Reference Guide
SMB リクエストの Windows 認証情報
Windows アクセス ポリシーまたはネイティブ アクセス ポリシーで SMB のみまたはマルチ プロトコル ファイル システムの SMB
リクエストを処理するには、Windows 認証を使用する必要があります。ユーザーが接続するときは、セッション構成リクエスト時
に一度だけ、SMB の Windows 認証情報を作成する必要があります。
NTLM(NT LAN Manager)の使用時とは異なり、Kerberos 認証の使用時には、ユーザーの認証情報がセッション構成リクエストの
Kerberos チケットに含まれます。Windows DC または LGDB から他の情報がクエリーされます。Kerberos の場合、追加グループ SID
のリストが Kerberos チケットから取得され、追加ローカル グループ SID のリストと特権のリストは LGDB から取得されます。
NTLM の場合、追加グループ SID のリストが Windows DC から取得され、追加ローカル グループ SID のリストと特権のリストは
LGDB から取得されます。
さらに、対応する UID およプライマリ GID もユーザー マッピング コンポーネントから取得されます。プライマリ グループ SID はア
クセス チェックには使用しないため、UNIX プライマリ GID が代わりに使用されます。
メモ: NTLM は、ユーザーに認証、整合性、および機密性を提供する独自のセキュリティ プロトコルの古いスイートです。
Kerberos は、チケット システムを使用してより高速な認証を実現するオープン スタンダード プロトコルです。Kerberos によ
り、NTLM よりも優れたセキュリティがネットワーク上のシステムに追加されます。
NFS リクエストの Windows 認証情報
ユーザーが NFS リクエストを介して Windows アクセス ポリシーを持つファイル システムへのアクセスを試行しているときにの
み、Windows 認証情報が作成され、取得されます。UID が NFS リクエストから抽出されます。関連づけられた保存期間内に各 NFS
リクエストで認証情報が作成されないようにするため、グローバルな Windows 認証情報のキャッシュがあります。Windows 認証情
報がこのキャッシュに見つかった場合、他のアクションは必要ありません。Windows 認証情報が見つからない場合、UID の名前の
検索には UDS またはローカル ファイルが照会されます。その後、この名前を使用して(必要に応じて ntxmap を使用して)Windows
ユーザーを検索し、認証情報を Windows DC または LGDB から取得します。マッピングが見つからない場合、デフォルト Windows
ユーザーの Windows 認証情報が代わりに使用されるか、アクセスが拒否されます。
CAVA(Common AntiVirus Agent)について
CAVA(Common AntiVirus Agent)は、NAS サーバーを使用しているクライアントにウイルス対策ソリューションを提供します。
Microsoft Windows Server 環境で業界標準の SMB プロトコルを使用します。CAVA は、サード パーティーのウイルス対策ソフトを
使用して、ストレージ システムのファイルに感染する前に既知のウイルスを識別して排除します。
ウイルス対策はなぜ重要なのでしょうか。
ストレージ システムは、そのアーキテクチャによってウイルスの侵入を阻止します。NAS サーバーは組み込みオペレーティング シ
ステムを使用して、データ アクセスをリアルタイムに実行します。サード パーティーがこのオペレーティング システム上でウイル
スを含むプログラムを実行することはできません。オペレーティング システムのソフトウェアはウイルスを阻止しますが、スト
レージ システムにアクセスする Windows クライアントにはウイルスからの保護が必要です。クライアントをウイルスから保護す
ることによって、ウイルスに感染したファイルをクライアントがサーバーに格納する確率が低くなり、感染ファイルがクライアン
トで開かれた場合も、クライアントが保護されます。このウイルス対策ソリューションは、オペレーティング システムのソフトウ
ェア、CAVA エージェント、サード パーティー製ウイルス対策エンジンの組み合わせで構成されます。CAVA ソフトウェアおよび
サード パーティー製ウイルス対策エンジンは、ドメイン内の Windows Server 上にインストールする必要があります。
Common Event Enabler(CEE)の一部である CAVA の詳細については、Using the Common Event Enabler on Windows Platforms
(www.dell.com/powerstoredocs)を参照してください。
コード署名
PowerStore は、新しいリリースとパッチのリリースの両方のソフトウェア アップグレードを受け入れるように設計されています。
マスター GNU Privacy Guard(GPG)キーは、すべての PowerStore ソフトウェア パッケージに署名し、Dell EMC によって制御され
ます。PowerStore ソフトウェア アップグレード プロセスによってソフトウェア パッケージの署名が検証され、改ざんまたは破損
の可能性があることを示す無効な署名が拒否されます。検証手順がアップグレード プロセスに組み込まれているため、ソフトウェ
ア パッケージの署名はインストール前のフェーズで自動的に検証されます。
認証とアクセス 27