Reference Guide
NFS、SMB、FTP のアクセス ポリシー
マルチプロトコル環境では、ストレージ システムがファイル システムのアクセス ポリシーを使用して、そのファイル システムの
ユーザー アクセス制御を管理します。UNIX と Windows の 2 種類のセキュリティがあります。
UNIX セキュリティ認証の場合、認証情報は、非 Secure NFS アクセスの例外を使用して UDS(UNIX ディレクトリ サービス)から
作成されます。この認証情報はホスト クライアントから提供されます。ユーザー権限はモード ビットと NFSv4 ACL から判断され
ます。ユーザーおよびグループの識別子(それぞれ、UID、GID)が ID に使用されます。UNIX セキュリティに関連づいた権限はあり
ません。
Windows セキュリティ認証の場合、認証情報は Windows の DC(ドメイン コントローラー)および SMB サーバーの LGDB(ローカ
ル グループ データベース)から作成されます。ユーザー権限は SMB ACL から判断されます。SID(セキュリティ識別子)は ID に使
用されます。SMB サーバーの LGDB または GPO(グループ ポリシー オブジェクト)によって許可される、Windows セキュリティ
に関連した、所有権の取得、バックアップ、リストアなどの権限があります。
次の表に、どのプロトコルでどのようなセキュリティを使用するかを定義する、アクセス ポリシーについて説明します。
アクセス ポリ
シー
説明
native(デフォ
ルト)
● 各プロトコルは独自のネイティブ セキュリティによりアクセスを管理します。
● NFS 共有のセキュリティでは、リクエストに関連づけられた UNIX 認証情報を使用し、NFSv3 UNIX モード ビ
ットまたは NFSv4 ACL をチェックします。次に、アクセスが許可または拒否されます。
● SMB 共有のセキュリティでは、リクエストに関連づけられた Windows 認証情報を使用し、SMB ACL をチェ
ックします。次に、アクセスが許可または拒否されます。
● NFSv3 UNIX モード ビットと NFSv4 ACL の権限の変更は、互いに同期されます。
● UNIX と Windows の権限の間で同期することはありません。
Windows
● Windows セキュリティを使用して、Windows および UNIX に対するファイル レベル アクセスのセキュリティ
を保護します。
● Windows 認証情報を使用して SMB ACL をチェックします。
● 新しく作成したファイルの権限は SMB ACL 変換によって決定されます。SMB ACL 権限の変更は、NFSv3
UNIX モード ビットまたは NFSv4 ACL に同期されます。
● NFSv3 モード ビットおよび NFSv4 ACL の権限の変更は拒否されます。
UNIX
● UNIX セキュリティを使用して、Windows と UNIX に対してファイル レベルのアクセスを保護します。
● SMB アクセスの要求に応じて、ローカル ファイルまたは UDS から作成された UNIX 認証情報が使用され、
NFSv3 モード ビットまたは NFSv4 ACL で権限を確認します。
● 新しく作成したファイルの権限は UMASK によって決定されます。
● NFSv3 UNIX モード ビットまたは NFSv4 ACL の権限の変更は、SMB ACL に同期されます。
● SMB ACL 権限の変更は、システム停止が発生しないようにするために可能ですが、これらの権限は保持され
ません。
FTP では、Windows または UNIX での認証は、NAS サーバーへの認証時に使用されるユーザー名の形式に依存します。Windows 認証
が使用されている場合、FTP アクセス制御は SMB の場合と似ています。それ以外は NFS の場合と似ています。FTP と SFTP クラ
イアントは、NAS サーバーに接続すると認証されます。SMB 認証(ユーザー名の形式が domain\user または user@domain)ま
たは UNIX 認証(他の単一ユーザー名の形式)の場合があります。SMB 認証は、NAS サーバーで定義されたドメインの Windows DC
で保証されています。UNIX 認証は、リモート LDAP サーバー上、リモート NIS サーバー上、または NAS サーバーのローカル パスワー
ド ファイル内に格納されている暗号化されたパスワードに従って NAS サーバーで保証されています。
ファイル レベル セキュリティの認証情報
ファイル レベルのセキュリティを適用するには、処理されている SMB または NFS リクエストに関連づけられた認証情報をスト
レージ システムで作成する必要があります。Windows と UNIX の 2 種類の認証情報があります。次の用途の場合、Windows と
UNIX の認証情報は NAS サーバーで作成されます。
● NFS リクエストに対し 16 個を超えるグループを使用して UNIX 認証情報を作成する場合。NAS サーバーの拡張された認証情報
のプロパティは、この機能を提供するために設定する必要があります。
● ファイル システムのアクセス ポリシーが UNIX のときに、SMB リクエストに対して UNIX 認証情報を作成する場合。
● SMB リクエストに対し Windows 資格情報を作成する場合。
● ファイル システムのアクセス ポリシーが Windows のときに、NFS リクエストに対して Windows 認証情報を作成する場合。
認証とアクセス 25