Reference Guide

● アクセス制御：コンテナーテクノロジーによって提供されるアプリケーション分離に加えて、アプライアンス上のアクセス制御

リスト（ACL）メカニズムでは、サービスアカウントによるシステムリソースへのアクセスを明示的に許可または拒否する、

非常に特殊なルールのリストを使用します。標準の Linux ファイルシステム権限によって定義されない、アプライアンスの他の

領域に対するサービスアカウント権限は、これらの規則によって指定されます。

アプライアンスサービススクリプト

アプライアンスのソフトウェアバージョンには、問題の診断、システム構成、システムリカバリーに関する一連のスクリプトがイ

ンストールされています。これらのスクリプトを使用すると、PowerStore Manager を使用した場合よりも、さらに詳しい情報を収

集し、より深いレベルのシステム制御を行うことができます。PowerStore Service Scripts Guide では、これらのスクリプトとその

一般的な使用例について説明します。

アプライアンスノード Ethernet サービスポートと IPMItool

ご使用のアプライアンスは、各ノードの Ethernet サービスポートを介したコンソールアクセスを提供します。このアクセスには、

IPMItool を使用する必要があります。IPMItool は、SSH や Telnet に似たネットワークツールであり、IPMI プロトコルを使用して、

Ethernet 接続を介した各ノードとのインターフェイスを確立します。IPMItool は、アプライアンスのノードコンソールにアクセスす

るための安全な通信チャネルをネゴシエートする Windows ユーティリティーです。このユーティリティーでは、コンソールをアクテ

ィブ化するために物理アクセスが必要です。

ノード Ethernet サービスポートインターフェイスでは、サービス SSH インターフェイス（サービス LAN インターフェイス）と同じ

機能が提供され、同じ制限が適用されます。ただし、ユーザーはインターフェイスにアクセスするために、SSH クライアントでは

なく Ethernet ポート接続を使用します。このインターフェイスはフィールドサービス担当者向けに設計されており、ネットワーク

を妨害することなくアプライアンスに接続できます。専用の管理コンソールは必要ありません。

このインターフェイスは、直接的なポイントツーポイントでルーティング不可能な接続を提供します。サービス担当者は、コンソー

ルの出力にサービス LAN インターフェイスを使用して、PowerStore サービスコンテナーと PowerStore Manager（ICW（初期構成ウ

ィザード）を含む）に SSH アクセスできます。サービス LAN インターフェイスを介したサービスコンテナーへの SSH アクセスは常

に有効であり、無効にすることはできません。ただし、サービスアカウントの認証情報は管理できます。

サービススクリプトのリストについては、PowerStore Service Scripts Guide を参照してください。

NFS セキュア

NFS セキュアでは、NFSv3 および NFSv4 でユーザーを認証するために Kerberos を使用します。Kerberos は、整合性（署名）とプ

ライバシー（暗号化）を提供します。整合性とプライバシーは有効化に必須ではなく、NFS のエクスポートオプションです。

Kerberos を使用しない場合、サーバーはユーザー認証についてクライアントに全く依存することになります。サーバーはクライアン

トを信頼します。Kerberos を使用する場合、サーバーは KDC（キー配布センター）を信頼します。KDC は、認証を処理し、アカウ

ント（プリンシパル）とパスワードを管理します。さらに、パスワードが送信されることもありません。

Kerberos を使用しない場合、ユーザーの認証情報が暗号化されずに送信されるため、簡単になりすましの被害に遭います。Kerberos

を使用すると、ユーザーの ID（プリンシパル）は暗号化された Kerberos のチケットに含まれ、それを読み取れるのはターゲットサ

ーバーと KDC だけです。暗号化キーを知ることができるのは、ここだけです。

NFS セキュアに関連して、Kerberos では AES128 および AES256 暗号化がサポートされます。NFS セキュアとともに、SMB と LDAP

にインパクトを与えます。これらの暗号化は、Windows および Linux でデフォルトでサポートされています。これらの新しい暗号

化は非常に安全ですが、それを使用するかどうかはクライアントにかかっています。サーバーはそのユーザープリンシパルからア

クティブ Unix ディレクトリーサービス（UDS）をクエリーして、ユーザーの認証情報を構築します。NIS はセキュアでないため、

NFS セキュアと使用することは推奨されません。Kerberos は LDAP または LDAPS と併用することが勧められています。

NFS セキュアは、PowerStore Manager を使用して構成できます。

ファイルプロトコルの関係

Kerberos を使用するには、次が必要です。

● DNS：IP アドレスの代わりに DNS 名を使用する必要があります。

● NTP：PowerStore には NTP サーバーが構成されている必要があります。

メモ: Kerberos を使用するには、ネットワークで KDC、サーバー、クライアントの時刻が正確に同期されている必要があり

ます。

18 認証とアクセス