Reference Guide
● UDS:認証情報の構築用。
● ホスト名:Kerberos は、IP アドレスではなく、名前を使用します。
NFS では、ホスト名の値に応じて、1 つまたは 2 つのサービス プリンシパル名(SPN)を使用します。ホスト名が完全修飾ドメイ
ン名形式である host.domain の場合:
● 短い SPN:nfs/host@REALM
● 長い SPN:nfs/host.domainFQDN@REALM
ホスト名が完全修飾ドメイン名形式でない場合、短い SPN のみが使用されます。
SMB と同様に、SMB サーバーをドメインに結合できるように、NFS サーバーをレルム(Kerberos でドメインに相当)に結合するこ
とができます。これには 2 つのオプションがあります。
● 構成された Windows ドメインがある場合はそれを使用します
● UNIX KDC ベースの Kerberos レルムを全部構成します
管理者が、構成された Windows ドメインを使用するよう選択した場合、ほかに行うことはありません。NFS サービスで使用される
すべての SPN は、SMB サーバーの参加/参加解除時に、KDC に自動的に追加/削除されます。NFS セキュアが SMB 構成を使用する
よう構成されている場合、SMB サーバーは破棄できないことにご注意ください。
管理者が、UNIX ベースの Kerberos レルムを使用するよう選択した場合、さらに構成する必要があります。
● レルム名:Kerberos レルムの名前で、一般にすべて大文字です。
● UNIX KDC ベースの Kerberos レルムを全部構成します。
クライアントが特定のセキュリティで NFS エクスポートをマウントできるよう、セキュリティ パラメーター(sec)が提供されて
おり、どの最小限のセキュリティが許可されているかを示します。セキュリティには 4 種類のあります。
● AUTH_SYS:標準的な従来のセキュリティです。Kerberos を使用しません。サーバーはクライアントが提供する認証情報を信頼
します。
● KRB5:Kerberos v5 を使用した認証
● KRB5i:Kerberos の認証および整合性(署名)
● KRB5p:Kerberos の認証および整合性とプライバシー(暗号化)
NFS クライアントが、構成されている最小限のセキュリティを下回っているセキュリティでエクスポートをマウントした場合、ア
クセスは拒否されます。たとえば、最小限のアクセスが KRB5i の場合、AUTH_SYS または KRB5 を使用したマウントはすべて拒否
されます。
認証情報の作成
ユーザーがシステムに接続すると、そのシステムのプリンシパルである user@REALM のみが表示されます。これは、Kerberos チケ
ットから抽出されています。AUTH_SYS セキュリティとは異なり、認証情報は NFS リクエストに含まれません。プリンシパルから
ユーザーの部分(@の前)が抽出され、対応する UID の UDS を検索するために使用されます。その UID から、システムはアクティ
ブ UDS を使って認証情報を作成します。これは拡張 NFS 認証情報が有効な場合と同様です(例外は、Kerberos がない場合、UID
はリクエストによって直接提供されます)。
プリンシパルが UDS でマッピングされていない場合、構成されたデフォルト UNIX ユーザーの認証情報が代わりに使用されます。
デフォルト UNIX ユーザーが設定されていない場合、使用される認証情報は nobody のものとなります。
ファイル システム オブジェクトに対するセキュリティ
マルチプロトコル環境では、セキュリティ ポリシーはファイル システム レベルで設定されて、ファイル システムごとに独立して
います。各ファイル システムはアクセス ポリシーを使用して、NFS と SMB との間のアクセス制御セマンティックの違いを解決す
る方法を判別します。アクセス ポリシーを選択することで、特定のファイル システムでファイル セキュリティを適用するために
使用するメカニズムが決定します。
メモ: ご自分の環境で古い SMB1 プロトコルをサポートする必要がある場合、svc_nas_cifssupport サービス コマンドを使
用して有効にできます。このサービス コマンドの詳細については、PowerStore Service Scripts Guide を参照してください。
UNIX セキュリティ モデル
UNIX ポリシーを選択した場合、SMB プロトコルからのファイル レベル セキュリティの変更、ACL(アクセス制御リスト)への変
更の試行は無視されます。UNIX のアクセス権は、ファイルシステム オブジェクトのモード ビットまたは NFSv4 ACL と呼ばれま
す。モード ビットは、ビット文字列で表されます。各ビットは、ファイルを所有するユーザー、ファイル システム オブジェクトに
認証とアクセス 19