Reference Guide

● UDS：認証情報の構築用。

● ホスト名：Kerberos は、IP アドレスではなく、名前を使用します。

NFS では、ホスト名の値に応じて、1 つまたは 2 つのサービスプリンシパル名（SPN）を使用します。ホスト名が完全修飾ドメイ

ン名形式である host.domain の場合：

● 短い SPN：nfs/host@REALM

● 長い SPN：nfs/host.domainFQDN@REALM

ホスト名が完全修飾ドメイン名形式でない場合、短い SPN のみが使用されます。

SMB と同様に、SMB サーバーをドメインに結合できるように、NFS サーバーをレルム（Kerberos でドメインに相当）に結合するこ

とができます。これには 2 つのオプションがあります。

● 構成された Windows ドメインがある場合はそれを使用します

● UNIX KDC ベースの Kerberos レルムを全部構成します

管理者が、構成された Windows ドメインを使用するよう選択した場合、ほかに行うことはありません。NFS サービスで使用される

すべての SPN は、SMB サーバーの参加/参加解除時に、KDC に自動的に追加/削除されます。NFS セキュアが SMB 構成を使用する

よう構成されている場合、SMB サーバーは破棄できないことにご注意ください。

管理者が、UNIX ベースの Kerberos レルムを使用するよう選択した場合、さらに構成する必要があります。

● レルム名：Kerberos レルムの名前で、一般にすべて大文字です。

● UNIX KDC ベースの Kerberos レルムを全部構成します。

クライアントが特定のセキュリティで NFS エクスポートをマウントできるよう、セキュリティパラメーター（sec）が提供されて

おり、どの最小限のセキュリティが許可されているかを示します。セキュリティには 4 種類のあります。

● AUTH_SYS：標準的な従来のセキュリティです。Kerberos を使用しません。サーバーはクライアントが提供する認証情報を信頼

します。

● KRB5：Kerberos v5 を使用した認証

● KRB5i：Kerberos の認証および整合性（署名）

● KRB5p：Kerberos の認証および整合性とプライバシー（暗号化）

NFS クライアントが、構成されている最小限のセキュリティを下回っているセキュリティでエクスポートをマウントした場合、ア

クセスは拒否されます。たとえば、最小限のアクセスが KRB5i の場合、AUTH_SYS または KRB5 を使用したマウントはすべて拒否

されます。

認証情報の作成

ユーザーがシステムに接続すると、そのシステムのプリンシパルである user@REALM のみが表示されます。これは、Kerberos チケ

ットから抽出されています。AUTH_SYS セキュリティとは異なり、認証情報は NFS リクエストに含まれません。プリンシパルから

ユーザーの部分（@の前）が抽出され、対応する UID の UDS を検索するために使用されます。その UID から、システムはアクティ

ブ UDS を使って認証情報を作成します。これは拡張 NFS 認証情報が有効な場合と同様です（例外は、Kerberos がない場合、UID

はリクエストによって直接提供されます）。

プリンシパルが UDS でマッピングされていない場合、構成されたデフォルト UNIX ユーザーの認証情報が代わりに使用されます。

デフォルト UNIX ユーザーが設定されていない場合、使用される認証情報は nobody のものとなります。

ファイルシステムオブジェクトに対するセキュリティ

マルチプロトコル環境では、セキュリティポリシーはファイルシステムレベルで設定されて、ファイルシステムごとに独立して

います。各ファイルシステムはアクセスポリシーを使用して、NFS と SMB との間のアクセス制御セマンティックの違いを解決す

る方法を判別します。アクセスポリシーを選択することで、特定のファイルシステムでファイルセキュリティを適用するために

使用するメカニズムが決定します。

メモ: ご自分の環境で古い SMB1 プロトコルをサポートする必要がある場合、svc_nas_cifssupport サービスコマンドを使

用して有効にできます。このサービスコマンドの詳細については、PowerStore Service Scripts Guide を参照してください。

UNIX セキュリティモデル

UNIX ポリシーを選択した場合、SMB プロトコルからのファイルレベルセキュリティの変更、ACL（アクセス制御リスト）への変

更の試行は無視されます。UNIX のアクセス権は、ファイルシステムオブジェクトのモードビットまたは NFSv4 ACL と呼ばれま

す。モードビットは、ビット文字列で表されます。各ビットは、ファイルを所有するユーザー、ファイルシステムオブジェクトに

認証とアクセス 19