclude} add PolicyName vol_spec
対象または除外リストにボリュームを追加します。
CIFS によるファイルアクセス| 209
入力名 説明
fpolicy volume {include|exclude} remove PolicyName vol_spec
対象または除外リストからボリュームを削除します。
fpolicy volume {include|exclude} set PolicyName vol_spec
対象または除外リストにボリュームを設定したり、リストに
含まれるすべてのボリュームを置き換えたりします。
fpolicy volume {include|exclude} eval PolicyName vol_spec
ワイルドカード文字で指定されたボリュームを評価して、
対象または除外リストに含まれるボリュームを表示しま
す。
fpolicy monitor add PolicyName [-p {nfs|cifs|cifs,nfs}] [-f] op_spec [,op_spec]
監視対象操作リストに操作を追加します。
fpolicy monitor remove PolicyName [-p {nfs|cifs|cifs,nfs}] [-f] op_spec [,op_spec]
監視対象ファイル リストからファイルを削除します。
fpolicy monitor set PolicyName [-p {nfs|cifs|cifs,nfs}] [-f] op_spec [,op_spec]
監視対象ファイルリストを設定したり、置き換えたりしま
す。
FAQ、エラーメッセージ、警告メッセージ、およびキーワード
ここでは、よくある質問、エラーメッセージ、及び警告メッセージについて説明しています。
次のトピック
FAQ エラーメッセージ 警告メッセージ スクリーニング操作に関するキーワード一覧
FAQ
一般的なFAQ と、アクセス権やアクセス許可、及びそのほかの問題が記載されています。
次のトピック
一般的な FAQ アクセス権と権限に関する FAQ パフォーマンスに関する FAQ ファイルスクリーニングに関する FAQ FPolicy サーバに関する FAQ
一般的な FAQ
現在、アクティブなファイルポリシーの総数に制限がありますか。
あります。現在、アクティブなファイル ポリシーの総数は、VFiler ユニットごとに最大で 20 です。
2つのポリシーを作成した場合、要求は順番に処理されますか、それとも並列で処理されますか。
210 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
2 つのポリシーを作成した場合、要求は順番に処理されます。
複数の FPolicy サーバに対応する複数のポリシーを作成できますか
作成できます。複数のポリシーを作成し、FPolicy サーバごとに異なるポリシーを使用することができ
ます。たとえば、FLM とNTP にそれぞれ対応した 2 つのポリシーを作成し、2 つのFPolicy サーバが
これら 2 つのポリシーを参照するように設定できます。
通知を送信する順番は、fpolicy コマンドでポリシーが指定されている順番と同じです。この順番は、
Filer にポリシーが作成される順番と逆です。たとえば、ポリシーp1 を作成し、そのあとでポリシーp2 を作成した場合、通知はp2 に送信され、そのあとでp1 に送信されます。
「複数のファイル ポリシー」と「複数のサーバ」の違いを認識することが重要です。
次のような問題が発生することがあります。
• 現在、FPolicy エンジンでは複数のポリシーの要求が(並列でなく)順番に送信されるため、パフ
ォーマンスの低下量が 2 倍になることがあります。
FPolicy を NetApp ストレージ システムで機能させるために必要なライセンスは何ですか
FPolicy を機能させるには、ストレージ システムにCIFS のライセンスを付与し、CIFS を設定する必
要があります。
NFS 専用ストレージ システムの場合も、CIFS のライセンスと設定が必要なのはなぜですか
FPolicy サーバは多くの機能を実行しますが、CIFS セキュリティを使用して認証を受けることにより、
ストレージ システム上にBackup-Operator(以上の)権限を確保します。したがって、NFS 専用の環
境であっても、CIFS のライセンスが付与されている必要があります。
同様に、ファイル ポリシーをNFS ファイルに適用するには、NFS のライセンスが付与され、NFS が稼働している必要もあります。
FPolicy に制限はありますか。
あります。次に、FPolicy の制限事項を示します。
• FPolicy がサポートしているのは、CIFS およびNFS プロトコルのみです。FTP、HTTP、WebDAV、FileIO などはサポートされていません。
• CIFS およびNFS プロトコルに関する一部の操作は、FPolicy では監視できません。
• CIFS およびNFS 操作は個別に設定できません。
• スクリーニングを実行できるのは、ボリューム レベルまでです。個々のqtree およびディレクトリをス
クリーニングすることはできません。
• FPolicy では、ADS はスクリーニングされません。
• 複数のサーバが登録されている場合、接続されたすべてのサーバのポリシーは、直前に登録された
サーバの設定に基づいて変更されています。
• 特定のIP アドレスを持つFPolicy サーバは、ストレージ システムに一度のみ登録できます。
CIFS によるファイルアクセス| 211
• 1 つのFPolicy サーバに登録できるポリシーは、一度に 1 つのみです。同じIP アドレスから別のポリ
シーを登録しようとしても、FPolicy によって要求は拒否されます。
• 1 台のサーバに設定できるポリシーは 1 つのみです。
• 1 つのWindows マシンで実行できるFPolicy サーバは、1 つのみです。
FPolicy はウィルス スキャン(vscan)の影響を受けますか
FPolicy はvscan 処理から独立して実行されます。FPolicy はウィルス スキャン処理の前に発生する
ため、スタブ ファイル(symlink など)で指定されたパスを経由して実際のファイルをロードすることが
できます。スタブ ファイルがスキャンされるだけということはありません。vscan 処理はファイル ポリシ
ーから独立しているため、vscan はファイル ポリシーによってブロックされているファイルを開いてス
キャンできます。したがって、FPolicyとvscan には依存関係がありません。
FPolicy の設定はどこに保存されますか。
FPolicy の設定はレジストリに保存されます。
ユーザーが読み込み許可でアクセスされた移行済みのファイルに変更を加えようとすると、どうなりま
すか。
読み取り権限を使用してアクセスされた移行済みファイルをユーザが変更しようとした場合、どうなり
ますか
FPolicy サーバは次の処理を実行する必要があります。
CIFS およびNFS バージョン 4 では、書き込み(または読み書き)アクセス モードでファイル オープン
要求が行われた場合、ファイルを開くときにファイルをリコールすることができます。また、書き込み要
求が行われたときに、ファイルをリコールすることもできます。ただし、この場合は、書き込み処理を監
視するサーバが登録されている必要があります。
NFSv2 およびNFSv3 バージョンにはオープン コールがないため、読み取り処理および書き込み処
理を監視するためのHSM サーバを登録する必要があります。HSM サーバは、書き込み要求を受信
した場合、ファイルをリコールします。読み取り処理の場合、HSM サーバはパススルー リードまたは
ライトのいずれかを使用できます。
アクセス権と権限に関するFAQ
ストレージシステムに接続し、FPolicy イベントをリスニングするFPolicy サーバとして登録するアカ
ウントに最低限必要なアクセス権は何ですか
FPolicy サーバをストレージシステムに登録するためには、少なくともバックアップ特権が必要です。
ストレージシステムに接続し、q-tree ACL をスキャンするアカウントに最低限必要なアクセス権は何
ですか
ACL をスキャンする権限は、標準Windows 方式を使用するCIFS ログインに付与されています。
Backup Operators またはAdministrators グループのメンバー アカウントを使用して、ストレージ システムに接続しているユーザは、FILE_FLAG_BACKUP_SEMANTICS オープン モードを使用し
て、セキュリティに関係なくすべてのファイルにアクセスできます。
212 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
パフォーマンスに関するFAQ
FPolicy のパフォーマンスに影響する要因は何ですか
次に、FPolicy のパフォーマンスに影響する要因の一部を示します。
• 監視対象の操作数 (読み込む、開く、閉じるなど)
• 登録されたFPolicy サーバ数(ロードシェアリング)
• 同じ操作をスクリーニングするポリシーの数
• ストレージシステムとFPolicyサーバ間のネットワーク帯域幅(スクリーニング要求の応答時間)
• FPolicy サーバの応答時間
FPolicy トラフィックを CIFS トラフィックとNFS トラフィックに分離する方法はありますか
ストレージ システムで実行されるFPolicy コマンドの出力には、特定のファイル ポリシーでスクリーニ
ングされた要求の総数を示すカウンタが含まれています。ただし、現在はCIFS トラフィックとNFS トラフィックを区別する方法はありません。
FPolicy スクリーニングの対象となるすべてのクライアント要求によって、余分なCIFS 要求が生成さ
れ、内部的なFPolicy 通信が発生します。これは、CIFS とNFS の両方のクライアントの要求に当て
はまります。現在、この余分なトラフィックを測定する方法はありません。
リコールの前にFPolicy を有効にした場合は、パフォーマンスに影響がありますか
リコールの前にFPolicy を有効にした場合は、パフォーマンスに影響があります。パフォーマンスへの
影響は主に、FPolicy の設定方法によって決まります。したがって、リコールの前にFPolicy を有効に
しないことを推奨します。
ストレージ システムにパフォーマンス レベルが異なる 2 つのFPolicy サーバが登録されている場
合、高速サーバのパフォーマンスは低速サーバのパフォーマンスから影響を受けますか
はい、低速サーバのパフォーマンスは高速サーバのパフォーマンスに影響を及ぼします。したがっ
て、ストレージ システムに接続する場合は、同じ性能のサーバを使用することを推奨します。
FPolicy が有効な場合、CPU に追加される負荷を判別する測定基準はありますか
ありません。このようなデータは、現在 FPolicy では使用できません。
ファイルスクリーニングに関するFAQ
ファイルスクリーニングはどのように実行されますか
ファイル スクリーニング ポリシーは、何らかの制限が必要なファイルやディレクトリを指定する場合に
使用します。Data ONTAP は、(開く、書き込む、作成する、名前を変更するなどの)ファイル操作要
求を受信すると、ファイル スクリーニング ポリシーをチェックしてからその操作を許可します。
ポリシーでファイルの拡張子に基づくスクリーニングが指定されている場合は、ファイル スクリーニン
グ サーバにファイル名が送信されて、スクリーニングされます。ファイル スクリーニング サーバは、
ポリシーをファイル名に適用して、ストレージ システムが要求されたファイル操作を許可するかどう
CIFS によるファイルアクセス| 213
かを判別します。ファイル スクリーニング サーバは、要求されたファイル操作を許可または拒否する
応答をストレージ システムに送信します。
ファイルスクリーニングの使用中にシステムのパフォーマンスは低下しますか
はい、ファイルスクリーニングの使用中にシステムのパフォーマンスは低下します。
ファイルスクリーニングオプションの設定にデフォルトオプションを使用できますか
すべてのファイル ポリシーに対応するマスター設定のfpolicy.enable オプションがあります。このオプ
ションはデフォルトでon になっています。新しいFPolicy が個別に作成される場合、このオプションは
デフォルトでoff になります。そのため、システム管理者はポリシーを完全に設定してから、アクティブ
にすることができます。実際にスクリーニングが行われるかどうかは、サポート対象の外部ファイル スクリーニング サーバが動作していて、ストレージ システムからアクセスできるかどうかによって決まり
ます。FPolicy を使用するには、外部ファイル スクリーニング サーバが必要であることに注意してくだ
さい。
スクリーニングポリシーを作成してもスクリーニングサーバがない場合はどうなりますか。
使用できるファイル スクリーニング サーバがない場合は、ポリシーを有効にしても、何も起こりませ
ん。ただし、このポリシーのfpolicy option required をオンにした場合は、このポリシーで指定された
ファイルへのアクセスが拒否されます。ポリシーに関する「required」の設定は、デフォルトでオフに設
定されています。
ファイルスクリーニングサーバのステータスを表示できますか
ファイルスクリーニングサーバのステータスを表示するには、次のコマンドを使用します。
fpolicy servers show PolicyName
Data ONTAPは、指定したポリシーのファイルスクリーニングサーバのステータス戻します。
セカンダリスクリーニングサーバを指定できますか。指定できるとしたら、どのように指定しますか。
指定できます。プライマリ ファイル スクリーニング サーバが使用できないときに使用するセカンダリ サーバのリストを指定できます。次のコマンドを使用します。
fpolicy options PolicyName secondary_servers [ server_list ]
ストレージ システムに接続されたFPolicy サーバのうち、セカンダリ サーバ リストにIP アドレスがな
いものは、すべてプライマリ サーバになります。すべてのプライマリ サーバが使用不能にならないか
ぎり、ストレージ システムでセカンダリ サーバは使用されません。
ファイルスクリーニングサーバとの接続を無効にする方法は何ですか。
ファイルスクリーニングサーバとの接続を無効にするは、次のコマンドを使用します。
fpolicy servers stop PolicyName server-IP-address
FPolicy ファイルスクリーニングの適用はボリューム単位ですか、それとも qtree単位ですか
FPolicy ファイルスクリーニングは、ボリューム単位で適用されます。qtree 単位では適用されませ
ん。
214 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
FPolicyサーバに関するFAQ
プライマリ サーバとセカンダリ サーバの違いは何か
プライマリ サーバは、クライアント要求をスクリーニングするアクティブ サーバです。セカンダリ サー
バは、フェール セーフ モード用に登録されています。プライマリ サーバがすべて停止した場合は、す
べてのセカンダリ サーバがスクリーニング要求を開始します。
セカンダリ サーバの登録方法は
サーバをセカンダリ サーバとして登録するには、セカンダリ サーバの一覧にサーバのIPを追加しま
す。そのサーバが接続されると、セカンダリとして扱われます。
エラーメッセージ
次の表に、一般的なFPolicy エラー メッセージ、考えられる原因、および推奨される対処方法(ある場
合)を示します。
エラーメッセージ 原因 推奨対処法
fpolicy.fscreen.server. connectError severity="ERR"
FPolicy(ファイル ポリシー)サーバとの通信
試行中に、ストレージ システムにエラーが発
生した場合に表示されます。通信に障害が
あると、ストレージ システムはこのサーバと
の接続を切断します。 エラーの原因には、ネットワーク問題、
FPolicy サーバ上のセキュリティ設定による
ストレージ システムへのアクセス拒否、また
はFPolicyサーバ上のハードウェア/ソフトウ
ェア問題などがあります。ストレージ システ
ムのメモリ不足によって、ストレージ システ
ムが操作を実行するために必要なリソース
を取得できない場合も、この問題が発生する
ことがあります。
エラー コードを調べて、問題の原因を特
定できるかどうかを確認します。
FPolicy(ファイル ポリシー)サーバのイベ
ント ログを調べて、ストレージ システムか
ら切断されているかどうか、およびその理
由を確認します。
ストレージ システムのsyslog で、手がか
りとなるエラー メッセージを調べます。 FPolicy サーバのネットワーク エラーや
ハードウェア問題など、特定された問題を
解決します。 FPolicy サーバに最近ソフトウェア パッチ
が適用され、これにより、セキュリティ 設定が変更されていないかどうかを確認
します。
fpolicy.fscreen.server. closeError severity="ERR"
FPolicy(ファイル スクリーニング)サーバと
の通信を停止しようとしているときに、ストレ
ージ システムにエラーが発生した場合に表
示されます。 エラーの原因には、ネットワーク問題、また
はFPolicy サーバのハードウェア/ソフトウェ
ア問題などがあります。
エラー コードを調べて、問題の原因を特
定できるかどうかを確認します。 FPolicy(ファイル ポリシー)サーバのイベ
ント ログを調べて、ストレージ システムか
ら切断されているかどうか、およびその理
由を調べます。 ネットワーク問題や、FPolicy サーバのハ
ードウェア問題など、特定された問題を解
決します。このエラーは、実際はエラーで
はないことがあります。 以前にサーバとの通信を試みたときにエ
ラーが発生したため、サーバとの通信が
終了した可能性があります。接続を切断
しているときに発生したエラーが原因で、
CIFS によるファイルアクセス| 215
エラーメッセージ 原因 推奨対処法
その後もエラー状態が継続することがあ
ります。
fpolicy.fscreen.server. requestError severity="ERR"
FPolicy(ファイル ポリシー)サーバに通知要
求を送信しようとしているときに、ストレージ システムにエラーが発生した場合に表示さ
れます。 エラーの原因には、ネットワーク問題、また
はFPolicy サーバのハードウェア/ソフトウェ
ア問題などがあります。 ポリシーに複数のサーバが設定されている
場合は、このポリシーの別のサーバに対し
てこの通知が再送信されます。それ以外の
場合は、requiredオプションに関するポリシ
ーの設定に基づいた処理が実行されます。
required 設定がオンの場合、要求は 拒否されます。required 設定がオフの場合
は、クライアント要求の処理は許可されま
す。
エラー コードを調べて、問題の原因を特
定できるかどうかを確認します。FPolicy(ファイル ポリシー)サーバのイベント ログを調べて、ストレージ システムから切
断されているかどうか、およびその理由を
調べます。
ネットワーク問題や、FPolicy サーバのハ
ードウェア問題など、特定された問題を解
決します。
fpolicy.fscreen.server. requestRejected severity="ERR"
ストレージ システムからFPolicy(ファイル ポリシー)サーバへの通知要求がFPolicy サーバで拒否された場合に表示されます。エラ
ーの原因には、FPolicy サーバのソフト
ウェア問題などがあります。
エラー コードを調べて、問題の原因を特
定できるかどうかを確認します。FPolicy(ファイル ポリシー)サーバのイベント ログを調べて、問題の原因となるエラーが
発生しているかどうかを確認します。
FPolicy サーバで内部エラーが検出され ている場合や、これ以上要求を受信でき
ない場合があります。
fpolicy.fscreen.server. pingRejected severity="ERR"
FPolicy サーバの接続がアイドル状態にあ
る場合は、ストレージ システムからFPolicy サーバのステータスを取得するためのステ
ータス要求が送信されることが時々ありま
す。このエラーは、ストレージ システムから
FPolicy サーバへのステータス要求でエラー
が取得された場合に発生します。また、スト
レージ システムがFPolicy サーバと通信で
きない場合、ストレージ システムの要求に対
してサーバがエラーを戻した場合も、このエ
ラーが発生することがあります。エラーの原
因には、ネットワーク問題、またはFPolicy サーバのハードウェア/ソフトウェア問題など
があります。この 要求が失敗した場合は、サーバとの接続が
切断されます。
エラー コードを調べて、問題の原因を特
定できるかどうかを確認します。FPolicy(ファイル ポリシー)サーバのイベント ログを調べて、ストレージ システムから切
断されているかどうか、およびその理由を
確認します。ネットワーク問題や、FPolicy サーバのハードウェア問題など、特定さ
れた問題を解決します。
fpolicy.fscreen.server. completionUnexpecte
FPolicy サーバによってスクリーニング要求
が実行され、完了メッセージが戻された場合
に表示されます。
ただし、この要求に対応する内部ストレージ
216 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
エラーメッセージ 原因 推奨対処法
dState severity="ERR"
システム状態は有効ではありません。この
完了メッセージは、ストレージ システムで無
視されます。
fpolicy.fscreen.server. requestStatusError severity="ERR"
FPolicy サーバによってスクリーニング要求
が受信されたが、要求の完了が報告されて
いない場合に表示されます。完了していない
要求のステータスがストレージ システムでチ
ェックされます。ストレージ システムが要求
を送信できない場合、またはサーバで要求
がサポートされない場合は、このエラーが発
生します。エラーの原因には、ネットワー ク問題、または切断されているFPolicy サー
バのハードウェア/ソフトウェア問題により、
サーバとストレージ システム間の接続が切
断されていることなどがあります。
エラー コードを調べて、問題の原因を特
定できるかを確認します。FPolicy(ファイ
ル ポリシー)サーバのイベント ログを調
べて、ストレージ システムから切断されて
いるかどうか、およびその理由を調べま
す。ネットワーク問題や、サーバ のハードウェア問題など、特定された問
題を解決します。
fpolicy.fscreen.server. connecting.internalErr or severity="ERR"
ファイル ポリシー サーバがストレージ シス
テムに登録されていて、ストレージ システム
のFPolicyサーバとして機能している場合に
表示されます。ストレージ システムは、
FPolicy サーバの関連情報を保持するため
に必要なメモリを取得できませんでした。
テクニカルサポートにお問い合わせくださ
い。
fpolicy.fscreen.server. connecting.privError severity="ERR"
FPolicy サーバがストレージ システムに登
録されていて、ストレージ システムFPolicy サーバとして機能している場合に表示されま
す。サーバは、FPolicy サーバとして機能す
るために必要な権限を持たないユーザとし
て接続されています。サーバをストレージ システムに接続する際に名前を使用するユー
ザには、ストレージ システムのBackup-Operator グループのメンバー以上の権限
が必要です。この登録を行おうとしても、拒
否されます。
サーバとストレージ システムとの接続に
使用されているユーザ名を確認するに
は、Filerオプションのcifs.trace_login をオンにします。この問題が解決されたら、
忘れずにこのオプションをオフに戻してく
ださい。トレーシングによって、ストレージ システムのパフォーマンスが低下すること
があります。
FPolicy サーバでファイル ポリシー サー
ビスを実行する際に使用されるユーザ名
を確認します。このユーザが属しているグ
ループを判別するには、wcc コマンドを使
用します。このユーザを適切なグル
ープに追加するか、またはFPolicy サー
バのプロパティを変更して、サーバが別
のユーザ名で実行されるようにしてくださ
い。
fpolicy.fscreen.cfg.pC reateErr severity="ERR"
レジストリに保存されたファイル スクリーニン
グ設定情報をストレージ システムが処理す
る場合に表示されます。ストレージ システム
は新しいポリシーを作成し、初期化しようとし
ましたが、実行できませんでした。このエラ
ーは、ストレージ システムのレジストリの一
貫性に問題があることを示すもので、発
ポリシーは fpolicy destroy コマンドを使
用して削除できます。その後、fpolicy create を使用してポリシーを再作成し、
必要に応じてポリシーを設定します。
CIFS によるファイルアクセス| 217
エラーメッセージ 原因 推奨対処法
生してはならないエラーです。このポリシー
に関連した情報は破棄されます。
fpolicy.fscreen.request .pathError severity="ERR"
ストレージ システムがファイルへのアクセス
に使用するfscreen サーバのパスを構築し
ようとして、エラーが発生した場合に表示さ
れます。 原因としては、パスが長すぎる、 あるいは
Unicode 変換に問題などが考えられます。 ユーザはファイルへのアクセスに、
shareName\directories\fileName のような
パスを使用します。 ストレージ システムは、自身のルートからサ
ーバまでの絶対パスを構築します。
ontap_admin$\vol\volName\sharePath \directories\FileName 通常、これはストレー
ジ システムの内部エラー(バグ)です。
fpolicy.fscreen.server. requestTO severity="ERR"
サーバによってファイル スクリーニング通知
が受信されたが、要求の完了が報告されな
かった場合に表示されます。ストレージ シス
テムにより、タイムアウトが終了したあとで完
了していない要求のステータスがチェックさ
れます。受信されたにもかかわらず完了して
いない要求は、そのすべての情報がサーバ
で受け入れられていなければ、タイムアウト
したとみなされます。この場合は通常、サー
バに問題があります。
サーバのイベント ログを調べて、問題が
ないか確認します。サーバ ソフトウェア ベンダーに問い合わせて、 そのベンダー
の製品が要求ステータスの照会をサポー
トしているかどうか確認します。
ストレージ システムによって タイムアウト
されるのは、サーバで受信済みの要求の
みです。サーバがまだ処理していると主
張している要求は、タイムアウトされませ
ん。ストレージ システムは サーバに要求
ステータス メッセージを送信して、タイム
アウトした可能性のある要求のステータ
スを調べます。
fpolicy.server.fqdn.un avail severity="ERR"
FPolicy™(ファイル ポリシー)サーバのIP アドレスに関するリバースDNS 検索に失敗
し、 ストレージ システムがFPolicy サーバの
Fully Qualified Domain Name (FQDN;完全に限定されたドメイン名)を判
別できない場合に表示されます。FPolicy サーバをMicrosoft®Longhorn OS で実行して
いる場合、ストレージ システムには、
FPolicyサーバに対して自身を認証するため
の FPolicy サーバFQDN が必要です。
DNS サーバのリバースDNS 検索の設
定を確認します。
警告メッセージ
次の表に、一般的なFPolicy 警告メッセージ、考えられる原因、および推奨対処法(ある場合)を示し
ます。
218 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
警告 原因 推奨対処法
fpolicy.fscreen.server.c onnectedNone severity="WARNING"
ストレージ システムに接続されている
FPolicy(ファイル スクリーニング)サーバが
ない場合に表示されます。ポリシーが必須
の場合は、ファイルやディレクトリに関するさ
まざまな操作がストレージ システムで拒否さ
れるため、この警告が重要になることがあり
ます。また、ポリシーが必須でない場合も、
この警告が重要になることがあります。サ ーバで承認されていないさまざまなファイル
操作やディレクトリ操作が、ストレージ シス
テムで許可されるためです。
FPolicy サーバのイベント ログを調べて、
ストレージ システムとの接続が切断され
ている原因を確認します。 ストレージ システムのsyslog で、手がか
りとなるエラー メッセージを調べます。 FPolicy サーバのネットワーク エラーや
ハードウェア問題など、 特定された問題
を解決します。
fpolicy.fscreen.server.c ompletionRequestLost severity="WARNING"
FPolicy(ファイル ポリシー)サーバがスクリ
ーニング要求を完了して、完了を戻したにも
かかわらず、完了メッセージ内のファイル パスと、ストレージ システムがスクリーニング
要求を送信したファイル パスが一致しない
場合に表示されます。 ストレージ システムは、スクリーニング要求
を送信する場合、FPolicyサーバにファイル パスと要求IDを提供します。
FPolicy サーバからストレージ システムに有
効な要求ID を含むスクリーニング完了メッ
セージが送信されましたが、この中のファイ
ル パスが、スクリーニング要求でストレージ システムから提供されたファイル パスと一致
していません。この問題は、FPolicy サーバ
やストレージ システムのソフトウェア障害で
ある可能性があります。また、FPolicy サー
バが複数のストレージ システムを処理して
いる場合、 要求が完了したにもかかわら
ず、間違ったストレージ システムに完了通
知が送信されることがあります。 このような場合、ストレージ システムの要求
ID は有効ですが、ファイル パスはこの要求
ID に対応していません。
この問題が繰り返し発生する場合は、回
線トレースを使用して診断すると便利で
す。Filerコマンドpktt を使用すると、回線ト
レースを行うことができます。
fpolicy.fscreen.server.c ompletionInconsistent severity="WARNING"
FPolicy(ファイルポリシー)サーバが全くスト
レージシステムに接続していない時起こりま
す。しかしながら、完了メッセージの中のファ
イルパスはどのスクリーン要求がストレージ
システムに作られたかに対するファイルパス
と一致しません。
ストレージシステムがスクリーン要求を作る
際、FPolicyサーバにファイルパスと要求Ⅰ
D の両方を提供します。
FPolicyサーバは有効な要求IDを持つストレ
ージシステムにスクリーン完了メッセージを
問題が繰り返し起こる場合、ライントレー
スが診断で助けます。フィルターコマンド
pktt が使われライントレースが得られま
す。
CIFS によるファイルアクセス| 219
警告 原因 推奨対処法
送りましたが、ファイルパスが、スクリーン要
求でストレージシステムにより与えられたも
のと一致しません。 この問題はFPolicyサーバ又はストレージシ
ステム内のソフトウェア検出の可能性があり
ます。あるいは、FPolicyサーバがストレージ
システムのグループに応えている場合、要
求を完了しているが間違ったストレージシス
テムに完了を送信しているという可能性があ
ります。また、要求IDがストレージシステム
上で有効だがファイルパスが要求IDと関係
ない可能性もあります。
fpolicy.fscreen.server.c onnecting.badOperatio nList severity="WARNING"
FPolicy サーバがストレージ システムに、通
知を受信する必要がある操作リストを提供し
た場合に表示されます。操作の例は、ファイ
ルやディレクトリの名前変更、ファイルの 作成、ファイルを開く、ファイルを閉じるなど
です。この操作リストは、サーバを登録する
とき、またはサーバを登録したあとで、ストレ
ージ システムに提供できますこの警告の原
因は、FPolicy サーバから提供された操作リ
ストに、ストレージ システムが通知しない操
作が含まれていることです。サーバから提供
されるリストは、ストレージ システムで無視さ
れます。
ストレージ システムとファイル ポリシ
ー ソフトウェアのバージョンを調べて、相
互に互換性があることを確認します。
fpolicy.fscreen.server.c onnecting.badParamete r severity="WARNING"
FPolicy サーバがストレージ システムに登
録されていて、ストレージ システムのファイ
ル ポリシー サーバとして機能している場合
に表示されます。サーバから提供されたパラ
メータが、ストレージ システムで認識可能な
値に設定されていません。サーバから提供
されるパラメータは、ストレージ システムで
無視されます。
ストレージ システムとファイル ポリシ
ー ソフトウェアのバージョンを調べて、相 互に互換性があることを確認します。無効
なパラメータは無視され、サーバはストレ
ージ システムへの登録を許可されます。
fpolicy.srv.conn.badOp tParam severity="WARNING"
FPolicy™サーバがシステムに登録され、シ
ステムのファイル ポリシー サーバとして使
用できるように設定されているにもかかわら
ず、FPolicy サーバから提供されたオプショ
ン パラメータがシステムで認識可能な値に
設定されていないか、またはオプション パラ
メータの形式が不正な場合に表示されま
す。無効なパラメータは無視され、FPolicy
サーバは登録を許可されます。
システムとファイル ポリシー ソフトウェ アのバージョンを調べて、相互に互換性
があることを確認します。
fpolicy.fscreen.cfg.pCr eateInfo severity="WARNING"
ストレージ システムがレジストリに保存され
たファイル スクリーニング設定情報を処理
する場合に表示されます。 ストレージ シス
テムは新しいポリシーを作成し、初期化しよ
ポリシーは fpolicy destroy コマンドを使
用して削除できます。
その後、fpolicy create を使用してポ リシーを再作成し、必要に応じてポリシー
220 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
警告 原因 推奨対処法
うとしましたが、問題が発生しました。この警
告は、ストレージ システムのレジストリの一
貫性に問題があることを示すもので、発生し
てはならないエラーです。
を設定します。
fpolicy.fscreen.server.d roppedConn severity="WARNING"
ファイル ポリシー(fscreen)サーバとの接続
が切断された場合に表示されます。サーバ
がストレージ システムから意図的に切り離さ
れると、接続が切断されることがあります。
その他の理由としては、 ネットワーク エラ
ー、ストレージ システムのCIFS サービスの
終了、サーバのハードウェア/ソフトウェア障
害などが考えられます。
ご使用のサーバがまだ機能しているか調
べます。ストレージ システムとサーバ間の
ネットワーク接続を調べます。サーバのイ
ベント ログを調べて、切断の原因となるエ
ラーがあるか確認します。ストレージ シス
テムでCIFS が実行されていることを確認
します。
fpolicy.fscreen.vol.i2p. off severity="WARNING"
FPolicy™サーバがファイル ポリシーを実行
するシステムに登録されていて、NFS 要求
に対するファイル ポリシー通知のためには
inode/パス名変換が必要であるにもかかわ
らず、ファイル ポリシーで監視されるボリュ
ームでinode/パス名変換が無効になってい
る場合に表示されます。ボリュームでinode/パス名変換が無効な場合、FPolicy はNFS 要求に対応するファイル パスを生成できま
せん。
次のコマンドを実行して、no_i2p オプショ
ンをオフにします。 vol options volumeName no_i2p off このコマンドを実行すると、ボリュームのフ ァイルに対してinode/パス名変換が有効
になります。
fpolicy.fscreen.server.u nexpectedFileDataRes ponse severity="WARNING"
FPolicyサーバがファイルデータをRRD(Read Redirect)要求のためにシステムに
送信するけれども、ファイルデータが送られ
た要求をシステムが見つけられない時、メッ
セージが出ます。
この問題が起こるのは、タイミングの問題の
ためです。たとえば、ファイルデータはファイ
ルスクリーニングがシステム上で無効化さ
れ、完了を待つ全ての要求が継続を許可さ
れてから、すぐに到着します。あるいは要求
にある状態をシステムが求めるようにしたた
めに、要求が時間切れになったのかもしれ
ません。あるいはFPolicyサーバが要求を見
つけられなかった場合、システムが要求の
継続を許可したのでしょう。その後FPolicyサーバが後でデータを要求のために送り、
その要求はシステムによって見つけられな
いこともあります。 FPolicy サーバがRead Redirect (RRD)要
求に関するファイル データをシステムに送
信したにもかかわらず、システムが送信され
たファイル データに対応する要求を特定 できない場合に表示されます。この警告は、
この問題が繰り返し発生する場合は、パ
ケット トレースを使用して診断すると便利
です。
pktt コマンドを使用して、パケット トレー
スを行ってください。たとえば、次のように
入力します。 pktt start all –i FpolicyServerIP
CIFS によるファイルアクセス| 221
警告 原因 推奨対処法
FPolicy サーバおよびストレージ システムが
同期していないことを示します。 原因は、タイミング問題などです。たとえば、
システムでファイル スクリーニングを無効に
し、完了を待機しているすべての要求が処
理の継続を許可されたすぐあとに、ファイル データが着信することがあります。また、
FPolicy サーバがスクリーニング要求を受
入れる前に、ファイル データを戻したり、要
求がタイムアウトしたために、システムが要
求のステータスを要求することもあります。
FPolicy サーバが要求を特定できなかった
場合は、要求の継続処理が許可されます。
あとでFPolicy サーバがこの要求に関するフ
ァイル データを送信した場合、該当する要
求はシステムで特定されません。
スクリーニング操作に関するキーワード一覧
操作はすべて、3 つの方法で監視できます。監視を設定するには、FPolicy サーバの登録中にビット
マスクを使用するか、ONTAPI コールを使用するか、あるいはCLI を使用します。
さまざまなキーワードを使用して、FPolicy でサポートされる各種操作を監視することができます。次
の表に、3 つのオプションで設定する場合に、各操作で使用されるキーワードを示します。
222 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
操作名 CLIのキーワード ONTAPIのキーワー
ド 登録時のキーワード
ビット 値
File open open file-open FS_OP_OPEN 0x0001
File create create file-create FS_OP_CREATE 0x0002
File close close file-close FS_OP_CLOSE 0x0008
File rename rename file-rename FS_OP_RENAME 0x0004
File delete delete file-delete FS_OP_DELETE 0x0010
File write write file-write FS_OP_WRITE 0x4000
File read read file-read FS_OP_READ 0x2000
File link link link FS_OP_LINK 0x0400
File symlink symlink symlink FS_OP_SYMLINK 0x0800
Directory delete directory-delete directory-delete FS_OP_DELETE_DI R
0x0020
Directory rename directory-rename directory-rename FS_OP_RENAME_DI R
0x0040
Directory create directory-create directory-create FS_OP_CREATE_DI R
0x0080
File lookup lookup lookup FS_OP_LOOKUP 0x1000
Get attribute getattr getattr FS_OP_GETATTR 0x0100
Set attribute setattr setattr FS_OP_SETATTR 0x0200
NFS と CIFS との間でのファイル共有| 223
NFS と CIFS 間でのファイル共有
NFS と CIFS クライアント間でエラーを発生させることなく、ファイル共有を短時間で実現
できるように、Data ONTAP を最適化することができます。
次のトピック
NFS と CIFS のファイルのネーミング規則について UNIX と Windows 間におけるファイル名の文字変換の有効化 ボリュームからの文字マッピングの削除 プロトコル間のファイルロッキングについて 読み取り専用ビットについて CIFS クライアントの UNIX クレデンシャルの管理 SID と名前のマッピングキャッシュの管理 LDAP(Lightweight Directory Access Protocol)サービスの使用 fsecurity コマンドによるストレージレベルアクセスガードの有効化 システムアクセスイベントの監査 シンボリックリンクへの CIFS アクセスの制御 CIFS クライアントに対する NFS ディレクトリアクセスの最適化 CIFS クライアントで大文字のファイル名が作成されないようにする方法 NFS クライアントからの CIFS ファイルへのアクセス UNIX の「実行」権限がない CIFS クライアントへの.dll および.exe ファイルの暗黙的な実行権限の
付与
NFS と CIFS のファイルのネーミング規則について
ファイルのネーミング規則は、ネットワーク クライアントのオペレーティング システムとそ
のファイル共有のプロトコルによって異なります。
オペレーティング システムとそのファイル共有のプロトコルは次のものを決定します。
• ファイル名の長さ
• ファイル名に使用できる文字
• ファイル名の大文字と小文字の区別
次のトピック
ファイル名の長さ ファイル名に使用できる文字 ファイル名での大文字と小文字の区別 小文字のファイル名の作成 Data ONTAP でのファイル名の作成方法 CIFS クライアント上でのドットファイルの表示の制御
224 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ファイル名の長さ
Data ONTAP がサポートするファイル名の長さは、PC の長いファイル名形式をサポートするCIFS クライアントと、8.3 形式をサポートするCIFS クライアントで異なります。
Data ONTAP では、次の長さのファイル名をサポートしています。
• NFS クライアントおよびCIFS クライアントが、PC で使用される長いファイル名をサポートする場
合、最大 255 文字
• CIFS クライアントが、MS-DOS やWindows 3.x クライアントなどの 8.3 形式をサポートしている
場合は、最大 8 文字のファイル名と最大 3 文字のファイル拡張子
ファイル名に使用できる文字
異なるオペレーティング システム上のクライアント間でファイルを共有する場合は、 両方のオペレー
ティング システムで有効な文字を使用します。
たとえば、UNIX を使用してファイルを作成する場合は、ファイル名にはコロン(:)を使用しないでくださ
い。コロンは、MS-DOS ファイル名では無効な文字となります。文字の制約はオペレーティング シス
テムごとに異なります。使用できない文字の詳細については、クライアントのオペレーティング システ
ムのマニュアルを参照してください。
ファイル名での大文字と小文字の区別
ファイル名について、NFS クライアントでは大文字と小文字が区別されますが、CIFS クライアントで
は大文字と小文字が区別されず、同じ文字として扱われます。
たとえば、CIFS クライアントがSpec.txt というファイルを作成すると、CIFS とNFS のどちらのクライア
ントでもファイル名はSpec.txt と表示されます。CIFS クライアントがあとでspec.txt というファイルを作
成しようとしても、CIFS クライアントに同じ名前がすでに存在しているため、その名前は許可されませ
ん。NFS ユーザがあとでspec.txt という名前のファイルを作成すると、この名前はNFS クライアントと
CIFS クライアントで次のように表示されます。
• NFS クライアントではファイル名の大文字と小文字は区別されるため、作成 したとおりに両方の
ファイル名 Spec.txt と spec.txt が表示されます。
• CIFS クライアントでは Spec.txt と Spec~1.txt が表示されます。Data ONTAP によって 2 つのフ
ァイル名を区別するために、Spec~1.txt というファイル名が作成されます。
小文字のファイル名の作成
cifs.save_case オプションをoff に設定すると、Data ONTAP に大文字と小文字の区別を強制的に
無視させることができます。この場合、ファイル名が入力されると、これらの名前は強制的に小文字の
テキストにされます。
NFS と CIFS との間でのファイル共有| 225
この作業について
このオプションをoff に設定すると、16 ビットのアプリケーションと一部のUNIX ツール間の互換性が
高まります。ただし、デフォルトでは、このオプションはon に設定されています。
手順
1. 次のコマンドを入力します。
options cifs.save_case off 33
Data ONTAPでのファイル名の作成方法
Data ONTAP では、CIFS クライアントからアクセスされるすべてのディレクトリ内にあるフ
ァイルに対して、2 つのファイル名が作成され、保持されます。元の長いファイル名と 8.3 形
式のファイル名です。
ファイル名制限は名前が 8 文字で拡張子が 3 文字ですが、どちらかがこの制限を超えた場合、
8.3 形式ファイル名が次のように生成されます。
• ファイル名が 6 文字を超える場合は、元の名前が 6 文字に短縮されます。
• 切り捨てられたためにもはや一意ではないファイル名に、チルダ(~)および 1 ~ 5 の数字が追加
されます。同様の名前が 6 つ以上存在するため数字が足りなくなった場合には、元のファイル名
とは無関係の一意のファイル名が作成されます。
• ファイル名拡張子が 3 文字に短縮されます。
例:NFS クライアントがspecifications.html という名前のファイルを作成すると、Data ONTAPによっ
てspecif~1.htm という 8.3 形式のファイル名が作成されます。この名前がすでに存在している場合
は、ファイル名の最後の番号が別の番号になります。たとえば、NFS クライアントが
specifications_new.html という別の名前のファイルを作成すると、このファイルの 8.3 形式の名前は
specif~2.htm になります。
CIFSクライアント上でのドットファイルの表示の制御
UNIX ベースのシステムでは、通常ドット ファイルは表示されません。Windows クライアント システム
でドット ファイルを非表示にするには、cifs.show_dotfiles オプションを off に設定します。
この作業について
ドット ファイルは、デフォルトでWindows のフォルダオプションの隠しファイルの表示/非表示設定に関
係なく、CIFS クライアント システム上で表示されます。
手順
1. 次のコマンドを入力して、cifs.show_dotfiles オプションを off に設定します。
options cifs.show_dotfiles off
このシステムのドット ファイルは、Windows クライアントのユーザが[Folder Options (フォルダ オプション)]、[View (表示)]タブで[Do not show hidden files and folders (隠しファイルおよ
び隠しフォルダを表示しない)]を選択すると、表示から除外されます。
226 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
UNIX と Windows 間におけるファイル名の文字変換の有効化
それぞれのオペレーティング システム(Windows および UNIX)上に、両方のオペレーティ
ング システムで有効でない文字を含む古いファイル名がある場合は、charmap コマンドを使
用することで、CIFS にとってそのままでは有効でない NFS 形式の名前を持つファイルであ
っても、CIFS からアクセスできます。
この作業について
NFS クライアントで作成されたファイルに CIFS クライアントがアクセスすると、ストレージ システム
はそのファイル名を調べ、ファイル名が有効な CIFS ファイル名でない場合は(たとえば、コロン「:」が含まれている場合)、ファイルごとに用意されている 8.3 形式のファイル名を返します。ただし、こ
れにより、長いファイル名に重要な情報をエンコードしているアプリケーションでは問題が発生しま
す。したがって、異なるオペレーティング システムを使用するクライアント間でファイルを共有する場
合は、両方のオペレーティング システムで有効な文字をファイル名に使用するようにしてください。
これとは別に、それぞれのオペレーティング システム(Windows および UNIX)上に、両方のオペレ
ーティング システムで有効でない文字を含む古いファイル名がある場合は、無効な NFS の文字を、
CIFS と特定の Windows アプリケーションの両方で有効な Unicode 文字に変換するマップを定義
できます。
詳細については、na_charmap(1)のマニュアル ページを参照してください。
注: この機能は CATIA® MCAD および Mathematica®アプリケーションをサポートしていますが、
同じ要件を持つほかのアプリケーションでも使用できます。
手順
1. 次のコマンドを入力します。
charmap [volname [mapspec]]
volname は、ストレージ システム上のボリューム名です。volname を指定しない場合、全
てのボリュームのマッピングが表示されます。
Mapspec の形式は次のとおりです。
hh:hhhh [ ,hh:hhhh]...
コロンで区切られた各 hh ペアの最初の値は、変換したい NFS 文字の 16 進値です。各 hh ペアの 2 番目の値は、CIFS が使用する Unicode 値です。mapspec に値を指定しないと、
マッピング済みの場合は現在のマッピングが表示されます。volname に値を指定しないと、
すべてのボリュームのマッピングが表示されます。
例 CATIA アプリケーションで使用される文字をマッピングする場合は、次のコマンドを入力
します。 charmap desvol 3e:ff76,3c:ff77,2a:ff78,3a:ff79,22:ff7a このコマンドでは、ある複数の文字(>、<、*、:、"、?、\、および|)を、通常はファイル名に
正規の文字として使用されない日本語のUnicode 文字にマッピングします。
HTTP を使用したファイルアクセス| 227
このマッピングは、ボリューム名「desvol」に適用されます。
文字の制限事項
無効または不正な文字を Unicode 文字で表す場合は、不必要なマッピングが生じるのを防ぐ
ため、通常はファイル名に表れない文字を使用するようにしてください。
たとえば、コロン(:)をハイフン(-)にマッピングしようとした場合に、ファイル名に正し
く使用されているハイフン(-)が存在すると、Windows クライアントが「a-b」という名前
のファイルにアクセスする要求を行ったときに、「a:b」という NFS 名にマッピングされてし
まいます(望ましい結果ではありません)。
再マッピングを行う場合は、次の NFS 文字のリストを参照してください。
• 22 = 二重引用符 (")
• 2a = アスタリスク (*)
• 3a = コロン (:)
• 3c = 小なり (<)
• 3e = 大なり(>)
• 3f = 疑問符 (?)
• 5c = バックスラッシュ (\)
• 7c = パイプ (|)
• b1 = (±)
また、CIFS クライアントからファイルまたはディレクトリを作成あるいはその名前を変更す
る場合に、ファイル名に Unicode 文字の 0x0080 が含まれていると、エラー メッセージが表
示されます。ストレージ システムでは、Unicode 文字の 0x0080 はサポートされません。
ボリュームからの文字マッピングの削除
文字マッピングが不要になった場合は(文字マッピングを使用するアプリケーションをストレ
ージ システムから削除した場合など)、charmap コマンドを使用してボリュームからその文
字マッピングを削除できます。
手順
1. 文字マッピングを消去するには次のコマンドを入力します。
charmap volname ""
volname は、ストレージ システム上のボリュームの名です。
プロトコル間のファイルロッキングについて
ファイル ロッキングとは、あるユーザがすでに開いているファイルに別のユーザがアクセス
することを防ぐ機能で、クライアント アプリケーションで使用されます。Data ONTAP でフ
228 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ァイルをロックする方法は、クライアントのプロトコルによって異なります。
クライアントが NFS クライアントである場合、ロックは任意に設定します。クライアントが
CIFS クライアントである場合、ロックは必須となります。NFS ファイルと CIFS ファイルの
ロックの違いのため、CIFS アプリケーションで開いているファイルに NFS クライアントか
らアクセスすると、エラーになる場合があります。
NFS クライアントが CIFS アプリケーションによってロックされたファイルにアクセスする
と、次のいずれかの状態になります。
• mixed 形式またはNTFS 形式のqtree では、rm、rmdir、mv などのファイル操作を行うと、NFS アプリケーションがエラーになる場合があります。
• NFS の読み取りと書き込みの操作は、CIFS の読み取り拒否および書き込み拒否のオープン モードによってそれぞれ拒否されます。
• また、ファイルの書き込み対象となる範囲が、排他的なCIFS バイトロックでロックされている場合
も、NFS の書き込みの動作はエラーになります。
例外:ストレージ システム上の CIFS クライアントによって設定されたロックの制限には、例外が 1 つあります。それは、ストレージ システムが dump コマンドを実行する場合です。
dump コマンドは CIFS クライアントにより設定されたすべての読み取りアクセス ファイル ロックを
無視します。ファイル ロックを無視することによって、ストレージ システムはすべてのファイルをバッ
クアップできます。
注: CIFS アプリケーションで開いているファイルに、NFS クライアントがアクセスを試行して、エラー
となった場合は、cifs terminate コマンドを使用して、アアクセスできなかったファイルを使用するセ
ッションとの接続を解除できます。cifs sessions *コマンドまたはサーバー マネージャを使用して、
該当するファイルを使用するセッションを調べることができます。ただし、CIFS セッションを終了する
と、クライアントはエラーを受信する場合があります。
読み取り専用ビットについて
読み取り専用ビットは、ファイルが書き込み可能(無効)なのか読み取り専用(有効)なのか
を示すために、ファイルごとに設定される 2 進数の数値です(0 または 1 の値)。
ファイルごとの読み取り専用ビットを設定できるのは、MS-DOS および Windows を使用する
CIFS クライアントです。NFS クライアントは、ファイルごとの読み取り専用ビットを設定し
ません。NFS クライアントは、ファイルごとの読み取り専用ビットを使用するプロトコル操
作を行わないためです。
MS-DOS または Windows を使用する CIFS クライアントがファイルを作成すると、そのファ
イルに読み取り専用ビットが設定されます。ファイルが NFS クライアントと CIFS クライア
ント間で共有されている場合も、読み取り専用ビットを設定できます。ソフトウェアの中には、
NFS クライアントと CIFS クライアントが使用するときに、読み取り専用ビットが有効にな
っている必要があるものもあります。
NFS クライアントと CIFS クライアント間で共有されるファイルに対して、適切な読み取り
権限および書き込み権限を保持するために、読み取り専用ビットが次の規則に従って処理され
HTTP を使用したファイルアクセス| 229
ます。
• NFS は、読み取り専用ビットが有効になっているファイルはすべて、書き込み権限ビットが無効に
なっているファイルとして扱います。
• NFS クライアントがすべての書き込み権限ビットを無効にしたときに、これらのうち少なくとも 1 つが以前有効であったら、そのファイルの読み取り専用ビットは有効になります。
• NFS クライアントがすべての書き込み権限ビットを有効にすると、そのファイルの読み取り専用ビ
ットは無効になります。
• ファイルの読み取り専用ビットが有効になっているときに、NFS クライアントがそのファイルの権
限を調べようとすると、そのファイルの権限ビットはNFS クライアントには送信されませんが、その
代わりに書き込み権限リストをマスクしてNFS クライアントに権限ビットが送信されます。
• ファイルの読み取り専用ビットが有効になっているときに、CIFS クライアントがこの読み取り専用
ビットを無効にすると、そのファイルに対する所有者の書き込み権限ビットが有効になります。
• 読み取り専用ビットが有効になっているファイルは、root のみが書き込めます。
メモ:ファイル権限の変更は、CIFS クライアントではすぐに反映されますが、NFS クライア
ントが属性のキャッシュを有効にしている場合はNFS クライアントではすぐには反映され
ません。
読み取り専用ビットが設定されたファイルの削除
読み取り専用ビットが有効な場合、cifs.perm_check_ro_del_ok を設定すれば、UNIX の削除
セマンティクスを使用してファイルを削除できます。デフォルトでは、この動作は無効になっ
ています。
この作業について
Windows では、読み取り専用ビットが有効になっているファイルを削除できません。マルチ
プロトコル ソース制御アプリケーションの中には UNIX の削除セマンティクスを必要とする
ものもあります。読み取り専用ビットが有効であると、これらのアプリケーション用のファイ
ルも削除できません。
手順
1. 読み取り専用ビットが有効であるときにUNIX の削除セマンティクスを使用するファイルの削除を
許可するには、次のコマンドを入力します。
options cifs.perm_check_ro_del_ok on
CIFS クライアントの UNIX クレデンシャルの管理
ストレージ システムへの接続時に、CIFS クライアント上のユーザは CIFS クレデンシャルを
受信します。ユーザは、Data ONTAP で制御されるリソースにアクセスするために、UNIX ク
レデンシャルを 1 つ以上持つ必要があります。
230 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
次のトピック
CIFS ユーザーによる UNIX クレデンシャルの取得方法 特定の CIFS ユーザだけが UNIX クレデンシャルを受信できるように設定する方法
CIFSユーザーによるUNIXクレデンシャルの取得方法
UNIX クレデンシャルは、UNIX 形式のUID(ユーザID)とGID(グループID)から構成されています。
Data ONTAP では、UNIX クレデンシャルが次の目的で使用されます。
• UNIX 形式のセキュリティが設定されたファイルにユーザがアクセスしようとするときに、UID およ
びGID を使用してユーザのアクセス権を確認します。
• CIFS ユーザを含むグループに対してグループ クォータを使用する場合、CIFS ユーザはUNIX クレデンシャルを取得している必要があります。グループ クォータに関する詳細については、
Storage Management Guide を参照してください。
CIFS ユーザがストレージ システムに接続しようとすると、Data ONTAP で CIFS ユーザの
UID とプライマリ GID が確認されます。CIFS ユーザの UID が確認できないと、ユーザのア
クセスが拒否されます。
Data ONTAP では、UNIX パスワード データベース(NIS マップまたは/etc/passwd ファイル)
を検索してユーザの UID を取得し、それによって UNIX クレデンシャルを取得します。デー
タベースには、ストレージ システムにアクセスできるすべてのユーザ アカウントが含まれて
います。各アカウントには、UNIX 形式のユーザ名と UID が含まれています。
Data ONTAP で CIFS ユーザの UID を取得するには、まず UNIX 形式のユーザ名を確認する
必要があります。ユーザの Windows 名は UNIX 名と同じでなくてもかまいません。
/etc/usermap.cfg ファイルに情報を入力して、各 Windows 名が UNIX 名にどのようにマッピ
ングされるかを指定できます。デフォルト マッピングを受け入れる場合は、この情報を入力
する必要はありません。デフォルトでは、UID の検索時に Windows 名が UNIX 名として使用
されます(ストレージ システムにより、検索前に Windows 名の大文字は小文字に変換されま
す)。
UNIX パスワード データベースのユーザ名が Windows 名と同じ場合は、/etc/usermap.cfg ファイルにマッピング情報を入力する必要はありません。ユーザ名が UNIX パスワード データ
ベースで見つからないときに wafl.default_unix_user オプションが設定されている場合は、そ
のオプションに指定されているデフォルトのログイン名が使用されます。
wafl.default_unix_user オプションの設定に関する詳細については、options(1)のマニュアル ページを参照してください。
Data ONTAP では、次の方法でユーザの GID が取得されます。
• UNIX パスワード データベースからユーザのプライマリGID を取得します。UNIX パスワード データベースの各アカウントには、そのユーザのプライマリGID が含まれています。
HTTP を使用したファイルアクセス| 231
• ユーザのプライマリGID 以外のGID は、グループ データベース(NIS グループ マッ
• プまたは/etc/group ファイル)から取得します。グループ データベースでは、さまざまなグループ
のメンバーシップを定義します。
CIFS セッション情報を表示すると、接続した CIFS ユーザーの UNIX クレデンシャルを確認できま
す。
特定のCIFSユーザだけがUNIXクレデンシャルを受信できるように設定する方法
UNIX クレデンシャルを受信するCIFS ユーザを設定するには、/etc/usermap.cfg ファイルを編集し、
UNIX グループおよびユーザを作成して、Windows ゲスト ユーザ アカウントを有効にします。
手順
1. 一部のWindows 名がUNIX 名と異なる場合、または一部の CIFS ユーザーがストレージ システ
ムにアクセスするのを防ぐ場合、/etc/usermap.cfg ファイルを編集します。
2. UNIX グループ データベース内にグループを作成します。
3. マッピングされたUNIX名を持つ各CIFS ユーザーに対して、UNIX パスワード データベースにユ
ーザー アカウントを入力します。
4. Administrator アカウントの名前を変更する場合、1 人以上のCIFSユーザがUNIX の root アカウ
ントにマッピングされていることを確認します。
5. UNIX パスワード データベース内にエントリが保持されていないCIFS ユーザーにストレージ シス
テムへのアクセスを許可する場合は、UNIX パスワード データベースにデフォルトのユーザー アカウントを作成し、wafl.default_unix_user オプションをそのユーザーに設定します。
6. 認証されていないユーザーにストレージ システムへのアクセスを許可する場合は、Windows ゲスト ユーザー アカウントを有効にします。
次のトピック
/etc/usermap.cfg ファイルのエントリの指定 root への Windows アカウントのマッピング UID および GID への UNIX 名のマッピング デフォルトの UNIX ユーザーアカウントの有効化または無効化 Windows ゲストユーザーアカウントの有効化または無効化
/etc/usermap.cfgファイルのエントリの指定
Data ONTAP では、/etc/usermap.cfg ファイルを使用してユーザ名をマッピングします。最も
単純な形式では、/etc/usermap.cfg ファイルの各エントリに Windows 名と UNIX 名のペアが
含まれています。Data ONTAP では、Windows 名を UNIX 名に変換したり、UNIX 名を
Windows 名に変換したりすることができます。
CIFS の開始時に/etc/usermap.cfg ファイルが見つからない場合は、デフォルトのファイルが
作成されます。デフォルトのファイルには、セキュリティの向上に役立つコメントアウトされ
たサンプル マップ エントリが含まれています。
Data ONTAP では、CIFS ユーザからの接続要求を受信すると、/etc/usermap.cfg ファイルが
232 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
検索され、エントリがユーザの Windows ドメイン名およびユーザ名と一致するかどうかが確
認されます。
エントリが見つかった場合は、エントリに指定されている UNIX 名が使用され、UNIX パスワ
ード データベースから UID と GID が検索されます。UNIX 名が null 文字列の場合、CIFS ユ
ーザへのアクセスが拒否されます。
エントリが見つからない場合は、Windows 名が小文字に変換され、UNIX 名は Windows 名と
同じとみなされます。この UNIX 名を使用して、UNIX パスワード データベースから UID と
GID が検索されます。
ファイルは順次スキャンされ、最初に一致したエントリがマッピングに使用されます。
/etc/usermap.cfg ファイルの記述方法については、『Storage Management Guide』の/etc ディレクトリの内容に関する情報を参照してください。
手順
1. 各エントリは次の形式で指定します。
[IP_qualifier:] Windows_name [direction] [IP_qualifier:] UNIX_name
ファイルにコメントを入れる場合は、コメント行の先頭に#を付けます。コメントの先頭に#を付けた文をエントリの末尾に置くこともできます。空白の行は無視されます。
次のトピック
IP_qualifier フィールドについて Windows_name フィールドについて direction フィールドについて UNIX_name フィールドについて Data ONTAP による/etc/usermap.cfg 内のドメイン名の解釈 usermap.cfg エントリの例 ユーザー名をマッピングするためのガイドライン セキュリティを強化するための推奨されるエントリ NFS クライアントの確認
IP_qualifierフィールドについて
IP_qualifier フィールドは、照合の対象を絞り込むことによりユーザ名を修飾する IP アドレス
です。
IP 修飾子には、次のいずれかを指定できます。
• ビット表記法の IP アドレス。サブネット マスクにビット数を付けて、サブネットを指定できます。た
とえば、192.4.1.0/24 は 192.4.1.0 クラスC サブネットを表します。
• 名前。Data ONTAP では、最初に、名前はホスト名であるとみなされます。ホスト名データベース
内に一致するホスト名がない場合は、名前はネットワーク名とみなされます。
• ネットワーク名または IP アドレスとサブネット マスクを含んでいるサブネット アドレス (例えば、
corpnet/255.255.255.0 など)。
HTTP を使用したファイルアクセス| 233
メモ: Data ONTAP では、照合のときにのみIP 修飾子を使用します。マップ エントリのマ
ッピング先でIP 修飾子を使用する場合、ログイン要求はそのIP 修飾子からのものとはみ
なされません。
Windows_nameフィールドについて
Windows_name フィールドは、Windows ドメイン名(オプション)と Windows ユーザ名で
構成されています。
マップ エントリのマッピング元では、ドメインは、ユーザが属しているドメインを示します。
マップ エントリのマッピング先では、ドメインは、マッピングされた UNIX エントリに使用
されるドメインを示します。エントリ内のアカウント名がローカル ユーザ アカウントの場合、
Windows ドメイン名はストレージ システム名になります。
Windows_name フィールドにドメイン名を指定しないと、ストレージ システムがインストー
ルされているドメインが使用されます。ストレージ システムがローカル ユーザ アカウントを
使用して認証する場合、ドメイン名はストレージ システム名になります。
ワイルドカードとして次のようにアスタリスク(*)を使用できます。
• ドメイン マップ内の指定された名前が、指定されたUNIX 名にマッピングされるようにするには、
アスタリスクをマッピング元で使用する。
• 指定されたUNIX 名が、信頼できる任意のドメインにあるWindows 名にマッピングされるようにす
るには、アスタリスクをマッピング先で使用する。マッピングに使用される信頼できるドメインは、
一致するWindows 名が最初に見つかった場所によって異なります。cifs.search_domains オプ
ションで指定した信頼できるドメインだけが、指定された順に検索されます。このオプションを設定
していないと、すべての信頼できるドメインが、順不同で検索されます。
ユーザ名にスペースやシャープ記号を入れる場合は、名前を二重引用符で囲みます。たとえば、
"bob smith"または"eng#lab"\"#joe"のように入力します。
メモ: \は引用符で囲まないでください。
マップ エントリのマッピング先でユーザ名が空または空白(""と指定)になっている場合、一
致する UNIX 名によるアクセスが拒否されます。ユーザ名に空白のエントリを使用すると、一
部またはすべての UNIX ユーザに対してアクセスが拒否されます。これらのエントリを
IP_qualifier とともに使用すると、特定のホストまたはサブネットを除くすべての UNIX ユー
ザを除外できます。
directionフィールドについて
direction フィールドはマッピングの方向を示しています。
direction フィールドには次の表のいずれかの値を指定します。
direction フィールドの値 意味
== 双方向のマッピングを行います。 エントリはWindows から UNIX に、または UNIX から Windows に
234 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
マッピングされます。 direction フィールドを指定しない場合は、==が適用されます。
<= エントリは UNIX から Windows へのマップを意味します。
=> エントリは Windows から UNIX へのマップを意味します。
UNIX_nameフィールドについて
UNIX_name フィールドは、UNIX パスワード データベース内の UNIX 名です。
マップ エントリのマッピング先で UNIX_name が空または空白(""と指定)の場合、指定され
たマッピング元の名前はログインを拒否されます。Windows ユーザは、ネットワークの参照
時にストレージ システムが表示されても、ストレージ システムにはログインできません。
UNIX 名にアスタリスク(*)を使用できます。アスタリスクはワイルドカード文字とみなさ
れます。これは、すべてのユーザを表します。Windows 名または UNIX 名でアスタリスクを
使用する場合は、次のガイドラインに注意してください。
• マッピング元でアスタリスクを使用する場合は、すべてのユーザが、マッピング先の指定された名
前にマッピングされます。
• マッピング先でアスタリスクが指定されているが、マッピング元では指定されていない場合、マッピ
ングは行われません。Data ONTAP では、明示的に指定された名前からアスタリスクで指定され
た名前へのマッピングは行われません。
• マッピング元とマッピング先の両方でアスタリスクが指定されている場合は、対応する名前がマッ
ピングされます。
Data ONTAPによる/etc/usermap.cfg内のドメイン名の解釈
ドットが含まれた/etc/usermap.cfg ファイル内のドメイン名に関する Data ONTAP の解釈方
法は、ストレージ ドメインが Windows NT ドメイン内にあるか、または Windows ActiveDirectory ドメイン内にあるかによって異なります。
ストレージ システムが Windows NT のドメイン内にインストールされている場合、ドメイン
名フィールドの長さが、ドメイン名の解釈に影響を与えます。
ストレージ システムが Windows Active Directory のドメイン内にインストールされている場
合、ドメイン名は Windows サーバでの解釈と同様に解釈されます。
ストレージ システムが Windows NT のドメイン内にある場合、domain\user という形式でド
ットが含まれているドメイン名は、次の規則に従って解釈されます。
• domain が 15 文字以内の場合、ドットが含まれている文字列全体がNetBIOS 形式のドメイン名
として認識されます。たとえば、次の名前ではmy_company.com がNetBIOS 形式のドメイン名
です。
my_company.com\john_smith
HTTP を使用したファイルアクセス| 235
• domain が 16 文字以上の場合、ドットは区切り文字として扱われ、最初のドットより前の文字列
がNetBIOS 形式のドメイン名になります。たとえば、次の名前ではengineeringがNetBIOS 形式
のドメイン名です。
engineering.1234567890corporation.com\john_smith
ストレージ システムが Windows Active Directory のドメイン内にある場合は、domain\user という形式でユーザ名を指定できます。domain 内の最初のドットより前の文字列が NetBIOS 形
式のドメイン名であり、domain 内の文字列全体が DNS ドメイン名です。
たとえば、次の名前では engineering が NetBIOS 形式のドメイン名で、
engineering.1234567890corporation.com が DNS ドメイン名です。
engineering.1234567890corporation.com\john_smith
usermap.cfgエントリの例
usermap.cfg エントリの例をいくつか示します。
次の表に、簡単な /etc/usermap.cfg エントリを示します。
エントリ 意味
"Bob Garj" == bobg Windows 名Bob Garj がUNIX 名bobg にマッピングされ、UNIX 名bobg がWindows 名BobGarj にマッピングされます。
mktg\Roy => nobody mktg ドメイン内のWindows 名Roy が、UNIX 名 nobody にマッピン
グされます。このエントリでは、Roy はログインできますが、UNIX 形式
のセキュリティが設定されたファイルへのアクセスは制限されます。
engr\Tom => "" engr ドメイン内のユーザTom のログインは許可されません。
次の表に、Windows 名でアスタリスクを使用する例を示します。
エントリ 意味
uguest <= * 照合されていないすべてのUNIX 名が、Windowsユーザuguest にマッ
ピングされます。
*\root => "" すべてのドメインにあるWindows 名root を使用したログインを許可しま
せん。
corporate\* == pcuser corporate ドメイン内の全てのユーザーを UNIX 名 pcuser にマップしま
す。Windows ユーザー名にアスタリスクが使用されているため、UNIX 名 pcuser のマッピングは行われません。
Engineer == * すべてのUNIX 名が、ストレージ システムのドメイン内にあるWindows 名Engineer にマッピングされます。UNIX ユーザ名にアスタリスクが 使用されているため、Windows 名Engineer へのマッピングはこれ以上
行われません。
次のいずれかのエントリ • homeusers\* * • homeusers\* == *
すべてのUNIX ユーザが、homeusers ドメイン内の対応する名前にマッ
ピングされます。たとえば、UNIX ユーザbob はhomeusers\bob にマッ
ピングされます。
236 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
homeusers ドメイン内にあるすべてのWindowsユーザは、対応する
UNIX 名にマッピングされます。たとえば、homeusers ドメイン内の
Windows ユーザjohn は、UNIX 名john にマッピングされます。
次の表に、IP 修飾子の使用例を示します。
エントリ 意味
Engineering\* <= sunbox2:* sunbox2 というホストにあるUNIX 名が、Engineering ドメイン内の同じ
名前にマッピングされます。
Engineering\* <= 192.9.200.70:* IP アドレス 192.9.200.70 にあるUNIX 名が、Engineering ドメイン内の
同じ名前にマッピングされます。
""<= 192.9.200.0/24:* 192.9.200.0 サブネットのUNIX 名はnull 文字列にマッピングされるた
め、このサブネットからのすべてのNFS 要求は拒否されます。
192.9.200.0/24:test-dom\* => "" test-dom ドメイン内のすべてのユーザは、192.9.200.0 サブネットから
のアクセスを拒否されます。
*\* == corpnet/255.255.0.0: * すべてのドメイン内にあるすべてのユーザ名が、対応するUNIX 名にマ
ッピングされます。ユーザ名がドメイン全体で一意でない場合は、このエ
ントリを使用すると、異なるWindows 名が同じUNIX 名にマッピングされ
る場合があります。 IP 修飾子は照合のためだけに使用されるので、corpnet/255.255.0.0 と指定しても、Windows とUNIX 間のマッピング結果には影響を与えま
せん。 双方向のマッピングが行われるため、corpnet/255.255.0.0 ネットワーク
からのすべてのUNIX 名が、ストレージ システムのいずれかの信頼でき
るドメインにある同じ名前にマッピングされます。
ユーザー名をマッピングするためのガイドライン
いくつかのガイドラインに従って、簡単で分かりやすいエントリを作成してください。
マッピングを実効する場合は、次のガイドラインに注意してください。
• Windows ユーザー名と UNIX ユーザー名は、できる限り同じ名前を使用してください。同じ名前
にすると、/etc/usermap.cfg ファイルにマップ エントリを作成する必要がなくなります。
• 次のような分かりにくいマップ エントリは作成しないでください。
"tome s" => tjs
bill <= tjs
• 複数のユーザをさまざまなマッピング先にマッピングする場合には、IP 修飾子を使用しないでくだ
さい。たとえば、UHOST1 のUNIX ユーザtjs をWindows ユーザTom S にマッピングし、
UHOST2 のUNIX ユーザtjs をWindows ユーザSmith にマッピングすると、わかりにくくなりま
す。IP 修飾子はアクセスを制限するためだけに使用してください。
HTTP を使用したファイルアクセス| 237
セキュリティを強化するための推奨されるエントリ
不正ユーザのストレージ システムへのアクセスを防止するには、/etc/usermap.cfg ファイルに
複数のエントリを追加する必要があります。
Data ONTAP では、最初に一致したエントリを使用してマッピングを決定するため、ここで
推奨されるエントリをファイルにコピーするときは、エントリの順番が重要になるので注意し
てください。
マップ エントリ 意味
*\root => nobody root という名前のWindows ユーザはすべてログインできますが、
UNIX アクセス権は持っていません。マッピング先が異なるWindows ユーザrootのインスタンスの場合は、/etc/usermap.cfg ファイ
ルの最初の方にマップ エントリを明示的に追加します。
guest <= administrator guest <= root
最初のエントリは、UNIX からWindows Administrator アカウントへ
の妨害を防ぎます (Administrator アカウントの名前が変更されていない場合)。2 番目
のエントリは、UNIX ユーザ root をWindows guest アカウントにマッ
ピングします。2 番目のエントリは、ルート権限を持つ UNIX ホストまたはサブネットの明示的なマップ エントリのあとに記述
します。記述する場所は、/etc/usermap.cfg ファイルの最後付近にな
ります。
*\* => "" "" <= *
これらのエントリをファイルの最後に指定すると、他のマッピングが行
われるのを防ぐことができます。デフォルトでは、エントリが一致しない 場合、同じ名前を照合しようとしますが、このデフォルトの動作が回避
されます。
NFS クライアントの確認
マルチプロトコルのストレージ システムについては、NFS アクセスを usermap.cfg ファイル
にマッピングされたクライアントだけに制限することができます。
このセキュリティ制限は、非 Kerberos 環境、つまり主に CIFS クライアントに対応している
が、ある既知の(IP マッピングされた)NFS クライアントからの接続は許可したい環境にお
そらく最も適しています。nfs.require_valid_mapped_uid オプションの詳細については、
options(1)のマニュアル ページを参照してください。
rootへのWindowsアカウントのマッピング
環境内に CIFS クライアントだけが存在し、ストレージ システムがマルチプロトコル ストレ
ージ システムとして設定されている場合は、ストレージ システム上のファイルにアクセスす
るルート権限を持つ Windows アカウントが 1 つ以上必要です。このアカウントがないと、
/etc ディレクトリ内の一部の構成ファイルなど、UNIX 形式のセキュリティが設定されたファ
イルにアクセスできないため、ストレージ システムを管理できません。
ただし、ストレージ システムが NTFS 専用に設定されている場合、/etc ディレクトリには、
238 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ファイルレベルの ACL があります。この ACL によって、管理者グループは Data ONTAP 構成ファイルにアクセスすることができます。
手順
1. 次の作業のいずれかを実行します。
アカウントをroot にマッピングするグ
ループ
操作
管理者の場合 wafl.nt_admin_priv_map_to_root オプションがon に設定されていることを確認します。
結果:アカウントをルートにマッピングする/etc/usermap.cfg エントリを指定していない場
合でも、管理者グループ内のすべてのアカウントがルートとみなされます。
管理者グループに属するアカウントを使用してファイルを作成する場合、UNIX クライア
ントからファイルを表示するときに、ファイルはルートによって所有されます。
選択したアカウント ルートにマッピングされるアカウントごとに、/etc/usermap.cfg エントリを追加します。 メモ: マルチプロトコル ストレージ システム上のルートにマッピングされるWindows アカ
ウントが 1 つ以上必要になります。このアカウントがない場合は、どのアカウントも/etc ディレクトリの構成ファイルにアクセスできません。
次のコマンドを入力して、wafl.nt_admin_priv_map_to_root オプションを無効にします。 options wafl.nt_admin_priv_map_to_root off 結果:管理者グループ内のアカウントがルートにマッピングされなくなります。UNIX
形式のセキュリティが設定されたファイルへアクセスできるのは、/etc/usermap.cfg フ
ァイル内でルートへのマッピングを指定した管理者グループ内のアカウントだけにな
ります。管理者グループ内のアカウントごとにUNIX ID が設定されます。
UIDおよびGIDへのUNIX名のマッピング
CIFS ユーザが UID と GID を取得するには、ユーザの UNIX 名に対応する UNIX アカウントを
UNIX パスワード データベース内に作成する必要があります。
Data ONTAP では、各 UNIX 名の UID とプライマリ GID が UNIX パスワード データベースか
ら取得されます。UNIX グループ データベースから UNIX 名のセカンダリ GID が取得されま
す。UNIX 名がパスワード データベース内にない CIFS ユーザでも、デフォルトの UNIX ユー
ザ アカウントを有効にすると、UID を取得できます。
ストレージ システムが、cifs setup を実行する前の NIS クライアントの場合、/etc/passwd ファイルは自動的に作成されません。cifs setup の実行時に NIS が無効になっている場合は、
/etc/passwd ファイルが自動的に作成されます。
NIS サーバに障害が発生し、ストレージ システムが/etc/passwd ファイルを保持していない場
合、CIFS ユーザはストレージ システムに接続できなくなります。NIS が使用できない場合で
もストレージ システムが CIFS ユーザの UNIX クレデンシャルを取得できるように、
HTTP を使用したファイルアクセス| 239
/etc/passwd ファイルを作成しておくことができます。
デフォルトの/etc/passwd ファイルには、次の UNIX 名のエントリが含まれています。
• root
• pcuser
• nobody
/etc/group ファイルと /etc/passwd ファイルの形式の詳細については、Storage Management Guide を参照してください。
手順
1. 次の作業のいずれかを実行します。
使用状況 作業
/etc/passwd ファイルではNISを使用する
場合 各 CIFS ユーザーの UNIX 名を NIS パスワード マップに追加し
ます。
NIS ではなく /etc/passwd ファイルを使用
する場合 各ユーザのUNIX 名に対して、/etc/passwd ファイルにエントリを
追加します。Data ONTAP はパスワードのエントリを作成するコ
マンドをサポートしていないので、passwd コマンドをサポートす
るUNIX ホストを使用して、/etc/passwd ファイルをホスト上に作
成します。作成したファイルは、ホストからストレージ システムに
コピーします。
デフォルトのUNIXユーザーアカウントの有効化または無効化
ときどきストレージ システムに接続する必要はあるが、UNIX パスワード データベース内に
個別のエントリを作成する必要がないユーザに対しては、デフォルトの UNIX ユーザ アカウ
ントを作成します。これらのユーザはデフォルトのユーザ アカウントを使用して、ストレー
ジ システムに接続します。
デフォルト ユーザのデフォルトの UNIX 名は pcuser です。wafl.default_unix_user オプション
を使用して、別の名前を指定できます。このオプションが null 文字列に設定されている場合
は、どのユーザも UNIX デフォルト ユーザとしてストレージ システムにアクセスできません。
つまり、各ユーザが、ストレージ システムにアクセスできるようにするには、パスワード データベースにアカウントを持つ必要があります。
ユーザがデフォルトのユーザ アカウントを使用してストレージ システムに接続するには、次
の前提条件を満たす必要があります。
• ユーザーが認証されていること
• ユーザーが信頼できるドメインに属していること
• そのユーザー名が /etc/usermap.cfg ファイル内でnull文字列にはマッピングされていないこと
クォータが有効になっている場合、デフォルトのユーザ アカウントは他のユーザと同様にク
ォータ制限の対象となります。たとえば、デフォルトのユーザ名が pcuser で、デフォルトの
ユーザ クォータが/vol/vol0 ボリュームに適用される場合、pcuser はこのデフォルトのユーザ
240 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
クォータによって制限されます。デフォルト ユーザに適用するクォータの詳細については、
Data ONTAP『Storage Management Guide』のデフォルト ユーザが所有するディスク スペー
スの計算方法に関するセクションを参照してください。このセクションは、クォータを使用し
たディスク スペースの管理に関する章に記載されています。
手順
1. 次の作業のいずれかを実行します。
目的 操作
デフォルトの UNIX ユーザー アカウントを無
効にする場合
次のコマンドを入力します。 options wafl.default_unix_user "" 結果: パスワード データベースにアカウントがあるユーザーのみがストレージ システ
ムにアクセスできます。
デフォルトの UNIX ユーザー アカウントを有
効にする場合
NIS パスワード データベースまたは /etc/passwd ファイルに、pcuser アカウントの
エントリを作成します。
デフォルトの UNIX ユーザー アカウントの名
前を pcuser から別の
名前に変更する場合
wafl.default_unix_user オプションを、デフォルトの UNIX ユーザー アカウントの新
しい名前に設定します。 たとえば、次のコマンドを入力して、デフォルトのユーザー名を someuser に変更し
ます。 options wafl.default_unix_user someuser
Windowsゲストユーザーアカウントの有効化または無効化
Windows ゲスト ユーザー アカウントを有効にする影響は、ストレージ システムのユーザ認
証方法によって異なります。
次に考えられる影響を示します。
• ストレージ システムがドメイン コントローラまたはローカル ユーザ アカウントを使用してユーザを
認証する場合、Windows ゲスト ユーザ アカウントを有効にすると、信頼できないドメインからロ
グインしたユーザがストレージ システムに接続する可能性があります。これらのユーザは、Guest アカウント専用に作成されたUNIX UID を使用します。Guest としてログインしたユーザは、ホー
ム ディレクトリを持ちません。
• ストレージ システムがUNIX パスワード データベースを使用してユーザを認証する場合、
Windows ゲスト ユーザ アカウントを有効にすると、デフォルトのUNIX アカウントを有効にする場
合と同じ効果があります。ただし、Guest としてログインしたユーザは、ホーム ディレクトリを持ち
ません。
手順
1. 次の作業のいずれかを実行します。
目的 作業
Windows ゲスト ユ 次のコマンドを入力します。
HTTP を使用したファイルアクセス| 241
目的 作業
ーザー アカウントを
無効にする場合 options cifs.guest_account ""
Windows ゲスト ユーザー アカウントを
有効にする場合
NIS パスワード データベースまたは /etc/passwd ファイルに、ゲスト アカウントが使
用するユーザー アカウントを作成します。次のコマンドを入力して、UNIX パスワード データベースで使用するゲスト ユーザー アカウント名を指定します。 options cifs.guest_account unix_name unix_name は、 UNIX パスワード データベースでのユーザー アカウントの名前で
す。
SID と名前のマッピングキャッシュの管理
CIFS では、ユーザ認証、クォータ管理、コンソール コマンドの処理、およびさまざまな
RPC 応答を行うときに、頻繁にセキュリティ識別子(SID)をユーザ名やグループ名にマッ
ピングしたり、ユーザ名やグループ名をセキュリティ識別子にマッピングする必要があります。
SID と名前のマッピング キャッシュには、SID を Windows 2000 より前のユーザ名およびグ
ループ名に対してマッピングするエントリが格納されます。
この作業について
ストレージ システムは、ドメイン コントローラに照会して、SID と名前のマッピング情報を
取得します。同じ名前を何度も参照しないように、ドメインコントローラから受け取った SID と名前のマッピング情報がストレージ システム上の SID と名前のマッピングキャッシュに保
存されます。
ストレージシステムではデフォルトで、SID と名前のマッピング キャッシュが有効になりま
す。エントリの有効期間を変更したり、エントリを消去したり、SID と名前のマッピングキャ
ッシュをオンまたはオフにすることによって、キャッシュを手動で制御できます。
キャッシュは、CIFS サービスを終了したり再起動しても維持されますが、リブートやテイク
オーバーおよびギブバックのあとは維持されません。ストレージ システムは、SID と名前の
マッピング情報が必要なとき、まず SID と名前のマッピング キャッシュ内で一致するエント
リを探します。一致するエントリが見つからない場合や、期限切れのエントリが見つかった場
合、ストレージ システムは最新のマッピング情報の存在について適切なドメイン コントロー
ラに照会します。ドメイン コントローラが使用できない場合、ストレージ システムは期限切
れのマッピング エントリを使用することがあります。
名前の検索に SID と名前のマッピング キャッシュを使用する主な利点は、次のとおりです。
• 認証パフォーマンスが向上します。
• マッピング操作を実行したことにより、ユーザへのコンソールコマンドの応答が速くなります。
次のトピック
SID と名前のマッピングキャッシュの有効化と無効化 SID と名前のマッピングエントリの有効期間の変更 SID と名前のマッピングキャッシュの全体または一部の消去
242 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
SIDと名前のマッピングキャッシュの有効化と無効化
SID と名前のマッピング キャッシュを有効または無効にするには、cifs.sidcache.enable オプ
ションをそれぞれ on または off に設定します。
手順:
1. 以下の操作のいずれか一つを実行してください。
SID と名前のマッピングキャッシュの設定 操作
有効にする場合 以下のコマンドを入力します。 options cifs.sidcache.enable on
無効にする場合 以下のコマンドを入力します。 options cifs.sidcache.enable off
SIDと名前のマッピングエントリの有効期間の変更
SID と名前のマッピング エントリの有効期間を変更するには、cifs.sidcache.lifetime オプショ
ンを設定します。
手順:
1. 以下のコマンドを入力します。
options cifs.sidcache.lifetime time
time は、新しいマッピングエントリの期限までの使用時間を分で表した値です。
SIDと名前のマッピングキャッシュの全体または一部の消去
期限から 1 週間を過ぎたエントリは、SID と名前のマッピング キャッシュから定期的に自動消去され
ます。ただし、ユーザがアカウントまたはユーザ名を変更した場合は、SID と名前のマッピング キャッ
シュ内のエントリを手動で消去する必要があります。また、SID と名前のマッピング キャッシュをすべ
て手動で消去して、ドメイン コントローラを使用できない場合にストレージ システムが期限切れのエン
トリを使用しないようにすることもできます。
手順:
1. 以下の操作のうちいずれかを行います。
SID と名前のマッピン
グキャッシュエントリ
の消去対象
操作
すべての Windowsドメイン、ユーザー、グ
次のコマンドを入力します。 cifs sidcache clear all
HTTP を使用したファイルアクセス| 243
ループ、及び SID
特定のWindows ドメ
イン 以下のコマンドを入力してください。 cifs sidcache clear [domain] domain は、消去するキャッシュ入力のWindows ドメインです。 ドメインを特定しない場合は、ストーレジシステムのホームドメインのエントリがキャ
ッシュから消去されます。
特定のユーザーまた
はグループ 以下のコマンドを入力してください。 cifs sidecache clear user username usernameは、キャッシュから消去する特定の Windows ユーザーまたはグループ
のエントリです。ユーザー名は以下の方法で指定できます。
• domain / username
• username ドメインを使用しないでユーザ名を指定すると、ストレージシステムのホームドメイ
ンがドメインに使用されます。
特定の SID 以下のコマンドを入力します。 cifs sidcache clear sid textualSid textualSid は、キャッシュから消去するテキスト形式の SID です。標準的な「S-1-5…」構文を使用して SID を指定します。
例: cifs sidcache clear sid S-1-5-21-4503-17821-16848-500
LDAP(Lightweight Directory Access Protocol)サービスの使用
Data ONTAP は、NFS と CIFS 間のユーザー認証、ファイルアクセス認証、ユーザー検索,およびマッピングサービスのための LDAP、及び LDAP over Secure Sockets Layer(SSL)をサ
ポートしています。
タスク概要
LDAP サーバーを使用するとユーザー情報を集中的にできるようになります。その結果、ネッ
トワーク上の各ストーレジ システムの構成ファイルを保守する必要がなくなります。ネット
ワーク上にいくつかのストーレジ システムを有する場合は、ユーザー情報を集中的に保守す
ると、ユーザー或いはグループを追加または削除するたびに、各ストーレジ システム上のこ
れらのファイルを更新する必要がなくなります。
ユーザーデータベースを LDAP サーバーに保存する場合、LDAP データベースのユーザー情報
を検索するようストーレジ システムを設定することができます。例えば、コンソールおよび
と rsh、telnet、http、https、ssh の各プロトコルの管理ユーザのログインおよびパスワード情
報を LDAP サーバ上に保存することで、これらの情報の集中管理が可能になります。
Data ONTAP LDAP サポートには、LDAP サーバーの以下の種類が含まれています。
• Netscape
• iPlanet
• OpenLDAP
244 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
• Windows Active Directory
• Novell NDS
Data ONTAP は、署名が必要な LDAP サーバーへの接続をサポートします。LDAP 署名のサポ
ートはデフォルトで有効です。
次のトピック
LDAP サービスの設定 クライアント認証と許可の管理 LDAP ユーザマッピングサービスの管理 ユーザーマッピングのためのベースと範囲の指定 Active Directory LDAP サーバの管理 LDAP スキーマの管理
LDAPサービスの設定
このセクションでは、LDAP データベースに接続するための設定に役立つ情報を提供します。
次のトピック
一般的な検索ベースと範囲の指定 ユーザ検索用の検索ベースと範囲値の指定 LDAP サーバーの指定 優先 LDAP サーバーの指定 LDAP の有効化と無効化 LDAP トラフィックのための SSL の有効化と無効化 LDAP トラフィックのための SSL 用ルート証明書のインストール /etc/nsswitch.conf ファイルへの Idap エントリの追加 管理ユーザー名の指定 管理パスワードの指定 管理ユーザーの一元管理の有効化 LDAP ポートの指定 LDAP サーバーオプションの優先順位
一般的な検索ベースと範囲の指定
LDAP ベースは、ユーザー情報が保存されている LDAP ツリーの識別名です。LDAP サーバー
に送信された全ての検索要求は、ldap.base.passwd、ldap.base.group、或いは
ldap.base.netgroup のようなより具体的なベースと範囲検索値によって制限されない限り、
ldap.base オプション値によって特定された検索ベースと範囲に制限されます。
手順:
1. 以下のコマンドを入力してください。
options ldap.base name
HTTP を使用したファイルアクセス| 245
name は、基本識別名です。名前にスペースが含まれている場合は、これを引用符で囲んでくだ
さい。
例:
options ldap.base “o=exmaplecompany,c=us”
ユーザ検索用の検索ベースと範囲値の指定
必須ではありませんが、LDAP 検索要求専用のベースおよび範囲値を指定して、ユーザの検索
照会を LDAP データベースのユーザアカウントブランチに限定できます。すべての照会の検
索ベースと範囲を制限するとパフォーマンスは著しく向上します。
手順:
1. ldap.base.passwd オプションに指定することにより、LDAP データベースに定義した通りに、ユー
ザーパスワード検索のためのベースおよび範囲検索値を設定します。例:
options ldap.base.passwd “ou=People,dc=companydomain,dc=com”
2. LDAP データベースに定義した通りに、グループ検索のためのベースと範囲検索値
「ldap.base.group」を設定します。 例:
options ldap.base.group “ou=Groups,dc=companydomain,dc=com”
3. LDAP データベースに定義されている通りに、ネットグループ検索のためのベースと範囲検索値
「ldap.base.group」を設定してください。例:
options ldap.base.group “ou=Netgroups, dc=companydomain,dc=com”
いったん ldap.base.passwd および ldap.base.group の検索ベースおよび範囲値が指定される
と、パスワードおよびグループ検索については、これらの値が ldap.base に設定された検索ベ
ースおよび範囲値より優先されます。
LDAPサーバーの指定
LDAP 照会のために使用される LDAP サーバを指定するには、ldap.servers オプションを設定
します。
手順:
1. 以下のコマンドを入力してください。
options ldap.servers “name[name…]”
name は、LDAP サーバーの名前です。引用符で囲まれたスペース区切りリストを使用して、複
数のサーバー名を入力することができます。Data ONTAP は、これらのサーバを指定された順
で接続の確立を試行します。
メモ:Windows LDAP サーバーを IP アドレスではなく、名前として指定し、/etc/hosts ファ
イルに Windows LDAP サーバーの IP アドレスと名前を指定している場合は除き、
Windows LDAP サーバでは SASL を使用しないで単純認証を使用します。/etc/hosts ファイ
246 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ルの編集方法に関しては、「Data ONTAP 7-Mode System Administration Guide」を参照し
てください。
例:
options ldap.servers “server1 server2”
優先LDAPサーバーの指定
優先 LDAP サーバーを指定するために ldap.servers.preferred を設定することができます。こ
れにより、より高速のリンクにある LDAP サーバーを指定することができます。
手順:
1. 以下のコマンドを入力してください。
options ldap.servers.preferred “name[name…]”
「name」は、優先 LDAP サーバーの名前です。引用符で囲まれたスペース区切りリストを使用し
て複数のサーバー名を入力することができます。
例:
options ldap.servers.preferred “server1 server2”
LDAPの有効化と無効化
ldap.enable オプションをそれぞれ on または off に設定することで、LDAP を有効、または無
効にすることが可能です。
手順:
1. 以下の操作のうちの一つを実行してください。
目的 作業
LDAP を有効にする場合 以下のコマンドを入力します。 options ldap.enable on
LDAP を無効にする場合 以下のコマンドを入力します。 options ldap.enable off
LDAPトラフィックのためのSSLの有効化と無効化
LDAP トラフィックの Secure Sockets Layer(SSL)暗号化を有効または無効にするには、
ldap.ssl.enable オプションをそれぞれ on または off に設定します。
LDAP のための SSL を有効にすることに加え、ルート機関が署名した証明書がストレージ システムにインストールされている必要があります。
メモ:ストーレジ システムとサーバーの証明書は両方とも同一の証明書署名機関から発行さ
HTTP を使用したファイルアクセス| 247
れる必要があります。
手順:
1. 以下の操作のうち一つを実行してください。
LDAP のための SSL 設定 操作
有効にする場合 以下のコマンドを入力します。 options ldap.ssl.enable on
無効にする場合 以下のコマンドを入力します。 options ldap.ssl.enable off
LDAPトラフィックのためのSSL用ルート証明書のインストール
LDAP トラフィックの SSL による暗号化に使用されるルート証明書をストレージ システムに
インストールするには、keymgr コマンドを使用します。
手順:
1. 信頼できる署名機関から証明書をストーレジ システムにダウンロードします。ストーレジ システム
上の証明書の保存場所を覚えておきます。
2. 以下のコマンドを入力します。
keymgr install root certificate_filename
certificate_filename は、証明書の完全なファイル名です。keymgr コマンドで証明書をインストー
ルしたら、ストーレジ システム上のコピーを削除できます。
例:
keymgr install root /etc/my_cert
メモ:ストーレジ システムとサーバの証明書は、両方とも同一の証明書署名機関から
発行される必要があります。
3. LDAP ポートをポート 636 に設定します。
/etc/nsswitch.conf ファイルへのIdapエントリの追加
/etc/nsswitch.conf ファイルに ldap エントリ を追加すると、UNIX クライアント認証に LDAPを使用できるようになります。
手順:
1. 編集のためにストーレジ システム上で/etc/nsswitch.conf ファイルを開きます。
2. passwd、group、及び netgroup 行に以下を入力します。
ldap
オプションで passwd 行に files、nis、またはその両方を追加できますが、ユーザ情報を検索する
ためのプライマリ メカニズムとして LDAP を使用する場合、これらは ldap のあとに入力する必要
があります。
248 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
例
passwd: ldap files nis
3. ファイルを保存します。
管理ユーザー名の指定
使用環境で匿名認証が機能しない場合は、管理照会で UID および GID の検索に使用する管理
ユーザ名を指定する必要があります。
手順:
1. 以下のコマンドを入力します。
options ldap.name name
name は、管理照会に使用する LDAP の識別名です。最良の方法は、これを LDAP データベ ースへの読み取り専用アクセス権を持つユーザの名前とすることです。名前にスペースが含まれ
ている場合は、これを引用符で囲んでください。
例:
options ldap.name “cn=root,o=examplecompany,c=us”
管理パスワードの指定
管理パスワードを設定するには、ldap.passwd オプションを設定します。
手順:
1. 以下のコマンドを入力してください。
options ldap.passwd password
password は、管理ユーザーのためのパスワードです。
パスワードは、連続したアスタリスクで表示されます。
管理ユーザーの一元管理の有効化
コンソールおよび rsh、telnet、HTTP、HTTPS の各プロトコルを使用する Data ONTAP 管理
ユーザの一元管理を有効にするには、適切なオプションを設定します。
手順:
1. security.admin.authentication オプションの値には、nsswitch を必ず含めてください。
例えば、次のいずれかのコマンドを入力します。
options security.admin.authentication nsswitch
options security.admin.authentication internal,nsswitch
options security.admin.authentication nsswitch,internal
HTTP を使用したファイルアクセス| 249
2. security.admin.nsswitchgroup オプションの値を、管理アクセスが許可されたユーザーを指定し
た nsswitch.conf ファイルのグループ名に設定します。
例:
組織内のエンジニア全員に管理アクセスを許可する場合は、engineers という名前のユーザーグループを作成
し、組織内の全エンジニアをそのグループに追加してから、以下のコマンドを入力します。 options security.admin.nsswitchinggroup engineers
LDAPポートの指定
LDAP サーバが LDAP のデフォルトであるポート 389 以外のポートを使用するようセットア
ップされている場合は、LDAP 照会に使用するポートの指定が必要となることがあります。
手順:
1. 以下のコマンドを入力してください。
options ldap.port N
N は、LDAP ポート番号です。
LDAPサーバーオプションの優先順位
Data ONTAP では、LDAP サーバーオプション設定に基づいて LDAP サーバーが選択されます。
サーバー指定オプション サーバー選択順序
ldap.preferred.servers このオプションが指定された場合、まずこのオプション値に記
載されたサーバーがリストの順に従い試されます。
ldap.servers ldap.preferred.servers が指定されなかった場合、または指
定されたサーバが利用できなかった場合、このオプション値
に示されたサーバがリストの順序に従い試されます。
ldap.ADdomain ldap.preferred.servers および ldap.servers が指定されなか
った場合または利用できなかった場合、このオプション値に指
定されたサーバが、ドメイン コントローラ選択方法を使用して
試されます。
クライアント認証と許可の管理
UNIX または Windows クライアントに関する LDAP 認証を有効にしたり、Windows クライア
ントから UNIX ファイルへのアクセス、および UNIX クライアントから NTFS ファイルまたは
mixed ファイルへのアクセスに関する LDAP 許可を有効にしたりできます。
次のトピック
LDAP ベースの UNIX クライアント認証の有効化 LDAP ベースの Windows クライアント認証の有効化 Windows クライアントからの NFS ファイルアクセスに関する LDAP 認証を有効化
250 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
UNIX クライアントからの NTFS または mixed ファイルシステムアクセスに関する LDAP 許可の有
効化
LDAPベースのUNIXクライアント認証の有効化
LDAP ベースの UNIX クライアント認証を有効にするには、/etc/nsswitch.conf ファイルの passwd 行に ldap が入力されていることを確認します。
LDAPベースのWindowsクライアント認証の有効化
LDAP サーバを通して Windows クライアントを認証するには、/etc/nsswitch.conf ファイルの
passwd 行に ldap を追加して、さらに次の手順を実行します。
手順
1. アクセスするストレージ システム上で cifs setup を実行し、ストレージ システム上で CIFS クライ
アントのために使用する認証方法として NIS/LDAP を指定します。
2. Kerberos または他の暗号化認証方法ではなく平文の(暗号化されていない)パスワード認証を
使用するよう、各 Windows クライアントのローカル セキュリティを設定します。
3. Windows クライアントが、LDAP ユーザ データベースで設定された userpassword 属性を持っ
ていることを確認します。
WindowsクライアントからのNFSファイルアクセスに関するLDAP認証を有効化
LDAP 認証を使用するストレージ システム上の UNIX ファイルへの Windows クライアント アクセス
の許可を有効にするには、2 つのタスクを実行します。
手順
1. アクセスするストレージ システム上で、UNIX ファイルにアクセスする必要のあるすべての CIFS ユーザが usermap.cfg ファイルの対応する UNIX ユーザ名にマッピングされていることを確認し
ます。
2. すべての対応する UNIX ユーザー名が、LDAP データベースにエントリを持つことを確認します。
3.
UNIXクライアントからのNTFSまたはmixedファイルシステムアクセスに関するLDAP許可の有効化
LDAP 認証を使用するストレージ システム上の NTFS ファイルまたは mixed ファイルシステムへの
UNIX クライアント アクセスの許可を有効にするには、いくつかのタスクを実行します。
手順
1. NTFS または mixed ファイルシステムにアクセスする必要があるすべての UNIX ユーザーが、
LDAP データベース内のエントリを持っていることを確認します。
2. アクセスするストレージシステム上で、NTFS ファイルまたは mixed ファイルにアクセスする必要
がある全ての UNIX ユーザが usermap.cfg ファイルの対応する CIFS ユーザー名にマップされ
ていることを確認します。
HTTP を使用したファイルアクセス| 251
LDAPユーザマッピングサービスの管理
NIS データを使用したり、usermap.cfg ファイルにエントリを追加しなくても、LDAP サービスを使用し
て UNIX と Windows のユーザーアカウントのマッピングを行うことができます。デフォルトでは、両方
向 (UNIX から Windows へのマッピング、および Windows から UNIX へのマッピング)で同じ(1 対 1)ユーザーアカウントの解決プロセスが使用されます。
タスク概要
デフォルトでは、LDAP ベースのユーザ マッピングは無効です(Data ONTAP は、/etc/usermap.cfg ファイルからユーザ マッピング情報を検索します)。
ファイルベースのユーザ マッピングから LDAP へ変換する場合は、usermap.cfg ファイルから(null セッション エントリを除く)マッピング エントリを削除する必要があります。マッピング エントリがそのフ
ァイルに存在すると、そのエントリは LDAP レコードの代わりにユーザ マッピングに使用されます。
Data ONTAP で null セッションを設定した場合、必ず usermap.cfg ファイルに null セッション クライ
アント エントリを残してください。
Data ONTAP が LDAP 検索サービスへアクセスできるようにするため、UNIX ユーザ アカウント情
報が非 Active Directory LDAP サーバに保存されている場合は、その LDAP サーバを単純認証ま
たは匿名ユーザ検索を許可するよう設定する必要があります。
手順
1. Data ONTAP コマンドラインから、オプション ldap.usermap.attribute.windowsaccoun の値を指
定します。
options ldap.usermap.attribute.windowsaccount account_name
account_name は、 Data ONTAP が Windows アカウント検索に使用するユーザーオブジェクト
の属性です。
2. LDAP スキーマを拡張して、手順 1で入力したユーザオブジェクト属性を含めます。
3. Data ONTAP コマンドラインから、ldap.usermap.attribute.unixaccount オプションに値を指定し
ます。
options ldap.usermap.attribute.unixaccount account_name
account_name は Data ONTAP が UNIX アカウント検索に使用するユーザーオブジェクトの属
性です。
4. LDAP スキーマを拡張して、手順 3で入力した値を含めます。
5. 次のコマンドを入力します。
options ldap.usermap.enable on
LDAP サーバの負荷が大きい場合は、次のセクションで説明するように、ユーザ マッピングのた
めの別の検索ベースまたは検索ベースと範囲を設定することによりパフォーマンスを高めること
ができます。
252 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ユーザーマッピングのためのベースと範囲の指定
LDAP オプションを使用すると、検索ベースと範囲を設定して、LDAP データベースの適切な領域に
属性検索を限定するために設定することができます。これらのオプションを設定すると LDAP 検索の
速度が向上します。
手順
1. 検索ベースと範囲を指定する場合は、次の構文を使用します。ベースと範囲値は LDAP の デー
タの構造に対応している必要があります。
options ldap.usermap.base "base[:scope][;base2[:scope2]]"
例 このコマンドを入力すると、ユーザマッピングの検索と検索ベースを ou=People,dc=domain0 に設定され、そ
して(指定されていない)検索範囲がデフォルトは SUBTREE に設定します。 options ldap.usermap.base ou=People,dc=domain0” 括弧を使用することにより、指定された検索範囲を(BASE)がou=People,dc=domain0に適用されます。. o ("org")オブジェクトの指定されていない検索範囲は、デフォルトのSUBTREEに設定されます。 options ldap.usermap.base "(ou=People,dc=domain0):BASE;o=org
終了後
検索ベースと範囲の値の詳細については、LDAP のマニュアルを参照してください。
Active Directory LDAP サーバの管理
Data ONTAP では、LDAP 検索サービスのために Active Directory を接続する機能を提供します。
次のトピック
Active Directory LDAP サーバの使用 Active Directory LDAP サーバの要件 Active Directory LDAP 検索サービスの有効化 Active Directory LDAP サーバ接続の監視 Active Directory LDAP サーバ接続のトラブルシューティング Active Directory LDAP サーバ接続のプールと選択について Active Directory サーバでの ldap.servers および ldap.preferred.servers オプションの使用禁止
Active Directory LDAPサーバの使用
LDAP サービスに Active Directory を使用するには、完全修飾 Active Directory ドメインを Data ONTAP の ldap.ADdomain オプションに入力します。
Active Directory を使用して Windows から UNIX へのマッピングが実行されると、Data ONTAP は
次のことを行います。
• ユーザアカウントが、そのアカウントに指定された Active Directory ドメイン内に存在することを確
認します。
HTTP を使用したファイルアクセス| 253
• ldap.ADdomain オプションで指定された Active Directory ドメインへの照会を行います。
• UNIX ユーザアカウント情報を戻し、ユーザーアカウントが存在することを確認します。
Active Directory LDAPサーバの要件
Active Directory を LDAP サーバとして使用するには、いくつかの処理を行う必要があります。
Active Directory を LDAP サーバとして使用するために必要な処理は、次のとおりです。
• 有効な CIFS ライセンスを所有します。
• ストレージシステムを Active Directory ドメインに加えます。
• ストレージシステムのドメインと LDAP サーバのドメインが異なる場合、両者の間に双方向の信
頼関係を確立します。
Active Directory LDAP検索サービスの有効化
Active Directory の LDAP 検索サービスを有効にするには、いくつかのタスクを実行します。
手順
1. UNIX ユーザーアカウント情報が Active Directory にない場合、または匿名ユーザ 検索を許可
するように設定された LDAP サーバ内にない場合は、ldap.name と ldap.passwd オプションに、
LDAP 検索で使用するためのユーザー名とパスワードをそれぞれ入力します。
options ldap.name user_name
options ldap.passwd password
2. /etc/nsswitch.conf ファイルで、passwd エントリ、group エントリ、またはその両方に ldap を指定
することで、使用する検索サービスとして LDAP を指定します。
3. カスタムスキーマがある場合は、NSSMAP オプションの値を入力します。
4. Data ONTAP コマンドラインから、次のコマンドを入力します。
options ldap.ADdomain fully_qualified_domain_name
例
options ldap.ADdomain group.company.com
メモ: 入力するドメインはローカルドメインまたはローカルドメインと信頼関係を共用す
るドメインのどちらかである必要があります。
Active Directory LDAPサーバ接続の監視
Active Directory の LDAP サーバの接続を監視するために、 すべてのLDAPサーバタイプのActive Directory LDAP サーバ情報および接続テータスを表示します。
手順
254 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
1. 次の操作のいずれかを実行します。
目的 操作
Active Directory LDAP サーバ情報を表示する場合
次のコマンドを入力します。 cifs domaininfo 結果:ドメインコントローラ接続およびドメインコントローラ選択優先のリ
ストに従い、Active Directory LDAP サーバーの接続のリストが表示さ
れ、次に LDAP サーバ選択優先のリストが表示されます。
すべての LDAP サーバタイプの接続
状態を表示する場合 次のコマンドを入力します。 netstat 結果:Active Directoryおよび非 Active Directory LDAP サーバの両
方の接続状態情報が、ポート389(または、ldap.port オプションで割り
当てられた非デフォルト値)に表示されます。
Active Directory LDAPサーバ接続のトラブルシューティング
すべてのドメイン コントローラのアドレス検出と接続処理を記録するようにData ONTAPを設定するに
は、cifs.trace_dc_connection オプションをon に設定します。
手順
1. 次のコマンドを入力します。
options cifs.trace_dc_connection on
すべてのドメインコントローラのアドレス検出と接続処理がシステムログに記録されます。
Active Directory LDAPサーバ接続のプールと選択について
Data ONTAPでは、LDAPのパフォーマンスを向上させるためにいくつかの操作を実行します。
操作は、次のとおりです。
• Active Directory LDAP サーバ接続は、ドメインごとにプールされます。
• 現在のLDAPサーバから応答を受信しない場合、次の接続は事前の利用可能な次のLDAPサー
バーに対して行われます。
• Data ONTAPは毎分チェックを行い、より良いLDAPサーバが使用可能になっているかどうかチェ
ックします。
• Data ONTAPは 4 時間ごとに使用可能なActive Directory LDAPサーバを検出し、リストを並べ
替え、次の順序でサーバーをソートします。
• prefdc コマンドで指定された順番に残された優先サーバ
• 応答時間の早い順にソートされた優遇サーバ
• 応答時間の早い順にソートされたその他のActive Directory LDAPサーバ
HTTP を使用したファイルアクセス| 255
Active Directoryサーバでのldap.serversおよびldap.preferred.serversオプションの使用禁止
Data ONTAP は ldap.servers と ldap.preferred.servers オプションで指定されたサーバに接続し、
簡単なバインドを使用して認証を試みます。簡単なバインドはActive Directoryサーバとの接続を確
立するのに十分な認証を提供しないため、これらの 2 つのオプションの値内に Active Directory サー
バを指定しないでください。
LDAPスキーマの管理
デフォルトでは、Data ONTAPはNetwork Information Service(NIS)形式のスキーマを指定する
RFC 2307 準拠LDAPサーバをサポートしています。LDAPオプションのデフォルト値をカスタム属性
名に置き換えData ONTAP 設定にカスタム(非RFC 2307 準拠)スキーマを照会するよう設定できま
す。
タスク概要
RFC 2307 準拠したスキーマは、LDAP照会に使用するLDAPサーバ上で拡張する必要があります。
詳細情報については、RFC 2307、またはサードパーティのディレクトリ統合ベンダーのマニュアルを
参照してください。
次のトピック
デフォルトのスキーマについて LDAP スキーマと一致させるためのカスタムスキーマオプションの変更
デフォルトのスキーマについて
デフォルトでは、Data ONTAP のスキーマ変数は、適切なRFC 2307 の値に設定されます。
オプション デフォルト値 (RFC 2307 による)
ldap.nssmap.objectClass.posixAccount posixAccount
ldap.nssmap.objectClass.posixGroup posixGroup
ldap.nssmap.attribute.groupname Cn
ldap.nssmap.attribute.netgroupname Cn
ldap.nssmap.attribute.nisNetGroupTri ple
nisNetGroupTriple
ldap.nssmap.attribute.memberUid memberUid
ldap.nssmap.attribute.uid Uid
ldap.nssmap.attribute.uidNumber uidNumber
ldap.nssmap.attribute.gidNumber gidNumber
256 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ldap.nssmap.attribute.userPassword userPassword
ldap.nssmap.attribute.homeDirectory homeDirectory
ldap.nssmap.attribute.loginShell loginShell
ldap.nssmap.attribute.gecos Gecos
LDAPスキーマと一致させるためのカスタムスキーマオプションの変更
lLDAP スキーマと一致するようにData ONTAP を変更するには、該当するldap.nssmap.*オプション
を変更します。
手順
1. 次のコマンドを入力します。
options ldap.nssmap.attribute.gidNumber object
object はGroup ID(GID)番号を含むオブジェクトを指定します。デフォルトはgidNumberです。
例
たとえば、Group ID(GID)番号を含むオブジェクトが「groupid」であるカスタムLDAP スキーマに
ついては、次のコマンドを入力します。 options ldap.nssmap.attribute.gidNumber groupid
fsecurity コマンドによるストレージレベルアクセスガードの有効化
Data ONTAP 7.2.2 以降では、ストレージ管理者は、fsecurity コマンドを使用して、ボリュームとの
qtree上でセキュリティ(権限および監査)を設定することができます。この機能は、ストレージレベルア
クセスガードと呼ばれています。
タスク概要
ストレージレベルのアクセスガードのセキュリティを配置すると、ストレージオブジェクトは、次のように
セキュリティ階層を 3 つまでもつことができます。
• NTFS/UNIX/NFSv4 セキュリティ.ストレージオブジェクトを表すディレクトリやファイル上に存在し
ます。このセキュリティは、クライアントから設定することができるものと同じセキュリティです。
• ストレージレベルアクセスガードのファイルのセキュリティ ストレージオブジェクト内の全てのファ
イルに適用されます。このセキュリティを適用しても、ディレクトリへのアクセス、ディレクトリの監
査に影響を与えることはありません。
• ストレージレベルアクセスガードディレクトリのセキュリティ ストレージオブジェクト内の全てのディ
レクトリに適用されます。 このセキュリティを適用しても、ファイルへのアクセス、ファイルの監査に
影響を与えることはありません。
HTTP を使用したファイルアクセス| 257
メモ: 現在、ストレージレベルのアクセスガードではNTFSのアクセス権のみがサポート
されています。 UNIXユーザがストレージレベルのアクセスガードが適用されたqtree またはボリュームに対してセキュリティチェックを行うには、UNIXユーザーは、
Windowsユーザーにマッピングする必要があります。
ストレージレベルのアクセスガードセキュリティは、ファイルやディレクトリに適用されますが、それによ
って継承はされていません。ファイルまたはディレクトリでセキュリティ設定を表示させた場合、ストレ
ージレベルアクセスガードのセキュリティは表示されません。
表示はされませんが、Data ONTAPのファイルまたはディレクトリへのアクセスは、ファイルおよび/またはディレクトリに適用されるネイティブアクセス権とqtreeおよび/またはボリュームに設定されたスト
レージレベルのアクセスガードのアクセス権との組み合わせに基づいて決定されます。 両方のセキュ
リティのレベルが評価されて、ファイルまたはディレクトリが持っている有効な権限が識別されます。
次のトピック
fsecurity コマンドについて ジョブ定義ファイルの生成と編集 ジョブ定義ファイル要素の指定 セキュリティジョブの作成とストレージオブジェクトへの適用 セキュリティ ジョブのステータスの確認と取り消し ファイルおよびディレクトリのセキュリティ設定の表示 ストレージレベルのアクセス保護の削除
fsecurityコマンドについて
fsecurity コマンドを使用して、ストレージ管理者は、リモートクライアントからではなく、ストレージシス
テム上でローカルに管理されているため、パフォーマンスの大幅な低下を経験することなく大きなディ
レクトリにセキュリティ設定できます。加えて、ストレージ管理者は同じコマンドを使用して、多くのファ
イルとディレクトリのセキュリティを一括して設定することができます。
メモ: fsecurityコマンドの一覧を表示するには、ストレージシステムのコマンドラインで
fsecurity helpを入力するか、fsecurity(1)のマニュアルページを参照してください。
ジョブ定義ファイルの生成と編集
ジョブ定義ファイルを生成すると、qtreeまたはボリュームにストレージレベルのアクセスガードのセキ
ュリティを適用したり、ファイルとディレクトリにアクセス権を一括して設定したりできます。
タスク概要
ジョブの定義ファイルは、Discretionary Access Control List(DACL)およびSystem Access Control List(SACL)定義するセキュリティ記述子やパスなどの情報で構成されたUnicodeテキストファイルで
す。
この情報は、Security Descriptor Definition Language(SDDL)を使用して符号化されています。ファ
イルが作成または編集して、ストレージシステムにコピーしたら、fsecurity apply コマンドを使用して、
ファイルのセキュリティの定義の確認と適用を行います。ファイルにコマンドが実行されると、ストレー
258 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ジシステム上のバックグラウンドで実行されるジョブを作成されます。ジョブが完了したら、ストレージ
システムコンソールから結果を表示できます。
ジョブ定義ファイルの名前とストレージシステム上の置き場所に関する要件はありません。これらの例
では、次の名前と場所を使用します。
/vol/vol0/templates/security-base.sec
ジョブ定義ファイルは、ASCII形式またはUnicode(UCS - 2)形式にする必要があります。
ジョブ定義ファイルの作成と更新には、次の 2通りの方法があります。
• seceditユーティリティを使用(NOW サイトで入手可能)
• テキストエディタを使用
次のトピック
secedit ユーティリティを使用したジョブ定義ファイルの管理 テキストエディタを使用したジョブ定義ファイルの管理
seceditユーティリティを使用したジョブ定義ファイルの管理
seceditユーティリティを使用してジョブ定義ファイルを生成できます。
手順
1. 次のNOWサイトから、scedit.exe実行ファイルをダウンロードします。
http://now.netapp.com/eservice/toolchest.
2. Secedit_Readme.txt ファイルの指示に従い、ジョブ定義ファイルを生成します。
secedit.exe ユーティリティは、ジョブ定義ファイルの編集と更新にも使用できます。
テキストエディタを使用したジョブ定義ファイルの管理
テキストエディタを使用してジョブ定義ファイルを生成、更新、評価することができます。
手順
1. テキストファイル(例: security-base.sec )を作成するか、または既存のジョブ定義ファイルを編集
します。
2. 新規のファイルや更新したファイルを、ストレージシステムのディレクトリ(/vol/vol0 /templates/ など)にコピーします。
3. ジョブ定義をジョブに適用する前に、-cオプションを指定してfsecurity apply コマンドを実行しファ
イルの有効性を確認します。
メモ: ジョブ定義ファイルの中に無効な行があると、fsecurity apply コマンドを実行して
もセキュリティ ジョブは作成されません。
HTTP を使用したファイルアクセス| 259
ジョブ定義ファイル要素の指定
セキュリティ設定をジョブ定義ファイルに定義する場合、プロパゲーション モードを指定すると、セキュ
リティ設定(権限と監査)を一括して適用することができます。
タスク概要
プロパゲーション モードを指定すると設定を迅速かつ効率的に行えるので、ネットワーク経由で適用
することで生じるパフォーマンスの低下がありません。
使用可能なプロパゲーション モードは、次のとおりです。
• 0 =継承可能な権限を全てのサブフォルダとファイルに適用します (Propagate)。
• 1 = このファイルやフォルダの権限の更新を許可しません (Ignore)。このモードは現在使用でき
ません。
• 2 = すべてのサブフォルダとファイルの既存の権限を継承可能な権限で更新します (Replace)。
次に、fsecurityのジョブ定義ファイルの例を示します。
cb56f6f4
1,0,"/vol/vol0/qt1",0,"D:(A;CIOI;0x1f01ff;;;DOMAIN\Administrator)"
1,1,"/vol/vol0/qt2",0,"D:(D;CIOI;0x000002;;;Everyone)"
最初の行の文字列 cb56f6f4 は必須で、常に同じです。次の表は、2 行目の各要素とこれらの要素
によってqtree (/vol/vol0/qt1)に適用されるセキュリティ設定について、次の表で説明します。
要素 説明
1 NTFSセキュリティタイプ
0 標準セキュリティ。ストレージレベルアクセスガードセキュリティは未設定。
"/vol/vol0/qt1" ターゲットのストレージオブジェクトのパス(このフィールドには、二重引用符が必要)
0 プロパゲーションモード(この例の 0 は、"Propagate"の意味)
"D:(A;CIOI; 0x1f01ff;;;DOMAIN Administrator)"
ドメイン管理者にフル制御権を与える DACL の SDDL 記述
(このフィールドには二重引用符は、必要)
このジョブ定義ファイルの 形式と構文の詳細については、fsecurity(5)のマニュアルページを参照し
てください。
セキュリティジョブの作成とストレージオブジェクトへの適用
ジョブ定義ファイルを元にセキュリティジョブを作成するには、fsecurity apply コマンドを使用します。
このコマンドは、ストレージレベル アクセス ガードを qtreeやボリュームに適用するか、セキュリティ
260 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
設定をファイルおよびディレクトリに一括して適用する場合に使用します。このコマンドを使用しても、
qtreeおよびボリュームレベルで監査できるようにSACLを設定することもできます。
タスク概要
次にセキュリティジョブの作成時に使用できるオプションを示します。
• - cオプション -- 内容を実際に適用しないで、ジョブの有効性を確認します。
• - iオプション -- エラーを無視してジョブの処理を続けます。
• - vオプション -- ジョブ内のタスクが生成されるごとに、そのタスクを表示します。
fsecurity apply コマンドおよびコマンドのオプションの詳細については、fsecurity_apply(1)のマニュ
アルページを参照してください。
セキュリティジョブは異なる管理者が同時に実行もできるため、互いに競合することがあります。
手順
1. 次のコマンドを入力します。
fsecurity apply job_definition_file_path
例 fsecurity apply /vol/vol0/templates/security-base.sec セキュリティジョブ 94089 の追加 ジョブIDは ジョブのステータスの監視や取り消しに使用します。
セキュリティ ジョブのステータスの確認と取り消し
fsecurity statusコマンドを使用すると、現在実行中のジョブのステータスと過去の 15 のジョブの完了
ステータスを表示できます。
タスク概要
fsecurity cancel コマンドを使用すると、現在実行中のすべてのジョブを停止できます。ジョブIDを指
定した場合は、そのジョブだけが停止します。
メモ: 終了したジョブは取り消せません。
コマンドの詳細については、fsecurity_status(1)とfsecurity_cancel(1)のマニュアルページを参照し
てください。
手順
1. 次の操作のいずれかを実行します。
目的 操作
ジョブステータスを表示する場合 次のコマンドを入力します。 fsecurity status [job_id]
HTTP を使用したファイルアクセス| 261
ジョブを取り消す場合 次のコマンドを入力します。 fsecurity cancel [job_id] | all 結果:特定のジョブを取り消すには、ジョブ ID を使用します。すべてのジョブ
を取り消すには、オプションの all を使用します。
ファイルおよびディレクトリのセキュリティ設定の表示
fsecurity show コマンドを使用すると、ファイルおよびディレクトリのセキュリティ設定を表示できます。
タスク概要
このコマンドの出力は、ファイルまたはディレクトリ存在するqtreeまたはボリュームのセキュリティ形式
が含まれています。表示される現在のセキュリティ形式がmixed qtree環境によって異なり、ストレー
ジオブジェクトで現在アクティブになっているセキュリティ形式が反映されます。
ファイルまたはディレクトリのパスを指定するときには、ワイルドカードを使用すると、ディレクトリのコ
ンテンツに関するセキュリティ一覧を表示することができます。
このコマンドの詳細については、fsecurity_show(1)のマニュアルページを参照してください。
手順
1. 次のコマンドを入力します。
fsecurity show file_directory_qtree_path [option]
次の例のように(ファイルまたはディレクトリのパスではなく)ファイルまたはディレクトリのinode番号を指定することもできます。
fsecurity show -v volume_name -i inode_number [option]
オプションコマンドの一覧およびコマンド出力の説明については、fsecurity_show(1)マニュアル
ページを参照してください。
ストレージレベルのアクセス保護の削除
fsecurity remove-guardコマンドを使用すると、qtree やボリュームからストレージレベルのアクセス保
護を削除できます。ストレージレベルのアクセス保護が適用されている場合は、qtreeを削除できませ
ん。
詳細は、fsecurity remove-guard(1)のマニュアルページを参照してください。
手順
1. 次のコマンドを入力します。
fsecurity remove-guard volume_qtree_path
メモ: ストレージレベルのアクセス保護を削除しても、qtreeまたはボリューム内のファ
イルやディレクトリ上に存在している標準的なファイルレベルのセキュリティ(NTFSセキュリティなど)は削除されません。
262 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
システムアクセスイベントの監査
Data ONTAPでは、Windowsのようにログイン、ログオフ、ファイルアクセスのイベントの監査を行うこ
とができます。ただし、監査を就航にする方法や、監査イベント情報を記録するファイルを管理方法に
は一般的なWindowsの手順とは多少違いがあります。
次のトピック
監査について Data ONTAP で監査できるイベント システムイベントの監査の設定 イベント詳細画面の表示と概要
監査について
Data ONTAP で監査を設定すると、イベント ログ ファイルとすべてのオプションの設定は、リブート後
またはCIFS サービスの終了時や再開時にも維持されます。
Data ONTAPでは次の 2 つの方法で監査を実行できます。
• CIFS監査 -- CIFS プロトコルを使用して、ストレージシステム上のデータにアクセスする
Windows クライアントのアクセスイベントを監査
• NFS 監査 -- NFSプロトコルを使用して、ストレージシステム上のデータにアクセスするUNIXクラ
イアントのアクセスイベントを監査
ストレージシステム上にCIFS 監査と NFS監査 の両方を設定できます。監査の種類によって、構成
要件と監査機能に違いがあります。
他のファイルアクセスプロトコルに対する監査は、現在サポートされていません。
Data ONTAPで監査できるイベント
いくつかのカテゴリのイベントに関して監査を有効にできます。
監査できるカテゴリは次のとおりです。
• ログオンおよびログオフイベント(CIFS 監査が有効な場合のみ使用可能)
• ローカルユーザーおよびグループアカウントの管理(CIFS監査が有効な場合のみ使用可能)
• ファイルおよびディレクトリレベルでのファイルアクセスイベント
メモ: 個別ファイルおよびディレクトリごとにアクセス監査をアクティベートする必要
があります。
• qtreeまたはボリュームレベルでのファイルアクセスイベント
メモ: qtree またはボリュームレベルでのイベントの監査はストレージレベルアクセス保
護セキュリティを適用した場合のみに有効です。
HTTP を使用したファイルアクセス| 263
イベント ID イベント 説明 カテゴリ
516 AdtEvntDiscard 監査イベントが失われました。 監査ログ
517 AdtLogClear 監査ログが消去されました。 監査ログ
528 AdtSuccessfulLogin ローカルログイン ログイン/ログオフ
529 AdtUnknownUser ユーザー名が不明またはパスワードが無
効です。 ログイン/ログオフ
530 AdtCantLogonNow アカウントログオンの時間制限です。 ログイン/ログオフ
531 AdtAccountDisabled アカウントは現在無効に設定されていま
す。 ログイン/ログオフ
532 AdtUserAccountExpired ユーザーアカウントの有効期限が切れて
います。 ログイン/ログオフ
533 AdtCantLogonHere ユーザーはこのコンピュータにログインで
きません。 ログイン/ログオフ
534 AdtLogonTypeRestriced ユーザーは、ログオンを認められていま
せん。 ログイン/ログオフ
535 AdtPasswordExpired ユーザーパスワードが期限切れです。 ログイン/ログオフ
536 AdtNetLogonInactive NetLogon コンポーネントがアクティブで
はありません。 ログイン/ログオフ
537 AdtUnsuccessfulLogion 上記の理由以外でログオンが失敗しまし
た。 ログイン/ログオフ
538 AdtUserLogoff ローカルまたはネットワークユーザーログ
オフ ログイン/ログオフ
539 AdtLockedOut アカウントのロックアウト ログイン/ログオフ
540 AdtSuccessfulNetLogon ネットワーク(CIFS)ログオン ログイン/ログオフ
560 AdtObjOpen オブジェクト(ファイルまたはディレクトリ)
が開いています。 ファイルアクセス
562 AdtHandleClosed AdtObjOpen になったハンドルが閉じて
います。 ファイルアクセス
563 AdtObjOpenForDelete 削除用にオブジェクト(ファイルまたはディ
レクトリ)が開いています。 ログイン/ログオフ
567 AdtObjAccessAttempt オブジェクトアクセス(読み取り、書き込み
など) ファイルアクセス
612 AdtPolicyChange 監査ポリシーが変更されました。 ポリシー変更
264 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
イベント ID イベント 説明 カテゴリ
624 AdtUserCreated ユーザーが作成されました。 アカウント管理
630 AdtUserDeleted ユーザーが削除されました。 アカウント管理
635 AdtGroupCreated グループが作成されました。 アカウント管理
636 AdtLclGrpMemberAdded セキュリティが有効なローカルグループメ
ンバーが追加されました。 アカウント管理
637 AdtLclGrpMemberRemoved セキュリティが有効されたローカルグルー
プメンバーが削除されました。 アカウント管理
638 AdtGroupDeleted グループが削除されました。 アカウント管理
システムイベントの監査の設定
システムイベントの監査を設定するには、いくつかのタスクを実行する必要があります。
手順
1. 監査対象のイベントを決定します。 たとえば、ボリュームまたはqtree上の全てのイベントを監査
したい場合は、fsecurity コマンドを使用してストレージレベルのアクセス保護のセキュリティを適
用します。
2. ファイルやディレクトリのアクセスイベントを監査したい場合は、システムのsystem Access Control List(SACL)を設定します。
3. CIFS 監査および/またはNFS 監査を有効化します。
4. 監査の管理にLive Viewを使用する場合は Live View を有効にします。Live Viewを使用しない
場合は、監査ログの管理方法について十分に理解してから行ってください。
5. イベントビューアを使用して監査イベントを表示します。
次のトピック
SACL の設定 Data ONTAP での CIFS 監査の設定 Data ONTAP での NFS 監査の設定 Live View の設定 監査イベントの保存と消去
SACLの設定
System Access Control List(SACL)を使用すると、ファイルおよびディレクトリのアクセスの監査を
有効にできます。
SACL でアクセスを監査する設定には、次の 3 つの方法があります。
HTTP を使用したファイルアクセス| 265
• ボリュームまたはqtree内の全てのファイルとディレクトリのアクセスイベントを監査する場合は、
ストレージレベルのアクセス保護のセキュリティを適用することによりSACLを設定することを推奨
します。
• 個々のファイルやディレクトリのアクセスイベントを監査する場合、2 つの方法でSACLを設定する
ことができます。
• Windows Explorer GUIを使用します。
• fsecurity コマンドを使用します。
メモ: 選択する監査オプションの数が多すぎるとシステムのパフォーマンスに影響を与え
ることがあるため、監査の必要のあるイベントに限定して選択するようにしてください。
個々のファイルおよびディレクトリに対するアクセス監査を有効化するためには、Windows管理ホスト
上で次の手順を実行します。
手順
1. アクセスの監査を有効にするファイルまたはディレクトリを選択します。
2. ファイルまたはディレクトリを右クリックし、[Property (プロパティ)]を設定します。
3. [Security (セキュリティ)]タブをクリックします。
4. [Advanced (詳細)]をクリックします。
5. [Auditing] タブを選択します。
6. 監査オプションで追加、編集、または削除を行います。
オプションの使用方法の詳細については、Windowsのマニュアルを参照してください。
Data ONTAPでのCIFS監査の設定
CIFS監査を有効化または無効化すると、ポリシーの変更イベントの監査が有効になります。
現時点では、ポリシーの変更イベントを有効にする単独のCIFSのオプションはありません。
次に、CIFS監査の前提条件を示します。
• 監査を有効にする前に、ストレージシステム上でCIFSのライセンスが設定されて有効になってい
る必要があります。
• 監査するファイルやディレクトリは、mixed 形式、またはNTFS形式のボリューム、やqtree 内に存
在する必要があります。ストレージレベルアクセス保護が有効になっていないと、UNIXボリューム
またはqtree 内のファイルまたはディレクトリのCIFSイベントを監査することができません。
• 記録するアクセスのイベントを指定する必要があります。
• イベント監査は、デフォルトでは無効になっています。 監査対象のイベントを特定するには、個々
のオプションを有効にし、監査を有効にする必要があります
手順
1. 次の操作のいずれかを実行します。
266 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
目的 操作
ファイルアクセスイベントの
監査を個別にオンまたはオ
フにする場合
次のコマンドを入力します。 options cifs.audit.file_access_events.enable {on | off}
ログオンおよびログオフ イベントの監査を個別にオン
またはオフにする場合
次のコマンドを入力します。 options cifs.audit.logon_events.enable {on | off}
ローカルアカウント管理イベ
ントの監査を個別にオンまた
はオフにする場合
次のコマンドを入力します。 options cifs.audit.account_mgmt_events.enable {on | off} メモ:アカウント管理イベントに対する変更を表示するには、MMC イベントビューアを
使用します。
CIFS 監査を開始または停
止する場合 次のコマンドを入力します。 cifs audit {start | stop} あるいは、cifs.audit enable オプションを使用して CIFS 監査を開始 停止することが
できます。例えば次のコマンドを入力すると cifs audit start コマンドを使用するのと
同じ結果になります。 options cifs.audit.enable {on | off} メモ:CIFS 監査はデフォルトでは無効にされています。
Data ONTAPでのNFS監査の設定
NFS 監査では、ファイルおよびディレクトリに関するアクセス イベントを記録できますが、CIFS 監査
でサポートされるログイン、ログオフなどのイベントは記録できません。監査対象のファイルまたはディ
レクトリは、どのセキュリティ形式(NTFS、UNIX、またはmixed)のボリュームまたはqtree のものでも
かまいません。
• NFS監査を有効にする前に、ストレージシステム上でCIFSのライセンスが設定されて有効になっ
ている必要があります。
• NFS監査を有効にする前に、ストレージシステム上でCIFS監査が有効になっている必要がありま
す。デフォルトでは、監査は無効に設定されています。
• 記録するイベントを識別する必要があります。
次のトピック
NFS 監査イベントの指定 フィルタファイルによる NFS 監査イベントの制御 NFS 監査の有効化
NFS監査イベントの指定
NTFS またはmixed セキュリティ形式のqtree またはボリュームにおけるNFS 監査対象イベントを指
定するには、ファイルおよびディレクトリにSACL を設定する必要があります。
HTTP を使用したファイルアクセス| 267
手順
1. ログフィルタファイル(通常は、/etc/log/nfs-audit という名前)をストレージシステム上に作成しま
す。このファイルを使用して、監査ログにデフォルトで含まれるファイルイベントを指定します。フィ
ルタファイルは~の状態になっています。
メモ: NFS ログ フィルタ ファイルは、NTFS またはmixed 形式のボリュームまたは
qtree に作成する必要があります。他の場所に作成すると、監査に必要なフィルタ ファ
イルにSACL を設定できません。
2. cifs.audit.nfs.filter.filename オプションを設定して、フィルタファイルを指定します。
cifs.audit.nfs.filter.filename オプションの詳細については、オプション(1)のマニュアルページを
参照してください。
3. フィルタファイルにSACLを設定します。
NTFS またはmixed セキュリティ形式のqtree に監査イベント用のNFS フィルタ ファイルを作成でき
ますが、個別のファイルおよびディレクトリに設定されたSACL の方が、フィルタ ファイルに設定され
たSACL よりも優先されます。
フィルタファイルによるNFS監査イベントの制御
ログ フィルタ ファイルは、ファイルに設定されたSACL を使用してファイル監査イベントを制御します。
フィルタ ファイルにSACL を設定することは、ストレージ システム上のすべてのファイルとディレクトリ
に同じSACL を設定した場合と同じ効果があります。
メモ: ログ フィルタ ファイルによるSACL は、ストレージ システム上のすべてのファイルやデ
ィレクトリから監査イベントを発生させる可能性があるため、ログ フィルタ ファイルを使用
してNFS 監査を有効にするとシステムのパフォーマンスに影響を与えることがあります。
フィルタ ファイルによる影響の程度は、対象のファイルが存在するqtree のセキュリティ設定によりま
す。
UNIX セキュリティ形式のファイルに操作が実行されると、フィルタ ファイルのSACL に応じたイベント
がログされます。
SACL が設定されていないNTFS またはmixed セキュリティ形式のqtree のファイルに操作が実行さ
れると、フィルタ ファイルのSACL に応じたイベントがログされます。ただし、個別のファイルまたはデ
ィレクトリにSACL が設定されている場合は、これらのSACL の方がフィルタ ファイルに設定された
SACL よりも優先されます。
NFS監査の有効化
NFS監査を有効にするには、いくつかのタスクを実行します。
手順
1. ストレージシステムの /etc/log ディレクトリに、nfs-audit. という名前のファイルを作成します。
268 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
メモ: 手順 1 と 2 は、UNIXのセキュリティ形式のqtreeの監査に必須ですが、NTFSまた
はmixedセキュリティ形式qtreeの監査の場合は任意で実行します。
2. NFSログフィルタファイルを指定するには、次のコマンドを入力します
options cifs.audit.nfs.filter.filename /etc/log/nfs-audit
3. ファイルへのアクセスイベントの監査を有効にするには、次のコマンドを入力します。
options cifs.audit.file_access_events.enable on
メモ: デフォルトでは、ファイルアクセスおよびログオンのイベントの監査はオフに設
定されています。
4. NFS監査を有効にするには、次のコマンドを入力します。
options cifs.audit.nfs.enable on
5. 監査ログの管理設定をします。
6. Windowsの管理ホスト上で、フィルタファイルのSACLを設定します。
手順に記されたオプションの詳細については、options(1)のマニュアルページを参照してください。
Live Viewの設定
Live Viewが有効の場合、Access Logging Facility (ALC) デーモンが 1 分ごとに実行され、メモリ内
の監査イベントの内容をディスク上の内部ログファイル (/etc/log/cifsaudit.alk) にフラッシュします。
ALFのデーモンは、ALFレコードの保存と、ALFレコードからイベントビューアで表示可能なEVTレコー
ドへの変換も行います。この動作は、1 分ごとに、または.alf ファイルがフルの 75%に達したときに行
われます。
EVTレコードは/etc/log ディレクトリ内の次の3つのファイルに格納されます。
• fixedsection
• varsectiona
• varsectio
ALF デーモンはこれらのファイルを使用して、イベント ビューアを実行するWindows クライアントから
のイベントログRPC 要求に応えます。Live View が有効な場合、イベント ビューアは最新の監査イベ
ントを最大 5,000 レコード表示します。
内部ログ ファイルから新しいレコードが保存されるたびに、それらのレコードはLive Viewファイルに
書き込まれ、EVT ファイルにもバックアップされます。バックアップ ファイルは、タイムスタンプがファイ
ル名の一部になって、/etc/log ディレクトリに保存されます。
イベント ビューアを使用すると、監査イベントをリアルタイムに表示し、バックアップEVT ファイルを静
的なファイルとして表示できます。
メモ: Data ONTAP 7.2.2 より、cifs.audit.autosave オプションと一緒にLive View を有効にで
きるようになりました。このオプションは、内部監査ファイルのサイズと保存方法の制御に
使用します。
HTTP を使用したファイルアクセス| 269
手順:
1. 次の操作のいずれかを実行します。
目的 操作
Live View を有効または無
効にする場合 次のコマンドを入力します。 options cifs.audit.liveview.enable {on off} Live View を有効にするには onを使用し、無効にするには off を使用します。
メモ:Live View を有効化する前に、ストレージシステム上の監査を有効化する
必要があります。デフォルトでは Live View は無効に設定されています。
現在の ALT および EVT フ
ァイルを消去する場合 次のコマンドを入力します。 cifs audit clear 結果:内部 cifsaudit.alf ログファイルと/etc/log ディレクトリ内の現在の EVTログ
ファイルは消去されます。しかし、タイムスタンプが付されたバックアップ EVTファ
イルは、このコマンドの影響をうけません。
監査イベントの保存と消去
自動保存するタイミング、自動保存されるファイルの最大数、およびcifsaudit.alf ファイルの最大サイ
ズを指定できます。cifsaudit.alf ファイルを消去することもできます。
次のトピック
Data ONTAP で監査イベント情報が記録される場所 内部および外部のログファイルのサイズと形式 Data ONTAP でのイベントログの更新 外部イベントログの場所の指定 イベントログへの監査イベントの手動保存 自動保存を実行するタイミングの指定 自動的に保存されるファイルの最大数の指定 cifsaudit.alf ファイルの最大サイズの指定 監査イベントの SNMP トラップ cifsaudit.alf ファイルの消去
Data ONTAPで監査イベント情報が記録される場所
監査イベント情報は、内部的な一時ログ ファイルである/etc/log/cifsaudit.alf に保存されます。Live View を使用しない場合は、手動で、または自動保存を設定して、このファイルの内容を外部EVT イベント ログ ファイルに定期的に保存する必要があります。デフォルトでは、外部イベント ログは
/etc/log/adtlog.evt ファイルですが、別のファイルをイベント ログとして指定することもできます。
指定されたファイルがまだ存在していない場合は、ファイルに情報を保存するときに、ファイルが作成
されます。ただし、ファイルを格納するためのディレクトリが存在している必要があります。ディレクトリ
が存在しないと、ファイルを指定したときにエラー メッセージが表示されます。
270 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
内部および外部のログファイルのサイズと形式
内部的な一時ログ ファイルcifsaudit.alf の最大サイズは、524,288 バイト(512 K)~68,719,476,736 バイト(64 GB)の範囲で指定できます。デフォルトのサイズは 524,288 バイ
トです。
圧縮されていた cifsaudit.alf ファイルの内容が外部イベント ログ ファイルに展開され、書式が再設定
されるため、cifsaudit.alf ファイルから生成された外部イベント ログ(.evt ファイル)のサイズは大きく
なります。外部イベント ログはWindows 形式です。イベント ログは、イベント ビューアで表示できま
す。cifsaudit.alf ログ ファイルのフォーマットは独自形式であるため、イベント ビューアでは表示でき
ません。
Data ONTAPでのイベントログの更新
次回cifs audit save コマンドを実行するか、自動保存が行われたときに、イベント ログが更新されま
す。
監査イベント情報を外部イベント ログに保存するには、cifs audit save コマンドを実行するか、イベン
ト情報の自動保存を有効にします。イベント ログがクライアントで表示されているときは、イベント ログ
は更新されません。ただし、イベント ログが開かれている間に収集されたファイル アクセス情報は失
われません。
イベント情報が失われないように、cifs audit save コマンドを頻繁に実行するか、自動保存の頻度を
高く設定することが重要です。イベントの発生率が高い場合は、cifsaudit.alf ファイルが短期間でフル
になり、古いイベントがイベント ログに保存される前に上書きされる可能性があります。
外部イベントログの場所の指定
イベントログを異なる場所に指定する場合は、cif.audit.saveas オプションを使用します。
手順
1. 監査イベント情報のログの場所を指定するには、次のコマンドを入力します。
Options cifs.audit.saveas filename
filename はData ONTAP で監査イベント情報が記録されるファイルの完全なパス名です。ファイ
ル拡張子として.evt を使用します。パスにスペースが含まれている場合は、パス名を引用符で囲
んでください。
例 options cifs.audit saveas /etc/log/mylog/.evt options cifs.audit.saveas “/home/my event log/audio.evt”
HTTP を使用したファイルアクセス| 271
イベントログへの監査イベントの手動保存
cifs audit save コマンドを使用してイベントログを手動で更新できます。
メモ:cifs audit clear コマンドを実行した後では、手動で監査イベントを保存する必要はあり
ません。その場合はData ONTAP が監査イベントを自動で保存します。
手順
1. 次のコマンドを入力して、イベントログを更新します。
cifs audit save [-f]
イベントログが存在しない場合は、-f オプションを省略します。既存のイベントログを上書きする場
合は、-f オプションを使用します。
イベントログの前回の更新以降に収集されたイベント情報が、イベントログに書き込まれます。
自動保存を実行するタイミングの指定
イベントログへの監査イベントの自動保存は、一定の間隔または一時的な内部ログファイルのサイズ
に基づいて(cidsaudit.alf ファイルの最大サイズに対する割合)、実行されるように指定できます。
サイズしきい値と間隔の両方を指定すると、そのサイズしきい値または時間間隔のいずれかに到達し
たときに、監査イベントがイベントログに保存されます。
内部的な一時ログ ファイルが自動的に外部イベント ファイルに保存されるたびに、イベント ファイル
の基本名に拡張文字が付加されます。付加される拡張文字の種類は、次のいずれかを選択できます。
• カウンタ
• タイムスタンプ
これらの拡張文字の1つが指定されないと、タイムスタンプがファイル拡張文字として使用されます。
ただし、「タイムスタンプ」の値は表示されません。
ストレージ システムは 6 週間までイベント ファイルを保存します。保存できるイベント ファイルの数に
制限を指定できます。
次のトピック
内部的な一時ログファイルサイズに基づいの自動保存の有効化 時間間隔に基づいた自動保存の有効化 カウンター拡張子の指定 タイムスタンプ拡張文字の指定
内部的な一時ログファイルサイズに基づいの自動保存の有効化
内部的な一時ログ ファイルのサイズに基づいた自動保存を有効にしている場合、サイズしきい値を
指定できます。
内部的な一時ログ ファイルのデフォルトのサイズしきい値は 75%です。したがって、内部的な一時ロ
グ ファイルがフルの 75%になると、その内容が自動的に外部イベント ファイルに保存されます。しき
い値は、内部的な一時ログ ファイルのサイズの割合または絶対サイズで指定できます。
272 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
次の表に、自動保存する内部的な一時ログ ファイルのサイズしきい値の指定に使用できる測定単位
と値を示します。
測定単位 値
% (cifsaudit.alf.file ファイルの割合) 1~100
k(キロバイト) 1~67108864
m(メガバイト) 1~65526
g(ギガバイト) 1~64
手順
1. 下のいずれかのアクションを実行してください
目的 操作
内部的な一時ログファイルの自動保存に
使用するサイズしきい値を指定する場合 次のコマンドを入力します。 optioons cifs.audit.autosave.onsize.threshold N はサイズしきい値の値、suffixは、測定単位です。
例 options cifs.audit.autosave.onsize.threshold 90%
内部的な一時ログファイルのサイズに基づ
いて自動保存を有効または無効にする場
合
次のコマンドを入力します。 options cifs.audit.autosave.onsize.enable {on off}
時間間隔に基づいた自動保存の有効化
時間間隔に基づいた自動保存を有効にしている場合、時間間隔を指定できます。
次の表に、自動保存の間隔の指定に使用できる測定単位と値を示します。
測定単位 値
s (秒) 1~60
m (分) 1~60
h (時間) 1~24
d (日) 1~7
手順
HTTP を使用したファイルアクセス| 273
1. 次のいずれかの操作を実行してください。
目的 操作
内部的な一時ログファイルを外部イ
ベントファイルに自動的に保存する
時間間隔を指定する場合
次のコマンドを入力します。 options cigs.audit.autosave.ontime.interval N は、時間間隔の値、suffix は、測定単位です。
例 options cifs.audit.autosave.ontime.interval 1d
時間間隔に基づいて自動保存を有
効または無効にする場合 次のコマンドを入力します。 options cifs.audit.autosave.ontime.enable {on | off}
カウンター拡張子の指定
自動ファイル名指定に「カウンタ」を選択すると、拡張文字として数値が付加されます。
自動保存が行われると、古いイベント ファイルの名前が変更されて、順番に番号が付きます。最新の
イベント ファイルには、番号は付きません。
たとえば、基本ファイル名がeventlog の場合に自動保存が行われると、最新のイベント ファイルは
eventlog.evt という名前が付けられ、これより前のeventlog.evt ファイルはeventlog1.evt にコピーさ
れ、eventlog1.evt ファイルはeventlog2.evt にコピーされます。
手順:
1. 次のコマンドを入力します。
options cifs.audit.autosave.file.extension counter
タイムスタンプ拡張文字の指定
自動ファイル名指定にtimestampを選択すると、ファイル名はタイムスタンプ形式になります。
形式は
base_name_of_event_file.YYYYMMDDHHMMDD.evt
です。
パラメータ 概要
YYYY 4桁の年
MM 2 桁の月
DD 2桁の日
HH 2桁の時間
274 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
パラメータ 概要
MM 2桁の分
SS 2桁の秒
手順
1. 次のコマンドを入力します。
Options cifs.audit.autosave.file.extension timestam
自動的に保存されるファイルの最大数の指定
cifs.audit.autosave.file limit オプションを使用すると、自動保存できるイベントファイルの最大数を指
定できます。
手順
1. 次のコマンドを入力します。
options cifs.audit.autosave.file.limit value
value は、0~999までの番号です。
メモ:このオプションの値を 1 ~ 999 に設定した場合、ストレージ システム上のファイ
ル数の制限に達すると、最も古いファイルが常に上書きされます。ただし、このオプシ
ョンの値を 0 に設定すると、システムに自動的に保存されるEVT ファイルの数は制限さ
れません。
cifsaudit.alfファイルの最大サイズの指定
cifs.audit.logsize オプションを使用すると、cissaudit.alf ファイルの最大サイズを指定することができ
ます。
手順
1. 次のコマンドを入力します。
options cifs.audit.logsize. Size
size はバイト数です。無効な値を入力すると、使用できる数値の範囲を告げるメッセージが表示
されます。
メモ:cifsaudit.alf ファイルが最大サイズに到達すると、最も古いデータが上書きされます。イ
ベント データが失われないように、cifsaudit.alf ファイルがフルになる前に保存してくださ
い。デフォルトでは、ファイルが 75%に達すると、警告メッセージが表示されます。さらに、
HTTP を使用したファイルアクセス| 275
ファイルがほぼフルになり、データの上書きが始まるときと、データがすでに上書きされた
ときも警告メッセージが送信されます。
監査イベントのSNMPトラップ
Data ONTAP は、SNMP トラップをサポートしており、これによって特定の監査イベント情報に基づい
た規定の動作(通知など)を実行させることができます。
CIFS クライアントが監査イベントのSNMP トラップを受信するように設定する場合は、Data ONTAP のSNMP 機能を使用してクライアントを登録する必要があります。登録されたクライアントには、
SNMP トラップを監視するためのSNMP ソフトウェアが必要です。
次のいずれかのイベントが発生すると、SNMP トラップが発行されます。
• 指定された間隔に到達し、cifsaudit.alf ファイルが保存されたとき
• 指定されたサイズしきい値に到達し、cifsaudit.alf ファイルが保存されたとき
• デフォルトのしきい値 (75 %)に到達し、cifsaudit.alf ファイルがラップされ、イベントデータの上書
きされる危険性はあるが、cifs.audit.autosave.onsize.enable および
cifs.audit.autosave.ontime.enable オプションがオフになっているために、ファイルが保存され
ないとき
• どの自動保存機能もオンになっていないため、cifsaudit.alf ファイルがラップされ、イベントデータ
が上書きされたとき
cifsaudit.alfファイルの消去
cifs audit clear コマンドを使用すると、内部的なcifsaudit.alf ファイルを消去できます。
手順
1. 次のコマンドを入力します。
cifs audit clear
監査が始まると、内部的な一時ログ ファイルcifsaudit.alf は消去されます。監査が停止すると、
cifsaudit.alf ファイルは削除されます。外部イベント ログはこのコマンドの影響を受けません。
イベント詳細画面の表示と概要
Live View で取得されたリアルタイム監査イベント、ユーザーが保存した外部イベント ログ(.evt ファ
イル)、またはLive View により作成されたバックアップ ログ ファイルを表示することができます。
タスク概要
次のイベントの詳細表示が使用できます。
• ネットワークログオン
• 失敗したネットワークのログオン
276 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
• ネットワークログオフ
• Windows ファイルアクセス
• UNIXファイルアクセス
• 失敗したファイルアクセス
• 失われたレコードイベント
• 監査ログイベントの消去
次のトピック
監査イベントの表示方法 Live View を使用した監査イベントのリアルタイム表示 静的なイベントログファイルの表示 Windows ファイルアクセスの詳細表示 UNIX ファイルアクセスの詳細表示 失敗したファイルアクセスと失われたレコードのイベントの詳細表示
監査イベントの表示方法
監査イベントは、Windows クライアントでコントロール パネルの管理ツールまたはMMCから、
Microsoft イベント ビューアを使用して見ることができます。
監査イベントの表示には 2 つの方法があります。
• リアルタイム表示。Live View 機能が有効な場合は、EVT イベント ログ ファイルが 1 分ごとに自
動的に更新されます。これにより、イベント ビューアで最近の 5,000 の監査イベントを常に最新
の状態で見ることができます。
メモ: Live View 機能を使用するには、Windows クライアントがWindows 2000 以上を使用し
ている必要があります。
• 静的表示。EVT イベント ログは、手動または自動保存を設定して自分で管理することができます。
自分で管理する場合、ログ ファイルの管理方法にもよりますが、保存されたログ ファイルの最新
バージョンがイベント ビューアに表示されます。
Live Viewを使用した監査イベントのリアルタイム表示
Windows イベント ビューアを使用すると、LiveView で取得された監査イベントをリアルタイムで表示
できます。
監査イベントをリアルタイムで表示する前に、Live View を設定する必要があります。
手順
1. Windows クライアントから、コントロールパネルの管理ツール、またはMMCからEvent Viewerを起動します。
2. [Action(操作)] >[Connect to Another Computer(別のコンピュータへ接続)] を選択します。
HTTP を使用したファイルアクセス| 277
3. ダイアログボックスに監査するストレージシステムの名を入力し、[OK]をクリックします。
4. アプリケーションの左側のセキュリティエントリーを選択します。
アプリケーションの右側に、ストレージシステムで取得された最新の監査イベントが表示されます
(最大 5000 イベント)。
静的なイベントログファイルの表示
Windows クライアントを使用すると、保存した外部のイベントログ(.evt ファイル)、またはLive Viewにより作成されたバックアップログファイルを表示することができます。
手順
1. Windows クライアントで、コントロールパネルの管理ツールから、またはMMCからEvent Viewerを起動します。
2. [Log (ログ)] > [Open(開く)] を選択します。
メモ:イベント ログを開く場合は、[ログ]メニューの[コンピュータの選択]をポイントし、スト
レージ システム名をダブルクリックしないでください。この方法でイベント ログを開くと、
Live View が有効の場合を除いて、Data ONTAP とイベント ビューアはRPC コールを使用し
て通信できないため、イベント ビューアに「The RPC server is unavailable」というエラー メッセージが表示されます。
3. ストレージシステム上のイベントログを選択します。
Windowsファイルアクセスの詳細表示
Windows ファイル アクセスの詳細表示には、さまざまな種類の情報が表示されます。
次の表に、Windows ファイル アクセスの詳細表示フィールドの説明を示します。
フィールド 説明
オブジェクトサーバ 監査チェック機能を呼び出すサブシステムのサーバ プロセスの名前。
これはセキュリティ ログなので、通常は SECURITY になります。
オブジェクトの種類 アクセスされているオブジェクトの種類
オブジェクト名 アクセスされているオブジェクト名(ファイル名など)
オブジェクトハンドル ID 開いているオブジェクトの新しいハンドル識別子
操作 ID 1 回の操作で発生した複数のイベントを関連付ける一意の識別子
プロセス ID オブジェクトにアクセスするクライアントプロセスの識別子
プライマリ ユーザ名 オブジェクト アクセスを要求するユーザのユーザ名。偽装が行われて
いる場合、これは、サーバ プロセスへのログオンに使用したユーザ名
になります。
プライマリ ドメイン コンピュータの名前。[プライマリ ユーザー名]に指定されているユーザ
278 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
フィールド 説明
名が SYSTEM の場合は、SYSTEM になります。コンピュータが
Windows NT Server ドメインのメンバーの場合、プライマ リ ユーザ アカウントを含むドメイン名になる場合もあります。
プライマリ ログオン ID プライマリユーザがログオン時に割り当てられる一意の識別子
クライアントユーザ名 ログイン名
クライアントドメイン コンピュータの名前、またはクライアントユーザアカウントを含んでい
るドメイン
クライアントログオン ID クライアントユーザのログイン時に割り当てられる一意の識別子
アクセス 実行しようとしたオブジェクトのアクセスの種類
権限 ユーザの権限。
UNIXファイルアクセスの詳細表示
UNIX ファイル アクセスの詳細表示には、Windows ファイル アクセスの詳細表示と同じ種類の情報
が表示されます。ただし、NFS クライアントからファイルへのアクセスが行われるため、オブジェクト名
ではなくNFS アクセスが表示されます。
さらに、UNIX ファイル アクセスの詳細表示には、監査中のファイルに関する次の情報が表示されま
す。
• ファイルが格納されているボリュームのID
• ファイルが格納されている最新のSnapshot コピーのID
• ファイルのinode
この情報を使用すると、NFS クライアントからfind -inum コマンドを実行してファイルを検索できます。
失敗したファイルアクセスと失われたレコードのイベントの詳細表示
失敗したファイル アクセスの詳細表示には、ファイルのアクセスに失敗した操作についての情報が
表示されます。さらに、Data ONTAP で監査レコードを作成できない場合は、失われたレコード イベントの詳細表示に理由が表示されます。
たとえば、ユーザがファイルにアクセスしようとしたが、アクセス権がないためにファイル アクセス
が失敗した場合などです。詳細表示には、ファイルにアクセスしようとしたユーザのID と、アクセス
が失敗したことが表示されます。
Data ONTAP で監査レコードを作成できない場合は、失われたレコード イベントの詳細表示に次
のような理由が表示されます。
Internal resources allocated for the queueing of audit messages have been exhausted, leading to the loss of
HTTP を使用したファイルアクセス| 279
some audits.
Number of audit records discarded: 1
シンボリックリンクへの CIFS アクセスの制御
シンボリックリンクは NFS クライアントが指定する特殊なファイルで、別のファイルまたは
ディレクトリをポイントします。シンボリックリンクは、ある意味では、Windows 環境の
「ショートカット」に似ています。
タスク概要
シンボリックリンクには、次の 2 種類があります。
• 絶対シンボリックリンクは、スラッシュ[/]で始まり、ファイルシステムのルートから導か
れるパスとして扱われます。
• 相対シンボリックリンクは、スラッシュ[/]以外の文字で始まり、シンボリックリンクの親
ディレクトリを基準とした相対的なパスとして扱われます。
CIFS クライアントではシンボリック リンクを作成できませんが、NFS クライアントによっ
て作成されたシンボリック リンクを参照することはできます。
CIFS が次の種類のシンボリック リンクにアクセスできるようにするためには特別の要件があ
ります。
• 絶対シンボリックリンク。絶対シンボリックリンクの送信先は UNIX 実装タイプにより異
なるので、CIFS クライアントは絶対シンボリックリンクを解釈するための情報を追加す
る必要があります。
• リンク先が自身と同じストレージ システム上、共有の外にある相対シンボリック リンク。
デフォルトでは、Data ONTAP は、CIFS クライアントが認証されている共有の外部にあ
るシンボリック リンクを CIFS クライアントが参照することを許可していません。
次のトピックス
クライアントのシンボリックリンク参照の有効化 CIFS クライアントとシンボリックリンクの連動の指定 ファイルへのシンボリックリンクを使用しない理由 Map エントリについて Widelink エントリについて シンボリックリンクに対する共有の境界チェックの無効化 絶対シンボリックリンクのリダイレクト ストレージシステムによる Map と Widelink エントリの使用方法
クライアントのシンボリックリンク参照の有効化
cifs.symlinks.enable オプションを使用すると、シンボリック リンクへの CIFS アクセスが無
効にされたあとで、それを有効にすることができます。
280 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
タスク概要
cifs.symlinks.enable オプションは、デフォルトで有効になっています。
ステップ
1. 次のコマンドを入力して CIFS がシンボリックリンクにアクセスできるようにします。
Options cifs.symlinks.enable on
結果
CIFS クライアントは、同じ共有内にあるリンク先への相対シンボリックリンクに直接参照で
きるようになります。
CIFSクライアントとシンボリックリンクの連動の指定
CIFS クライアントとシンボリック リンクの連動を指定するには、/etc/symlink.translations フ
ァ イ ル に Map エ ン ト リ を 作 成 す る か (絶 対 シ ン ボ リ ッ ク リ ン ク の み ) 、
/etc/symlink.translations ファイルに Widelink エントリを作成するか(絶対シンボリック リン
クのみ)、またはシンボリック リンクの NT 共有境界チェックを無効にします(相対および
絶対シンボリック リンク)。
タスク概要
次の表を参照して、実行するオプションを決定してください。この表は、各オプションについ
て、シンボリック リンクが示すことができるリンク先の種類を示しています。
シンボリックリンクのリンク先
Map エントリ Widelink エントリ 共有の境界チェックの無効
化
同じストレージ システム上の同じ共有 ○ ○ ○
同一ストレージ システム上の別の共有 ○ ○
同一ストレージ システムの非共有領域 ○
別のストレージ システムの共有 ○
別の CIFS サーバまたはデスクトップ
PC 上の共有 ○
ファイルへのシンボリックリンクを使用しない理由
ファイルにリンクするシンボリック リンクを CIFS クライアントが参照しないようにしてく
ださい。Data ONTAP によって間違ったファイルが更新される場合があるためです。
間違ったファイルが更新される原因は、多くの CIFS クライアント アプリケーションでは、
一時ファイルに書き込み、元のファイルの名前をバックアップ名に変更し、そのあと、一時フ
ァイルを元のファイル名に変更するという動作を行うためです。
クライアント アプリケーションでこのような処理が実行されるとき、シンボリック リンクに
よって元のファイルが直接ターゲットになっていると、このファイルはシンボリック リンク
と同じディレクトリに格納され、名前を変更されたシンボリック リンクのリンク先は更新さ
HTTP を使用したファイルアクセス| 281
れたファイルではなく、元のファイルとなります。
メモ:個々のファイルではなくディレクトリにリンクしているシンボリックリンクを参照し
ている CIFS クライアントはこの問題は発生しません。
Mapエントリについて
Map エントリは、ストレージ システム上の絶対シンボリック リンクのリダイレクトに使用さ
れます。Map エントリは、/etc/symlink.translations ファイルに作成します。Map エントリに
よって、CIFS クライアントは、絶対シンボリック リンクを参照して同じ共有内のリンク先を
ターゲットにすることができます。
メモ: cifs share -nosymlink_strict_security オプションがソース共有に指定されていない場
合、リンクの共有の外にあるリソースへのシンボリック リンクを参照する CIFS クライアン
ト ユーザは機能しません。
Map エントリには次の必要条件があります。
• 絶対シンボリック リンクを参照するには、リンク先を決定する Map エントリが
/etc/symlink.translations ファイル内に必要です。
• シンボリック リンクのリンク先がリンク自身と同じ共有内にあるか、または-nosymlink_strict_security オプションが指定された共有内にリンクがなければなりません。
Map エントリを使用して絶対シンボリック リンクをリダイレクトすると、シンボリック リン
クとリンク先が同じ共有内にあるため、両方の Windows 共有セキュリティが維持されます。
symlink.translations ファイル内に Map エントリと Widelink エントリの両方がある場合、スト
レージ システムでは最初に一致したエントリが使用されます。
Widelinkエントリについて
Widelink エントリは、ストレージ システム上の絶対シンボリックリンクをリダイレクトする
もう一つの方法です。Widelink エントリは、/etc/symlink.translations ファイルに作成します。
Widelink エントリによって、CIFS クライアントは絶対シンボリック リンクを参照し、同じス
トレージ システム上または外部のリンク先をターゲットにすることができます。Widelink エントリは、共有ごとに使用できます。
Widelink エントリには次の要件があります。
• 絶対シンボリック リンクが含まれている共有は、ワイド シンボリック リンクに対して有
効にする必要があります。 • 絶対シンボリック リンクを参照するには、リンク先を決定する Widelink エントリが
/etc/symlink.translations ファイル内に必要です。 • Widelink エントリのリンク先を次のいずれかにする必要があります。
• シンボリックリンクと同じ共有 • 同じストレージ システム上の別の共有 • 別のストレージ システム上の共有 • 別の CIFS サーバまたはデスクトップ PC 上の共有
282 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
• CIFS クライアントは、Microsoft Distributed File System (DFS)用のクライアント側サポー
トが必要です。Windows NT とその後のクライアントがデフォルトで DFS をサポートし
ています。
Widelink エントリを参照するために、CIFS クライアントは、ストレージ システムに対して
DFS 照会の要求と受信を自動的に実行し、ターゲットとなる共有との認証された接続を確立
する必要があります。これによって、シンボリック リンクとリンク先の両方の NT 共有セキ
ュリティが維持されます。接続が確立されると、CIFS クライアントはターゲットの共有また
はサーバに直接新しい要求を出すことができるので、パフォーマンスが向上します。
symlink.translations ファイル内に Map エントリと Widelink エントリの両方がある場合、スト
レージ システムでは最初に一致したエントリが使用されます。
Widelink エントリには次の制約があります。
• ワイド シンボリック リンクのリンク先がファイルであっても、ディレクトリの一覧には
ディレクトリとして表示されます。ファイルを開くシステム API はワイド シンボリック リンクのリンクを正しく参照しますが、一部のアプリケーションでは混乱が発生する場合
があります。この問題を回避するには、ファイルではなくディレクトリを参照するワイド シンボリック リンクを作成します。
• Windows 95、Windows 98、および Windows ME クライアントでは、別のワイド シンボ
リック リンクにリンクするワイド シンボリック リンクを参照できません。 • ワイド シンボリックリンクでは、リンク先の装置の非共有領域にクライアントを誘導でき
ません。
シンボリックリンクに対する共有の境界チェックの無効化
シンボリックリンクのシェア境界チェックを無効にすると、CIFS クライアントは、ストレー
ジ システム上にあるシンボリックリンクを参照できます。この動作は、共有単位で設定され
相対シンボリックリンクと絶対シンボリックリンクの両方に影響を及ぼします。
シンボリック リンクに対する共有の境界チェックを無効にするには、次の要件を満たす必要
があります。
• シンボリック リンクが含まれている共有は、nosymlink_strict_security に設定する必要が
あります。 • 絶対シンボリック リンクを参照するには、リンク先を決定する Map エントリが
/etc/symlink.translations ファイル内に必要です。 • 相対シンボリック リンクおよびマッピングされた絶対シンボリック リンクのリンク先は、
ストレージ システムの任意の共有領域または非共有領域になければなりません。
シンボリック リンクに対する共有の境界チェックを無効にするには、次の制約があります。
• ボリュームを連結するには、相対シンボリック リンクを使用せず、絶対シンボリック リンクを使用します。
• シンボリックリンクは、そのストレージシステム以外のシステムを参照することはできま
せん。
HTTP を使用したファイルアクセス| 283
• NT 共有セキュリティはシンボリック リンクに対して維持されます。これは、CIFS クラ
イアントが、シンボリック リンクが含まれている共有に接続できるように認証する必要が
あるためです。 • リンク先が同じ共有内にある場合のみ、そのシンボリック リンクのリンク先に対して NT
共有セキュリティは維持されます。 • リンク先が共有外にある場合、NT 共有セキュリティはシンボリック リンクのリンク先に
対して維持されません。これは、CIFS クライアントが、そのリンク先(CIFS 共有である
か否かは問わない)を認証する必要がないためです。
メモ:シンボリック リンクに対する共有の境界チェックを無効にする場合は、ユーザから
のアクセスを禁止しているストレージ システムのすべての領域の安全を確保してください。
この操作は必ず行ってください。ユーザが、ストレージ システム上の任意のパスに対する
シンボリック リンクを作成できてしまうためです。
絶対シンボリックリンクのリダイレクト
ストレージ システムで絶対シンボリック リンクをリダイレクトするには、
/etc/symlink.translations ファイル内に Map エントリを作成するか、または
/etc/symlink.translations ファイル内に Widelink エントリを作成します。
タスク概要
NFS クライアントは、ファイルシステムがクライアント上にどのようにマウントされているかに基づいて、
絶対シンボリック リンクが示すファイルシステムの位置を解釈します。CIFS クライアントは、NFS クラ
イアントのマウント情報にアクセスできません。
CIFS クライアントがストレージ システム上の絶対シンボリック リンクを参照できるようにするには、絶
対シンボリック リンクをリダイレクトして、CIFS クライアントが、絶対シンボリック リンクによって表され
ているファイルシステムの位置を解釈できるようにする必要があります。/etc/symlink.translations ファイル内にエントリを作成することによって、絶対シンボリック リンクをリダイレクトできます。
/etc/symlink.translations ファイルは、ストレージ システム上で、UNIX サーバの自動マウント テーブ
ルと同じ役割を果たします。
次のトピックス
Map エントリの作成
Widelink エントリの作成
Mapエントリの作成
Map エントリを作成するには、/etc/symlink.translations ファイルを編集します。
ステップ
1. 編集するために、/etc/symlink.translations ファイルを開きます。
2. 次の形式を使用して、ファイルに 1 行以上の行を入力します。
284 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
Map template result
temoplate は、絶対シンボリックリンクとの照合に使用されます。
result は、一致した絶対シンボリックリンクと置き換わるストレージ システム上の パスで
す。
メモ:ファイル パスにスペースまたはポンド(#)記号を指定する場合、バックスラ
ッシュ(\)エスケープ文字を前に付加する必要があります。
例 Map /u/users/charlie/* /home/charlie/* Map /temp1/* /vol/vol2/util/t/* Map /u/users/bob\ smith/* /home/bob\ smith/*
Widelinkエントリの作成
Widelink エントリを作成するには、/etc/symlink.translations ファイル編集します。
ステップ
1. 編集するために/etc/symlink.translations ファイルを開きます。
2. 次のフォーマットを使ってファイル内に 1 行またはそれ以上の行を入力します。
Widelink template [@qtree] result
template は、UNIX パス名を指定します。
result は、CIFS UNC パス名を指定します。
qtree は、異なる qtree 内の複数のエントリが同一の template 値を有することを許可しま
す。
メモ:マップエントリと違って、バックスラッシュ(∖)エスケープ文字を先頭に付けずにフ
ァイルパ C スにスペースとポンド(#)文字を指定できます。Widelink では、バックスラッ
シュ文字は、Universal Naming Convention(UNC)に従って円記号はファイルパスの標
準文字とされています。
例
次の例では、result に、バックスラッシュを区切り文字とした CIFS パス名の構文を使 用しています。また、スペースの埋め込みも可能です。テンプレート パス名の中の
ワイルドカード文字(*)は、バックスラッシュ(\)を含む 0 個以上の任意の文字を
表します。次の result のパス名のワイルドカード文字は、template のパス名の対応部分 と一致する文字列を表します。 Widelink /eng/proj/* @/vol/vol2 \\filer\hw\proj\* Widelink /eng/proj/* \\filer\sw\proj\*
HTTP を使用したファイルアクセス| 285
ストレージシステムによるMapとWidelinkエントリの使用方法
CIFS クライアントが絶対シンボリック リンクを参照できるようにするために、ストレージ システムは、一致するエントリが検出されるか、または検索が失敗するまで、順番に
/etc/symlink.translations ファイル内にあるエントリを検索します。
ストレージ システムは、最初に一致したエントリを使用して、リンク先へのパスを生成しま
す。このため、最も限定的なエントリを最初に配置して、マッピング エラーの発生を防ぐこ
とが重要です。
この例は、Map エントリの記述方法を示しています。/u/home/*は、/u/*よりも限定的です。
Map /u/home/* /vol/vol2/home/*
Map /u/* /vol/vol0/*
次の例は、Widelink エントリの記述方法を示しています。
Widelink /u/docs/* \\filer\engr\tech pubs\*
Widelink /u/* \\filer\engr\*
CIFS クライアントに対する NFS ディレクトリアクセスの最適化
CIFS クライアントから NFS ディレクトリへのアクセスを最適化するには、CIFS クライアン
トまたは NFS クライアントがディレクトリにアクセスして、Unicode 形式のディレクトリの
みを作成する場合には非 Unicode ディレクトリが Unicode 形式に変換されるように
DataONTAP を設定します。これにより、形式を変換する必要がなくなります。
タスク概要
メモ:ファイルを CIFS クライアントと NFS クライアントで共有する場合は、インストー
ル直後にディレクトリを Unicode 形式で作成するよう Data ONTAP を設定します。こうす
ることにより、すべての新しいディレクトリが Unicode 形式で作成されます。
Data ONTAP をインストールすると、NFS クライアントによって作成されたディレクトリは
非 Unicode 形式になり、CIFS クライアントによって作成されたディレクトリは Unicode 形式
になります。このため、CIFS ディレクトリには NFS クライアントから直接アクセスできま
すが、NFS ディレクトリには CIFS クライアントから直接アクセスできません。NFS ディレ
クトリに CIFS クライアントがアクセスできるようにするには、ストレージ システムがまず
NFS ディレクトリを Unicode 形式に変換する必要があります。これは、ストレージ システム
がアクセス要求を受け取ったときに自動的に(すぐに)実行されます。対象となるデータの量
によっては、Unicode 変換に時間がかかり、ストレージ システム リソースを消費する場合も
あります。
次のトピックス
Unicode 形式のディレクトリの作成
Unicode 形式への変換
286 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
Unicode形式のディレクトリの作成
vol options コマンドを使用すると、Data ONTAP ですべてのディレクトリを Unicode 形式で
作成できます。
ステップ
1. 次のコマンドを入力して下さい。
vol options volume_name create_ucode on
Unicode形式への変換
デフォルトでは、CIFS クライアントがアクセスを要求したときだけ、ディレクトリの
Unicode 変換が実行されます。各ディレクトリのエントリの数を 50,000 未満に制限すること
により、Unicode 変換に必要な時間を短縮できます。
タスク概要
すでに大きなディレクトリがある場合は、次の手順に説明するように大きなディレクトリを前
もって強制的に Unicode に変換することにより、Unicode 変換のパフォーマンスへの影響を
最小限にすることができます。
大きなディレクトリを強制的に Unicode 形式に変換し、CIFS および NFS クライアントの両
方からアクセスされた時点でディレクトリを Unicode 形式に変換するには、次の手順を実行
します。
ステップ
1. 50,000 を超えるファイルが格納されたディレクトリがある場合は、Windows クライアン
トから変換対象のディレクトリと同じボリュームかつ同じ qtree 内に新しい CIFS ディレ
クトリを作成し、NFS mv コマンドを使用してこれらのファイルを作成したディレクトリ
に移動します。古いディレクトリを削除して、新しいディレクトリに同じ名前を割り当て
ることもできます。
2. 次のコマンドを入力します。
vol options volume_name convert_ucode on
NFS クライアントがファイルにアクセスすると Unicode 変換が実行されます。
メモ:50,000 件以上のファイルを含むディレクトリがある時は、convert_ucode オプ
ションを有効にしないで下さい。
CIFS クライアントで大文字のファイル名が作成されないようにする方法
cifs.save_case オプションを off に設定すると、CIFS クライアントで大文字のファイル名が
作成されないようにすることができます。
タスク概要
HTTP を使用したファイルアクセス| 287
以前の 16 ビットの CIFS クライアントでファイルを開いたり保存したりすると、小文字だけ
のファイル名と、大文字と小文字の混在するファイル名が、すべて大文字のファイル名に変更
されます。Data ONTAP で CIFS ファイル名に小文字を使用して保存するように指定すると、
大文字のファイル名には変更されません。
ステップ
1. 次のコマンドを入力します。
options cifs.save_case off
NFS クライアントからの CIFS ファイルへのアクセス
Data ONTAP では、NTFS(Windows NT ファイルシステム)のセキュリティ セマンティクス
を利用して、mixed 形式または NTFS 形式の qtree 内にあるファイルへのアクセス権が、NFS クライアント上の UNIX ユーザにあるかどうかが判別されます。
タスク概要
Data ONTAP では、ユーザの UNIX User ID(UID)から変換された CIFS クレデンシャルを使
用して、ファイルに対するユーザのアクセス権の有無が確認されます。CIFS クレデンシャル
は、通常はユーザの Windows ユーザ名であるプライマリ Security Identifier(SID;セキュリテ
ィ ID)と、ユーザがメンバーとなっている Windows グループに対応する 1 つ以上のグループ
SID で構成されています。
Data ONTAP で UNIX UID を CIFS クレデンシャルへ変換するときに要する時間は、数十ミリ
秒から数百ミリ秒です。これは、この変換処理にドメイン コントローラへの問い合わせも含
まれるためです。Data ONTAP では UID が CIFS クレデンシャルにマッピングされます。
このマッピングは WAFL®クレデンシャル キャッシュ内に入力されるので、変換によって発
生する照合時間が短縮されます。WAFL クレデンシャル キャッシュを制御することによって、
Data ONTAP で権限の照合に要する時間が大幅に短縮されます。また、WAFL クレデンシャ
ル キャッシュの統計を監視し、現在 WAFL クレデンシャル キャッシュ内にある CIFS クレデ
ンシャルの判別に利用することができます。
次のトピックス
WAFL クレデンシャルキャッシュへのマッピングエントリの追加 WAFL クレデンシャルキャッシュからのマッピングエントリの削除 マッピングエントリの有効時間の設定 WAFL クレデンシャルキャッシュ統計の監視 マッピング不整合への対処 CIFS ログインの追跡 ドメインコントローラ接続の追加
WAFLクレデンシャルキャッシュへのマッピングエントリの追加
WAFL クレデンシャル キャッシュには、マッピング エントリをいつでも追加できます。通常
288 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
は、ストレージ システムにアクセスすることによってエントリが自動的に作成されるため、
追加する必要はありません。
開始する前に
WAFL 認証情報キャッシュに追加するエントリの名前および IP アドレスを準備しておく必要
があります。
タスク概要
エントリを追加する最適な方法は、起動時にエントリで WAFL クレデンシャル キャッシュを
ロードするスクリプトを使用することです。これによって、ファイルへのアクセス中にエント
リが作成されるのを待機する必要がなくなり、エントリは、WAFL クレデンシャル キャッシ
ュ内にすぐに追加されます。
メモ:キャッシュは、10,000 エントリに制限されます。この制限を超える場合は、古いエン
トリから削除されます。
ステップ
1. 次のコマンドを入力します。
wcc -a -u uname -i ipaddress
uname は、ユーザの UNIX 名を指定します。
Ipaddress はユーザが接続しているホストの IP アドレスを指定します。
WAFLクレデンシャルキャッシュからのマッピングエントリの削除
WAFL クレデンシャル キャッシュからエントリをいつでも削除できます。セキュリティ変更
を行ったあとでエントリを削除して、ただちにセキュリティ変更を反映させたい場合があるか
もしれません。
開始する前に
WAFL クレデンシャル キャッシュから削除するエントリの名前を準備しておく必要がありま
す。さらに選択を絞り込むには、オプションで IP アドレスを指定できます。
タスク概要
ユーザの権限を変更したとき、セキュリティ変更はただちに反映されない場合もあります。た
とえば、グループからユーザを削除したが、そのユーザのマッピングがすでに WAFL クレデ
ンシャル キャッシュに存在する場合、WAFL クレデンシャル キャッシュが自動的にタイムア
ウトになるまで、そのユーザはファイルへのグループ アクセス権を持ち続けます。デフォル
トのクレデンシャル キャッシュ タイムアウト時間は 20 分です。
ステップ
1. 次のコマンドを入力します。
Wcc – x name
HTTP を使用したファイルアクセス| 289
Name には、次のいずれかを指定します。-s に続けて、CIFS クレデンシャル内で検出さ
れた Windows ユーザ名またはグループ名、あるいは、-u に続けて CIFS クレデンシャル
内で検出された UNIX 名が続きます。
メモ:nameがグループ名の場合、この手順でそのグループの全てのメンバーが
WAFL クレデンシャルキャッシュから削除されます。
-i を追加し、その後にユーザが接続しているホストの IP アドレスを続けることによってユ
ーザ指定を更に狭めることができます。名前を指定しない場合、全てのエントリが削除さ
れます。
例 wcc -x -u jdoe -i 10.100.4.41
マッピングエントリの有効時間の設定
Data ONTAP が更新を行ったあとに CIFS クレデンシャルが WAFL クレデンシャル キャッシ
ュ内に存在している時間を長くすることによって、パフォーマンスを向上させることができま
す。これは、Data ONTAP で CIFS クレデンシャルを作成してファイルへのアクセス権を照合
するための時間を確保する必要がないためです。
タスク概要
CIFS クレデンシャルが WAFL クレデンシャル キャッシュ内に存在する時間を延長すること
の欠点は、ユーザのアクセス権を変更しても、Data ONTAP が WAFL クレデンシャル キャッ
シュを更新するまで変更が有効にならないことです。このため、アクセスの拒否を設定したば
かりのファイルへのアクセス権をユーザが一時的に持ってしまう可能性があります。
この欠点によって問題が発生しなければ、クレデンシャル エントリが有効になる時間を長く
することができます。アクセス権の更新をすぐに反映させる必要があり、パフォーマンスが遅
くても問題にならない場合は、デフォルトよりも小さい値を使用できます。
ステップ
1. 次のコマンドを入力します。
options wafl.wcc_minutes_valid n
n は、各エントリを有効にする時間(分)です。指定できる範囲は1~20,160 で、デフォル
ト値は 20 です。
WAFLクレデンシャルキャッシュ統計の監視
WAFL クレデンシャル キャッシュ統計を監視すると、現在キャッシュされているエントリ、
および UNIX UID/CIFS 間のクレデンシャル マッピングを表示できます。これらの情報は、
WAFL クレデンシャル キャッシュにあるエントリや、エントリの一覧で示されるユーザのア
クセス権について知る必要がある場合に利用できます。
ステップ
290 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
1. 次のコマンドを入力します。
wcc –d uname
uname は、ユーザの UNIX 名です。WAFL クレデンシャルキャッシュの全てのクレデンシ
ャルエントリを一覧表示する時は、uname を省略します。コマンド行に-v を追加するこ
とによって、更に詳細な情報を得ることができます。コマンド当たり-v オプションを 3 つ
まで(-vvv)使用でき、各インスタンスは、詳細レベルの増加を示します。
例
次に、-d オプションを使用した統計出力を示します。 wcc –d tday (UID 10350) from 10.121.4.41 => NT-DOMAIN\tday* Total WCC entries: 3; oldest is 127 sec. Total Administrator-privileged entries: 1 * indicates members of "BUILTIN\Administrators" group
次に、-v オプションを 2 つ使用した統計出力例を示します。 wcc –dvv jdoe (UID 1321) from 10.121.4.41 => NT-DOMAIN\jdoe *************** UNIX uid = 1321 NT membership NT-DOMAIN\jdoe NT-DOMAIN\Domain Users NT-DOMAIN\SU Users NT-DOMAIN\Installers NT-DOMAIN\tglob NT-DOMAIN\Engineering BUILTIN\Users User is also a member of Everyone, Network Users, Authenticated Users *************** tday (UID 10350) from 10.121.4.41 => NT-DOMAIN\tday* ************** UNIX uid = 10350 NT membership NT-DOMAIN\tday NT-DOMAIN\Domain Users NT-DOMAIN\Domain Admins NT-DOMAIN\SU Users NT-DOMAIN\Installers BUILTIN\Users BUILTIN\Administrators User is also a member of Everyone, Network Users, Authenticated Users ***************
HTTP を使用したファイルアクセス| 291
bday (UID 1219) from 10.121.4.41 => NT-DOMAIN\bday *************** UNIX uid = 1219 NT membership NT-DOMAIN\bday NT-DOMAIN\Domain Users NT-DOMAIN\Installers NT-DOMAIN\SU Users BUILTIN\Users User is also a member of Everyone, Network Users, Authenticated Users *************** Total WCC entries: 3; oldest is 156 sec. Total Administrator-privileged entries: 1 * indicates members of "BUILTIN\Administrators" group
マッピング不整合への対処
マッピングの不整合に対処するには、いくつかのタスクを実行します。
タスク概要
ユーザがアクセス可能であるはずのファイルにアクセスできない場合、次のような理由が考え
られます。
• アクセス権を最近付与したが、WAFL クレデンシャル キャッシュに新しいマッピング エントリがない場合。最近付与された権限と WAFL クレデンシャル キャッシュ間のマッピ
ングの不整合は、CIFS クレデンシャル マッピングを比較して判別します。マッピングの
結果は、ユーザの UNIX 名または Windows 名のどちらについても表示できます。 • NFS クライアントが CIFS クレデンシャルを取得できなかった場合。NFS クライアント
がストレージ システムへの CIFS のログインを実行できるかどうかは、CIFS ログインを
追跡することによって判別できます。 • NFS クライアントによっては、NFS 属性キャッシュがタイムアウトしてからでないと
CIFS クレデンシャルの変更が有効にならない場合があります。
ステップ
1. 次のコマンドを入力して UNIX 名の現在の CIFS クレデンシャルマッピングを表示します。
wcc –s uname
uname は、Windows ユーザ名です。-i を追加し、続けてユーザが使用しているホストの
IP アドレスを指定すると、ユーザをさらに絞り込むことができます。さらに詳細な情報を
表示するには、コマンドラインに-v を追加します。1つのコマンドには、-v オプションの
インスタンスを3つまで指定でき(-vvv)、各インスタンスが詳細レベルの増加を示します。
2. CIFS クレデンシャル情報を記録します。
3. 次のコマンドを入力して、接続されているすべてのユーザの情報を表示します。
cifs sessions –s
292 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
出力結果からこのユーザの情報を検索します。
4. 2つの CIFS クレデンシャルマッピングを比較します。
5. CIFS クレデンシャルマッピングが異なる場合は、次のコマンドを入力してクライアントの接続を解
除します。
cifs terminate workstation
結果
クライアントを再接続すると、CIFS クレデンシャルマッピングは正しいものになります。
CIFSログインの追跡
CIFS ログインを追跡するには、NFS クライアントによる CIFS クレデンシャル取得の試行を
監視します。
タスク概要
すべての CIFS ログインが報告されるため、CIFS ログイン追跡は慎重に使用してください。
継続的に使用するとコンソールおよびログ メッセージが膨大な量になり、システムのパフォ
ーマンスに影響を及ぼすことがあります。cifs.trace_login オプションは、診断のときだけオン
にしてください。それ以外の用途のときにはオフにしておくことを推奨します(デフォルトで
はオフになっています)。
ステップ
1. 次のコマンドを入力します。
options cifs.trace_login {on | off}
CIFS ログインの追跡を有効にする場合は on を指定し、無効にする場合は off を指定してくださ
い。
ドメインコントローラ接続の追加
Data ONTAP が数分ごとにドメイン コントローラ接続の改善を試行する際にメッセージをコ
ンソールに送信するように、Data ONTAP を設定できます。
タスク概要
追跡機能は、コンソールおよびシステム ログに頻繁にメッセージを送信するため、このオプ
ションは継続的に有効にしないでください。
ステップ
1. 次のコマンドを入力します。
options cifs.trace_dc_connection {on | off}
デフォルは、off です。
HTTP を使用したファイルアクセス| 293
UNIX の「実行」権限がない CIFS クライアントへの.dll および.exe ファイルの暗黙的な実行
権限の付与
cifs.grant_implicit_exe_perm オプションを on に設定すると、UNIX 実行可能ビットが設定さ
れていない CIFS クライアントに、.dll および.exe ファイルの実行を許可することができます。
ステップ
1. 次のコマンドを入力します。
options cifs.grant_implicit_exe_perm on
結果
UNIX の「読み取り」権限のみが設定された実行可能ファイルを、CIFS クライアントから実
行した場合は、実行権限が黙示的に付与されます。
294 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
FTP を使用したファイルアクセス
Internet File Transfer Protocol (FTP) サーバを有効にして、Windows および UNIX FTP クライ
アントがストレージシステムのファイルへアクセスできるように設定できます。
FTP の管理
FTP を有効化または無効化する、構成する、およびそれに関連した統計を見ることで管理で
きます。
次のトピックス
FTP サーバの有効化と無効化 TFTP サーバの有効化と無効化 FTP ファイルロッキングの有効化と無効化 FTP 認証形式の指定 FTP トラバースチェックのバイパスの有効化と無効化 FTP アクセスの制限 FTP ログファイルの管理 FTP サーバで生成された SNMP トラップの表示 FTP の統計の表示 FTP の統計のリセット FTP 接続の最大数の指定 TFTP 接続の最大数の指定 FTP 接続しきい値の設定 FTP 処理用の TCP ウィンドウサイズの指定 FTP アイドルタイムアウト値の指定 匿名 FTP アクセスの管理
FTPサーバの有効化と無効化
FTP サーバを有効にするには、ftpd.enable オプションを on に設定します。FTP サーバを無
効にするには、ftpd.enable オプションを off に設定します。デフォルトでは、このオプション
は off になっています。
手順
1. 次のいずれかの操作を実行します。
目的 操作
FTP サーバを有効にする場合
次のコマンドを入力します: options ftpd.enable on FTP サーバは標準 FTP ポート 21 で FTP 要求のリスニングを開始します。
FTP サーバを無効にする場合
次のコマンドを入力します。 options ftpd.enable off
HTTP を使用したファイルアクセス| 295
TFTPサーバの有効化と無効化
tftpd.enable オプションを変更して TFTP サーバを有効化または無効化できます。
手順
1. 次のアクションの 1 つを実行します:
目的 操作
TFTP サーバを有効にする場合
次のコマンドを入力します。 options tftpd.enable on tftpd.enable オプションはオンで TFTP サーバは標準の FTP ポート 69 で
TFTP 要求のリスニングを開始します。
TFTP サーバを無効にする場合
つぎのコマンドを入力します。 options tftpd.enable off
このオプションはデフォルトで off です。
FTPファイルロッキングの有効化と無効化
FTP サーバが転送中にファイルの変更を防止するために、FTP ファイルロッキングを有効化
できます。そうでなければ、ファイルロッキングを無効にできます。デフォルトではファイル
ロッキングは無効化されています。
手順
1. 次のアクションのうち 1 つを実行します。
目的 操作.
削除と名前変更を有効化する
場合 次のコマンドを入力します。 options ftpd.locking delete
削除、名前変更、書き込みを有
効化する場合 次のコマンドを入力します。 options ftpd.locking write
無効化 次のコマンを入力します。 options ftpd.locking none
FTP認証形式の指定
UNIX、Windows、また両方の認証スタイルを構成するには、ftpd.auth_style オプションを unix, ntlm, or mixed へそれぞれ設定できます。デフォルトでは、このオプションは mixed に
なっています。
タスク概要
UNIX の認証形式を指定すると、FTP サーバは /etc/ passwd ファイルまたは Network Information Service (NIS) サーバを使ってユーザを認証します。
296 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
NTLM 認証形式を指定するとき、FTP サーバは Windows ドメインコントローラーを使用して
ユーザを認証します。NTLM の認証形式は UNIX の認証スタイルよりも安全です、なぜならば
暗号化されたユーザ名とパスワードを使うからです。
mixed の認証形式を指定すると、FTP サーバは UNIX の認証スタイルをバックスラッシュ(\)文字を含む名前のユーザへ使用し、NTLM 認証スタイルを他の全てのユーザへ使用します。
手順
1. 次のコマンドを入力します。
options ftpd.auth_style style
style は unix, ntlm, または mixed です。
2. 手順 1 で ntlm を指定したら、/etc/cifs_homedir.cfg ファイルの中で CIFS のホームディレ
クトリを指定して次のコマンドを入力します。
cifs homedir load
ユーザのホーム ディレクトリは、/etc/cifs_homedir.cfg で指定されたパスとそのユーザの
ユーザ ID を組み合わせたものです。/etc/cifs_homedir.cfg で指定されたパスでは大文字と
小文字が区別されますが、ユーザ ID では区別されません。
例
たとえば、パスが\home でユーザ名が JOHN の場合、ユーザのホーム ディレクトリは
\home\john になります。
終了後
ftpd.auth_style オプションが unix に設定されていて、NIS が有効になっている(nis.enable オプションが on になっている)場合は、/etc/nsswitch ファイルに適切な passwd エントリを追
加する必要があります。
• /etc/passwdファイルのみを使っているユーザを認証するには、 次のエントリを追加しま
す。
passwd: files
• NIS のみを使っているユーザを認証するには、次のエントリを追加します。
passwd: nis
• /etc/nsswitch ファイルと NIS の両方を使用してユーザを認証するには、次のエントリを追
加します。
passwd: files nis
NTLM認証形式の制限
NTLM 認証形式にはいくつか制限があります。
HTTP を使用したファイルアクセス| 297
これらの制限には次のものが含まれます:
• NTLMv2 は、ストレージ システムに存在しないドメイン コントローラベースのサービス
に依存します。そのため、ワークグループ モードで動作するストレージ システムへの接
続に使用できるのは NTLMv1 およびそれ以前のバージョンのみとなります。 • NTLM 認証を使用するワークグループ ストレージ システムの Windows クライアントでは、
「LAN マネージャ認証レベル」を「NTLMv2 のみ」以外のレベルに設定する必要がありま
す。このオプションを設定すると、「LMCompatibilitylevel」のレジストリ値が 0、1、ま
たは 2 に変更されます。これは、ワークグループ環境のストレージ システムでサポート
される唯一の NTLM 設定です。 • Active Directory 環境のドメインベースのクライアントは、(要求がストレージ システム
からドメイン コントローラへ渡されるため)NTLMv2 を使用して認証することができま
すが、ドメイン コントローラはローカル ストレージ システム アカウントの接続情報を使
用することができません。このため、ローカル ストレージ システム アカウントは、この
ような環境でストレージ システムに接続しようとしても認証に失敗します。
FTP トラバースチェックのバイパスの有効化と無効化
FTP トラバース チェックのバイパスを有効または無効にするには、
ftpd.bypass_traverse_checking オプションをそれぞれ on または off に設定します。デフォル
トでは、このオプションは off になっています。
タスク概要
ftpd.bypass_traverse_checking option が off になっている場合に、ユーザが FTP プロトコル
を使用してファイルにアクセスしようとすると、このファイルのパスに含まれるすべてのディ
レクトリに対してトラバース(実行)権限があるかチェックされます。いずれかの中間ディレ
クトリに「X」(トラバース権限)がない場合は、このファイルへのアクセスが拒否されます。
ftpd.bypass_traverse_checking オプションが on になっている場合に、ユーザがファイルにア
クセスしようとすると、中間ディレクトリのトラバース権限がチェックされないで、ファイル
へのアクセスの可否が判別されます。
手順
1. 次のいずれかを実行します。
FTP トラバースチェックのバイパスの設定 操作
有効にする場合 次のコマンドを入力します。 options ftpd.bypass_traverse_checking on
無効にする場合
次のコマンドを入力します。 options ftpd.bypass_traverse_checking off
FTPアクセスの制限
FTP アクセスを制限するには、FTP アクセスを有効または無効にしたり、ユーザのホーム ディレクトリおよびユーザ名を指定したりします。
298 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
次のトピックス
特定の FTP ユーザのブロック FTP ユーザのアクセス先を特定のディレクトリに限定 FTP ユーザのアクセス先をホームディレクトリまたはデフォルトディレクトリに限定
特定のFTPユーザのブロック
特定の FTP ユーザに対してストレージシステムへアクセスを禁止するには/etc/ftpusers ファ
イルに該当するユーザを追加します。
手順
1. NFS または CIFS クライアントからストレージシステムのデフォルトボリューム(デフォ
ルトでは/vol/vol0)にある /etc ディレクトリへアクセスします。
2. /etc/ftpusers ファイルをテキストエディターで開きます(もしファイルが存在しなければ
新規に作ります)。
3. アクセスを拒否するユーザのユーザ名(1 行に 1 つ)を追加します。
NTLM 認証の場合は、次のいずれかの形式でユーザ名を指定してください:
• Domain\username • Username@domain
メモ:上記のフォーマットで、正確なドメイン名を指定してください。;正確でなければ、
FTP サーバはユーザへアクセスを拒否できません。たとえば、ドメインの名に".com"というサフィックスが含まれている場合は、このサフィックスを名前に含めてください。
4. /etc/ftpusers ファイルを保存します。
FTPユーザのアクセス先を特定のディレクトリに限定
FTP ユーザを指定のディレクトリへ制限するには、ftpd.dir.restriction オプションを on に設定
できます; そうしないのであれば、FTP ユーザがシステム全体に渡ってアクセスを許される
ように、ftpd.dir.restriction オプションは OFF に設定できます。デフォルトではこのオプショ
ンは ON です。
手順
1. 次の 1 つのアクションを実行してください。
目的 操作
FTP ユーザのアクセス先をホームディレクトリま
たはデフォルトディレクトリに限定する場合 次のコマンドを入力します。 options ftpd.dir.restriction on
FTP ユーザがストレージシステム全体にアクセ
スできるようにする場合 次のコマンドを入力します。 options ftpd.dir.restriction off
ftpd.dir.restriction オプションが on に設定されている場合に、ftpd.dir.override オプションを使
HTTP を使用したファイルアクセス| 299
用すると、FTP ユーザがアクセスできるディレクトリをホーム ディレクトリまたはデフォル
ト ディレクトリの中から指定できます。
FTPユーザのアクセス先をホームディレクトリまたはデフォルトディレクトリに限定
FTP ユーザをデフォルトディレクトリに限定するには ftpd.dir.override オプションを設定する
ことができます。FTP ユーザをホームディレクトリに限定するために ftpd.dir.override オプシ
ョンをクリアします。デフォルトでは、このオプションはクリアされています。
ftpd.dir.override オプションを設定する前に ftpd.dir.restriction オプションを on に設定する必要
があります。
手順
1. 次のいずれかの操作を実行します。
目的 操作
FTP ユーザのアクセス先をホームディレクトリに
限定する場合 次のコマンドを入力します。 options ftpd.dir.override ""
FTP ユーザのアクセス先をデフォルトディレクトリ
に限定する場合 次のコマンドを入力します。 options ftpd.dir.override directory directory は FTPユーザを制限したい先のデフォルトディレクトリの
名です。
FTP ユーザが手順 1 で作成されたディレクトリへの読み取りアクセスがあることを確認します。
詳細は Data ONTAP Storage Management Guide を参照してください。
FTPログファイルの管理
FTP ログ ファイルを管理するには、FTP ログ ファイルを表示して、FTP ログ ファイルの最
大数や、現在の FTP ログ ファイルの最大サイズを指定します。
次のトピックス
FTP サーバでのログファイルの管理方法 /etc/log/ftp.xfer ログファイルの形式 /etc/log/ftp.cmd ログファイルの形式 FTP ログファイルの表示 FTP ログファイルの最大数の指定 FTP サーバでのログファイルの管理方法
FTPサーバでのログファイルの管理方法
Data ONTAP では、すべての FTP サーバ要求が/etc/log/ftp.cmd ファイルに記録され、すべて
のファイル転送が/etc/log/ftp.xfer ファイルに記録されます。
データは FTP ログ ファイル(/etc/log/ftp.cmd または/etc/log/ftp.xfer ファイル)に書き込まれ、
FTP ログ ファイルが最大サイズに達すると、Data ONTAP で次のタスクが実行されます。
1. FTP ログ ファイルの総数が FTP ログ ファイルの最大数と等しい場合は、最も古い FTP
300 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ログ ファイルが削除されます。
2. 古い FTP ログ ファイルのサフィックスが増加します。
3. 現在の FTP ログ ファイルには.1 というサフィックスが追加されて、古い FTP ログ ファ
イルになります。
4. 新しい FTP ログ ファイルが作成されます。
例 ログ ファイルの最大数が 6 の場合に、/etc/log/ftp.xfer ログ ファイルが最大サイズに 達すると、次のタスクが実行されます。 1. /etc/log/ftp.xfer.5 ファイルが存在する場合は、削除されます。
2. /etc/log/ftp.xfer.4 ファイルの名前が /etc/log/ftp.xfer.5 に、 /etc/log/ftp.xfer.3 ファイルの名前が
/etc/log/ftp.xfer.4 に変更されます(以下同様)。
3. etc/log/ftp.xfer ファイルの名前が/etc/log/ftp.xfer.1 に変更されます。
4. 新しい/etc/log/ftp.xfer ログ ファイルが作成されます。
/etc/log/ftp.xferログファイルの形式
etc/log/ftp.xfer ファイルには、FTP サーバによって転送されるすべてのファイルの情報が格納
されます。
次の表に、/etc/log/ftp.xfer ファイルのフィールドの説明を示します。
フィールド 解説
timestamp ログレコードのタイムスタンプ
xferTime ファイル転送の時間 (秒)
clientIP FTP クライアントの IP アドレス
XferCount 転送済みファイルのバイトカウント
filename 転送済みファイルのファイル名
xferType “a” (ascii), “e” (ebcdic), または “b” (バイナリ)が可能です。
xferDirection “o” (アウトバウンド) または r “i” (インバウンド)が可能です。
accessType “a” (匿名), “r” (実ユーザ), または “g” (ゲスト)が可能です。
/etc/log/ftp.cmdログファイルの形式
etc/log/ftp.cmd ファイルには、FTP サーバで受信されたすべてのコマンドの情報が格納されま
す。
次の表に、/etc/log/ftp.cmd ファイルのフィールドの説明を示します。
フィールド 説明
HTTP を使用したファイルアクセス| 301
timestamp ログレコードのタイムスタンプ
serialNo FTP 接続のシリアル番号
command FTP コマンド
FTPログファイルの表示
FTP ログファイルを見るには、テキストエディターかビューアーで開きます。
FTP サーバは 2 つのログファイルを維持します。
• /etc/log/ftp.cmd ファイルには、FTP サーバで受信されたすべてのコマンドの情報が格納さ
れます。
• /etc/log/ftp.xfer ファイルには、FTP サーバによって転送されるすべてのファイルの情報が
格納されます。
手順
1. NFS または CIFS クライアントから、ストレージ システムのデフォルト ボリューム(デ
フォルトは/vol/vol0)の/etc/log ディレクトリにアクセスします。
2. テキスト エディタまたはビューアでログ ファイルを開きます
FTPログファイルの最大数の指定
ftpd.log.nfiles オプションを FTP ログファイルの最大数を指定するように設定できます。デフ
ォルトでは、FTP ログファイルの最大数は 6 です。
手順
1. 次のコマンドを入力します。
opitions ftpd.log.nfiles n
n はログファイルの最大数です。くわしくは na_options(1) マニュアルページを参照して
ください。
現在のFTPログファイルの最大サイズの指定
現在の FTP ログ ファイル(/etc/log/ftp.cmd および/etc/log/ftp.xfer ログ ファイル)の最大サイ
ズを指定するには、ftpd.log.filesize オプションを設定します。デフォルトでは、現在の FTP ログ ファイルの最大サイズは 512 KB です。
手順
1. 次のコマンドを入力します。
options ftpd.log.filesize filesize
filesize は、整数の値で、あとに K または k(KB)あるいは G または g(GB)が付加され
ます。詳細については na_options(1) マニュアルページを参照ください。
302 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
例 以下のコマンドは現在の FTP ログファイルの最大サイズを 1 GB に設定するには、次のコマン
ドを入力します。 options ftpd.log.filesize 1G
FTPサーバで生成されたSNMPトラップの表示
FTP サーバで生成された SNMP トラップを見るには、ストレージシステムの SNMP を開始し
て構成でき、UNIX クライアントで SNMP トラップを表示します。
次のトピックス
FTP サーバで生成された SNMP トラップ ストレージシステムでの SNMP の開始と設定 UNIX クライアントでの SNMP トラップの表示
FTPサーバで生成されたSNMPトラップ
FTP サーバでは SNMP トラップが生成されます。
以下のイベントが発生すると、FTP サーバで SNMP トラップが生成されます。:
• 同時接続数が ftpd.max_connections_threshold に達した場合
• 同時接続数が ftpd.max_connections のに達した場合
• エラーのためデーモン処理が停止した場合
SNMP の詳細については、 Data ONTAP 7-Mode Network Management Guide を参照してく
ださい。
ストレージシステムでのSNMPの開始と設定
ストレージシステムの SNMP を開始するには snmp コマンドを使用します。
手順
1. 次のコマンドを入力します。
snmp init 1
2. 次のコマンドを入力します。
snmp traphost add hostname
hostname は FTP サーバで生成された SNMP トラップを受信する UNIX クライアントのホ
スト名です。
手順 2 で指定した UNIX クライアント上で SNMP トラップを有効にする必要があります。
HTTP を使用したファイルアクセス| 303
UNIXクライアントでのSNMPトラップの表示
UNIX クライアントで SNMP トラップを表示するには、snmptrapd -p コマンドを入力できま
す。
UNIX クライアントで SNMP トラップを表示する前に、ストレージシステムで SNMP を開始
および設定する必要があります。
手順
1. 次のコマンドを入力します。
snmptrapd -P
FTPの統計の表示
FTP の統計を表示するには、ftp stat のコマンドを入力します。
手順
1. 次のコマンドを入力します。
ftp stat -p native
このコマンドを使って SFTP-のみ, explicit-FTPS-のみ, implicit-FTPS-のみ,IPv4-のみ, また
は IPv6-のみの統計を表示することもできます。詳細は na_ftp(1) マニュアルページを参照
してください。
結果
ftp stat コマンドを使用すると、次の統計が表示されます。
• 現在の FTP 接続数
• 同時 FTP 接続の最大数
• FTP 統計がリセットされてからの FTP 接続の合計数
FTPの統計のリセット
FTP の統計をリセットするには、ftp stat -z コマンドを入力します。
手順
1. 次のコマンドを入力します。
ftp stat -z
FTP接続の最大数の指定
FTP サーバが許可される FTP 接続の最大数を指定するには、ftpd.max_connections オプショ
ンを使用します。デフォルトでは、FTP 接続の最大数は 500 です。
手順
1. 次のコマンドを入力します。
304 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
options ftpd.max_connections n
n は、FTP サーバが許可される FTP 接続の最大数です。
ftpd.max_connections を現在の FTP 接続数より少ない値に設定した場合、接続数が新し
い最大値未満になるまで、新規接続は FTP サーバによって拒否されます。既存の FTP 接
続は中断されません。
HA の構成で、ストレージシステムがテイクオーバモードになっている場合は、FTP 接続
の最大数は自動的に 2倍になります。
TFTP接続の最大数の指定
TFTP が許可する TFTP 接続の最大数を指定するには、tftpd.max_connections オプションを使
うことができます。TFTP 接続のデフォルト数は 8です。サポートされる接続の最大数は 32です。
手順
1. 次のコマンドを入力します。
options tftpd.max_connections n
n は TFTP サーバが許可す TFTP 接続の最大数です。tftpd.max_connections オプションを
TFTP 接続の現在の数より少ない値に設定したら、TFTP サーバは数字が新しい最大数以
下へ落ちるまでは新しい接続を拒絶します。TFTP サーバは既存の TFTP 接続を中断させ
ません。
HA の構成できでは、TFTP 接続の最大数はストレージシステムが引き継ぎモードになっ
たら自動的に倍になります。
FTP接続しきい値の設定
FTP 接続数が FTP 接続の最大数にどの程度近づいた場合に、FTP サーバがシステム ログに
エントリを追加し、(オプションとして)SNMP トラップを開始するのかを指定するには、
ftpd.max_connections_threshold オプションを設定します。デフォルトでは、このオプション
は 0(オフ)です。
手順
1. 次のコマンドを入力します。
options ftpd.max_connections_threshold n
n は ftpd.max_connections の値に対する割合(0~99)です。
FTP処理用のTCPウィンドウサイズの指定
FTP 処理用の TCP ウィンドウサイズを指定するには、ftpd.tcp_window_size オプションを使
うことができます。デフォルトでは、FTP 操作のための TCP ウィンドウサイズは 28,960 で
す。
手順を始める前に
HTTP を使用したファイルアクセス| 305
FTP 処理用の TCP ウィンドウ サイズは、ネットワーク設定で必要な場合にだけ変更してくだ
さい。変更すると、FTP のパフォーマンスに大きな影響が及びます。
手順
1. 次のコマンドを入力します。
options ftpd.tcp_window_size n
n は、FTP 処理用の TCP のウィンドウサイズです。
FTPアイドルタイムアウト値の指定
FTP アイドル タイムアウト値(FTP サーバによって終了されるまで、FTP 接続がアイドル状
態を継続できる期間)を指定するには、ftpd.idle_timeout オプションを設定します。デフォル
トでは、FTP アイドル タイムアウト値は 900 秒です。
手順
1. 次のコマンドを入力します。
options ftpd.idle_timeout n s | m | h
n は新しいタイムアウト値です。文字 s、m、または h を付加して、n の単位をそれぞれ
秒、分、または時間に指定します。
匿名FTPアクセスの管理
匿名 FTP アクセスを管理するには、匿名 FTP アクセスを有効または無効にしたり、匿名ユー
ザのホーム ディレクトリおよびユーザ名を指定したりします。
次のトピックス
匿名 FTP アクセスの有効化と無効化 匿名 FTP ユーザのユーザ名の指定 匿名 FTP ユーザのホームディレクトリの指定
匿名FTPアクセスの有効化と無効化
匿名 FTP アクセスを有効または無効にするには、ftpd.anonymous.enable オプションをそれぞ
れ on または off にそれぞれ設定します。デフォルトでは、このオプションは off になっていま
す。
手順
1. 次の操作のいずれかを実行します。
目的 操作
匿名 FTP アクセスを有効にする場合
次のコマンドを入力します。 options ftpd.anonymous.enable on
306 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
目的 操作
匿名 FTP アクセスを無効にする場合
次のコマンドを入力します。 options ftpd.anonymous.enable off
匿名 FTP アクセスを有効にする場合は、次のタスクを実行する必要があります。
• 匿名 FTP ユーザのユーザ名を指定します。
• 匿名 FTP ユーザのホームディレクトリを指定します。
匿名FTPユーザのユーザ名の指定
匿名 FTP ユーザのユーザ名を指定するには、 ftpd.anonymous.name オプションを設定できま
す。 デフォルトでは、匿名 FTP ユーザのユーザ名は"anonymous."です。
FTP 認証形式が unix の場合、/etc/passwd ファイルで ftp ユーザに対してして指定されたユー
ザ名は無視され、このオプションで指定されたユーザ名が使用されます。
手順
1. 次のコマンドを入力します。
options ftpd.anonymous.name username
username は匿名ユーザの名前です。
匿名FTPユーザのホームディレクトリの指定
匿名 FTP ユーザのホームディレクトリ(つまり匿名 FTP ユーザがアクセスする唯一のディレ
クトリ)を指定するには、 ftpd.anonymous.home_dir オプションを使用します。
FTP 認証形式が unix の場合、/etc/passwd ファイルで ftp ユーザに対して指定されたユーザ名
は無視され、このオプションで指定されたユーザ名が使用されます。
手順
1. 匿名 FTP ユーザのためにホームディレクトリを作成します。
2. 次のコマンドを入力します。
options ftpd.anonymous.home_dir homedir
homedir は、匿名 FTP ユーザのホームディレクトリの名前です。
匿名 FTP ユーザが手順 1 で作ったディレクトリへ読み取りアクセス権があることを確かめて
ください。詳細は、 Data ONTAP 7-Mode Storage Management Manual を参照してください。
メモ: NTLM 認証形式の場合、FTP サーバによって認証された匿名の FTP ユーザには、
null ユーザと同じアクセス権が設定されます。
HTTP を使用したファイルアクセス| 307
HTTP を使用したファイルアクセス
HTTP クライアント(Web ブラウザ)がストレージシステムのファイルにアクセスできるよう
にするには、Data ONTAP ビルドイン HyperText Transfer Protocol (HTTP) サーバを有効化し
て構成できます。または、サードパーティの HTTP サーバを購入してストレージシステムへ
接続します。
次のトピックス
Data ONTA の ビルドイン HTTP サーバの管理
サードパーティ製 HTTP サーバの購入とストレージシステムへの接続
Data ONTA の ビルドイン HTTP サーバの管理
Data ONTAP ビルドイン HTTP サーバを管理するにはいくつかのタスクを実行します。
次のトピックス
Data ONTAP のビルドイン HTTP サーバの有効化と無効化 HTTP トラバースチェックのバイパスの有効化と無効化 Data ONTAP のビルドイン HTTP サーバのルートディレクトリの指定 Data ONTAP のビルドイン HTTP サーバのログファイルの最大サイズの指定 Data ONTAP のビルドイン HTTP サーバのテスト Data ONTAP のビルドイン HTTP サーバでの MIME コンテンツタイプとファイル名拡張子のマッピ
ング方法の指定 Data ONTAP のビルドイン HTTP サーバでの HTTP 要求の変換方法の指定 MIME コンテンツタイプの値の設定 Data ONTAP のビルドイン HTTP サーバのセキュリティーの維持 Data ONTAP ビルドイン HTTP サーバの統計の表示 Data ONTAP のビルドイン HTTP サーバの統計のリセット Data ONTAP のビルドイン HTTP サーバの接続情報の表示
Data ONTAPのビルドインHTTPサーバの有効化と無効化
Data ONTAP のビルドイン HTTP サーバを有効または無効にするには、httpd.enable オプショ
ンを on または off に設定できます。デフォルトでは、このオプションは off です。
手順
1. 次のアクションの 1 つを実行します。
HTTP の設定 操作
有効にする場合
次のコマンドを入力します: options httpd.enable on
無効にする場合 次のコマンドを入力します:
HTTP の設定 操作
options httpd.enable off
実行後の作業
HTTP のライセンスを購入したユーザは、Web ブラウザから HTTP サーバのルートディレク
トリの全てのファイルへアクセスできます。;HTTP ライセンスを購入していないユーザは、
Web ブラウザからマニュアルページと FilerView のみにアクセスできます。
HTTPトラバースチェックのバイパスの有効化と無効化
httpd.bypass_traverse_checking オプションをそれぞれ on または off に設定することで HTTPトラバースチェックのバイパスを有効化または無効化できます。デフォルトではこのオプショ
ンは off に設定されています。
タスク概要
httpd.bypass_traverse_checking option が off になっている場合に、ユーザが HTTP プロトコ
ルを使用してファイルにアクセスしようとすると、このファイルのパスに含まれるすべてのデ
ィレクトリに対してトラバース(実行)権限があるかチェックされます。いずれかの中間ディ
レクトリに「X」(トラバース権限)がない場合は、このファイルへのアクセスが拒否されま
す。http.bypass_traverse_checking オプションが on になっている場合に、ユーザがファイル
にアクセスしようとすると、中間ディレクトリのトラバース権限がチェックされないで、ファ
イルへのアクセスの可否が判別されます。
手順
1. 次のいずれかの操作を実行します。
HTTP トラバースチェックのバイパス設定 操作
有効にする場合
次のコマンドを入力します。 options httpd.bypass_traverse_checking on
無効にする場合
次のコマンドを入力します。 options httpd.bypass_traverse_checking off
Data ONTAPのビルドインHTTPサーバのルートディレクトリの指定
Data ONTAP のビルトイン HTTP サーバのルート ディレクトリ(HTTP クライアントからア
クセスできるすべてのファイルが格納されたディレクトリ)を指定するには、httpd.rootdir オプションを設定します。
手順
1. 次のコマンドを入力します。
options httpd.rootdir directory
HTTP を使用したファイルアクセス| 309
directory は HTTP サーバのルートディレクトリへの完全パスです。
例 HTTP サーバのルート ディレクトリを/vol0/home/users/pages に設定するには、次のコマンドを
入力します。 options httpd.rootdir /vol0/home/users/pages
Data ONTAPのビルドインHTTPサーバのログファイルの最大サイズの指定
Data ONTAP のビルトイン HTTP サーバのログ ファイル(/etc/log/httpd.log)の最大サイズを
指定するには、httpd.log.max_file_size オプションを設定します。このオプションは ftp.cmd, ftp.xfer, and httpd.log ファイルを含めた/etc/lofiles ディレクトリの HTTP と FTP ログインファ
イルの最大のログファイルサイズを指定します。デフォルトではこのオプションは 512 キロ
バイトです。
手順
1. 次のコマンドを入力します。
options ftpd.log.filesize bytes
bytes は HTTP サーバのログファイルの最大サイズです。
Data ONTAPのビルドインHTTPサーバのテスト
Data ONTAP のビルトイン HTTP サーバが機能しているか確認するには、HTTP サーバのル
ート ディレクトリに HTML ファイルをコピーして、そのファイルに Web ブラウザからアク
セスします。Web ブラウザから HTTP サーバのルート ディレクトリ(または HTTP サーバの
ルート ディレクトリのサブディレクトリ)に直接アクセスすることもできます。
手順
1. HTTP サーバのルートディレクトリに HTML ファイルをコピーします。
2. 別のストレージシステムで動作している Web ブラウザから、HTTP サーバのルートディ
レクトリにコピーされたファイルにアクセスします。.
URL は、 http://www.hostname.com/myfile.html です。hostname は、ストレージシス
テムのホスト名、myfile.html は HTTP サーバのルートディレクトリへコピーしたファイル
の名前です。ファイルの内容が表示されます。
3. 別のクライアントで動作している実行されている Web ブラウザーから直接 HTTP サーバ
のルートディレクトリ(または HTTP サーバのルートディレクトリのサブディレクトリ)
へアクセスします。
URL http://www.hostname.com です。hostname は、ストレージシステムのホスト名で
す。HTTP サーバは指定されたディレクトリ内の以下のファイルを次の順番で検索しま
す。:
a. index.html
b. default.htm
c. index.htm
d. default.html
どのファイルも存在しない場合は、ストレージ システムはそのディレクトリの一覧を自動
的に HTML 形式で生成するか(httpd.autoindex.enable オプションが on の場合)、また
はエラー コード「403」(禁止)を返します(httpd.autoindex.enable オプションが off の場合)。httpd.autoindex.enable オプションの詳細については、na_options(1)のマニュア
ル ページを参照してください。
Data ONTAPのビルドインHTTPサーバでのMIMEコンテンツタイプとファイル名拡張子のマッピング方法
の指定
Data ONTAP のビルトイン HTTP サーバでの Multipurpose Internet Mail Extensions(MIME)コンテンツ タイプとファイル名拡張子の マッピング方法を指定するには、
/etc/httpd.mimetypes ファイルを作成または編集します。/etc/httpd.mimetypes ファイルが見つ
からない場合、HTTP サーバでは/etc/httpd.mimetypes.sample ファイル内のマッピングが使用
されます。詳細については、na_httpd.mimetypes(5)のマニュアル ページを参照してください。
タスク概要
Web ブラウザでは、MIME コンテンツ タイプに従ってファイルを解釈します。たとえば、フ
ァイルの MIME コンテンツ タイプがイメージ タイプの場合、Web ブラウザは画像プログラ
ムを使用して、ファイルをイメージとしてレンダリングします。
メモ: MIME について詳しくは RFC 1521 を参照してください。
手順
1. /etc/httpd.mimetypes ファイルのエントリ形式は次のとおりです。入力項目は次の形式で
す:
# An optional comment.
suffixContent-Type
suffix は、MIME コンテンツ タイプをマッピングするファイル名の拡張子です。
Content-Type は、MIME コンテンツタイプです。MIME コンテンツタイプの値の最初のフ
ィールドは、ファイルに含まれている一般的なデータのタイプについて記述しており、2 番目のフィールドはデータのサブタイプについて記述しています。このデータのサブタイ
プは、データが保存される特定の形式を示しています。
ポンド記号(#)のあとのテキストは、コメントです。ファイル名のサフィックスでは大
文字と小文字は区別されません。
例 /image/pict MIME コンテンツ タイプとファイル名拡張子が.pct および.pict であるファイルをマッ
ピングするには、/etc/httpd.mimetypes ファイルに次のエントリを追加します。 # My clients’ browsers can now use # PICT graphics files.
HTTP を使用したファイルアクセス| 311
pct image/pict pict image/pict
このエントリが適切に設定されている場合は、Web ブラウザによって画像プログラムがヘルパ
ー アプリケーションとして開始され、.pct および.pict ファイルを画像ファイルとして表示できるよ
うになります。
Data ONTAPのビルドインHTTPサーバでのHTTP要求の変換方法の指定
Data ONTAP のビルトイン HTTP サーバでの HTTP 要求への応答方法を指定するには、
/etc/httpd.translations 構成ファイルに map、redirect、pass、または fail 変換ルールを追加し
ます。
次のトピックス
Data ONTAP のビルドイン HTTP サーバでの交換ファイルの動作 マッピングルールの追加 リダイレクトルールの追加 許可ルールの追加 拒否ルールの追加
Data ONTAPのビルドインHTTPサーバでの交換ファイルの動作
Data ONTAP ビルドイン HTTP サーバでは、/etc/httpd.translations のファイルに記述されたル
ールが、記述されている順序で処理され、URL がテンプレートと一致した場合にそのルール
が適用されます。最初に一致したあとは、HTTP サーバは残りのルールの処理は中止されます。
/etc/httpd.translations ファイルに追加されたマップ、リダイレクト、およびパス ルールの
template および result フィールドでは、ワイルドカード文字としてアスタリスク(*)を使用
できます。
template フィールド内のワイルドカード文字は、スラッシュ(/)を含むゼロ文字以上の文字
と一致します。
result フィールド内のワイルドカード文字は、template フィールドの一致部分から展開された
文字列を表します。ワイルドカードを template フィールドで使用している場合のみ、resultフィールドにワイルドカード文字を使用できます。
複数のワイルドカード文字を使用する場合の対応は、result フィールド内の最初のワイルドカ
ードが template フィールド内の最初のワイルドカード、result フィールド内の 2 番目のワイ
ルドカードが template フィールド内の 2 番目のワイルドカード、となります。
星印(*)をテンプレートの中でのワイルドカードとして使い、マップの結果の欄、転送とパス
する規則を /etc/httpd.translations へ追加します。
マッピングルールの追加
HTTP サーバが URL を別の場所にマッピングするように指定するには、/etc/httpd.translations
ファイルにマッピング ルールを追加します。
手順
1. /etc/httpd.translations ファイルをテキストエディターで開きます。
2. 以下のエントリを追加します。
map template result
template は別の場所にマッピングする URL のコンポーネントです(/image-bin/graphics/
など)。result は、新しい場所です。
3. ファイルを保存します。
例 /image-bin コンポーネントを含む URL を/usr/local/http/images ディレクトリにマッピングするに
は、/etc/httpd.translations ファイルに次のマッピングルールを追加します。 map /image-bin/* /usr/local/http/images/*
リダイレクトルールの追加
リダイレクトルールを /etc/httpd.translations ファイルへ追加して HTTP サーバが特定のコン
ポーネントを含む URL を新しい場所にリダイレクトします。
手順
1. /etc/httpd.translations ファイルをテキストエディタで開きます。
2. 次の入力項目を追加します。
redirect template result
template はリダイレクトする URL のコンポーネント、result は新しい場所です。
メモ: リダイレクト ルールの result フィールドは、http://およびホスト名で始まる完全な
URL で指定する必要があります。
3. ファイルを保存します。
例 Common Gateway Interface(CGI )要求を HTTP サーバ cgi-host にリダイレクトするには、e /etc/httpd.translations ファイルに次のエントリを追加します。 redirect /cgi-bin/* http://cgi-host/*
許可ルールの追加
HTTP サーバが特定のルールをそのまま処理し、それ以外のルールを無視するように指定する
には、/etc/httpd.translations ファイルに許可エントリを追加します。
手順
1. /etc/httpd.translations ファイルをテキストエディターで開きます。
HTTP を使用したファイルアクセス| 313
2. 次の入力項目を追加します。
pass template [result]
template は、URL のコンポーネントです。
result は、HTTP サーバが URL をリダイレクトするあて先(オプション)です。
3. ファイルを保存します。
例 /image-bin を含む URL に対する要求をそのまま処理するには、/etc/httpd.translations ファイ
ルに許可エントリを追加します。 pass /image-bin/*
拒否ルールの追加
HTTP サーバが特定のコンポーネントを含む URL へのアクセスを拒否するように指定するに
は、/etc/httpd.translations ファイルに拒否ルールを追加します。
手順
1. /etc/httpd.translations ファイルをテキストエディターで開きます。
2. 次の入力項目を追加します。
fail template
template は HTTP サーバがアクセスを拒否する URL のコンポーネントです。
3. ファイルを保存します。
例 /usr/forbidden ディレクトリへのアクセスを拒否するには、/etc/httpd.translations ファイルに次
のエントリを追加します。 fail /usr/forbidden/*
MIMEコンテンツタイプの値の設定
クライアントから get 要求への応答があるたびに適切な MIME コンテンツタイプの値を送信するよう
にストレージ システムを設定するには、/etc/httpd.mimetypes ファイル内の情報に応じ
て、.gif、.html、.mpg などのファイル名のサフィックスをマッピングします。
タスク概要
ファイルの Multipurpose Internet Mail Extensions(MIME)コンテンツタイプの値によって、クライア
ント上のブラウザにファイルの解釈方法が通知されます。たとえば、MIME コンテンツタイプの値が
そのファイルが画像ファイルであることを示しているとき、クライアントが正しく設定されていれば、ブ
ラウザは画像プログラムを使用して画像をレンダリングできます。
MIME の詳細については、RFC 1521 を参照してください。
手順
1. /etc/httpd.mimetypes ファイルへの入力を編集します。
エントリは次の形式に従っています。
# An optional comment.
suffixContent-Type
#記号が先頭についている行はコメントです。ファイル名のサフィックスでは大文字と小
文字が区別されません。
例 # My clients’ browsers can now use # PICT graphics files. pct image/pict pict image/pict
サンプルのエントリでは、ファイル名が.pct または.pict で終わるファイルが、image/pict の MIME コンテンツタイプの値にマッピングされます。コンテンツタイプの値の最初のフィールドは、ファイル
に含まれている一般的なデータのタイプについて記述しており、2 番目のフィールドはデータのサ
ブタイプについて記述しています。このデータのサブタイプは、データが保存される特定の形式を
示しています。クライアント上のブラウザで画像プログラムをヘルパー アプリケーションとして開始
するように設定されている場合は、file.pict という名前のファイルがクライアント上で画像ファ
イルとして表示されます。
Data ONTAPのビルドインHTTPサーバのセキュリティーの維持
Data ONTAP のビルトインHTTP サーバのセキュリティを維持するには、HTTP オプションを使用し
てアクセスを制限し、HTTP 仮想ファイアウォールを使用し、ユーザ認証によってWeb ページを保護
し、HTTP TRACE メソッドのサポートを無効にします。
次のトピックス
HTTP オプションを使用したアクセス制限 HTTP 仮想ファイアウォールの使用 Web のページの保護 HTTP 仮想ホスティングの設定
HTTPオプションを使用したアクセス制限
HTTP オプションでは、指定のホストからと指定のインターフェースからの HTTP サービスへのアクセ
スが制限されます。
次のオプションを使用して HTTP アクセスを制限できます。
• httpd.access—HTTP サービスへのアクセスを制限する。
HTTP を使用したファイルアクセス| 315
• httpd.admin.access—HTTP(FilerView)経由でのストレージシステム管理へのアクセスを制限
する。
1 つ以上のホストであるいはネットワークのインターフェースでアクセスを制限する。詳しくは
options(1)マニュアルページを参照してください。
メモ:httpd.admin.access オプションが設定されていれば、 HTTP 管理については the trusted.hosts オプションは無視されます。
• httpd.method.trace.enable—HTTP TRACE メソッドのサポートを有効化または無効化します。
デフォルトでは、このオプションは Off です。HTTP TRACE 方式を使用すると、HTTP クライアン
トはデバッグ目的で要求チェーンの相手側が受信している内容を知ることができます。(詳細につ
いては RFC2616 を参照)。ただし、攻撃者が HTTP TRACE 方式とブラウザのクロスとメイン脆
弱性を利用して、サードパーティのドメインの重要なヘッダー情報を読み取る可能性があります。
詳しくは、http://www.cert.org/ にある United States Computer Emergency Readiness Team Vulnerability Notes Database の Vulnerability Note 867593 を参照してください。
• httpd.admin.top-page.authentication—重要な FilerView 管理 Web ページでユーザ認証を要
求するかどうかを指定します。デフォルトではこのオプションは on です。
例 次の例では、ホスト Host1 のみがインターフェース e3 を経由してストレージシステム Filer1 上の
HTTPD サービスへのアクセスを許可されます: Filer1> options httpd.access host=Host1 AND if=e3
次の例ではホスト Host1 が、ストレージシステム Filer1 への FilerView アクセスを拒否されます。 Filer1> options httpd.admin.access host!=Host1
HTTP仮想ファイアウォールの使用
HTTP の仮想なファイアウォールは、HTTP 要求を受信するサブネットのインターフェースからの
HTTP アクセスを制限することによって、ストレージシステムへセキュリティーを実現します。
サブネット インターフェイスを信頼されないものとしてマークすることによって、HTTP アクセスを制限
します。信頼されないサブネット インターフェイスでは、ストレージ システムへの読み取り専用の
HTTP アクセスのみ行うことができます。デフォルトでは、サブネット インターフェイスは信頼されてい
ます。
次のすべての条件が当てはまる場合は、サブネット インターフェイスを信頼されないものとしてマーク
します。
• HTTP 要求のために、そのインターフェースが提供される場合 • HTTP 以外のプロトコルによる要求を許可しない場合 • そのインターフェース経由でのストレージシステムへのアクセスを読み取り専用のアクセ
スに制限する場合
手順
1. 次のコマンドを入力します。
ifconfig interface_name [trusted | untrusted]
interface_name は信頼性の有無を設定する特定のインターフェースです。
untrusted を使用すると HTTP アクセスが制限され、trusted を使用すると完全な HTTP アクセス
が許可されます。
例 この例では、f0 のインターフェースが信頼されていないものとしてマークされます。 ifconfig f0 untrusted
Webのページの保護
HTTP アクセスを制限できることから、許可されていないユーザからのアクセスを制限することで
Web ページを保護できます。この方法では、指定したユーザまたはグループのみがその Web ペー
ジを含むディレクトリにアクセスできます。
Data ONTAP には、HTTP アクセスの認証を行う次の 2 つの方法があります。
• Basic • NTLM
使用する認証方法は、/etc/httpd.access ファイルで指定します。1 つのストレージ システム上に両方
の認証方法を存在させることもできますが、HTTP サブツリーの 1 つのディレクトリに指定できる認証
方法は 1 つだけです。
次のトピックス
ベーシック認証 NTLM 認証 /etc/httpd.access ファイルの編集 httpd.passwd ファイルの作成と編集 httpd.group ファイルの作成と編集
ベーシック認証
HTTP サービスの認証を設定するには、/etc/httpd.access、/etc/httpd.passwd、および
/etc/httpd.group の 3 つの構成ファイルを使用します。
/etc/httpd.access ファイルには、認証方法、アクセスを制限するディレクトリ、これらのディレクトリへ
のアクセスが認証されているユーザおよびグループのリストが含まれています。
/etc/httpd.passwd ファイルには、/etc/httpd.access ファイルで指定されたユーザが
/etc/httpd.access ファイルで指定されたディレクトリへのアクセスを取得するために使用するパスワ
ードが、暗号化形式で含まれています。/etc/httpd.passwd ファイルの形式は、/etc/passwd ファイル
で使用される形式と同じです。
/etc/httpd.group ファイルには、/etc/httpd.access ファイルに指定されているディレクトリにアクセスす
ることを許可されたグループおよび各グループのメンバーのユーザ ID が含まれています。
/etc/httpd.group ファイルの形式は、/etc/group ファイルで使用される形式と同じです。
HTTP を使用したファイルアクセス| 317
NTLM認証
ディレクトリについては、ベーシック認証の代わりに Windows ドメイン認証を使用できます。Data ONTAP では、ドメイン コントローラ(DC)を使用して、Web ページを含むディレクトリへのユーザのア
クセスを認証します。
ドメイン コントローラによるユーザ認証を行うディレクトリを、/etc/httpd.access ファイルで指定する必
要があります。
NTLM 認証が設定されているディレクトリにアクセスするユーザは、ユーザ名を使用してドメインを指
定する必要があります。ドメインが指定されていない場合、ストレージ システムのドメインがデフォルト
としてみなされます。ユーザは次の 2 つの形式のいずれかでドメインを指定できます。
• user_name@domain_name • domain_name\user_name
メモ:HTTP アクセスのために NTLM 認証を使用するには、ストレージシステムで CIFSが実行されている必要があります。
/etc/http.passwd ファイルと/etc/http.group ファイルで情報を管理する必要がないため、ユーザ管理
を一元化できます。また、ブラウザとして Internet Explorer(IE)を使用する場合は、ユーザ名および
パスワードが平文で送信されないため、NTLM 認証はより安全なユーザ認証方法となります。
メモ:Netscape browser 系はユーザ名とパスワードを平文で送信するため、NTLM に対し
セキュリティー上の利点がありません。
/etc/httpd.accessファイルの編集
/etc/httpd.access ファイルには、各ディレクトリへのアクセスおよびディレクトリの見かけを制御するオ
プションが含まれています。
ストレージ システムでは、次のオプションがサポートされています。
Directory---保護するディレクトリを指定します。ディレクトリ オプションには他のすべて
のオプションが含まれます。 • AuthName—ユーザがディレクトリにアクセスしようとする場合に、ブラウザのパスワー
ド ダイアログ ボックス内でディレクトリ名の代わりに表示されるディレクトリのエイリ
アスを指定します。 • require user—ディレクトリにアクセスできるユーザを指定します。 • require group—ディレクトリにアクセスできるグループを指定します。
メモ: オプション require user および require group は、ベーシック認証の場合のみ必要です。
/etc/httpd.access ファイル内の各ディレクトリのオプション情報は、次の形式で指定します。
<Directory directory>
option ...
</Directory>
directory は、許可されたアクセスを可能にする特定のディレクトリツリー名です。
手順
1. /etc/httpd.access ファイルを開いて編集します。
2. 次の行で保護するディレクトリ ツリーを指定します:
<Directory directory>
directory は保護するディレクトリ ツリーです。
3. /etc/httpd.passwd および /etc/httpd.group ファイルを使用してベーシック認証を設定して
いる場合は、次の行でディレクトリのエイリアスを指定します。
AuthName title_phrase
title_phrase は、そのディレクトリにアクセスしようとした場合に、ブラウザのパスワード ダイアロ
グ ボックス内にディレクトリ名の代わりに表示される、ユーザ指定の任意の文字列です。この名
前にはスペースを含めることができます。例:
AuthName Secured Area
4. NTLM 認証を設定している場合は、正確に次のように指定します。
AuthName Windows(tm) Authentication
5. 次の行で、ディレクトリにアクセスできるユーザを指定します。
require user user_id[, user_id, ...]
user_id はディレクトリにアクセスできる各ユーザのユーザ ID です。
6. 次の行で、ディレクトリへアクセスできるグループ指定します。
require group group_id[, group_id, ...
group_id は、ディレクトリへアクセスできる各グループの特定のグループ ID です。
7. 次の行を入力して、そのディレクトリのオプションまたはオプションの一覧を終了します。
</Directory>
8. ファイルを保存します。
例 次の例では、/etc/httpd.access ファイル内の複数の Directory オプションを使用して、ベーシック認証または
NTLM 認証のいずれかをストレージ システム上で指定する方法を示します。 <Directory /vol/vol0/web1> AuthName Windows(tm) Authentication </Directory> <Directory /vol/vol0/web2> AuthName Web2 directory require user test1 require group testg1 </Directory> <Directory /vol/vol0/web3> AuthName Windows(tm) Authentication </Directory> <Directory /vol/vol0/web4> AuthName Web4 directory
HTTP を使用したファイルアクセス| 319
require user test2 </Directory> この例では、web1 および web3 で NTLM 認証を使用し、web2 および web4 でベーシック認証を使用していま
す。web2 へのアクセスは、ユーザ test1 およびグループ testg1 のメンバーに限定され、web4 へのアクセスはユ
ーザ test2 に限定されます。
httpd.passwdファイルの作成と編集
/etc/httpd.passwd ファイルには、/etc/httpd.access ファイルに記述されているユーザの暗号化され
たパスワードが含まれています。このファイルは、ベーシック認証を使用してユーザを認証する場合に
のみ必要です。
ユーザ認証にユーザ名およびパスワードを使用する HTTP サーバがある場合は、そこからユーザ
ID および暗号化されたパスワードをコピーします。/etc/httpd.passwd ファイルを編集して、アクセス
を許可しないユーザを削除する必要があります。
HTTP サーバが使用できない場合は、UNIX サーバから既存の/etc/passwd ファイルをコピーし、
/etc/httpd.passwd ファイルとしてストレージ システムに保存します。
手順
1. /etc/httpd.passwd ファイルを開きます。
2. /etc/httpd.access ファイルに指定されている、ディレクトリへのアクセスを許可しないユ
ーザの ID および暗号化されたパスワードを削除します。
3. 編集内容を保存します。
httpd.groupファイルの作成と編集
/etc/httpd.group ファイルには、グループ名、およびこれらのグループに属しているユーザ名が含ま
れています。このファイルは、ベーシック認証を使用してユーザを認証する場合にのみ必要です。
ユーザのグループを認証する HTTP サーバがある場合は、グループ名およびユーザ ID をその
HTTP サーバからコピーします。/etc/httpd.group ファイルを編集して、アクセスを許可しないグルー
プを削除する必要があります。
HTTP サーバが使用できない場合は、UNIX サーバから既存の/etc/group ファイルをコピーし、 /etc/httpd.group ファイルとしてストレージ システムに保存します。
手順
1. /etc/httpd.group ファイルで, 次の行を編集します。
group_id:user_id [, user_id, ...]
同様の一覧を持っているサーバから一覧がコピーされます。
2. グループまたはユーザを、追加または削除します。グループとユーザの情報の一覧が、次
の形式で表示されます。
group_id: user_id[user_id ...]
group_id はグループ名、user_id はグループに属している各ユーザの名前です。
3. ファイルを保存します。
HTTP仮想ホスティングの設定
Data ONTAP 7.3 以降のリリース版では、物理インターフェースへエイリアス IP アドレスを加えること
で HTTP 仮想ホスティングを設定できます。 Data ONTAP はこの目的のために vh インターフェース
は使いません。
手順
1. 次のコマンドを入力して HTTP を有効にします。
options httpd.enable on
2. 次のコマンドを入力することで、HTTP 仮想ホスティングに使う予定の物理インターフェ
ースへ 1 つ以上のエイリアス IP アドレスを追加します。
ifconfig physical_interface_name [IP_address_family] alias IP_address
例
192.225.37.102 のエイリアス IP アドレス ( IPv6 アドレス)を e0a 物理インターフェースへ
加えるには次のコマンドを入力します:
ifconfig e0a alias 192.225.37.102
詳しくは、na_ifconfig(1)マニュアルページを参照。
3. 手順 2 で指定したエイリアス IP アドレスを HTTP ルートディレクトリの 1 つ以上のサブ
ディレクトリへマップする/etc/httpd.hostprefixes ファイルへ入力を追加します。
HTTP のルートディレクトリを決めるためには、httpd.rootdir オプションの値を調べます。
例
fd20:81be:b255:4136::a48:8a5f のエイリアス IP アドレスをサブディレクトリ /httpdir1 へ
マップするには、 次の入力を /etc/httpd.hostprefixes ファイルへ加えます。
/httpdir1 192.225.37.102
4. 手順 2 と手順 3でそれぞれ作ってマップしたエイリアス IP アドレスへ接続するために
HTTP クライアントを使うことで HTTP 仮想ホスティングを試します。
Data ONTAPビルドインHTTPサーバの統計の表示
httpstat コマンドを使用すると、Data ONTAP ビルドイン HTTP サーバの動作について 5 種類の統
計を表示できます。
タスク概要
5 種類の統計は、次のとおりです。
• 要求
HTTP を使用したファイルアクセス| 321
• 詳細 • エラー • サービス • タイムアウト
手順
1. 次のコマンドを入力します。
httpstat [-dersta]
- d -- 詳細統計値の表示
- e -- エラー統計値の表示
- r -- 要求統計の表示
- s -- サービス統計の表示
- t -- タイムアウト統計の表示
- a – すべての HTTP の統計の表示
引数を使用しない場合は、httpstat によって HTTP 要求統計が表示されます。
httpstat コマンドの詳細については、httpstat(1)のマニュアル ページを参照してください。
次のトピックス
要求統計
詳細統計
エラー統計
サービス統計
タイムアウト統計
要求統計
要求の統計値を指定すると、次の統計が表示されます。
統計値のラベル 説明
Accept ストレージ システムによって許可された新しい接続の数
Reuse 既存の接続で受信された新しい要求の数
Response 送信された返答の数
InBytes すべての受信要求で受信されたバイト数
OutBytes 送信されたバイト数のうち、すべてのHTTP ヘッダーを含み、サーブレットによって生成されたデ
ータを含まないバイト数
詳細統計
詳細統計を指定すると、次の統計が表示されます。
統計値のラベル 説明
Get 受信されたファイルへの要求数
Head 受信されたファイル情報の要求数
Redirect 別のファイルへリダイレクトされた要求の数
NotMod 要求されたファイルが変更されていないことがクライアント(ブラウザ)に通知された回数
Post 受信された POST 要求の数
Put 受信された PUT 要求の数
Servlet 受信されたサーブレット要求の数
エラー統計
エラー統計を指定すると、次の統計が表示されます。
統計値のラベル 説明
Errors 返された HTTPプロトコルのエラー返答の数
BadReq 受信された認識されない要求の数
LogDiscard ログがいっぱいになったために破棄されたログエントリの数
UnAuth 許可情報の不足のために拒否された要求の数
RcvErr 入力ソケット上のエラーにより中止された要求の数
サービス統計
サービス統計を指定すると、次の統計が表示されます。
統計値のラベル 説明
Open 現在開かれている接続数
Peak これまでに成功した最大の接続数
Waits 許可されたが、接続処理を待機している現在の接続数
タイムアウト統計
タイムアウト統計を指定すると、次の統計が表示されます。
統計値のラベル 説明
Pending
ネットワーク接続の開始後、ストレージ システムにデータが送信される前に再要 求された接続処理の数
HTTP を使用したファイルアクセス| 323
統計値のラベル 説明
Active
ネットワーク接続が開始され、要求の一部が送信されたあと、完全な要求を受信
する前に再要求された接続処理の数
Idle
完全な要求が受信されたあと、開いている接続が別の要求を受信できるようにな
る前に再要求された接続の数
Data ONTAPのビルドインHTTPサーバの統計のリセット
Data ONTAP のビルトイン HTTP サーバの統計をリセットするには、httpstat -z コマンドを使用しま
す。
手順
1. 次のコマンドを入力します。
httpstat -z[derta]
- zd -- 詳細統計の表示
- ze -- エラー統計の表示
- zr -- 要求統計の表示
- zt -- タイムアウト統計の表示
- za -- サービスの統計を除くすべての HTTP 統計の表示
メモ:サービス統計はリセットできません。
httpstat コマンドの詳細は httpstat(1) マニュアルページを参照してください。
Data ONTAPのビルドインHTTPサーバの接続情報の表示
Data ONTAP のビルトイン HTTP サーバによって確立された接続ごとに、/etc/log/httpd.log ファイルに格納されたさまざまな種類の情報を表示することができます。
手順
1. MFS または CIFS クライアントから、 ストレージシステムのデフォルトボリューム(デ
フォルトでは/vol/vol0)の/etc/log ディレクトリへアクセスします。
2. テキスト ビューアまたはテキストエディタを使用して、httpd.log ファイルを開いて表示
します。
3. ログファイルを閉じて表示を終了します。
結果
Data ONTAP は次のタイプの情報を表示します:
• HTTP クライアントの IP アドレス
• 要求を行う許可ユーザの名前。ページが保護されていれば Data ONTAP は /etc/httpd.passwd ファイルから取得した許可された名前の一覧が示されます。 ページが保
護されていない場合は、名前の代わりにダッシュ記号が示されます。 • 接続の時間--- dd/mm/yy:hh:mm:ss の形式の Greenwich Mean Time(GMT) • 接続ホストからの要求行。たとえば、 get /my_company.html などです。 • サーバによって返されるステータスコード。HTTP1.0 仕様によって定義されています。 • ストレージシステムから返答で送信された合計バイト数。MIME ヘッダーは含まれません。
例 192.9.77.2 - - [26/Aug/2003:16:45:50] "GET /top.html" 200 1189 192.9.77.2 - - [26/Aug/2003:16:45:50] "GET /header.html" 200 531 192.7.15.6 - - [26/Aug/2003:16:45:51] "GET /logo.gif" 200 1763 198.9.200.2 - - [26/Aug/2003:16:45:57] "GET /task/top.html" 200 334 192.9.20.5 authuser [26/Aug/2003:16:45:57] "GET /task/head.html" 200 519
/etc/log/httpd.logファイル形式の変更
/etc/log/httpd.log ファイルのデフォルト形式は、アクセスされた HTTP クライアントの IP アドレスとア
クセスやHTTPパスを示しますが、アクセスされた仮想ホストは示しません。/etc/log/httpd.log ファイ
ルの形式を変更して、HTTP メッセージを仮想ホストごとに区別するには、httpd.log.format オプション
を設定します。
手順
1. 次のコマンドを入力します。
options httpd.log.format alt1
ログ形式の設定を復元するには、このオプションを alt1 からデフォルト値 common へ変更します。
サードパーティ製 HTTP サーバの購入とストレージシステムへの接続
Data ONTAP のビルトイン HTTP サーバの制限を回避するには、サードパーティ製 HTTP サーバを
購入して、ストレージ システムに接続します。
タスク概要
Data ONTAP ビルドイン HTTP サーバは、次の制限があります。
• セキュア HTTP(HTTPS)をサポートしない • 複数の HTTP ルートディレクトリをサポートしない • スクリプトをサポートしない(HTTP がサポートしているのはファイル処理のみ) • 多数の小さなファイルに多数のファイル処理を行う場合、スケーラビリティおよびパフォ
ーマンスの問題が生じる
手順
HTTP を使用したファイルアクセス| 325
1. サードパーティ製の HTTP サーバを購入します。
2. サードパーティ製の HTTP サーバを NFS プロトコルを使用してストレージシステムへ接
続します。
詳細については、サードパーティ製HTTPサーバに付属のマニュアルを参照してください。
326 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
WebDAV を使用したファイルアクセス
Web-based Distributed Authoring and Versioning(WebDAV)との相互接続が可能なコラボレーテ
ィブ アプリケーションをユーザが使用できるようにするには、WebDAV プロトコルを既存の HTTP サービスに追加します。または、サードパーティ製 WebDAV サーバを購入して、ストレージ システムに
接続します。
メモ: HTTP 用のライセンスを購入している場合のみ、ストレージ システムの WebDAV プロ
トコルを拡張 HTTP として使用できます。Data ONTAP の将来のバージョンでは、WebDAV を HTTP とともに使用するには WebDAV ライセンス キーの使用が必要になる場合がありま
す。
次のトピックス
WebDAV の概要 Data ONTAP ビルドイン WebDAV サーバの管理 サードパーティ製 WebDAV サーバの購入とストレージストレージシステムへの接続
WebDAV の概要
WebDAV プロトコルは、ユーザのニーズをサポートしながら、分散 Web オーサリング ツールの広範
な相互運用を可能にする HTTP 拡張を定義します。WebDAV を使用することにより、HTTP ディレク
トリを作成できます。
WebDAV プロトコルは、広範なコラボレーティブ アプリケーションによりリモート ソフトウェア開発チー
ムをサポートします。WebDAV は HTTP の能力を強化し、広範なストレージ レポジトリの標準アクセ
ス レイヤとして機能します。HTTP は読み取りアクセス権を付与し、WebDAV は書き込みアクセス権
を付与します。
WebDAV プロトコルの主要機能を次に示します。
• ロッキング。長期の排他的な共有書き込みロックにより、最初に変更をマージすることな
く複数の共同作業者が同じリソースに書き込むのを防ぎます。ネットワーク接続を任意に
切断できるインターネット規模でのコラボレーションを堅固なものにするため、スケーラ
ビリティを達成するため、そして各オープン接続がサーバ リソースを消費するため、
DAV ロックの期間は、個々のネットワーク接続から独立しています。 • プロパティ。XML プロパティは、Web リソース上の著者のリストなど任意のメタデータ
のストレージを提供します。プロパティは DAV プロトコルを使用して効率的に、設定、
削除、および検索を行うことができます。DAV Searching and Locating(DASL)プロト
コルは、XML プロパティの値に基づき Web リソースの検索を行うことができます。 • 名前空間の操作。Web の進化に伴いリソースをコピーまたは移動させる必要がでてくる
可能性があるため、DAV はコピーおよび移動操作をサポートします。コレクション(フ
ァイルシステム ディレクトリに似たもの)を作成して、一覧表示することができます。
WebDAV を使用したファイルアクセス| 327
• HTTP 機能のサポート。 Data ONTAP WebDAV の実装は、リダイレクト規則、認証、ア
クセス制限のような HTTP 構成設定をサポートします。WebDAV を使用するには、HTTPサービスを有効化して設定する必要があります。
• CIFS 機能のサポート。有効な CIFS および HTTP ライセンスを持っており、WebDAV を有効化している場合には、Data ONTAP WebDAV 実装は CIFS ホーム ディレクトリをサ
ポートします。
Data ONTAP ビルドイン WebDAV サーバの管理
Data ONTAP'ビルドイン WebDAV サーバには WebDAV のプロトコルを有効化または無効化して
WebDAV のクライアントからホームディレクトリを参照します。
次のトピックス
Data ONTAP ビルドイン WebDAV サーバの有効化と無効化
WebDAV クライアントからのホームディレクトリの参照
Data ONTAPビルドインWebDAVサーバの有効化と無効化
Data ONTAP ビルドイン WebDAV サーバを有効化または無効化するには webdav.enable オプショ
ンを on または off にそれぞれ設定します。デフォルトではこのオプションは OFF です。
始める前に
Data ONTAP ビルドイン WebDAV サーバを有効化できる前に Data ONTAP ビルドイン HTTP サー
バを有効化してください。Data ONTAP ビルドイン WebDAV サーバは、リダイレクト規則、認証、およ
びアクセス制限のような HTTP コンフィグレーション設定をサポートします。
さらに、Data ONTAP ビルドイン WebDAV サーバは有効な CIFS を持ち CIFS のディレクトリを有効
化してコンフィグしていれば CIFS のホームディレクトリをサポートします。
手順
1. 次のいずれかの操作を実行します。
WebDAV の設定 操作
有効にする場合 次のコマンドを入力します。 options webdav.enable on
無効にする場合
次のコマンドを入力します。 options webdav.enable off
WebDAVクライアントからのホームディレクトリの参照
ホーム ディレクトリを参照するように WebDAV クライアントを設定するには、WebDAV クライアントの
ナビゲーション フィールドに入力する URL に、チルダ(~)文字を付加します。
手順
1. WebDAV クライアントのナビゲーションフィールド(またはデフォルトのディレクトリ)
328 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
で次のシンタックスを持つ URL を入力します。
http://host[:port]/~
host は、ホスト名またはストレージシステムの IP アドレスです。
port は、ストレージシステムにアクセスしたいときに通るポートです。ティルダ(~)文字はユーザの
ホームディレクトリを指定します。
有効な WebDAV のホームディレクトリ URL の例 http://eng_filer.lab.company.com/~ http://10.120.83.104:80/~
サードパーティ製 WebDAV サーバの購入とストレージストレージシステムへの接続
Data ONTAP のビルトイン WebDAV サーバの制限を回避するには、サードパーティ製 WebDAV サ
ーバを購入して、ストレージ システムに接続します。
タスク概要
Data ONTAP ビルドイン WebDAV サーバには、次の制限があります。
• 2 バイトの Unicode 文字のみが含まれるプロパティ値をサポートします。2 バイトを超え
る Unicode の文字は正しく記録されません。 • 主要 WebDAV プロトコルのみをサポートします。副次的な WebDAV プロトコルはサポー
トされません。 • 仮想 IP アドレスのホームディレクトリ機能はサポートしません。仮想 IP アドレスをホス
トとして指定する URL は参照されません。
手順
1. サードパーティ製の WebDAV サーバを購入します。
2. サードパーティ製の WebDAV サーバを NFS プロトコルを介してストレージシステムに 接続します。
詳細については、サードパーティ製 WebDAV サーバに付属のマニュアルを参照してください。
システムメモリによる CIFS のリソース制限値| 329
システム メモリによる CIFS のリソース制限値
ストレージ システム モデルによる CIFS リソース制限値は、システム メモリに基づいた上限値のことで
す。ただし、これらは理論上の値です。実際の上限は理論値より低い値となり、ご使用の環境におけるシ
ステム構成に応じて異なります。
メモ: 次の表の数値は、ご使用のシステムのストレージ リソースの適正化には使用しないでくだ
さい。ご使用のストレージ システムでこれらのカテゴリの十分なリソースを取得できない場合
は、テクニカル サポートにお問い合わせください。
ストレージ システムが CIFS リソースに最大の値を割り当てる場合、システム メモリを 6 GB を超えて使
用することはありません。たとえば、32 GB のメモリを搭載したストレージ システムは、8 GB のメモリを
搭載したストレージ システムと比べてはるかに高いパフォーマンスを示しますが、両者の CIFS リソース
の制限値は同じになります。この方法で CIFS リソースの制限値を計算することで、システム メモリをス
トレージ容量と他のシステム リソースの調整に使用することができます。
ストレージ システム上のすべての vFiler ユニットは、同じ有限な CIFS リソース プールを使用します。
その結果、ストレージ システム上のすべての vFiler ユニットによって消費されるリソースの合計が、
システムのリソースの制限値を超えることはありません。
次のトピックス
FAS 60xx シリーズ ストレージシステムの制限 FAS 30xx および 31xx シリーズ ストレージ システムの制限 FAS 2040 シリーズ ストレージ システムの制限
FAS 60xx シリーズ ストレージシステムの制限
次の表に、FAS60xx シリーズのストレージシステムのアクセス制限を示します。
ストレージシステムメモリに
よる CIFS の制限 16 GB FAS6030 32 GB FAS6040 32 GB FAS6070 64 GB FAS6080
接続の最大数 96,000 96,000 96,000 96,000
共有の最大数 192,000 192,000 192,000 192,000
開いたファイルの最大数 1,920,000 1,920,000 1,920,000 1,920,000
ロックされるファイルの最大
数 2,116,608 2,116,608 2,116,608 2,116,608
ロックの最大数 4,233,216 4,233,216 4,233,216 4,233,216
FAS 30xx および 31xx シリーズ ストレージ システムの制限
次の表に、30xx および 31xx ストレージシステムのためのアクセス制限を示します。
330 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
ストレージシステムメモリに
よる CIFS の制限 16 GB FAS6030 32 GB FAS6040 32 GB FAS6070 64 GB FAS6080
接続の最大数 64,000 96,000 96,000 96,000
共有の最大数 128,000 192,000 192,000 192,000
開いたファイルの最大数 1,280,000 1,920,000 1,920,000 1,920,000
ロックされたファイルの最大
数 1,411,072 2,116,608 2,116,608 2,116,608
ロックの最大数 2,822,144 4,233,216 4,233,216 4,233,216
FAS 2040 シリーズ ストレージ システムの制限
ストレージシステムの接続、共有、共有接続、オープンファイル、ロックされたファイル、ロックには最
大数に制限があります。
ストレージシステムメモリによる CIFS の制限 4 GB FAS2040
接続の最大数 41,200
共有の最大数 82,400
開いたファイルの最大数 824,000
ロックされたファイルの最大数 910,016
ロックの最大数 1,820,032
イベントログとオーディットポリシー マッピング | 331
イベントログと監査ポリシーのマッピング
一部のイベント ログ ポリシーおよび監査グループ ポリシーは、Data ONTAP システムと Windows システムでは異なる方法で適用されます。
ストレージ システム上で Group Policy Object(GPO;グループ ポリシー オブジェクト)のサポートが
有効になっていると、Data ONTAP ではすべての関連する GPO を処理して適用します。関連するグ
ループ ポリシー設定のほとんどは、Data ONTAP および Windows システムを実行中のストレージ システムに同じ方法で適用されます。
ただし、イベント ログおよび監査(ローカル ポリシー)の 2 種類のポリシーは、基盤となるロギングお
よび監査のテクノロジが異なるため、ストレージ システムに異なる方法で適用されます。イベント ログ
GPO および監査 GPO は、対応する Data ONTAP オプションをマッピングして設定することで、スト
レージ システムに適用されます。オプションのマッピングの効果はイベント ログ設定および監査ポリ
シー設定とほぼ同等ですが、まったく同じではありません。
次の表に、対応する GPO の適用時に有効となる Data ONTAP のオプションを示します。オプション
の詳細については、options(1)のマニュアル ページを参照してください。
次のトピック
イベントログのマッピング値 監査のマッピング値
イベントログのマッピング値
次の表で、左側の列は適用されるイベント ログ ポリシー(必要に応じて設定と例)を、右側の列はその際
に有効となるData ONTAP のオプションを示しています。
ポリシー名 設定 Data ONTAP オプション
最大セキュリティ ログ サイズ
適用外 cifs.audit.logsize
セキュリティ ログの保存
方法 指定した日数を過ぎたら上書
きする cifs.audit.autosave.file.extension timestamp cifs.audit.autosave.file.limit 0 cifs.audit.autosave.onsize.threshold 100 cifs.audit.autosave.onsize.enable on cifs.audit.autosave.ontime.interval 7d cifs.audit.autosave.ontime.enable on cifs.audit.saveas /etc/log/adtlog.evt cifs.audit.enable on
セキュリティ ログの保存
方法 必要に応じてイベントの上書き
をする cifs.audit.autosave.file.extension timestamp cifs.audit.autosave.file.limit 1 cifs.audit.autosave.onsize.threshold 100 cifs.audit.autosave.onsize.enable on cifs.audit.autosave.ontime.enable off
332 | Data ONTAP 8.0 7 モード ファイルアクセスとプロトコルマネージメントマニュアル
ポリシー名 設定 Data ONTAP オプション
cifs.audit.saveas /etc/log/adtlog.evt cifs.audit.enable on
セキュリティ ログの保存
方法 イベントを上書きしない(手動
でログを消去) cifs.audit.autosave.file.extension timestamp cifs.audit.autosave.file.limit 0 cifs.audit.autosave.onsize.threshold 100 cifs.audit.autosave.onsize.enable on cifs.audit.autosave.ontime.enable off cifs.audit.saveas /etc/log/adtlog.evt cifs.audit.enable on
監査のマッピング値
次の表で、左側の列は適用される監査ポリシー(必要に応じて設定と例)を、右側の列はその際に有効と
なるData ONTAP のオプションを示します。
ポリシー名 設定 Data ONTAP オプション
監査 アカウントのログオン イベ
ント
監査 ログオン イベント
両方のポリシーとも定義されていますが
監査試行はどちらも設定しません。 cifs.audit.logon_events.enable off
監査 アカウントのログオン イベ
ント
監査 ログオン イベント
両方のポリシーとも定義されています。
成功と失敗のいずれか、またはその両
方に対する監査を有効にします。
cifs.audit.enable on cifs.audit.logon_events.enable on
監査 ディレクトリ サービス アク
セス
監査 オブジェクト アクセス
両方のポリシーとも定義されていますが
どちらも監査の実行を有効にしません。 cifs.audit.file_access_events.enable off
監査 ディレクトリ サービス アク
セス
監査 オブジェクト アクセス
両方のポリシーとも定義されています。
成功と失敗のいずれか、またはその両
方に対する監査を有効にします。
cifs.audit.enable on cifs.audit.file_access_events.enable on
その他の監査 ポリシーと
設定 マッピングは行われません。
用語集| 334
用語集
ACL Access Control List(アクセス制御リスト)の略。各シェアにユーザーかグループ
のアクセス権を含むリスト。
アダプタカード 拡張スロットに差し込む SCSI カード、ネットワークカード、ホットスワップアダプタカー
ド、シリアルアダプタカード、または VGAのアダプタ。
アドレス解決 LAN またはWAN 送信先のアドレスに対応するメディアアクセス制御(MAC)アドレスを
定める為の手順。
アドミニストレーション ホスト ストレージ システムの管理用システムセットアップ中に指定されるクライアント。 セット
アッププログラムは自動的にストレージ システムを構成して、このクライアントからの telnet と rsh 接続を受け入れ、/と/homeディレクトリをマウントするためのクライアント
に許可を与え、 このクライアントを 自動サポート メールメッセージを送るためのメール ホストとして使用します。常時 セットアップ プログラムの実行後、ストレージ システムを
他のクライアントと機能できるように構成できます。これはアドミニストレーション ホスト
と機能するのと同様です。
エージェント ステータスおよび診断情報を集めて、それを NMS に転送する Data ONTAPプロセ
ス。
アプライアンス よく定義された機能を行い、取付け作動し易い装置。
ATM Asynchronous Transfer Mode(非同期転送モード)の略。セルスイッチングと
多重化機能を結合して、信頼のある効率的なネットワークサービスを提供するネットワ
ークテクノロジー 。ATMは ワークステーションおよびルーターおよびネットワーク等の
デバイス間のインターフェースとして機能します。
認証 /etc/passwdファイルを使用してストレージ システム自体によってストレージ システム
のドメイン用のドメインコントローラにより実行されるセキュリティステップ。
自動サポート ストレージ システムに潜在的な問題があるとき、 カスタマ サイトからテクニカルサポ
ートまたは他の指定メール受信者にメールメッセージを送信するストレージ システム
のデーモン。
big-endian 最も有意なビットまたはバイトが最初に来るストレージと伝送用バイナリデータフォーマ
ット。
CIFS Common Internet File System の略。PC ネットワーク用プロトコル。
クライアント ストレージ システムにあるファイルを共有するコンピュータ。
クラスタ インターコネクト HA 構成内の 2 つのストレージ システムを繋ぎ合わせ、両方のシステムともに稼働し
ているときにハートビートとWAFL ログ情報が伝送されるケーブルとアダプタ
クラスタ 監視 HA 構成のストレージ システム関係を cf コマンドにより管理するソフトウェア。
335 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
コミュニティ ストレージ システム エージェントと通信するために SNMP マネージャーがパスワード
として使用する名前
コンソール ストレージ システムのシリアルポートに接続されている端末であり、ストレージ システ
ム操作 の監視と管理に使用する。
copy-on-write 余分なディスク領域を消費せずに Snapshot コピーを作成するテクニック。
衰退モード RAID アレイからディスクが欠落していたり NVRAMカードのバッテリー残が僅かなと
きの ストレージ システムの作動モード
ディスク ID 番号 ディスクを起動時に診断する際 ディスクごとにストレージ システムにより割当てられた
番号。
ディスク シェルフ ディスク ドライブ を格納し ストレージ システムに接続されたシェルフ。
エミュレート ストレージ システ
ム 承継ストレージ システムによりホストされている障害のあるストレージ システムのソフ
ト ウェア コピー。 エミュレートされた ストレージ システムはユーザーと管理者
には障害のある ストレージ システムの機能するバージョンのように見えます。例え
ば、 障害のあるストレージ システムと同じ名前を持ちます。
イーサネット アダプタ イーサネット用インターフェース カード
拡張カード ストレージ システム 拡張スロットにプラグインする SCSI カード、 NVRAMカード、ネッ
トワークカード、 ホットスワップカード、 または コンソールカード。
拡張スロット 拡張カードを差し込むためのシステムボード上のスロット。
障害のあるストレージ システ
ム 作動停止した 物理ストレージ システム。ギブバックが成功するまでは障害のあるスト
レージ システムにとどまります。
FDDI アダプタ Fiber Distributed Data Interface(FDDI) インターフェースカード。
FDDI ファイバ 光ファイバケーブルをサポートする FDDI アダプタ
FDDI-TP ツイストペアケーブルをサポートする FDDI アダプタ
FPolicy ファイルタイプ等のファイルプロパティに基づいてアクセスパミッションを制御する機能
を提供する Data ONTAP 独自のファイル ポリシー機能です。
GID グループ ID.
ギブバック 仮想ストレージ システムから障害のあるストレージ システムへアイデンティティーが戻
ること。これにより正常作動状態に戻ります。テークオーバーの逆を意味します。
グループ ストレージ システムの /etc/group ファイルで定義されたユーザーの グループ
HA 構成 一つのシステムが他方のシステムが作動していないことを検出でき、 実際に作動して
いない場合は障害のあるシステムにあるデータを処理できるストレージ システムペ
ア。DataONTAP ドキュメンテーションとその他情報源では、高可用性(HA)構成はとき
としてクラスタまたは HA ペアとも呼ばれます。
用語集| 336
ハートビート システムが作動中であることを示す、1 つのストレージ システムから他方へ送られる
反復する 信号。ハートビート情報はディスクに保存もされます。
ホットスペア ディスク 障害のあるディスク の替わりに使用できるストレージ システムにインストールされた ディスク。ディスク障害前には、 ホットスペア ディスクは RAID ディスク アレイには含ま
れていません。
ホットスワップ ストレージ システムの作動中に ディスクを追加、取外す、または、交換すること。
ホットスワップ アダプタ ファイル システムの動作中断を最小限できるハード ディスクの追加や取外しを可能に
する拡 張カード
inode ストレージ システムと UNIX フィあるシステムにあるファイルについての情報を格納し
ている データ構造。
中断スイッチ デバッグのために使用される、一部の ストレージ システム フロントパネルにあるスイ
ッチ。
LAN エミュレーション(LANE) ATM をネットワークトポロジ基盤として使用するエミュレート化 LAN を作成するアーキ
テクチャ、プロトコル、及びサービス。 LANE は ATMが接続されたエンドシステムが
他の LAN ベースシステムと交信できる ようにする。
ローカル ストレージ システム ユーザーがログイン中のストレージ システム
マジックディレクトリ 名前によりアクセス可能なディレクトリである一方、ディレクトリリストには現れないディ
レクトリです。 Snapshot コピー ディレクトリはマウントポイントまたはシェアのルートに
あるディレクトリを除いては、マジック ディレクトリです。
メールボックス ディスク システムの HA 構成ステート情報を格納するために使用されたストレージ システムご
とに所有された ディスクのセットの一種。仮にそのストレージシステムが動作停止する
と、承継システムが仮想ストレージ システムを構築するため メールボックスディスクの
情報を使用します。 メールボックス ディスクはファイル システム ディスクとしても使用
されます。
メールホスト 特定のストレージ システム イベント が発生すると自動的にメールをテクニカルサポー
トに送信することをになうクライアント ホスト。
メンテナンス モード システム起動ディスクから ストレージ システムを起動する際のオプション。メンテナン
ス モー ドはトラブルシューティング用ハードウェアと構成用に
特殊なコマンドを提供しています。
MIB Management Information Base(情報管理データベース)の略。エージェント
が NMS に転送する情報を記述する ASCII ファイル。
MIME Multipurpose Internet Mail Extensions の略。インターネット メッセージの本文フォー
マットを指定して記述するための仕組みを定義した仕様。MIME Content-Type ヘッダ
を含んでいる HTTP 応答信号は HTPクライアントが受信データに最適なアプリ
ケーションを起動できるようにしています。
MultiStore オプションのストレージ システム ソフトウェア製品。1つのストレージ システム のスト
レージとネットワーク リソースをパーティションできます。このためネットワークでは複
337 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
数の ストレージシステムとして現れます。
NDMP ネットワーク Network Data Management Protocol の略。ストレージ システムがバックアップ
アプリケーションと通信できるようにするプロトコルです。複数のテープバックアップデ
バイスの自働機能を制御する能力を提供します。
ネットワークアダプタ イーサネット、FDDI、または非同期伝送モード(ATM) アダプタ。
ネットワーク マネージメント ステーション NMS を参照してください。
NMS Network Management Station(ネットワーク管理ステーション)の略。A host on a ネットワーク 上のホストで他メーカー製ネットワーク管理用アプリケーション
(SNMP manager)を使用して ストレージ システムについてステータスと診断情報を処
理しています。
ノーマルモード HA 構成でテークオーバーが行われない場合のストレージ システムのステート。
ゼロユーザー アプリケーションがリモートデータへのアクセスに使用するWindows NT マシンアカウ
ント。
NVRAM キャッシュ ストレージ システムにある不揮発性 RAM。入ってくる書き込みデータと NFS 要求の
ロギング に使用されます。システム性能 を改善してストレージ システム障害または停電時にデータ損 失を防止します。
NVRAMカード ストレージ システムの NVRAM キャッシュを格納するアダプタカード
NVRAM ミラー パートナーストレージ システムに保存されたストレージ システム NVRAM(Nonvolatile Random Access Memory) の内容の、同期的に交信
された内容のコピー。
パニック ストレージ システムを停止させるような重大なエラー状態。Windows システム環境に
おけるソフトウェアクラッシュに同じです。
パリティー ディスク パリティー情報が RAID-4 ディスク ドライブアレイ用に保存されている ディスク。 障害のある ディスク ブロックまたは障害のあるディスクにあるデータ復元に使用します。
パートナー ローカル ストレージ システムの観点から見た、HA 構成にある他の ストレージ システ
ム
パートナー モード テークオーバー時に仮想 ストレージ システムによるコマンドライン インターフェースを
通して 通信を行うための方法。
PCI Peripheral Component Interconnect の略。最近のストレージ システム モデル
で使用されてきたバスアーキテクチャ。
pcnfsd PC が ストレージ システム ファイル システムをマウントすることを許可するストレージ システ ム デーモン。これに対応する PC クライアントソフトウ
ェアは PC-NFS と呼ばれます。
PDC Primary Domain Controller(プライマリ ドメイン コントローラ)の略。ドメイン用
プライマリ認証サーバにネゴシエートの結果なった またはそう割当てられたドメ
用語集| 338
インコントローラ。
POST Power-on Self-Test(パワーオン セルフテスト)の略。電源の投入後ストレージ システ
ムが実行するテスト。
PVC Permanent Virtual Circuit(相手固定接続)の略。通常手動セットアップにより事
前に定義された静的ルートとのリンク。
q ツリー 特別な属性をもつ仮想サブボリュームとなるボリュームの root の特別サブディレクト
リ。
RAID Redundant Array of Independent Disks の略。アレイにある全ての ディスクの
内容基づいてパリティー情報を計算することにより、ディスク障害から保護するテクニッ
ク。ストレージ システムでは RAID レベル 4を使用します。すべてのパリティ情報を 1台のディスクに格納します。
RAID ディスクのスクラブ システムが RAID グループ にあるディスクを 1つずつ読みとり他のるプロセスディスク
溶液にデータを再書き込みすることによりメディアのエラーを固定化しようとする。
SCSI アダプタ SCSI ディスク ドライブ とテープ ドライブをサポートする拡張カード
SCSI アドレス ディスク のフルアドレス。 ディスクの SCSI アダプタ番号とディスクの SCSI ID から構
成されます。 例えば、 9a.1
SCSI ID SCSI チェーン (0 から 6)にある ディスク ドライブの数
シリアル アダプタ 一部のストレージ システム 機種で端末をコンソールとして接続するための拡張カード
シリアル コンソール ストレージ システムの シリアルポートに接続された ASCII または ANSI 端末。 ストレ
ージ システム操作の監視と管理に使用されます。
シェア ネットワーク ユーザーが利用でき CIFS クライアントの 文字にマップ可能な ストレージ システムエのディレクトリまたはディレクトリ構造
SID セキュリティ ID
Snapshot コピー ファイル システム全体の読取専用オンライン コピー。ファイルの内容を複製せずにフ
ァイルを 削除または変更してしまう事故から防御します。
Snapshot コピーはユーザーがシステム使用中にファイルをリストアして ストレージ システムをテープにバックアップすることを可能にします。
SVC Switched Virtual Circuit(相手選択接続)の略。シグナリングにより確立した接
続。ユーザーはコールが開始されるとエンドポイントを定義します。
システム回路基板 ストレージ システムの CPU、拡張バススロット、システムメモリーを含む PCB.
テークオーバー HA 構成されたテークオーバー ストレージ システムによる障害のあるストレージ シス
テム のアイデンティティーのエミュレーション。ギブバックの逆。
テークオーバー ストレージ システム
他のストレージ システムが機能停止した後も作動し続け、障害のあるストレージ シス
テム ディスク シェルフとネットワーク接続へのアクセスを管理する仮想ストレージ シス
339 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide
テムをホストするストレージ システム 。
テークオーバー ストレージ システム
それ自身のアイデンティティーを維持し、仮想ストレージ システムは障害のある ストレ
ージ システムのアイデンティティーを維持します。
テークオーバー モード ストレージ システムがパートナーをテークオーバーした一方、ストレージ システムと相
互作用するために使用する方法。コンソール プロンプトはストレージ システムがテー
クオーバー モードにあるときはいつかを示します。
トラップ SNMP エージェントから SNMP マネージャーに送信された要求されていない非同期メ
ッセージ。ストレージ システムでイベントが発生したことを伝えます。
ツリー クォータ quota qtree コマンドにより作成されたディレクトリによるディスク使用度を制限する ディスク クォータの一種。所与の UID または GID によりファイル
によるディスク使用度を制限するユーザーとグループ クォータとは異なります。
UID ユーザー ID。
Unicode 16 ビット文字セット規格。非営利目的コンソーシアム Unicode Inc.により設計され維
持されています。
VCI Virtual Channel Identifier(仮想チャネル識別子)。セルが移動する仮想チャネルを識
別する ATMセルヘッダ内の 16 ビットのフィールドにより定義された固有な数字タグ。
vFiler ユニット MultiStore を使用して作成する仮想ストレージ システム。 ストレージと 1 つの ストレ
ージ システムのストレージとネットワークリソースを区画化することができます。 このた
めネットワークでは複数のストレージ システムに見えます。
VGA アダプタ コンソールとして VGA 端末を接続するための拡張カード。
ボリューム ファイル システムの一種。
VPI Virtual Path Identifier(仮想パス識別子)。 セルのルーティングが行われるべき仮想
パスを示す ATM セルヘッダの 8 ビットフィールド
WAFL Write Anywhere File Layout の略。 WAFL ファイル システムは書込み性能を最適化
するために Data ONTAP を実行するストレージ システムのためデザインされました。
WINS Windows Internet Name Serviceの略。
ワークグループ 閲覧と共有用にグループ化されたWindows NT または Windows for Workgroupを
実行するコンピュータの集合。
索引| 340
索引 /etc/ad directory 122
/etc/cifs_nbalias.cfg
NetBIOSエイリアスの作成 135
/etc/exports
編集 22
/etc/httpd.access
編集 324
/etc/httpd.groupcreating and editing 326
/etc/httpd.passwd
作成と編集 326
/etc/httpd.translation
失敗ルールの追加 319
/etc/httpd.translations
マップルールの追加 318
合格ルールの追加 319
リダイレクトルールの追加 318
定義 317
/etc/log/ftp.cmd
ログファイルフォーマット 306
/etc/log/ftp.xfer
ログファイルフォーマット 306
/etc/log/httpd.log
フォーマットの変更 331
/etc/nsswitch.conf
LDAPエントリの追加 250
LDAPクライアント認証 253
/etc/symlink.translations
マップエントリの作成 287
ワイドリンクエントリの作成 288
マップエントリ 285
絶対シンボリックリンクへのリダイレクト 287
マップ及びワイドリンクエントリの使用 289
ワイドリンクエントリ 285
/etc/usermap.cfg
方向 235
拡大するセキュリティ 239
ドメイン名の解釈 236
IP 修飾子 234
ユーザー名のマップ 238
Windowsアカウントをroot にマップする 239
NFS アクセスの制限 239
サンプルエントリ 237
エントリの特定 233
UNIX名 236
Windows名 235
A
アクセス
FTP、制限 303
許可や拒否の理由 149
アクセスキャッシュ
エントリの追加 29
説明 28
性能の最適化 30
エントリの削除 29
タイムアウト値の設定 31
統計の表示 30
アクセス制御
トラブルシューティング 146
アクセス制御リスト (ACL)
NFSv4 、NTFS 間の互換性 48
ファイルレベル、表示と変更 97
管理 90
NFSv4 47
NFSv4、有効化の 利点 48
NFSv4、有効化/無効化 48
NFSv4、管理 46
NFSv4、設定と変更 49
341 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide
NFSv4、表示 49
共有レベル、MMCからユーザーやグループを
追加する 91
共有レベル、CLIから変更する 95
共有レベル、定義 90
共有レベル、表示と変更 91
共有レベル、MMCから表示及び変更する 93
共有レベル、CLIを使ってユーザーやグループ
を削除する 96
共有レベル、MMCを使ってユーザーやグルー
プを削除する 91
ユーザーやグループの削除 95
共有レベル、グループ IDの特定 99
アクセスベースの列挙
定義 88
有効化/無効化 88
Windowsクライアントから実行するコマンド 89
アカウント
ローカルユーザー、追加、表示、削除 111
ユーザー、制限 110
機械、データアクセスの禁止 134
機械、Kerberos環境でのアクセスに使う 134
ACL 許可
NFSv3/v4 クライアント、表示 96
ACL (アクセス制御リスト)
NFSv4、NTFS 間での互換性 48
ファイルレベル、表示と変更 97
管理 90
NFSv4 47
NFSv4、有効化の利点 48
NFSv4、有効化/無効化 48
NFSv4、管理 46
NFSv4、設定と変更 49
NFSv4、viewing 49
共有レベル、MMCからのユーザーやグループ
の追加 91
共有レベル、CLIから変更する 95
共有レベル、定義 90
共有レベル、表示と変更 91
共有レベル、MMCから表示及び変更する 93
共有レベル、CLIを使ってユーザーやグループ
を削除する 96
共有レベル、MMCを使ってユーザーやグルー
プを削除する 95
共有レベル、グループIDの特定 99
Active Directory
LDAP 探索サービス、有効化 256
LDAP サーバ、接続プーリングと選択 258
LDAP サーバ、管理 255
LDAP サーバ、接続の監視 257
LDAP サーバ、要件 256
LDAP サーバ、接続のトラブルシューティング 257
LDAP サーバ、使用 256
簡易バインド 258
追加
HTTP 失敗ルール 319
HTTP マップルール 318
HTTP 合格ルール 319
HTTP リダイレクトルール 318
WAFL資格キャッシュにエントリをマップする 292
エイリアス
NetBIOS、作成 135
NetBIOS、CLIから作成する 135
NetBIOS、/etc/cifs_nbalias.cfg 内で作成する 135
NetBIOS、表示 136
監査ポリシー
マッピング 341
マッピング値 342
監査
CIFS、構成 269
索引| 342
イベントの消去 273
内部監査ログファイルの消去 279
自動保存の構成 275
ログファイルサイズによる自動保存の構成 275
定義 265
イベントの表示 279, 280
時間間隔による自動保存を有効化する 276
イベントログ の保管場所 273
失敗したアクセス試行 282
失われたイベント記録 282
NFS、構成 270
NFS、イベントをフィルターファイルで制御する 271
NFS、有効化 271
NFS、イベントの特定 270
イベントの保存 273
手動でのイベントの保存 274
イベントのためのSNMPトラップ 279
ログカウンター拡張子の特定 277
ログ タイムスタンプ拡張子の特定 277
最大自動保存ファイルの特定 278
内部監査ログファイルの最大サイズの特定 278
UNIX ファイルアクセス詳細 282
イベントログのアップデート 273
イベントを調べる 280
静的イベントログの表示 281
Windows ファイルアクセス詳細 281
認証
FTP、特定する 301
HTTP 322
Kerberos 127
クライアントの管理 253
方式、表示 110
NTLM、制限 302
UNIX 126
UNIX クライアント、LDAPのための有効化 253
Windows クライアント、LDAPのための有効化 253
Windows ワークグループ 126
承認
クライアントの管理 253
B
境界のチェック
共有からシンボリックリンクを有効化/無効化す
る 84
ブラウジング
有効化/無効化 86
C
キャッシュ
有効化/無効化 87
クライアント側プロパティの設定 88
文字のマッピング
ボリュームから消去する 229
文字の制限
ファイル名 229
文字の変換
ファイル名のために有効化する 228
CIFS
監査、構成 269
クライアントイベント 170
クライアント、NFSディレクトリアクセスの最適化 289
構成 62
シャットダウンメッセージの構成 143
再構成の際に考慮すること 68
シンボリックリンクへのアクセスの制御 283
無効化 142
クライアントがシンボリックリンクを継承できるよ
うにする 284
ファイルロック 230
ファイル名 225
NFSとのファイル共有 225
ファイル、NFS クライアントからのアクセス 291
343 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide
クライアントに許可を与え .dll 及び.exe ファイル
を実行する 297
同時スクリーニングの制限 167
監視されるイベント 160
アクティビティの監視 137
クライアントが大文字のファイル名を作成するの
を禁止する 291
読み込み限定ビット 230
再構成 69
リソースの制限 140
システムメモリによるリソース制限 337–339
サービスの再開 143
セットアップ 63
クライアントとがシンボリックリンクと対話する方
法を特定する 284
サーバが切断された要求をスクリーンするのを
停止する 166
ログインのトレース 296
CLI
fpolicy ext 200–203
クライアント
MMCを使った切断 141
認証と承認の管理 253
Windows、サポートされた 62
構成
HTTP MIME タイプ 316
作成
CLIからの CIFS 共有 79
ホームディレクトリパス内のディレクトリ 106
マップエントリ 287
Widelink エントリ 288
資格キャッシュ
WAFL、マッピングエントリの追加 292
WAFL、マッピングエントリの削除 292
WAFL、統計の監視 294
資格
UNIX、CIFS クライアントの管理 231
UNIX、CIFS ユーザーの取得獲得 232
UNIX、CIFS ユーザーの特定 233
D
消去
ファイルを読み込み限定ビットセットで 231
prefdc リストからサーバを 130
CLIから共有を 90
説明
表示と変更 144
ディレクトリ
Unicode フォーマットへの変換 290
Unicodeフォーマットでの作成 290
セキュリティ設定の表示 264
FTP、ユーザーの制限 304
ユーザーとの一致 101
新しく作成されたディレクトリの許可の特定 85
ディレクトリアクセス
NFS、CIFSクライアントの最適化 289
ディレクトリ作成操作
FPolicyを構成して監視する 186、187
ディレクトリ 作成要求の監視
定義 186
ディレクトリ 作成要求
FPolicyを登録して監視する 187
ディレクトリ 削除操作
FPolicyを構成して監視する 184
ディレクトリ 削除要求の監視
定義 183
ディレクトリ 削除要求
FPolicyを登録して監視する 184
ディレクトリ イベント 171
ディレクトリ 操作 171
ディレクトリ 名変更 操作
FPolicyを構成して監視する 185
索引| 344
ディレクトリ 名変更 要求の監視
定義 185
ディレクトリ 名変更 要求
FPolicyを登録して監視する 186
無効化
CIFS 142
フェンス 26
FPolicy 162
FTPサーバ 299
NFSv3 42
NFSv4 46
SMB 2.0 73
SMB 2.0 クライアント 77
SMB 2.0 永続ハンドル 74
LDAP のためのSSL 249
TFTPサーバ 300
切断
MMCを使うクライアント 141
CLIからのユーザー 141
表示
ファイルシステムパスのためのエクスポートオプ
ション 27
ファイルシステムパス 27
Group Policy Objects (GPO) 120
HTTP 統計 327
NFS 統計 42
フィルタートレースの許可 148
優先ドメインコントローラーと LDAP サーバ
131
ドメインコントローラー
接続のトレース 296
Windows、サポートされた 62
ドメイン
変更 64
優先コントローラーの表示 131
ドメインで接続を再確立する 132
コントローラーの選択 128
優先コントローラーの特定 130
コントローラー接続のトラブルシューティング
131
コントローラー検出プロセスを理解する 129
ドットファイル
CIFSクライアント上での表示 227
永続ハンドル
SMB 2.0、タイムアウト 74
SMB v2.0、有効化/無効化 74
E
有効化
フェンス 26
ファイル名の文字変換 228
FPolicy 162
FTPサーバ 299
NFSv3 42
NFSv4 46
SMB 2.0 73
SMB 2.0 クライアント 77
SMB 2.0 永続ハンドル 74
LDAP のためのSSL 249
TFTPサーバ 300
強制
SMB 2.0 の署名 76
列挙
アクセスベース、定義 88
アクセスベース、有効化/無効化 88
アクセスベース、Windowsクライアントからのコ
マンドの実行 89
エラーメッセージ
FPolicy 215
イベントログ
外部、場所の特定 274
イベントログ
マッピング 341
345 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide
マッピング値 341
アップデート 273
イベント
監査、 保存と消去 273
監査可能 266
CIFSをとおして監視される 160
NFSを通して監視される 161
監査 イベントログに手動で保存する 274
NFS 及びCIFSクライアントのためにスクリーン
される 170
システムアクセス、 監査 265
システム、監査の構成 267
エクスポートオプション
ファイルシステムパスの表示 27
エクスポート
ファイルシステムパス 23、24
拡張子
除外リストに追加する 201
対象リストに追加する 200
対象または除外リストに追加する 200
表示 199
除外リストの表示 200
対象リストの表示 199
除外リストからの削除 202
対象リストからの削除 201
対象または 除外リストからの削除 201
対象リストの再設定 203
対象または除外リストの再設定 203
除外リストの再設定 203
ワイルドカードでのスクリーニング 199
除外リストの設定 203
対象リストの設定 202
対象または除外リストの設定または置換 202
F
フェンス
有効化/無効化 26
ファイル終了の 操作
FPolicyを構成して監視する 175
ファイル終了 要求の監視
定義 174
ファイル終了 要求
監視のためにFPolicyを登録する 175
ファイル作成 操作
FPolicyを構成して監視する 173, 174
ファイル 作成要求
FPolicyを登録して監視する 174
ファイル 削除操作
FPolicyを構成して監視する 177, 178
ファイル 削除要求の監視
定義 177
ファイル 削除要求
FPolicyを登録して監視する 178
ファイル イベント 171
ファイル リンク 操作
FPolicyを構成して監視する 181, 182
ファイル リンク 要求
FPolicyを登録して監視する 182
ファイル ロック
説明 230
ファイル 探索 操作
FPolicyを構成して監視する 188
ファイル 探索 要求の監視
定義 187
ファイル 探索 要求
FPolicyを登録して監視する 188
ファイル管理
Windows管理ツールを使う 145
ファイル名
大文字と小文字の区別 226
文字の制限 229
索引| 346
作成 227
小文字での作成 226
文字変換の有効化 228
NFS及びCIFSのための 225
長さ 226
CIFSクライアントが大文字で作成するのを禁止
する 291
有効な 文字 226
ファイルを開く 操作
FPolicyを構成して監視する 172
ファイルを開く 要求の監視
定義 171
ファイルを開く 要求
FPolicyを登録して監視する 173
ファイル操作 171
ファイルポリシー
作成 163
破棄 66
無効化 166
情報の表示 165
有効化 164
ファイル読み込み操作
FPolicyを構成して監視する 180
FPolicyを登録して監視する 181
ファイル読み込み 要求の監視
定義 180
ファイル名変更操作
FPolicyを構成して監視する 176
ファイル名変更要求の監視
定義 176
ファイル名変更要求
FPolicyを登録して監視する 177
ファイル要求の監視
定義 173
ファイルスクリーニング
サーバ接続の無効化 204
サーバ情報の表示 204
特定 164
ファイルスクリーニングサーバ
管理 204
ファイル共有
NFSとCIFS間での 225
ファイル symlink 操作
FPolicyを構成して監視する 183
ファイル symlink 要求
FPolicyを登録して監視する 183
ファイルシステム制御
SMB v2.0 72
ファイルSystem ID (FSID) 43
ファイルシステムパス
表示 27
エクスポートオプションの表示 27
フェンスの有効化/無効化 26
エクスポート 23、24
エクスポート 又はアンエクスポート 21
同期 26
アンエクスポート 24、25
ファイル書き込み操作
FPolicyを構成して監視する 179
ファイル書き込み要求の監視
定義 178
ファイル書き込み要求
FPolicyを登録して監視する 179
ファイル
FTP を使うアクセス 299
HTTPを使うアクセス 313
WebDAVを使うアクセス 333
監査、アクセス詳細 281、282
シンボリックリンクの回避 285
セキュリティ設定の表示 264
347 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide
失敗したアクセス処理 282
失われたイベント記録 282
新しく作成されたファイルのための許可を特定
する 85
フィルターファイル
NFS 監査 イベントの制御 271
ファイアウォール
バーチャル HTTP、使用 322
フォースグループオプション
定義 80
FPolicy
これについて 150
操作を追加して監視する 206
セカンダリサーバの割り当て 205
CLI コマンド 208
ストレージ環境で通信する 155
定義 150
有効化/無効化 162
エラーメッセージ 215
FAQ 210
FAQ、アクセス 212
FAQ、ファイルスクリーニング 213、214
FAQ、一般的な質問 210–212
FAQ、パフォーマンス 212、213
FAQ、サーバ 215
概要 150
制限 156
スクリーンされたCIFS要求数の制限 167
操作の監視 206、208
登録してファイル作成要求を監視する 174
監視する操作の削除 207
セカンダリサーバの削除 206
セカンダリサーバ、定義 205
セットアップ 162
使用 151、162
警告メッセージ 219
フローチャートの実行 153
FAQ
FPolicy 210
FPolicyサーバ 215
FPolicy、アクセス 212
FPolicy、ファイルスクリーニング 213、214
FPolicy、一般 210–212
FPolicy、 パフォーマンス 212, 213
fsecurity
セキュリティジョブの作成と適用 263
定義 260
Storage-Level Access Guardの有効化 260
FSID (ファイル System ID) 43
FTP
ファイルへのアクセス 299
匿名でのアクセス、有効化/無効化 311
認証スタイル、特定 301
ブロックするユーザー 303
走査チェックのバイパス、有効化/無効化
302
ファイル ロック、有効化/無効化 300
管理 299
匿名でのアクセスを管理する 311
管理ログファイル 305
再設定統計 309
アクセスの制限 303
ユーザーの制限 304
サーバ、有効化/無効化 299
接続しきい値の設定 310
生成されるSNMPトラップ 308
匿名 ユーザー名の特定 312
匿名ユーザーのためのホーム ディレクトリの特
定 312
アイドルタイムアウトの特定 311
特定 接続の最大数 309
索引| 348
ログファイルの最大数の特定 307
ログファイルの最大サイズの特定 307
TCP ウィンドウサイズの特定 310
ログファイルの表示 306
SNMPトラップの表示 307
統計の表示 309
G
get属性演算
FPolicyを構成して監視する 189
get属性要求の監視
定義 188
get属性要求
FPolicyを登録して監視する 189
GID
UNIX ユーザー名のマッピング 240
用語 345
GPO (Group Policy Object)
適用 114
ファイルシステムセキュリティの作成 116
表示 120
サポートの有効化/無効化 115
管理 116
使用のための要件 115
アップデートの問題のトラブルシューティング
121
アップデート 設定s 120
Group Policy Object (GPO)
適用 114
作成 ファイルシステムセキュリティ 116
表示 120
サポートの有効化/無効化 115
イベントログと監査ポリシーのマッピング 341
管理 116
使用のための要件 115
アップデートの問題のトラブルシューティング
121
アップデート の設定 120
グループ
ローカル、MMC から追加する 112
ローカル、MMC からユーザーを追加する 112
ローカル、追加、表示、CLIからの削除
111
ローカル、管理 111
ローカル、MMCを使った削除 113
ローカル、SnapMirrorで実行する 113
H
ホームディレクトリ
CIFS、共有エイリアスを使ったアクセス 108
ディレクトリの作成 105、106
拡張子使用時のサブディレクトリの作成 106
定義 101
無効化 109
パスの表示 104
ほかのユーザーからのアクセスを有効化する 107
管理 100
名前付けのスタイルの特定 104
パスの特定 103
UNCを使った特定、syntax 107
WebDAV、アクセスする 335
HTTP
失敗ルールの追加 319
マップルールの追加 318
合格ルールの追加 319
リダイレクトルールの追加 318
認証 322
ベーシック認証 323
ビルトインサーバ、有効化/無効化 313
ビルトインサーバ、管理 313
走査チェックのバイパス、有効化/無効化 314
/etc/log/httpd.log フォーマットの変更 331
MIMEタイプの構成 316
349 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide
要求の構成 317
バーチャルホスティングの構成 327
/etc/httpd.groupの作成と編集 326
/etc/httpd.passwdの作成と編集 326
詳細な統計 329
統計の表示 327
/etc/httpd.accessの編集 324
エラー統計 329
ファイルアクセス 313
セキュリティの維持 321
NTLM 認証 323
統計の要求 328
統計の再設定 330
アクセスの制限 321
サービス統計 329
ログファイルの最大サイズの特定 315
特定 root ディレクトリ 315
サーバのテスト 315
タイムアウト統計 330
ファイルの変換 317
バーチャル ファイアウォールを使用する 322
サードパーティのサーバを使用する 332
接続情報の表示 330
I
アイドル
セッション、タイムアウトする 138
アイドル タイムアウト
FTP、特定 311
J
ジョブ定義ファイル
Storage-Level Access Guardのための生成と
編集 261
シークレットユーティリティでの管理 261
テキストエディタでの管理 262
要素の特定 262
K
Kerberos
認証 127
NFSのための構成 32、33、35
有効化 31
NFSのための有効化 38
v5 セキュリティサービスをサポートするNFS クライアント 40
パッシブ再生攻撃の禁止 128
アクセスのためのマシンアカウントを使う 134
keytab ファイル
生成 36
キーワード
スクリーニング 操作 223
L
LDAP
Active Directory 探索サービス, 有効化 256
Active Directory サーバ、接続プーリングと選
択 258
Active Directory サーバ、管理 255
Active Directory サーバ、接続の監視
257
Active Directory サーバ、要件 256
Active Directory サーバ、トラブルシューティン
グ
接続 257
Active directory サーバ、使用 256
/etc/nsswitch.conf にエントリを追加する 250
構成 246
既定のスキーマ 259
優先 サーバの表示 131
Windows クライアントからのNFS ファイル アク
セスの有効化 253
NTFS 又は混合 ファイルの承認の有効化
UNIX クライアントからのシステムアクセス 254
有効化/無効化 249
有効化/無効化 SSL 249
索引| 350
有効化 UNIX クライアント 認証 253
有効化 Windows クライアント 認証 253
SSL root証明書のインストール 250
スキーマの管理 258
ユーザーのマッピング 254
スキーマ オプションの変更 259
サーバの選択 128
サーバ選択順序 252
管理パスワードの設定 251
簡易バインド 258
管理 ユーザー名の特定 251
ベース及びスコープ値 の特定 47
ポートの特定の 252
優先 サーバの特定 130, 248
ベース及びスコープの検索の特定 247
サーバの特定 248
ユーザー マッピング, ベース及びスコープ値の
特定
255
使用 245
制限
CIFS リソース 140
ローカル ユーザー アカウント 110
リンク 操作
FPolicyを構成して監視する 181, 182
リンク 要求
監視 181
Live View
構成 272
監査 イベントの表示 280
イベントの表示 279
イベントの表示 280
猶予期間のロック
NFSv4、特定 54
リース期間のロック
NFSv4、特定 54
ログ
場所を特定する外部 イベント 274
ログファイル
FTP, 管理 305
FTP,最大数の特定 307
FTP, 最大サイズの特定 307
FTP, 表示 306
HTTP,最大サイズの特定 315
サイズとフォーマット 273
ログイン
CIFS, トレース 296
M
マシンアカウント
データアクセスの禁止 134
Kerberos環境でのアクセスのための使用 134
マップキャッシュ
SID-to-name, 消去 244
SID-to-name, 有効化/無効化 244
SID-to-name, 管理 243
マップエントリ
作成 287
定義 285
使用 289
マッピング
不整合の管理 295
ユーザー LDAPのある 254
エントリのマッピング
WAFL 資格キャッシュへの追加 292
有効時間の構成 293
WAFL 資格キャッシュからの削除 292
SID-to-name,ライフタイムの変更 244
メッセージ
ユーザーへの送信 143
MIMEタイプ
351 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide
構成 320
HTTP, 構成 316
MMC
ユーザーまたは グループの 共有レベルへの追
加、 ACL 91
追加 ユーザー to ローカル グループ 112
ストレージシステムへの接続 61
共有の削除 89
クライアントの切断 141
共有プロパティの表示と変更 81
表示と変更 共有レベル、 ACL 93
ローカル グループ削除 113
共有レベルからユーザーやグループを削除する、 ACLs
95
running the Share a Folder wizard 79
monitor list
操作追加 206
操作削除 207
監視
WAFL 資格キャッシュ 統計 294
マウントサービス統計
表示 41
mountd 要求
トレース 41
マウンティングの問題 40
マウントポイント
NFSv4 pseudo-fs に影響される
複数サーバ構成
定義 155
マルチプロトコルl
変更,影響 67
N
サーバ データベースの名前をつける
キャッシュのフラッシュ 55
名前付けのスタイルs
ドメイン 105
non-ドメイン 106
ホームディレクトリの特定 104
ネイティブ ファイルのブロック
構成 158
定義 157
使用 158
NetBIOS
作成 エイリアス 135
CLIからのエイリアス作成 135
/etc/cifs_nbalias.cfg 内でエイリアス作成 135
エイリアスの表示 136
TCPを通した, 無効化 136
NFS
監査, 構成 270
監査, 有効化 271
v4 ACLs有効化の利点 48
クライアント イベント 170
Kerberos v5 セキュリティサービスをサポートす
る クライアント 40
クライアント, CIFS ファイルへのアクセス 291
v4 とNTFS ACL間での互換性 48
構成 Kerberos 32、33、35
監査 イベントの制御 271
オープンな委任統計の表示, v4 52, 53
統計の表示 42
Kerberosの有効化 31、38
v3 の有効化/無効化 42
v4 の有効化/無効化 46
v4 ACLsの有効化/無効化 48
v4 読み込みオープン委任の有効化/無効化 51
Windows クライアントからのファイル アクセス, LDAPの有効化
承認 253
ファイル ロック 230
索引| 352
ファイル名 225
CIFSとのファイル共有 225
v4 サポートの制限 44
v4 ACLの管理 46
監視されるイベント 161
CIFSクライアントのためのディレクトリアクセス
の最適化 289
マウントポイントに影響するpseudo-fs 45
読み込み限定bits 230
ユーザーアクセスの制限 239
設定と変更、v4 ACL 49
監査 イベントの特定 270
v4 のためのユーザー ID ドメインの特定 46
v4 クライアントのサポート 43
v3/v4 クライアント, 表示 Windows ACL
アクセス許可 96
v4 ACLs 47
v4、ファイル 削除の決定 48
v4、オープン委任 統計の表示 52, 53
v4、有効化/無効化 read オープン委任 50
v4、オープン委任の管理 50
v4、オープン委任 50
v4、猶予期間のロックの特定 54
v4、リース期間のロックの特定 54
v4 ACLの表示 49
NFS クライアント
フェンスの有効化/無効化 26
NTFS
ACL, NFSv4 との互換性 48
NTLM
認証、制限 of 302
NTLM 認証
HTTP 323
null セッション
アクセスの提供 133
非Kerberos 環境でのアクセスのための 使用
132
null ユーザー
許可する共有へのアクセス 133
O
ONTAPI 150
オープン委任統計
表示、NFSv4 52、53
NFSv4、表示 52、53
オープン委任
NFSv4 50
NFSv4、管理 50
操作
監視リストへの追加 206
監視リストからの削除 207
監視される操作リストの設定 または置換 208
oplocks
変更 delay time for sending breaks 124
有効化/無効化 123
qtree上の有効化/無効化 124
クライアント パフォーマンの改善 122
書き込みキャッシュデータ損失の考慮 123
最適化
アクセスキャッシュの パフォーマンス 30
組織的ユニット (OU)
関係 115
OU (組織的ユニット)
関係 115
P
パスワード
管理、 LDAPの設定 251
変更 144
パス名
構成要件 122
PC-NFS
作成 ユーザー エントリ 57
353 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide
for ファイルとディレクトリのためのumaskの定
義 58
クライアントのサポート 56
pcnfsd デーモン
有効化/無効化 56
説明 56
パフォーマンス
クライアント、oplocks で改善する 122
アクセスキャッシュの最適化 30
アクセス許可
フィルタートレースの追加 146
フィルタートレースの表示 148
フィルタートレースの削除 147
新しく作成されたファイルとディレクトリののため
の特定 85
ports
LDAPのための 特定 252
principals
作成 36
protocol modes
変更 66
pseudo-fs
NFSv4、マウントポイントに影響する 45
Q
qtrees
oplocksの有効化/無効化 124
queries
統、保存と再利用 140
R
読み込みオープン委任
NFSv4、有効化/無効化 50
読み込み限定 bits
ファイルの削除 231
説明 230
Remote Procedure Call (RPC) 150
削除
アクセスキャッシュからのエントリ 29
Storage-Level Access Guards 265
再設定
HTTP 統計 330
リソース制限
CIFS、システムメモリによる 337–339
リソース
CIFS、制限 140
制限
ディレクトに対するFTP ユーザー304
制限
認証ベースの 19
ファイルベースの 19
root ディレクトリ
WebNFSのための有効化 60
HTTP、特定 315
WebNFSのための設定 59
WebNFSのための名前の特定 59
RPC (Remote Procedure Call) 150
S
SACL (System アクセス制御リスト)
設定 268
スクリーニング
拡張子による、定義 197
ボリュームによる、定義 191
ワイルドカードの使用 192, 199
スクリーニング 操作
キーワード 223
スクリーニング タイムアウト
設定 169
scripts
startup, shutdown 122
シークレットユーティリティ
ジョブ定義ファイルの管理 261
セカンダリ サーバ
索引| 354
割り当て 205
定義 205
削除 206
セキュリティ
HTTP、維持 321
ユーザー アクセスを増やす 239
セキュリティジョブ
ストレージオブジェクトへの適用 263
キャンセル 264
状態のチェック 264
ジョブ定義ファイルからの作成 263
セキュリティ レベル
最小レベルの設定 127
セキュリティ設定
ファイルとディレクトリの表示 264
サーバスクリーニング
切断されたCIFS 要求のための停止 166
サーバ タイムアウト
設定 168
サーバ
接続プーリング と 選択 258
prefdcリストからの削除 130
LDAP、順序の選択 252
セッション
情報の表示 138
アイドル, タイムアウトする 138
属性設定の操作
FPolicyを構成して監視する 190, 191
属性設定 要求の監視
定義 190
属性設定 要求
FPolicyを登録して監視する 191
共有境界のチェック
シンボリックリンクの 無効化 286
共有
CLI からのプロパティ変更 83
作成 78
CLIからの作成 79
Windows クライアント上のMMCからの 作成
79
削除 89
CLIからの削除 90
MMCからの削除 89
プロパティの表示と変更 81
MMCからのプロパティの表示と変更 81
CLIからのプロパティ表示の 82
名前付け規則 79
シャットダウンメッセージ
CIFSのための構成 143
SID-to-name マップキャッシュ
消去 244
有効化/無効化 244
管理 243
SID-to-name マッピング エントリ
変更 ライフタイムの 244
簡易バインド
Active Directory、LDAP 258
SMB
構成 70
署名 74
通信に影響を与えるポリシーの署名 75
署名, パフォーマンスインパクト 76
v1.0 のサポート 70
v2.0 のサポート 71
v1.0、署名の強制 76
v2.0、有効化/無効化するクライアント 77
v2.0、永続ハンドルのタイムアウト 74
v2.0、永続ハンドル、有効化と無効化 74
v2.0、有効化/無効化 73
v2.0、署名の強制 76
355 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide
v2.0、ファイルシステム制御 72
v2.0、コンテキスト作成のサポート 72
v2.0、有効化するとき 73
SMB 名前付けされたパイプ
有効化/無効化 複数のオープンインスタンス 169
SnapMirror
ローカル グループで実行する 113
SNMP
構成 308
FTP、生成されるトラップ 308
FTP、トラップの表示 307
開始する 308
監査 イベントのためのトラップ 279
UNIX クライアント上のトラップの表示 308
特定
FTP 認証スタイル 301
FTP アイドル タイムアウト 311
匿名 FTP ユーザーのホーム ディレクトリ 312
ホーム ディレクトリ パス 103
HTTP サーバ root ディレクトリ 315
LDAP 管理パスワード 251
LDAP 管理 ユーザー名 251
LDAP 検索ベース及びスコープ 247
LDAP サーバポート 252
自動保存ファイルの最大数 278
FTP ログファイルの最大数 307
cifsaudit.alf ファイルの最大サイズ 278
FTP ログファイルの最大サイズ 307
HTTP ログファイルの最大サイズ 315
優先ドメインコントローラーと LDAP サーバ
130
優先 LDAP サーバ 248
SSL
LDAPの有効化/無効化 249
LDAP のためのroot証明書のインストール 250
統計
FTP、再設定 309
FTP、表示 309
HTTP、表示 327
WAFL 資格キャッシュの監視 294
NFS、表示 42
クエリの保存と再利用 140
トラッキング 138
表示 139
アクセスキャッシュの表示 30
Storage-Level Access Guard
有効化 260
ジョブ定義ファイルの生成と 編集 261
Storage-Level Access Guards
削除 265
シンボリックリンク
絶対、制限 287
回避 285
CIFS アクセスの制御 283
共有境界チェックの無効化 286
継承するCIFSクライアントの有効化 284
境界チェックの有効化/無効化 84
CIFSクライアントが対話する方法の特定 284
wide、有効化/無効化 84, 108
ホームディレクトリで 102
symlink 操作
FPolicyを構成して監視する 183
symlink 要求の監視
定義 182
symlink 要求
FPolicyを登録して監視する 183
同期
ファイルシステムパス 26
System アクセス制御リスト (SACL)
設定 268
索引| 356
システムアクセス イベント
監査 265
システムイベントの 監査
構成 267
T
TCP ウィンドウサイズ
FTP、特定 310
TFTP
サーバ、有効化/無効化 300
接続の最大数の特定 310
タイムアウト
SMB 2.0 永続ハンドルタイムアウト 74
タイムアウト 値
アクセスキャッシュのための設定 31
タイムアウトする
アイドル セッション 138
フィルタートレース
アクセス許可のための追加 146
アクセス許可のための表示 148
許可のための削除 147
トラップ
SNMP、監査 イベントのための 279
U
UID
UNIX ユーザー名のマッピング 240
umask
PC-NFS ユーザーの ファイルとディレクトリのた
めの定義 58
説明 57
アンエクスポート
ファイルシステムパス 25
Unicode
ディレクトリの変換 290
フォーマットされた、ディレクトリの作成 290
UNIX
認証 126
資格、CIFSクライアントのための管理 231
資格、CIFS ユーザーのための維持 232
資格、CIFS ユーザーのための特定 233
NTFS 又は混合ファイル システムアクセスのた
めのLDAP 承認の有効化 254
既定ユーザー アカウントの有効化/無効化 241
ファイルアクセス詳細 282
LDAPベースのクライアント認証、有効化 253
ユーザー名をUIDとGIDにマッピングする 240
SNMPトラップの表示 308
ユーザーアカウント名
Windows、特定 67
ユーザー アカウント
有効化/無効化 Windows guest 242
UNIX、有効化/無効化 241
ユーザー ID ドメイン
NFSv4 のための特定 46
ユーザー マッピング
LDAP、特定 ベース及びスコープ値 255
ユーザー名
管理、LDAPのための特定 251
マッピング 238
WindowsとUNIX間での変換 233
UNIX、UIDと GIDへのマッピング 240
ユーザー
管理、集中管理の有効化 251
CLIからの切断 141
FTP、ブロック 303
FTP、制限 304
ローカル アカウントの制限 110
ローカル、アカウントの追加、表示、削除
111
ローカル、管理 109
null、共有への許可するアクセス 133
制限 304
357 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide
メッセージの送信 143
特定 137
V
バーチャルホスティング
構成 327
ウイルススキャン
有効化/無効化 86
ボリューム
除外リストに追加する 194
対象リストに追加する 194
対象または除外リストに追加する 194
文字 マッピングの消去 229
表示 193
除外リスト からの削除 195
対象リストからの削除 195
対象または除外リストからの削除 195
除外リストの再設定 197
再設定 対象リスト 197
ワイルドカードでのスクリーニング 192
設定 除外リスト 196
設定 対象リスト 196
対象または除外リストに特定 または置換 197
W
WAFL
資格キャッシュ、マッピング エントリへの追加 292
資格キャッシュ、マッピングエントリの削除
292
資格キャッシュ、統計の監視 294
警告メッセージ
FPolicy 219
WebDAV
ホームディレクトリへのアクセス 335
有効化/無効化 334
説明 333
ファイルアクセス 333
管理 334
サードパーティのサーバの使用 335
WebNFS
有効化/無効化 59
root ディレクトリの有効化 60
root ディレクトリの設定 59
root ディレクトリ名の特定 59
クライアントのサポート 58
widelink エントリ
作成 288
定義 285
使用 289
wildcards
スクリーニングのための使用 192, 199
Windows
NFS ファイルアクセスのための LDAP 承認の
有効化 253
ゲストユーザーアカウントの有効化/無効化 242
ファイルアクセス詳細 281
LDAPベースのクライアント認証, 有効化 253
ユーザーアカウント名の特定 67
サポートされるクライアント 62
サポートされるドメインコントローラー 62
workgroup 認証 126
WINS サーバ
特定 64
書き込みキャッシュ
使用 oplocks使用時のデータロス検討事項 123
書き込み オープン委任
有効化/無効化、NFSv4 51
索引| 358
ServerView with Data ONTAP-v
File Access and Protocols Management Guide
CA92276-8997-01
発行日 2011年6月
発行責任 富士通株式会社
●本書の内容は、改善のため事前連絡なしに変更することがあります。
●本書に記載されたデータの使用に起因する、第三者の特許権およびその他
の権利の侵害については、当社はその責を負いません。
●無断転載を禁じます。