358
CA92276-8997-01 ServerView with Data ONTAP- TM File Access and Protocols Management Guide Data ONTAP® 8.0 7-Mode

ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

  • Upload
    voliem

  • View
    274

  • Download
    29

Embed Size (px)

Citation preview

Page 1: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CA92276-8997-01

ServerView with Data ONTAP-vTM

File Access and Protocols Management Guide

Data ONTAP® 8.0 7-Mode

Page 2: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

2 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

目次

著作権に関する注意事項 ............................................................................................. 10

商標に関する注意事項 ................................................................................................ 11

このガイドについて ....................................................................................................... 12

対象ユーザー ......................................................................................................................... 12 Data ONTAP のマニュアル ページの表示................................................................................. 12 コマンドの入力場所 ................................................................................................................. 13 キーボード表記と表記規則 ....................................................................................................... 14 特記事項 ................................................................................................................................ 15

ファイル アクセス管理の概要 ........................................................................................ 16

Data ONTAP でサポートされるファイル プロトコル ..................................................................... 16 Data ONTAP によるファイル アクセス制御方法......................................................................... 16

認証ベースの制限 ...................................................................................................... 16 ファイルベースの制限 ................................................................................................. 16

NFS を使用したファイル アクセス ................................................................................. 18

ファイル システム パスのエクスポートまたはエクスポート解除 ..................................................... 18 etc/exportsファイルの編集 ......................................................................................... 19 exportfs コマンドの使用 .............................................................................................. 20

1 つ以上のファイルシステムパスに対する 1 つ以上の NFS クライアントの遮断の有効化または無効

化 .................................................................................................................................... 22 エクスポートされたファイルシステムパスに対応した実際のファイルシステムパスの表示................ 23 ファイルシステムパスのエクスポートオプションの表示 ................................................................ 24 アクセスキャッシュの管理 ......................................................................................................... 24

アクセスキャッシュへのエントリの追加 .......................................................................... 25 アクセスキャッシュのエントリの削除 .............................................................................. 26 アクセスキャッシュの統計の表示 .................................................................................. 26 アクセスキャッシュのパフォーマンスの最適化................................................................ 26 アクセスキャッシュタイムアウト値の設定 ....................................................................... 27

Kerberos v5 セキュリティサービスの有効化 .............................................................................. 28 Active Directoryベース KDC のセキュリティサービスの設定 ......................................... 29 UNIXベース KDC のセキュリティサービスの構成.......................................................... 31 Kerberos v5 セキュリティサービスをサポートする NFS クライアント ................................. 36

マウント問題のデバッグ ........................................................................................................... 37 マウントサービス統計の表示 ....................................................................................... 37 マウント要求のトレース ................................................................................................ 37

Page 3: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

目次 | 3

NFS 統計の表示 ..................................................................................................................... 38 NFSv3の有効化と無効化........................................................................................................ 38 NFSv3 および NFSv4 における FSID (File System ID)処理の相違点 ....................................... 39 NFSv4クライアントのサポート .................................................................................................. 39

NFSv4 の Data ONTAP サポートについて ................................................................... 40 NFSv4 の Data ONTAP サポートの制限 ...................................................................... 40 NFSv4における pseudo-fsのマウントポイントへの影響 ................................................ 41 NFSv4の有効化と無効化 ........................................................................................... 42 NFSv4のユーザーIDドメインの指定 ............................................................................ 42 NFSv4 ACL の管理 .................................................................................................... 43 NFSv4のオープン委譲の管理..................................................................................... 46 NFSv4のファイルおよびレコードロックの構成 ............................................................... 49 ネームサーバ データベースキャッシュのフラッシュ ......................................................... 51

PC-NFS クライアントのサポート ............................................................................................... 52 pcnfsd デーモンの仕組み ............................................................................................ 52 pcnfsd デーモンの有効化と無効化 ............................................................................... 53 ストレージシステムのローカルファイルでの PC-NFS ユーザーエントリの作成 .................. 53 umask と NFS ファイルパーミッションの連携方法 .......................................................... 54 PC-NFS ユーザーが作成したファイルおよびディレクトリの umask の定義 ....................... 54

WebNFS クライアントのサポート .............................................................................................. 54 WebNFS プロトコルの有効化と無効化 ......................................................................... 55 WebNFS のルートディレクトリの設定 ........................................................................... 55

CIFS を使用したファイルアクセス ................................................................................. 57

MMC とストレージシステムの接続 ............................................................................................ 57 ストレージシステムでの CIFS の設定 ........................................................................................ 57

サポート対象のWindowsクライアントおよびドメインコントローラ .................................... 58 cifs setup コマンドの機能 ............................................................................................ 59 システムの初期設定 ................................................................................................... 59 WINS サーバの指定 ................................................................................................... 59 ストレージシステムドメインの変更 ................................................................................. 60 プロトコルモードの変更 ............................................................................................... 61 Windowsユーザーアカウント名の指定 ......................................................................... 63 CIFS 再設定時の検討事項 ......................................................................................... 64 ストレージシステム上の CIFS の再設定 ....................................................................... 65

ストレージシステムでの SMB の設定 ........................................................................................ 66 SMB 1.0 プロトコルのサポート ..................................................................................... 66 SMB 2.0 プロトコルのサポート ..................................................................................... 66 SMB 2.0 プロトコルを有効化する場合 .......................................................................... 69 SMB 2.0 プロトコルの有効化と無効化 .......................................................................... 69

Page 4: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

4 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

SMB 2.0 永続ハンドルの有効化と無効化 ..................................................................... 70 SMB 2.0 永続ハンドルのタイムアウト値の指定 ............................................................. 70 SMB 署名 .................................................................................................................. 70 ストレージシステムの SMB2.0 プロトコルのクライアント機能の有効化と無効化 ................ 72

共有の管理............................................................................................................................. 73 共有の作成 ................................................................................................................ 73 共有のプロパティの表示と変更 .................................................................................... 76 共有の削除 ................................................................................................................ 84

アクセス制御リスト (Access Control List) .................................................................................. 85 共有レベル ACL について ........................................................................................... 85 共有レベル ACL の表示と変更 .................................................................................... 86 ファイルレベルの ACL の表示と変更 ............................................................................ 92 共有レベルでの ACL を使用したグループ ID の機能の指定 ........................................... 96

ホームディレクトリの管理 ......................................................................................................... 97 ストレージシステム上のホームディレクトリについて ........................................................ 98 Data ONTAP でのユーザとディレクトリの照合方法 ....................................................... 99 ホーム ディレクトリでのシンボリックリンクの機能............................................................ 99 ホーム ディレクトリバスの指定 ................................................................................... 100 ホーム ディレクトリパスのリストの表示 ........................................................................ 101 ホーム ディレクトリの名前形式の指定......................................................................... 101 ホーム ディレクトリパスでのディレクトリの作成 (ドメインの名前形式の場合) ................. 102 ホーム ディレクトリパスでのディレクトリの作成 (ドメインの名前形式以外の場合) .......... 103 ホーム ディレクトリのパス拡張機能を使用する場合のホーム ディレクトリにおけるサブディレ

クトリの作成 ....................................................................................................... 104 UNC 名を使用してホーム ディレクトリを指定するための構文........................................ 104 他のユーザーのホーム ディレクトリに対するアクセスの許可 ......................................... 105 共有エイリアスを使用した CIFS ホームディレクトリへのアクセス ................................... 105 共有からのWide Symbolic Link の有効化と無効化 .................................................... 106 ホームディレクトリの無効化 ....................................................................................... 106

ローカルユーザーとグループの管理........................................................................................ 106 ローカルユーザの管理 .............................................................................................. 107 ローカルグループの管理 ........................................................................................... 109

グループポリシーオブジェクトの適用 ....................................................................................... 112 ストレージシステムで GPO を使用するための要件 ...................................................... 113 ストレージシステムと OU の関連付け ......................................................................... 113 ストレージシステム上での GPO サポートの有効化と無効化 ......................................... 113 ストレージシステム上での GPO の管理 ...................................................................... 114

oplock でのクライアントパフォーマンスの向上.......................................................................... 121 oplocksを使用するときの書き込みキャッシュデータ消失に関する考慮事項 .................. 121 ストレージシステムでの oplock の有効化と無効化 ....................................................... 121

Page 5: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

目次 | 5

qtree での oplock の有効化と無効化 ......................................................................... 122 oplock ブレークを送信するための遅延時間の変更 ...................................................... 123

認証とネットワーク サービスの管理......................................................................................... 124 認証問題について .................................................................................................... 124 ストレージシステムの最小セキュリティレベルの設定 .................................................... 125 Kerberosのパッシブリプレイアタックの防御 ................................................................ 126 ドメインコントローラと LDAP サーバの選択 ................................................................. 126 非-Kerberos環境でストレージにアクセスするための null セッションの使用 .................... 131 ストレージシステムの NetBIOSエイリアスの作成 ........................................................ 134 NetBIOS over TCP の無効化 ................................................................................... 135

CIFS アクティビティの監視 ..................................................................................................... 136 ユーザを指定するさまざまな方法 ............................................................................... 136 セッション情報の要約の表示...................................................................................... 137 アイドルセッションのタイムアウト ................................................................................ 137 統計のトラッキング .................................................................................................... 137 特定の統計の表示 .................................................................................................... 139 統計クエリの保存と再使用 ........................................................................................ 139 CIFS リソースの制限 ................................................................................................ 139

CIFS サービスの管理 ............................................................................................................ 140 MMC を使用した特定のクライアントの切断 ................................................................. 140 コマンドラインによる選択したユーザの切断 ................................................................. 140 ストレージシステム全体での CIFS サービスの無効化 .................................................. 141 CIFS シャットダウンメッセージを受信するユーザの指定 ............................................... 142 CIFS サービスの再開 ............................................................................................... 142 ストレージシステム上のすべてのユーザへのメッセージ送信 ......................................... 143 ストレージシステムの説明の表示と変更 ..................................................................... 144 ストレージシステムのコンピュータ アカウントパスワードの変更 ..................................... 144 Windows管理ツールを使用したファイル管理 ............................................................. 145

アクセス制御問題のトラブルシューティング .............................................................................. 145 権限トレースフィルターの追加 .................................................................................... 146 権限トレースフィルターの削除 .................................................................................... 147 権限トレースフィルターの表示 .................................................................................... 147 Data ONTAP で特定のクライアントまたはユーザへのアクセスが許可拒否される理由の詳細

の取得 ............................................................................................................... 148 Fpolicy の使用 ...................................................................................................................... 149

Fpolicy の概要 ......................................................................................................... 149 Data ONTAP 内での Fpolicyの使用 ......................................................................... 156 ネイティブファイルブロッキングの使用方法.................................................................. 157 Fpolicy との連携....................................................................................................... 161 FAQ、エラーメッセージ、警告メッセージ、およびキーワード .......................................... 209

Page 6: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

6 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

NFS と CIFS 間でのファイル共有 ............................................................................... 223

NFS と CIFS のファイルのネーミング規則について .................................................................. 223 ファイル名の長さ....................................................................................................... 224 ファイル名に使用できる文字 ...................................................................................... 224 ファイル名での大文字と小文字の区別 ........................................................................ 224 小文字のファイル名の作成 ........................................................................................ 224 Data ONTAP でのファイル名の作成方法 ................................................................... 225 CIFS クライアント上でのドットファイルの表示の制御 .................................................... 225

UNIXと Windows間におけるファイル名の文字変換の有効化 .................................................. 226 文字の制限事項 ....................................................................................................... 227

ボリュームからの文字マッピングの削除 .................................................................................. 227 プロトコル間のファイルロッキングについて .............................................................................. 227 読み取り専用ビットについて ................................................................................................... 228

読み取り専用ビットが設定されたファイルの削除 .......................................................... 229 CIFS クライアントの UNIXクレデンシャルの管理 ..................................................................... 229

CIFS ユーザーによる UNIXクレデンシャルの取得方法 ............................................... 230 特定の CIFS ユーザだけが UNIXクレデンシャルを受信できるように設定する方法 ........ 231

SID と名前のマッピングキャッシュの管理 ................................................................................ 241 SID と名前のマッピングキャッシュの有効化と無効化 ................................................... 242 SID と名前のマッピングエントリの有効期間の変更 ...................................................... 242 SID と名前のマッピングキャッシュの全体または一部の消去 ......................................... 242

LDAP(Lightweight Directory Access Protocol)サービスの使用 .............................................. 243 LDAP サービスの設定 .............................................................................................. 244 クライアント認証と許可の管理 .................................................................................... 249 LDAP ユーザマッピングサービスの管理 ..................................................................... 251 ユーザーマッピングのためのベースと範囲の指定 ........................................................ 252 Active Directory LDAP サーバの管理 ....................................................................... 252 LDAP スキーマの管理 .............................................................................................. 255

fsecurity コマンドによるストレージレベルアクセスガードの有効化 .............................................. 256 fsecurity コマンドについて ......................................................................................... 257 ジョブ定義ファイルの生成と編集 ................................................................................ 257 ジョブ定義ファイル要素の指定 ................................................................................... 259 セキュリティジョブの作成とストレージオブジェクトへの適用 ........................................... 259 セキュリティ ジョブのステータスの確認と取り消し ......................................................... 260 ファイルおよびディレクトリのセキュリティ設定の表示 .................................................... 261 ストレージレベルのアクセス保護の削除 ...................................................................... 261

システムアクセスイベントの監査 ............................................................................................. 262 監査について ........................................................................................................... 262 Data ONTAP で監査できるイベント ............................................................................ 262

Page 7: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

目次 | 7

システムイベントの監査の設定 .................................................................................. 264 イベント詳細画面の表示と概要 .................................................................................. 275

シンボリックリンクへの CIFSアクセスの制御 ........................................................................... 279 クライアントのシンボリックリンク参照の有効化............................................................. 279 CIFS クライアントとシンボリックリンクの連動の指定 ..................................................... 280 ファイルへのシンボリックリンクを使用しない理由 ......................................................... 280 Map エントリについて ................................................................................................ 281 Widelink エントリについて.......................................................................................... 281 シンボリックリンクに対する共有の境界チェックの無効化 .............................................. 282 絶対シンボリックリンクのリダイレクト........................................................................... 283 ストレージシステムによる Map と Widelinkエントリの使用方法..................................... 285

CIFS クライアントに対する NFS ディレクトリアクセスの最適化 .................................................. 285 Unicode 形式のディレクトリの作成 ............................................................................. 286 Unicode 形式への変換 ............................................................................................. 286

CIFS クライアントで大文字のファイル名が作成されないようにする方法 ..................................... 286 NFS クライアントからの CIFSファイルへのアクセス ................................................................. 287

WAFLクレデンシャルキャッシュへのマッピングエントリの追加 ...................................... 287 WAFLクレデンシャルキャッシュからのマッピングエントリの削除 ................................... 288 マッピングエントリの有効時間の設定 .......................................................................... 289 WAFLクレデンシャルキャッシュ統計の監視................................................................ 289 マッピング不整合への対処 ........................................................................................ 291 CIFS ログインの追跡 ................................................................................................ 292 ドメインコントローラ接続の追加 .................................................................................. 292

UNIX の「実行」権限がない CIFS クライアントへの.dll および.exeファイルの暗黙的な実行権限の付

与 .................................................................................................................................. 293

FTP を使用したファイルアクセス ................................................................................. 294

FTP の管理 .......................................................................................................................... 294 FTP サーバの有効化と無効化 ................................................................................... 294 TFTP サーバの有効化と無効化 ................................................................................. 295 FTPファイルロッキングの有効化と無効化 .................................................................. 295 FTP 認証形式の指定 ................................................................................................ 295 FTP トラバースチェックのバイパスの有効化と無効化 .................................................. 297 FTPアクセスの制限 ................................................................................................. 297 FTP ログファイルの管理 ............................................................................................ 299 FTP サーバで生成された SNMP トラップの表示 .......................................................... 302 FTP の統計の表示 ................................................................................................... 303 FTP の統計のリセット ................................................................................................ 303 FTP 接続の最大数の指定 ......................................................................................... 303 TFTP 接続の最大数の指定 ....................................................................................... 304

Page 8: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

8 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

FTP 接続しきい値の設定 .......................................................................................... 304 FTP 処理用の TCP ウィンドウサイズの指定 ............................................................... 304 FTPアイドルタイムアウト値の指定 ............................................................................. 305 匿名 FTPアクセスの管理 .......................................................................................... 305

HTTP を使用したファイルアクセス .............................................................................. 307

Data ONTA の ビルドイン HTTP サーバの管理....................................................................... 307 Data ONTAP のビルドイン HTTPサーバの有効化と無効化 ........................................ 307 HTTP トラバースチェックのバイパスの有効化と無効化 ................................................ 308 Data ONTAP のビルドイン HTTPサーバのルートディレクトリの指定 ............................ 308 Data ONTAP のビルドイン HTTPサーバのログファイルの最大サイズの指定 ............... 309 Data ONTAP のビルドイン HTTPサーバのテスト ....................................................... 309 Data ONTAP のビルドイン HTTPサーバでの MIME コンテンツタイプとファイル名拡張子の

マッピング方法の指定 ......................................................................................... 310 Data ONTAP のビルドイン HTTPサーバでの HTTP要求の変換方法の指定 ............... 311 MIME コンテンツタイプの値の設定 ............................................................................. 313 Data ONTAP のビルドイン HTTPサーバのセキュリティーの維持 ................................. 314 Data ONTAP ビルドイン HTTP サーバの統計の表示 .................................................. 320 Data ONTAP のビルドイン HTTPサーバの統計のリセット ........................................... 323 Data ONTAP のビルドイン HTTPサーバの接続情報の表示 ....................................... 323

サードパーティ製 HTTP サーバの購入とストレージシステムへの接続........................................ 324

WebDAV を使用したファイルアクセス ........................................................................ 326

WebDAVの概要 .................................................................................................................. 326 Data ONTAP ビルドインWebDAVサーバの管理 ................................................................... 327

Data ONTAP ビルドインWebDAVサーバの有効化と無効化 ...................................... 327 WebDAVクライアントからのホームディレクトリの参照 ................................................. 327

サードパーティ製WebDAVサーバの購入とストレージストレージシステムへの接続.................... 328

システム メモリによる CIFS のリソース制限値 ............................................................. 329

FAS 60xx シリーズ ストレージシステムの制限......................................................................... 329 FAS 30xx および 31xx シリーズ ストレージ システムの制限 ..................................................... 329 FAS 2040 シリーズ ストレージ システムの制限 ....................................................................... 330

イベントログと監査ポリシーのマッピング ..................................................................... 331

イベントログのマッピング値 .................................................................................................... 331 監査のマッピング値 ............................................................................................................... 332

用語集 ....................................................................................................................... 334

Page 9: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

目次 | 9

Page 10: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

著作権に関する注意事項

Copyright © 1994–2010 NetApp, Inc. All rights reserved. Printed in the U.S.A.

このマニュアルは著作権によって保護されています。著作権所有者の書面による事前承諾があ

る場合を除き、画像媒体、電子媒体、および写真複写、記録媒体、テープ媒体、電子検索シス

テムへの組み込みを含む機械媒体など、いかなる形式および方法による複製も禁止します。

NetApp の著作物から派生したソフトウェアは、次に示す使用許諾条項および免責条項の対象

となります。

このソフトウェアは、NetApp によって「現状のまま」提供されています。明示的または商品性

および特定目的に対する適合性の黙示性の黙示的保証を含み、かつこれに限定されないいかな

る暗示的な保証も放棄します。NetApp は、代替品または代替サービスの調達、使用不能、デ

ータ損失、利益損失、業務中断を含み、かつこれに限定されない、このソフトウェアの使用に

より生じたすべての直接的損害、間接的損害、偶発的損害、特別損害、懲罰的損害、必然的損

害の発生に対して、損失の発生の可能性が通知されていたとしても、その発生理由、根拠とす

る責任論、契約の有無、厳格責任、不法行為 (過失またはそうでない場合を含む) に関わらず、

一切の責任を放棄します。

NetApp は、ここに記載されているすべての製品に対する変更を随時、予告なく行う権利を保

有します。NetApp による明示的な書面による合意がある場合を除き、ここに記載されている

製品の使用により生じる責任および義務に対して、NetApp は責任を放棄します。この製品の

使用または購入は、NetApp の特許権、商標権、または他の知的所有権に基づくライセンスの

供与とはみなされません。

このマニュアルに記載されている製品は、1 つ以上の米国特許、外国特許、および係属中の出

願によって保護されている場合があります。

権利の制限について:

政府による使用、複製、開示は DFARS 252.277-7103 (1988 年 10 月)の Rights in Technical Data and software(技術データおよびコンピュータソフトウェアに関する諸権利)条項の

(c)(1)(ii) 項、および FAR 52-227-19 (1987 年 6 月)に規定された制限が適宜適用されます。

Page 11: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

商標に関する注意事項|11

商標に関する注意事項

「NetApp」、 「NetApp のロゴ」、 「Network Appliance のロゴ」、 「Bycast」、 「Cryptainer」、 「Cryptoshred」、 「DataFabric」、 「Data ONTAP」、 「Decru」、 「Decru DataFort」、 「FAServer」、 「FilerView」、 「FlexCache」、 「Flexclone」、 「FlexShare」、 「FlexVol」、 「Fpolicy」、 「gFiler」、 「Go further, faster」、 「Manage ONTAP」、 」Multistore」、 「Nearstore」、 「NetCache」、 「NOW」 (NetApp on the Web)、 「ONTAPI」、 「RAID-DP」、 「SANscreen」、 「SecureShare」、 「Simulate」、「ONTAP」、 「SnapCopy」、 「SnapDrive」、 「SnapLock」、 「SnapManager」、 「SnapMirror」、 「SnapMover」、 「Snaprestore」、 「SnapValidator」、 「SnapVault」、 「Spinnaker Networks」、 「Spinnaker Networks のロゴ」、 「SpinAccess」、 「SpinCluster」、 「SpinFlex」、 「SpinFS」、 「SpinHA」、 「SpinMove」、 「SpinServer」、 「SpinStor」、 「storageGRID」、 「storeVault」、 「SyncMirror」、 「Topio」、 「vFiler」、 「VFM」、 「WAFL」 は、 米国、その他の国、またはその両方に

おけるNetApp, Inc. の登録商標です。 「Network Appliance」、 「Snapshot」、 「The evolution of storage」は米国、その他の国、またはその両方におけるNetApp, Inc. の商標、および一部の国にお

ける登録商標です。 「StoreVault のロゴ」、 「ApplianceWatch」、 「ApplianceWatch PRO」、 「ASUP」 、 「AutoSupport」、 「ComplianceClock」、 「DataFort」、 「Data Motion」、 「FlexScale」、 「FlexSuite」、 「Lifetime Key Management」、 「LockVault」、 「NOW」、 「MetroCluster」、 「OpenKey」、 「ReplicatorX」、 「SecureAdmin」、 「Shadow Tape」、 「SnapDirector」、 「SnapFilter」、 「SnapMigrator」、 「SnapSuite」、 「Tech OnTap」、 「Virtual File Manager」、 「Vpolicy」、「Web Filer」は、米国、その他の国、またはその両方におけるNetApp, Inc. の商標です。 「Get Successful」 「Select」 は米国における NetApp, Inc. の役務商標です。

「IBM」、 「IBM のロゴ」、 ならびに、 「ibm.com」 は、米国、その他の国、またはその両方における

International Business Machines Corporation の登録商標です。 その他のすべてのIBM商標の最

新のリストは、 Webサイト( www.ibm.com/legal/copytrade.shtml)から入手できます。

Apple は米国、その他の国、またはその両方におけるApple, Inc. の登録商標です。QuickTime は米

国、その他の国、またはその両方におけるApple, Inc. の商標です。 Microsoft は米国、その他の国、

またはその両方におけるMicrosoft Corporationの登録商標でです。Windows Media は、同社の米

国、その他の国、またはその両方における商標です。 「RealAudio」、 「RealNetworks」、 「RealPlayer」、 「RealSystem」、 「RealText」、ならびに、 「RealVideo」は、 米国、その他の国、また

はその両方におけるRealNetworks, Inc. の登録商標です。「SureStream」 は米国、その他の国、ま

たはその両方におけるRealNetworks, Inc. の商標です。

その他すべてのブランドおよび製品は、それを所有する各社の商標または登録商標であり、相応の取

り扱いが必要です。

NetApp, Inc. は「CompactFlash」 ならびに 「CF Logo」の商標に対する使用許諾を有しています。

NetApp, Inc. の「NetCache」は RealSystem の認定互換製品です。

Page 12: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

12 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

このガイドについて

この文書の対象読者ならびにこの文書が情報を掲載するために用いている表記規約を理解すれ

ば、 お使いの製品をより効果的に使用できます。

メモ:このマニュアルは、Vシリーズ システムを含めたData ONTAP 8.0 7-Modeを実行する

システムに適用されます。Data ONTAP 8.0 7-Mode製品名での 7-Modeは、Data ONTAP 7.0、7.1、7.2 または 7.3 リリース ファミリーを使用していた場合、このリリースがこれ

まで使用していた機能と特徴を備えていることを意味します。Data ONTAP 8.0 Cluster-Modeを使用している場合、nodeshellから 7-Modeコマンドでアクセスする機能について

は、Data ONTAP 8.0 Cluster-ModeのマニュアルとData ONTAP 8.0 7-Modeのマニュアル

を使用してください。

次のトピック

対象ユーザー Data ONTAP のマニュアル ページの表示 コマンドの入力場所 キーボード表記と表記規則 特記事項

対象ユーザー

このガイドは、ユーザが一定の技術知識と経験を有していることを前提として作成されていま

す。このマニュアルは、ストレージシステムのクライアント上で動作するオペレーティング システム

(UNIX®や Windows®など)に精通しているシステム管理者を対象としています。

このマニュアルを使用するには、ストレージ システムの構成方法や、Network File System(NFS)、Common Internet File System(CIFS)、Hypertext Transport Protocol(HTTP)、

File Transport Protocol(FTP)、および Web-based Distributed Authoring and Versioning(WebDAV)を使用したファイル共有またはファイル転送に関する詳しい知識も必要です。

このマニュアルでは、基本システムやネットワーク管理のトピック(IP アドレスの指定、ル

ーティング、ネットワーク トポロジなど)については説明せず、ストレージ システムの特徴

に重点を置いています。

Data ONTAP のマニュアル ページの表示

技術的な情報については、Data ONTAP マニュアル (man) ページを利用できます。

このタスクについて

次のタイプの情報について、Data ONTAP マニュアル ページが用意されています。これらの

Page 13: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

このガイドについて |13

ページは、UNIX の標準命名規則に従って、複数のセクションに分類されています。

手順

1. マニュアル ページを表示するには、次のいずれかの操作を実行してください。

• コンソールのコマンド ラインで次のコマンドを入力します。

man command_or_file_name

• FilerView ユーザー インターフェースの Data ONTAP ナビゲーション ページで manual pages ボタンをクリックします。

メモ:Data ONTAP 8.0 7-Mode のすべてのマニュアル ページは、システム上で他の

マニュアル ページと区別するために名前の先頭に「na_」が付加されたファイルに

保管されています。これらの接頭辞付きの名前は、マニュアル ページの NAME フ

ィールドに表示されることがありますが、これらの接頭辞はコマンド名、ファイル

名、およびサービス名の一部ではありません。

コマンドの入力場所

このマニュアルで使用されているコマンド表記を理解すると、製品をより効率的に使用できるよ

うになります。

一般的な管理者向け作業を、次の 1 つ以上の方法で実行できます。

メモ:このマニュアルで示すData ONTAPコマンドは、Data ONTAP 8.0 7-ModeおよびData ONTAP 7.xリリース ファミリー向けです。ただし、これらのコマンドの一部は、Data ONTAP 8.0 Cluster-Modeを実行するシステムのnodeshellプロンプトでも使用できます。詳

細は、『Data ONTAP 8.0 Cluster-ModeAdministration Reference』を参照してください。

• コマンドは、システム コンソール、または Telnet または Secure Shell(SSH)セッシ

ョンを使用してストレージ システムにアクセスできる任意のクライアント コンピュー

タから入力できます。コマンド実行を説明する例では、コマンド構文と出力は、お使い

のオペレーティング システムのバージョンによっては入力内容および表示内容が異なる

場合があります。 • FilerView グラフィカル ユーザ インターフェースを使用できます。

情報のタイプ マニュアルページのセクション

コマンド 1

特別なファイル 4

ファイルの形式と規約 5

システム管理とサービス 8

Page 14: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

14 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

キーボード表記と表記規則

このマニュアルで使用されているキーボード表記と表記規則を理解すると、製品をより効率的に利用する

ことができます。

キーボード規則

書式規則

規約 意味

斜体フォント • 特別な注意が必要な単語または文字

• 入力が必要な情報のプレースホルダー 例えば、ガイドから arp -d hostname コマンドの入力が指示された場合は、文字「arp -d」を入力

し、その後にホストの実際の名前を入力します。

• クロス リファレンス付きの書名

等幅フォント • コマンド名、オプション名、キーワード、デーモン名

• システム コンソールまたは他のコンピューター モニターに表示される情報

• ファイルのコンテンツ。

• ファイル、パス、およびディレクトリ名

等幅太字フォント 入力する単語または文字。プログラムが正常に機能するために大小文字を区別す

る必要がない限り、入力内容は常に小文字で表記されます。

表記規則 意味

NOW サイト NetApp On the Web (http://now.netapp.com/). Enter, enter • キャリッジ リターン(改行)キーです。キーボードによっては、「Return」キーと呼ばれ

ています。

• キーボードの1つ以上のキーを押してから「Enter」キーを押すか、またはグラフィカ

ル インターフェイスのフィールドをクリックして情報をフィールドに入力することを示し

ます。

ハイフン(-) 個々のキーを区切るために使用される。例えば、Ctrl-D とは Ctrl キーを押しながら D キーを押すこと。

タイプ(入力) キーボードで 1 つまたは複数のキーを押すこと

Page 15: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

このガイドについて |15

特記事項

このマニュアルには、注意が必要な条件を通知する、次の種類のメッセージが記載されている場合があり

ます。

メモ: メモには、システムのインストールや操作を効率的に行うのに役立つ重要な情報が記述さ

れています。

注意: 注意には、システム クラッシュ、データ損失、または装置へのダメージを回避するため

に従う必要のある指示が記述されています。

Page 16: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

16 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ファイル アクセス管理の概要

Data ONTAP を使用すると、さまざまなプロトコルのファイルアクセスを管理できます。

次のトピック

Data ONTAP でサポートされるファイル プロトコル Data ONTAP によるファイル アクセス制御方法

Data ONTAP でサポートされるファイル プロトコル

Data ONTAP は、NFS、CIFS、FTP、HTTP、および WebDAV など、最も一般的なファイ

ル プロトコルをすべてサポートします。

Data ONTAP によるファイル アクセス制御方法

Data ONTAP では、指定された認証ベースおよびファイル ベースの制限に従ってファイル

アクセスが制御されます。

次のトピック

認証ベースの制限 ファイルベースの制限

認証ベースの制限

認証ベースの制限を使用すると、ストレージ システム全体に接続できるクライアント マシ

ンおよびユーザーを指定できます。

Data ONTAP は、 UNIX および Windows サーバの両方の Kerberos 認証をサポートします。

ファイルベースの制限

ファイルベースの制限を使用して、ファイルごとにアクセス可能なユーザを指定することが

できます。

ユーザーがファイルを作成すると、Data ONTAP では、そのファイルにアクセス許可のリス

トが生成されます。このアクセス許可リストの形式はプロトコルごとに異なりますが、読み

取り/書き込み権限などの共通事項は必ず含まれます。

あるユーザがファイルにアクセスしようとすると、Data ONTAP は許可リストを使用してア

クセスを許可するかどうかを決定します。アクセスはユーザーが実行中の操作(読み取り/書き込みなど)および次の要素に基づき、許可または拒否されます。

• ユーザー アカウント

• ユーザー グループまたはネットグループ

• クライアントのプロトコル

Page 17: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

ファイル アクセス管理の概要|17

• クライアントの IP アドレス

• ファイル 形式

Data ONTAP は検証プロセス中に、Lightweight Directory Access Protocol(LDAP)

Network Information Service (NIS)、またはローカル ストレージ システム情報など、指

定された検索サービスを使用して、ホスト名を IP アドレスにマッピングします。

Page 18: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

18 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

NFS を使用したファイル アクセス

ご使用のストレージ システムでファイル システム パスのエクスポートおよび解除を実行でき

ます。エクスポートおよびエクスポート解除によって、それぞれ、PC-NFS や WebNFS クラ

イアントなどの NFS クライアントによるマウントが有効または無効になります。

次のトピック

ファイル システム パスのエクスポートまたはエクスポート解除 1 つ以上のファイルシステムパスに対する 1つ以上の NFS クライアントの遮断の有効化または無

効化 エクスポートされたファイルシステムパスに対応した実際のファイルシステムパスの表示 ファイルシステムパスのエクスポートオプションの表示 アクセスキャッシュの管理 Kerberos v5 セキュリティサービスの有効化 マウント問題のデバッグ NFS 統計の表示 NFSv3 の有効化と無効化 NFSv3 および NFSv4 における FSID (File System ID)処理の相違点 NFSv4 クライアントのサポート PC-NFS クライアントのサポート WebNFS クライアントのサポート

ファイル システム パスのエクスポートまたはエクスポート解除

ファイル システム パスをエクスポートまたはエクスポート解除して、 これらのパスを NFS クライアントで有効または無効にするには、/etc/exports ファイルを編集するかまたは exportfs コマンドを実行します。

作業を開始する前に

セキュアな NFS アクセスをサポートするには ( sec=krb* のエクスポート オプションを使用)、 最初に Kerberos v5 セキュリティ サービスを有効にする必要があります。

このタスクについて

複数のエクスポート エントリに永久的な変更を1度に行う必要がある場合は、/etc/exports ファ

イルを編集する方法が最も簡単です。 しかし、エクスポート エントリを1つ変更する必要が

ある場合や、一時的に変更する必要がある場合は、通常、 exportfs コマンドを実行する方法が

最も簡単です。

次のトピック

/etc/exports ファイルの編集 exportfs コマンドの使用

Page 19: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|19

/etc/exportsファイルの編集

NFS が起動した際に Data ONTAP が自動的にエクスポートするかを指定するには、 /etc/exports ファイルを編集します。 その詳細については、 na_exports(5) のマニュアル ページ

を参照してください。

作業を開始する前に

nfs.export.auto-update オプションが on (デフォルト)の場合、Data ONTAP は、ボリュームの

作成、 名前変更、 または、 あるいは削除の際に/etc/exports ファイルを自動的に更新します。 詳細については、 na_exports(1) のマニュアル ページを参照してください。

メモ: /etc/exports ファイルの最大エントリ数は 10,240 です。 各エクスポート エントリの

最大文字数は、行末文字を含め、 4,096 文字です。

このタスクについて

export エントリには、次の構文があります。

path -option[, option...]

export エントリの構文で、path はファイル システム パス (例えば、 ボリューム、 ディレクト

リ、 或いは、 ファイルへのパス) であり、 option は次の情報を指定するエクスポート オプシ

ョンです。

• NFS クライアントと、各クライアントが保持するアクセス権限 (読み取り専用、 読み取

り/書き込み、 または root) の対応関係。

• ファイル システム パスにアクセスするすべての anomymous または root の NFS クライ

アント ユーザーのユーザー ID (または名前)

• NFS クライアント ユーザーが setuid ならびに setgid 実行可能ファイルを作成して、ファ

イル システム パスにアクセスする際、 mknod コマンドを使用するかどうか。

• NFS クライアントがファイル システム パスへのアクセスでサポートする必要があるセキ

ュリティの種類

• エクスポートされたファイル システム パスに対応した実際のファイル システム パス

手順

1. ストレージ システムに対する root アクセス権を持つ NFS クライアント上で、/etc/exports ファイルをテキスト エディタで開きます。

2. 変更します。

3. ファイルを保存します。

コマンド実行後の作業

テキスト エディタを使用して/etc/exports ファイルを変更した場合は、 /etc/exports ファイル

にあるすべてのファイル システム パスをエクスポートするか、現在エクスポートされたファ

イル システム パスと/etc/exports ファイルで指定されたファイル システム パスを同期するま

で、 変更は有効になりません。

Page 20: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

20 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

メモ: -b、 -p、 または、 -z オプションを指定して exportfs コマンドを実行した場合も、

/etc/exports ファイルは変更されます。

exportfs コマンドの使用

ファイル システム パスのエクスポートまたはエクスポート解除をコマンドラインから実行す

るには、 exportfs コマンドを実行します。 その詳細については、 na_exportfs(1)のマニュア

ル ページを参照してください。

次のトピック

ファイルシステムパスのエクスポート ファイルシステムパスのエクスポート解除 /etc/exports ファイルに指定されたすべてのファイルシステムパスのエクスポート

ファイルシステムパスのエクスポート

/etc/ exports ファイルに対応するエントリを追加または追加せずにファイル システム パスをエ

クスポートできます。 さらに、/etc/exports ファイルに指定されているすべてのファイル シス

テム パスをエクスポートできます。

次のトピック

ファイル システム パスのエクスポートおよび/etc/exports ファイルに対応するエントリの追加 対応するエントリを/etc/exports ファイルに追加しない場合のァイル システムパスのエクスポート /etc/exports ファイルに指定されたすべてのファイルシステムパスのエクスポート

ファイル システム パスのエクスポートおよび/etc/exportsファイルに対応するエントリの追加

ファイル システム パスをエクスポートして、対応する export エントリを/etc/exports ファイ

ルに追加するには、exportfs -p コマンドを使用します。

手順

1. 次のコマンドを入力します。

exportfs -p [options] path

options はエクスポート オプションのコンマで区切りのリストを表します。

(詳細については、 na_exports(5) マニュアル ページをご参照ください。)

path は、ファイル システム パス (例えば、ボリューム、ディレクトリ、ファイルへのパス)を表します。

メモ: エクスポート オプションを1つも指定しない場合、Data ONTAP はファイル システム パスを rw および sec=sys のエクスポート オプションで自動的にエクスポートします。

Page 21: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|21

対応するエントリを/etc/exportsファイルに追加しない場合のァイル システムパスのエクスポート

対応する export エントリを/etc/exports ファイルに追加しないでファイル システム パスを

エクスポートするには、exportfs -io コマンドを入力します。

手順

1. 次のコマンドを入力します。

exportfs -io [options] path

options は、エクスポート オプションのコンマで区切りのリストを表します。 詳細について

は、 na_exports(5) マニュアル ページをご参照ください。

path は、ファイル システム パス (例えば、 ボリューム、 ディレクトリ、 或いは、 ファイル

へのパス)を表します。

メモ: エクスポート オプションを指定しない場合、 Data ONTAP は、 /etc/exports ファイル

にあるファイル システム パスに指定されたエクスポート オプションを使用します。

/etc/exportsファイルに指定されたすべてのファイルシステムパスのエクスポート

exportfs -a コマンドにより、/etc/exports ファイルに指定されているすべてのファイル システ

ム パスをエクスポートできます。

手順

1. 次のコマンドを入力します。

exportfs -a

ファイルシステムパスのエクスポート解除

特定のファイル システム パスをエクスポート解除したり、 対応するエントリを/etc/exports フ

ァイルから任意に削除したりすることができます。また、対応するエントリを /etc/exports ファ

イルから削除せずに、すべてのファイル システム パスをエクスポート解除することもできま

す。

次のトピック

特定のファイルシステムパスのエクスポート解除 すべてのファイルシステムパスのエクスポート解除

特定のファイルシステムパスのエクスポート解除

対応するエントリを /etc/exports ファイルから削除せずに、特定のファイルシステムパスをエ

クスポート解除するには、exportfs -u コマンドを使用します。特定のファイルシステムパスを

エクスポート解除して、対応するエントリを/etc/exports ファイルから削除するには、exportfs -z コマンドを使用します。

Page 22: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

22 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

手順

1. 次の操作の 1 つを行います。

特定のファイルシステムパスをエクスポートする場合の操作 操作

/etc / exportsファイルから対応するエントリを削除せずに削除しな

い場合

次のコマンドを入力します。 exportfs -u path path は、ファイルシステムのパスです。

c/exports ファイルから対応するエントリを削除する 場合

次のコマンドを入力します。 exportfs -z path path は、ファイルシステムのパスです。

すべてのファイルシステムパスのエクスポート解除

対応するエントリを/etc/exports ファイルから削除せずに,すべてのファイルシステムパスをエクス

ポート解除するには、exportfs -ua コマンドを入力します。

メモ: このコマンドを実行すると、 すべてのファイル システム パスをアンマウントして、 ストレージ システムからすべての NFS クライアントを切断します。

手順

1. 次のコマンドを入力します。

exportfs -ua

-u は、ファイル システム パスをアンエクスポートするように指定します。

-a は、すべてのファイル システム パスを指定します。

現在エクスポートされたファイルシステムパスと/etc/exportsファイルで指定されたものと同期

exportfs -r コマンドを使用して /etc/ exports ファイルに指定されたすべてのファイル システ

ム パスをエクスポートして、 /etc/exports ファイルに指定されていないすべてのファイル システム パスをアンエクスポートできます。

手順

1. 次のコマンドを入力します。

exportfs -r

1 つ以上のファイルシステムパスに対する 1 つ以上の NFS クライアントの遮断の有効化また

は無効化

遮断を使用すると、複数の ファイルシステムパスへの読み取り専用アクセスまたは読み取り/書き込みアクセスを、複数の NFS クライアントに一時的または永続的に付与することができ

Page 23: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|23

ます。

タスク概要

遮断を有効または無効にすると、 Data ONTAP は指定された NFS クライアントを新しいア

クセス リストの前に移動します (rw= または ro=)。 この順序変更によって、元のエクスポー

ト ルールが変更されることがあります。

手順

1. 次のコマンドを入力します。

exportfs -b enable | disable save | nosave allhosts |

clientid[:clientid...] allpaths | path[:path...]

目的 操作

遮断を有効にする場合 enable オプションを指定

遮断を無効にする場合 disable オプションを指定

/etc/exports ファイルを更新する場合 save オプションを指定

/etc/exports ファイルが更新を禁止する場合 nosave オプションを指定

すべての NFS クライアントを対象にする場合 allhosts オプションを指定

エクスポートされたすべてのファイル システム パスを対

象にする場合 allpaths オプションを指定

特定の NFS クライアント セットを対象にする場合 NFS クライアント識別子のコロンで区切りリストを指

特定のファイル システム パスを対象にする場合 ファイル システム パスのコロンで区切りリストを指定

Data ONTAP では遮断を有効または無効にする前に、キュー内のすべての NFS 要求が処理さ

れるため、すべてのファイル書き込みは完了します。

エクスポートされたファイルシステムパスに対応した実際のファイルシステムパスの表示

エクスポートされたファイルシステムパスに対応した実際のファイルシステムパスを表示する

には、exportfs -s コマンドを使用します。

タスク概要

ファイル システムの実際のパスは -actual オプションを使用してファイルシステムパスをエク

スポートする場合を除いて、エクスポートされるパスと同じです。詳細については、 na_exports(5) マニュアル ページを参照してください。

手順

1. 次のコマンドを入力します。

exportfs -s path

path はエクスポートされたファイル システム パスを指定します。

Page 24: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

24 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ファイルシステムパスのエクスポートオプションの表示

エクスポート問題のデバックに役立つファイルシステムパスのエクスポートオプションを表示

するには、exportfs -q コマンドを使用します。

手順

1. 次のコマンドを入力します。

exportfs -q path

path はファイル システム パスを指定します。

結果

メモ: Data ONTAP はオプションのルール識別子も表示されますが、診断コマンドを使用し

ないかぎり、ルール識別子は必要ありません。 詳細については、 テクニカル サポートに

お問い合わせください。

アクセスキャッシュの管理

ファイル システム パスに NFS クライアント アクセス を許可または拒否する際に、 リバー

ス DNS 検索の実行やネットグループ解析の実行頻度を軽減できるように、Data ONTAP はア

クセス キャッシュが使用されます。

NFS クライアントがファイル システム パスにアクセスしようとするときは、Data ONTAP はそのアクセスを許可するか拒否するかを判別する必要があります。 最も単純なケース (例えば、

ファイル システム パスが ro または rw オプションのみを使用してエクスポートされる場合を

除き)、 Data ONTAP は次の情報に対応するアクセス キャッシュ内の値に基づいて許可または

拒否を実行します。:

• ファイル システム パス

• NFS クライアントの IP アドレス、 アクセス タイプ、 ならびに、 セキュリティ タイプ

該当する値がアクセスキャッシュエントリに存在しない場合(たとえば、Data ONTAP が以前

にアクセスの判断をしていない場合や、この特定の NFS クライアントとシステムパスの組み

合わせに対応するアクセスキャッシュエントリを exportfs -c コマンドを使用して作成してい

なかった場合)、Data ONTAP は次の情報を比較して、その結果に基づいてアクセスの許可ま

たは拒否を実行します:

• NFS クライアントの IP アドレス (または、 必要に応じてホスト名)、 アクセス タイプ、 ならびに、 セキュリティ タイプ

• ファイル システム パスのエクスポート オプション

Data ONTAP はこの比較結果をアクセス キャッシュに保存します。

リバース DNS 検索を実行したりネットグループを解析したりする機会を減らすため、比較処

Page 25: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|25

理を 3 段階に分割して行われます。 NFS クライアントがファイル システム パスへのアクセ

ス許可があるかどうかを判断する必要がある場合にだけ、 各段階の比較が連続して行われま

す。

第1段階では、 NFS クライアントの IP アドレスとすべてのエクスポートルート(単一 IP アド

レスを含むすべての IP アドレス、サブネット、 ならびに、 Data ONTAP が以前に IP アドレ

スへの名前解決を行ったホスト名で構成されるルール)を比較します。

第 2 段階では、NFS クライアントの IP アドレスでリバース DNS 検索を実行してから、NFS クライアントのホスト名とすべてのエクスポートルール(サブドメイン名および Data ONTAPが IP アドレスへ名前解決していないホスト名で構成されるルール)と比較します。

第 3 段階では、Data ONTAP はネットグループを解析します。

エントリキャッシュは、リブート後およびテイクオーバまたはギブバック後もアクセスキャッ

シュ内の情報を使用できるように、15 分毎にディスクにバックアップされます。

次のトピック

アクセスキャッシュへのエントリの追加 アクセスキャッシュのエントリの削除 アクセスキャッシュの統計の表示 アクセスキャッシュのパフォーマンスの最適化 アクセスキャッシュタイムアウト値の設定

アクセスキャッシュへのエントリの追加

NFS クライアントがファイル システム パスへの特定のアクセス 権を持っているかどうかを調

べるには(また同時に、対応するエントリアクセスをアクセスキャッシュに追加するには)、exportfs -c コマンドを使用します。

手順

1. 次のコマンドを入力して、NFS クライアントのアクセスを確認して、 アクセス キャッシ

ュにエントリを追加します。

exportfs -c clientaddr[:clientaddr...] path [accesstype] [securitytype] clientaddr

clientaddr:は、NFS クライアントの IP アドレス

path は、ファイル システム パス

accesstype は、次のアクセス タイプのオプションのうち いずれかを使用します。

• ro - 読み取り専用アクセス

• rw - 読み取り/書き込みアクセス

• root - root アクセス

アクセス タイプを指定しない場合、NFS クライアントによるファイル システム パスをマ

ウントが可能かどうかだけ確認します。

Page 26: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

26 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

securitytype は次のセキュリティ タイプのオプションのうち いずれかを使用します。

• sys - Unix 形式のセキュリティ

• none- セキュリティ無し

• krb5 - Kerberos Ver 5 認証

• krb5i - Kerberos Ver 5 インテグリティ サービス

• krb5p - Kerberos Ver 5 プライバシー サービス

セキュリティ タイプを指定しない場合、NFS クライアントのセキュリティ タイプは sysであるとみなされます。

アクセスキャッシュのエントリの削除

ファイル システム パスのエクスポートを解除する、またはエントリが タイムアウトすると、

アクセス キャッシュのエントリが自動的に削除されます。アクセス キャッシュのエントリを

削除するには、exportfs -f コマンドを使用します。

タスク概要

手順

アクセス キャッシュのエントリを削除するには、 次のコマンドを入力します。

exportfs -f [path]

path は、アクセス キャッシュから削除するエントリのファイル システム パスを指定しま

す。 ファイル システム パスを指定しない場合は、アクセス キャッシュのすべてのエント

リが削除されます。

詳細については、 na_exportfs(1) マニュアル ページを参照してください。

アクセスキャッシュの統計の表示

アクセス キャッシュの統計を表示するには、nfsstat -d コマンドを入力します。これによりア

クセス キャッシュの統計、 接続、 要求、 さらにトラブルシューッティングするための詳細を

見ることができます。

手順

1. アクセス キャッシュの統計を表示するには、 次のコマンドを入力します。

nfsstat -d

これらのアクセス キャッシュの統計について詳細は na_nfsstat(1) マニュアル ページを参

照してください。

アクセスキャッシュのパフォーマンスの最適化

アクセス キャッシュのパフォーマンスを最適化するには、同じエクスポート ルールをできる

だけ頻繁に再利用する必要があります。

Page 27: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|27

タスク概要

Data ONTAP では、同じルールを指定するすべてのエクスポート エントリに対して、1つの

アクセス キャッシュ エントリが保持されます。

手順

1. 同一エクスポート ルールを使えるときは使用します。

例 ro,rw=@group1

ro,rw=@group1 ルールは次の両方のエントリ内にありますが、このルールに対して保持されるアクセス キャッシュ エントリは1つです。

/vol/a -sec=sys,ro,sec=sys,rw=@group1,sec=krb5,rw=@group2 /vol/b -sec=sys,ro,sec=sys,rw=@group1

アクセスキャッシュタイムアウト値の設定

いくつかのオプションを設定して、 アクセス キャッシュのタイムアウト動作をカスタマイズ

できます。 これにより、 保存された情報がどれほど新しいかによりアクセス キャッシュのパ

フォーマンスをバランスさせることができます。

手順

1. アクセス キャッシュにエントリに保持する時間を指定するために、 次の コマンドを入力

します

options nfs.export.harvest.timeout integer

integer は、秒単位でエクスポート アクセス キャッシュにあるエントリのアイドル期限を

指定します。 デフォルト値は、 3600 秒 (1 時間) です。 最小値は 60 秒です。 最大値は 604800 秒 (7 日間) です。

2. 更新前にアクセスが拒否されたアクセス キャッシュ エントリが保持する時間を指定する

には、 次のコマンドを入力します。

options nfs.export.neg.timeout integer

integer は秒単位でタイムアウト時間を指定します。 デフォルトでは 1800 秒 (30 分) です。 最小値は 60 秒です。 最大値は 604800 秒 (7 日間) です。

3. 更新前にアクセスが許可されたアクセス キャッシュ エントリが保持する時間を指定する

には、 次のコマンドを入力します。

options nfs.export.pos.timeout integer

integer は秒単位でエクスポート アクセス キャッシュにあるエントリのアイドル期限を指

Page 28: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

28 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

定します。 そのデフォルト値は 36000 秒 (10 時間) です。 最小値は 60 秒です。 最大値

は 604800 秒 (7 日間) です。 その詳細については、 na_options(1) マニュアル ページを

ご参照ください。

Kerberos v5 セキュリティサービスの有効化

NFS の Kerberos v5 セキュリティ サービスを有効にするには、 nfs setup コマンドを使用し

ます。

タスク概要

Data ONTAP で実現される、セキュリティで保護された NFS アクセスでは、Kerberos v5 認証

プロトコルを使用して、制御されたドメイン内のデータとユーザーID のセキュリティを確保

します。

Data ONTAP の Kerberos v5 の実装により、2 種類の Kerberos Key Distribution Center (KDC)がサポートされています。下の表に記載のとおり、Active Directory ベースと UNIX ベー

スがあります。

KDC の種類 説明

Active Directory ベース

Windows ドメインは Kerberos 領域です。 CIFS および Active Directory サーバには、同じドメインコントローラを使用します。

UNIX タイプ NFS 用の Kerberos 領域は、 MIT または Heimdal KDC です。

Multirealm NFS 用には UNIX ベースの KDC 、 CIFS 用には Active Directory ベースの KDC を 使用します。Data ONTAP 7.3.1 以降のバージョンでご利用できます。

メモ: Kerberos multirealm 構成をサポートするため、 Data ONTAP は 2 セットのプリンシパ

ルファイルと keytab ファイルを使用します 。 Data ONTAP 7.3.1.より前のリリースの場合の

ように、アクティブ ディレクトリ ベースの KDC では、 プリンシパル ファイルと keytab ファイルは それぞれ、/etc/ krb5auto.conf と /etc/krb5.keytab です。

しかし、Data ONTAP 7.3.1 以降のバージョンの場合、UNIX ベースの KDC では、メイン ファイルと keytab ファイルは /etc/krb5.conf と /etc/UNIX_krb5.keytab になっています。 Data ONTAP 7.3.1 からは、 UNIX ベースの KDC の keytab ファイルが /etc/krb5.keytab から /etc/UNIX_krb5.keytab に変更されました。

Data ONTAP が NFS 用に UNIX ベースの KDC を使用するように構成された Data ONTAP 7.3.1 より前のリリースからバージョンからアップグレードする場合、 Data ONTAP は引き続

き keytab file /etc/krb5.keytab ファイルを使用します。 この以前のバージョンからアップグレ

ードした後 CIFS を再構成する場合、 または、 アクティブ ディレクトリ タイプ KDC を CIFS 用に構成した後で最初に NFS を構成する場合、 UNIX タイプ KDC には、 新しい keytab ファ

イル/etc/UNIX_krb5.keytab を使用することしか必要になりません。

次のトピック

Page 29: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|29

Active Directory ベース KDC のセキュリティサービスの設定 UNIX ベース KDC のセキュリティサービスの構成 Kerberos v5 セキュリティサービスをサポートする NFS クライアント

Active DirectoryベースKDCのセキュリティサービスの設定

cifs setup コマンドの実行前または実行後に、Active Directory ベース KDC を使用するため

に NFS 用に Kerberos v5 セキュリティ サービスを構成することができます。 セキュリティ サービス セットアップ手順では、ストレージ システムを

nfs/hostname.domain@REALM というサービスプリンシパルとしてActive Directoryベースの

KDC に追加します。hostname.domain@REALM.

次のトピック

Active Directory ベース KDC のセキュリティサービスの設定 UNIX ベース KDC のセキュリティサービスの構成

CIFS 設定前のActive DirectoryベースKDCのセキュリティサービスの設定

cifs setup がまだ実行されず、CIFS が設定されていない場合は、CIFS 構成から取り込まれる

はずの構成情報を入力する必要があります。

Active Directory ベースのドメイン ネーム サービスを使用するようストレージ システムを設定

し、必要に応じて /etc/resolv.conf ファイルを変更して、Active Directory サーバだけが表示され

るようにします。

例えば、 Active Directory サーバが 172.16.1.180 と 172.16.1.181 であるような Kerberos 領域

については、 次の Active Directory サーバ エントリだけが含まれるように/etc/resolv.conf を変

更します:

nameserver 172.16.1.180

nameserver 172.16.1.181

この領域で他のすべての Active Directory サーバが削除されたことを確認します。

すでに nfs setup を使用して構成情報を入力している場合は、表示されるプロンプトは次の手

順に示されるものと異なっている場合があります。

手順

1. 次のコマンドを入力します。

nfs setup

次のメッセージが表示されます。

Enable Kerberos for NFS?

2. y キーを押して次に進みます。 KDC 種類を指定するように指示されます。 The filer supports these types of Kerberos Key Distribution Centers (KDCs):

Page 30: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

30 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

1 - UNIX KDC

2 - Microsoft Active Directory KDC

Enter the type of your KDC (1-2):

3. 2 を入力します。

ストレージ システム名を指定するよう指示されます:

The default name of this filer will be 'SERVER'

Do you want to modify this name? [no]:

4. ここではストレージ システム名を入力するので、yesと入力します。デフォルトのストレ

ージシステム名"SERVER" を使用する場合は、Enter キーを押してください。

ストレージ システムのActive Directoryサーバ用のドメイン名を指定するように指示され

ます:

Enter the Windows Domain for the filer []:

5. Active Directoryサーバのドメイン名 を入力します

入力したドメイン名は Kerberos 領域名としても使用されます。 ローカル管理者アカウントを指定するよう指示されます。

6. ローカル管理者アカウント情報を入力します。

メモ:この手順は Active Directory KDC の Kerberos 構成には影響がありません。

7. ローカル管理者アカウント情報を入力したあとで、次の例のようなメッセージが表示され

ていることを確認します。

ADKDC.LAB.DOCEXAMPLE.COM is a Windows 2000(tm) domain.

このメッセージは、 ストレージ システムが Active Directory サーバを検出したこと、そし

てストレージ システムがこのサーバは KDC サーバとして機能できると判断したことを確

認するものです。

上記のようなメッセージが表示されない場合、ア Active Directory サーバに問題がある、

または、ストレージシステムの DNS サーバが Active Directory サーバではない可能性があ

ります。ネットワーク構成を確認して、nfs setup を再び実行してください。

8. 次の種類のメッセージが表示された場合は、 Active Directoryドメイン管理者の名前とパス

ワードを入力してください。 In order to create this filer's domain account, you must supply the name and password of an administrator account with sufficient privilege to add the filer to the ADKDC.LAB.DOCEXAMPLE.COM domain.

Please enter the Windows 2000 user [[email protected]] Password for Administrator:

パスワードが正しく、指定されたアカウントにストレージ システム ドメイン内の適切な

権限がある場合は、次のようなメッセージが表示されます:

CIFS - Logged in as [email protected].

Welcome to the ADKDC (ADKDC.LAB.DOCEXAMPLE.COM) Windows 2000(tm) domain. Kerberos now enabled for NFS.

Page 31: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|31

NFS setup complete.

NFS 設定が終了すると出力テキストに次のメッセージが表示されることがあります。この

出力はインストールプロセスの誤認であり、無視してかまいません:

CIFS is not licensed.

(Use the "license" command to license it.)

CIFS設定後のActive DirectoryベースKDCのセキュリティサービスの設定

すでに cifs setup が実行されており、CIFS で Active Directory を使用するよう Data ONTAP が設定されている場合、nfs setup では CIFS に指定した構成情報の一部を自動的に使用しま

す。

メモ:すでに nfs setup を使用して構成情報を入力している場合は、表示されるプロンプトは次の手

順とことなっているかもしれません。

手順

1. 次のコマンドを入力します。

nfs setup

nfs setup により次のメッセージが表示されます。

Enable Kerberos for NFS?

2. y を入力して次に進みます。

KDC の種類を指定するように指示されます:

The filer supports these types of Kerberos Key Distribution Centers (KDCs):

1 - UNIX KDC

2 - Microsoft Active Directory KDC

Enter the type of your KDC (1-2):

3. 2 を入力します。

次のメッセージが表示されます:

Kerberos now enabled for NFS.

NFS setup complete.

この操作により、Data ONTAP で Active Directory ベースの KDC Kerberos over NFS が設定されました。

UNIXベースKDCのセキュリティサービスの構成

UNIX ベース KDC のセキュリティ サービスを有効にするには、プリンシパル(領域ユーザ ID)

を作成して、ストレージ システムの keytab(キー テーブル ファイル)を生成し、UNIX ベー

ス KDC を使用するように Data ONTAP を設定します。

Page 32: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

32 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

開始する前に行うべきこと

次の要件が満たされていることを確認します:

• ルートおよび 1 つ以上のルートではないクライアントのクライアントプリンシパルで、

NFS クライアントと UNIX ベースの KDC 設定されていること

• NFS アクセスがクライアントと既存のネットワーク サーバで確認されていること。

NFS をセットアップして使用する前に、 ストレージ システムに DNS を有効にする必要があ

ります。 ホストのコンポーネントがまだ完全に限定されたドメイン名ではなく、 DNS が有効

になっていない場合、後でDNSを有効にできるよう NFS サーバ プリンシパル名をすべて変

更する必要があります。

メモ:所有権制約のため、CIFS クライアントをサポートする UNIX ベースの Kerberos 実装

はありません。Data ONTAP で UNIX ベースの KDC サービスを設定する場合は、CIFS クライアントを認証できないことに注意してください。しかし、 Data ONTAP 7.3.1 以降の

バージョンでは、 Kerberos マルチ領域機能が提供されています。このため、 NFS クライアントを認証するため UNIX ベース KDC を使用するために NFS を同時に構成する

間に、 CIFS 認証用の Microsoft Active Directory ベース KDC を使用するための CIFS を構成できます。

タスク概要

次の手順は、ストレージ システムを nfs/hostname.domain@REALM というサービス プリン

シパルとして標準 UNIX ベースの KDC に追加する例を使用して説明します。

次のトピック

プリンシパルの作成と keytab ファイルの生成 NFS 用 Kerberos v5 セキュリティ サービスの有効化

プリンシパルの作成とkeytabファイルの生成

プリンシパルを作成し、keytab ファイルを生成するには、kadmin コマンドを使用します。ど

のバージョンであっても Kerberos が現在ストレージ システム上で有効になっている場合は、

まず nfs setup を実行してこれを無効にする必要があります。どの形式であっても Kerberos が有効になっている場合は、次のプロンプトが表示されます:

Disable Kerberos for NFS?

y または n のどちらを入力しても、NFS の設定作業が終了します。Kerberos を無効にする選

択をした場合、ストレージ システムは設定された現在の Kerberos 実装をまず無効にします。

UNIX ベースの Kerberos については、nfs.kerberos.file_keytab.enable オプションが off に設

定されます。

手順

1. UNIX ベース Kerberos v5 サービスをサポートする UNIX または Linux システムでは、 kadmin コマンドを入力するか、kadmin.local コマンドを入力します。( KDC にすでにログインしている場

Page 33: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|33

合)。

2. kadmin または kadmn.local コマンド ラインで次のコマンドを入力します。

ank -randkey nfs/hostname.domain

hostname は 、NFS サーバ プリンシパルのホスト名です。 domain は、 NFS サーバ プリンシパ

ルのドメイン です。

NFS サーバにプリンシパルが作成されます。 例えば

nfs/ [email protected]_COMPANY.COM の場合、領域は

@LAB.MY_COMPANY.COM です。

KDC ソフトウェアが、Data ONTAP ではサポートされないデフォルト暗号化タイプ

(des3*または aes128*暗号化タイプなど)を使用してプリンシパルを作成している場合

は、-e をパラメータ指定して ank コマンドを呼び出し、des-cbc-md5:normal などの Data ONTAP でサポートされる暗号化タイプを指定する必要があります。次に、des-cbc-md5 暗号化タイプを使用し、プリンシパルを作成するコマンドの例を示します:

kadmin: ank -e des-cbc-md5:normal -randkey nfs/server.lab.my_company.com

詳細は KDC ソフトウェア ドキュメンテーションを参照してください。

3. kadmin または kadmn.local コマンド ラインで、次のコマンドを入力します。

xst -k/tmp/filer.UNIX_krb5.conf nfs/hostname.domain

hostname は、サーバ プリンシパルのホスト名、domain は、手順 2 で作成したサーバ メインのドメイン です。たとえば、

kadmin: xst -k/tmp/filer.UNIX_krb5.conf nfs/server.lab.my_company.com のように

入力します。

サーバのプリンシパルの nfs/[email protected]_COMPANY.COM.にkeytab が作成され、KVNO 3 暗号化タイプ DES-CBC-CRC が keytab の

WRFILE:/tmp/filer.UNIX_krb5.conf.に追加されます。

KDC ソフトウェアが、Data ONTAP ではサポートされないデフォルト暗号化タイプ

(des3* または aes128*暗号化タイプなど)を使用して keytab を作成している場合は、-e をパラメータ指定して xst コマンドを呼び出し、des-cbc-md5:normal などの Data ONTAP でサポートされる暗号化タイプを指定する必要があります。

次に、des-cbc-md5 暗号化タイプを使用し、keytab を作成するコマンドの例を示します。

xst -k /tmp/filer.keytab -e des-cbc-md5:normal nfs/ filer.lab.mycompany.com

詳細は KDC ソフトウェア ドキュメンテーションを参照してください。

4. NFS サーバで次のコマンドを入力します。

cp /tmp/filer.UNIX_krb5.keytab /net/filer/vol/vol0/etc/ krb5.UNIX_krb5.keytab

keytab がストレージ システムにコピーされます。

注意: keytab がストレージ システムにコピーされた後に、ボリュームから/etc サブデ

Page 34: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

34 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ィレクトリをエクスポートしないでください。 /etc サブディレクトリをエクスポート

すると、クライアントがキー情報を読み取ることができるので ストレージ システム

になりすます可能性があります。

5. krb5.conf ファイルをストレージ システムにコピーするには、次のいずれかの手順を実行します。

MIT KDC ソフトウェアを実行しているUNIX クライアントでは、次のコマンドを入力します。

cp /etc/krb5.conf /net/filer/vol/vol0/etc/krb5.conf

SEAM を実行している Solaris クライアントでは、次のコマンドを入力します:

cp /etc/krb5/krb5.conf /net/filer/vol/vol0/etc/krb5.conf

NFS用Kerberos v5セキュリティ サービスの有効化

NFS 用 Kerberos v5 セキュリティ サービスを有効にするには、 nfs setup コマンドを使用し

ます。nfs setup コマンドは、 サーバ プリンシパルと keytab ファイルを作成する前に、 UNIX ベースの KDC を設定することができます。しかし、 サーバプリンシパルと Keytab フ

ァイルを作成しないと Kerberos を使用することはできません。

手順

1. 次のコマンドを入力します。

nfs setup

nfs setup から次のメッセージが表示されます。

Enable Kerberos for NFS?

2. y キーを入力して次に進みます。

KDC の種類を指定するように指示されます。

The filer supports these types of Kerberos Key Distribution Centers (KDCs):

1. - UNIX KDC

2. - Microsoft Active Directory KDC

Enter the type of your KDC (1-2):

3. 1 と入力します。

サーバ プリンシパルと keytab ファイルをまだ設定していない場合、次の警告のどちらか

または両方が表示されますが、設定プロセスは継続します。

新規インストール後に nfs setup を実行する場合、次の警告メッセージが表示されます。

There is no /etc/krb5.conf file yet. You will need to establish one.

Unix KDC uses the keytab file /etc/UNIX_krb5.keytab. There is no /etc/

UNIX_krb5.keytab file yet. You will need to establish one.

Page 35: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|35

cifs setup の実行後に nfs setup を実行すると(及び、 アクティブ ディレクトリ タイプ KDC を使用するために CIFS を構成後) 、 次の警告メッセージが表示されます。

There is no /etc/krb5.conf file yet. You will need to establish one.

You have an existing keytab file /etc/krb5.keytab. Your new keytab file

for Unix KDC would be /etc/UNIX_krb5.keytab.

NOTE: If CIFS Active Directory based authentication has been configured

on this filer at any point in the past, the /etc/krb5.keytab might

belong to CIFS. Do you want to rename your existing keytab file /etc/

krb5.keytab to the new keytab file /etc/UNIX_krb5.keytab.

(Yes/No)? n

Unix KDC uses the keytab file /etc/UNIX_krb5.keytab. There is no /etc/

UNIX_krb5.keytab file yet. You will need to establish one.

Data ONTAP 7.3.1 より前のバージョンから Data ONTAP をアップグレードした後初めて nfs setup を実行する場合、次の警告メッセージが表示されます。

Your new keytab file for Unix KDC would be /etc/UNIX_krb5.keytab.

NOTE: If CIFS Active Directory based authentication has been configured on this filer at any point in the past, the /etc/krb5.keytab might belong to CIFS. Do you want to rename your existing keytab file /etc/krb5.keytab to the new keytab file /etc/UNIX_krb5.keytab. (Yes/No)? y

/etc/krb5.keytab renamed to /etc/UNIX_krb5.keytab

最後の 2 つのプロンプトで n と答えると、 nfs setup は keytab ファイルの名前を変更せ

ずに進行します。

次に Kerberos 領域名を求められます。

Enter the Kerberos realm name.

4. UNIX タイプ KDC 用のレルム名を入力します。

領域名は NFS サーバの Kerberos プリンシパル名の領域に関連する部分(NFS サーバ プリ

ンシパルに指定された名前)。 たとえば、 MY_COMPANY.COM などを入力します。 入力

した領域名は nfs.kerberos.realm オプション値を変更することにより、後で確認または変

更することができます:

options nfs.kerberos.realm realm_name

options nfs.kerberos.realm LAB.MY_COMPANY.COM

メモ:Data ONTAP は、UNIX ベースの KDC の小文字の領域名をサポートしますが、

Active Directory KDC の小文字領域名はサポートしません。

ホスト インスタンスの入力をプロンプトされます。

Enter the host instance of the NFS server principal name [default:

server.lab.my_company.com]:

Page 36: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

36 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

5. ホスト インスタンスを入力します。

server.lab.my_company.com

DNS が有効である場合、これを使用してホストの完全に限定されたドメイン名を入力し

たことを確認します。部分名を入力した場合、ホストが DNS に入力されていれば、欠落

したドメイン情報がエントリに追加されます。

入力したホスト インスタンスは nfs.kerberos.principal オプションで確認できます。

options nfs.kerberos.principal

nfs setup コマンドはホスト インスタンスと領域名のエントリを使用してKerberos プリン

シパルを識別します。このプリンシパルは、次に示すように nfs setup エントリから派生

したものです。

nfs/value from nfs.kerberos.principal@value from nfs.kerberos.realm

ホスト インスタンスを入力し、 nfs setup を終了すると、生成したキーテーブルファイル

を使用するようにストレージシステムが設定されます。nfs setup を再び実行することに

より、後で設定を変更することができます。

Kerberos v5セキュリティサービスをサポートするNFSクライアント

クライアントで Kerberos v5 セキュリティ サービスを使用する前に、クライアントが

RFC1964 および RFC2203 をサポートしているか確認する必要があります。

Kerberos v5 セキュリティをサポートするクライアントのリストには、一般に普及したクライ

アントのうち、ネットワーク アプライアンスの開発ラボまたは Connectathon(www.connectathon.org)などの相互運用性テスト イベントのどちらかがテストしたクライ

アントだけを記載しています。

たとえば、次のクライアントが Kerberos v5 をサポートしています。

• AIX 5L Expansion Pack および Web Download Pack による NFSv2、 NFSv3、 NFSv4 を実行している AIX 5.3。 IBM から入手できます。

• NFSv2、 NFSv3、 または、 NFSv4 を実行する Linux 2.6

• Sun Enterprise Authentication Mechanism (SEAM) 1.0 による NFSv2 または NFSv3を実

行する Solaris 2.6。Sun Microsystems の Solaris Easy Access Server (SEAS) 3.0 製品バ

ンドルされています。

• SEAM 1.0 による NFSv2 または NFSv3 を実行する Solaris 7。Sun Microsystems の SEAS 3.0 製品バンドル

• SEAM 1.0.1 による NFSv2 または NFSv3 を実行する Solaris 8。Sun Microsystems の Solaris 8 Admin Pack または Solaris 8 Encryption Pack で利用できます。

• NFSv2 または NFSv3 を実行する Solaris 9

Page 37: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|37

• NFSv2、 NFSv3、 または、 NFSv4 を実行する Solaris 10

• Hummingbird NFS Maestro バージョン 7 または NFS Maestro Solo バージョン 7 による

NFSv2 または NFSv3 を実行する Windows クライアント

• Hummingbird NFS Maestro Client バージョン 8 または NFS Maestro Solo バージョン 8 による NFSv2、 NFSv3、または、 NFSv4 を実行する Windows クライアント

マウント問題のデバッグ

マウントの問題をデバッグするには、 マウント サービス統計を表示し、 mountd 要求をトレ

ースします。

次のトピック

マウントサービス統計の表示 マウント要求のトレース

マウントサービス統計の表示

マウント サービス統計を表示するには、 nfsstat -d コマンドを入力します。

手順

1. 次のコマンドを入力します。

nfsstat -d

結果

Data ONTAP は次のマウント サービス統計を表示します。

v2 mount (requested, granted, denied, resolving)

v2 unmount (requested, granted, denied)

v2 unmount all (requested, granted, denied)

v3 mount (requested, granted, denied, resolving)

v3 unmount (requested, granted, denied)

v3 unmount all (requested, granted, denied)

mount service requests (curr, total, max, redriven)

その詳細については、 na_nfsstat(1) マニュアル ページを参照してください。

マウント要求のトレース

Mountd 要求をトレースするには、 /etc/syslog.conf ファイルに *.debug エントリを追加して、 nfs.mountd.trace オプション を on にセットします。

タスク概要

Page 38: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

38 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

DOS攻撃中は syslog が何回もヒットされるため、このオプションはデバッグセッション時

のみ有効にしてください。

デフォルトでは、 nfs.mountd.trace オプションは off になっています。

手順

1. /etc/syslog.conf ファイルを編集して、 *.debug エントリを追加します。

syslog.conf ファイルにエントリを追加するについて詳細は、 na_syslog.conf(5) マニュアル ペー

ジを参照してください。

2. nfs.mountd.trace オプションを有効化するには、 次のコマンドを入力します。 options nfs.mountd.trace on

mountd.trace オプションの詳細については、 na_options(1) マニュアル ページを参照してくださ

い。

NFS 統計の表示

すべての NFS バージョンについて NFS 統計を表示するには、 nfsstat コマンドを使用します。

タスク概要

nfsstat コマンドを使用すると、すべてのクライアントの NFS 統計を表示できます。

nfs.per_client_stats.enable オプションが on の場合に、 nfsstat -h または nfsstat -l を使用する

と、クライアント単位で NFS 統計を表示できます。

NFS 統計を表示するだけでなく、 nfsstat コマンドを使用して NFS 統計をリセットすること

もできます。

その詳細については、 na_nfsstat(1) マニュアルページおよび次のトピックを参照してくださ

い。

関連参照事項

マウントサービス統計の表示マウント NFSv4 のオープン委譲の管理

手順

1. NFS の統計を表示するには、 次のコマンドを入力します。

nfsstat

NFSv3 の有効化と無効化

NFSv3 は有効または無効化するには、nfsv3.enable オプションを それぞれ on または off に設

定します。(このオプションは、デフォルトでは onになっています。)

Page 39: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|39

手順

1. 次のアクションのうち 1 つを行います。

目的 操作

NFSv3 を有効化にする場合 次のコマンドを入力します。 options nfs.v3.enable on

NFSv3 を無効化にする場合 次のコマンドを入力します。 options nfs.v3.enable off

NFSv3 および NFSv4 における FSID (File System ID)処理の相違点

NFSv3 および NFSv4 でのアクティブなファイル システムの場合と同じように、Data ONTAP を構成して .snapshot サブディレクトリおよびファイルの同じまたは異なる FSID を返すことができます。

エクスポート パスをマウントして .snapshot ディレクトリおよびサブディレクトリのディレ

クトリ リストを取得する場合、返されたファイルおよびディレクトリの属性には FSID が含

まれます。.snapshot サブディレクトリの FSID はアクティブなファイル システムの FSID と同じです。.snapshot サブディレクトリの FSID は、次の 2 つのオプションによって異なりま

す。

操作 結果

nfs.v3.snapshot.active.fsid.enable オプションを有効化する

NFSv3 では、.snapshot 内のディレクトリおよびファイルに

返された FSID はアクティブなファイル システムの FSID と同じである必要があります。

nfs.v3.snapshot.active.fsid.enable オプションを無効化する

NFSv3 では、.snapshot 内のディレクトリおよびファイルに

返された FSID はアクティブなファイル システムの FSID と異なる必要があります。

nfs.v4.snapshot.active.fsid.enable オプションを有効化する

NFSv4 では、.snapshot 内のディレクトリおよびファイルに

返された FSID はアクティブなファイル システムの FSID と同じである必要があります。

nfs.v4.snapshot.active.fsid.enable オプションを無効化する

NFSv4 では、.snapshot 内のディレクトリおよびファイルに

返された FSID はアクティブなファイル システムの FSID と異なる必要があります。

NFSv4 クライアントのサポート

NFSv4 クライアントをサポートされている場合は、NFSv4 プロトコルを有効または無効にし

たり、NFSv4 ユーザー ID ドメインを指定したり、NFSv4 ACL およびファイル委譲を管理し

たり、ファイルおよびレコード ロックを設定したりできます。

次のトピック

Page 40: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

40 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

NFSv4 の Data ONTAP サポートについて NFSv4 の Data ONTAP サポートの制限 NFSv4 における pseudo-fs のマウントポイントへの影響 NFSv4 の有効化と無効化 NFSv4 のユーザーID ドメインの指定 NFSv4 ACL の管理 NFSv4 のオープン委譲の管理 NFSv4 のファイルおよびレコードロックの構成 ネームサーバ データベースキャッシュのフラッシュ

NFSv4のData ONTAPサポートについて

Data ONTAP は、SPKM3 および LIPKEY セキュリティ 機能を除く、NFSv4 の必須機能をすべてサ

ポートしています。

NFSv4 の必須機能は、次のとおりです。

COMPOUND クライアントは 1 回の Remote Procedure Call (RPC) で複数の ファイル操

作を要求できます。

オープン委任 サーバはある種類のクライアントにファイル制御を委任して読み取り/書き込み

を行うことができます。

Pseudo-fs NFSv4サーバでストレージ システムのマウント ポイントを決めます。NFSv4 には、マウント プロトコルがありません。

ロック リース ベース。NFSv4 には、個別の Network Lock Manager(NLM)または Network Status Monitor(NSM)プロトコルはありません。

名前付き属性 Windows NT ストリームと類似。

NFSv4 プロトコルの詳細については、Web で「RFC 3050」を検索してください。RFC 3050 は、NFSv4 プロトコルを定義する、タイトルが「Network File System (NFS) version 4 Protocol」の「IETF(インターネット技術標準化委員会)Request for Comments」の規定で

す。

NFSv4のData ONTAPサポートの制限

NFSv4 の Data ONTAP サポートには、いくつの制限があることに注意してください。

• SPKM3 および LIPKEY セキュリティ 機能はサポートされていません。

• 委譲機能はすべてのクライアントタイプによってサポートされているわけではない。

• LANG設定がUTF8 以外のボリュームでは、ASCII以外の文字を使用した名前は、ストレージシステム

で拒否されます。

Page 41: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|41

• すべてのファイル ハンドルは永続的です。サーバでは揮発性のファイル ハンドルを配布しません。

• 移行(Migration)および複製(Replication)はサポートされません。

• 次の属性を除く、すべての推奨属性がサポートされています。

• archive

• hidden

• homogeneous

• mimetype

• quota_avail_hard

• quota_avail_soft

• quota_used

• system

• time_backup

メモ: Data ONTAP は quota* 属性をサポートしませんが、RQUOTA 側のサイド バンド プロ

トコルを通じてユーザーおよびグループ クォータをサポートします。

• NFSv4 では、User Datagram Protocol (UDP)転送プロトコルを使用しません。

NFSv4 を有効にしていても、options nfs.tcp.enable を off に設定して NFS over TCP を無効

にすると、NFSv4 は実質的に無効になります。

NFSv4におけるpseudo-fsのマウントポイントへの影響

NFSv4 は、マウントポイントを決定するときのストレージ システムへのエントリ ポイントと

し pseudo-fs(ファイル システム)を使用します。pseudo-fs を使用すると、複数ではなく1

つのポートセキュリティ用に使用できます。すべての NFSv4 サーバでは pseudo-fs の使用を

サポートします。

NFSv4 で pseudo-fs を使用したことで、NFSv3 および NFSv4 間のマウントポイントで矛盾

する場合があります。

次の例では、以下のようなボリュームを使用します。

• /vol/vol0 (root)

• /vol/vol1

• /vol/home

例 1:

NFSv3 で、/vol/vol0 の絶対パスを使用せずに filer:/ をマウントする場合、マウントポイント

は filer:/vol/vol0 になります。つまり、NFSv3 ではパスが /vol で始まらない場合、Data ONTAP はパスの先頭に /vol/vol0 を補完します。

NFSv4 で、/vol/vol0 の絶対パスを使用せずに filer:/ をマウントする場合は、/vol/vol0 ではなく

Page 42: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

42 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

pseudo-fs のルートをマウントします。Data ONTAP は、パスの先頭に /vol/vol0 を補完しま

せん。

したがって、NFSv3 を使用して filer:/を /n/filer にマウントしている場合、NFSv4 を使用して

同じマウントを実行すると、別のファイル システムがマウントされます。

例 2

Data ONTAP での NFSv4 pseudo-fs の実装では、ノードに続く / および /vol は常に必要で、

pseudo-fs に対する参照の共通のプレフィックスを形成します。/vol 以外で始まる参照は無効

です。

この例には、/vol/vol0/home ディレクトリがあります。NFSv3 で filer:/home を/users をマウ

ントすると、/home はディレクトリ /vol/vol0/home であると判断されます。NFSv4 で filer:/ home を/users にマウントすると、/home はボリューム /vol/home ではなく、pseudo-fs ツリ

ーの不正なパスであると解釈されます。

NFSv4の有効化と無効化

NFSv4 を有効化または無効化するには、nfs.v4.enable オプションを それぞれ on または off に設定します。(デフォルトでは、このオプションは off になっています。)

手順

1. 次のいずれかの操作を実行します。

目的 操作

NFSv4 の有効化 次のコマンドを入力します。 options nfs.v4.enable on

NFSv4 の無効化 次のコマンドを入力します。 options nfs.v4.enable off

NFSv4のユーザーIDドメインの指定

ユーザー ID ドメインを指定するには、nfs.v4.id_domain オプションを設定します。

タスク概要

NFSv4 ユーザー ID のマッピングにデフォルトで使用されているドメインは、 NIS ドメイン

が設定されている場合は、NIS ドメインになります。NIS ドメインが設定されていない場合は、

DNS ドメインが使用されます。たとえば、複数のユーザー ID ドメインがあると、ユーザー ID ドメインの設定が必要になる場合があります。

手順

1. 次のコマンドを入力します。

options nfs.v4.id_domain domain

Page 43: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|43

NFSv4 ACLの管理

NFSv4 Access Control List (ACL)を有効化、無効化、設定、変更、および表示できます。

次のトピック

NFSv4 ACL の仕組み NFSv4 ACL を有効化する利点 NFSv4 ACL と Windows (NTFS) ACL の互換性 Data ONTAP でのファイルの削除可否を判断するために NFSv4 ACL を使用する方法 NFSv4 ACL の有効化と無効化 NFSv4 ACL の設定と変更 NFSv4 ACL の表示

NFSv4 ACLの仕組み

NFSv4 ACL を使用するクライアントは、システム上のファイルとディレクトリに ACL を設

定したり、それらの ACL を表示したりすることができます。ACL を持つディレクトリ内にフ

ァイルやサブディレクトリを新規に作成すると、新規オブジェクトには対応する ACL の値が

継承されます。

アクセス チェックでは、CIFS ユーザは UNIX ユーザにマッピングされます。マッピングされ

た UNIX ユーザとそのユーザ グループのメンバーシップは ACL に対してチェックされます。

ファイルまたはディレクトリに ACL がある場合、その ACL はファイルまたはディレクトリ

のアクセスに使用されているプロトコル(NFSv2、NFSv3、NFSv4、または CIFS)に関わら

ずアクセスの制御に使用され、NFSv4 がシステム上で有効でなくなった場合でも使用されま

す。

ファイルやディレクトリは親ディレクトリから NFSv4 ACL を継承します(適切に変更さる可

能性があります)。

ファイルやディレクトリが NFSv4 要求の結果として作成された場合、結果のファイルやディ

レクトリの ACL は、ファイル作成要求に ACL を含むか、標準の UNIX ファイル アクセス権

限のみを含むか、あるいは、親ディレクトリに ACL があるかどうかによって異なります。

• 要求に ACL が含まれている場合、その ACL が使用されます。

• 要求に標準 UNIX ファイル アクセス権限のみが含まれ、親ディレクトリに ACL がある場

合は、親ディレクトリの ACL が新しいファイルやディレクトリに継承されます(変更を

伴う可能性あり)。

メモ: 親の ACL は、nfs.v4.acl.enable が off の場合でも継承されます。

• 要求に標準の UNIX ファイル アクセス権限のみが含まれ、親ディレクトリに ACL がない

場合は、クライアントのファイル モードが標準の UNIX ファイル アクセス権限の 設定に

使用されます。

Page 44: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

44 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

• 要求に標準 UNIX ファイル アクセス権限のみが含まれ、親ディレクトリに継承可能でない

ACL がある場合は、要求に渡されたモード ビットに基づいてデフォルトの ACL が新規オ

ブジェクトに設定されます。

qtree のセキュリティ セマンティクスは、そのセキュリティ形式と ACL(NFSv4 または

NTFS)で定義されます。

UNIX セキュリティ スタイルの qtree の場合:

• NFSv4 ACL とモード ビットが有効 です。

• NTFS ACL が有効ではありません。

• Windows クライアントは属性を設定できません。

• NTFS セキュリティ形式の qtree

• NFSv4 ACL が有効ではありません。

• NTFS ACL とモード ビットが有効です。

• UNIX クライアントは属性を設定できません。

mixes セキュリティ 形式の qtree

• NFSv4 ACL およびモード ビットが有効です。

• NTFS ACL が有効 です。

• Windows クライアントと UNIX クライアントの両方に属性を設定できます。

メモ: qtree 内のファイルおよびディレクトリは、NFSv4 ACL または NTFS ACL のいずれ

か を持つことができますが、両方を持つことはできません。Data ONTAP は必要に応じ

てどちらかの形式を別のものに再マッピングします。

NFSv4 ACLを有効化する利点

NFSv4 ACL を有効化すると、多くの利点があります。

以下に、その利点を示します。

• ファイルやディレクトリへのユーザ アクセスのより詳細な制御

• NFS セキュリティの向上

• CIFS との相互接続性の向上

• ユーザごとに NFS グループ 16 個の制限の解除

NFSv4 ACLとWindows (NTFS) ACLの互換性

NFSv4 ACL は Windows のファイルレベル ACL(NTFS ACL)と異なりますが、Data ONTAP では、Windows プラットフォームを表示するために NFSv4 ACL を Windows ACL にマッピングできます。

Page 45: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|45

NFS クライアント側に表示される、Windows ACL を持つファイル権限「表示」権限です。ま

た、ファイル アクセスの確認に使用される権限は Windows ACL の権限です。

メモ: Data ONTAP は POSIX ACL をサポートしていません。

Data ONTAP でのファイルの削除可否を判断するために NFSv4 ACL を使用する方法

NFS 4.1 RFC に説明されているとおり、Data ONTAP でファイルの削除可否を判断するため

には、ファイルの DELETE ビットおよび所属するディレクトリの DELETE_CHILD ビットの

組み合わせを使用します。詳細については、NFS 4.1 RFC を参照してください。

NFSv4 ACLの有効化と無効化

NFSv4 ACL を有効化または無効化するためには、nfs.v4.acl.enable オプションを on または off に設定します。このオプションは、デフォルトで off に設定されています。

nfs.v4.acl.enable オプションは、NFSv4 ACL の設定および表示を制御しますが、アクセスチェックの際は、

NFSv4 ACL の適用に対する制御は行いません。詳細については、na_options(1) マニュアルページを参照して

ください。

手順

1. 次のいずれかの操作を実行します。

目的 操作 NFSv4 ACL の有効にす

る場合 次のコマンドを入力します。 options nfs.v4.acl.enable on

NFSv4 ACL の無効にす

る場合 次のコマンドを入力します。 options nfs.v4.acl.enable off

NFSv4 ACLの設定と変更

NFSv4 ACL を設定または変更するためには、setacl コマンドを使用します。

NFSv4 ACL を設定および変更するには、NFSv4 が有効で、NFSv4 ACL が有効である必要が

あります。ACL は一度有効になると、NFSv4 を使用するクライアントから設定または変更で

きます。

手順

1. 次のコマンドを入力します。

Setfacl -m user:nfsuser:rwx a

NFSv4 ACLの表示

NFSv4 ACL を表示するには、getfacl コマンドを使用します。

手順

1. 次のコマンドを入力します。

getfacl filename

Page 46: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

46 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ファイル foo の NFSv4 ACL の表示

ss> getfacl foo # file: foo # owner: nfs4user # group: engr # group: engr user::rwuser: nfs4user:rwx #effective:rwx group::r-- #effective:r-- mask:rwx other:r--

同じファイルに ls -l コマンドを実行すると、次のように出力されます。 -rw-r--r--+ 1 nfs4user 0 May 27 17:43 foo この出力の「+」は、ACL がファイルに設定されたことを Solaris クライアントが認識したことを示します。

NFSv4のオープン委譲の管理

NFSv4 オープン委任を有効または無効にしたり、NFSv4 オープン委譲統計情報を取得してりすることが

できます。

次のトピック

NFSv4 オープン委譲の仕組み NFSv4 の読み取りオープン委譲の有効化と無効化 NFSv4 の書き込みオープン委譲の有効化と無効化 NFSv4 オープン委譲統計の表示

NFSv4オープン委譲の仕組み

Data ONTAP は RFC 3530 に従って、読み取りオープン委譲と書き込みオープン委譲をサポ

ートします。

RFC 3530 で指定されているとおり、NFSv4 クライアントがファイルを開くと、Data ONTAP はオープン要求や書き込み要求の処理を、開いているクライアントに委譲することが

できます。オープン委譲には、読み取り委譲と書き込み委譲の 2 種類があります。読み取り

オープン委譲の場合、クライアントは、他のファイルへの読み取りアクセスを禁止しない、読

み取りのためのファイル オープン要求を処理できます。書き込み委譲の場合、クライアント

はすべてのオープン要求を処理できます。

oplock が有効であるかどうかに関係なく、委譲は任意の形式の qtree 内のファイルで動作しま

す。

ファイル操作のクライアントへの委譲は、リースが期限切れになったとき、またはストレージ システムが他のクライアントから次の要求を受け取ったときにリコールすることができます。

• ファイルへの書き込み、書き込みのためのファイル オープン、または「読み取り拒否」の

ためのファイルオープン

• ファイル属性の変更

Page 47: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|47

• ファイルの名前変更

• ファイルの削除

リースが期限切れになると、委譲状態は取り消され、関連するすべての状態は「soft」とマー

クされます。つまり、以前に委譲状態であったクライアントがリースを更新する前に、ストレ

ージ システムが同じファイルに対して他のクライアントから競合するロック要求を受け取っ

た場合、この競合するロックは認められます。競合するロックがなく、委譲状態のクライアン

トによってリース期限が更新される場合、soft ロックは hard ロックに変更され、アクセスが

競合しても削除されることはありません。

ただし、リース期限が更新されても委譲は再び認められません。サーバがリブートされると、

委任状態は失われます。クライアントは、委譲要求プロセスをすべて再実行しなくても、再接

続時に委譲状態を再要求することができます。読み取り委譲を保持しているクライアントがリ

ブートされたときには、すべての委譲状態情報は再接続時にストレージ システムのキャッシ

ュからフラッシュされます。クライアントは委譲要求を発行して新しい委任を確立する必要が

あります。

NFSv4の読み取りオープン委譲の有効化と無効化

NFSv4 読み取りオープン委譲を有効または無効にするには、nfs.v4.read_delegation オプショ

ンをそれぞれ on または off に設定します。デフォルトでは、このオプションは off になってい

ます。

読み取りオープン委譲を有効にすると、ファイルのオープンとクローズに関連するメッセージ

のオーバーヘッドを大幅に軽減できます。読み取りオープン委譲を有効にした場合の欠点は、

サーバのリブートまたはリスタート後、クライアントのリブートまたはリスタート後、あるい

はネットワークを分割したあとに、サーバおよびそのクライアントが委譲をリカバリする必要

があることです。

手順

1. 次のいずれかの操作を実行してください。

目的 操作 読み取りオープン委譲の有効に

する場合 次のコマンドを入力します。 options nfs.v4.read_delegation on

読み取りオープン委譲の無効に

する場合 次のコマンドを入力します。 options nfs.v4.read_delegation off

オープン委任のオプションは、変更後すぐに有効になります。NFS を再起動する必要はあり

ません。

NFSv4の書き込みオープン委譲の有効化と無効化

書き込みオープン委譲を有効または無効にするには、nfs.v4.write_delegation オプションをそ

Page 48: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

48 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

れぞれ on または off に設定します。デフォルトでは、このオプションは off になっています。 書き込みオープン委譲を有効にすると、ファイルのオープンとクローズだけでなく、ファイル

およびレコードのロックに関連するメッセージのオーバーヘッドを大幅に軽減できます。

書き込みオープン委譲を有効にした場合の欠点は、サーバのリブートまたはリスタート後、ク

ライアントのリブートまたはリスタート後、あるいはネットワークを分割したあとに、サーバ

およびそのクライアントが委譲をリカバリするための追加タスクを実行する必要があることで

す。

手順

1. 次のいずれかの操作を実行してください。

目的 操作 書き込みオープン委譲の有効に

する場合 次のコマンドを入力します。 options nfs.v4.write_delegation on

書き込みオープン委譲の無効に

する場合 次のコマンドを入力します。 options nfs.v4.write_delegation off

変更が行われるとすぐにオープン委譲オプションが反映されます。リブートや NFS の再起動

は必要ありません。

NFSv4オープン委譲統計の表示

NFSv4 オープン委任要求に関する情報を表示するめには、nfsstat コマンドを使用します。

nfsstat コマンドによって返される結果には、許可されたオープン委譲要求だけでなく、エラーが原因で拒否

された要求も含まれます。

ストレージ システムで拒否されたオープン委譲要求の情報については、システム ログ ファイルを参照してく

ださい。

次のトピック

すべてのクライアントの NFSv4 オープン委譲統計の表示 特定のクライアントの NFSv4 オープン委譲統計の表示 vFiler ユニットの NFSv4 オープン委譲統計の表示 ストレージ システムの NFSv4 オープン委譲統計の表示

すべてのクライアントのNFSv4オープン委譲統計の表示

すべてのクライアントの NFSv4 オープン委譲情報を表示するためには、nfsstat -l コマンドを

入力します。

手順すべてのクライアントのNFSv4 オープン委譲統計の表示

1. 次のコマンドを入力します。

nfsstat -l count

Page 49: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|49

ストレージ システムにより、クライアントごとに個々の NFSv4 オープン委譲統計情報が

返されます。クライアントの数を指定しない場合、ストレージ システムは、各クライアン

トによって実行された NFS 操作の合計を最初の 256 のクライアントの統計を返します。

特定のクライアントのNFSv4オープン委譲統計の表示

特定のクライアントの NFSv4 オープン委譲情報を表示するには、nfsstat -h コマンドを使用し

ます。

手順

1. 次のコマンドを入力します。

nfsstat -h hostname or ip_address

ストレージ システムにより、特定のクライアントの個々の NFSv4 オープン委譲統計が返され

ます。

vFilerユニットのNFSv4 オープン委譲統計の表示

vFiler ユニットの NFSv4 オープン委譲情報を表示するには、vFiler ユニットのコンテキスト

で nfsstat -d コマンドを実行します。

手順

1. 次のコマンドを入力します。

Vfiler run filername nfsstat -d

ストレージ システムのNFSv4オープン委譲統計の表示

ストレージ システムの NFSv4 オープン委譲情報を表示するには、nfsstat -d コマンドを入力し

ます。

手順

1. 次のコマンドを入力します。

nfsstat -d

ストレージ システムにより、現在の NFSv4 オープン委譲とリコールされたものを含めて、

自身で処理した NFSv4 オープン委譲の総数が返されます。ストレージ システムで処理さ

れた現在の NFSv4 オープン委譲のみを表示するには、lock status コマンドを使用します。

NFSv4のファイルおよびレコードロックの構成

NFSv4 のファイルおよびレコード ロックを設定するには、ロック リース期間および猶予

期間を指定します。

Page 50: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

50 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

次のトピック

NFSv4 のファイルおよびレコードロックについて NFSv4 ロックリース期間の指定 NFSv4 ロックの猶予期間の指定

NFSv4のファイルおよびレコードロックについて

NFSv4 クライアントの場合、Data ONTAP は NFSv4 のバイト範囲ファイルロック メカニ

ズムをサポートしているため、すべてのファイルのロック状態がリースベース モデルで保持

されます。

Data ONTAP は RFC 3530 に従って、NFS クライアントで保持されているすべての状態のリ

ース期間を 1 つ定義します。この定義された期間内にクライアントがリースを更新しない場

合は、クライアントのリースに関連付けられたすべての状態がサーバによって解放される可能

性があります。クライアントはファイル読み取りなどの操作を実行して、リースを明示的また

は暗黙的に更新できます。

Data ONTAP は猶予期間も定義します。猶予期間とは、クライアントから、サーバ リカバリ

中に自身がロック状態になるように再要求される特殊な処理期間のことです。

用語 定義(RFC 3530 を参照)

リース Data ONTAP がクライアントを解除不能なロック状態に設定する期間

猶予期間 クライアントが、サーバのリカバリ中に自身がロック状態になるように、Data ONTAPに再要求する期間

ロック 他に特に記載がない限り、レコード(バイト範囲)ロックとファイル(共有)ロックの

両方を表します。

Data ONTAP では、非アクティブ/アクティブ構成の場合は最大 64 K のファイルロック状態が

保持され、アクティブ/アクティブ構成の場合は最大 32 K のファイルロック状態が保持されま

す。1 つのクライアントでは、これらの状態のうち最大 16 K のファイルロック状態が保持さ

れます。

メモ: リカバリ中は、リース期間と猶予期間を合計した期間が満了するまで待機しないと、

Data ONTAP は新しいロック要求を許可できません。

NFSv4ロックリース期間の指定

NFSv4 ロック リース期間(Data ONTAP により、クライアントが解除不能なロック状態に設

定される期間)を指定するには、nfs.v4.lease_seconds オプションを設定します。

デフォルトでは、このオプションは 30 に設定されています。 このオプションの最小値は 10です。このオプションの最大値は、locking.lease_seconds オプションで設定できるロック猶

予期間となります。

RFC 3530 で指定されているように、「サーバ リカバリが短時間で完了する場合は、短いリ

ース期間」が望ましく、「多数のクライアントを処理するインターネット サーバの場合は、

長いリース期間」が適しています。

Page 51: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|51

手順

1. 次のコマンドを入力します。

options nfs.v4.lease_seconds n

n はリース期間(秒単位)です。

NFSv4ロックの猶予期間の指定

NFSv4 ロック猶予期間(サーバのリカバリ中に、クライアントがロック状態になるように

Data ONTAP に再要求する期間)を指定するためには、 locking.grace_lease_seconds オプシ

ョンを設定します。このオプションにより、ロック リース期間と猶予期間の両方が指定され

ます。

デフォルトでは、このオプションは 45 に設定されています。

手順

1. 次のコマンドを入力します。

Options locking.grace_lease_seconds n

n は猶予期間(秒単位)です。

ネームサーバ データベースキャッシュのフラッシュ

nfs nsdb flush コマンドを使用して、name server database (NSDB) キャッシュの特定のエ

ントリまたはすべてのエントリをクリアすることができます。

タスク概要

環境でストレージ システムへの認証に NFSv4 または RPCSEC_GSS(Kerberos 付き)を使

用している場合、ユーザー/グループ ID として文字列名が使用されます。これらの文字列名は、

UID/GID 形式の適切な UNIX 認証情報に変換する必要があります。変換では、外部のネーム サーバ参照が使用されます。

パフォーマンスの最適化のために、NSDB ではネーム サーバ参照操作の結果をキャッシュし

ます。ネーム サービスでユーザーの認証情報を変更した場合、変更は直ちに有効化されない

ことがあります。これは、変更の前にユーザー情報が NSDB によってキャッシュされ、キャ

ッシュされたエントリの有効期間が切れていないため発生します。NSDB のキャッシュをフ

ラッシュすることで古い情報が削除されます。

手順

1. 次の操作のいずれかを実行します。

目的 操作 すべてのエントリをフラッシュする 場合

次のコマンドを入力します。 nfs nsdb flush -a

Page 52: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

52 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

PC-NFS クライアントのサポート

PC-NFS クライアントをサポートするには、pcnfsd デーモンを有効にし、ストレージ システ

ムのローカル ファイルに PC-NFS ユーザ エントリを作成し、PC-NFS ユーザがストレージ システムに作成したファイルおよびディレクトリの umask を定義します。

次のトピック

pcnfsd デーモンの仕組み pcnfsd デーモンの有効化と無効化 ストレージシステムのローカルファイルでの PC-NFS ユーザーエントリの作成 umask と NFS ファイルパーミッションの連携方法 PC-NFS ユーザーが作成したファイルおよびディレクトリの umask の定義

pcnfsdデーモンの仕組み

Data ONTAP の pcnfsd デーモンは、PC-NFS バージョン 1 または 2 を使用してクライアント

に認証サービスを提供します。認証された PC-NFS ユーザは NFS ユーザと同様に、ストレー

ジ システムのファイルシステム パスをマウントできます。pcnfsd デーモンは、プリンター サービスをサポートしていません。

pcnfsd デーモンが認証要求を受信すると、ローカル ファイルまたは NIS マップを使用して

ユーザのパスワードが確認されます。

使用するローカル ファイルは/etc/shadow ファイルまたは/etc/passwd ファイルです。使用す

る NIS マップは、passwd.adjunct または passwd.byname です。

シャドウ ソースが使用できる場合には、これが使用されます。シャドウ ソースには、パスワ

ード データベースの代わりに暗号化ユーザ情報が含まれます。

PC-NFS バージョン 1 およびバージョン 2 のユーザを認証するために、pcnfsd デーモンがロ

ーカル ファイルまたは NIS マップを使用する方法を次に示します。

シャドウ ソースを使用できる場合、Data ONTAP では/etc/shadow ファイルまたは

passwd.adjunct NIS マップを使用してユーザのパスワードを照合します。

シャドウ ソースを使用できない場合は、Data ONTAP では/etc/passwd ファイルまたは

ユーザー名で指定したエントリを フラッシュする場合

次のコマンドを入力します。 nfs nsdb flush -U username1 [,username2,...]

ユーザー ID で指定したエントリを フラッシュする場合

次のコマンドを入力します。 nfs nsdb flush -u userID1[,userID2,...]

グループ名で指定したエントリを フラッシュする場合

次のコマンドを入力します。 nfs nsdb flush -G groupname1 [,groupnaem2,...]

グループ ID で指定したエントリを フラッシュする場合

次のコマンドを入力します。 nfs nsdb flush -g groupID1[,groupID2,...]

Page 53: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|53

passwd.byname NIS マップを使用して、UID、プライマリ GID(グループ ID)、およびパス

ワードを照合します。

pcnfsd デーモンは PC-NFS バージョン 2 の認証要求を受信すると、/etc/group ファイルまた

group.byname NIS マップを検索してユーザが属するすべてのグループを調べます。

pcnfsdデーモンの有効化と無効化

pcnfsd デーモンを有効または無効にするには、pcnfsd.enable オプションをそれぞれ on また

は off に設定します。

作業を始める前に

pcnfsd デーモンを有効にする前に、ストレージ システムで NFS を有効にする必要がありま

す。

タスク概要

PC-NFS ユーザがストレージ システムのファイルシステム パスをマウントするときに、スト

レージ システムが PC-NFS ユーザを認証できるように、pcnfsd デーモンを有効にします。他

のコンピュータを使用してユーザを認証する場合は、pcnfsd デーモンを有効にする必要はあ

りません。他のコンピュータで認証されたユーザは、ストレージ システムで認証されたユー

ザと同様に、ストレージ システムのファイルシステム パスにアクセスできます。

手順

1. 次のいずれかの操作を実行します。

目的 操作

pcnfsd デーモンを有効にする場合 次のコマンドを入力します。 options pcnfsd.enable on

pcnfsd デーモンを無効にする場合 次のコマンドを入力します。 options pcnfsd.enable off

ストレージシステムのローカルファイルでのPC-NFSユーザーエントリの作成

ストレージ システムのローカル ファイルに PC-NFS ユーザ エントリを作成するには、すべ

ての PC-NFS ユーザを適切に認証する UNIX ホストからストレージ システムに、/etc/passwd、/etc/shadow、および/etc/group ファイルをコピーします。

タスク概要

ローカル ファイルを使用して PC-NFS ユーザを認証し、グループ メンバーシップを判別する

場合は、ストレージ システムのローカル ファイルに PC-NFS ユーザ エントリを作成します。

手順

1. すべての PC-NFS ユーザーを適切に認証する UNIX ホストから、/etc/passwd、/etc/shadow、および

Page 54: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

54 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

/etc/group ファイルをストレージ システムにコピーします。

umaskとNFSファイルパーミッションの連携方法

ファイルおよびディレクトリの umask を定義する前に、ファイルアクセス権の計算における umask の使用方法について理解しておく必要があります。

各ファイルのアクセス権は、3 個の 8 進数の値によって定義されます。これらの値は、所有者、グルー

プ、その他に適用されます。PC-NFS のクライアントが新しいファイルを作成する場合は、666 から

umask(ユーザが定義する 3 個の 8 進数の数字)が減算されます。

その結果の 8 進数は、ファイルのアクセス権として使用されます。

デフォルトでは、umask は 022 です。これは、アクセス権に関する有効な 8 進数の数字は

644 であることを意味しています。これらのアクセス権によってファイルの所有者はファイルの読み取

りと書き込みができ、グループおよびその他はファイルの読み取りができます。

次の表で、umask の各数字について説明します。

unmask の数字 説明

0 読み取り/書き込み権限

2 書き込み権限

4 読み取り専用権限

6 アクセス権限なし

PC-NFSユーザーが作成したファイルおよびディレクトリのumaskの定義

通常の NFS ユーザとは異なり、PC-NFS ユーザは、UNIX の umask コマンドを実行して、デ

フォルトのファイルのアクセス権を決めるファイル モード生成マスク(umask)を設定でき

ません。ただし、Data ONTAP の機能を利用してすべての PC-NFS ユーザに umask を定義す

ることができます。

手順

1. 次のコマンドを入力します。

options pcnfsd.umask umask

umask は 3 桁の 8 進数です。

WebNFS クライアントのサポート

WebNFS クライアントをサポートするには、WebNFS プロトコルを有効にして、WebNFS ル

ート ディレクトリを任意で設定します。

タスク概要

Page 55: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS を使用するファイル アクセス|55

WebNFS プロトコルを有効な場合、WebNFS クライアントのユーザーは nfs:// で始まる URL を指定して、ストレージ システムからファイルを転送することができます。

次のトピック

WebNFS プロトコルの有効化と無効化 WebNFS のルートディレクトリの設定

WebNFSプロトコルの有効化と無効化

WebNFS プロトコルを有効または無効にするためには、nfs.webnfs.enable オプションを それ

ぞれ on または off に設定します。

手順

1. 次のいずれかの操作を実行します。

Web NFS プロトコルへの操作 手順

有効にする場合 次のコマンドを入力します。 options nfs.webnfs.enable on

無効にする場合 次のコマンドを入力します。 options nfs.webnfs.enable off

WebNFSのルートディレクトリの設定

WebNFS のルート ディレクトリを設定するためには、ルート ディレクトリの名前を指定して

から、そのルート ディレクトリを有効にします。

タスク概要

WebNFS 検索のルート ディレクトリを設定する場合、WebNFS ユーザは絶対パス名でなく、

ルート ディレクトリに対する相対パス名のみを指定できます。たとえば、WebNFS のルート ディレクトリが/vol/vol1/web である場合は、URL として「nfs://specs」と指定することによ

り、WebNFS ユーザは/vol/vol1/web/specs ファイルにアクセスできます。

次のトピック

WebNFS のルートディレクトリの名前の指定 WebNFS のルートディレクトリの有効化

WebNFSのルートディレクトリの名前の指定

WebNFS のルート ディレクトリの名前を指定するには、nfs.webnfs.rootdir オプションを設定

します。

手順

1. 次のコマンドを入力します。

options nfs.webnfs.rootdir directory

Page 56: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

56 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

directory には、ルートディレクトリへの完全パスを指定します。

WebNFSのルートディレクトリの有効化

WebNFS のルート ディレクトリを有効にするには、nfs.webnfs.rootdir.set オプションを on に設定します。 WebNFS のルート ディレクトリを有効にするには、まず名前を指定する必要

があります。

手順

1. 次のコマンドを入力します。

options nfs.webnfs.rootdir.set on

Page 57: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 57

CIFS を使用したファイルアクセス

ストレージシステム上のファイルに CIFS クライアントがアクセスできるように、CIFS サー

バを有効化または設定することができます。

次の項目

MMC とストレージシステムの接続 ストレージシステムでの CIFS の設定 ストレージシステムでの SMB の設定 共有の管理 アクセス制御リスト (Access Control List) ホームディレクトリの管理 ローカルユーザーとグループの管理 グループポリシーオブジェクトの適用 oplock でのクライアントパフォーマンスの向上 認証とネットワーク サービスの管理 CIFS アクティビティの監視 CIFS サービスの管理 アクセス制御問題のトラブルシューティング Fpolicy の使用

MMC とストレージシステムの接続

特定の CIFS 管理タスクは MMC によって実行できます。 このタスクを実行する前に、MMC をストレージシステムに接続する必要があります。MMC メニューコマンドを使って、MMC をストレージシステムに接続することができます。

手順

1. MMC を Windows サーバ上に起動するには、Windows Explorerのマイコンピュータのアイコン

を 右クリックし、Manage(管理) を選択します。

2. 左側のパネルの Computer Management(コンピュータの管理) を選択します。

3. Action(操作) > Connect to another computer(別のコンピュータへ接続) を選択します。

Select Computer(コンピュータの選択) ダイアログボックス が現れます。

4. ストレージシステムの名前を入力するか、[Browse(参照)] をクリックしてストレージのシステムを

検索します。

5. [OK] をクリックします。

ストレージシステムでの CIFS の設定

cifs setup コマンドを使用すると、ストレージシステムに CIFS を設定できます。ストレージ

Page 58: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

58 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

システムの初期設定についての一般的な情報については、Data ONTAP Software Setup Guideを参照してください。

次の項目

サポート対象の Windows クライアントおよびドメインコントローラ cifs setup コマンドの機能 システムの初期設定 WINS サーバの指定 ストレージシステムドメインの変更 プロトコルモードの変更 Windows ユーザーアカウント名の指定 CIFS 再設定時の検討事項 ストレージシステム上の CIFS の再設定

サポート対象のWindowsクライアントおよびドメインコントローラ

Data ONTAP を実行するストレージシステムでは、特定の Windows クライアントとドメイン

コントローラの特定の組み合わせに対してサービスを提供できます。

サポート対象の Windows クライアント:

• Windows 7

• Windows サーバ 2008 R2

• Windows サーバ 2008

• Windows Vista

• Windows サーバ 2003 R2

• Windows サーバ 2003

• Windows XP

• Windows 2000

• Windows NT

• Windows 98

• Windows 95

サポート対象のドメインコントローラ:

• Windows サーバ 2008 R2

• Windows Server 2008

• Windows Server 2003 R2

• Windows Server 2003

• Windows 2000

Page 59: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 59

• Windows NT

詳細については、NOW サイト(now.netapp.com/)にある Windows File Services (CIFS)の互

換性マトリクスを参照してください。

このマトリクスには、次の内容に関する情報が記載されています。

• Data ONTAP と Microsoft オペレーティングシステムの最新のリリースとの互換接続性

• Data ONTAP と Microsoft Service Packs の互換性マトリクス

• Data ONTAP と Microsoft のセキュリティ アップデート

cifs setupコマンドの機能

CIFS の初期設定以外に、cifs setup コマンドは次の複数のタスクを実行します。

cifs setup コマンドで、 次のタスクを実行することができます。

• CIFS クライアントからアクセスできる CIFS のサーバの作成および名前設定

• ドメインまたはワークグループへの CIFS サーバの参加、またはドメインやワークグルー

プ間での移動

• ローカル CIFS ユーザーおよびグループのデフォルトセットの作成

メモ:グループ検索サービスに NIS を使用する場合、NIS グループ キャッシュを無効にす

ると、パフォーマンスが極度に悪化する場合があります。nis.enable オプションを使用して

NIS 検索を有効にする場合は、nis.group_update.enable オプションを使用してキャッシン

グも有効にすることを強く推奨します。

これらの 2 つのオプションを同時に有効にしないと、CIFS クライアントが認証を試行する

ときに、タイムアウトになることがあります。

NIS の設定の詳細については、Data ONTAP 7-Mode Network Management Guide を参照し

てください。

システムの初期設定

有効な CIFS のライセンスが存在する場合、ストレージシステムの初期セットアップ中に cifs setup コマンドが自動的に呼び出されます。cifs setup コマンドにより、認証の種類、使用す

る検索サービスなどの情報の入力が求められます。

cifs setup を実行する際に必要な情報など CIFS の初期設定における cifs setup コマンドの使

用の詳細については、Data ONTAP Software Setup Guide をご参照ください。

WINSサーバの指定

WINS サーバを指定するには無停止型の cifs.wins_servers オプションを使用するか、または

CIFS サービスの停止を要求する cifs setup コマンドを使います。

このタスクについて

Page 60: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

60 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

WINS サーバリストは追加式ではありません。3 番目の WINS サーバを追加する際は、必ず 3つの IP アドレスをすべてカンマ区切りのリストで入力してください。そうしないと、最初の

2 つの WINS サーバは追加するサーバで置き換えだれてしまいます。

手順

1. 次の動作のどれかを実行します。

目的 操作

cifs.wins_servers オプションを使用して WINS サーバを指定する場合

次のコマンドを入力します。 options cifs.wins_servers servers server は、WINS サーバのカンマ区切りのリストです。

cifs.wins_servers オプションの更に詳しい情報は

options(1)のマニュアルページをご参照ください。

cifs setup コマンドを使用して WINS サーバを

指定する場合 次のコマンドを入力します。 cifs setup IPv4 WINS サーバの入力を求められたら、4 つまで指

定します。 cifs setup コマンドの詳細については cifs(1) マニュア

ルページを参照してください。

ストレージシステムドメインの変更

ストレージシステムをすでに Windows ドメイン認証用に設定しており、ストレージシステム

を別のドメインに移動する場合は、cifs setup コマンドを実行する必要があります。

始める前に

この手順を実行するには、ドメインに任意の Windows サーバを追加する権限を持つ管理アカ

ウントが必要です。

このタスクについて

ストレージシステムのドメインを変更すると、BUILTIN\Administrators グループのメンバーシ

ップが更新され、新しいドメインが有効になります。この変更によって、新しいドメインが古

いドメインから信頼されていないドメインであった場合でも、新しいドメインの管理者グルー

プがストレージシステムを管理できるようになります。

メモ: CIFS サーバを新しいドメインまたはワークグループに実際に追加するまでは、Ctrl+Cを押して、cifs restart コマンドを入力することにより、CIFS 設定プロセスをキャンセルし、

以前の設定に戻すことができます。

手順

1. CIFS が現在実行中の場合は、次のコマンドを入力します。

cifs terminate

2. cifs setup コマンドを実行します。

Page 61: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 61

cifs setup

次のプロンプトが表示されます。

Do you want to delete the existing filer account information? [no]

3. 既存のアカウント情報を削除するには、次のコマンドを入力します。

yes

メモ: DNS サーバのエントリ プロンプトを表示するためには、既存のアカウント情報

を削除する必要があります。

アカウント情報を削除すると、ストレージシステムの名前を変更することができます。

The default name of this filer will be 'filer1'.

Do you want to modify this name? [no]:

4. ストレージシステム名を維持する場合は、 [Enter]キーを押します。現在のストレージシス

テム名を変更する場合は、yes を入力して、新しいストレージシステム名を入力します。

Data ONTAP displays a list of authentication methods:

Data ONTAP CIFS services support four styles of user authentication. Choose the one from the list below that best suits your situation.

Active Directory domain authentication (Active Directory domains only)

Windows NT 4 domain authentication (Windows NT or Active Directory domains)

Windows Workgroup authentication using the filer's local user accounts

/etc/passwd and/or NIS/LDAP authentication

Selection (1-4)? [1]:

5. ドメイン認証のデフォルト方式(Active Directory)を受け入れる場合は、[Enter]キーを押

します。それ以外の場合は、新しい認証方式を選択します。

6. cifs setup プロンプトの残りの要求に応答します。デフォルト値を受け入れるには [Enter] キーを押します。終了すると、cifs setup アップユーティリティは CIFS を起動します。

7. 変更を確認するには、次のコマンドを入力します。

cifs domaininfo

ストレージシステムのドメイン情報が表示されます。

プロトコルモードの変更

有効な CIFS ライセンスと NFS ライセンスを保持している場合は、プロトコル設定を unix (デフォルト)から ntfs または mixed (マルチプロトコル) モードに変更できます。

このタスクについて

NFS、CIFS、または両方のクライアントからストレージ システム上のファイルにアクセスで

Page 62: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

62 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

きるかどうかは、プロトコル モードによって決まります。

プロトコル モードを設定するには、cifs setup ユーティリティを実行するか、または

wafl.default_security_style オプションを設定します。

cifs setup を使用してマルチプロトコル モードに変更する場合、NFS クライアントではファ

イルの利用がすぐには可能になりません。cifs setup を使用してマルチプロトコル モードに変

更したあと、ファイルを NFS クライアントで利用できるようにするには、ルート ボリューム

の qtree セキュリティ形式を unix に変更し、chmod コマンドを使用して必要な UNIX クライ

アント アクセスを許可する必要もあります。

メモ: Data ONTAP がユーザの UNIX ユーザ ID と CIFS クレデンシャルを正常にマッピン

グし、ユーザがファイルにアクセスできることを(CIFS クレデンシャルによって)確認し

た場合、NFS クライアントは Windows ACL を使用してファイルにアクセスすることもでき

ます。たとえば、Data ONTAP が UNIX root ユーザと BUILTIN\Administrators グループ内の

ユーザを正常にマッピングした場合、UNIX root ユーザはセキュリティ形式に関係なく、

Windows ユーザがアクセスできるファイルと同じファイルにアクセスできます。

手順

1. 次のいずれかを実行します。

目的 操作

CIFS setupユーティリティを

使用してプロトコルモードを

変更する場合

次のコマンドを入力します。 cifs terminate cifs setup プロンプトに従って、プロトコルモードを変更します。

wafl.default_security_style オプションを

設定してプロトコルモードを変更する場合

次のコマンドを入力します。 options wafl.default_security_style {unix | NTFS | mixed}

次の項目

NTFS 専用ストレージシステムをマルチプロトコルストレージシステムに変更することによる影響 マルチプロトコルストレージシステムを NTFS 専用ストレージシステムに変更する影響

NTFS専用ストレージシステムをマルチプロトコルストレージシステムに変更することによる影響

NTFS ストレージシステム をマルチプロトコルストレージシステム に変更すると次のよ

うな影響が出ます。

• ボリュームを作成すると、そのデフォルトのセキュリティは、UNIX です。

• wafl.default_security_style オプションが UNIX に設定されます。

既存の ACL、現在のすべてのボリュームと qtree のセキュリティ形式は変更されません。

Page 63: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 63

メモ:ストレージ システムをマルチプロトコルに変更したあとも、ルート ボリュームのセ

キュリティ形式は ntfs のままなので、UNIX からルートとしてルート ボリュームにアクセス

しようとすると、拒否される場合があります。ただし、ルート ボリュームの ACL によって、

ルートにマッピングされる Windows ユーザにフル コントロールが許可される場合は、アク

セスができます。cifs.nfs_root_ignore_acl オプションを on に設定して、アクセスすること

もできます。

マルチプロトコルストレージシステムをNTFS専用ストレージシステムに変更する影響

マルチプロトコルストレージシステムから NTFS ストレージシステムへ変更すると様々な

影響があります。

• ストレージ システムのルート ディレクトリ( /etc)と、 /etc ディレクトリのファ

イルに既存の ACL がある場合、ACL は影響を受けません。ACL が存在しない場

合は、BUILTIN\Administrators グループがフル コントロールを持つように ACL が作成されます。 /etc/http ディレクトリ内のものはすべて「Everyone Read」に

割り当てられます。

• その他のファイルおよびディレクトリの ACL は影響を受けません。

• 読み取り専用ボリュームを除き、すべてのボリュームのセキュリティ形式が、ntfs に変更

されます。

• /etc ディレクトリが qtree の場合、 そのセキュリティ形式は ntfs に変更されます。

• 他のすべての qtrees のセキュリティ形式は影響をうけません。

• ボリュームまたは qtree を作成する場合、 そのデフォルトのセキュリティは ntfs です。

• wafl.default_security_style オプションは ntfs に設定されています。

Windowsユーザーアカウント名の指定

一部の Data ONTAP コマンドおよび構成ファイルでは、Windows ユーザーアカウント名を指

定できます。

このタスクについて

Windows ユーザアカウント名は次の場所で指定できます。

• Windows ユーザーに関する情報を表示する場合、cifs session コマンドの引数として

• Windows 名を UNIX 名にマッピングする場合は、/etc/usermap.cfg ファイル内

• Windows ユーザーのクォータを設定する場合、/etc/quotas ファイル内

構成ファイル内で円記号(\)を使用して UNIX ユーザ名を指定すると、Data ONTAP では

Windows ユーザ アカウント名として扱われます。たとえば、/etc/quotas ファイルで指定した

corp\john のような UNIX 名は、Windows ユーザ アカウント名として解釈されます。

メモ:user@domain 形式を使用して Windows ユーザーアカウント名を指定できるコマンド

Page 64: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

64 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

は、cifs setup コマンドだけです。 また、構成ファイルによっては、そのファイル固有の

Windows ユーザーアカウント名を指定するときに規則が適用される場合があります。これ

らの規則の詳細については、それぞれの構成ファイルに関連するセクションを参照してくだ

さい。

手順

1. 次の動作のどれかを実行します。

目的 操作

Windows 2000 より前の形式

で Windows 名を指定する場

ドメイン名に円記号およびユーザ名を追加します。

(corp\john_smith など)

Windows 2000 のユーザ名

を Windows 2000より前の

形式で指定する場合

ドメイン名の NETBIOS 形式を使用し、ユーザー名が 20文字以下になる

ようにします。たとえば [email protected]_company.com が Windows 2000 ユーザの場合、Data ONTAP コマンドおよび構成ファイ

ル内では、このユーザを engineering\john_smith として参照できます。

ローカルユーザーアカウント

を指定する場合 Windows 2000 より前の形式で、ドメイン名の代わりにストレージシステ

ム名を入力します。(filer1\john_smith など)

CIFS再設定時の検討事項

ストレージシステム上の CIFS 再構成前に、前提条件およびその他の重要な情報について知る

必要があります。

CIFS を再設定する前に、ご使用の設定に適した準備作業をすべて完了しておいてください。

• ストレージ システムを再設定するときに、ストレージ システムのドメインを Windows NT ドメインから別のドメインに変更する場合は、ストレージ システムをインストールす

るドメインのプライマリ ドメイン コントローラとストレージ システム間の通信が可能に

なっている必要があります。

ストレージ システムのインストールにはバックアップ ドメイン コントローラを使用でき

ません。

• ストレージ システムの名前を変更する場合、ドメイン コントローラ上に新しいコンピュ

ータ アカウントを作成します(Windows 2000 よりあとの Windows バージョンの場合の

み必要)。

• 同じドメインのストレージシステムおよびドメインコントローラは、同じタイムソースと

同期している必要があります。ストレージシステムの時間とドメインコントローラの時間

が同期していない場合は、次のエラーメッセージが表示されます。

Clock skew too great

時刻同期サービスの設定方法の詳しい手順については、 Data ONTAP System Administration Guide をご参照ください。

Cifs setup コマンドを使用して、CIFS 再構成する場合、UNIX ベースの KDC が、NFS に設

Page 65: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 65

定されているとき、Data ONTAP は、UNIX 文字列を含むように UNIX keytab ファイルの名前

を変更します。UNIX ベースの KDC の keytab ファイルの名前を変更するには、CIFS 構成中

に Data ONTAP が次のメッセージプロンプトを表示したら、yes を入力します。

*** Setup has detected that this filer is configured to support

Kerberos *** authentication with NFS clients using a non-Active

Directory KDC. If *** you choose option 1 below, to allow NFS to

use the non-Active *** Directory KDC, your existing keytab file

'/etc/krb5.keytab' will be *** renamed to '/etc/UNIX_krb5.keytab'.

NFS will be using the new keytab *** file '/etc/UNIX_krb5.keytab'.

Do you want to continue. (Yes/No)?

yes を入力すると、Data ONTAP は UNIX ベースの KDC の keytab ファイルの名前を変更し

ます。no を入力するか、または[Enter] を押すと、Data ONTAP は CIFS 再構成プロセスを中

止します。この名前変更は Kerberos Multirealm 構成に必要です。

ストレージシステム上のCIFSの再設定

初期設定後にCIFSを再設定するには、cifs setupユーティリティを再実行します。

このタスクについて

CIFSセットアップを実行して変更できるCIFS構成設定は次の通りです。

• WINS サーバのアドレス

• ストレージシステム がマルチプロトコルであるか、または NTFS 専用であるか

• ストレージシステム が Windows ドメイン認証、Windows ワークグループ認証、または

UNIX パスワード認証のどの認証方法を使用するか

• ストレージシステムが属しているドメインまたはワークグループ

• ストレージシステム名

メモ: 進行中の cifs setup ユーティリティを終了する必要がある場合は、 [Ctrl-C] を押しま

す。次に、cifs restart コマンドを入力し、古い構成情報を使用して CIFS を再起動してくだ

さい。

手順

1. 次のコマンドを入力します。

cifs terminate

ストレージシステムへの CIFS のサービスが停止します。

2. 次のコマンドを入力します。

cifs setup

cifs setup プログラムが実行され、CIFS の再構成を求める一連のメッセージが表示されま

す。

Page 66: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

66 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ストレージシステムでの SMB の設定

CIFS プロトコルに付け加えて、Data ONTAP は Server Message Block (SMB) 1.0 プロトコ

ルと SMB 2.0 に対応しています。

次の項目

SMB 1.0 プロトコルのサポート

SMB 2.0 プロトコルのサポート

SMB 2.0 プロトコルを有効化する場合

SMB 2.0 プロトコルの有効化と無効化

SMB 2.0 永続ハンドルの有効化と無効化

SMB 2.0 永続ハンドルのタイムアウト値の指定

SMB 署名

ストレージシステムの SMB2.0 プロトコルのクライアント機能の有効化と無効化

SMB 1.0 プロトコルのサポート

Data ONTAP はセキュリティ、ファイル、およびディスク管理機能を使用して CIFS を拡張す

る SMB 1.0 プロトコルに対応しています。

SMB プロトコルの仕様によると、SMB1.0 プロトコルには、次の機能が含まれています。

• Kerberos 認証などの新しい認証方式

• メッセージの署名

• 旧バージョンのファイルの列挙とアクセス

• サーバのデータをすべて読み込み/書き込みの必要がないクライアントによるサーバのフ

ァイル管理

• SMB 通信のためにダイレクト TCP (NetBIOS over TCP/UDP の代わりに), NetBIOS over Internetwork Packet Exchange (IPX), NetBIOS Extended User Interface (NetBEUI)を使用

した SMB 接続

• サーバーによって公開されるファイルシステム操作を要求する FSCTL(File System Controls)のクライアント使用対応

• 既存のコマンドに応答する拡張情報取得のサポート

更に詳しい情報は、「SMB 1.0 プロトコルの仕様」をご参照ください。

SMB 2.0 プロトコルのサポート

従来の SMB プロトコルに付け加えて、Data ONTAP は SMB 2.0 プロトコルに対応していま

Page 67: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 67

す。 これは従来のプロトコルにいくつかの拡張機能を提供します。

SMB2.0 プロトコルは従来の SMB の大幅改訂版であり、完全に別のパケットフォーマットを

使用しています。 しかし、クライアントは、従来の SMB プロトコルの使用を交渉する SMB 2.0 プロトコルを使用できるので、 SMB 2.0 プロトコルは従来の SMB 対応のサーバとクライ

アントとの互換性を維持します。

SMB2.0 プロトコルの仕様によると、SMB2.0 プロトコルには、次の機能が含まれています。

• クライアント接続がいったん中断した後に、中断前に開いていたファイルを再確立する」

ことができます。

開いているとは「[a] 特定のユーザーのセキュリティコンテキストを使用して、現在確立さ

れている特定のクライアントから特定のサーバへアクセスに対応するファイルまたは名前

付きパイプランタイムオブジェクト」のことです。クライアントとサーバの両方はアクテ

ィブなアクセスを表わす開いた状態を維持します。

• これは「サーバがいつでも、同時に実行できる未処理の操作数を調節する」ことができる

ようにします。

• これは「共有、ユーザー数、同時に開いているファイルのスケーラビリティを提供します。

特に Data ONTAP は次の SMB 2.0 機能に対応しています。

• 非同期メッセージ

Data ONTAP は非同期メッセージを使って次の要求を含む潜在的に無期限量の完全な応答

をブロックする可能性のある要求に対して SMB 2.0をクライアントに暫定的な応答を送

信します。

• CHANGE_NOTIFY 要求

• oplock の失効によってブロックされた CREATE 要求

• 既にロックされているバイトの範囲への LOCK 要求

• 永続性ハンドル

Data ONTAP は永続性ハンドルを使います。これはネットワークの短い停止発生による、

データの損失を防ぐために、SMB セッションを保持するファイルハンドルです。クライ

アントはファイルを開くときに、永続性ハンドルが必要かどうかを指定します。必要な場

合は、Data ONTAP は永続性ハンドルを作成します。その後、SMB 2.0 接続がダウンした

場合、Data ONTAP は、別の SMB2.0 接続上の同じユーザーによる回収に永続性ハンドル

が利用できるようにします。Data ONTAP の永続性ハンドル対応は有効化/無効化するこ

とができます。ONTAP にネットワーク障害が発生した後、永続性ハンドルを保持する時

間の長さも指定することができます。

• SHA-256 署名

Data ONTAP は SHA-256 ハッシュ機能を使って SMB 2.0 メッセージの署名のための MAC(Message Authentication Codes)を生成します。SMB 2.0 署名を有効化すると、 Data ONTAP は 有効な署名がある SMB 2.0 メッセージのみを受け入れます。

• クレジット付与のためのアルゴリズム

Page 68: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

68 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

SMB 2.0 プロトコルの仕様によれば、クレジットは「クライアントがサーバに送信するこ

とができる未解決の要求の数を制限する」と共に、「クライアントは、ストレージシステ

ムへの複数の同時要求を送信する」ことができます。

• 配合要求

SMB 2.0 プロトコルの仕様によれば、配合要求は「複数の SMB2.0 プロトコル要求を基本

的なトランスポートに提出するための個別の送信要求に結合したもの」です。

さらに、Windows サーバは SMB2.0 プロトコルのクライアント機能を有効化/無効化するこ

とができます。それはストレージシステムが Windows サーバ通信するために、従来の SMBプロトコル SMB プロトコルのどちらを使うかを決定します。

メモ:Data ONTAP SMB2.0 プロトコルはオプション機能で、シンボリック リンクを

サポートしていません。

更に詳しい情報は、「SMB 2.0 プロトコルの仕様」をご参照ください。

次の項目

コンテキスト作成のサポート

ファイルシステム制御のサポート

コンテキスト作成のサポート

Data ONTAP は SMB2.0 プロトコル仕様で定義されたコンテキスト作成のサブセットに対応

しています。Data ONTAP は次のコンテキスト作成に対応しています。

• SMB2_CREATE_EA_BUFFER

• SMB2_CREATE_SD_BUFFER

• SMB2_CREATE_QUERY_MAXIMAL_ACCESS

• SMB2_CREATE_TIMEWARP_TOKEN

• SMB2_CREATE_DURABLE_HANDLE_REQUEST

• SMB2_CREATE_DURABLE_HANDLE_RECONNECT

• SMB2_CREATE_ALLOCATION_SIZE

Data ONTAP は次のコンテキスト作成には対応していません。

• SMB2_CREATE_QUERY_ON_DISK_ID

ファイルシステム制御のサポート

Data ONTAP は SMB 2.0 プロトコル仕様で定義された FSCTL(File System Controls)のサ

ブセットに対応しています。

Data ONTAP は次のファイルシステム制御に対応しています。

• FSCTL_PIPE_TRANSCEIVE

Page 69: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 69

• FSCTL_PIPE_PEEK

• FSCTL_GET_DFS_REFERRALS

• FSCTL_SRV_ENUMERATE_SNAPSHOTS

Data ONTAP は次のような実例のないファイルシステム制御には対応していません。

• FSCTL_SRV_REQUEST_RESUME_KEY

• FSCTL_SRV_COPYCHUNK

SMB 2.0 プロトコルを有効化する場合

ファイル転送やプロセス間通信のシナリオの中には、従来の SMB プロトコルよりも SMB 2.0 が優れている場合があります。

SMB2.0 プロトコルの仕様によれば、このようなシナリオは次のような必要条件があることが

あります。

• より多くのスケーラビリティが必要な同時にファイル、共有の数、およびユーザセッショ

ンを開く場合

• サーバにとって要求数が大きいとみなされる場合のサービスの品質保証

• HMAC - SHA256 ハッシュアルゴリズムによるより強力なデータ整合性の保護

• 不均質特性のあるネットワーク上でのより良いスループット

• ネットワーク接続の断続的な損失の処理を改善

更に詳しい情報は、「SMB2.0 プロトコルの仕様」をご参照ください。

SMB 2.0 プロトコルの有効化と無効化

cifs.smb2.enable オプションを使って SMB 2.0 プロトコルの有効化/無効化ができます。 デフォルトではこのオプションは off に設定されています。

このタスクについて

SMB 2.0 プロトコルはストレージシステムで無効になっている場合、SMB 2.0 クライアント

とストレージシステム間のコミュニケーションは従来の SMB プロトコルに戻ります(SMB 2.0 クライアントの交渉要求に従来の SMB ダイアレクトを含むことが前提条件)。

手順

1. 次の動作の 1つを実行します。

目的 操作

SMB 2.0 プロトコルを有効化する場合 次のコマンドを入力します。 options cifs.smb2.enable on

SMB 2.0 プロトコルを無効化する場合 次のコマンドを入力します。 options cifs.smb2.enable off

Page 70: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

70 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

SMB 2.0 永続ハンドルの有効化と無効化

cifs.smb2.durable_handle.enable オプションで SMB 2.0 永続ハンドルを有効化、または無効

化することができます。デフォルトではこのオプションは on に設定されています。

手順

1. 次の動作の 1つを実行します。

目的 操作

SMB 2.0 プロトコルを有効にする場合 次のコマンドを入力します。 options cifs.smb2.enable on

SMB 2.0 プロトコルを無効にする場合 次のコマンドを入力します。 options cifs.smb2.enable off

SMB 2.0 永続ハンドルのタイムアウト値の指定

cifs.smb2.durable_handle.timeout オプションを使って SMB 2.0 永続ハンドルのタイムアウト

値を指定することができます。 デフォルトではこのオプションは 960 秒(16 分)です。

手順

1. 次のコマンドを入力します。

options cifs.smb2.durable_handle.timeout value

value は 5 秒~4294967295 秒の 秒単位のタイムアウトです。

SMB 署名

Data ONTAP はクライアントから要求時に Server Message Block (SMB) 署名をサポートし

ます。(SMB 1.0 プロトコルと SMB 2.0 プロトコル経由で)。SMB 署名はリプレイアタッ

ク(別名「中間攻撃」の防御により、ストレージシステムとクライアント間のネットワークト

ラフィックが危険にさらされることのないようにします。

Microsoft Network クライアント:デジタル署名通信(サーバが同意した場合):この設定は

クライアントの SMB 署名機能を有効にするかどうかを制御します。この設定がクライアント

上で無効な場合は、ストレージ システム上の SMB 設定にかかわらず、クライアントは通常

SMB 署名以外でストレージ システムと通信します。

次の項目

クライアントの SMB 署名ポリシーがストレージシステムとの通信に及ぼす影響 SMB 署名のパフォーマンスへの影響 クライアントへの SMB1.0 メッセージ署名要求の強制 クライアントへの SMB2.0 メッセージ署名要求の強制

クライアントのSMB署名ポリシーがストレージシステムとの通信に及ぼす影響

クライアントとストレージ システム間の通信のデジタル署名を制御する、Windows クライア

Page 71: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 71

ント上の SMB 署名ポリシーには、「通常」と「サーバが同意した場合」の 2 つがあります。

クライアント SMB ポリシーは、Microsoft Management Console(MMC)を使用した

Security Settings で制御されます。クライアントの SMB 署名とセキュリティ問題の詳細につ

いては、Microsoft Windows のマニュアルを参照してください。

ここでは、2 つの SMB 署名ポリシーについて説明します。

次はクライアントの 2つの SMB 署名ポリシーについての説明です。

• Microsoft Network クライアント:デジタル署名通信(サーバが同意した場合):この設定

はクライアントの SMB 署名機能を有効にするかどうかを制御します。デフォルトでは有

効です。この設定がクライアント上で無効な場合は、ストレージ システム上の SMB 設定

にかかわらず、クライアントは通常 SMB 署名以外でストレージ システムと通信します。

クライアント上でこの設定が有効な場合:

• SMB 署名がストレージシステム上で有効な場合、クライアントとストレージシステム

間のすべての通信 は SMB 署名を使用します。

• SMB 署名がストレージシステム上で無効でない場合は、通信は通常 SMB 署名以外で

行われます。

• Microsoft Network クライアント:デジタル署名通信(通常):この設定では、クライアン

トがサーバとの通信に SMB 署名を必要とするかどうかを制御します。デフォルトでは無

効です。この設定がクライアント上で無効である場合、SMB 署名の動作は、「デジタル

署名通信(サーバが同意した場合)」のポリシー設定とストレージ システム上の設定に依

存します。この設定がクライアント上で有効な場合は、次のようになります。

• SMB 署名が ストレージシステム上で有効な場合、クライアントとストレージシステ

ム間のすべての通信 は SMB 署名を使用します。

• SMB 署名が ストレージシステム上で有効でない場合、 クライアントはストレージシ

ステムとの通信を拒否します。

メモ: ご使用中の環境に SMB 署名を要求するように設定された Windows クライアン

トが含まれる場合、ストレージシステム上の SMB 署名を有効にする必要があります。

有効にしないと、ストレージシステムはこのようなシステムにデータを提供できません。

SMB署名のパフォーマンスへの影響

SMB 署名が有効な場合、Windows クライアントとのすべての CIFS 通信によってパフォーマ

ンスに重大な影響が生じます。これは、クライアントとサーバ(つまり Data ONTAP を実行

中のストレージ システム)両方に影響があります。

パフォーマンスの低下は、CPU 使用率の増加としてクライアントとサーバの両方に表示され

ますが、ネットワークのトラフィック量は変わりません。

ネットワークとストレージ システムの実装によって、SMB 署名のパフォーマンスへの影響は

大きく異なるため、影響の検証はご使用のネットワーク環境でのテストによってのみ可能です。

Page 72: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

72 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

多くの Windows クライアントは、サーバ上で SMB 署名が有効な場合は、SMB 署名をデフォ

ルトでネゴシエートします。ご使用の Windows クライアントのいくつかに SMB 保護が必要

で、SMB 署名がパフォーマンスの問題を引き起こしている場合は、リプレイ アタックからの

保護を必要としない Windows クライアントに対して SMB 署名を無効にすることができます。

Windows クライアントでの SMB 署名の無効化については、Microsoft Windows のマニュアル

を参照してください。

クライアントへのSMB1.0メッセージ署名要求の強制

cifs.signing.enable オプションを有効化すれば、クライアントが SMB 1.0 メッセージに署名す

るように強制することができます。デフォルトではこのオプションは off です。

手順

1. 次の動作の 1つを実行します。

目的 操作

SMB 署名を有効にする場合 次のコマンドを入力します。 options cifs.smb.signing.enable on

SMB 署名を無効にする場合 次のコマンドを入力します。 options cifs.smb2.signing.enable off

クライアントへのSMB2.0メッセージ署名要求の強制

cifs.smb2.signing.required オプションを有効化すればクライアントが SMB 2.0 メッセージに

強制的に署名できます。デフォルトではこのオプションは off です。

Data ONTAP は、SMB の 2.0 メッセージの署名用の Message Authentication Codes(MAC)を

生成する SHA - 256 ハッシュ関数を使用します。cifs.smb2.signing.required オプションを設

定する場合は、Data ONTAP は、有効な署名がある場合にのみ SMB 2.0 のメッセージを受け

付けます。

手順

1. 次の動作の 1つを実行します。

クライアントが SMB2.0 メッセージの署名に署名す

る機能 操作

Data ONTAPによって強制する場合 次のコマンドを入力します。 options cifs.smb2.signing.required on

Data ONTAPによって強制しない場合 次のコマンドを入力します。 options cifs.smb2.signing.required off

ストレージシステムのSMB2.0プロトコルのクライアント機能の有効化と無効化

cifs.smb2.client.enable オプションを使って、ストレージシステムの SMB 2.0 プロトコルクラ

Page 73: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 73

イアント機能の有効化または無効化ができます。デフォルトではこのオプションは off です。

このタスクについて

cifs.smb2.client.enable オプションは on に設定されていても Windows サーバが SMB 2.0 プロトコルに対応していない場合、ストレージシステムは従来の SMB プロトコルを使って

Windows サーバと通信します。

cifs.smb2.client.enable オプションを off に設定すると、ストレージシステムは従来の SMB プロトコルを Windows サーバとの新規の通信セッションで使います。 しかし、ストレージシス

テムは既存のセッションでは引き続き SMB 2.0 プロトコルを使い続けます。

手順

1. 次の動作の 1つを実行します。

ストレージシステムの SMB 2.0 プロトコルクライアント機能

操作

有効にする場合 次のコマンドを入力します。 options cifs.smb2.client.enable on

無効にする場合 次のコマンドを入力します。 options cifs.smb2.client.enable off

共有の管理

管理者としてストレージシステム上のユーザーとディレクトリを共有することができます

(「shares」の作成)。

次の項目

共有の作成 共有のプロパティの表示と変更 共有の削除

共有の作成

Windows クライアントの MMC(Microsoft Management Console)または Data ONTAP コマ

ンドラインから、共有を作成することができます(フォルダ、qtree、ボリュームへのアクセ

スを CIFS ユーザが指定することです)。

始める前に

共有を作成するときには、次のすべての情報を提供する必要があります。

• 共有する既存のフォルダ、qtree、ボリュームの完全なパス名

• 共有に接続するときにユーザーが入力する共有の名前

• 共有のアクセス権

メモ:アクセス権の一覧から選択するか、またはユーザーかユーザーグループごとに固有

のアクセス権を入力できます。

Page 74: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

74 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

共有を作成する場合、共有の説明を任意で指定できます。共有の説明はネットワーク上の共有

を参照する際に Comment (コメント) フィールドに表示されます。

Data ONTAP コマンドラインから共有を作成する場合は、次のようなプロパティを指定する

こともできます。

• 共有内にあるファイルのグループのメンバシップ

• 同じストレージシステム上にある任意のデスティネーションへの共有のシンボリック リン

クを、CIFS クライアントが参照できるかどうか

• 共有内でのワイドシンボリックリンクのサポート

• 共有の umask 値

• 共有は参照可能かどうか

• 共有ファイル開いたときのウイルススキャンを無効にすること

• Windows クライアントによる共有内のファイルキャッシュを無効にすること

• Windows クライアントによる共有内の文書やプログラムの自動キャッシュのサポート

• Windows の Access-Based Enumeration (ABE)を使用して共有リソースの表示を制御

すること

メモ:共有を作成した後、これらのプロパティは随時変更できます。

終了後は

共有を作成した後、共有のプロパティを指定できます。

• 同時に共有にアクセスできるユーザーの最大数

メモ:ユーザー数を指定しない場合は、追加のユーザーはストレージシステムにメモリがな

くなると、ユーザを追加できなくなります。

• 共有レベル ACL

次の項目

共有のネーミング規則 Windows クライアントの MMC を使用した CIFS 共有の作成

共有のネーミング規則

Data ONTAP では、共有のネーミング規則は Windows でのネーミング規則と同じです。

たとえば、$文字で終わる共有名は非表示の共有です。また、ADMIN $や IPC$などの特定の

共有名は予約されています。

共有名は大文字と小文字が区別されません。

Page 75: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 75

WindowsクライアントのMMCを使用したCIFS共有の作成

Windows クライアントの MMC を使用して CIFS 共有を作成するには、MMC とストレージシ

ステムを接続して、フォルダ共有ウィザードを実行します。

フォルダ共有ウィザードの実行

フォルダ共有ウィザードは、MMC を使用して実行できます。

手順

1. MMC をストレージシステムに接続します。

2. 既に選択されていない場合は、左側のペインで Computer Management (コンピュータの

管理) を選択します。

3. System Tools (システムツール)> Shared Folders (共有フォルダ)> Shares(共有) > Action (操作)を選択します。

Windows のバージョンによって次のメニュー項目の文言は多少異なる場合があります。

4. New Share(新しい共有) をダブルクリックします。

5. フォルダ共有ウィザードの指示に従います。

Data ONTAPコマンドラインを使用したCIFS共有の作成

Data ONTAP コマンドラインを使用して共有を作成するには、cifs shares - add コマンドを使

用します。

手順

1. CIFS 共有を作成するには次のコマンドを入力します。

cifs shares -add shareName path

shareName 新規 CIFS 共有名を指定します。

path の区切り文字には、スラッシュまたはバックスラッシュを使用できますが、Data ONTAP では、どちらもスラッシュとして表示します。

詳細については、na_cifs_shares(1) マニュアルページを参照してください。

例 Web でアクセス可能な共有(webpages 共有)を、最大ユーザ数が 100 の/vol/vol1/companyinfo ディレクトリに作成し、CIFS ユーザがこのディレクトリ内に作成したす

べてのファイルをすべてのユーザが所有するように設定するには、次のコマンドを入力しま

す。 cifs shares -add webpages /vol/vol1/companyinfo -comment "Product Information" -forcegroup webgroup1 -maxusers 100

Page 76: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

76 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

forcegroupオプションについて

Data ONTAP コマンドラインから共有を作成する場合は、forcegroup オプションを使用して、

その共有内の CIFS ユーザーが作成するすべてのファイルが同じグループ(forcegroup)に属す

るように指定できます。このグループは、UNIX グループデータベース内で既に定義されてい

る必要があります。

指定した forcegroup が利用可能になるのは、共有が UNIX qtree または mixed qtree 内にある

場合に限られます。NTFS qtree 内の共有に含まれているファイルへのアクセスは、GID では

なく Windows アクセス権によって判別されるため、このような共有に forcegroup を使用する

必要はありません。

共有に forcegroup が指定されている場合は、共有には次のようになります。

• この共有にアクセスする forcegroup 内の CIFS ユーザーは、forcegroup の GID に一時的

に変更されます。

この GID を使用すると、forcegroup を含んだ共有内のファイルにアクセスできます。通常、

このファイルには、プライマリ GID または UID ではアクセスできません。

• CIFS ユーザが作成した共有内にあるすべてのファイルは、ファイル所有者のプライマリ

GID に関係なく、同じ forcegroup に属します。

CIFS ユーザーが NFS によって作成されたファイルにアクセスしようとするときは、各ユー

ザのプライマリ GID によって、アクセス権があるかどうかが判断されます。

forcegroup は NFS ユーザーがこの共有内のファイルにアクセスする方法には影響しません。

NFS ユーザが作成したファイルは、ファイル所有者から GID を取得します。アクセス権の決

定は、ファイルにアクセスしようとしている NFS ユーザーUID およびプライマリ GID に基づ

きます。

forcegroup を使用すると、さまざまはグループに属する CIFS ユーザーがそのファイルにアク

セスできるようになります。たとえば、会社の Web ページを保存する共有を作成し、

Engineering グループと Marketing グループのユーザに書き込みアクセス権を付与する必要が

ある場合、共有を作成して「webgroup1」という forcegroup に書き込みアクセス権を与えま

す。Forcegroup が含まれているので、CIFS ユーザーがこの共有内に作成したすべてのファイ

ルは web グループの GID が自動的に割り当てられます。その結果、すべてのユーザーは、こ

の共有に書き込めるようになりますが、Engineering グループと Marketing グループのアクセ

ス権を管理する必要はありません。

共有のプロパティの表示と変更

MMC または Data ONTAP コマンドラインを使用して、共有プロパティを表示したり、変更

したりできます。

このタスクについて

次の共有プロパティを変更できます。

• 共有の説明

Page 77: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 77

• 共有に同時にアクセスできるユーザの最大数

• 共有レベルのアクセス権

• Access-Based Enumeration (ABE)の有効化と無効化

次の項目

Windows クライアントの MMC を使用した共有プロパティの表示と変更

Data ONTAP コマンドラインを使用した共有プロパティの表示

Data ONTAP コマンドラインを使用した共有プロパティの変更

WindowsクライアントのMMCを使用した共有プロパティの表示と変更

Windows クライアントの MMC を使用して、共有のプロパティを表示したり、変更したりで

きます。

手順

1. MMC とストレージシステムを接続します。

2. 左側パネルで[Computer Management (コンピュータの管理)]が選択されていない場合は、選

択します。

3. [System Tools(システムツール) ] > [Shared Folders (共有フォルダ)] の順に選択します。

4. [Shares (共有)] をダブルクリックします。

5. 右側のパネルで共有を右クリックします。

6. [Properties (プロパティ)]を選択します。

選択した共有のプロパティが例に示されたように表示されます。

Page 78: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

78 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

7. [Share Permissions (共有のアクセス許可)]タブを選択します。 共有の ACL が表示されます。

8. 追加のグループまたはユーザーを含むように共有のACLを変更するには、[Group or user names(グループ名またはユーザ名)]ボックスでユーザーまたはグループを選択します。

9. [Permissions for group or user name (groupまたはuser nameのアクセス許可)]ボックス

で、アクセス権を変更します。

Data ONTAPコマンドラインを使用した共有プロパティの表示

cifs shares コマンドを使えば、Data ONTAP コマンドラインから共有プロパティを表示する

ことができます。

手順

1. 次のコマンドを入力します。

cifs shares sharename

sharename は単一共有の名前です。sharename を指定しない場合、すべての共有のプロパテ

ィが表示されます。

Data ONTAP は共有名、共有されたディレクトリのパス名、共有の説明、共有レベルACLが表示さ

Page 79: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 79

れます。

Data ONTAPコマンドラインを使用した共有プロパティの変更

cifs shares コマンドを使えば、Data ONTAP コマンドラインから共有プロパティを変更

することができます。

手順

1. 次のコマンドを入力します。

cifs shares -change sharename {-browse | -nobrowse} {-comment desc | - nocomment} {-maxusers userlimit | -nomaxusers} {-forcegroup groupname | -noforcegroup} {-widelink | -nowidelink} {-symlink_strict_security | - nosymlink_strict_security} {-vscan | -novscan} {-vscanread | - novscanread} {-umask mask | -noumask {-no_caching | -manual_caching | - auto_document_caching | -auto_program_caching}

詳細は、na_cifs_shares(1) マニュアル ページをご参照ください。

メモ: sharename で疑問符とアスタリスク文字をワイルドカードに使用すると、複数

の共有のプロパティを同時に変更することができます。たとえば、クライアントが任意

の共有内で開いたすべてのファイルのウィルス スキャンを無効にするには、次のコマン

ドを入力します。

cifs shares -change * -novscan

-nocomment、-nomaxusers、-noforcegroup、および -noumask を指定すると、説明、

ユーザの最大数、forcegroup、および umask 値がそれぞれ削除されます。

次の項目

共有からのシンボリックリンクに対する境界チェックの有効化と無効化 共有からのワイドシンボリックリンクの有効化と無効化 共有内に新規作成されたファイルおよびディレクトリのアクセス権の指定 参照の有効化と無効化 ウイルススキャンの有効化と無効化 キャッシュの有効化と無効化 共有のクライアント側キャッシュのプロパティの設定 ABE について ABE の有効化と無効化 Windows クライアントからの ABE コマンドの実行

共有からのシンボリックリンクに対する境界チェックの有効化と無効化

同じストレージ システム上にある任意のリンク先に関連する、共有内のシンボリック リンク

を、CIFS クライアントが参照できるようにする場合は、共有からのシンボリック リンクに対

する境界チェックを無効にします。

デフォルトでは、ユーザが共有の外からファイルにアクセスするのを防ぐため、シンボリック リンクに対する境界チェックは有効になっています。

境界チェックが無効になっている場合、ストレージ システムはシンボリック リンクを含んで

いる共有の共有権限だけを確認します。

Page 80: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

80 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

手順

1. 次の動作のどれかを実行します。

共有からのシンボリック リンクに対す

る境界チェックの設定 操作

無効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename - nosymlink_strict_security

有効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename - symlink_strict_security

共有からのワイドシンボリックリンクの有効化と無効化

共有またはストレージ システムの外部に対する絶対パスによるシンボリック リンクを、CIFS クライアントが参照できるようにするには、共有からのワイド シンボリック リンクを有効に

します。デフォルトでは、この機能は無効になっています。

手順

1. 次の動作のどれかを実行します。

目的 操作

共有からの ワイド シンボリック リンク を有効にする場合

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -widelink

共有からの ワイド シンボリック リンク を無効にする場合

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -nowidelink

メモ:共有を作成する場合に widelink オプションを指定して、共有からの ワイド シン

ボリック リンク を有効にすることもできます。

共有からの ワイド シンボリック リンク を有効にしたあとで、ストレージシステムがワイド

シンボリックリンクのリンク先を決定する方法を指定するために、/etc/symlink.translations ファイル内に Widelink エントリを作成する必要があります。

共有内に新規作成されたファイルおよびディレクトリのアクセス権の指定

共有内に新規作成された、mixed または UNIX qtree セキュリティ形式のファイルおよびディ

レクトリのアクセス権を指定するには、共有の umask オプションを設定します。

共有の umask オプションは 8 進数(8 進法)値として指定する必要があります。デフォルト

の umask 値は 0 です。

メモ:共有の umask オプションの値は NFS に影響を与えません。

Page 81: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 81

手順

1. 次の動作のどれかを実行します。

アクセス権を指定する対象 操作

新規作成されたファイルおよび

ディレクトリ Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -umask mask mask は、新規作成されたファイルおよびディレクトリのデフォルト

アクセス権を指定する8 進数の値です。共有を作成する場合は、代わり

に umask オプションを設定します。

新規作成されたファイル(共有

の umask オプションの値を無

視する場合)

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -file_umask mask mask は、新規作成されたファイルのデフォルト アクセス権を指定する

8 進数の値であり、umask 共有オプションの値は無視されます。共

有を作成する場合は、代わりに file_mask オプションを設定します。

新規作成されたディレクトリ(共有の umask オプションの値を

無視する場合)

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -dir_umask mask mask は、新規作成されたディレクトリのデフォルト アクセス権を指

定する8 進数の値であり、umask 共有オプションの値は無視されます。

共有を作成する場合は、代わりに dir_mask オプションを設定します。

共有内でファイルを作成した場合に、「group」権限および「other」権限への書き込みアクセスを無

効にするには、次のコマンドを入力します。

dir_umask 022

参照の有効化と無効化

参照を有効または無効にすると、特定の共有の表示をユーザに対して許可したり、禁止したり

できます。

参照可能にしたい各共有の -browse オプションを有効化する必要があります。

手順

1. 次の動作のどれかを実行します。

目的 操作

特定の共有に関する参照を有効にする場合

(cifs.enable_share_browsing オプションが

on の場合は、影響がない)

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -browse

特定の共有に関する参照を無効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -nobrowse

すべての共有の参照を有効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 options cifs.enable_share_browsing on

Page 82: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

82 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

すべての共有の参照を無効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 options cifs.enable_share_browsing off

更に詳しい情報は、「na_options(1) マニュアル ページ」をご参照ください。

ウイルススキャンの有効化と無効化

1 つ以上の共有のウイルススキャンを有効化/無効化して、セキュリティ/パフォーマンスを

向上させることができます。

デフォルトでは、Data ONTAP はクライアントで開かれたすべてのファイルのウイルスがス

キャンされます。

手順

1. 次の動作のいずれかを実行します。

目的 操作

クライアントで開かれたすべてのファイル

のウイルススキャンを有効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -vscan

クライアントで開かれたすべてのファイル

のウイルススキャンを無効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -novscan

クライアントで開かれた読み取り専用ファ

イルのウイルススキャンを有効にする場

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -vscanread

クライアントで開かれた読み取り専用ファ

イルのウイルススキャンを無効にする場

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -novscanread

メモ: -nvscan または -nvscanread オプションを指定すれば、共有のウイルススキャンを無

効にすることもできます。

CIFS 共有のウイルススキャンの指定についての更に詳しい情報は「Data ONTAP Data Protection Online Backup and Recovery Guide」をご参照ください。

キャッシュの有効化と無効化

キャッシュを有効または無効にすると、共有のファイルのキャッシュをクライアントに対して

許可したり、禁止したりできます。

キャッシュするファイルをクライアントで手動選択する必要があるかどうかを指定できます。

手動で選択する必要がない場合は、クライアント設定に従って、プログラム、ユーザファイル、

または両方を自動的にキャッシュするかどうかを指定できます。デフォルトでは、キャッシュ

Page 83: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 83

するファイルをクライアントで手動選択する必要があります。

手順

1. 次の動作のどれかを実行します。

目的 操作

キャッシュを無効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -nocaching

手動キャッシュを有効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -manual_caching

ドキュメントの自動キャッシュを有効にする場合

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -auto_document_caching

プログラムの自動キャッシュを有効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -auto_program_caching

メモ: 共有を作成する場合、デフォルトのキャッシュオプション(-manual_caching)を

無視するには、-nocaching、-auto_document_caching、 -auto_program_caching オプショ

ンを指定します。

共有のクライアント側キャッシュのプロパティの設定

Windows 2000、XP, 2003 クライアントのコンピュータ管理アプリケーションを使用して、共

有のクライアント側キャッシュのプロパティを設定することができます。詳細については、

「Microsoft Windows online Help system」を参照してください。

ABEについて

Access-Based Enumeration(ABE)が CIFS 共有で有効になっていると、共有フォルダまた

はその下のファイルに(個人またはグループの権限制限により)アクセスする権限がないユー

ザの環境には、その共有リソースは表示されません。

標準的な共有のプロパティを使用すると、ユーザ(個人またはグループ)を指定して共有リソ

ースの表示や変更を許可することができます。ただし、この方法では、アクセス権のないユー

ザに対し共有フォルダやファイルが表示可能かどうかを制御することができません。この状態

だと、共有フォルダ名またはファイル名に、顧客名や開発中の製品などの重要な情報が記述さ

れている場合に問題になることがあります。

ABE を使用すると、共有プロパティを拡張して共有リソースの一覧を含めることができます。

したがって、ABE を使用することにより、ユーザのアクセス権に基づいて共有リソースの表

示をフィルタすることができます。職場の重要な情報を保護することに加え、ABE を使用す

ると大きなディレクトリ構造の表示を簡略化できるので、ディレクトリ全体にアクセスする必

要のないユーザにはメリットです。

Page 84: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

84 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ABEの有効化と無効化

Access-Based Eenumeration(ABE)を有効または無効にすると、アクセス権を設定していな

い共有リソースの表示をユーザに対して許可したり、禁止したりできます。

デフォルトでは、ABE は無効です。

1. 次の動作のどれかを実行します。

目的 操作

ABE を有効化する場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -accessbasedenum

ABE を無効化する場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -noaccessbasedenum

メモ:共有作成時に- accessbasedenum オプションを指定して、ABE を有効化するこ

ともできます。

WindowsクライアントからのABEコマンドの実行

abecmd コマンドで共有の ABE を有効化または無効化して、Access-Based Eenumeration (ABE) コマンドを Windows クライアントから実行することができます。

Windows クライアントから ABE コマンドを実行する前に Data ONTAP の ABE を有効化する

必要があります。

手順

1. ABE に対応する Windows クライアントから、次のコマンドを入力します。

abecmd [/enable | /disable] [/server filername] {/all | ShareName}

abecmd コマンドについての詳細は、Windows クライアントのドキュメントを参照してく

ださい。

共有の削除

MMC または Data ONTAP コマンドラインで共有を削除することができます。

次の項目

MMC を使用した共有の削除 Data ONTAP コマンドラインを使用した共有の削除

MMCを使用した共有の削除

MMC を使用して共有を削除することができます。

手順

1. MMC をストレージシステムに接続します。

Page 85: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 85

2. 選択されていない場合は、左側パネルで[Computer Management (コンピュータの管理)] を選

択します。

3. [System Tools (システムツール)] > [Shared Folders (共有フォルダ)]の順に選択します。

4. [Shares (共有)] をダブルクリックします。

5. 右側のパネルで、共有を右クリックしてから、[Stop Sharing (共有の停止)]を選択します。

6. 確認ボックスで、[Yes(はい)] を選択します。

MMC によって共有が削除されます。

Data ONTAPコマンドラインを使用した共有の削除

Data ONTAP コマンドラインを使用して共有を削除するには、cifs shares コマンドを使用し

ます。

手順

1. 次のコマンドを入力します。

cifs shares -delete [-f] sharename

-f オプションを指定すると、確認メッセージは表示されず、共有上のすべてのファイルは強制的に

閉じられます。このオプションは、スクリプトを使用するときに役立ちます。

sharename は削除したい共有名を指定します

アクセス制御リスト (Access Control List)

MMC またはコマンドラインで共有レベル ACLを表示し、変更することができます。ファイ

ルレベル ACLはコマンドラインでのみ変更することができます。

次の項目

共有レベル ACL について 共有レベル ACLの表示と変更 ファイルレベルの ACL の表示と変更 共有レベルでの ACLを使用したグループ ID の機能の指定

共有レベルACLについて

CIFS ユーザーが共有にアクセスしようとすると、Data ONTAP は共有を含む qtree のセキュ

リティスタイルに関わらず、常に共有レベル ACL をチェックして、アクセスを許可するかど

うか決定します。

共有レベル ACL (Access Control List)は ACE(Access Control Entries)リストから構成さ

れています。各 ACE はユーザー/グループ名とアクセス許可のセットを含み、アクセス許可

のセットがユーザー/グループが共有にアクセスするかどうかを決定します。

共有レベル ACL は共有内のファイルへのアクセスのみを制限します。ファイルレベル ACL 以上のアクセスを許可することはありません。

Page 86: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

86 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

共有レベルACLの表示と変更

共有レベル ACL を変更して、ユーザーの共有へのアクセス権をより多く/少なくすることが

できます。

このタスクについて

共有を作成後、デフォルトでは、共有レベル ACLは Everyone と名づけられた標準的グルー

プに読み取りアクセスを与えます。ACL への読み取りアクセスは、ドメイン内のすべてのユ

ーザーおよびすべての信頼される側のドメインは共有への読み取り専用アクセス権があること

を意味します。

Windows クライアントの MMC または Data ONTAP コマンドラインを使って、共有レベル

ACL を変更することができます。

MMC を使う場合は、次のガイドラインを覚えてください。

• 指定するユーザー名とグループ名は Windows 名にする必要があります

• Windows のアクセス許可のみを指定することができます。

• 共有レベル ACL は UNIX スタイルのアクセス許可である必要があります。

Data ONTAP コマンドラインを使う場合は、次のガイドラインを覚えてください。

• Windows アクセス許可または UNIX スタイルのアクセス許可を指定することができます。

• ユーザー名とグループ名は、Windows または UNIX 名を指定できます。

• ストレージシステムが、/etc/passwd ファイルによって認証されている場合、ACL のユー

ザー名またはグループ名は、UNIX の名前であると仮定されます 。ストレージシステムが、

ドメインコントローラによって認証されている場合、名前は最初に Windows の名前とみ

なされますが、名前がドメインコントローラ上に見つからないときは、ストレージシステ

ムは、UNIX 名データベースで名前を検索しようとします。

次の項目

Windows クライアントの MMC を使用した共有レベル ACL へのユーザまたはグループの追加 Windows クライアントの MMC を使用した共有レベル ACL の表示と変更 Windows クライアントの MMC を使用した共有レベル ACL からのユーザーまたはグループの削除 Data ONTAP コマンドラインを使用した共有レベルの ACL の変更 Data ONTAP コマンドラインを使用した共有レベル ACL からのユーザーまたはグループの削除 NFSv3 および NFSv4 クライアントに表示される Windows ACL 権限の基準(最小アクセス権また

は最大アクセス権)

Windows クライアントのMMCを使用した共有レベルACLへのユーザまたはグループの追加

Windows クライアントの MMC を使用して、ユーザーまたはグループを ACL に追加できます。

手順

Page 87: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 87

1. MMC とストレージシステムを接続します。

2. 既に選択されていない場合は左ペインの [Computer Management (コンピュータの管理)] を選択します。

3. [System Tools(システムツール)] > [Shared Folders (共有フォルダ)] を選択します。

4. [Shares (共有)] をダブルクリックします。

5. 右ペインの共有を右クリックします。

6. [Properties (プロパティ)] を選択します。

7. [Share Permissions (共有のアクセス許可)]タブを選択します。

共有の ACL が現れます。

8. [Add (追加)] をクリックします。

9. [Select Users, Computers, or Groups(ユーザ、コンピュータ、またはグループの選択)]ウィンドウで、ユーザー名を[Enter the object names to select(選択するオブジェクト名

を入力してください)]に入力します。

Page 88: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

88 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

10. [OK] をクリックします。

これで、ACLに新しいユーザーまたはグループが追加されます。

Windows クライアントのMMCを使用した共有レベルACLの表示と変更

Windows クライアントの MMC を使用して、共有レベル ACL を表示したり、変更したりでき

ます。

手順

1. MMC とストレージシステムを接続します。

2. 左側パネルで[Computer Management(コンピュータの管理)]が選択されていない場合は、

を選択します。

3. [System Tools(システムツール)] > [Shared Folders(共有フォルダ)]の順に選択します。

Page 89: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 89

4. [Shares(共有)]をダブルクリックします。

5. 右側のパネルで、 [share(共有)] を右クリックします。

6. [Properties(プロパティ)]を選択します。

7. [Share Permissions(共有のアクセス許可)] タブを選択します。共有の ACL が表示され

ます。

8. 特定のグループまたはユーザーに関する ACL を変更するには、[group or user names(グループ名またはユーザ名)] ボックスで [group or user(グループ名またはユーザ名)]を選択

し、[Permissions for group or user name(group または user name のアクセス許可)」ボックスで、アクセス権限を変更します。

Page 90: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

90 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

Windows クライアントのMMCを使用した共有レベルACLからのユーザーまたはグループの削除

Windows クライアント上の MMC を使用して、共有レベル ACL からユーザーまたはグループ

を削除することができます。

手順

1. MMC とストレージシステムを接続します。

2. 左側パネルで[ Computer Management(コンピュータの管理)]が選択されていない場合は、

選択します。

3. [System Tools(システムツール)]> [Shared Folders(共有フォルダ)]を選択します。

4. [Shares(共有)]をダブルクリックします。

5. 右側のパネルで 、[share(共有)]を右クリックします。

6. [Properties(プロパティ)]を選択します。

7. [Share Permissions(共有のアクセス許可)] タブを選択します。

共有の ACL が表示されます。

8. ユーザーまたはグループを選択します。

9. [Remove(削除)]をクリックします。

これで、ACLからそのユーザーまたはグループが削除されました。

Data ONTAP コマンドラインを使用した共有レベルのACLの変更

Data ONTAP コマンド ラインを使用して共有レベル ACL を変更するには、cifs access コマン

ドを使用します。

手順

1. 次のコマンドを入力します。

cifs access share [-g] user rights

share は、共有の名前です。 (「* 」と「? 」 ワイルドカードを使用できます。)

user は、ユーザーまたはグループの名前です。 (UNIX または Windows)

user がローカルグループの場合、ドメイン名としてストレージシステム名を指定します。

(例:toaster\writers など)

rights は、アクセス権です。 Windows ユーザーの場合は、No Access、Read、Change、Full Control のアクセス権の中から1つを選択します。UNIX ユーザーの場合は、 r (read)、 w (write)、 x (execute)のアクセス権の中から1つを選択します。

Page 91: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 91

user が UNIX グループの名前であることを指定するには、-g オプションを指定します。

例 次に、releasesという共有上のWindows ユーザーENGINEERING\mary にWindows 読み取

りアクセス権を設定する例を示します。 cifs access releases ENGINEERING\mary Read 次に、accountingという共有上のユーザー「john 」に、UNIX の読み取りおよび実行アクセス権

を設定する例を示します。 cifs access accounting john rx 次に、sysadmins という共有上のUNIX グループ Wheelにフルコントロールアクセスを設定する

例を示します。

cifs access sysadmins -g wheel Full Control

Data ONTAP コマンドラインを使用した共有レベルACLからのユーザーまたはグループの削除

Data ONTAP コマンドラインを使用して、ACL からユーザーまたはグループを削除すること

ができます。

手順

1. 次のコマンドを入力します。

cifs access -delete share [-g] user

share は、共有の名前です。 (「* 」と「? 」 ワイルドカードを使用可)

user は、ユーザーまたはグループの名前 です。(UNIX または Windows)

user は、ローカルグループの場合、ドメイン名としてストレージシステム名を指定します。

(例:toaster\writers など)

-g オプションを使用して、user を UNIX グループの名前に指定します (つまり、user はUNIX ユーザー、 Windows ユーザーまたは Windows グループのいずれでもありません。)

例:releases共有からのENGINEERING\mary のACL エントリの削除 cifs access -delete releases ENGINEERING\mary

Page 92: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

92 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

NFSv3 および NFSv4 クライアントに表示されるWindows ACL 権限の基準(最小アクセス権または最大

アクセス権)

NFSv3 および NFSv4 クライアントで、ACL によって付与された最小アクセス権を基にした

Windows ACL 権限(UNIX または NFSv4 ACL 権限ではありません)が表示されるように指

定するには nfs.ntacl_display_permissive_perms オプションを on に設定します。

それ以外の場合は、このオプションを off に設定します。デフォルトでは、このオプションは

off になっています。

7.2.1 より前の Data ONTAP バージョンでは、NFSv3 および NFSv4 クライアントに表示され

るファイルに関する権限は、Windows ACL によって付与された最大アクセス権に基づいてい

ました。

ただし、Data ONTAP 7.2.1 以降、NFSv3 および NFSv4 クライアントに表示されるファイル

に関する権限は、Windows ACL によってすべてのユーザに付与される最小アクセス権に基づ

いています。

手順

1. 次のコマンドを入力します。

options nfs.ntacl_display_permissive_perms {on | off}

ファイルレベルのACLの表示と変更

ファイルレベルの ACL を変更すると、特定のユーザーおよびグループにそのファイルへのア

クセス権を設定するかどうかを制御できます。

タスク概要

ファイルおよびディレクトリの権限の設定は、ファイルレベルの ACL に保存されます。これ

らの ACL は、Windows 2000 NTFS セキュリティ モデルに準拠しています。NTFS 形式の

セキュリティが設定されたファイルの場合、CIFS ユーザは、PC を使用してファイルレベル

の ACL を設定し、表示できます。NTFS 形式の qtree 内にあるすべてのファイルと mixed 形式の qtree 内にある一部のファイルは、NTFS 形式のセキュリティを備えています。

File Allocation Table(FAT)ファイルシステム内のファイルには ACL を使用しません。

UNIX アクセス権を使用します。CIFS クライアントから見た場合、ACL のないファイルでは、

ファイルの[Properties (プロパティ)]ウィンドウの[Security (セキュリティ)]タブは表示され

ません。

ある特定のリソースのファイルシステム(FAT または NTFS)は、ストレージ システム認証

方法およびそのリソースの qtree 形式によって異なります。

Qtree の型と認証方法 ファイルシステム

UNIX 形式の qtree ですべての認証方法 FAT

Page 93: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 93

mixed または NTFS 形式の qtree で /etc/passwd の認証 FAT

mixed または NTFS 形式の qtree でドメインまたはワークグループの認証 NTFS

Page 94: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

94 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

手順

1. Windows のデスクトップで、ファイルを右クリックし、ポップアップメニューの

[Properties(プロパティ)] をクリックします。

注:NT4 クライアントでは、Widelink(wide symbolic link)をサポートしている共有内にあるファ

イルを右クリックし、[Properties (プロパティ)]をクリックしても、[(Security] セキュリティ]タブは

表示されません。 cacls などのセキュリティ ツールを使用して、セキュリティを設定できます。 あるいは、Windows 2000 クライアントからファイルにアクセスするか、ワイド シンボリック リンクをサポートしていない共有を使用してファイルにアクセスできます。

ワイド シンボリック リンクをサポートしている共有と、サポートしていない共有の 2 つの異なる

共有を同じディレクトリに置き、セキュリティの設定時は、ワイド シンボリック リンクをサポートし

ていない共有を使用できます。

2. [Security(セキュリティ)] タブをクリックします。

メモ:認証方法と qtree 形式によっては、[Security (セキュリティ)]タブは表示されませ

ん。

3. [user or group names(グループ名またはユーザ名)]ボックスから表示する権限のユーザ

ーまたはグループを選択します。

選択したグループまたはユーザーの権限は、[Permissions for user or group(user また

は group のアクセス許可)]ボックスに表示されます。

Page 95: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 95

Page 96: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

96 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

4. ファイルにユーザーまたはグループを追加するには、[Add(追加)]をクリックし、それから

[Select Users, Computers, or Groups (ユーザー、コンピュータ、またはグループの選

択)]画面の[Enter the object names to select(選択するオブジェクト名を入力してくださ

い)] ボックスにユーザーまたはグループの名前を入力します。

ユーザーまたはグループは ACLへ追加されます。

共有レベルでのACLを使用したグループ IDの機能の指定

共有に UNIX 形式のセキュリティが設定されたファイルが含まれており、共有レベルの ACLを使用して UNIX グループによるアクセスを管理する場合は、グループ ID を基準にして、フ

ァイルへのアクセスをユーザに許可するかどうかを決める必要があります。

タスク概要

specs という共有が UNIX 形式の qtree 内にあり、engineering と marketing の 2 つの UNIX グループに共有へのフル アクセス権を与える必要がある場合、共有のレベルでこれらのグル

ープに rwx アクセス権を与えます。

この共有内では、engineering グループが所有するファイルは draft という名前で、次の権限

があると仮定します。

draft rwxr-x---

engineering のメンバーが draft ファイルへアクセスしようとした場合、共有レベルの ACL はこのユーザに specs 共有への無制限のアクセス権を与え、draft ファイルへのアクセスは

engineering グループに割り当てられたアクセス権(この例では r-x)によって決まります。

ただし、marketing グループのメンバーが draft ファイルにアクセスしようとすると、アクセ

スが拒否されます。UNIX 形式のファイル アクセス権では、engineering のメンバー以外はフ

ァイルにアクセスできないためです。marketing グループが draft ファイルを読めるようにす

るには、ファイルレベルの権限を次の設定に変更する必要があります。

draft rwxr-xr-x

これらの権限の欠点は、marketing グループだけでなくすべての UNIX ユーザがファイルを読

Page 97: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 97

めるようになるため、セキュリティ上の問題が生じることです。

この問題を解決するには、アクセスを許可するときに、GID を無視するように Data ONTAPを設定します。

アクセスを許可する際にユーザの GID を無視するように Data ONTAP を設定する場合、ファ

イル所有者以外のすべてのユーザが、ファイルを所有する UNIX グループのメンバーとみなさ

れます。

前述の例では、engineering グループに適用される権限は、ファイルにアクセスしようとする

marketing グループのメンバーにも適用されます。

つまり、engineering グループのメンバーと marketing グループのメンバーの両方に、draft ファイルへの r-x アクセス権があります。

Data ONTAP のデフォルトでは、アクセスを許可する前にユーザの GID が確認されます。

このデフォルトの設定は、次の条件のいずれかが当てはまる場合に役立ちます。

• UNIX 形式のセキュリティを備えたファイルが共有に含まれていない場合

• 共有レベルの ACL を使用して、UNIX グループのアクセスを管理していない場合

手順

1. 次の操作のどれかを実行します。

ユーザーアクセス権の許可に関するオプション

の指定 操作

ユーザーの GID を無視する場合 次のコマンドを入力します。 options cifs.perm_check_use_gid off

ユーザーの GID を検討する場合 次のコマンドを入力します。 options cifs.perm_check_use_gid on

ホームディレクトリの管理

ストレージ システム上にユーザのホーム ディレクトリを作成し、各ユーザにホーム ディレク

トリ共有を自動的に割り当てるよう Data ONTAP を設定できます。

タスク概要

CIFS クライアントからは、ホーム ディレクトリはユーザが接続できる他の共有と同じよう

に機能します。各ユーザは自分のホーム ディレクトリだけに接続できます。他のユーザのホ

ーム ディレクトリには接続できません。

次のトピック

ストレージシステム上のホームディレクトリについて Data ONTAP でのユーザとディレクトリの照合方法 ホーム ディレクトリでのシンボリックリンクの機能

Page 98: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

98 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ホーム ディレクトリバスの指定 ホーム ディレクトリパスのリストの表示 ホーム ディレクトリの名前形式の指定 ホーム ディレクトリパスでのディレクトリの作成 (ドメインの名前形式の場合) ホーム ディレクトリパスでのディレクトリの作成 (ドメインの名前形式以外の場合) ホーム ディレクトリのパス拡張機能を使用する場合のホーム ディレクトリにおけるサブディレクトリ

の作成 UNC 名を使用してホーム ディレクトリを指定するための構文 他のユーザーのホーム ディレクトリに対するアクセスの許可 共有エイリアスを使用した CIFS ホームディレクトリへのアクセス 共有からの Wide Symbolic Link の有効化と無効化 ホームディレクトリの無効化

ストレージシステム上のホームディレクトリについて

Data ONTAP では、ホーム ディレクトリ名をユーザ名にマッピングし、指定されたホーム ディレクトリを検索し、標準共有の場合とはやや異なる方法でホーム ディレクトリを処理し

ます。

Data ONTAP では、名前が一致するユーザに共有が割り当てられます。照合するユーザ名に

は、Windows ユーザ名、ドメイン名付きの Windows ユーザ名、または UNIX ユーザ名のいず

れかを使用できます。ホーム ディレクトリ名の大文字と小文字は区別されません。

Data ONTAP でユーザ名と一致するディレクトリを検索するとき、指定したパスだけが検索

されます。

これらのパスをホーム ディレクトリ パスといいます。

ホーム ディレクトリ パスには、さまざまなボリュームを指定できます。

ホーム ディレクトリとその他の共有には次のような違いがあります。

• ホーム ディレクトリの共有レベルの ACLおよびコメントは変更できません。

• CIFS shares コマンドを実行しても、ホーム ディレクトリは表示されません。

• Universal Naming Convention (UNC) を使用して ホーム ディレクトリを指定する形式は、

他の共有の指定する形式とは異なる場合があります。

ホーム ディレクトリ パスとして/vol/vol1/enghome および/vol/vol2/mktghome を指定する

と、これらのパスでユーザのホーム ディレクトリが検索されます。

/vol/vol1/enghome パスで jdoe のディレクトリを作成し、/vol/vol2/mktghome パスで jsmith のディレクトリを作成した場合、両方のユーザにホーム ディレクトリが割り当てられます。

jdoe のホーム ディレクトリは/vol/vol1/enghome/jdoe ディレクトリに対応し、jsmith のホーム ディレクトリは/vol/vol2/mktghome/jsmith ディレクトリに対応します。

Page 99: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 99

Data ONTAPでのユーザとディレクトリの照合方法

ホーム ディレクトリの名前形式を指定して、ユーザとディレクトリの照合方法を決定できま

す。

次に、選択できる名前形式と、各形式の情報を示します。

• Windows 名—Data ONTAP は名前がユーザの Windows 名と一致するディレクトリを検

索します。 • 非表示名—名前形式が非表示の場合、ユーザはドル記号を付加した Windows ユーザ名

(name$)を使用してホーム ディレクトリに接続します。すると、Windows ユーザー名

(name)と一致するディレクトリが検索されます。 • Windows のドメイン名および Windows 名—異なるドメインに属しているユーザが同じ

名前を持つ場合、この名前はドメイン名を使用して区別する必要があります。この名前

形式では、ドメイン名と一致するホーム ディレクトリパスにあるディレクトリが検索

されます。さらに、ドメイン ディレクトリでユーザー名と一致するホーム ディレク

トリが検索されます。

例: engineering\jdoe のディレクトリと marketing\jdoe のディレクトリを作成するには、

ホーム ディレクトリ パスで 2 つのディレクトリを作成します。ディレクトリの名前は、

ドメイン名と同じになります(engineering と marketing)。これらのドメインディレクト

リにユーザのホーム ディレクトリを作成します。

• マッピングされた UNIX 名―名前形式が UNIX 方式の場合、ユーザのマッピングされた

UNIX 名と一致するディレクトリが検索されます。

例:John Doe の Windows 名 jdoe が UNIX 名 johndoe にマッピングされる場合、(jdoe ではなく)johndoe というディレクトリがホーム ディレクトリ パスで検索され、ホー

ム ディレクトリとして John Doe に割り当てられます。

ホーム ディレクトリの名前形式を指定しない場合は、ユーザの Windows 名を使用してディレ

クトリを照合します。これは、Data ONTAP バージョン 6.0 より前によって使用される形式

と同じです。

ホーム ディレクトリでのシンボリックリンクの機能

Symbolic Link の機能は、ホーム ディレクトリの名前形式によって異なります。

名前形式を指定しない場合、ホーム ディレクトリ パスの外部にあるディレクトリを指す

Symbolic Link に従って、ホーム ディレクトリが検索されます。

例:ホーム ディレクトリ パスが/vol/vol0/eng_homes であり、jdoe のホーム ディレクトリを

探すために、/vol/vol0/eng_homes/jdoe が検索されます。このパスは、/vol/vol1/homes/jdoe などのホーム ディレクトリ パスの外部にあるディレクトリを指す Symbolic Link として使

用できます。

ホーム ディレクトリの名前形式を指定する場合、デフォルトでは、Symbolic Link は、ホー

ム ディレクトリ パスのディレクトリを指す場合のみ機能します。

Page 100: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

100 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

例:ホーム ディレクトリ パスが/vol/vol0/eng_homes であり、Windows 名前形式を使用す

ると仮定します。jdoe のホーム ディレクトリを探すため、Data ONTAP は/vol/vol0/eng_homes/jdoe を検索します。パスがシンボリック リンクである場合は、Symbolic Link のターゲットがホーム ディレクトリ パス内にある場合のみ、ユーザはホームディレクト

リにアクセスできます。

たとえば、Symbolic Link が/vol/vol0/eng_homes/john ディレクトリを指す場合は、シンボリッ

ク リンクが機能しますが、/vol/vol1/homes/john ディレクトリを指す場合は機能しません。

メモ:デフォルトのストレージ システム設定を変更すると、ホーム ディレクトリ パスの

外部にあるリンク先に関連する Symbolic Link を、CIFS クライアントが参照できるようにな

ります。

Data ONTAP 6.0 では、さまざまなボリューム内でホーム ディレクトリを作成できるように

なったため、

ホーム ディレクトリ名として Symbolic Link を使用する必要はありません。

ただし、Data ONTAP でも、下位互換性を維持するために、Symbolic Link をホーム ディレ

クトリ名として使用できます。

ホーム ディレクトリバスの指定

Data ONTAP はユーザー名と一致するディレクトリに指定した順に、ホーム ディレクトリパ

スを検索します。ホーム ディレクトリパスを指定するには、/etc/cifs_homedir.cfg ファイルを

編集します。

タスク概要

複数のホーム ディレクトリパスを指定することができます Data ONTAP は一致するディレク

トリを見つけると検索を停止します。

複数のホーム ディレクトリ パスを指定できます。一致するディレクトリが見つかれば、検索

は停止します。ユーザがホーム ディレクトリの最上位レベルにアクセスできないようにする

場合、ホーム ディレクトリ パスに拡張子を追加できます。

拡張子は、ユーザがホーム ディレクトリにアクセスするときに自動的に開くサブディレクト

リを表します。cifs_homedir.cfg ファイル内のエントリを変更することにより、ホーム ディ

レクトリ パスをいつでも変更できます。ただし、ユーザがホーム ディレクトリ パス内に

あるファイルを開いているときに、

リストからパスを削除しようとすると、変更の確認を求める警告メッセージが表示されます。

ファイルが開いた状態でディレクトリ パスを変更すると、ホーム ディレクトリへの接続が

切断されます。

デフォルトの cifs_homedir.cfg ファイルがない場合は、CIFS の開始時に/etc ディレクトリに

このファイルが作成されます。このファイルの変更内容は、CIFS の開始時に自動的に処理さ

れます。cifs homedir load コマンドを使用して、このファイルの変更内容を処理することもで

Page 101: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 101

きます

手順

1. ホーム ディレクトリパスとして使用するディレクトリを作成します。たとえば、/vol/vol0 ボリューム

内に、enghomeというディレクトリを作成します。

2. 編集のために/etc/cifs_homedir.cfg ファイルを開きます。

3. で/etc/cifs_homedir.cfg ファイルに、1 行につき 1 エントリずつ、Data ONTAPがユーザーホーム ディレクトリを検索するパスとして、作成したホーム ディレクトリパス名を入力します。

メモ:1000 個までパス名を入力できます。

4. 次のコマンドを入力して、エントリを処理します。

cifs homedir load [-f]

-fオプションを指定すると、新しいパスが強制的に使用されます。

ホーム ディレクトリパスのリストの表示

cifs homedir コマンドを使用すると、ディレクトリパスの現在のリストを表示できます。

手順

1. 次 の コ マ ン ド を 入 力 し ま す 。

cifs homedir

メモ:ホーム ディレクトリに非表示の名前形式を使用している場合、ホーム ディレク

トリ パスのリストを表示すると、ドル記号が自動的にホーム ディレクトリ名に付加

されます(name$など)。

結果

ホーム ディレクトリに非表示の名前形式を使用している場合、ホーム ディレクトリは次の場

合に表示されません。

• DOS で、net view \\filer コマンドを使用する場合。

• Windows で、Explorer アプリケーションを使用してストレージシステムにアクセスし、ホ

ーム ディレクトリフォルダーを表示する場合。

ホーム ディレクトリの名前形式の指定

ホーム ディレクトリに使用する名前形式を指定するには、cifs.home_dir_namestyle オプションを使

用します。

Page 102: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

102 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

手順

1. 次のコマンドを入力します。

options cifs.home_dir_namestyle {ntname | hidden | domain | mapped | ""}

Windows ユーザ名と同じホーム ディレクトリ名を使用する場合は「ntname」 を使用しま

す。

ドル記号を付加した Windows ユーザ名を使用して、Windows ユーザ名と同じ名前のホー

ム ディレクトリの検索を開始したい場合は、「hidden」 を使用します。

Windows ユーザ名とともにドメイン名を使用してホーム ディレクトリを検索する場合

は、domain を使用します。

usermap.cfg ファイルで指定した UNIX ユーザ名と同じホーム ディレクトリ名を使用す

る場合は、mapped を使用します。

名前形式を指定せずに、ホーム ディレクトリとユーザを照合する場合は、「""」を使用

します。

このようにすると、ホーム ディレクトリ パスの外部にあるディレクトリを指す

Symbolic Link に従って、ホーム ディレクトリが検索されます。

デフォルトでは、cifs.home_dir_namestyle オプションは「""」になっています。

ホーム ディレクトリパスでのディレクトリの作成 (ドメインの名前形式の場合)

cifs.home_dir_namestyle オプションが domain の場合は、/etc/cifs_homedir.cfg を編集し、ホ

ーム ディレクトリを作成して、権限を設定することにより、ホーム ディレクトリを作成

できます。

手順

1. /etc/cifs_homedir.cfg ファイルを開き、ホーム ディレクトリを作成するパスを追加します。

各ユーザの所属するNetBIOS ドメインの名前の付いたフォルダ内に、ホームディレクトリを作成し

ます。たとえば、/vol/vol1/homedir というパスを/etc/cifs_homedir.cfg ファイルに追加します。

2. /etc/cifs_homedir.cfg ファイルに追加したディレクトリ内に、各ドメインのディレクトリを作成しま

す。

たとえば、HQ と UKという 2 つのドメインがある場合、/vol/vol1/homedir/hq/ ディレクトリおよび

/vol/vol1/homedir/uk/ ディレクトリを作成します。

3. 手順 2 で作成した各ドメインディレクトリに、そのドメイン内の各ユーザが使用するホーム ディレク

トリを作成します。

たとえば、2 人のユーザーが同じ jsmith で、HQ ドメインとUK ドメインに属している場合は、 /vol/vol1/homedir/HQ/jsmith ホーム ディレクトリと/vol/vol1/ homedir/UK/jsmith ホーム ディレク

トリを作成します。

Page 103: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 103

4. 各ユーザをそれぞれのホーム ディレクトリの所有者に設定します。

たとえば、 HQ\jsmith を/vol/vol1/homedir/HQ/jsmith ホーム ディレクトリの所有者に設定し、

UK\jsmith を /vol/vol1/homedir/UK/jsmith ホーム ディレクトリの所有者に設定します。

HQ\jsmith という名前のユーザーは、/vol/ vol1/homedir/HQ/jsmith ホーム ディレクトリに対応す

るjsmithという共有に接続することができます。

UK\jsmithという名のユーザーは、/vol/vol1/homedir/UK/jsmith ホーム ディレクトリに対応する

jsmith という共有に接続することができます。

5. 新しいCIFSの homedir 設定をストレージシステムにロードします。

たとえば、 次のコマンドを入力します。

cifs homedir load -f

6. 次のコマンドを入力して、CIFS homedir のドメイン名の形式が有効であることを確認します。

cifs homedir showuser user_name

たとえば、次のいずれかのコマンドを入力します。

cifs homedir showuser hq/jsmith

cifs homedir showuser uk/jsmith

ホーム ディレクトリパスでのディレクトリの作成 (ドメインの名前形式以外の場合)

cifs.home_dir_namestyle オプションが domain ではない場合は、ホームディレクトリを作成

して、ユーザをそのディレクトリの所有者にすることにより、ホーム ディレクトリを作成す

ることができます。

手順

1. 指定したホーム ディレクトリパスにホーム ディレクトリを作成します。

たとえば、jsmith と jdoeという 2 人のユーザがいる場合は、/vol/vol0/enghome/jsmith ホームデ

ィレクトリと /vol/vol1/mktghome/jdoe ホーム ディレクトリを作成します。

ユーザーは、ユーザー名と同名の共有に接続して、共有をホーム ディレクトリとして使用できるよ

うになります。

2. 各ユーザーをそれぞれのホーム ディレクトリの所有者にします。

たとえば、jsmithを/vol/vol0/enghome/jsmithホーム ディレクトリの所有者に設定し、jdoe を/vol/vol1/mktghome/jdoe ホーム ディレクトリの所有者に設定します。

メモ:名前形式が非表示の場合、ユーザはドル記号を付加したユーザ名(たとえば、

name$)を入力して、ホーム ディレクトリに接続する必要があります。

engineering\jsmith という名前のユーザを、/vol/vol0/enghome/engineering/jsmith ホーム ディ

Page 104: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

104 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

レクトリに対応するjsmithという共有に接続することができます。

marketing\jdoeという名前のユーザーを、/vol/vol1/mktghome/marketing/jdoeホーム ディレクト

リに対応するjdoeという共有に接続することができます。

ホーム ディレクトリのパス拡張機能を使用する場合のホーム ディレクトリにおけるサブディレクトリの作成

ホーム ディレクトリ パス拡張機能を使用すると、ユーザがアクセスできるサブディレクト

リをホーム ディレクトリ内に作成することができます。

手順

1. 拡張されたホーム ディレクトリパス内にある各ホーム ディレクトに対して、ユーザがアクセスでき

るサブディレクトリを作成します。例えば、/etc/cifs_homedir.cfg ファイルに

/vol/vol0/enghome/%u%/data パスが含まれる場合、dataというサブディレクトリを各ホームディ

レクトリ内に作成します。

ユーザは、ユーザ名と同名の共有に接続できます。共有に読み書きするとき、ユーザはdata サブディレクトリに効

率よくアクセスできます。

UNC名を使用してホーム ディレクトリを指定するための構文

UNC の使用時にホーム ディレクトリを指定するための規則は、cifs.home_dir_namestyle オプションで指定

するホーム ディレクトリの名前形式によって異なります。

次の表に、namestyle 値ごとの UNC 名、および例を示します。

cifs.home_dir_namestyle の値 UNC 名

ntname または "" \\filer\Windows_NT_name 例:\\toaster\jdoe

Hidden \\filer\Windows_NT_name$ 例: \\toaster\jdoe$

domain \\filer\~domain~Windows_NT_name 例:\\toaster\~engineering~jdoe

mapped \\filer\~mapped_name 例:\\toaster\~jdoe

cifs.home_dir_namestyle が domain であるにもかかわらず、アクセス要求内の UNC 名でドメ

イン名を指定しない場合、ドメインは、要求の送信先となるドメインとみなされます。

アクセス要求内のドメイン名を省略する場合、ユーザ名の前のチルダ(~)も省略できます。

Page 105: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 105

jdoe というユーザが engineering ドメイン内の PC から engineering\jdoe としてログインしていま

す。このユーザが、marketing ドメインにある自分のユーザ名を使用して自分のホームディレクトリに

アクセスしようとする場合、次のコマンドのどちらかを使用してアクセスを要求することができます。 net use * \\toaster\~jdoe /user:marketing\jdoe net use * \\toaster\jdoe /user:marketing\jdoe

他のユーザーのホーム ディレクトリに対するアクセスの許可

ユーザは自分のホーム ディレクトリだけに接続できますが、他のユーザのホーム ディレクト

リへのアクセスを許可することができます。

手順

1. 次のどちらかのパス名に対応する共有を作成します。

• cifs.home_dir_name_style が domain ではない場合、ホーム ディレクトリパス

• cifs.home_dir_name_style が domain の場合、ホーム ディレクトリパス内のドメイン

ディレクトリ

例:vol/vol0/enghome がホーム ディレクトリパスの場合は、次のコマンドを使用します。

cifs shares -add eng_dirs /vol/vol0/enghome -comment "readable engineering home directories"

2. 各ユーザのホーム ディレクトリに対する適切なアクセス権を、各ユーザに割り当てます。

例:次のように、eng_dirs 共有の読み取り専用の権限を engineering グループに割り当て

ます。

cifs access eng_dirs engineering full

engineering グループのメンバーは、eng_dirs 共有内にあるすべてのホーム ディレクトリ

に対する読み取り専用の権限を持ちます。

共有エイリアスを使用したCIFS ホームディレクトリへのアクセス

CIFS ホーム ディレクトリのどの名前形式でも、cifs.homedir またはチルダ(~)のいずれか

の共有のエイリアスを使用すると、各自の CIFS ホーム ディレクトリに接続できます。

タスク概要

各自の CIFS ホーム ディレクトリに接続する方法は、スクリプトの作成時に役立ちます。

手順

1. cifs.homedir または チルダ (~) 共有エイリアスのどちらかを使って各自のCIFS ホーム ディレク

トリにアクセスします。

Page 106: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

106 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

net use * \\toaster\cifs.homedir net use * \\toaster\~

共有からのWide Symbolic Linkの有効化と無効化

共有またはストレージ システムの外部に対する絶対パスによる Symbolic Link を、CIFS クラ

イアントが参照できるようにするには、共有からの Wide Symbolic Link を有効にします。デ

フォルトでは、この機能は無効になっています。

手順

1. 次のいずれかの操作を実行します。

目的 操作

共有からのWide Symbolic Linkを有効にする

場合

Data ONTAP コマンドラインで、次のコマンドを入力しま

す。 cifs shares -change sharename -widelink

共有からのWide Symbolic Link を無効にする

場合

On the Data ONTAP コマンドラインで、のコマンドを入

力します。 cifs shares -change sharename -nowidelink

メモ:共有を作成する場合に widelink オプションを指定して、共有からの Wide Symbolic Link を有効にすることもできます。

タスク概要

共有からの Wide Symbolic Link を有効にした後で、ストレージシステムが Wide Symbolic Link のリンク先を決定する方法を指定するために、/etc/ symlink.translations ファイル内に

Widelink エントリを作成する必要があります。

ホームディレクトリの無効化

ホーム ディレクトリの割り当てを停止するには、/etc/cifs_homedir.cfg ファイルを削除します。

cif sshares -delete コマンドを使用して、ホーム ディレクトリを削除することはできません。

手順

1. ストレージ システム上の /etc/cifs_homedir.cfg ファイルを削除します。

ローカルユーザーとグループの管理

このセクションでは、ストレージ システム上でのローカル ユーザーとグループの作成と管理

について説明します。

Page 107: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 107

次のトピック

ローカルユーザの管理

ローカルグループの管理

ローカルユーザの管理

ローカル ユーザは、ユーザおよびグループのリストで指定できます。

たとえば、ファイルレベルの ACL と共有レベルの ACL にローカル ユーザを指定できます。

また、ローカル ユーザをローカル グループに追加することもできます。

次のトピック

ローカル ユーザー アカウントの作成が必要な場合 ストレージシステムの認証方法の表示 ローカルユーザー アカウントの制限 ローカルユーザー アカウントを追加、表示、および削除

ローカル ユーザー アカウントの作成が必要な場合

ストレージ システムにローカル ユーザー アカウントを作成する理由はいくつかあります。

• ストレージ システムの設定時に、ストレージシステムを Windows ワークグループのメ

ンバーに設定した場合は、ローカルユーザアカウントを作成する必要があります。

この場合、ストレージシステムは、ローカルユーザアカウントの情報を使用して、ユーザ

を認証します。

• ストレージ システムがドメインのメンバーである場合:

• トレージ システムは、ローカル ユーザ アカウントを使用して、信頼できないドメイ

ンからストレージ システムに接続しようとするユーザを認証できます。

• ドメイン コントローラがダウンしているか、またはネットワークの問題によってスト

レージ システムがドメインコントローラに接続できない場合でも、ローカルユーザは

ストレージシステムにアクセスできます。 たとえば、ストレージシステムがドメイン

コントローラに接続できない場合でも、ローカルユーザアカウントを使用してストレ

ージシステムにアクセスできるように、BUILTIN\Administrator アカウントを定義でき

ます。

メモ:

ストレージ システムの設定時に、ストレージ システムが UNIX モードを使用してユーザを認

証するように設定した場合は、ローカル ユーザ アカウントを作成しないでください。 UNIX モードでは、ストレージ システムは常に UNIX パスワード データベースを使用してユーザを

認証します。

Page 108: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

108 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ストレージシステムの認証方法の表示

ストレージ システムの認証方法を表示して、ローカル ユーザおよびグループを作成する必要

があるかどうかを判別するには、cifs sessions コマンドを入力します。

手順

1. 次のコマンドを入力します。

cifs sessions

詳細については、 na_cifs_セッション(1) マニュアル ページを参照してください。

ローカルユーザー アカウントの制限

ローカル ユーザー アカウントには次の制限があります。

• ユーザ マネージャを使用して、ストレージ システム上のローカル ユーザ アカウントを

管理することはできません。 • Windows NT 4.0 のユーザ マネージャは、ローカル ユーザ アカウントを表示するときの

み使用できます。ただし、Windows 2000 のユーザマネージャを使用する場合は、「ユーザ

ー」メニューから、ローカル ユーザーを表示できません。「グループ」メニューからローカ

ルユーザを表示する必要があります。

• 96 個までの ローカル ユーザー アカウントを作成できます。

ローカルユーザー アカウントを追加、表示、および削除

ローカル ユーザ アカウントを追加、表示、および削除するには、useradmin コマンドを使用

します。

ストレージ システム上で管理ユーザの作成、表示、および削除を行う場合にも、useradminコマンドを使用します(このコマンドを使用して、domainuser サブコマンドによってローカ

ルでないユーザを管理することもできます)。

useradmin コマンドの使用方法の詳細については、System Administration Guide Data ONTAP『システムアドミニストレーションガイド』の「管理者アクセスの制御」を参照してください。

メモ:Data ONTAP では、useradmin コマンドで作成されたユーザアカウントのリストが 1 つ

保持されます。 ローカル ユーザ アカウントと管理ユーザ アカウントでは、同じタイプ

の情報を保持しています。 適切な Admin Role のあるローカル ユーザアカウントを持つ

CIFS ユーザは、ストレージシステムへのログインに Windows の RPC コールを使用できます。 詳しくは、Data ONTAP『システムアドミニストレーションガイド』の「管理者アクセスの制

御」の章を 参照してください。

Page 109: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 109

ローカルグループの管理

ローカル グループを管理して、ユーザがアクセスできるリソースを制御できます。

タスク概要

ローカル グループは、信頼できるドメインからのユーザまたはグローバル グループで構成

されます。

ローカル グループのメンバーはファイルおよびリソースにアクセスできます。

特定のローカル グループのメンバーシップによって、ストレージ システムに関する特別な権

限が付与されます。

たとえば、BUILTIN\Power Users のメンバーは共有を操作できますが、それ以外の管理権限

はありません。

CIFS クライアントには、次のいずれかの形式でローカル グループの名前が表示されます。

• FILERNAME\localgroup

• BUILTIN\localgroup

次のトピック

Data ONTAP コマンドラインを使用したローカルグループの追加、表示、および削除 Windows クライアントの MMC を使用したローカルグループの追加 Windows クライアントの MMC を使用したローカルグループへのユーザの追加 Windows クライアントの MMC を使用したローカルグループの削除 SnapMirror によるローカルグループの処理

Data ONTAPコマンドラインを使用したローカルグループの追加、表示、および削除

Data ONTAP コマンド ライン を使用して、ローカル グループを追加、表示、および削除する

には、useradmin コマンドを使用します。

詳細については、Data ONTAP System Administration Guide を参照してください。

WindowsクライアントのMMCを使用したローカルグループの追加

Windows クライアントの MMC を使用して、ローカル グループを追加することができます。

手順

1. MMC とストレージ システムを接続します。

2. 左パネルで[Computer Management (コンピュータの管理)]が選択されていない場合は、

選択します。

3. [System Tools (システムツール)] > [Local Users and Groups (ローカルユーザとグループ)] の順に選択します。

Page 110: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

110 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

4. [Groups (グループ)] を右クリックします。

5. [New Group (新しいグループ)] を選択します。

6. [New Group (新しいグループ)] ボックスにグループの名前と説明を入力します。

7. [Create (作成)]をクリックします。

新しいグループがストレージ システム上に作成されます。

WindowsクライアントのMMCを使用したローカルグループへのユーザの追加

Windows クライアントの MMC を使用して、ローカル グループにユーザを追加できます。

手順

1. MMC とストレージ システムを接続します。

2. 左側パネルで[Computer Management (コンピュータの管理)]が選択されていない場合は、

を選択します。

3. [System Tools (システムツール)] > [Local Users and Groups (ローカルユーザとグルー

プ) ]の順に選択します。

4. [Groups ( グループ)] をダブルクリックします。

5. 右側のパネルで、ユーザーを追加するグループを右クリックします。

6. [Add to Group (グループに追加)] を選択します。

結果: [Properties(プロパティ)] ボックスが表示されます。

7. [Properties(プロパティ)] ボックスで、 [Add (追加)]をクリックします。

8. [Select Users、Computer, Groups (ユーザ、コンピュータ、または、グループの選択)]ウィンド

ウで、 [Enter the object names to select (選択するオブジェクト名を入力してください)] ボッ

クスにユーザーの名前を入力します。

Page 111: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 111

9. OK をクリックします。

MMC がグループにユーザが追加されます。

WindowsクライアントのMMCを使用したローカルグループの削除

Windows クライアントの MMC を使用して、ローカル グループを削除することができます。

手順

1. MMC とストレージ システムを接続します。

2. 左パネルで[Computer Management (コンピュータの管理)]が選択されていない場合は、 選択します。

3. [System Tools (システムツール)] > [Local Users and Groups (ローカルユーザとグループ)] > [Groups (グループ)] の順に選択します。

4. 右側のパネルで、ユーザを追加するグループを右クリックします。

5. [Remove (削除)] を選択します。

6. [OK] をクリックします。

MMC がローカル グループを削除します。

SnapMirrorによるローカルグループの処理

複製データは、読み取り専用ボリュームであり、その ACL や権限を変更できないため、

SnapMirror によって複製されるファイルの ACL では、ローカルグループを使用しないでくだ

さい。

SnapMirror 機能を使用して、ローカル グループに ACL が設定されているボリュームを、他の

ストレージ システムにコピーする場合、ACL は複製データに適用されません。 これは、グル

Page 112: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

112 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ープがソース ストレージ システムに対してローカルであるためです。

SnapMirror によって複製されるファイルの ACL でローカル グループを使用する場合は、

MultiStore 製品を使用します。 MultiStore 製品の詳細については、[MultiStore Management Guide]を参照してください。

グループポリシーオブジェクトの適用

ストレージ システムは、Group Policy Object(GPO;グループ ポリシー オブジェクト)をサ

ポートしています。 GPO は、Active Directory 環境のコンピュータに適用される一連のルー

ル(グループ ポリシー属性)です。

タスク概要

Data ONTAP は、ストレージ システム上でCIFS およびGPO が有効になっている場合、 Active Directory サーバにLDAP クエリを送信してGPO 情報を要求します。

Active Directory サーバは、ストレージ システムに適用できる GPO 定義がある場合、次の項

目を含む GPO の情報を返します。

• GPO 名

• 現在の GPO バージョン

• GPO 定義の場所

• GPO ポリシー セットの Universally Unique Identifier(UUID)一覧

メモ:Windows GPO の詳細については、Microsoft ウェブサイトを参照してください。

すべての GPO がストレージ システムに適用できるわけではありませんが、ストレージ シス

テムは関連する GPO を認識し処理することができます。

ストレージ システムでは現在、次の GPO をサポートしています。

• スタートアップおよびシャットダウン スクリプト

• コンピュータのグループ ポリシーの更新間隔(ランダム オフセットを含む)

• ファイルシステムのセキュリティ ポリシー

• 制限されたグループのセキュリティ ポリシー

• イベント ログ

• 監査

• 所有権の取得のユーザ権

メモ:イベント ログおよび監査ポリシーの設定は、ストレージ システムと Windows システ

ムで適用方法に違いがあります。 また、Windows のビルトイン管理者アカウントを含ま

ない所有権の取得のユーザ リストまたはグループ リストを定義すると、 これらの管理者

Page 113: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 113

は所有権の取得の権限を失います。

次のトピック

ストレージシステムで GPO を使用するための要件 ストレージシステムと OU の関連付け ストレージシステム上での GPO サポートの有効化と無効化 ストレージシステム上での GPO の管理

ストレージシステムでGPOを使用するための要件

ストレージ システムで GPO を使用するには、いくつか満たすべき要件があります。

該当する要件は次のとおりです。

• ストレージ システム上で CIFS のライセンス が付与され、有効になっている

• cifs setup コマンドを使用して CIFS が設定されており、セットアップ処理でストレージ システムが Windows ドメイン(バージョン 2000 以降)に参加するようになっている。

• Windows Active Directory サーバ上の GPO 設定には、ストレージ システムと Organizational Unit (OU) の関連付けがされている。

• ストレージシステム上で GPO のサポートが有効になっている。

ストレージシステムとOUの関連付け

デフォルトでは、cifs setup 処理中にストレージ システムと OU の関連付けはされません。こ

の関連付けを明示的に設定する必要があります。

手順

1. Windows サーバで[Active Directory ユーザとコンピュータ] ツリーを開きます。

2. ストレージ システムの Active Directory オブジェクトを探します。

3. 該当オブジェクトを右クリックして、 [Move (移動)] を選択します。

4. ストレージ システムに関連付ける OU を選択します。

結果

選択した OU 内にストレージ システム オブジェクトが移ります。

ストレージシステム上でのGPOサポートの有効化と無効化

cifs.gpo.enable オプションを設定すれば、ストレージ システムに GPO サポートを有効化ま

たは無効化できます。

手順

Page 114: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

114 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

1. 次のいずれかの操作を行います。

目的 操作

GPO を有効にする場合 次のコマンドを入力します。 options cifs.gpo.enable on

GPO を無効にする場合 次のコマンドを入力します。 options cifs.gpo.enable off

ストレージシステム上でのGPOの管理

Group Policy Object(GPO)の作成、表示、更新、およびトラブルシューティングをストレ

ージ システム上で行えます。

次のトピック

ファイルシステムのセキュリティ GPO の作成 現在の GPO とその結果の表示 GPO 設定の更新 GPO の更新に関する問題のトラブルシューティング ストレージシステムのスタートアップとシャットダウンスクリプトについて /etc/ad ディレクトリについて Data ONTAP のパス名の設定要件

ファイルシステムのセキュリティGPOの作成

GPO ファイルシステムのセキュリティの設定は、Data ONTAP のファイルシステムオブジェ

クト(ディレクトリまたはファイル)に直接設定できます。

GPO ファイルシステムのセキュリティ設定はディレクトリ階層で共有されます。

つまり、GPO のセキュリティ設定をディレクトリ上で行うと、そのセキュリティ設定は該当

するディレクトリ内のオブジェクトに適用されます。

メモ:

これらのファイルシステムのセキュリティ設定は、mixed 形式または NTFS 形式のボリュ

ーム、または qtree 内にのみ適用できます。これらのセキュリティ設定を UNIX 形式のボ

リュームや qtree 内のファイルまたはディレクトリに適用することはできません。

ファイルシステムのセキュリティ ACL が伝播されるのは、約 280 のディレクトリ階層レ

ベルまでです。

手順

1. Windows サーバで[Active Directoryの ユーザとコンピュータ]ツリーを開きます。

Page 115: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 115

2. ストレージ システムを含むOrganization Unit (OU) を右クリックします。

3. [Group policy (グループ ポリシー)]タブを選択して、 [New(新規)] をクリックします。

4. 新しい GPO に名前を入力します。

5. 新しい GPO を強調表示し、[Edit (編集)]をクリックします。

グループポリシー オブジェクト エディタが表示されます。

6. [Computer configuration (コンピュータの構成)] > [Windows settings (Windows の設定)] > [security settings (セキュリティの設定)] の順にダブルクリックします。

7. [File System (ファイルシステム)]を右クリックして [Add File (ファイルの追

加)]を選択します。

[Add a file or folder (ファイルまたはフォルダの追加)]ボックスが表示されます。

メモ: ローカル サーバのドライブを検索するオプションは選択しないでください。

8. 「フォルダ」フィールドにGPO の適用先ストレージ システム のパスを入力し[OK] をクリックします。

「Database Security (データベースセキュリティ )」ウィンドウが開きます。

9. 「Database Security (データベース セキュリティ)」 ウィンドウで、必要な許可を選択し、[OK]をクリックします。

Page 116: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

116 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

[Add Object (オブジェクトの追加)]ウィンドウが開きます。

10. [Add Object (オブジェクトの追加)]ウィンドウで、必要なACL 承継を選択し、[OK] をクリックします。

Page 117: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 117

グループポリシーエディタに新しいオブジェクト名が表示されます。

11. グループポリシーエディタと [OU Properties (組織単位のプロパティ)]ダイアログ ボックスを閉じます。

Page 118: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

118 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

12. ストレージ システム上で、次のコマンドを入力して新しい GPO を取得し、適用します。

cifs gpupdate

cifs gpupdate コマンドで明示的に新しい GPO を適用しない場合、新しい GPO が適用さ

れるのは、ストレージ システムが次回に Active Directory サーバに照会したときになりま

す(つまり、90 分以内)。

現在のGPOとその結果の表示

ストレージ システムに現在適用されている GPO とその結果を表示するには、cifsgpresult コマンドを使用します。

cifs gpresult コマンドは、Windows 2000/XP の gpresult.exe / force コマンドの出力結果を

模しています。

メモ:cifs gpresult コマンド の出力には、ご使用のストレージ システムおよび現在の Data ONTAP リリースに関連する group policy 設定しのみ表示されます。

手順

1. 次のコマンドを入力します。

cifs gpresult [-r] [-d] [-v]

- r は、ストレージシステムへの現在の GPO の適用結果が表示されます。

- v は、適用できる GPO に関する情報および適用の結果などを含んだ詳細画面が表示されます。

- d は、 cifs gpresult -v の出力が/etc/ad/gpresult_timestamp ファイルにダンプされます。

オプションを指定しない場合は、ストレージ システムに現在適用できる GPO に関する情

報(名前、バージョン、場所など)が表示されます。

GPO設定の更新

Data ONTAP では、90 分ごとに GPO の変更が取得および適用され、16 時間ごとにセキュリ

ティ設定が更新されます。ただし、cifs gpupdate コマンドを入力して、強制的に更新するこ

ともできます。

ストレージ システム上のグループ ポリシーの設定は次の 3 つの方法で更新できます。

• すべての GPO を 90 分に 1 回確認。デフォルトでは、Data ONTAP は GPO の変更がな

いかどうかを Active Directory に照会します。Active Directory に記録されている GPO のバージョンがストレージ システム上の GPO のバージョンより高い場合、Data ONTAP は新しい GPO を取得して適用します。バージョンが同一の場合、ストレージ システム上の

GPO は更新されません

• セキュリティ設定の GPO を 16 時間に 1 回更新。Data ONTAP は、セキュリティ設定の

GPO に変更がある場合もない場合も、16 時間に1回これらの GPO を取得し適用します。

メモ:16 時間はデフォルトの値で、現在の Data ONTAP バージョンでは変更できません。こ

Page 119: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 119

れは Windows クライアントのデフォルト設定です。

• Data ONTAP コマンドを使用してオン デマンドですべての GPO を更新。このコマンドは、

Windows 2000/XP の gpupdate.exe /force コマンドの出力結果を模しています。

手順

1. グループ ポリシー 設定 を手動で更新するには、次のコマンドを使用します。

cifs gpupdate

GPOの更新に関する問題のトラブルシューティング

cifs gpupdate コマンドを実行した場合などに、Data ONTAP のコンソールに、GPO 設定が正

常に適用されたことを示すメッセージが表示されないときは cifs.gpo.trace.enable オプション

を使用して、ストレージ システムの GPO 接続に関する診断情報を確認する必要があります。

更新されたポリシー設定がストレージ システムの GPO に適用されると、ストレージ システ

ムのコンソール上に次のようなメッセージが 1 つまたは両方表示されます。

CIFS GPO System: GPO processing is successfully completed. CIFS GPO System: GPO security processing is completed.

手順

1. 次のコマンドを入力して GPO トレースを有効にします。

options cifs.gpo.trace.enable on

2. 次のコマンドを入力して GPO 設定を更新します。

cifs gpupdate

次の例に示すような、GPO に関する Active Directory 情報が含まれたメッセージが表示さ

れます。

CIFS GPO Trace: Site DN: cn=Default-First-Site-Name, cn=sites,CN=Configuration,DC=cifs,DC=lab,DC=company, DC=com. CIFS GPO Trace: Domain DN: dc=CIFS,dc=LAB,dc=COMPANY, dc=COM. CIFS GPO Trace: Filer DN: cn=user1,ou=gpo_ou,dc=cifs, dc=lab,dc=company,dc=com. CIFS GPO Trace: Processing GPO[0]: T_sub. CIFS: Warning for server \\LAB-A0: Connection terminated.

GPO のトレース メッセージは、 GPO トレース機能がオフにされるまでコンソールとメ

ッセージ ログに出力されます。

3. 次のコマンドを入力して、 GPO トレースを無効にします。

options cifs.gpo.trace.enable off

Page 120: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

120 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ストレージシステムのスタートアップとシャットダウンスクリプトについて

GPO がストレージ システム上で有効になっていて、Active Directory ドメインで指定されて

いる場合、CIFS を起動またはシャットダウンするたびに、スタートアップおよびシャットダ

ウン スクリプトが実行されます。

ストレージ システムはドメイン コントローラの sysvol ディレクトリからスクリプトを取得し、

ローカルの/etc/ad ディレクトリに保存します。

メモ: ストレージ システムは、スタートアップおよびシャットダウン スクリプトの更新を

定期的に取得しますが、スタートアップ スクリプトが適用されるのは CIFS が次回に起動

されたときです。

/etc/adディレクトリについて

ストレージ システム上で cifs.gpo.enable オプションを使用して初回に GPO サポートを有効

にすると、/etc/ad ディレクトリが作成されます。

このディレクトリは、次のレポジトリとして使用されます。

• ドメイン コントローラから取得した GPO のスタートアップおよびシャットダウン スク

リプト。

• cifs gpresult -d コマンドの出力。

Data ONTAPのパス名の設定要件

対象となるファイル名またはディレクトリ名の形式は、Data ONTAP が認識できる、絶対パ

ス名または相対パス名形式である必要があります。

ここでは、パス名形式の詳細を示します。

• 絶対パス名-例: /vol/vol0/home

絶対パス名で示された場合、Data ONTAP は指定された対象ファイルまたは対象ディレク

トリ内のファイルにファイルシステムのセキュリティ設定を適用します。この例では、設

定はストレージ システムのルート ボリューム内の/home ディレクトリに適用されます。

• 相対パス名-例: /home

相対パス名(/vol で始まらないパス名)で示された場合、Data ONTAP は指定された要素

が含まれるすべての対象ファイルまたは対象ディレクトリにファイルシステムのセキュリ

ティ設定を適用します。この方法は、シングル ストレージ システム内で並列に位置する

複数の対象に設定を適用する場合に便利です。

この例では、設定は/home ディレクトリを持つすべての vFiler ユニットに適用されます。

Page 121: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 121

oplock でのクライアントパフォーマンスの向上

oplock(opportunistic locks)を使用すると、特定のファイル共有シナリオで動作する CIFS クライアントは、先読み、あと書き、およびロック情報をクライアント側でキャッシュできます。

これによりクライアントは、目的のファイルへのアクセス要求をサーバに定期的に通知しなく

ても、ファイルの読み書きを実行できます。この処理によって、ネットワーク トラフィック

が軽減し、パフォーマンスが向上します。

次のトピック

oplocks を使用するときの書き込みキャッシュデータ消失に関する考慮事項 ストレージシステムでの oplock の有効化と無効化 qtree での oplock の有効化と無効化 oplock ブレークを送信するための遅延時間の変更

oplocksを使用するときの書き込みキャッシュデータ消失に関する考慮事項

ある環境では、プロセスがファイルに対して排他的な oplock を使用している場合に、別のプ

ロセスがそのファイルを開こうとすると、最初のプロセスは、キャッシュされたデータを無効

にし、書き込みとロックをフラッシュする必要があります。クライアントは oplock を放棄し、

ファイルにアクセスする必要があります。このフラッシュ時にネットワーク障害が発生すると、

キャッシュされた書き込みデータが失われることがあります。

データ消失の可能性:データの書き込みがキャッシュされるアプリケーションでは、次の場合

にそのデータを失う可能性があります。

• ファイルに対して排他的な oplock を使用している場合

• その oplock を破棄するか、ファイルを閉じるように指示された場合

• 書き込みキャッシュをフラッシュするプロセスで、ネットワークまたはターゲット システ

ムにエラーが発生した場合

エラー処理および書き込みの完了。キャッシュ自体にはエラー処理機能がありません。アプリ

ケーションがエラー処理を行います。アプリケーションがキャッシュへの書き込みを行うと、

書き込みは必ず完了します。またキャッシュがネットワークを介してターゲット システムに

書き込みを行う場合、書き込みは正常に終了することを前提とする必要があります。このよう

な前提でないと、後続のプロセスでデータが失われるからです。

ストレージシステムでのoplockの有効化と無効化

ストレージ システムで oplock を有効にすると、個々の qtree の oplock を有効または無効にで

きます。

タスク概要

ストレージ システム上の CIFS oplocks はデフォルトでオンです。

次の状況のいずれかの状況では CIFS oplocks をオフにします。

Page 122: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

122 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

• oplock をオフにするようにマニュアルで推奨されているデータベース アプリケーション

を使用している場合

• CIFS クライアントが信頼性の低いネットワーク上にある場合

• 重要なデータを処理中で、わずかなデータでも失うことができない場合。

その他の場合には、 CIFS oplocks をオンにしたままにできます。

ストレージ システムで CIFS oplock をオンにしても、クライアントの個々の設定は変更され

ません。

ストレージ システムで CIFS oplock をオフにすると、ストレージ システムとの間のすべての

oplock が無効になります。

Windows レジストリ設定を使用して、個々のクライアントで CIFS oplock をオンまたはオフ

にすることができます。

手順

1. 次の操作のいずれかを行います。

目的 操作

ストレージ システムに oplocksを有効にする場合 次のコマンドを使用します。 options cifs.oplocks.enable on

ストレージ システムに oplocksを無効にする場合 次のコマンドを使用します。 options cifs.oplocks.enable off

結果

cifs.oplocks.enable オプションを on に設定すると、qtree ごとの oplock 設定が有効になりま

す。

このオプションをオフに設定すると、qtree ごとの oplock 設定に関係なく、すべての qtree のoplock が無効になります。

qtreeでのoplockの有効化と無効化

ストレージ システム レベルで oplock を有効にすると、個々の qtree の oplock を有効または

無効にできます。

手順

1. 次のアクションのうち 1 つを行います。

目的 操作

qtree で oplocks を有効にする場合 次のコマンドを入力します。 qtree oplocks qtree_name enable

qtree で oplocks を無効にする場合 次のコマンドを入力します。 qtree oplocks qtree_name disable

Page 123: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 123

結果

cifs.oplocks.enable オプションを on に設定すると、qtree に対して qtree oplocks コマンドが

即座に有効になります。

cifs.oplocks.enable オプションが off の場合は、オプションを on に変更するまで qtree oplocks コマンドは有効になりません。

oplockブレークを送信するための遅延時間の変更

ファイルの oplock を所有しているクライアントがファイル オープン要求を送信した場合、そ

のクライアントはストレージ システムが oplock ブレークを要求した場合に発生する「競合

状態」に対して一時的に脆弱になります。

この状況を防ぐため、ストレージ システムは cifs.oplocks.opendelta オプションによって指

定された遅延時間の値(ミリ秒)に従い oplock ブレーク送信を遅延させます。

タスク概要

デフォルトの遅延時間値は 0 ミリ秒です。 仮にお使いのストレージ システムが古い Microsoft Windows クライアント、例えば最新サービスパックなしの Microsoft Windows NT 4.0 や Microsoft Windows NT 3.5.1 をサポートする必要がある場合、 Microsoft Knowledge Base 記事 163525 で説明されているパフォーマンス の障害を防止するために、このデフォル

ト値を変更しないでください。

古いバージョンの Windows を実行するクライアントがない場合は、この遅延時間を他の値、

例えば、8 に変更できます。

この意味は、ストレージ システムは、ファイルオープン要求を受信するか、または要求に応

答した後で、 8 ミリ秒経過してから oplock ブレイクをクライアントに送信します。

cifs stat コマンドを実行し、出力の OpLkBkNoBreakAck フィールドにゼロ以外の値が表示さ

れる場合は、遅延時間を延長できます。

次の例のような syslog メッセージが表示されたら、oplock ブレークを送信するための遅延時

間を長くします。

Mon Jan 21 15:18:38 PST [CIFSAdmin:warning]: oplock break timed out to station JOHN-PC for file \\FILER\share\subdir\file.txt

手順

1. 次のコマンドを入力します。

options cifs.oplocks.opendelta time

time is the delay in milliseconds.

cifs.oplocks.opendelta オプションを設定すると、ちょうどファイルを開いたばかりのクラ

イアントへの oplock ブレーク要求が延期されます。この数値を 35 より大きい値に設定す

る場合は、テクニカル サポートに問い合わせてください。

Page 124: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

124 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

認証とネットワーク サービスの管理

このセクションでは、以前の NetBIOS プロトコルの管理の手順とストレージシステムの認証

について説明しています。

次のトピック

認証問題について ストレージシステムの最小セキュリティレベルの設定 Kerberos のパッシブリプレイアタックの防御 ドメインコントローラと LDAP サーバの選択 非-Kerberos 環境でストレージにアクセスするための null セッションの使用 ストレージシステムの NetBIOS エイリアスの作成 NetBIOS over TCP の無効化

認証問題について

ストレージ システムでは、UNIX 認証、 Windows ワークグループ認証、 Kerberos 認証の 3 種類の認証をサポートしています。

次のトピック

UNIX 認証について Windows ワークグループ認証について Kerberos 認証について

UNIX認証について

認証は、/etc/passwd ファイルにあるエントリ、NIS/LDAP ベース認証、またはその両方を使

用して UNIX モードで実行されます。

UNIX 認証の使用

• パスワードは “平文” (暗号化されていない文)で送信されます。 • 認証されたユーザには、一意でセキュア ユーザ ID (SID) のないクレデンシャルが付与され

ます。 • ストレージ システム は、ユーザー パスワードの “ハッシュ” (アルゴリズム変形)に対して受

信したパスワードを確認します。パスワードはストレージ システムには保存されません。

UNIX クライアント 認証を行うため、次の項目を設定する必要があります。

Page 125: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 125

• クライアント情報はストレージ システム の/etc/passwd ファイルの中になくてはなりませ

ん。 • クライアント情報は、 NIS 、 LDAP またはその両方に入力されなくてはなりません。 • Windows クライアント レジストリを変更して、平文パスワードを許可する必要があり

ます。

UNIX 認証は暗号化されていないパスワードを送信するため、Windows クライアントはレジ

ストリ編集を行い暗号化することなくパスワードを送信できるようにする必要があります。平

文パスワードをストレージ システムに送信するよう正しく設定されていないクライアントは、

アクセスが拒否され、次のようなエラー メッセージが表示されます。

クライアントが UNIX 認証を使用できるよう平文パスワードを有効にするための情報について

は、Microsoft のサポートに照会してください

Windowsワークグループ認証について

ワークグループ認証を行うとローカル Windows クライアント アクセスが可能になります。

ワークグループ認証の特徴は、次のとおりです。

• ドメイン コントローラには依存しません。 • ストレージ システム へ アクセスを 96 個 のローカル クライアントに制限します。 • トレージ システムの useradmin コマンドを使用して管理されます。

Kerberos認証について

Kerberos 認証が有効な場合、クライアントはストレージシステムに接続されると、最高のセ

キュリティ レベルをネゴシエートします。

選択できるセキュリティには 2つのプライマリ レベルがあります。

• NT Lan Manager (NTLM)、 lanman、 netlogon などのネットワーク サービスに基づく、

基本(Windows NT-4) セキュリティ

• Windows 2000 Kerberos 実装を使用した拡張セキュリティ

メモ:拡張セキュリティ機能は、 Windows Active Directory ドメインのメンバであるクライ

アントだけが利用できます。

ストレージシステムの最小セキュリティレベルの設定

ストレージ システムの最小セキュリティ レベル(ストレージ システムによって許可されるク

ライアントからのセキュリティ トークンの最低レベル)を設定するには、

cifs.LMCompatibilityLevel オプションを設定します。デフォルトでは、このオプションは 1 です。

System error 1240 has occurred. The account is not authorized to login from this station.

Page 126: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

126 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

手順

1. 次のコマンドを入力します。

options cifs.LMCompatibilityLevel minimum_level

minimum_level は、ストレージ システムによって許可されるクライアントからのセキュリ

ティ トークンの最小レベルを表します。下表を参照してください。

Kerberosのパッシブリプレイアタックの防御

Kerberos 再生キャッシュは、ストレージ システムにユーザ認証コードを短期間保存すること

や、認証コードが後続の Kerberos チケットで再使用されないようにすることで、パッシブ リプレイ アタックを防ぎます。

タスク概要

Kerberos 認証コードの保存と比較によって、ストレージ システムでのいくつかの作業のパフ

ォーマンスにかなりの負荷がかかる場合があります。

このため、kerberos.replay_cache.enable オプションはデフォルトで off に設定されています。

手順

1. 次のいずれかの操作を実行します。

目的 操作

Kerberos 再生キャッシュを有効にする場合 次のコマンドを入力します。 options kerberos.replay_cache.enable on

Kerberos 再生キャッシュを無効にする場合 次のコマンドを入力します。 options kerberos.replay_cache.enable off

ドメインコントローラとLDAPサーバの選択

起動時には次に示すようにストレージ システムがWindows ドメイン コントローラを検索します。

値 説明

1 (デフォルト) ストレージ システムにより、 LM、 NTLM、 NTLMv2 のセッション セキュリティ が許可されます。また、NTLMv2 と Kerberos 認証も許可されます。

2 ストレージ システムにより、 NTLM と NTLMv2 セッション セキュリティ が許可さ

れます。また、NTLMv2 と Kerberos 認証も許可されます。 LM 認証は拒否されます。

3 ストレージ システムにより、 NTLMv2 セッション セキュリティ が許可されます。ま

た、 NTLMv2 と Kerberos 認証も許可されます。 LM と NTLM 認証は拒否されます。

4 ストレージ システム により、NTLMv2 と Kerberos 認証が許可されます。 LM、 NTLM、 NTLMv2 のセッション セキュリティ は拒否されます。

5 ストレージ システムにより Kerberos 認証のみが許可されます。

Page 127: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 127

このセクションでは、ストレージ システムがどのようにしていつドメイン コントローラを見つけて選択

するのかを説明します。

タスク概要

ストレージ システムは次のうちいずれかが当てはまる場合に、ドメイン コントローラを検索

します。

• ストレージ システムが起動またはリブートされている場合

• cifs resetdc コマンド が実行されている場合

• 直前の検索から 4 時間が経過した場合。

メモ:Active Directory LDAP サーバ は同じ条件で検索されます。

次のトピック

ドメイン コントローラの検出処理について 優先ドメインコントローラと LDAP サーバのリストの指定 prefdc リストからのサーバの削除 ドメインコントローラ接続のトラブルシューティング 優先ドメインコントローラと LDAP サーバのリストの表示 ドメインとストレージシステムの接続の再確立

ドメイン コントローラの検出処理について

ドメイン環境で CIFS を実行すると、ストレージ システムは Internet Control Message Protocol (ICMP)パケットを 4 時間ごとに送信することで、ドメイン環境のすべてのドメ

イン コントローラを再検出しようとします。これにより、現行のドメイン コントローラが

現在もアクセス可能であることを確認でき、パケットの応答時間を利用して使用可能なドメイ

ン コントローラの優先順位付けができます。

ストレージ システムは、接続レートの高いドメイン コントローラへのアクセスを失い、低

速レートのバックアップ ドメイン コントローラを使用することになった場合、接続レート

の高い接続が見つかるまで 2 分ごとにドメイン コントローラの検出処理を実行します。

該当する接続が検出されると、その新しいドメイン コントローラに接続して、元の 4 時間ご

との検出パケットの送信に戻ります。

次の表に、ドメイン コントローラの検出処理および優先グループを示します。ストレージ

システムは上位の優先グループのすべてのドメイン コントローラへの接続に失敗したときだ

け、優先順位が下位のグループに進みます。

メモ:Active Directory 環境については、サイト メンバーシップは、(使用できる優先ドメ

イン コントローラがない場合)ストレージ シスムがドメイン コントローラの選択時に

使用する基準の 1 つです。そのため、(ストレージ システムと同じサイトに含まれるス

トレージ システムのサブネット情報を使用して)Site と Service を適切に設定することが

重要です。

Page 128: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

128 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ドメイン コントローラ カテゴリ 優先グループ: ドメイン コントローラが選択される順番

優先: prefdc リストのコントローラ グループ 1: 優先ドメイン コントローラは、コントローラが

prefdc リストに表示される順番に選択されます。 優遇: ストレージ システム と同じActive Directoryサイト

メンバーシップを共有するコントローラ

(Windows NT 環境のストレージ システムではこのカテゴ

リは空です。)

グループ 2: Ping されてから 1 秒以内に応答したドメイン コントローラ。応答時間の速い順 グループ 3: 1 秒以内に応答しなかったドメインコントロー

ラ、ただしストレージ システムと同じサブネットを共有 グループ 4: Ping に 1 秒以内に応答しなかったすべての

非ローカル ドメイン コントローラ

その他: サイト メンバーシップを共有しないコントローラ グループ 5: ping されてから 1 秒以内に応答したドメイン コントローラ。応答時間の速い順 グループ 6: 1 秒以内に応答しなかったドメインコントロー

ラ、ただしストレージ システムと同じサブネットを共有 グループ 7: ping に 1 秒以内に応答しなかったすべての

非ローカル ドメイン コントローラ

メモ:サイト メンバーシップは Active Directory ドメイン固有のものであるため、Windows

NT4 ドメインにも、ストレージ システムが NT4 サーバとして設定されている mixed モード

ドメインにも「優遇」カテゴリはありません。このような環境では、検出により見つかるすべ

てのドメイン コントローラは、「その他」のカテゴリに割り当てられます。

優先ドメインコントローラとLDAPサーバのリストの指定

優先ドメイン コントローラと LDAP サーバの一覧を指定するには、cifs prefdc add コマンドを

使用します。

手順

1. 次のコマンドを入力します。

cifs prefdc add domain address [address ...]

domain は、指定するドメイン コントローラまたは LDAP サーバ のドメインです。

address は、ドメイン コントローラまたは LDAP サーバ の IP アドレスです。

例 lab ドメインに対して 2 つの優先ドメイン コントローラを指定するには、次のコマンドを入力します。 cifs prefdc add lab 10.10.10.10 10.10.10.11 メモ:ストレージ システムに強制的に優先ドメイン コントローラまたは LDAP サーバの改訂リストを使用さ

せるには、cifs resetdc コマンドを使用します。

Page 129: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 129

prefdcリストからのサーバの削除

prefdc リストからサーバ を削除するには、 cifs prefdc delete コマンドを使用します。

手順

1. 次のコマンドを入力します。

cifs prefdc delete domain

domain は、優先ドメイン コントローラ または LDAP サーバ が配置されているドメイン

です。

2. 次のコマンドを入力します。

cifs resetdc [domain]

domain は、手順 1 で指定したドメインです。

ストレージ システムは、改訂された prefdc リストに指定された順番でドメイン コントロ

ーラの切断と検索を実行します。

例 prefdc リストから lab を削除するには、次のコマンドを入力します。 cifs prefdc delete lab

prefdc リストからドメインを削除したあとは、手順 2 に示すように、必ず cifs resetdc コマン

ドを実行して、ストレージシステムが使用可能なドメイン コントローラ情報を更新する必要

があります。

prefdc リストが更新されると、ストレージ システムはネットワーク サービスからドメイ

ン コントローラの検出情報を更新しません。

ドメインコントローラ情報をリセットできなかった場合には、ストレージ システムが使用で

きないドメインコントローラ(または LDAP サーバ)と接続を確立しようとしたときに接続

障害が発生することがあります。

メモ:再起動時に、ストレージ システムは自動的にドメイン コントローラの検出動作を実行

しません。ストレージ システムを再起動しても、使用できるドメイン コントローラと LDAP サーバのリストは更新されません。

ドメインコントローラ接続のトラブルシューティング

セキュリティを重視する観点から、ICTM エコー要求 (ping) のトラフィックが増加した場合は、

それがドメイン コントローラ接続ステータスの変更と関連しているかどうかを確認するよう

にしてください。

Page 130: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

130 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

手順

1. ICMP パケットがすべて、ストレージ システム と既知の ドメイン コントローラとの間でやりとりされ

るパケットであることを確認します。既知のドメイン コントローラのリストを表示するには、 次のコ

マンドを入力します。

cifs domaininfo

2. ストレージ システムがこれらのデバイスに 4 時間ごとに Ping を実行していることを確認します。

3. これよりも多くの ping トラフィックが発生している場合は、ログを調べてドメイン コントローラとの

接続が切断されたことを示すメッセージがないかどうかを確認します。

4. 一時的に cifs.trace_dc_connection オプションを有効にして、ストレージ システム上のドメイン コントローラのアドレス検出と接続処理のすべてを記録することもできます。ログに取ることで、調べ

ているパケットと、ストレージ システムによるドメイン コントローラの再検出の通知時間を関連付

けることができます。このオプションの使用に関する詳細については、options(1)のマニュアル ページを参照してください。

優先ドメインコントローラとLDAPサーバのリストの表示

優先 ドメイン コントローラと LDAP サーバ リストを表示するには、 cifs prefdc print コマ

ンドを使用します。

手順

1. 次のコマンドを入力します。

cifs prefdc print [domain]

domain は、表示するドメイン コントローラのドメインです。ドメインが指定されないと、

このコマンドはすべてのドメインの優先ドメイン コントローラを表示します。

例 lab ドメインの優先コントローラと LDAP サーバ を表示するには、次のコマンドを入力します。 cifs prefdc print lab

ドメインとストレージシステムの接続の再確立

ストレージ システムとドメイン接続との接続を再確立するには、cifs resetdc コマンド を使用

します。

次の手順では、現在のドメイン コントローラからストレージ システムを切断して、ストレー

ジ システムと優先ドメイン コントローラとの接続を確立します。

Page 131: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 131

また、ドメイン コントローラを強制的に検出して、使用可能なドメイン コントローラの一覧

を更新します。

メモ:この手順は、 LDAP 接続も確立し、 LDAP サーバ 検出も実行します。

手順

1. 次のコマンドを入力します。

cifs resetdc [domain]

domain は、ストレージ システムから切断するドメインです。 省略すると、 ストレージ システムはストレージ システムがインストールされているドメインから切断されます。

lab ドメイン用のドメイン コントローラからストレージ システムを切断するには、次のコマンド

を入力します。 cifs resetdc lab

非-Kerberos環境でストレージにアクセスするためのnullセッションの使用

null セッション アクセスは、ローカル システムで稼働しているクライアントベースのサービ

スにストレージ システム データなどのネットワーク リソースのアクセス権を提供するこ

とです。null セッションは、クライアント処理が「システム」アカウントを使用して、ネット

ワーク リソースにアクセスする場合に発生します。null セッション設定は非 Kerberos 認証

に固有です。

次のトピック

ストレージシステムによる null セッションアクセスの実現方法 null ユーザに対するファイルシステム共有へのアクセス権の付与 Kerberos 環境のストレージにアクセスするためのマシンアカウントの使用

ストレージシステムによるnullセッションアクセスの実現方法

null セッション共有には認証が必要ないため、null セッション アクセスが必要なクライアン

トはその IP アドレスがストレージ システムにマッピングされている必要があります。

デフォルトでは、マッピングされていない null セッション クライアントは、共有の列挙など

一部の Data ONTAP システム サービスにはアクセスできますが、ストレージ システム

データへのアクセスは制限されます。

メモ: Data ONTAP では、cifs.restrict_anonymous オプションを使用して、Windows のレジストリ値の RestrictAnonymous をサポートします。これにより、マッピングされてい

ない null ユーザが表示またはアクセスできるシステム リソースの範囲を制御できます。

たとえば、共有の一覧や IPC$共有(非表示の名前付きパイプ共有)へのアクセスを無効

Page 132: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

132 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

にできます。詳細については、options(1)のマニュアル ページを参照してください。

他の設定を行わない場合、null セッションを介してストレージ システム アクセスを要求する

ローカル処理を実行しているクライアントは、「everyone」などの非制限グループのメンバー

だけとなります。null セッション アクセスを選択されたストレージ システム リソースに制限

するため、すべての null セッション クライアントが属するグループを作成することができま

す。このグループを作成すると、ストレージ システム アクセスを制限して、特に null セッシ

ョン クライアントに適用されるストレージ システム リソース権限を設定することができます。

nullユーザに対するファイルシステム共有へのアクセス権の付与

null セッション クライアントからストレージ システム リソースへのアクセスを許可するには、

null セッション クライアントで使用されるグループを割り当てて、null セッション クライア

ントの IP アドレスを記録し、ストレージ システム上の、null セッションによるデータ アクセ

スが許可されているクライアント リストに追加します。

手順

1. /etc/usermap.cfg ファイルを開きます。 2. 次の形式を使用して各 null ユーザーごとにエントリを追加します。

IPqual:"" => UNIXacct

IPqual は IP アドレス (ホスト名または 数値ドット形式) またはサブネット (IP アドレス + ネトネットマスク)を指定します。 "" は、null ユーザーを指します。 => はマッピング方向を

指定します。UNIXacct はマッピングされた null ユーザに設定された UNIX アカウント (/etc/passwd か NIS 内) です。

3. null セッション クライアント用に使用しようとしているグループ名に

cifs.mapped_null_user_extra_group オプションを設定します。 4. 適切なアクセス権を null セッション クライアントに許可するための権限を設定します。

例 10.10.20.19:"" => exchuser 192.168.78.0/255.255.255.0:"" => iisuser IP アドレス10.10.20.19 のクライアントは、ストレージ システムへのnull セッション アクセスが許可

されます。 null ユーザ アカウントは、/etc/passwd またはNIS データベースになくてはならないexchuser というUNIX アカウントへマッピングされます。 また、192.168.78.0 クラスC サブネットからの接続を確立するクライアントは、null セッション アク

セスが許可され、UNIX アカウントiisuser にマッピングされます。他のnull ユーザのストレージ システムへの接続は許可されません。

Page 133: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 133

Data ONTAP は、/etc/usermap.cfg ファイルにマッピング構文を提供して、null ユーザ セッシ

ョンを使用したストレージ システム リソースへのアクセスが許可されるクライアントの IP アドレスを指定します。null ユーザのグループを作成すると、null セッションだけに適用される

ストレージ システム リソースおよびリソース権限のアクセス制限を指定できます。

マッピングされた IP アドレスからストレージ システムにアクセスするすべての null ユーザに

は、マッピングされたユーザ権限が付与されます。null ユーザでマッピングされたストレージ システムへの認証されていないアクセスを防ぐため適切な予防措置が必要です。

最大限の保護を行うため、ストレージ システムおよび null ユーザ ストレージ システム アク

セスが必要なすべてのクライアントを別のネットワークに置き、IP アドレスの「なりすまし」

を防ぎます。

Kerberos環境のストレージにアクセスするためのマシンアカウントの使用

マシン アカウントには、ユーザ アカウントとして同じ Kerberos 認証が適用されるため、スト

レージ システム上でマッピングする必要がありません。

Kerberos を使用して認証を行う場合、「システム」アカウントを使用してローカル処理を実

行するクライアントは、リモート リソースにアクセスするときに、これらの処理をマシン アカウントに割り当てます。マシン アカウントにはドメイン コントローラで登録されたコンピ

ュータ名が割り当てられ、後ろにドル記号($)が付きます。

マシン アカウントによるデータ アクセスを防ぐ方法

デフォルトでは、マシン アカウントは(他の認証ユーザと同様に)データ共有に常にアクセ

スできます。ただし、セキュリティ上の理由から、Kerberos 対応クライアント上で実行され

るサービスが CIFS を使用してデータにアクセスするのを防止したい場合があります。

メモ: マシン アカウントによるデータ共有へのアクセスを無効にすると、オフライン フ

ォルダやプロファイルのローミングなど多くのサービスが機能しなくなります。マシン

アカウントのアクセスを無効にする前に、ストレージ システムで必要なサービスをよく

確認してください。

手順

1. 次のコマンドを入力します。

cifs access -delete share_name –m

メモ: IPC$ 共有 (非表示の名前付きのパイプ共有) へのアクセスは変更できず、常に許

可されます。

その詳細については、 cifs_access(1) マニュアル ページを参照してください。

Page 134: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

134 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ストレージシステムのNetBIOSエイリアスの作成

NetBIOS エイリアスを作成するには、cifs.netbios_aliases オプションを設定するか、または /etc/cifs_nbalias.cfg ファイルを編集します。

タスク概要

NetBIOS エイリアスは、ご使用のストレージ システムの代わりに使用される名前です。 リス

ト内に記述されるどの名前を使用しても、ストレージ システムに接続できます。

cifs.netbios_aliases オプションを使用すると、カンマで区切られたNetBIOSエイリアス

のリストを作成できます。リストにはカンマを含めて 255 文字まで入力できます。

/etc/cifs_nbalias.cfg ファイルには最大 200 個のエントリを入力できます。

次のトピック

コマンドラインを使用した NetBIOS エイリアスの作成 /etc/cifs_nbalias.cfg ファイルでの NetBIOS エイリアスの作成 NetBIOS エイリアスのリストの表示

コマンドラインを使用したNetBIOSエイリアスの作成

コマンド ラインを使用して、NetBIOSエイリアスを作成するには、cifs.netbios_aliases オプションを使用します。

手順

1. 次のコマンドを入力します。

options cifs.netbios_aliases name,...

カンマを含めて 255 文字まで入力できます。

options cifs.netbios_aliases alias1,alias2,alias3

2. 次のコマンドを入力して、エントリを処理します。

cifs nbalias load

/etc/cifs_nbalias.cfgファイルでのNetBIOSエイリアスの作成

/etc/cifs_nbalias.cfg ファイル内に NetBIOS エイリアスを作成できます。

デフォルトの cifs_nbalias.cfg ファイルがない場合には、CIFS 開始時に/etc ディレクトリにこ

のファイルが作成されます。

このファイルの変更内容は、CIFS 起動時に自動的に処理されます。

Page 135: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 135

コマンド cifs nbalias load を使用しても、このファイルの変更内容を処理することもできます。

手順

1. 編集する/etc/cifs_nbalias.cfg ファイルを開きます。 2. /etc/cifs_nbalias.cfg ファイルに 、NetBIOS エイリアスのエントリを 1 行に 1 つずつ入力します。

メモ: ASCII 文字または Unicode 文字を使用して、ファイルに NetBIOS エイリアスを

200 個 まで入力できます。

3. 次のコマンドを入力してエントリを処理します。

cifs nbalias load

NetBIOSエイリアスのリストの表示

NetBIOS エイリアスのリストを表示するには、cifs nbalias コマンドを入力します。

手順

1. 次のコマンドを入力します。

cifs nbalias

NetBIOS over TCPの無効化

NetBIOS over TCP が、Windows 2000 ネットワーク内で無効になっている場合、

cifs.netbios_over_tcp.enable オプションを使用して、ストレージ システム上で NetBIOS over TCP を無効にできます。

タスク概要

NetBIOS over TCP は、Windows 2000 より前の CIFS サービスに使用されていた標準プロト

コルです。デフォルトでは、ストレージ システム上で cifs.netbios_over_tcp.enable プロトコ

ルを使用するオプションが有効になります。

このオプションは、Windows 2000 の[TCP/IP 詳細設定]タブにある[enable NetBIOS over TCP (NetBIOS over TCP を有効にする)]と同等の機能があります。

ストレージ システム上で NetBIOS over TCP のステータスを確認するには、nbtstat(1)のマニ

ュアル ページの説明に従って nbtstat コマンドを使用します。

NetBIOS over TCP を無効にするため、すべてのストレージ システム クライアントは

Windows 2000 以降を実行している必要があります。NetBIOS over TCP を無効にしたら、

Windows 2000 ドメイン コントローラおよびウィルス スキャンだけを使用できます。

メモ: 一度 NetBIOS over TCP を無効にすると、クライアントは shutdown メッセージや vscan 警告などの Data ONTAP 通知メッセージを受信できません。

手順

Page 136: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

136 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

1. 次のコマンドを入力します。

options cifs.netbios_over_tcp.enable off

CIFS アクティビティの監視

このセクションでは、CIFS セッションのアクティビティの監視とストレージシステムの統計

収集について説明します。

タスク概要

次の種類のセッション情報を表示できます。

• セッション情報の要約。ストレージ システム情報と、接続中の各ユーザが開いている共

有およびファイルの数が表示されます。 • 接続中の 1 ユーザーまたはすべてのユーザに関する共有およびファイルの情報。次の内

容が表示されます。 • 接続中の特定ユーザまたはすべてのユーザが開いている共有の名前 • 開いているファイルのアクセス レベル • 接続中の特定ユーザまたはすべてのユーザに関するセキュリティ 情報。UNIX UID

と 、ユーザが属している UNIX グループおよび Windows グループのリストが表示さ

れます。

メモ:セッション情報に表示される、開いている共有の数には、非表示の IPC$ 共有が含まれま

す。

次のトピック

ユーザを指定するさまざまな方法 セッション情報の要約の表示 アイドルセッションのタイムアウト 統計のトラッキング 特定の統計の表示 統計クエリの保存と再使用 CIFS リソースの制限

ユーザを指定するさまざまな方法

接続中のユーザに関するセッション情報を表示する場合は、ユーザ名またはワークステーシ

ョンの IP アドレスでユーザを指定します。さらに、ユーザが Windows 2000 より前のクライ

アントからストレージ システムに接続している場合は、ワークステーション名を指定できま

す。

クライアントが、認証されていない「null」セッションで接続することがあります。このよう

なセッションは、共有を列挙するためにクライアントが使用する場合があります。クライアン

Page 137: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 137

トが null セッションだけでストレージ システムに接続している場合、次のステータスメッセ

ージが表示されます。

User (or PC) not logged in

セッション情報の要約の表示

cifs sessions コマンドを使用すると、セッション情報の要約を表示できます。

手順

1. 次のコマンドを入力します。

cifs session

アイドルセッションのタイムアウト

アイドル セッションが切断するまでの経過時間(秒)を指定できます。

タスク概要

アイドル セッションが切断されるまでの経過時間(秒)を指定できます。ユーザがストレー

ジ システム上でファイルを開いていない場合、セッションはアイドル状態とみなされます。

デフォルトでは、アイドル状態になってから 30 秒経過したセッションは切断されます。

アイドル セッションが切断されると、次回クライアントがストレージ システムにアクセスす

るとき、そのセッションが自動的に再接続されます。

手順

1. 次のコマンドを入力します。

options cifs.idle_timeout time

time は、秒です。新しい切断までのアイドル時間を指定します。

このオプションの新しい値は、すぐに有効になります。

統計のトラッキング

stats コマンドを使用して、パフォーマンスをトラッキングするシステム統計を表示できます。

タスク概要

stats コマンドは、CIFS 関連の統計に限りません。統計データを出力する stats コマンドには、

stats show(リアルタイム統計データ)と stats stop(一定時間内での統計のトラッキング)

の 2 つがあります(cifs stat コマンドがまだ使用可能であることに注意してくだい)。

Page 138: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

138 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

stats コマンドで表示される統計はカウンタで累算されます。特定のカウンタを参照するには、

object_name:instance_name:counter_name という形式の階層的な名前を使用します。たとえ

ば、カウンタ名は、system:system:cifs_ops などになります。stats list コマンドを使用すると、

ストレージ システムで使用可能な object_names、instance_names、および counter_names を判別できます。

stats show コマンドの出力により、コマンドを実行した瞬間のストレージ システムに関する

データが提供されます。一定の期間で統計をトラックするには、stats start コマンドを使用し

てトラックする期間の開始時点を指定し、stats stop コマンドで統計データ収集期間の終了時

点を指定します。Data ONTAP は、stats stop コマンドが入力されるとすぐに収集データを出

力します。

Data ONTAP では、stats start と stats stop コマンドを使用して異なる統計を並行してトラッ

クできます。これを実現するには、インスタンス(-i)引数を stats start と stats stop コマンドに

入力します。使用法と構文の詳細については、stats(1)のマニュアル ページを参照してくださ

い。

手順

次のコマンドを入力して、stats コマンドでトラックされたオブジェクトのリストを参照します。 stats list objects

Data ONTAP は、 stats show object_name コマンドを使用して、参照可能なオブジェク

トのリストを返します。

次のコマンドを入力して、統計インスタンスの一覧を表示します。

stats list instances

Data ONTAP は、 stats show コマンドを使用して参照可能なインスタンスの一覧を返し

ます。これらのインスタンスを使用して、stats show コマンドの出力を絞り込むことがで

きます。

次のコマンドを入力して、統計カウンターの一覧を表示します。

stats list counters

Data ONTAP は、 stats show コマンドを使用して参照可能なカウンタの一覧を返します。

次のコマンドを入力して、すべてのカウンター、インスタンス、または、オブジェクトの説明を表示してください。

stats explain counters

Data ONTAP により、stats show コマンドの出力の絞り込みに使用できるすべてのカウン

ター、インスタンス、または、オブジェクトの説明が返されます。

Page 139: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 139

特定の統計の表示

個々の統計をトラックするために監視できるオブジェクト、インスタンス、およびカウンタが

わかれば、cifs show コマンドの出力を絞り込むためにコマンド ラインの引数としてそれらを

使用できます。

タスク概要

詳細については、 stats(1) のマニュアルページを参照してください。

手順

1. 次のコマンドを入力します。

stats show [[object_name][:instance_name][:counter_name]]

Data ONTAP は、要求された特定の統計を返します。

統計クエリの保存と再使用

通常実行する「事前設定された」統計クエリは、保存して再使用することができます。

事前設定されたクエリは、次に示す場所と名前の形式で、XML ファイルに保存されます。

/etc/stats/preset/preset_name.xml

クエリの保存と再使用方法の詳細については、stats_preset(5)のマニュアル ページを参照して

ください。

CIFSリソースの制限

一部の CIFS のリソースへのアクセスは、ストレージシステムのメモリおよび CIFS サービス

に使用可能な最大メモリ量によって制限されます。

該当するリソースは、次のとおりです。

• 接続 • 共有 • 共有接続 • ファイルを開く • ロック されたファイル • ロック

メモ: ご使用のストレージ システムでこれらのカテゴリの十分なリソースを取得できな

い場合は、テクニカル サポートにお問い合わせください。

Page 140: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

140 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

CIFS サービスの管理

このセクションでは、 ストレージ システム上の CIFS サービスを管理ついて説明しています。

次のトピック

MMC を使用した特定のクライアントの切断 コマンドラインによる選択したユーザの切断 ストレージシステム全体での CIFS サービスの無効化 CIFS シャットダウンメッセージを受信するユーザの指定 CIFS サービスの再開 ストレージシステム上のすべてのユーザへのメッセージ送信 ストレージシステムの説明の表示と変更 ストレージシステムのコンピュータ アカウントパスワードの変更 Windows 管理ツールを使用したファイル管理

MMCを使用した特定のクライアントの切断

MMC を使用して、クライアントを切断できます。

手順

1. MMC をストレージ システムに接続します。 2. 左パネルで[Computer Management (コンピュータの管理)]が選択されていない場合は、選択

します。 3. [System Tools (システムツール)] > [Shared folders (共有フォルダ)] > [sessions (セッショ

ン)]の順にダブルクリックします。 4. 次のアクションのうち 1 つを行います。

目的 操作

特定クライアントを切断する場合 a. クライアントの名前を右クリックします。 b. [Close session(セッションを閉じる)] をクリックしま

す。 c. [OK] をクリックします。

全クライアントを切断する場合

a. [Session (セッション)]を 右クリックします。 b. [Disconnect All Session (セッションをすべて切

断)] をクリックします。 c. [Yes]をクリックします。

コマンドラインによる選択したユーザの切断

コマンド ラインを使用して、選択したユーザを切断するには、 cifs terminate コマンドを使用

します。

Page 141: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 141

手順

1. 次のコマンドラインを入力して、接続中のクライアントの一覧を表示します。

cifs session*

2. 次のコマンドを入力して、クライアントを切断します。

cifs terminate client_name_or_IP_address [-t time]

client_name_or_IP_address は、ストレージ システムから切断したいワークステーション

の名前または IP アドレスを指定します。

time は、クライアントがストレージ システムから切断されるまでの待機時間(分)です。0 を指定すると、クライアントがすぐに切断されます。

メモ:time を指定しない場合に、クライアントで開いているファイルが検出されると、

クライアントを切断するまでの待機時間(分)の入力を求めるメッセージが表示されま

す。

事例 次のコマンドで、クライアントがすぐに切断されることをユーザに知らせるメッセージが、 jsmith-pc というワークステーションに通知されます。 コマンドを入力してから5 分後に、jsmith-pc がストレージ システムから切断されます cifs terminate jsmith-pc -t 5

ストレージシステム全体でのCIFS サービスの無効化

CIFS サービスの無効化の設定は、リブート後は維持されません。CIFS サービスを無効にした

あとでストレージシステムをリブートすると、CIFS サービスが自動的に再開されます。

手順

1. 次のコマンドを入力して、CIFS サービスを無効にします。

cifs terminate [-t time]

time は、ストレージ システムがすべてのクライアントを切断し CIFS サービスを終了す

るまでの待機時間(分)です。0 を入力すると、コマンドはすぐに有効になります。

メモ: 引数を指定しないで、cifs terminate コマンド を入力した場合に、クライアントで

開いているファイルが検出されると、クライアントを切断するまでの待機時間(分)の入

力を求めるメッセージが表示されます。

2. 次の操作のいずれかを行います。

目的 操作

次回のストレージ システムのりブート時に CIFSサービ

スが自動的に開始させる場合 特別な操作は必要ありません。

次回のストレージ システムのリブート時に CIFSサービ

スが自動的に開始しないようにする場合 /etc/cifsconfig.cfg ファイルの名前を変更します。

Page 142: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

142 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

結果

クライアントがすぐに切断されることをユーザに知らせるメッセージが、接続中のすべてのク

ライアントに送信されます。コマンドは入力してから 5 分後に、すべてのクライアントが切断

され、ストレージシステムは CIFS サービスを停止します。

完了後

ストレージ システム全体でCIFS サービスを無効にすると、ほとんどの cifs コマンド は使

用できなくなります。 CIFS を無効にしても使用できる cifs コマンドは次の通りです。

• cifs prefdc

• cifs restart

• cifs setup

• cifs testdc

CIFSシャットダウンメッセージを受信するユーザの指定

cifs terminate コマンドを実行すると、Data ONTAP のデフォルトでは、CIFS サービスが切断

されることをユーザに知らせるメッセージが接続中のすべてのクライアントに送信されます。

デフォルトの設定を変更して、これらのメッセージを送信しないようにしたり、ファイルを開

いている接続中のクライアントだけに送信したりできます。

手順

1. 次のコマンドを入力します。

options cifs.shutdown_msg_level {0 | 1 | 2}

CIFS シャットダウン メッセージを送信しない場合は、 0 を使用します。

ファイルを開いている接続中のクライアントだけにメッセージを送信する場合は、 1 を使

用します。接続中のすべてのクライアントにメッセージを送信する場合は、2 を使用しま

す。これが、デフォルトの設定です。

CIFSサービスの再開

CIFS サービスを再開するには、cifs restart コマンドを入力します。

手順

1. 次のコマンドを入力します。

cifs restart

Page 143: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 143

結果

ストレージ システム はドメイン コントローラに接続し、CIFS サービスを再開します。

ストレージシステム上のすべてのユーザへのメッセージ送信

重要なイベントを知らせる場合、ストレージ システム上のすべてのユーザにメッセージを送

信することができます。このメッセージは、ユーザのコンピュータの警告ボックスに表示され

ます。

タスク概要

cifs terminate コマンドを入力すると、接続中のユーザにメッセージが自動的に送信されます。

ただし、すべてのファイルを閉じるようにユーザに指示する場合など、CIFS サービスを停止

しないでメッセージを送信する場合は、サーバー マネージャまたは Data ONTAP コマンド ラインを使用してメッセージを送信します。ブロードキャスト メッセージを受信しないクライ

アントがいるかもしれません。次の制限と前提条件がこの機能に適用されます。

• Windows 95 および Windows for Workgroups のクライアントは、WinPopup プログラム

を設定する必要があります。 • Windows 2003 および Windows XP Service Pack 2 のクライアントは、メッセンジャ サー

ビスを有効にする必要があります(デフォルトでは無効)。 • ユーザへのメッセージは、NetBIOS over TCP を使用して接続された Windows クライア

ントだけが見ることができます。

メモ: ネットワーク構成は、どのクライアントがブロードキャスト メッセージを受信す

るかに影響を与える場合もあります。

手順

1. 次のアクションのうち いずれかを行います。

目的 操作

ストレージ システムに接続中のすべての CIFS ユーザーに

メッセージを送信する場合 次のコマンドを入力します。 cifs broadcast * "message"

ストレージ システムに接続中の特定の CIFSユーザにメッ

セージを送信する場合 次のコマンドを入力します。 cifs broadcast client_name "message"

特定のボリュームに接続中のすべての CIFS ユーザにメッ

セージを送信する場合 次のコマンドを入力します。 cifs broadcast -v volume "message"

Page 144: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

144 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ストレージシステムの説明の表示と変更

わかりやすい説明を追加すると、ネットワーク上の他のコンピュータとストレージ システム

を区別できます。

タスク概要

ストレージ システムの説明は、ネットワークを参照する際に[コメント]フィールドに表示され

ます。ストレージ システムを最初に使用するときは、ストレージ システムの説明はありませ

ん。説明は、48 文字まで入力できます。

手順

1. 次のコマンドを入力して、現在のストレージシステムの説明を表示します。

cifs comment

2. 次のコマンドを入力して説明を変更します。

cifs comment "description"

ストレージシステムのコンピュータ アカウントパスワードの変更

cifs changefilerpwd コマンドは、ストレージ システム(Active Directory ドメインまたは NT4 ドメインのどちらか)にそのドメイン アカウント パスワードをただちに変更するよう指示しま

す。

cifs.weekly_W2K_password_change オプションに on が設定されている場合、Windows Active Directory ドメインに属するストレージ システムでは 1 週間に 1 回ドメイン パスワード

が変更になります。

タスク概要

詳細については、 cifs_changepassword(1) と options (1) マニュアル ページをご参照ください。

手順

1. 次のコマンドを入力します。

cifs changefilerpwd

ストレージ システムによって次のメッセージが表示されます。

password change scheduled.

password change がスケジュールされて、 パスワードは通常 1 分以内に変更されます。

2. オプションとして、次のコマンドを入力します。

options cifs.weekly_W2K_password_change {on | off}

Windows Active Directory ドメインに属するストレージ システムでは、1 週間に 1 回ドメ

イン パスワードが変更されます。パスワードの変更は日曜日の午前 1 時前後に発生しま

す。デフォルトは off です。

Page 145: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 145

Windows管理ツールを使用したファイル管理

Windows 管理ツールを使用することで、一部の CIFS ファイル アクセス管理タスクを行うこ

とができます。次の Windows 管理ツールは、 Data ONTAP と互換性があります。

• Microsoft Management Console (MMC)用コンピュータ管理スナップイン(管理用) • Microsoft Active Directory ユーザ MMC スナップイン • Microsoft イベントビューア • Microsoft パフォーマンス

上記の Microsoft 管理ツールを使用してストレージ システムを管理する手順は、 Windows サーバを管理する手順とほとんど同じですこの章で説明する手順は、Windows サーバとは異な

る Data ONTAP 管理タスクの情報です。

Windows サーバ管理ツールに入力するテキストと異なり、Data ONTAP コマンド ラインは大

文字と小文字を区別します。たとえば、Windows でボリューム名を指定するときには、小文

字または大文字のどちらでも入力できます。Windows ツールでは、TEST という名前の qtree と同じレベルで Test という名前の qtree は作成できません。Windows ツールはこれらの名前

を区別しないためです。Data ONTAP コマンド ラインからなら、これら 2 つの qtree を作成

して区別することができます。

NT ユーザー マネージャを使用してストレージ システムを設定するときに、次の制限が NT ユーザー マネージャに適用されます。

ストレージ システムはローカル ユーザをサポートしていますが、ローカル ユーザ アカウ

ントの作成や削除には、[ユーザー]メニューの[新しいユーザー]を使用できません。

[原則]メニューは無効になりますが、ポリシーによっては、オプションまたはグループ メン

バーシップを使用して制御できます。

Data ONTAP に該当する機能がないため、次の NTサーバマネージャ機能はサポートされてい

ません。

• サービスの停止と開始 • 警告の受信者の指定

アクセス制御問題のトラブルシューティング

アクセス制御問題のトラブルシューティングを行うには(つまり、ストレージ システム上の

ファイルへのアクセスが、本来あるべき設定と異なり、クライアントまたはユーザに対して許

可または禁止されている理由を判別するには)、sectrace コマンドを使用します。

次のトピック

権限トレースフィルターの追加 権限トレースフィルターの削除

Page 146: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

146 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

権限トレースフィルターの表示 Data ONTAP で特定のクライアントまたはユーザへのアクセスが許可拒否される理由の詳細の取

権限トレースフィルターの追加

権限トレース フィルタを追加すると、クライアントまたはユーザがストレージ システムの処

理を実行できる理由、またはできない理由に関する情報を Data ONTAP がシステム ログに記

録するようになります。

タスク概要

権限トレース フィルタを追加すると、ストレージ システムのパフォーマンスが若干低下する

ため、デバッグ目的以外で権限トレース フィルタを追加しないでください。デバッグが完了

したら、権限トレース フィルタをすべて削除する必要があります。さらに、コンソールに大

量の EMS メッセージが送信されないように、できるだけ具体的なフィルタリング基準を指定

する必要があります。

次の制限に注意してください。

• 権限トレース フィルタは vFiler ごとに 10 個まで追加できます。

• CIFS 要求に関する権限トレース フィルタだけを追加できます。

手順

1. 次のコマンドを入力します。

sectrace add [-ip ip_address] [-ntuser nt_username] [-UNIXuser

UNIX_username] [-path path_prefix] [-a]

ip_address は、アクセスを試みているクライアントの IP アドレス。

nt_username は、 アクセスを試みている Windows NT のユーザー名。

unix_username は、 アクセスを試みているユーザーの UNIX ユーザー名。NT ユーザを指

定する場合は、 UNIX ユーザ名を指定できません。

path_prefix は、アクセスをトレースするファイルのパス名の接頭辞。たとえば、

/vol/vol0/home/ディレクトリ内にある、名前が "file" で始まるすべてのファイル

(/vol/vol0/home/file100 や /vol/vol0/home/file200 など)へのアクセスをトレースするには、

/vol/vol0/home/file を指定します。

- a は、拒否される要求だけでなく、許可される要求もストレージシステムがトレースす

るように指定します。

例 次のコマンドを実行すると、IP アドレスが 192.168.10.23 のクライアントから送信されるアクセス要求のうち、

Data ONTAP で拒否されたアクセス要求をすべてトレースする権限トレースフィルタが追加されます。

Page 147: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 147

sectrace add -ip 192.168.10.23 次のコマンド を実行すると、UNIXユーザ foo からパス/vol/vol0/home4 に送信されるアクセス要求のうち、

DataONTAP で許可または拒否されたアクセス要求をすべてトレースする権限トレースフィルタが追加されます。 sectrace add -UNIXuser foo -path /vol/vol0/home4 -a

権限トレースフィルターの削除

権限トレース フィルタを追加すると、システムパフォーマンスが若干低下するため、アクセ

スエラーのデバックが完了したら削除する必要があります。

手順

1. 次の操作を実行のいずれかを実行してください。

目的 操作

すべての権限トレースフィルタを削除する場合 次のコマンドを入力します。 sectrace delete all

特定の権限トレースフィルタを削除する場合 次のコマンドを入力します。 sectrace delete index indexは、削除する権限とレースフィルタのインデックスで

す。(権限トレースフィルタを追加すると、1~10のインデッ

クスが割り当てられます。)

例 インデックスが 1 の権限トレースフィルタを削除するには、次のコマンドを入力します。 sectrace delete 1

権限トレースフィルターの表示

ストレージ システムまたは vFiler の権限トレース フィルターを表示するには、sectrace show コマンドを使用します。

手順

1. 次のコマンドを入力します。

sectrace show [index]

index は、表示する権限トレースフィルタのインデックスです(権限トレースフィルタを追

加すると、1~10 のインデックスが割り当てられます)。インデックスを指定しない場合は、

すべての権限トレースフィルタが表示されます。

Page 148: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

148 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

例 ストレージシステムの権限トレースフィルタをすべて表示するには、次のコマンドを入力します。 sectrace show すべての権限トレースフィルタが次のような出力で表示されます。

Sectrace filter: 1 Hits: 5 Path: /vol/vol1/UNIX1/file1.txt NT User: CIFS-DOM\harry Trace DENY and ALLOW events Sectrace filter: 2 Hits: 7 IP Addr: 10.30.43.42 Path: /vol/vol1/mixed1/dir1/file1.txt NT User: CIFS-DOM\chris Trace DENY and ALLOW events Sectrace filter: 3 Hits: 1 Path: /vol/vol1/mixed1/file2.txt NT User: CIFS-DOM\chris

Trace DENY events

Data ONTAPで特定のクライアントまたはユーザへのアクセスが許可拒否される理由の詳細の取得

権限トレース フィルタの基準が満たされている場合は、コンソールに EMS メッセージが表示

されます。Data ONTAP で特定のクライアントまたはユーザへのアクセスが許可または拒否さ

れる理由の詳細を取得するには、sectrace print-status コマンドを使用します。

手順

1. 次のコマンドを入力します。

sectrace print-status status_code

status_code は、 ストレージ システムで許可または拒否されている要求に関するストレー

ジ システムログ内の"Status:"タグの値に対応しています。

例 権限トレースフィルタを追加した結果、コンソールに次の EMS メッセージが表示されたとします。

Page 149: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 149

Thu Dec 20 13:06:58 GMT [sectrace.filter.allowed:info]: [sectrace index: 1] Access allowed because 'Read Control, Read Attributes, Read EA, Read' permission (0x20089) is granted on file or directory (Access allowed by unix permissions for group) - Status: 1:6047397839364:0:0 - 10.73.9.89 - NT user name: CIFS-DOM\harry - UNIX user name: harry(4096) - Qtree security style is MIXED and unix permissions are set on file/directory - Path: /vol/vol1/mixed1/ file1.txt

Data ONTAP で特定ユーザーに特定のファイルへのアクセスが許可される理由の詳細を取得するには、次の

コマンドを入力します。

sectrace print-status 1:6047397839364:0:0

メモ: sectrace print-status コマンドを呼び出す場合は、対応するエラー メッセージの "Status:"行のテー

タス コードを指定する必要があります。

応答には、次のような詳細が示されます。 secAccess allowed because 'Traverse' permission is granted on requested path. - Access allowed by UNIX permissions for others. - Access allowed because requested permission is granted on file or directory. - Access allowed by share-level ACL. - Access allowed by UNIX permissions for group. trace print-status 1:6047397839364:0:0

Fpolicy の使用

Fpolicy を使用すると、ストレージ システムに接続されたパートナー アプリケーションから

ファイル アクセス権限を監視したり、設定したりすることができます。

次のトピック

Fpolicy の概要 Data ONTAP 内での Fpolicy の使用 ネイティブファイルブロッキングの使用方法 Fpolicy との連携 FAQ、エラーメッセージ、警告メッセージ、およびキーワード

Fpolicyの概要

ここでは、Fpolicy のシステム アーキテクチャ、Fpolicy の仕組み、 Fpolicy の一般的な使用事

例、さまざまな Fpolicy アプリケーション、 および Fpolicy の制限について説明します。

次のトピック

Fpolicy Fpolicy の機能 Fpolicy 作業フローチャート ストレージ環境の Fpolicy 複数サーバ構成機能 Fpolicy の制限

Page 150: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

150 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

Fpolicy

FPolicy は、NetApp ストレージ システムに接続されたパートナー アプリケーションからファ

イル アクセス権限を監視および設定する機能を備えた、Data ONTAP のインフラ コンポーネ

ントです。

クライアントがネットアップ ストレージ システムからファイルにアクセスするたびに、

FPolicy の設定に基づいて、パートナー アプリケーションにファイル アクセス情報が通知され

ます。パートナーはこの情報を使用して、ストレージ システムに作成されたファイル、ある

いはアクセスされているファイルに制限を設定できます。

FPolicy を使用すると、ファイル形式に従ってファイル操作権限を指定するファイル ポリシー

を作成できます。たとえば、JPEG や.mp3 ファイルなど特定のファイル形式について、スト

レージ システムへの保存を制限することができます。

Data ONTAP 6.4 に最初に導入された FPolicy では、CIFS プロトコルのみがサポートされてい

ました。NFS プロトコルのサポート は、Data ONTAP 7.0 で追加されました。ただし、NFS固有のイベントを処理する場合も、FPolicy には CIFS のライセンスが付与されている必要が

あります。

FPolicy は、ファイルを作成する、開く、名前を変更する、削除するといった、個々のクライ

アント システムからの操作の要求をストレージ システムがどのように処理するかを決定しま

す。 ストレージ システムは、ポリシー名や該当するポリシーがアクティブかどうかなど、

FPolicy の一連のプロパティを維持します。ストレージ システム コンソール コマンドを使用

して、FPolicy のこれらのプロパティを設定できます。

FPolicy インターフェイスは Data ONTAP API(別名 ONTAPI )です。この API で Distributed Computing Environment(DCE)は動作し、Remote Procedure Calls(RPC;リモート プロシ

ージャ コール)が使用されます。これらのツールを使用することにより、外部アプリケーシ

ョンは FPolicy サーバとして登録できます。

プログラマは FPolicy インターフェイスを使用して、別のプラットフォームで実行中の外部ア

プリケーションから、ストレージ システムまたは NearStore システムに高度なファイル スク

リーニング機能を実装できます。

FPolicy インターフェイスを利用するアプリケーションは、次の処理を実行できます。

• 1 つ以上のストレージ システムに 1 つ以上の FPolicy を登録する • ファイルを開く、作成する、名前を変更するなど、ファイル操作に関する通知を受信する • 通知を受信した任意のファイルへのアクセスをブロックする

FPolicy では次のプロトコルがサポートされています。

• CIFS • NFS(バージョン 2、バージョン 3、バージョン 4)

FPolicy サーバでは次のフィルタを使用できます。

• プロトコル • ボリューム名

Page 151: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 151

• ファイル拡張子 • オフライン ビット • 操作

Data ONTAP のファイル スクリーニングは、次の 2 つの方法で有効にできます。

• 外部ファイル スクリーニング ソフトウェアの使用 ファイル スクリーニング ソフトウェアは、ファイル スクリーニング サーバとして機能す

るクライアント上で実行されます。ファイル スクリーニング ソフトウェアを使用すると、

ファイルの内容の制御とフィルタリングが柔軟に行えます。

メモ:最適なパフォーマンスを得るために、FPolicy サーバをストレージ システムと同一のサブ

ネットに設定することを推奨します。

• ネイティブ ファイル ブロッキングの使用

ファイル スクリーニング ソフトウェアはストレージ システム上でネイティブ実行されま

す。ネイティブ ファイル ブロッキングは、ファイル タイプで制限するシンプルな拒否機

能を備えています。

Fpolicyの機能

NFS および CIFS により、クライアントからアクセスされたときに通知を送信するように

FPolicy サーバを設定するには、FPolicy サーバを事前にストレージ システムに登録する必要

があります。

FPolicy サーバをストレージ システムに登録したあとに、クライアントがファイルへのアクセ

スを求める要求を行うと、ストレージ システムは FPolicy サーバに、登録されている通知用イ

ベントを通知します。クライアント要求を受信したストレージ システムは、通知の一部とし

て、クライアント アクセスに関する情報を FPolicy に送信します。FPolicy サーバに送信され

る情報には、ファイル名、パス名、クライアント情報、プロトコル情報、クライアントから要

求された操作などがあります。受信された情報および FPolicy サーバの構成に基づいて、

FPolicy サーバはクライアントの要求に応答します。FPolicy サーバは、クライアントからの要

求を許可または拒否するのかについて、ストレージ システムと通信します。

ファイル ポリシーを使用すると、ファイルまたはディレクトリ操作を指定して、これらに制

限を設けることができます。Data ONTAP は、(開く、書き込む、作成する、名前を変更する

などの)ファイルまたはディレクトリ操作要求を受信すると、ファイル ポリシーをチェック

してからその操作を許可します。

ポリシーでファイルの拡張子に基づいたスクリーニングが指定されている場合、ファイル スクリーニングはファイル スクリーニング サーバ上またはストレージ システム上で実行されま

す。

次に、これらのファイル スクリーニングの方法について説明します。

• ファイル スクリーニング サーバ上で実行する場合(外部スクリーニング ソフトウェアを使用):ファ

イルをスクリーニングするファイル スクリーニング サーバに通知が送信されます。ファイル スクリ

ーニング サーバはルールを適用して、要求されたファイル操作をストレージ システムが許可すべ

Page 152: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

152 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

きかどうかを判断します。ファイル スクリーニング サーバは、要求されたファイル操作を許可また

は拒否する応答をストレージ システムに送信します。

• ストレージ システム上で実行する場合(ネイティブ ファイル ブロッキングを使用)要求

は拒否され、ファイル操作がブロックされます。

関連する概念

ネイティブファイルブロッキング

Fpolicy作業フローチャート

フローチャートに、Fpolicy の使用モデルの概要を示します。

Page 153: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 153

図 1: Fpolicy フローチャート

Page 154: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

154 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ストレージ環境のFpolicy

クライアントがファイルを要求すると、要求はプロトコル スタックに送信されます。FPolicy機能が有効な場合、プロトコル スタックは CIFS および NFS 要求を識別し、FPolicy スクリー

ニング用のマークを付けます。

要求は WAFL モジュールに送信されます。WAFL モジュールはストレージ システムから

FPolicy サーバに要求をリダイレクトします。WAFL モジュールは FPolicy エンジンにファイ

ル要求を送信します。

FPolicy エンジンは FPolicy インフラ、ONTAPI、および RPC で構成されています。要求は

RPC コールとして、FPolicy サーバに送信されます。FPolicy サーバから応答が戻されたら、

FPolicy エンジンはクライアント要求に応答します。この応答は WAFL モジュールに転送され、

さらにプロトコル スタックに転送されて、クライアントに送信されます。

このファイルへのアクセスが許可されている場合は、クライアントにファイルが提供されます。

ファイルへのアクセスが禁止されている場合は、適切な応答がクライアントに送信されます。

CIFS クライアントでは、ファイル アクセスが禁止されている場合、

STATUS_ACCESS_DENIED というエラー メッセージが表示されます。

システム アーキテクチャ図に、システム アーキテクチャ全体の概要、および Data ONTAP の

各レイヤに含まれる FPolicy インフラを示します。

図 2: ストレージ環境の FPolicy

複数サーバ構成機能

FPolicy では、1 つのポリシーに登録された複数のサーバ間のロード シェアリングをサポート

しています。FPolicy を使用すると、1 つのポリシーに対して複数のサーバを登録できます。

これらのサーバはプライマリ サーバまたはセカンダリ サーバとして登録できます。

Page 155: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 155

複数の FPolicy サーバがストレージ システムにプライマリ サーバとして登録されている場合、

すべての FPolicy 通知は登録済みの FPolicy サーバ間で等しく共有されます。接続されたすべ

ての FPolicy サーバのロード シェアリングに従って、通知が送信されます。使用できるプライ

マリ サーバがない場合、通知はセカンダリ サーバ間で共有されます。プライマリ サーバが使

用可能になると、要求はセカンダリ サーバでなく、プライマリ サーバに送信されます。

いずれかの FPolicy サーバで未処理の要求数が上限に達すると(現在は 50)、通知は他のアク

ティブなサーバにリダイレクトされます。登録されたすべてのサーバで未処理の要求数が上限

に達すると、すべての通知がスロットル キューに格納されます。

サーバは機能タイプに基づいて設定されます。たとえば、パススルー リード、ファイル サイ

ズ、所有者はサーバベースの機能です。これらの機能は特定のサーバで有効にする必要があり

ます。ただし、許可変更通知、inode からファイルへのパス、オフライン ビットなどの機能は、

ポリシー全体に関する機能です。特定のポリシーでこれらの機能が有効な場合は、このポリシ

ーを使用するすべての FPolicy サーバに対して機能が更新されます。

複数サーバ構成 では、応答が低速なサーバと高速なサーバを区別できないという制限があり

ます。応答が低速なサーバが存在すると、システム全体のパフォーマンスが低下することがあ

ります。FPolicy サーバが接続されている場合は、この複数サーバ構成機能は有効です。

Fpolicyの制限

FPolicy の制限はプロトコルに関する制限、スクリーニングに関する制限、および一般的な制

限に分類されます。

次に Fpolicy のプロトコルに関する制限を示します。

• FPolicy がサポートしているのは、CIFS および NFS プロトコルのみです。

• FTP、HTTP、WebDAV、FileIO など、その他のプロトコルはサポートしていません。

• CIFS および NFS プロトコルに関する一部の操作は、FPolicy では監視できません。

• CIFS および NFS 操作を同じポリシーで個別に設定することはできません。

以下は Fpolicy のスクリーニング関する制限を示します。

• ファイル スクリーニングはボリューム 全体に設定する必要があります。個々の qtree お

よびディレクトリをスクリーニングすることはできません。

• FPolicy は、相互データストリームでの CIFS 操作のスクリーニングは、サポートしますが、

相互データストリームでの NFS 操作のスクリーニングは、サポートされません。

• 複数のサーバが登録されている場合、接続されたすべてのサーバのポリシーは、直前に登

録されたサーバの設定に基づいて変更されます。

• 特定の IP アドレスを持つ Fpolicy サーバは、ストレージシステムに一度のみ登録できます。

1 台のサーバに設定できるポリシーは1つのみです。

• Fpolicy に使用される CIFS システム リソースが不足すると、 Fpolicy エンジンによる CIFS スクリーニングは停止します。

Page 156: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

156 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

Data ONTAP内でのFpolicyの使用

Data ONTAP ストレージ システムでのネイティブ ファイル ブロッキングには、FPolicy を使

用できます。

ネイティブファイルブロッキング

ネイティブ ファイル ブロッキングを使用すると、監視リストに記述されたファイルまたはデ

ィレクトリ操作をすべて拒否できます。

サーバベース ファイル スクリーニングでサポートされているフィルタとプロトコルの同一セ

ットも、ネイティブ ファイル ブロッキングのためにサポートされています。ネイティブ ファ

イル ブロッキング ポリシー および FPolicy サーバベース ファイル スクリーニングは、複数

のポリシーで同時に設定できます。

次の図に、ネイティブ ファイルブロッキングが有効な場合のクライアント要求の処理方法を

示します。数字は要求フローの順番です。

図 3: ネイティブ ファイル ブロッキング

CIFS または NFS クライアントが要求を送信すると、ネイティブ ブロッキングが有効な場合、

ストレージ システムでファイルがスクリーニングされます。要求とスクリーニング要件が一

致した場合、要求は拒否されます。

次に示す任意の操作に関して、ネイティブ ファイル ブロッキングが実行されます:

• ファイルを開く • ファイルの作成する • ファイルの名前変更

Page 157: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 157

• ファイルを閉じる • ファイルの削除 • ファイルを読み取り • ファイルを書き込み • ディレクトリの削除 • ディレクトリの名前変更 • ディレクトリの作成 • Getattr (NFS のみ) • Setattr • ハード リンクの作成(NFS のみ) • symlink の作成(NFS のみ) • 検索 (NFS のみ) • 許可変更通知 (CIFS のみ)

• 所有者の変更

• グループ変更

• システム ACL (SACL) の変更

• Discretionary ACL(DACL)の変更

関連する概念

ネイティブファイルブロッキングの使用方法

関連参照事項

CIFS を通して監視されるイベント NFS を通じて監視されるイベント

ネイティブファイルブロッキングの使用方法

ネイティブ ファイル ブロッキングを使用するには、まず FPolicy を作成してから、特定の処

理に対して通知するように FPolicy を設定します。ネイティブ ファイル ブロッキング機能は、

Data ONTAP ではデフォルトで有効になっています。

ネイティブ ファイル ブロッキングを使用すると、ファイル スクリーニング セクションに示さ

れたファイル操作をすべて拒否できます。また、特定の拡張子を持つファイルへのアクセスを

ブロックできます。

たとえば、.mp3 拡張子を含むファイルをブロックするには、拡張子が.mp3 のファイルをター

ゲットとする特定の処理に対する通知を送信するようにポリシーを設定します。このポリシー

は、.mp3 ファイルに関する要求を拒否するように設定されます。拡張子が.mp3 のファイルを

クライアントが要求すると、ストレージ システムはネイティブ ファイル ブロッキング設定に

基づいてこのファイルへのアクセスを拒否します。

Page 158: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

158 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ネイティブ ファイル ブロッキングおよびサーバベース ファイル スクリーニング アプリケー

ションは同時に設定できます。

メモ:ネイティブ ファイル ブロッキング機能では、ファイルの内容でなく、拡張子のみを

基準としてファイルをスクリーニングします。

ネイティブファイルブロッキングの設定

ネイティブ ファイル ブロッキングを設定するには、ポリシーを作成してから、ブロックする

ファイル拡張子のリストを設定します。

CIFS プロトコルにライセンスを付与して、設定する必要があります。

手順

1. 下記の CLI コマンドを使用して、ファイル ポリシーを作成します。

fpolicy create policyName policytype

mp3blocker という名前のスクリーニング ポリシーを作成するには、 次のコマンドを入

力します。

fpolicy create mp3blocker screen

screen ポリシーのタイプを使用して、指定したポリシー名を持つ Fpolicy が作成されま

す。

2. mp3 拡張子をモニターするためのポリシーを構成します。 次のコマンドを使用します。

fpolicy extensions include set policyName ext-list

次のコマンドを使用して.mp3 拡張子を監視するためのポリシーを設定します。

fpolicy extensions include set mp3blocker mp3

3. 次のコマンドを使用して、ポリシーで監視される操作とプロトコルを設定します。

fpolicy monitor {add|remove|set} policyName [-p protocols] [-f] op-spec

policyName は、操作を追加するポリシーの名前です。

protocols は、監視を有効にする一連のプロトコルです。

CIFS 要求を監視するには cifs を 、 NFS 要求を監視するには nfs を 、 両方を監視するには cifs,nfs を使用します。

-f オプションを指定すると、ポリシーを実行するために使用できるサーバがない場合も、ポリシー

は強制的に有効になります。

op-spec は、追加する操作のリストです。

Page 159: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 159

ポリシー.mp3blocker に CIFS および NFS 操作で監視される操作リストを設定するには、次のコ

マンドを入力します。

fpolicy monitor set .mp3blocker -p cifs,nfs create,rename

create オプションを指定して、.mp3 ファイルの作成を防ぎます。

さらに、.mp3 ファイルが異なる拡張子でストレージ システム上にコピーされたり、名前を変更され

たりしないように、rename オプションも指定します。

この CLI コマンドを使用すると、監視対象となる特定の操作が設定されます。

4. 次のコマンド構文を使用して、required オプションを onに設定します。

fpolicy options policyName required on

mp3blocker ポリシーに対する必須のスクリーニング を有効化するには、 次のコマンドを入力し

ます。

fpolicy options mp3blockerrequired on

この CLI コマンドを使用すると、ファイルにアクセスする前に、ファイル スクリーニングが必ず実

行されます。

5. 次の CLI コマンドを使用して、 Fpolicy 機能を有効にします。

fpolicy enable policyName [-f]

Fpolicy .mp3blocker を有効にするには、 次のコマンドを入力します。

fpolicy enable mp3blocker

この CLI コマンドを使用すると、ファイル ポリシーが有効になります。

上記手順を完了後に、クライアントがブロックされたファイルを使用して操作を実行しようと

しても、操作に失敗し、STATUS_ACCESS_DENIED エラー コードが送信されます。

次のトピック

CIFS を通して監視されるイベント NFS を通じて監視されるイベント

関連する概念

FPolicy を使用して操作を監視する方法

関連タスク

Page 160: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

160 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ファイルポリシーの作成 必須ファイルのスクリーニングの指定 Fpolicy 機能の有効化と無効化

CIFSを通して監視されるイベント

Fpolicy では多数の CIFS イベントを監視できます。

次の表に、 Fpolicy で監視できる CIFS 操作、および、Fpolicy による各操作の処理方法の概要

を示します。

イベント 説明

ファイルを開く ファイルを開くときに送信される通知

ファイルの作成 ファイルを作成するときに送信される通知

ファイルの名前変更 ファイルの名前を変更するときに送信される通知

ファイルを閉じる ファイルを閉じるときに送信される通知

ファイルの削除 ファイルを削除するときに送信される通知

ファイルの読み取り ファイルを読み取るときに送信される通知

ファイルの書き込み ファイルを変更するときに送信される通知

ディレクトリの削除 ディレクトリを削除するときに送信される通知

ディレクトリの名前変更 ディレクトリの名前を変更するときに送信される通知

ディレクトリの作成 ディレクトリを作成するときに送信される通知

setattr 属性情報を設定するときに送信される通知

NFSを通じて監視されるイベント

Fpolicy では多数の NFS イベントを監視できます。

下の表に、 Fpolicy で監視できるNFS 操作及、および各操作の概要を示します。

イベント 説明

ファイルを開く ファイルを開いたときに送信される通知

ファイルの作成 ファイルを作成されたときに送信される通知

ファイルの名前変更 ファイルの名前が変更されたときに送信される通知

ファイルを閉じる ファイルを閉じたときに送信される通知

ファイルの削除 ファイルを削除されたときに送信される通知

ファイルの読み取り ファイルが読み取るときに送信される通知

ファイルの書き込み ファイルを変更するときに送信される通知

ディレクトリの削除 ディレクトリを削除するときに送信される通知

ディレクトリの名前変更 ディレクトリの名前を変更するときに送信される通知

Page 161: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 161

イベント 説明

ディレクトリの作成 ファイルを作成するときに送信される通知

Setattr 属性情報を設定するときに送信される通知

Getattr 属性情報を要求するときに送信される通知

リンク ハード リンクを作成するときに送信される通知

Symlink シンボリック リンクを作成するときに送信される通知

検索 NFS 検索が発生したときに送信される通知

Fpolicyとの連携

CLI コマンドを使用すると、Fpolicy の作成、有効化、設定を行ったり、ボリュームおよび拡

張子に基づいてファイルをスクリーニングしたりすることができます。

次のトピック

Fpolicy の設定方法 NFS クライアントと CIFS クライアントでスクリーニングされるイベント ファイルまたはディレクトリイベント ボリュームによるスクリーニング 拡張子によるスクリーニング ファイルスクリーニングサーバの管理方法 FPolicy を使用して操作を監視する方法 さまざまな CLI コマンド

Fpolicyの設定方法

Fpolicy を設定するには、単純な CLI コマンドを使用します。

次のトピック

Fpolicy 機能の有効化と無効化 ファイルポリシーの作成 ファイルポリシーの有効化 必須ファイルのスクリーニングの指定 ファイルポリシー情報の表示 すべてのファイルポリシーの情報の表示 ファイルポリシーの無効化 ファイルポリシーの削除 切断された CIFS 要求に関するサーバ スクリーニングの停止 CIFS 要求の同時スクリーニングに関する制限の設定 サーバタイムアウトの設定

Page 162: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

162 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

要求スクリーニングタイムアウトの設定 SMB 名前付きパイプの複数のインスタンスの有効化と無効化

Fpolicy機能の有効化と無効化

CIFS プロトコルにライセンスが付与されていて、設定されている場合は、Fpolicy はデフォ

ルトで有効です。Fpolicy 機能を手動で有効または無効にする場合は、fpolicy.enable オプショ

ンを使用します。

手順

1. 次の操作のいずれかを行います。

目的 操作

Fpolicy を有効にする場合 次のコマンドを入力します。 options fpolicy.enable on

Fpolicy を無効化する 次のコマンドを入力します。 options fpolicy.enable off

Fpolicy 機能を無効にした場合は、個々のポリシーの有効または無効の設定よりも優先さ

れ、すべてのポリシーが無効になります。

ファイルポリシーの作成

ファイル ポリシーを設定するには、まずファイルポリシーを作成する必要があります。

ファイル ポリシーを作成するには、 create コマンドを使用します。

通知に関するポリシーを設定するには、ファイル ポリシーを作成します。 特定のファイル操

作要求またはネイティブ ファイル ブロッキングが発生した場合に、Fpolicy サーバに通知を送

信するように、ファイルポリシーを設定できます。

create コマンドを実行すると、一意のポリシー名を持つ新しいファイルポリシーが作成されま

す。新しいファイル ポリシーが作成されたら、オプションを設定し、特定の拡張子の場合に

スクリーニングする必要がある要求を決定できます。

手順

1. ファイル ポリシーを作成するには、 次のコマンドを入力します。

fpolicy create policyName policytype

policyName は、作成するポリシーの名前です。 ポリシー名は、80 文字以内の一意の文字列である必要があります。ファイル ポリシーの名には

UNICODE 英数字を使用できます。 FPolicy がポリシー名で使用できる ASCII 文字セットの特殊文字は、アンダースコア (_) と ハイフ

Page 163: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 163

ン (-) のみです。 新しいファイル ポリシー名にほとんどの特殊文字が禁止されているほか、 Fpolicy は、 "."を含む既存のポリシー名が、そこでカットされます。 (ドット) がポリシー名にあるとド

ットを含むそれ以降の文字が削除されます。アップグレード後は、このファイル ポリシーに構成され

たどのオプションも失われることになります。 policytype は、このファイル ポリシーが属するポリシー グループです。 現在、Fpolicy でサポートさ

れているポリシー タイプは screen だけです。

fpolicy create policy1 screen

指定されたポリシー名 policy1、screen ポリシータイプを使用して、ファイルポリシーが作成

されます。

メモ: VFiler ユニットごとに、一度に最大 20 個のファイル ポリシーを作成して使用で

きます。

ファイル ポリシーを機能させるには、作成されたファイル ポリシーを有効にします。

関連タスク

Fpolicy 機能の有効化と無効化

ファイルポリシーの有効化

通知ポリシーを設定するには、作成されたファイル ポリシーを有効にしておく必要がありま

す。ファイル ポリシーを有効にするには、enable コマンドを使用します

手順

1. ファイル ポリシーを有効化するには、 次のコマンドを入力します。

fpolicy enable policyName

policyName は、有効化するポリシーの名前です。

fpolicy enable policy1

指定したファイルポリシーが有効になります。

メモ:ファイル ポリシーをアクティブにするには、options fpolicy.enable が on になって

いることを確認してください。

必須ファイルのスクリーニングの指定

required オプションは、ファイル スクリーニングが必須であるかどうかを決定します。

required オプションが on に設定されている場合、ファイルスクリーニングは必須になります。

Fpolicy サーバを使用できない場合、スクリーニングを実行できないため、クライアント要求

Page 164: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

164 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

は拒否されます。

ネイティブ ファイル ブロッキングを有効にする場合も、このオプションを使用します。

required オプションが off に設定されている場合、ファイル スクリーニングは必須ではありま

せん。

Fpolicy サーバ が接続されていない場合、スクリーニングしなくても、操作は許可されます。

手順

1. ファイル スクリーニングを必須にするには、 次のコマンドを入力します。

fpolicy options policyName required on

policyName は、required オプションを設定するポリシーの名前です。

このオプションは、デフォルトでは off に設定されます。使用できるファイル スクリーニング サーバがない場合に、required オプションを on にすると、ネイティブ ファイル ブロッキング

機能によって、このポリシーで指定されたファイルへのアクセスがブロックされます。

メモ:ファイル スクリーニングを必須にしない場合は、同じコマンドを off に設定します。

関連概念

ネイティブファイルブロッキング

ファイルポリシー情報の表示

特定のファイル ポリシーの重要情報を表示するには、fpolicy show コマンドを使用します。

手順

1. 次のコマンドを入力します。

fpolicy show policyName

policyName は、情報を表示するファイル ポリシーの名前です。

show コマンド を実行すると、特定のファイル ポリシーに関する次の情報が表示されます。

• ファイル ポリシーのステータス • 監視対象操作のリスト • スクリーニング対象ボリュームのリスト • スクリーニング対象拡張子のリスト • サーバの合計接続時間 • スクリーニングされた要求数 • 拒否された要求数 • ローカルにブロックされた要求数

Page 165: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 165

すべてのファイルポリシーの情報の表示

すべてのファイル ポリシーの重要情報を表示するには、fpolicy コマンドを使用します。

手順

1. 次のコマンドを入力します。

fpolicy

fpolicy show コマンド を実行すると、既存のすべてのファイル ポリシーに関する次の情報が

表示されます。

• 登録された Fpolicy サーバのリスト • すべてのファイル ポリシーのステータス • 各ファイル ポリシーで監視される操作のリスト • 各ファイル ポリシーでスクリーニングされるボリュームのリスト • 各ファイル ポリシーでスクリーニングされる拡張子のリスト • サーバの合計接続時間 • 各ファイル ポリシーでスクリーニングされた要求数 • 各ファイル ポリシーで拒否された要求数 • ローカルにブロックされた要求数

ファイルポリシーの無効化

ファイル ポリシーが無効な場合は、この特定のファイル ポリシー用に指定された操作は監視

されません。

また、Fpolicy サーバがストレージ システムに登録されている場合でも、この Fpolicy サーバ

にファイル要求通知は送信されません。

手順

1. ファイル ポリシーを無効にするには、 次のコマンドを入力します。

fpolicy disable policyName

fpolicy disable policy1

ファイルポリシーの削除

ファイル ポリシーを削除するとすぐに、接続先のストレージ システムから既存のファイル ポ

Page 166: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

166 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

リシーが削除されます。特定のファイル ポリシーを削除するには、 destroy コマンドを使用し

ます。 特定のファイル ポリシーを削除する前に、そのファイル ポリシーを無効に設定する必

要があります。

ファイルポリシーに Fpolicy サーバが関連付けられている場合は、その Fpolicy サーバが登録

解除されます。

手順

1. 特定のファイル ポリシーを削除してファイル ポリシーのリストから削除するには、 次の

コマンドを入力します。

fpolicy destroy policyName

fpolicy destroy policy1

policyName は、削除するファイル ポリシーの名前です。

このコマンドを入力すると、ファイル ポリシーのリストから、指定したファイルポリシーが

削除されます。

切断された CIFS 要求に関するサーバ スクリーニングの停止

セッションが切断された CIFS 要求のサーバ スクリーニングを停止するには、

cifs_disconnect_check オプションを有効にします。

冗長な要求を除外し、FPolicy サーバの負荷を軽減することができます。

手順

1. この機能をファイル ポリシーごとに有効にするには、次のコマンドを入力します。

fpolicy options policyName cifs_disconnect_check on

policyName は、チェックを有効にするファイル ポリシーの名前です。

メモ:デフォルトでは、 このオプションは off に設定されています。

例 F ファイルポリシーp1 に対して cifs_disconnect_check を有効にするには、次のコマンドを使用します。

filer> fpolicy options p1 cifs_disconnect_check fpolicy options p1 cifs_disconnect_check: off filer> fpolicy options p1 cifs_disconnect_check on

Page 167: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 167

CIFS要求の同時スクリーニングに関する制限の設定

FPolicy サーバが同時にスクリーニングできる CIFS 要求の数を制限できます。

このオプションを使用すると、CIFS 要求で pBlks が不足することはなくなります。

特定の制限が設定されている場合、この制限を超える要求がスクリーニングのために FPolicyサーバに送信されることはありません。

この制限を設定するには、フラグ fp_maxcifsreqs_pblkpercent を使用します。

このフラグは、ストレージ システムで使用可能な最大 pBlks 数に対する割合で制限を設定し

ます。この設定には、setflag および printflag コマンドを使用します。

メモ:setflag および printflag を使用できるのは、 diag 権限レベルの場合のみです。

手順

1. スクリーニングに関する制限を設定するには、次のコマンドを使用します。

setflag fp_maxcifsreqs_pblkpercent limit_value

limit_value は、許可する同時要求の最大数です。

値の範囲は 1 ~ 100 です。

メモ:1~100 以外の値を指定すると、この機能が無効になります。

例 制限を設定するには、次のコマンドを入力します。 filer> priv set diag filer*> printflag fp_maxcifsreqs_pblkpercent fp_maxcifsreqs_pblkpercent = 0 filer*> setflag fp_maxcifsreqs_pblkpercent 30

ストレージ システムの最大 pBlks 数を決定するには、cifs stat コマンドを実行します。出力の Max pBlks フィールドに、ストレージ システムの最大 pBlks 数が表示されます。

filer> cifs stat ... ... Max pBlks = 256 Current pBlks = 256 Num Logons = 0

サーバタイムアウトの設定

FPolicy サーバが要求に応答するまでのシステム待機時間の上限を設定することができます。

この上限はファイル ポリシーごとに個別に設定できます。これにより、FPolicy サーバは効率

化されます。

手順

Page 168: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

168 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

1. ファイル ポリシーごとにタイムアウト値を設定するには、次のコマンドを入力します。

fpolicy options policyName serverprogress_timeout timeout-in-secs

policyName は、 Fpolicy サーバのタイムアウトを設定するファイル ポリシーの名前です。

timeout-in-secs は、タイムアウト値(秒)です。

入力可能なタイムアウト値は 0 ~4294967 秒です。

タイムアウト値を 0 に設定すると、 serverprogress_timeout オプションが無効になります。

メモ: デフォルトでは、 このオプションは無効で、タイムアウト値は設定されてい

ません。

タイムアウト値を設定した後は、 設定されたタイムアウト値までに Fpolicy サーバが応答しな

いと、サーバは切断されます。

例 ファイルポリシー p1 のタイムアウト値を設定するには、 次のコマンドを使用します。 filer> fpolicy options p1 serverprogress_timeout fpolicy options p1 serverprogress_timeout: 0 secs (disabled) filer> fpolicy options p1 serverprogress_timeout 600 filer> fpolicy options fp1 serverprogress_timeout 4294967

要求スクリーニングタイムアウトの設定

FPolicy サーバが要求をスクリーニングするまでのシステムの待機時間に上限を設定できます。

この上限はポリシーごとに個別に設定できます。

これにより、FPolicy サーバーのパフォーマンスは改善します。

手順

1. ファイル ポリシーごとにタイムアウト値を設定するには、次のコマンドを入力します。

fpolicy options policyName reqcancel_timeout timeout-in-secs

policyName は、 スクリーニングのタイムアウトを設定したいファイル ポリシーの名前です。

timeout-in-secs は、タイムアウト値(秒)です。

タイムアウト値が設定されている場合は、設定されたタイムアウト値までにスクリーニング 要求が完了しないと、スクリーニング要求はキャンセルされます。

例 ファイルポリシー p1 のタイムアウト値を設定するには、次のコマンドを入力します。 filer> fpolicy options p1 reqcancel_timeout fpolicy options p1 reqcancel_timeout: 0 secs (disabled) filer> fpolicy options p1 reqcancel_timeout 60

Page 169: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 169

SMB名前付きパイプの複数のインスタンスの有効化と無効化

SMB 名前付きパイプの複数のインスタンスを有効または無効にする。

fpolicy.multiple_pipes オプションを使用することにより、 Fpolicy サーバ上で SMB 名前付き

パイプの複数のインスタンスを有効化できます。

このオプションを有効にすると、 Fpolicy エンジンは Fpolicy サーバに対して最大 10 個の SMB 名前付きパイプのインスタンスを開くことができます。 このオプションを無効にすると、 1 個のみの SMB 名前付きパイプのインスタンスが、 Fpolicy サーバに対して開かれます。

手順

1. Fpolicy サーバ上で SMB 名前付きパイプの複数のインスタンスを有効または無効するには、 次のコマンドを入力します。

options fpolicy.multiple_pipes {on|off}

デフォルトでは、 このオプションは on に設定されています。

NFSクライアントとCIFSクライアントでスクリーニングされるイベント

FPolicy サーバは、NFS および CIFS クライアントから着信したファイル要求に関する多数の

操作またはイベントをスクリーニングできます。

次の表に、ネイティブ ファイル ブロッキングとサーバベース スクリーニングに関する、NFS および CIFS でスクリーニングされるイベントを示します。

イベント プロトコル 説明

ファイルを開く CIFS と NFS(v4) ファイルを開くときに送信される通知

ファイルの作成 CIFS と NFS ファイルを作成するときに送信される通知

ファイルの名前変更 CIFS と NFS ファイルの名前を変更するときに送信される通知

ファイルを閉じる CIFS と NFS(v4) ファイルを閉じるときに送信される通知

ファイルの削除 CIFS と NFS ファイルを削除するときに送信される通知

ファイルの読み取り CIFS と NFS ファイルを読み取るときに送信される通知

ファイルの書き込み CIFS とNFS ファイルに書き込むときに送信される通知

ディレクトリの削除 CIFS と NFS ディレクトリを削除するときに送信される通知

ディレクトリの名前変更 CIFS と NFS ディレクトリの名前を変更するときに送信される通知

ディレクトリの作成 CIFS と NFS ディレクトリを作成するときに送信される通知

Getattr NFS 属性情報要求に関して送信される通知

Page 170: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

170 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

イベント プロトコル 説明

Setattr CIFS と NFS 属性情報設定に関して送信される通知

ハードリンクの作成 NFS ハード リンクを作成するときに送信される通知

symlinkの作成 NFS シンボリック リンクを作成するときに送信される通知

検索 NFS NFS検索が発生したときに送信される通知

メモ:CIFS setattr イベントはさまざまな機能を実行できますが、FPolicy で監視されるのは、

セキュリティ記述子情報を変更する setattr 操作のみです。

セキュリティ記述子情報には、所有者、グループ、 Discretionary Access Control List(DACL)、System Access Control List(SACL)情報があります。

Fpolicy を使用すると、ファイル システム関連の NFS 操作 と CIFS 操作におけるほとんどの

イベントに対応できます。Fpolicy で監視されない操作の一部を、次に示します。

• NFS (v2, v3, v4) : ACCESS、 COMMIT、 FSINFO、 FSTAT、 PATHCONF、 ROOT、 READLINK、 READDIR、 READDIRPLUS、 STATFS、 MKNOD

• NFSv4 : 検索と委譲に関連する操作

• CIFS:

• SMB_COM_TREE_CONNECT や SMB_COM_TREE_DISCONNECT などのツリー操作

• SMB_COM_session_SETUP_ANDX などのセッション関連操作

• ロック関連の操作

• プリント関連操作など、ファイル システム動作に関連しない操作

ファイルまたはディレクトリイベント

さまざまなファイルおよびディレクトリ操作がスクリーニングされます。

操作要求があると、ポリシー設定に基づいて FPolicy サーバに通知が送信されます。

次のトピック

ファイルオープン要求の監視 ファイル作成要求の監視 ファイルクローズ要求の監視 ファイル名前変更要求の監視 ファイル削除要求の監視 ファイル書込み要求の監視 ファイル読み取り要求の監視 リンク要求の監視 (NFS のみ) symlink 要求の監視(NFS のみ)

Page 171: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 171

ディレクトリ削除要求の監視 ディレクトリ名前変更要求の監視 ディレクトリ作成要求の監視 ファイル検索要求の監視 (NFS のみ) getattr 要求の監視 (NFS のみ) setattr 要求の監視

ファイルオープン要求の監視

ファイル オープン操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。

ファイル オープン 要求が CIFS または NFSv4 クライアントからストレージ システムに送信されると、

ストレージ システムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理

には、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしている

かどうかのチェックが含まれます。ファイル拡張子がファイル ポリシーの extension include リストに

含まれている場合、ファイルがチェックに合格すると、要求が FPolicy サーバに転送されます。

FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル オープン要求を許可またはブ

ロックします。

ストレージ システムがリブートした場合、NFSv4 クライアントはシャットダウン前に開いていたファイル

のファイル ハンドラを再要求できます。ストレージ システムが再び機能するようになったあとで、

FPolicy サーバが NFS クライアントより先にストレージ システムに接続した場合、ストレージ システ

ムはファイル再要求をオープン要求として FPolicy サーバに転送します。

FPolicy サーバが NFS クライアントのあとにストレージ システムに接続した場合、ストレージ システ

ムはオープン再要求をオープン要求として FPolicy サーバに転送しません。この場合、NFS クライア

ントは NFSv4 再要求操作を使用して、ファイル ハンドルを取得します。

NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上で

no_i2p オプションをオフに設定します。この設定により、ボリュームで inode とパス間のファイル名変

換が有効になります。

メモ: Data ONTAP 7.3 リリース以降、FPolicy ではボリューム上で NFSv4 プロトコルお

よび i2p オプションをサポートしています。古いリリースの FPolicy では、NFSv4 プロ

トコルおよび i2p オプションはサポートされません。

NFSv4 環境で Data ONTAP ベースのアプリケーションが動作している場合に、NFSv4 をサポート

するには、FPolicy アプリケーションをアップグレードする必要があります。

NFSv4 をサポートすることで、ファイルの OPEN および CLOSE イベントのサポートが追加されます。

したがって、古いリリースの FPolicy をベースとするアプリケーションでこれらのファイル操作を行うと、

FPolicy アプリケーションでは UNKNOWN イベント エラーとして認識されることがあります。

FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファイル オープン操作を追加する必要があります。ファイル オープン操作を監視するには、CLI または ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。

Page 172: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

172 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

次のトピック

CLI を通じてファイルオープン操作を監視するための Fpolicy の設定 ONTAPI を通じてファイルオープン操作を監視するため Fpolicy の設定 ファイルオープン要求を監視するための Fpolicy の登録

CLIを通じてファイルオープン操作を監視するためのFpolicyの設定

ファイルオープン操作を監視するようにファイル ポリシーを設定するには、 fpolicy monitor add コマンドを使用します。

この CLI コマンドを追加すると、CIFS と NFS 要求の監視対象イベント リストにファイル

オープン操作を追加できます。

手順

1. ファイルオープン操作を監視するには、次の CLI コマンドを入力します。

fpolicy monitor add policyName open

ONTAPI を通じてファイルオープン操作を監視するためFpolicyの設定

ONTAPI コールを使用すると、ファイルオープン操作を監視するようにファイル ポリシーを

設定できます。

手順

1. ファイルオープン操作に関する監視オプションを設定するには、次の ONTAPI コールを使用します。

fpolicy-operations-list-set

monitored-operations 入力名フィールドの、 monitored-operation-info[] には、file-open 操作を指定する必要があります。monitored-protocols には、監視する特定のプロトコルを指

定する必要があります。ファイルオープン操作の場合、 NFS と CIFS の両方の要求を監

視できます。

ファイルオープン要求を監視するためのFpolicyの登録

ファイルオープン操作を監視するためには Fpolicy サーバを登録するときにファイルオープン

操作を登録します。

手順

1. ファイルオープン操作のスクリーニングを有効にするには、 ストレージ システムに Fpolicy サーバを登録する場合に、 FP_registration() コールの OpsToScreen ビットマス

クに次のビットを設定します。

FS_OP_OPEN 0x0001

Page 173: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 173

登録が完了したら、 Fpolicy サーバはすべてのファイルオープン要求を監視します。

ファイル作成要求の監視

ファイル作成操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。

ファイル作成 要求が CIFS または NFS クライアントからストレージ システムに送信されると、ス

トレージ システムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処

理には、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセ

スしているかどうかのチェックが含まれます。ファイル拡張子が FPolicy の extension include リス

トに含まれている場合、ファイルがチェックに合格すると、要求が FPolicy サーバに転送されます。

FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル作成要求を許可またはブロッ

クします。

FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファイル

作成操作を追加する必要があります。ファイル作成操作を監視するには、CLI または ONTAPI を使

用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。

次のトピック

CLI を通してファイル作成操作を監視するための Fpolicy の設定 ONTAPI を通してファイル作成操作を監視するための Fpolicy の設定 ファイル作成要求を監視するための FPolicy の登録

CLIを通してファイル作成操作を監視するためのFpolicyの設定

ファイル作成操作を監視するようにファイル ポリシーを構成するには、 fpolicy monitor add コマンドを使用します。

手順

1. ファイル作成操作を監視するには、次の CLI コマンドを入力します。

fpolicy monitor add policyName create

ONTAPI を通してファイル作成操作を監視するためのFpolicyの設定

ONTAPI コールを使用すると、ファイル作成操作を監視するようにファイル ポリシーを設定

できます。

手順

1. ファイル作成操作に関する監視するオプションを設定するには、次の ONTAPI コールを使

用します。

fpolicy-operations-list-set

monitored-operations 入力名フィールドの monitored-operation-info[] には、 file-create

Page 174: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

174 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

操作を指定する必要があります。monitored-protocols には、監視する特定のプロトコルを

指定する必要があります。

ファイルを作成操作の場合は、 NFS と CIFS の両方の要求を監視できます。

ファイル作成要求を監視するためのFPolicyの登録

ファイル作成要求を監視するために は、Fpolicy サーバ を登録するときにファイル作成操作を

登録します。

手順

1. ファイル作成操作のスクリーニングを有効にするには、ストレージ システムに Fpolicy サーバを登録する場合に、FP_registration() コールの OpsToScreen ビットマスクに次のビッ

トを設定します。

FS_OP_CREATE 0x0002

登録が完了したら、 Fpolicy サーバはすべてのファイル作成要求を監視します。

ファイルクローズ要求の監視

ファイル クローズ操作が行われると、FPolicy サーバはストレージ システムから通知を受信し

ます。

ファイル クローズ 要求が CIFS または NFSv4 クライアントからストレージ システムに送信

されると、ストレージ システムはそのファイルに関連するすべてのチェックを実行します。

関連するチェック処理には、権限チェック、ファイルの可用性チェック、およびファイルに別

のクライアントがアクセスしているかどうかのチェックが含まれます。ファイルがチェックに

合格すると、要求が FPolicy サーバに転送されます。ファイルが閉じたら、ストレージ システ

ムは FPolicy サーバにファイルが閉じたことを通知します。

FPolicy サーバはファイル クローズ操作をブロックすることはできません。

FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファ

イル クローズ操作を追加する必要があります。ファイル クローズ操作を監視するには、CLI または ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することも

できます。

NFSv4 のオープン ダウングレード操作もクローズ操作とみなされ、この操作が実行された場

合は通知が送信されます。NFSv4 操作に対してファイル拡張子ベースのスクリーニングを有

効にするには、ボリューム上で no_i2p オプションを off に設定します。この設定により、ボリ

ュームで inode とパス間のファイル名変換が有効になります。

メモ: Data ONTAP 7.3 リリース以降、Fpolicy では NFSv4 プロトコルがサポートされてい

Page 175: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 175

ます。

次のトピック

CLI を通してファイルクローズ操作を監視するための FPolicy の設定 ONTAPI を通してファイルクローズ操作を監視するための Fpolicy の設定 ファイルクローズ要求を監視するための Fpolicy の登録

CLIを通してファイルクローズ操作を監視するためのFPolicyの設定

ファイルクローズ操作を監視するためにファイル ポリシーを構成するには、 fpolicy monitor add CLI コマンドを使用できます。この CLI コマンドを使用すると、 CIFS と NFS 要求の監

視対象イベント リストにファイルクローズ操作を追加します。

手順

1. ファイルクローズ操作を監視するには、次の CLI コマンドを入力します。

fpolicy monitor add policyName close

ONTAPIを通してファイルクローズ操作を監視するためのFpolicyの設定

ONTAPI コールを使用すると、ファイルクローズ操作を監視するようにファイル ポリシーを

設定できます。

手順

1. ファイルクローズ操作に関する監視オプションを設定するには、次の ONTAPI コールを使

用します。

fpolicy-operations-list-set

monitored-operations 入力名フィールドでは、 monitored-operation-info[] には、file-close 操作を指定する必要があります。monitored-protocols には、監視する特定のプロトコルを

指定する必要があります。ファイルクローズ操作の場合は、 NFS と CIFS 両方の要求 を監視できます。

ファイルクローズ要求を監視するための Fpolicyの登録

ファイルクローズ操作を監視するには、Fpolicy サーバを登録するときにファイルクローズ操

作を登録します。

手順

1. ファイルクローズ操作のスクリーニングを有効にするには、 ストレージ システムに Fpolicy サーバを登録する場合に、 FP_registration() コールの OpsToScreen ビットマス

クに次のビットを設定します。

Page 176: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

176 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

FS_OP_CLOSE 0x0008

登録が完了したら、 Fpolicy サーバはすべてのファイルクローズ要求を監視します。

ファイル名前変更要求の監視

ファイル名前変更操作が行われると、FPolicy サーバはストレージ システムから通知を受信し

ます。

ファイル名前変更 要求が CIFS または NFS クライアントからストレージ システムに送信され

ると、ストレージ システムはそのファイルに関連するすべてのチェックを実行します。

関連するチェック処理には、権限チェック、ファイルの可用性チェック、およびファイルに別

のクライアントがアクセスしているかどうかのチェックが含まれます。ファイル拡張子が

FPolicy の ext[ension] inc[lude]リストに含まれている場合、ファイルがチェックに合格すると、

要求が FPolicy サーバに転送されます。

名前変更要求が FPolicy サーバに送信されるのは、古い拡張子または新しい拡張子が

ext[ension] inc[lude]リストに記述されている場合のみです。

つまり、ファイル名が test.txt から test.mp3 に変更される場合は、一方の拡張子、または両方

の拡張子(.txt または.mp3)が extension include リストに記述されている必要があります。

FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル名前変更要求を許可ま

たはブロックします。

FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファ

イル名前変更操作を追加する必要があります。

ファイル名前変更操作を監視するには、CLI または ONTAPI を使用します。ビットマスクを使

用して、FPolicy サーバから設定することもできます。

次のトピック

CLI を通してファイル名変更操作を監視するための FPolicy の設定 ONTAPI を通してファイル名変更操作を監視するための Fpolicy の設定 ファイル名変更要求を監視するための Fpolicy の登録

CLI を通してファイル名変更操作を監視するためのFPolicyの設定

ファイル名変更操作を監視するには、fpolicy monitor add CLI コマンドを使用します。

CLI コマンドは、 CIFS と NFS 要求の監視イベント リストにファイル作成操作を追加します。

手順

1. ファイル名の変更操作を監視するには、次の CLI コマンドを入力します。

fpolicy monitor add policyName rename

Page 177: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 177

ONTAPIを通してファイル名変更操作を監視するためのFpolicyの設定

policy-operations-list-set ONTAPI コールを使用すると、ファイル名変更操作を監視するよう

にファイル ポリシーを設定できます。

手順

1. ファイル名変更操作に関する監視するオプションを設定するには、次の ONTAPI コールを

使用します。

fpolicy-operations-list-set

monitored-operations 入力名フィールドの monitored-operation-info[]には、 file-rename 操作を指定する必要があります。

monitored-protocols には、監視する特定のプロトコルを指定する必要があります。ファイ

ルを作成操作の場合は、 NFS と CIFS 両方の要求を監視できます。

ファイル名変更要求を監視するためのFpolicyの登録

ファイル名変更操作を監視するには、Fpolicy サーバを登録するときにファイル名変更操作を

登録します。

手順

1. ファイル名の変更操作のスクリーニングを有効にするには、 ストレージ システムに Fpolicy サーバを登録する場合に、 FP_registration() コールの OpsToScreen ビットマス

クに次のビットを設定します。

FS_OP_RENAME 0x0004

登録が完了したら、 Fpolicy サーバはすべてのファイル名変更要求を監視します。

ファイル削除要求の監視

ファイル削除操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。

ファイル削除要求が CIFS または NFS クライアントからストレージ システムに送信されると、

ストレージ システムはそのファイルに関連するすべてのチェックを実行します。関連するチ

ェック処理には、権限チェック、ファイルの可用性チェック、およびファイルに別のクライア

ントがアクセスしているかどうかのチェックが含まれます。チェックが完了し、ファイルがチ

ェックに合格すると、要求通知が FPolicy サーバに送信されます。FPolicy サーバはこの要求

を受信し、ポリシー設定に基づいてファイル削除要求を許可またはブロックします。

FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファ

イル削除操作を追加する必要があります。ファイル削除操作を監視するには、CLI または

ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできま

Page 178: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

178 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

す。

NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上

で no_i2p オプションをオフに設定します。この設定により、ボリュームで inode とパス間の

ファイル名変換が有効になります。

次のトピック

CLI を通してファイル削除操作を監視するための Fpolicy の設定 ONTAPI を通してファイル削除操作を監視するための FPolicy の設定 ファイル削除要求を監視するための FPolicy の登録

CLIを通してファイル削除操作を監視するためのFpolicyの設定

ファイル削除操作を監視するには、 CLI から fpolicy monitor コマンドを使用します。

この CLI コマンドを使用して、 CIFS と NFS 要求の監視イベント リストにファイル削除操作

を追加します。

手順

1. ファイル削除操作を監視するには、次のCLIコマンドを使用します。

fpolicy monitor add policyName delete

ONTAPIを通してファイル削除操作を監視するためのFPolicyの設定

ファイル削除操作を監視するには、fpolicy-operations-list-set ONTAPIコールを使用します。

ステップ

1. ファイル削除操作に関する監視オプションを設定するには、次のONTAPIコールを使用します。

fpolicy-operations-list-set

monitored-operations入力名フィールドでは、monitored-operation-info[]はfile-delete operationを指定する必要があります。monitored-protocolsには、監視する特定のプロトコルを

指定する必要があります。ファイル削除操作の場合は、CIFS要求とNFS要求の両方を監視でき

ます。

ファイル削除要求を監視するためのFPolicyの登録

ファイル削除操作を監視するには、FPolicyサーバーを登録する時にファイル削除操作を登録します。

ステップ

1. ファイル削除操作のスクリーニングを有効するには、ストレージシステムにFPolicyサーバをストレ

ージシステムに登録する場合に、FP_registration ()コールのOpsToScreenビットマスクに次のビ

ットを設定します。

FS_OP_DELETE 0x0010

登録が完了したら、FPolicyサーバはすべてのファイル削除要求を監視します。

Page 179: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 179

ファイル書込み要求の監視

ファイル書き込み操作が行われると、FPolicyサーバはストレージシステムから通知を受け取ります。

ファイル書き込み 要求がCIFS またはNFS クライアントからストレージ システムに送信されると、スト

レージ システムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、

権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどう

かのチェックが含まれます。ファイル拡張子がFPolicy のextension include リストに含まれている場

合、ファイルがチェックに合格すると、要求がFPolicy サーバに転送されます。

FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル書き込み要求を許可またはブ

ロックします。

FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファイル書

き込み操作を追加する必要があります。ファイル書き込み操作を監視するには、CLI またはONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。

NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上でno_i2p オプションをオフに設定します。この設定により、ボリュームでinode/パス間のファイル名変換が有効

になります。

次のトピックス

CLI を通してファイル書き込み操作を監視するための FPolicy の設定 ONTAPI を通してファイル書き込み操作を監視するための FPolicy 設定 ファイル書き込み要求を監視するための FPolicy の登録

CLIを通してファイル書き込み操作を監視するためのFPolicyの設定

ファイル書き込み操作を監視するには、fpolicy monitor CLIコマンドを使用します。

このCLIコマンドを使用すると、CIFSとNFS要求の監視対象にファイル書き込み操作を追加できます。

手順

1. ファイル書き込み操作を監視するには、次のCLIコマンドを使用します。

fpolicy monitor add PolicyName write

ONTAPIを通してファイル書き込み操作を監視するためのFPolicy設定

fpolicy-operations-list-set ONTAPコールを使用すると、ファイル書き込み操作を監視するようにファ

イル ポリシーを設定できます。

ステップ

1. ファイル書き込み操作を監視するために、次のONTAPIコールを使用します

fpolicy-operations-list-set

monitored-operations入力名フィールドの、monitored-operation-info[]には、write操作を指定す

る必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要があり

ます。ファイル書き込み操作の場合は、CIFS要求とNFS要求の両方を監視できます。

Page 180: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

180 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ファイル書き込み要求を監視するためのFPolicyの登録

ファイル書き込み操作を監視するには、FPolicyサーバを登録するときにファイル書き込み操作を登

録します。

ステップ

1. ファイル書き込み操作のスクリーニングを有効にするには、ストレージシステムに登録する場合に

FPolicyサーバを登録する場合に、FP registration ()コールのOpsToScreenビットマスクに次の

ビットを設定して下さい。

FS_OP_WRITE 0x4000

登録が完了したら、FPolicyサーバは全てのファイル書き込み要求を監視します。

ファイル読み取り要求の監視

ファイル読み取り操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。

ファイル読み取り 要求がCIFS またはNFS クライアントからストレージ システムに送信されると、スト

レージ システムはそのファイルに関連するすべてのチェックを実行します。 関連するチェック処理に

は、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているか

どうかのチェックが含まれます。ファイル拡張子がFPolicy のext[ension] inc[lude]リストに含まれてい

る場合、ファイルがチェックに合格すると、要求がFPolicy サーバに転送されます。

FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル読み取り要求を許可またはブ

ロックします。

FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファイル読

み取り操作を追加する必要があります。ファイル読み取り操作を監視するには、CLI またはONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。

NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上でno_i2p オプションをoff に設定します。このようにすると、ボリュームでinode/パス間のファイル名変換が有効

になります。

次のトピックス

CLI を通してファイル読み取り操作を監視するための FPolicy の設定 ONTAPI を通してファイル読み取り操作を監視するための FPolicy の設定 ファイル読み取り要求を監視するための FPolicy の登録

CLI を通してファイル読み取り操作を監視するためのFPolicyの設定

ファイル読み取り操作を監視するには、fpolicy monitor CLIコマンドを使用します。

このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベントリストにファイル読み取り操

作を追加できます。

Page 181: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 181

ステップ

1. ファイル読み取り操作を監視するには、次のCLIコマンドを使用します。

fpolicy monitor add PolicyName read

ONTAPIを通してファイル読み取り操作を監視するためのFPolicyの設定

ファイル読み取り操作を監視するには、fpolicy-operations-list-set ONTAPIコールを使用します。

ステップ

1. ファイル読み取り操作に関する監視オプションを設定するには、次のON TAPIコールを使用しま

す。

fpolicyoperations-list-set

monitored-operations入力名フィールドのmonitored-operation-info[]には、read操作を指定す

る必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要があり

ます。ファイル読み取り操作の場合は、CIFSとNFSの両方の要求を監視できます。

ファイル読み取り要求を監視するためのFPolicyの登録

ファイル読み取り操作を監視するには、FPolicyサーバを登録するときにファイル読み取り操作を登録

します。

ステップ

1. ファイル読み取り操作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバ

を登録する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定しま

す。

FS_OP_READ 0x2000

登録が完了したら、FPolicyは全てのファイル読み取り要求を監視します。

リンク要求の監視 (NFSのみ)

ファイル リンク操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。

ファイル リンク 要求がNFS クライアントからストレージ システムに送信されると、ストレージ システム

はそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェック、

ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチェックが

含まれます。ファイル拡張子がFPolicy のextension include リストに含まれている場合、ファイルが

チェックに合格すると、要求がFPolicy サーバに転送されます。FPolicy サーバはこの要求を受信し、

ポリシー設定に基づいてファイル リンク要求を許可またはブロックします。

FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファイル リンク操作を追加する必要があります。ファイル リンク操作を監視するには、CLI またはONTAPI を使

用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。

Page 182: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

182 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

次のトピックス

CLI を通してファイルリンク操作を監視するための FPolicy の設定 ONTAPI を通してファイルリンク操作を監視するための FPolicy の設定 ファイルリンク要求を監視するための FPolicy の登録

CLIを通してファイルリンク操作を監視するためのFPolicyの設定

fpolicy monitor CLIコマンドを使用すると、ファイル リンク操作を監視するようにファイル ポリシーを

設定できます。

ステップ

1. ファイルリンク操作を監視するために、次のCLIコマンドを使用します。

fpolicy monitor add PolicyName link

このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象 イベント リストにファイル リンク操作

を追加できます。

ONTAPIを通してファイルリンク操作を監視するためのFPolicyの設定

ファイルリンク操作を監視するには、fpolicy-operations-list-set ONTAPIコールを使用します。

ステップ

1. ファイルリンク操作に関する監視オプションを設定するには、次のON TAPIコールを使用します。

fpolicyoperations-list-set

monitored-operations入力名フィールドのmonitored-operation-info[]は、link操作を指定する必

要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要があります。

ファイルリンク操作の場合は、NFS要求のみ監視できます。

ファイルリンク要求を監視するためのFPolicyの登録

ファイルリンク操作を監視するには、FPolicyサーバを登録するときにファイルリンク操作を登録します。

ステップ

1. ファイル リンク動作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバを

登録する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。

FS_OP_LINK 0x0400

登録が完了したら、FPolicyサーバはすべてのファイル リンク要求を監視します。

symlink要求の監視(NFSのみ)

ファイルsymlink(シンボリック リンク)操作が行われると、FPolicy サーバはストレージ システムから

通知を受信します。

Page 183: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 183

ファイルsymlink 要求がNFS クライアントからストレージ システムに送信されると、ストレージ システ

ムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェッ

ク、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチェッ

クが含まれます。ファイル拡張子がFPolicy のextension include リストに含まれている場合、ファイ

ルがチェックに合格すると、要求がFPolicy サーバに転送されます。FPolicy サーバはこの要求を受

信し、ポリシー設定に基づいてファイルsymlink 要求を許可またはブロックします。

FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファイル

symlink 操作を追加する必要があります。ファイルsymlink 操作を監視するには、CLI または

ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。

NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上でno_i2p オプションをオフに設定します。このようにすると、ボリュームでinode/パス間のファイル名変換が有効

になります。

次のトピックス

CLI を通してファイル symlink 操作を監視するための FPolicy の設定 ONTAPI を通してファイル symlink 操作を監視するための FPolicy の設定 ファイル symlink 要求を監視するためのの FPolicy の登録

CLIを通してファイルsymlink操作を監視するためのFPolicyの設定

CLIコマンドを使用すると、ファイルsymlink操作を監視するようにファイル ポリシーを設定できます。

このCLIコマンドを使用すると、CIFS要求と要求の監視対象 イベント リストにファイル symlink操作を

追加できます。

ステップ

1. ファイルsymlink動作を監視するために、次のCLIコマンドを使用して下さい。

fpolicy mon[itor] add PolicyName symlink

ONTAPIを通してファイルsymlink操作を監視するためのFPolicyの設定

ONTAPIコマンドを使用すると、ファイルsymlink操作を監視するようにファイル ポリシーを設定できま

す。

ステップ

1. ファイルsymlink操作の監視オプションを設定するために、次のON TAPIコールを使用して下さい。

fpolicy-operations-list-set

monitored-operations入力名フィールドのmonitored-operation-info[]には、link操作を指定する

必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要がありま

す。ファイルsymlink操作の場合、CIFS要求とNFS要求の両方を監視できます。

Page 184: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

184 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ファイルsymlink要求を監視するためののFPolicyの登録

ファイルsymlink操作を監視するには、FPolicyサーバを登録するときにファイルsymlink操作を登録し

ます。

ステップ

1. ファイルsymlink操作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバを

登録する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。

FS_OP_SYMLINK 0x0800

登録が完了したら、FPolicyサーバはすべてのファイルsymlink要求を監視します。

ディレクトリ削除要求の監視

ディレクトリ削除操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。

ディレクトリ削除 要求がRMDIR 操作を使用してCIFS クライアントから、またはUNLINK操作を使用し

てNFS クライアントからストレージ システムに送信されると、ストレージ システムはそのディレクトリに

関連するすべてのチェックを実行します。関連するチェック処理には、権限チェック、ディレクトリの可

用性チェック、およびディレクトリに別のクライアントがアクセスしているかどうかのチェックが含まれま

す。ディレクトリがチェックに合格すると、要求はFPolicy サーバに転送されます。ファイル ポリシーで

required オプションがon に設定されている場合に、ディレクトリ削除操作が要求されると、要求は拒

否されます。

FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにディレクトリ

削除操作を追加する必要があります。ディレクトリ削除操作を監視するには、CLI またはONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。

次のトピックス

CLI 通してディレクトリ削除操作を監視するための FPolicy の設定 ONTAPI を通してディレクトリ削除操作を監視するための FPolicy の設定 ディレクトリ削除要求を監視するための FPolicy の登録

CLI通してディレクトリ削除操作を監視するためのFPolicyの設定

CLIコマンドを使用すると、ディレクトリ削除操作を監視するようにファイルポリシーを設定できます。

このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベント リストにディレクトリ削除操

作を追加できます。

ステップ

1. ディレクトリ削除動作を監視するために、次のCLIコマンドを使用します。

fpolicy mon[itor] add PolicyName directory-delete

Page 185: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 185

ONTAPIを通してディレクトリ削除操作を監視するためのFPolicyの設定

ONTAPIコマンドを使用すると、ディレクトリ削除操作を監視するようにファイルポリシーを設定できま

す。

ステップ

1. ディレクトリ削除操作に関する監視オプションを設定するには、次のONTAPIコールを使用します。

fpolicy-operations-list-set

monitored-operations入力名フィールドのmonitored-operation-info[]には、directory-delete操作を指定する必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する

必要があります。ディレクトリ削除の場合は、CIFS要求とNFS要求の両方を監視できます。

ディレクトリ削除要求を監視するためのFPolicyの登録

ディレクトリ削除操作を監視するには、FPolicyサーバを登録するときにディレクトリ削除操作を登録し

ます。

ステップ

1. ディレクトリ削除操作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバを

登録する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。

FS_OP_DELETE_DIR 0x0020

登録が完了したら、FPolicyサーバはすべてのファイルディレクトリ削除要求を監視します。

ディレクトリ名前変更要求の監視

ディレクトリ名前変更操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。

ディレクトリ名前変更 要求がCIFS またはNFS クライアントからストレージ システムに送信されると、

ストレージ システムはそのディレクトリに関連するすべてのチェックを実行します。関連するチェック処

理には、権限チェック、ディレクトリの可用性チェック、およびディレクトリに別のクライアントがアクセス

しているかどうかのチェックが含まれます。ディレクトリがチェックに合格すると、要求はFPolicy サー

バに転送されます。ファイル ポリシーでrequired オプションがon に設定されている場合に、ディレクト

リ名前変更操作が要求されると、要求は拒否されます。

FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにディレクトリ

名前変更操作を追加する必要があります。ディレクトリ名前変更操作を監視するには、CLI または

ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。

次のトピックス

CLI を通してディレクトリ名変更操作を監視するための FPolicy の設定 ONTAPI を通してディレクトリ名変更操作を監視するための FPolicy の設定 ディレクトリ名変更要求を監視するための FPolicy の登録

Page 186: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

186 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

CLIを通してディレクトリ名変更操作を監視するためのFPolicyの設定

CLIコマンドを使用すると、ディレクトリ名変更操作を監視するようにファイルポリシーを設定できます。

このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベントリストにディレクトリ名変更操

作を追加できます。

ステップ

1. ディレクトリ名変更操作を監視するには、次のCLIコマンドを使用します。

fpolicy mon[itor] add PolicyName directory-rename

ONTAPIを通してディレクトリ名変更操作を監視するためのFPolicyの設定

ONTAPIを使用すると、ディレクトリ名変更操作を監視するようにファイル ポリシーを設定できます。

ステップ

1. ディレクトリ名変更操作に関する監視オプションを設定するには、次のON TAPIコールを使用しま

す。

fpolicy-operations-list-set

monitored-operations入力名フィールドのmonitored-operation-info[]には、directory-rename操作を指定する必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する

必要があります。ディレクトリ名変更操作の場合は、CIFS要求とNFS要求の両方が監視できます。

ディレクトリ名変更要求を監視するためのFPolicyの登録

ディレクトリ名変更操作を監視するには、FPolicyサーバを登録するときにディレクトリ名変更操作を登

録します。

ステップ

1. ディレクトリ名変更操作のスクリーニングを有効にするには、ストレージシステムにFPolicyを登録

する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。

FS_OP_RENAME_DIR 0x0040

登録が完了したら、FPolicyサーバはすべてのディレクトリ名変更要求を監視します。

ディレクトリ作成要求の監視

ディレクトリ作成操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。

ディレクトリ作成 要求がCIFS またはNFS クライアントからストレージ システムに送信されると、ストレ

ージ システムはそのディレクトリに関連するすべてのチェックを実行します。関連するチェック処理に

は、権限チェック、ディレクトリの可用性チェック、およびディレクトリに別のクライアントがアクセスして

いるかどうかのチェックが含まれます。ディレクトリがチェックに合格すると、要求がFPolicy サーバに

Page 187: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 187

転送されます。ファイル ポリシーでrequired オプションがon に設定されている場合に、ディレクトリ作

成操作が要求されると、要求は拒否されます。

FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにディレクトリ

作成操作を追加する必要があります。ディレクトリ作成操作を監視するには、CLI またはONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。

次のトピックス

CLI を通してディレクトリ作成操作を監視するための FPolicy の設定 ONTAPI を通じてディレクトリ作成操作を監視するための FPolicy 設定 ディレクトリ作成要求を監視するための FPolicy の登録

CLIを通してディレクトリ作成操作を監視するためのFPolicyの設定

CLIコマンドを使用すると、ディレクトリ作成動作を監視するようにファイル ポリシーを設定できます。

このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベントリストにディレクトリ作成操作

を追加できます。

ステップ

1. ディレクトリ作成操作を監視するには、次のCLIコマンドを使用します。

fpolicy mon[itor] add PolicyName directory-create

ONTAPIを通じてディレクトリ作成操作を監視するためのFPolicy設定

ONTAPIを使用すると、ディレクトリ作成操作を監視するようにファイル ポリシーを設定できます。

ステップ

1. ディレクトリ作成操作に関する監視オプションを設定するには、次のON TAPIコールを使用します。

fpolicy-operations-list-set

monitored-operations入力名フィールドのmonitored-operation-info[]には、directory-create操作を指定する必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する

必要があります。ディレクトリ作成操作の場合は、CIFS要求とNFS要求の両方が監視できます。

ディレクトリ作成要求を監視するためのFPolicyの登録

ディレクトリ作成操作を監視するには、FPolicyサーバを登録するときにディレクトリ作成操作を登録し

ます。

ステップ

1. ディレクトリ作成操作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバを

登録する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。

FS_OP_CREATE_DIR 0x0080

Page 188: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

188 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

登録が完了したら、FPolicyサーバはすべてのディレクトリ作成要求を監視します。

ファイル検索要求の監視 (NFSのみ)

ファイル検索操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。

ファイル検索 要求がNFS クライアントからストレージ システムに送信されると、ストレージ システム

はそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェック、

ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチェックが

含まれます。ファイル拡張子がFPolicy のext[ension] inc[lude]リストに含まれている場合、ファイル

がチェックに合格すると、要求がFPolicy サーバに転送されます。FPolicy サーバはこの要求を受信

し、ポリシー設定に基づいてファイル検索要求を許可またはブロックします。

FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにファイル検

索操作を追加する必要があります。ファイル検索操作を監視するには、CLI またはONTAPI を使用し

ます。ビットマスクを使用して、FPolicy サーバから設定することもできます。

次のトピックス

CLI を通してファイル検索操作を監視するための FPolicy の設定 ONTAPI を通してファイル検索操作を監視するための FPolicy の設定 ファイル検索要求を監視するための FPolicy の登録

CLIを通してファイル検索操作を監視するためのFPolicyの設定

CLIコマンドを使用すると、ファイル検索操作を監視するようにファイル ポリシーを設定できます。

ステップ

1. ファイル検索操作を監視するには、次のCLIコマンドを使用します。

fpolicy mon[itor] add PolicyName lookup

ONTAPIを通してファイル検索操作を監視するためのFPolicyの設定

ONTAPIを使用すると、ファイル検索操作を監視するようにファイルポリシーを設定できます。

ステップ

1. ファイル検索操作に関する監視オプションを設定するには、次のON TAPIコールを使用します。

fpolicy-operations-list-set

monitored-operations入力名フィールドのmonitored-operation-info[]には、lookup操作を指定

する必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要があ

ります。ファイル検索操作の場合は、NFS要求のみが監視できます。

Page 189: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 189

ファイル検索要求を監視するためのFPolicyの登録

ファイル検索操作を監視するには、FPolicyサーバを登録するときにファイル検索操作を登録します。

ステップ

1. ファイル検索操作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバを登

録する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。

FS_OP_LOOKUP 0x1000

登録が完了したら、FPolicyサーバはすべてのファイル検索要求を監視します。

getattr要求の監視 (NFSのみ)

getattr 操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。

属性取得(getattr) 要求がNFS クライアントからストレージ システムに送信されると、ストレージ シス

テムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェ

ック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチェ

ックが含まれます。ファイル拡張子がFPolicy のext[ension] inc[lude]リストに含まれている場合、ファ

イルがチェックに合格すると、要求がFPolicy サーバに転送されます。

FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてgetattr 要求を許可またはブロックしま

す。

FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにgetattr 操作を追加する必要があります。getattr 操作を監視するには、CLI またはONTAPI を使用します。ビッ

トマスクを使用して、FPolicy サーバから設定することもできます。

NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上でno_i2p オプションをオフに設定します。このようにすると、ボリュームでinode/パス間のファイル名変換が有効

になります。

次のトピックス

CLI を通して属性取得操作を監視するための FPolicy の設定 ONTAPI を通して属性取得操作を監視するための FPolicy の設定 属性取得要求を監視するための FPolicy の登録

CLIを通して属性取得操作を監視するためのFPolicyの設定

CLIコマンドを使用すると、getattr操作を監視するようにファイルポリシーを設定できます。

このCLIコマンドを使用すると、NFS要求の監視対象イベント リストに属性取得操作を追加できます。

ステップ

1. 属性取得操作を監視するには、次のCLIコマンドを使用します。

fpolicy mon[itor] add PolicyName getattr

Page 190: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

190 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ONTAPIを通して属性取得操作を監視するためのFPolicyの設定

ONTAPIを使用すると、getattr操作を監視するようにファイル ポリシーを設定できます。

ステップ

1. getattr操作に関する監視オプションを設定するには、次のON TAPIコールを使用します。

fpolicyoperations-list-set

monitored-operations入力名フィールドのmonitored-operation-info[]には、getattr操作を指定す

る必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要があり

ます。getattr操作の場合は、NFSの要求のみを監視できます。

属性取得要求を監視するためのFPolicyの登録

getattr操作を監視するには、FPolicyサーバを登録するときにgetattr操作を登録します。

ステップ

1. getattr操作のスクリーニングを有効にするには、ストレージ システムにFPolicyサーバを登録す

る場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。

FS_OP_GETATTR 0x0100

登録が完了したら、FPolicyサーバはすべての属性取得要求を監視します。

setattr要求の監視

setattr 操作が行われると、FPolicy サーバはストレージ システムから通知を受信します。

属性設定(setattr) 要求がNFS クライアントからストレージ システムに送信されると、ストレージ シス

テムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェ

ック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチェ

ックが含まれます。ファイル拡張子がFPolicy のext[ension] inc[lude]リストに含まれている場合、ファ

イルがチェックに合格すると、要求がFPolicy サーバに転送されます。FPolicy サーバはこの要求を

受信し、ポリシー設定に基づいてsetattr 要求を許可またはブロックします。

属性設定(setattr)要求がNT_TRANSACT_SET_SECURITY_DESC 操作を使用してCIFS クライ

アントからストレージ システムに送信された場合、CIFS クライアントによってセキュリティ記述子が変

更されていれば、ストレージ システムはsetattr 通知を送信します。セキュリティ記述子情報には所有

者、グループ、Discretionary Access Control List(DACL)、およびSystem Access Control List(SACL)情報などが含まれています。Windows ベースのCIFS クライアントが

NT_TRANSACT_SET_SECURITY_DESC 操作をストレージ システムに送信した場合、セキュリテ

ィ記述子情報が変更されていなければ、要求はFPolicy サーバに転送されません。

FPolicy サーバがストレージ システムから通知を受信するには、監視対象の操作リストにsetattr 操作を追加する必要があります。setattr 操作を監視するには、CLI またはONTAPI を使用します。ビッ

トマスクを使用して、FPolicy サーバから設定することもできます。

Page 191: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 191

NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上でno_i2p オプションをoff に設定します。このようにすると、ボリュームでinode/パス間のファイル名変換が有効

になります。

次のトピックス

CLI を通して属性設定操作を監視するための FPolicy の設定 ONTAPI を通して属性設定操作を監視するための FPolicy の設定 属性設定要求を監視するための FPolicy の登録

CLIを通して属性設定操作を監視するためのFPolicyの設定

CLIコマンドを使用すると、setattr操作を監視するようにファイルポリシーを設定できます。

このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベントリストに属性設定操作を追

加できます。

ステップ

1. 属性設定操作を監視するには、次のCLIコマンドを使用します。

fpolicy mon[itor] add PolicyName setattr

ONTAPIを通して属性設定操作を監視するためのFPolicyの設定

ONTAPIを使用すると、setattr操作を監視するようにファイル ポリシーを設定できます。

ステップ

1. setattr操作に関する監視オプションを設定するには、次のON TAPIコールを使用します。

fpolicyoperations-list-set

monitored-operations入力名フィールドのmonitored-operation-info[]には、setattr操作を指定す

る必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要があり

ます。setattr操作の場合は、NFS要求のみを監視できます。

属性設定要求を監視するためのFPolicyの登録

setattr操作を監視するには、FPolicyサーバを登録したときに、ビットマスクを使用します。

ステップ

1. setattr操作のスクリーニングを有効にするには、ストレージ システムにFPolicyサーバを登録する場合

に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。

FS_OP_SETATTR 0x0200

登録が完了したら、FPolicyサーバはすべての属性設定要求を監視します。

Page 192: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

192 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ボリュームによるスクリーニング

FPolicy を使用すると、スクリーニングが必要なボリュームを含めるか、または除外することにより、ポ

リシーを特定のボリューム リストに制限することができます。

対象リストを使用すると、指定されたボリューム リストに対応する通知を要求できます。除外リストを

使用すると、指定されたボリューム リストを除くすべてのボリュームに対応する通知を要求できます。

メモ: 対象リストと除外リストが両方とも設定されている場合は、対照リストは無視されます。

ポリシーごとに異なる対象ボリュームや除外ボリュームを設定できます。ファイル ポリシー

のデフォルトのボリューム リストは、次のとおりです。

• すべてのボリュームは対象リスト表示されます。

• 除外リストに表示されるボリュームはありません。

除外リストと対象リストには、次の操作を実行できます。

• ボリューム リストをデフォルト リストにリセットまたはリストアする

• 対象リストまたは除外リストに含まれるボリュームを表示する

• 対象リストまたは除外リストにボリュームを追加する

• 対象リストまたは除外リストにボリュームを追加する

• 新しいボリューム リストを使用して既存リストを設定したり、置き換えたりする

• ワイルドカード文字を使用して、ファイル ポリシーのボリューム リストを表示する

コマンド ラインから、対象ボリュームまたは除外ボリュームのリストを表示したり、変更したりすること

ができます。

ファイル ボリューム リストをリセットまたは表示するコマンドの構文は、次のとおりです。

fpolicy vol[ume] {inc[lude]|exc[lude]} {reset|show} PolicyName

ファイル ボリュームリストを処理するコマンドの構文は、次のとおりです。

fpolicy vol[ume] {inc[lude]|exc[lude]} {add| remove|set|eval} PolicyNamevol-spec

includeは、対象リストを変更する場合に使用します。

excludeは、除外リストを変更する場合に使用します。

resetは、ファイル ボリュームリストをデフォルトリストにリストアする場合に使用します。

showは、入力された除外または対象リストを表示する場合に使用します。

addは、除外または対象リストにボリュームを追加する場合に使用します。

removeは、除外または対象リストからボリュームを削除する場合に使用します。

setは、既存リストを新しいボリュームリストで置き換える場合に使用します。

evaは、ワイルドカード文字を使用して、ファイル ポリシーのボリュームリストを表示する場合に使用し

ます。

Page 193: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 193

PolicyNameは、ファイル ポリシーの名前です。

vol-specは、変更するボリュームリストの名前です。

次のトピックス

ボリュームによるスクリーニングに使用するワイルドカードの情報 ボリュームリストの表示方法 リストへのボリューム追加方法 リストからボリュームの削除方法 ボリュームリストの指定または置き換え方法 対象ボリュームリストのリセット

ボリュームによるスクリーニングに使用するワイルドカードの情報

疑問符(?)またはアスタリスク(*)ワイルドカード文字を使用して、ボリュームを指定できます。

疑問符(?)ワイルドカード文字は、単一文字を表します。たとえば、vol1、vol2、vol23、voll4 が含まれ

ているボリューム リストでvol?を入力すると、vol1 とvol2 が一致します。

アスタリスク(*)ワイルドカード文字は、指定された文字列を含む任意の個数の文字列を表します。フ

ァイル スクリーニングから除外するボリュームのリストに*test*を入力すると、test_vol やvol_test など、この文字列を含むすべてのボリュームが除外されます。

ボリュームリストの表示方法

ファイル ポリシーに関する指定の対象ボリューム リストまたは除外ボリューム リストを表示するには、

show またはeval コマンドを使用します。

次のトピックス

show コマンドを使用したボリュームの表示 eval コマンドを使用したボリュームの表示

showコマンドを使用したボリュームの表示

指定されたボリュームのリストを表示するには、showコマンドを使用します。

show コマンドを fpolicy volume コマンドに対して実行すると、コマンド ラインに入力された指定ボリュ

ームのリストが表示されます。ワイルドカード文字を使用して一連のボリュームを指定して、 show コマンドを実行すると、入力したワイルドカード文字が表示されます。たとえば、vol*が表示されます。

ステップ

1. ファイル ポリシーに指定された除外ボリュームのリストを表示するには、次のコマンドを入力しま

す。

fpolicy vol[ume] exc[lude] show PolicyName

Page 194: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

194 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

このコマンドを入力すると、Data ONTAP は、指定したファイルの除外リストのエントリのリストを表示

します。この表示には、ボリューム名と一連のボリュームを記述したワイルドカード文字(vol*など)が

含まれることがあります。

メモ:ファイル スクリーニングの対象となるファイル リスト内のボリュームを表示するには、

include (inc)オプションをexclude(exe)オプションの代わり使用します。

evalコマンドを使用したボリュームの表示

指定されたボリュームのリストを表示するには、eval コマンドを使用します。

eval コマンドを fpolicy volume コマンドに対して実行すると、入力したリストに含まれるワイルドカード

文字が評価されたあとで、指定されたボリュームが表示されます。たとえば、リストにvol*が含まれて

いる場合に eval コマンドを実行すると、文字列vol を含むすべてのボリューム(vol1、vol22、vol_sales など)が表示されます。

ステップ

1. ワイルドカードを評価して、ファイル ポリシーの除外ボリュームのリストを表示するためには、次

のコマンドを入力します。

fpolicy vol[ume] exc[lude] eval PolicyName

このコマンドを入力すると、Data ONTAP はワイルドカード文字を評価して、指定されたファイルの除

外リストのボリュームのリストを表示します。たとえば、vol*を入力した場合は、文字列vol を含むすべ

てのボリューム(vol1、vol22、vol_sales など)が表示されます。

メモ:evalコマンドを使用して、ファイルスクリーニングの対象となるファイルのリストを表

示するには、exclude (exc)オプションではなくinclude (inc)オプションを使用します。

リストへのボリューム追加方法

対象ボリュームリストまたは除外ボリュームリストにボリュームを追加することができます。

次のトピックス

対象リストへのボリュームの追加 除外リストへのボリュームの追加

対象リストへのボリュームの追加

対象ボリューム リストにボリュームを追加するには、fpolicy volume include add CLIコマンドを使用

します。

ステップ

1. ファイル ポリシーでスクリーニングされるボリュームの対象リストにボリュームを追加するには、

次のコマンドを入力します。

fpolicy volume include add PolicyName vol-spec

Page 195: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 195

そのポリシーが有効になったときに、対象リストに追加されたボリュームのファイルはファイル スクリ

ーニング サーバによってスクリーニングされます。

例 スクリーニングされるボリューム リストにvol1、vol2、vol3 を含めるには、次のコマンドを入力しま

す。 fpolicy vol inc add imagescreen vol1,vol2,vol3 ボリュームを追加すると、ポリシーimagescreen は、ボリューム vol1、vol2、およびvol3 にスクリー

ニングを実行します。

除外リストへのボリュームの追加

除外ボリューム リストにボリュームを追加するには、fpolicy volume exclude add CLIコマンドを使用

します。

ステップ

1. ファイル ポリシーでスクリーニングされるボリュームの除外リストにボリュームを追加するには、

次のコマンドを入力します。

fpolicy volume exclude add PolicyName vol-spec

そのポリシーが有効になると(別の有効なファイル スクリーニング ポリシーによって否定されないか

ぎり)除外リストに追加したボリュームのファイルは、ファイル スクリーニング サーバによってスクリー

ニングされません。

スクリーニングされるボリューム リストからvol4、vol5、vol6 を除外するには、次のコマンドを入力しま

す。

fpolicy vol exc add default vol4,vol5,vol6

これらのボリュームを除外リストに追加すると、変更されたデフォルト ポリシーはボリュームvol4、 vol5、および vol6 にスクリーニングを実行しなくなります。

リストからボリュームの削除方法

対象ボリューム リストまたは除外ボリューム リストからボリュームを削除することができます。

次のトピックス

対象リストからボリュームの削除 除外リストからのボリュームの削除

対象リストからボリュームの削除

対象ボリューム リストからボリュームを削除するには、fpolicy volume include remove CLI コマンド

を使用します。

Page 196: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

196 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ステップ

1. ファイルスクリーニング ポリシーの対象ボリュームリストからボリュームを削除するには、次のコ

マンドを入力します。

fpolicy volume include remove PolicyName vol-spec

fpolicy volume include remove default vol4

ボリューム vol4内のファイルは、スクリーニングされません。

除外リストからのボリュームの削除

除外ボリューム リストからボリュームを削除するには、fpolicy volume exclude remove CLI コマンド

を使用します。

ステップ

1. ファイル スクリーニング ポリシーの除外ボリュームリストからボリュームを削除するには、次のコ

マンドを入力します。

fpolicy vol[ume] exc[lude] remove PolicyName vol-spec

fpolicy volume exclude remove default vol4

対象リストで指定されたボリュームがない場合、ボリュームvol4 内のファイルはスクリーニングされま

せん(たとえば、対象リストでボリュームvol1 が指定されている場合は、リストからvol4 を削除したあ

とも、ボリュームvor4 はスクリーニングされません)。

メモ:ファイル スクリーニングの対象となるファイル リストから特定のボリュームを削除す

るには、exclude(exc)オプションでなく、include(inc)オプションを使用します。

ボリュームリストの指定または置き換え方法

対象リストと除外リストを指定したり、置き換えたりします。

次のトピックス

対象ボリュームリストの設定 除外ボリュームリストの設定

対象ボリュームリストの設定

対象ボリューム リストを設定するには、fpolicy volume include set CLI コマンドを使用します。

ステップ

1. ファイル ポリシーの対象ボリュームリスト全体を設定したり、置き換えたりするには、次のコマンド

を入力します。

Page 197: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 197

fpolicy volume include set PolicyName vol-spec

このコマンドを使用して入力した新しいボリューム リストが、対象ボリュームの既存のリストに置き

換わります。その結果、新しいボリュームだけがスクリーニングの対象となります。

メモ:対象リスト内にボリュームが含まれないようにするには、次のように、set オプショ

ンを使用します。

fpolicy vol inc set PolicyName ""

ただし、このコマンドでは、ポリシーを無効にする場合と同じ効果が得られます。

除外ボリュームリストの設定

除外ボリューム リストを設定するには、fpolicy volume exclude set CLI コマンドを使用します。

ステップ

1. ファイル ポリシーの除外ボリュームリスト全体を設定したり、置き換えたりするには、次のコマンド

を入力します

fpolicy volume exclude set PolicyName vol-spec

このコマンドを使用して入力した新しいボリューム リストが、除外するボリュームの既存のリストに

置き換わります。その結果、新しいボリュームだけがスクリーニングから除外されます。

リスト内のボリュームのリセット方法

対象または除外ボリューム リスト内のボリュームを指定したり、置き換えたりすることができます。

次のトピックス

対象ボリュームリストのリセット 除外ボリュームリストのリセット

対象ボリュームリストのリセット

対象ボリューム リストをリセットするには、fpolicy volume include reset CLI コマンドを使用します。

ステップ

1. ファイル ポリシー用の除外リストまたは対象リスト内のすべてのエントリをデフォルト値にリセット

するには、次のコマンドを入力します。

fpolicy volume include reset PolicyName

対象リスト内のすべてのエントリがリセットされます。つまり、対象リスト内のすべてのボリューム

が削除されることになります。

除外ボリュームリストのリセット

除外ボリュームリストをリセットするには、CLIコマンドを使用します。

Page 198: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

198 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ステップ

1. ファイル ポリシーの除外リスト内のすべてのエントリをデフォルト値にリセットするには、次のコマ

ンドを入力します。

fpolicy vol[ume] exc[lude] reset PolicyName

除外リスト内のすべてのボリュームが削除されます。

拡張子によるスクリーニング

FPolicy を使用すると、スクリーニングする必要がある拡張子を含めるか、または除外することにより、

ポリシーを特定のファイル拡張子リストに制限することができます。

対象リストを使用すると、指定されたファイル拡張子に対応する通知を要求できます。対象リストと除

外リストを両方指定できます。除外リスト内の拡張子が最初にチェックされます。要求されたファイル

の拡張子が除外リストに含まれていない場合は、対象リストがチェックされます。ファイル拡張子が対

象リストに記述されている場合は、ファイルがスクリーニングされます。ファイル拡張子が対象リストに

記述されていない場合は、スクリーニン

グは行われないで、要求が許可されます。

メモ:スクリーニングに使用できるファイル名拡張子の最大長は、260 文字です。拡張子によ

るスクリーニングの基準となるのは、ファイル名の最後のピリオド(.)のあとの文字列のみで

す。たとえば、ファイルfile1.txt.name.jpg のファイル アクセス通知が有効になるのは、ファ

イル ポリシーに.jpg 拡張子が設定されている場合のみです。

拡張子によるスクリーニング機能は、ポリシーベースとなります。したがって、ポリシーごとに異なる

拡張子を指定できます。

次に、ファイル ポリシーのデフォルトの拡張子リストを示します。

• すべてのファイル拡張子は対象リストにリスト表示されます

• 除外リストに表示されるファイル拡張子はありません。

除外リストおよび対象リストには、次の操作を実行できます。

• 拡張子リストをデフォルト リストにリセットまたはリストアする。

• 新しい拡張子リストを使用して既存リストを設定したり、置き換えたりする。

• 対象リストまたは除外リストに拡張子を追加する。

• 対象リストまたは除外リストから拡張子を削除する。

• 対象リストまたは除外リストに含まれる拡張子を表示する。

• ワイルドカード文字を使用して、ファイル ポリシーの拡張子リストを表示する。

コマンド ラインから、対象または除外拡張子リストを表示したり、変更したりすることができます。

ファイル拡張子リストをリセットまたは表示するコマンドの構文は、次のとおりです。

Page 199: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 199

fpolicy extensions { include | exclude } { reset | show } PolicyName

ファイル拡張子リストを処理するコマンド構文は、次の通りです。

fpolicy extensions { include | exclude } { set | add | remove } PolicyName

ext-list

include は、対象リストを変更する場合に使用します。

exclude は、除外リストを変更する場合に使用します。

reset は、ファイル拡張子リストをデフォルト リストにリストアする場合に使用します。

show は、入力された除外または対象リストを表示する場合に使用します。

set は、既存リストを新しい拡張子リストで置き換える場合に使用します。

add は、除外または対象リストに拡張子を追加する場合に使用します。

remove は、除外または対象リストから拡張子を削除する場合に使用します。

PolicyName は、ファイル ポリシーの名前です。

ext-listは、変更する拡張子のリストです。

メモ:拡張子を単位としたスクリーニングは、directory create、directory delete、directory renameなどのディレクトリ動作には実行されません。

次のトピックス

拡張子によるスクリーニングに使用するワイルドカードの情報 拡張子リストの表示方法 リストへの拡張子の追加方法 リストから拡張子の削除方法 拡張子のリストの設定方法または置き換え方法 リスト内の拡張子のリセット方法

拡張子によるスクリーニングに使用するワイルドカードの情報

ファイル拡張子を指定する場合は、疑問符(?)ワイルドカードを使用します。疑問符(?)ワイルドカード

文字が文字列の先頭に使用されている場合は、単一の文字を表します。文字列の末尾に使用されて

いる場合は、任意の個数の文字列を表します。

たとえば、次のようになります。

• ファイル スクリーニングの対象となるファイル拡張子リストに「?s」を入力すると、末尾がs で、文

字数が 2 のファイル拡張子がすべて対象となります(as やjs 拡張子など)。

• ファイル スクリーニングの対象となるファイル拡張子リストに「??m」を入力すると、末尾がm で、

文字数が 3 のファイル拡張子がすべて対象となります(htm やvtm 拡張子など)。

• ファイル スクリーニングの対象となるファイル拡張子リストに「j?」と入力すると、先頭がj のファイ

ル拡張子がすべて対象となります(js、jpg、jpe 拡張子など)。

Page 200: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

200 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

拡張子リストの表示方法

対象および除外拡張子リストを表示するには、fpolicy extensions CLI コマンドを使用します。

次のトピックス

対象リスト内の拡張子リストの表示 除外リスト内の拡張子リストの表示

対象リスト内の拡張子リストの表示

対象拡張子リストに含まれる拡張子リストを表示するには、fpolicy extensions include show CLI コマンドを使用します。

ステップ

1. ファイル ポリシーの対象となるファイル拡張子のリストを表示するには、次のコマンドを入力しま

す。

fpolicy extensions include show PolicyName

このコマンドを入力すると、Data ONTAP は指定したファイルの対象リストに含まれる拡張子リストを

表示します。

除外リスト内の拡張子リストの表示

除外拡張子リストに含まれる拡張子リストを表示するには、fpolicy extensions exclude show CLI コマンドを使用します。

ステップ

1. ファイルポリシーで除外されるファイル拡張子のリストを表示するには、次のコマンドを入力しま

す。

fpolicy extensions exclude show PolicyName

このコマンドを入力すると、Data ONTAP は指定したファイルの除外リストに含まれる拡張子リストを

表示します。

リストへの拡張子の追加方法

対象および除外拡張子リストに拡張子を追加するには、fpolicy extensions CLI コマンドを使用しま

す。

次のトピック

対象リストへの拡張子の追加 除外リストへの拡張子の追加

対象リストへの拡張子の追加

対象拡張子リストに拡張子を追加するには、fpolicy extensions include CLI コマンドを使用します。

Page 201: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 201

ステップ

1. ファイルポリシーでスクリーニングされるファイル拡張子のリストにファイル拡張子を追加するに

は、次のコマンドを入力します。

fpolicy extensions include add PolicyName ext-list

fpolicy ext inc add imagescreen jpg,gif,bmp

リストに拡張子が追加されたあとに、ポリシーimagescreen が有効になると、ファイル拡張子

が.jpg、.gif、または.bmp のすべてのファイルがスクリーニングされます。

そのポリシーが有効になるといつでも、対象リストに追加されたファイル拡張子はファイル スクリ

ーニング サーバによってスクリーニングされます。

除外リストへの拡張子の追加

除外拡張子リストに拡張子を追加するには、fpolicy extensions exclude CLI コマンドを使用します。

ステップ

1. ファイルポリシーで、ファイルスクリーニングから除外するファイル拡張子のリストにファイル拡張

子を追加するには、次のコマンドを入力します。

fpolicy extensions exclude add PolicyName ext-list

fpolicy ext exc add default txt,log,hlp

リストに拡張子が追加されて、変更されたポリシーが有効になると、.txt、.log、および.hlp ファイルは

ファイル スクリーニング サーバによるスクリーニングの対象ではなくなります。

そのポリシーが有効になると(別の有効なファイル スクリーニング ポリシーによって否定されないか

ぎり)除外リストに追加したファイル拡張子は、ファイル スクリーニング サーバによってスクリーニング

されません。

リストから拡張子の削除方法

対象および除外拡張子リストから拡張子を削除するには、fpolicy extensions CLI コマンドを使用しま

す。

次のトピック

対象リストから拡張子の削除 除外リストから拡張子の削除

対象リストから拡張子の削除

対象拡張子リストから拡張子を削除するには、fpolicy extensions include remove CLIコマンドを使

用します。

Page 202: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

202 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ステップ

1. ファイルポリシーの対象拡張子リストからファイル拡張子を削除するには、次のコマンドを入力し

ます。

fpolicy extensions include remove PolicyName ext-list

fpolicy ext inc remove default wav

.wav 拡張子のついたファイルはスクリーニングされません。

このコマンドを実行すると、現在のファイル拡張子リスト内のエントリが削除されます。

除外リストから拡張子の削除

除外拡張子リストから拡張子を削除するには、fpolicy extensions exclude remove CLI コマンドを使

用します。

ステップ

1. ファイルスクリーニングポリシーの除外拡張子リストからファイル拡張子を削除するには、次のコ

マンドを入力します。

fpolicy extensions exclude remove PolicyName ext-list

fpolicy ext exc remove default wav

.wav 拡張子の付いたファイルがスクリーニングされます。

このコマンドを実行すると、現在のファイル拡張子リスト内のエントリが削除されます。

拡張子のリストの設定方法または置き換え方法

対象および除外拡張子リストを設定したり、置き換えたりするには、fpolicy extensions CLI コマンドを

使用します。

次のトピック

対象拡張子リストの設定 除外拡張子リストの設定

対象拡張子リストの設定

対象拡張子リストを設定するには、fpolicy extensions include set CLI コマンドを使用します。

ステップ

1. Fpolicy の対象リスト全体を置き換えるには、次のコマンドを入力します。

fpolicy extensions include set PolicyName ext-list

このコマンドを入力すると、このコマンドで指定された新しい拡張子リストによって既存の除外拡張子

リストが置き換えられて、新しい拡張子だけがスクリーニングの対象となります。

Page 203: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 203

メモ: set オプションを使用すると、ファイル拡張子をスクリーニングしないように対象リス

トを設定することもできます。たとえば、次のように入力します。

fpolicy ext inc set PolicyName ""

このコマンドを使用すると、ファイルはスクリーニングされなくなります。

除外拡張子リストの設定

除外拡張子リストを設定するには、fpolicy extensions exclude set CLI コマンドを使用します。

ステップ

1. Fpolicy の除外リスト全体を置き換えるには、次のコマンドを入力してください。

fpolicy extensions exclude set PolicyName ext-list

このコマンドを入力すると、このコマンドで指定された新しい拡張子リストによって既存の除外拡張子

リストが置き換えられて、新しい拡張子だけがスクリーニングから除外されます。

リスト内の拡張子のリセット方法

対象および除外拡張子リストをリセットするには、fpolicy extensions CLI コマンドを使用します。

次のトピック

対象拡張子リストのリセット 除外拡張子リストのリセット

対象拡張子リストのリセット

対象拡張子リストをリセットするには、fpolicy extensions include reset CLI コマンドを使用します。

ステップ

1. FPolicy の対象リスト内のすべてのエントリをデフォルト値のリセットするには、次のコマンドを入

力します。

fpolicy extensions include reset PolicyName

このコマンドを使用すると、対象拡張子リスト内のファイル拡張子がデフォルト値にリストアされます。

除外拡張子リストのリセット

除外拡張子リストをリセットするには、fpolicy extensions exclude reset CLI コマンドを使用します。

ステップ

1. Fpolicy の除外リスト内のすべてのエントリをデフォルト値にリセットするには、次のコマンドを入

力します。

fpolicy extensions exclude reset PolicyName

このコマンドを使用すると、除外拡張子リスト内のファイル拡張子がデフォルト値にリストアされます。

Page 204: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

204 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ファイルスクリーニングサーバの管理方法

ファイル スクリーニング サーバに関する重要な情報を表示するには、CLI コマンドを使用します。ま

た、セカンダリ サーバ リストにサーバを割り当てたり、セカンダリ サーバ リストからサーバを削除した

りすることができます。

次のトピック

ファイルスクリーニングサーバの情報の表示 接続の無効化 セカンダリサーバとは

ファイルスクリーニングサーバの情報の表示

ファイル スクリーニング サーバに関する重要な情報を表示するには、fpolicyservers show CLI コマ

ンドを使用します。表示される情報は、登録されたサーバのリスト、接続されたサーバのリスト、有効

な機能などです。

コマンドを実行すると、特定のFPolicy に関する次の情報が表示されます。

• 登録された Fpolicy サーバのリスト

• 接続された Fpolicy サーバのリスト

• サーバが接続された合計時間

• Data ONTAP 7.3 でサポートされるサーバで有効化な機能のリスト

• プライマリサーバのステータス

• セカンダリサーバのステータス

ステップ

1. スクリーニングサーバのステータスを表示するには、次のコマンドを入力します。

fpolicy servers show PolicyName

このコマンドを入力すると、Data ONTAP は指定したポリシーのファイル スクリーニング サーバのス

テータスを戻します。

接続の無効化

サーバの接続が無効な場合、FPolicy サーバとストレージ システム間の接続は終了します。

ステップ

1. ファイルスクリーンサーバとの接続を無効にするには、次のコマンドを入力します。

fpolicy servers stop PolicyName server-IP-address

PolicyName には、接続を無効にするポリシーの名前です。

server-IP-address は、ストレージシステムに対して無効にするFPolicy サーバ のIPアドレスのリ

ストです。

Page 205: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 205

サーバの接続が無効になります。

セカンダリサーバとは

FPolicy サーバはプライマリ サーバまたはセカンダリ サーバとして使用できます。セカンダリ サーバ

として特定のFPolicy サーバまたはFPolicy サーバのリストを指定するには、fpolicy options コマンド

を使用します。

使用可能なプライマリ サーバがない場合にかぎり、ストレージ システムはセカンダリ サーバを使用し

てファイル ポリシーを適用します。つまり、FPolicy サーバがセカンダリ サーバとして指定されていて

も、プライマリ サーバが使用可能である場合は、使用されません。すべてのプライマリ サーバが使用

できない場合、ストレージ システムはプライマリ サーバが再び使用できるようになるまで、接続されて

いるセカンダリ サーバを使用します。

セカンダリとして分類されないFPolicy サーバはプライマリ サーバとみなされます。

次のトピック

セカンダリサーバリストの割り当て すべてのセカンダリサーバの削除

セカンダリサーバリストの割り当て

セカンダリ サーバとして特定のFPolicy サーバを割り当てたり、指定したりするには、fpolicy options secondary_servers CLI コマンドを使用します。

ステップ

1. プライマリ ファイル スクリーニング サーバが使用できないときに使用するセカンダリサーバのリ

ストを指定するには、次のコマンドを入力します。

fpolicy options PolicyName secondary_servers [server_list]

PolicyName は、セカンダリサーバで使用するポリシーの名前です。

server_list は、セカンダリ サーバとして指定するFPolicy サーバのIP アドレスのリストです。複数

のIP アドレスを区切る場合は、カンマ(,)を使用します。このフィールドで指定されたIP アドレスに

接続されているサーバは、ストレージ システムによってセカンダリ サーバとして分類されます。

このコマンドを入力すると、指定されたサーバが指定されたFPolicy のセカンダリ サーバとして指定

されます。

メモ: IP アドレスのカンマ区切りリストを指定すると、すべての既存リストが新しいリスト

で置き換えられます。したがって、既存のセカンダリ サーバを保持するには、新しいリス

トに目的のIP アドレスを追加する必要があります。

すべてのセカンダリサーバの削除

すべてのセカンダリ サーバをプライマリ サーバに変換するには、fpolicy optionsCLI コマンドを使用

します。

Page 206: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

206 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ステップ

1. 全てのセカンダリサーバをプライマリサーバに変換するには、次のコマンドを入力してください。

fpolicy options PolicyName secondary_servers ""

PolicyName は、セカンダリサーバで使用するポリシー名です。

このコマンドを実行すると、セカンダリ FPolicy サーバとして割り当てられたい全ての FPolicy サーバ

がプライマリ FPolicy サーバになります。

FPolicyを使用して操作を監視する方法

FPolicy を使ってファイル操作を監視することができます。ファイル操作監視を管理するタスクには、

監視される操作リストの追加、削除、または設定があります。

次のトピック

監視リストへの操作の追加 監視リストからの操作の削除 監視対象リスト設定または置き換え

監視リストへの操作の追加

FPolicy でネイティブ ファイル ブロッキングを実行するには、最初に、ネイティブ ブロッキングが必要

な操作を監視する必要があります。そのためには、監視対象リストに目的の操作を追加します。

ステップ

1. FPolicy でスクリーニングする監視対象操作 リストに操作を追加するには、次のコマンドを入力し

ます。

fpolicy mon[itor] add PolicyName [-p {cifs|nfs|cifs,nfs} ] [-f] op-spec

PolicyName は、変更を実施するポリシーの名前です。

-p {cifs|nfs|cifs,nfs} オプションには、FPolicy で監視するプロトコルを指定します。

CIFS 操作を監視するにはcifs を使用し、NFS 操作を監視するにはnfs を使用します。また、

CIFS とNFS の両方の操作を監視するにはcifs,nfs を使用します。monitor コマンドでプロトコル

情報が指定されなかった場合は、CIFS とNFS の両方のプロトコルに関する通知が送信されま

す。

-f オプションを指定すると、ポリシーを適用できるサーバがない場合も、ポリシーが強制的に有効

になります。

op-spec は、監視する操作のリストです。すべての操作にまとめて監視オプションを設定すること

もできます。その場合は、操作リストの代わりにall オプションを使用します。

CIFS 操作に対して特定の操作が設定されている場合に、あとでNFS 操作に対してこの操作を

設定すると、両方のプロトコルからの要求についてこの操作が監視されます。ただし、一方のプロ

トコルからこの操作を削除すると、操作に関する監視は両方のプロトコルで停止します。

Page 207: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 207

特定の操作がCIFS にのみ設定されていて、NFS に設定されていない場合、この操作は両方の

プロトコルで監視されます。この操作をNFS の監視対象操作リストから削除すると、CIFSでもこ

の操作の監視は停止します。

監視対象操作リストに、指定された操作が追加されます。

例 監視対象操作リストに読み取り、書き込み、および検索操作を追加するには、次のコマンドを入

力します。 fpolicy mon add p1 read,write,lookup ポリシーp1 が有効になると、読み取り、書き込み、検索操作に加えて、すでに設定されているそ

の他のすべての操作が監視されます。

監視リストからの操作の削除

リストから操作を削除するには、fpolicy monitor remove CLI コマンドを使用します。監視対象操作リ

ストから操作を削除すると、その操作はFPolicy で監視されなくなります。

ステップ

1. FPolicyでスクリーニングされる監視対象のリストから操作を削除するには、次のコマンドを入力し

ます。

fpolicy mon[itor] remove PolicyName [-p {cifs|nfs|cifs,nfs} ] [-f] opspec

監視対象操作リストから、指定された操作が削除されます。

例 読み取りおよびsetattr 操作の監視を停止して、監視対象操作リストからこれらの操作を削除

するには、次のコマンドを入力します。 fpolicy mon remove p1 read,setattr ポリシーp1 が有効になると、読み取りおよびsetattr 操作の監視が停止し、監視対象操作リス

トからこれらの 2 つの操作が削除されます。

監視対象リスト設定または置き換え

監視対象操作リストを置き換えるには、fpolicy monitor set CLI コマンドを使用します。

ステップ

1. 監視対象操作のリストを置き換えるには、次のコマンドを入力します。

fpolicy mon[itor] set PolicyName [-p {cifs|nfs|cifs,nfs } ] [-f] op-spec

監視対象操作のリストは、新しい一連の操作で置き換えられます。

Page 208: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

208 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

監視対象操作リストを設定したり、置き換えたりするには、次のコマンドを入力します。 fpolicy mon set p1 read,setattr ポリシーp1 が有効になると、読み取りおよびsetattr 操作のみが監視されます。既存の監視対

象リストはすべて、このリストで置き換えられます。

さまざまなCLI コマンド

次の表に、FPolicy CLI コマンド表示します。

入力名 説明

fpolicy help [cmd] CLI ヘルプの表示します。

fpolicy create PolicyName PolicyType ファイルポリシーを作成します。

fpolicy destroy PolicyName ファイルポリシーを削除します。

fpolicy enable PolicyName [-f] ファイルポリシーを有効にします。

fpolicy disable PolicyName ファイルポリシーを無効にします。

fpolicy show PolicyName ファイルポリシーを表示します。

fpolicy servers show PolicyName Fpolicyサーバのステータス情報を表示します。

fpolicy servers stop PolicyName IPaddress FPolicyサーバの接続を無効にします。

fpolicy options PolicyName required {on|off}

ファイルポリシーのrequiredオプションをオンまたはオフ

にします。

fpolicy options PolicyName secondary_servers [ IP-address [,IP-address ]*]

FPolicyサーバのオプションを設定します。

fpolicy extension {exclude|include} show PolicyName

対象または除外リストに含まれる拡張子を表示します。

fpolicy extension {exclude|include} reset PolicyName

対象または削除リスト含まれる拡張子をリセットします。

fpolicy extension {exclude|include} add PolicyName ext-list

対象または削除リストに拡張子を追加します。

fpolicy extension {exclude|include} remove PolicyName ext-list

対象または削除リストから拡張子を削除します。

fpolicy extension {exclude|include} set PolicyName ext-list

対象または除外リストに含まれる全ての拡張子を置き換

えたりします。

fpolicy volume {include|exclude} show PolicyName

対象または除外リストに含まれるボリュームを表示しま

す。

fpolicy volume {include|exclude} reset PolicyName

対象または除外リストのボリュームをリセットします。

fpolicy volume {include|exclude} add PolicyName vol_spec

対象または除外リストにボリュームを追加します。

Page 209: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 209

入力名 説明

fpolicy volume {include|exclude} remove PolicyName vol_spec

対象または除外リストからボリュームを削除します。

fpolicy volume {include|exclude} set PolicyName vol_spec

対象または除外リストにボリュームを設定したり、リストに

含まれるすべてのボリュームを置き換えたりします。

fpolicy volume {include|exclude} eval PolicyName vol_spec

ワイルドカード文字で指定されたボリュームを評価して、

対象または除外リストに含まれるボリュームを表示しま

す。

fpolicy monitor add PolicyName [-p {nfs|cifs|cifs,nfs}] [-f] op_spec [,op_spec]

監視対象操作リストに操作を追加します。

fpolicy monitor remove PolicyName [-p {nfs|cifs|cifs,nfs}] [-f] op_spec [,op_spec]

監視対象ファイル リストからファイルを削除します。

fpolicy monitor set PolicyName [-p {nfs|cifs|cifs,nfs}] [-f] op_spec [,op_spec]

監視対象ファイルリストを設定したり、置き換えたりしま

す。

FAQ、エラーメッセージ、警告メッセージ、およびキーワード

ここでは、よくある質問、エラーメッセージ、及び警告メッセージについて説明しています。

次のトピック

FAQ エラーメッセージ 警告メッセージ スクリーニング操作に関するキーワード一覧

FAQ

一般的なFAQ と、アクセス権やアクセス許可、及びそのほかの問題が記載されています。

次のトピック

一般的な FAQ アクセス権と権限に関する FAQ パフォーマンスに関する FAQ ファイルスクリーニングに関する FAQ FPolicy サーバに関する FAQ

一般的な FAQ

現在、アクティブなファイルポリシーの総数に制限がありますか。

あります。現在、アクティブなファイル ポリシーの総数は、VFiler ユニットごとに最大で 20 です。

2つのポリシーを作成した場合、要求は順番に処理されますか、それとも並列で処理されますか。

Page 210: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

210 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

2 つのポリシーを作成した場合、要求は順番に処理されます。

複数の FPolicy サーバに対応する複数のポリシーを作成できますか

作成できます。複数のポリシーを作成し、FPolicy サーバごとに異なるポリシーを使用することができ

ます。たとえば、FLM とNTP にそれぞれ対応した 2 つのポリシーを作成し、2 つのFPolicy サーバが

これら 2 つのポリシーを参照するように設定できます。

通知を送信する順番は、fpolicy コマンドでポリシーが指定されている順番と同じです。この順番は、

Filer にポリシーが作成される順番と逆です。たとえば、ポリシーp1 を作成し、そのあとでポリシーp2 を作成した場合、通知はp2 に送信され、そのあとでp1 に送信されます。

「複数のファイル ポリシー」と「複数のサーバ」の違いを認識することが重要です。

次のような問題が発生することがあります。

• 現在、FPolicy エンジンでは複数のポリシーの要求が(並列でなく)順番に送信されるため、パフ

ォーマンスの低下量が 2 倍になることがあります。

FPolicy を NetApp ストレージ システムで機能させるために必要なライセンスは何ですか

FPolicy を機能させるには、ストレージ システムにCIFS のライセンスを付与し、CIFS を設定する必

要があります。

NFS 専用ストレージ システムの場合も、CIFS のライセンスと設定が必要なのはなぜですか

FPolicy サーバは多くの機能を実行しますが、CIFS セキュリティを使用して認証を受けることにより、

ストレージ システム上にBackup-Operator(以上の)権限を確保します。したがって、NFS 専用の環

境であっても、CIFS のライセンスが付与されている必要があります。

同様に、ファイル ポリシーをNFS ファイルに適用するには、NFS のライセンスが付与され、NFS が稼働している必要もあります。

FPolicy に制限はありますか。

あります。次に、FPolicy の制限事項を示します。

• FPolicy がサポートしているのは、CIFS およびNFS プロトコルのみです。FTP、HTTP、WebDAV、FileIO などはサポートされていません。

• CIFS およびNFS プロトコルに関する一部の操作は、FPolicy では監視できません。

• CIFS およびNFS 操作は個別に設定できません。

• スクリーニングを実行できるのは、ボリューム レベルまでです。個々のqtree およびディレクトリをス

クリーニングすることはできません。

• FPolicy では、ADS はスクリーニングされません。

• 複数のサーバが登録されている場合、接続されたすべてのサーバのポリシーは、直前に登録された

サーバの設定に基づいて変更されています。

• 特定のIP アドレスを持つFPolicy サーバは、ストレージ システムに一度のみ登録できます。

Page 211: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 211

• 1 つのFPolicy サーバに登録できるポリシーは、一度に 1 つのみです。同じIP アドレスから別のポリ

シーを登録しようとしても、FPolicy によって要求は拒否されます。

• 1 台のサーバに設定できるポリシーは 1 つのみです。

• 1 つのWindows マシンで実行できるFPolicy サーバは、1 つのみです。

FPolicy はウィルス スキャン(vscan)の影響を受けますか

FPolicy はvscan 処理から独立して実行されます。FPolicy はウィルス スキャン処理の前に発生する

ため、スタブ ファイル(symlink など)で指定されたパスを経由して実際のファイルをロードすることが

できます。スタブ ファイルがスキャンされるだけということはありません。vscan 処理はファイル ポリシ

ーから独立しているため、vscan はファイル ポリシーによってブロックされているファイルを開いてス

キャンできます。したがって、FPolicyとvscan には依存関係がありません。

FPolicy の設定はどこに保存されますか。

FPolicy の設定はレジストリに保存されます。

ユーザーが読み込み許可でアクセスされた移行済みのファイルに変更を加えようとすると、どうなりま

すか。

読み取り権限を使用してアクセスされた移行済みファイルをユーザが変更しようとした場合、どうなり

ますか

FPolicy サーバは次の処理を実行する必要があります。

CIFS およびNFS バージョン 4 では、書き込み(または読み書き)アクセス モードでファイル オープン

要求が行われた場合、ファイルを開くときにファイルをリコールすることができます。また、書き込み要

求が行われたときに、ファイルをリコールすることもできます。ただし、この場合は、書き込み処理を監

視するサーバが登録されている必要があります。

NFSv2 およびNFSv3 バージョンにはオープン コールがないため、読み取り処理および書き込み処

理を監視するためのHSM サーバを登録する必要があります。HSM サーバは、書き込み要求を受信

した場合、ファイルをリコールします。読み取り処理の場合、HSM サーバはパススルー リードまたは

ライトのいずれかを使用できます。

アクセス権と権限に関するFAQ

ストレージシステムに接続し、FPolicy イベントをリスニングするFPolicy サーバとして登録するアカ

ウントに最低限必要なアクセス権は何ですか

FPolicy サーバをストレージシステムに登録するためには、少なくともバックアップ特権が必要です。

ストレージシステムに接続し、q-tree ACL をスキャンするアカウントに最低限必要なアクセス権は何

ですか

ACL をスキャンする権限は、標準Windows 方式を使用するCIFS ログインに付与されています。

Backup Operators またはAdministrators グループのメンバー アカウントを使用して、ストレージ システムに接続しているユーザは、FILE_FLAG_BACKUP_SEMANTICS オープン モードを使用し

て、セキュリティに関係なくすべてのファイルにアクセスできます。

Page 212: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

212 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

パフォーマンスに関するFAQ

FPolicy のパフォーマンスに影響する要因は何ですか

次に、FPolicy のパフォーマンスに影響する要因の一部を示します。

• 監視対象の操作数 (読み込む、開く、閉じるなど)

• 登録されたFPolicy サーバ数(ロードシェアリング)

• 同じ操作をスクリーニングするポリシーの数

• ストレージシステムとFPolicyサーバ間のネットワーク帯域幅(スクリーニング要求の応答時間)

• FPolicy サーバの応答時間

FPolicy トラフィックを CIFS トラフィックとNFS トラフィックに分離する方法はありますか

ストレージ システムで実行されるFPolicy コマンドの出力には、特定のファイル ポリシーでスクリーニ

ングされた要求の総数を示すカウンタが含まれています。ただし、現在はCIFS トラフィックとNFS トラフィックを区別する方法はありません。

FPolicy スクリーニングの対象となるすべてのクライアント要求によって、余分なCIFS 要求が生成さ

れ、内部的なFPolicy 通信が発生します。これは、CIFS とNFS の両方のクライアントの要求に当て

はまります。現在、この余分なトラフィックを測定する方法はありません。

リコールの前にFPolicy を有効にした場合は、パフォーマンスに影響がありますか

リコールの前にFPolicy を有効にした場合は、パフォーマンスに影響があります。パフォーマンスへの

影響は主に、FPolicy の設定方法によって決まります。したがって、リコールの前にFPolicy を有効に

しないことを推奨します。

ストレージ システムにパフォーマンス レベルが異なる 2 つのFPolicy サーバが登録されている場

合、高速サーバのパフォーマンスは低速サーバのパフォーマンスから影響を受けますか

はい、低速サーバのパフォーマンスは高速サーバのパフォーマンスに影響を及ぼします。したがっ

て、ストレージ システムに接続する場合は、同じ性能のサーバを使用することを推奨します。

FPolicy が有効な場合、CPU に追加される負荷を判別する測定基準はありますか

ありません。このようなデータは、現在 FPolicy では使用できません。

ファイルスクリーニングに関するFAQ

ファイルスクリーニングはどのように実行されますか

ファイル スクリーニング ポリシーは、何らかの制限が必要なファイルやディレクトリを指定する場合に

使用します。Data ONTAP は、(開く、書き込む、作成する、名前を変更するなどの)ファイル操作要

求を受信すると、ファイル スクリーニング ポリシーをチェックしてからその操作を許可します。

ポリシーでファイルの拡張子に基づくスクリーニングが指定されている場合は、ファイル スクリーニン

グ サーバにファイル名が送信されて、スクリーニングされます。ファイル スクリーニング サーバは、

ポリシーをファイル名に適用して、ストレージ システムが要求されたファイル操作を許可するかどう

Page 213: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 213

かを判別します。ファイル スクリーニング サーバは、要求されたファイル操作を許可または拒否する

応答をストレージ システムに送信します。

ファイルスクリーニングの使用中にシステムのパフォーマンスは低下しますか

はい、ファイルスクリーニングの使用中にシステムのパフォーマンスは低下します。

ファイルスクリーニングオプションの設定にデフォルトオプションを使用できますか

すべてのファイル ポリシーに対応するマスター設定のfpolicy.enable オプションがあります。このオプ

ションはデフォルトでon になっています。新しいFPolicy が個別に作成される場合、このオプションは

デフォルトでoff になります。そのため、システム管理者はポリシーを完全に設定してから、アクティブ

にすることができます。実際にスクリーニングが行われるかどうかは、サポート対象の外部ファイル スクリーニング サーバが動作していて、ストレージ システムからアクセスできるかどうかによって決まり

ます。FPolicy を使用するには、外部ファイル スクリーニング サーバが必要であることに注意してくだ

さい。

スクリーニングポリシーを作成してもスクリーニングサーバがない場合はどうなりますか。

使用できるファイル スクリーニング サーバがない場合は、ポリシーを有効にしても、何も起こりませ

ん。ただし、このポリシーのfpolicy option required をオンにした場合は、このポリシーで指定された

ファイルへのアクセスが拒否されます。ポリシーに関する「required」の設定は、デフォルトでオフに設

定されています。

ファイルスクリーニングサーバのステータスを表示できますか

ファイルスクリーニングサーバのステータスを表示するには、次のコマンドを使用します。

fpolicy servers show PolicyName

Data ONTAPは、指定したポリシーのファイルスクリーニングサーバのステータス戻します。

セカンダリスクリーニングサーバを指定できますか。指定できるとしたら、どのように指定しますか。

指定できます。プライマリ ファイル スクリーニング サーバが使用できないときに使用するセカンダリ サーバのリストを指定できます。次のコマンドを使用します。

fpolicy options PolicyName secondary_servers [ server_list ]

ストレージ システムに接続されたFPolicy サーバのうち、セカンダリ サーバ リストにIP アドレスがな

いものは、すべてプライマリ サーバになります。すべてのプライマリ サーバが使用不能にならないか

ぎり、ストレージ システムでセカンダリ サーバは使用されません。

ファイルスクリーニングサーバとの接続を無効にする方法は何ですか。

ファイルスクリーニングサーバとの接続を無効にするは、次のコマンドを使用します。

fpolicy servers stop PolicyName server-IP-address

FPolicy ファイルスクリーニングの適用はボリューム単位ですか、それとも qtree単位ですか

FPolicy ファイルスクリーニングは、ボリューム単位で適用されます。qtree 単位では適用されませ

ん。

Page 214: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

214 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

FPolicyサーバに関するFAQ

プライマリ サーバとセカンダリ サーバの違いは何か

プライマリ サーバは、クライアント要求をスクリーニングするアクティブ サーバです。セカンダリ サー

バは、フェール セーフ モード用に登録されています。プライマリ サーバがすべて停止した場合は、す

べてのセカンダリ サーバがスクリーニング要求を開始します。

セカンダリ サーバの登録方法は

サーバをセカンダリ サーバとして登録するには、セカンダリ サーバの一覧にサーバのIPを追加しま

す。そのサーバが接続されると、セカンダリとして扱われます。

エラーメッセージ

次の表に、一般的なFPolicy エラー メッセージ、考えられる原因、および推奨される対処方法(ある場

合)を示します。

エラーメッセージ 原因 推奨対処法

fpolicy.fscreen.server. connectError severity="ERR"

FPolicy(ファイル ポリシー)サーバとの通信

試行中に、ストレージ システムにエラーが発

生した場合に表示されます。通信に障害が

あると、ストレージ システムはこのサーバと

の接続を切断します。 エラーの原因には、ネットワーク問題、

FPolicy サーバ上のセキュリティ設定による

ストレージ システムへのアクセス拒否、また

はFPolicyサーバ上のハードウェア/ソフトウ

ェア問題などがあります。ストレージ システ

ムのメモリ不足によって、ストレージ システ

ムが操作を実行するために必要なリソース

を取得できない場合も、この問題が発生する

ことがあります。

エラー コードを調べて、問題の原因を特

定できるかどうかを確認します。

FPolicy(ファイル ポリシー)サーバのイベ

ント ログを調べて、ストレージ システムか

ら切断されているかどうか、およびその理

由を確認します。

ストレージ システムのsyslog で、手がか

りとなるエラー メッセージを調べます。 FPolicy サーバのネットワーク エラーや

ハードウェア問題など、特定された問題を

解決します。 FPolicy サーバに最近ソフトウェア パッチ

が適用され、これにより、セキュリティ 設定が変更されていないかどうかを確認

します。

fpolicy.fscreen.server. closeError severity="ERR"

FPolicy(ファイル スクリーニング)サーバと

の通信を停止しようとしているときに、ストレ

ージ システムにエラーが発生した場合に表

示されます。 エラーの原因には、ネットワーク問題、また

はFPolicy サーバのハードウェア/ソフトウェ

ア問題などがあります。

エラー コードを調べて、問題の原因を特

定できるかどうかを確認します。 FPolicy(ファイル ポリシー)サーバのイベ

ント ログを調べて、ストレージ システムか

ら切断されているかどうか、およびその理

由を調べます。 ネットワーク問題や、FPolicy サーバのハ

ードウェア問題など、特定された問題を解

決します。このエラーは、実際はエラーで

はないことがあります。 以前にサーバとの通信を試みたときにエ

ラーが発生したため、サーバとの通信が

終了した可能性があります。接続を切断

しているときに発生したエラーが原因で、

Page 215: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 215

エラーメッセージ 原因 推奨対処法

その後もエラー状態が継続することがあ

ります。

fpolicy.fscreen.server. requestError severity="ERR"

FPolicy(ファイル ポリシー)サーバに通知要

求を送信しようとしているときに、ストレージ システムにエラーが発生した場合に表示さ

れます。 エラーの原因には、ネットワーク問題、また

はFPolicy サーバのハードウェア/ソフトウェ

ア問題などがあります。 ポリシーに複数のサーバが設定されている

場合は、このポリシーの別のサーバに対し

てこの通知が再送信されます。それ以外の

場合は、requiredオプションに関するポリシ

ーの設定に基づいた処理が実行されます。

required 設定がオンの場合、要求は 拒否されます。required 設定がオフの場合

は、クライアント要求の処理は許可されま

す。

エラー コードを調べて、問題の原因を特

定できるかどうかを確認します。FPolicy(ファイル ポリシー)サーバのイベント ログを調べて、ストレージ システムから切

断されているかどうか、およびその理由を

調べます。

ネットワーク問題や、FPolicy サーバのハ

ードウェア問題など、特定された問題を解

決します。

fpolicy.fscreen.server. requestRejected severity="ERR"

ストレージ システムからFPolicy(ファイル ポリシー)サーバへの通知要求がFPolicy サーバで拒否された場合に表示されます。エラ

ーの原因には、FPolicy サーバのソフト

ウェア問題などがあります。

エラー コードを調べて、問題の原因を特

定できるかどうかを確認します。FPolicy(ファイル ポリシー)サーバのイベント ログを調べて、問題の原因となるエラーが

発生しているかどうかを確認します。

FPolicy サーバで内部エラーが検出され ている場合や、これ以上要求を受信でき

ない場合があります。

fpolicy.fscreen.server. pingRejected severity="ERR"

FPolicy サーバの接続がアイドル状態にあ

る場合は、ストレージ システムからFPolicy サーバのステータスを取得するためのステ

ータス要求が送信されることが時々ありま

す。このエラーは、ストレージ システムから

FPolicy サーバへのステータス要求でエラー

が取得された場合に発生します。また、スト

レージ システムがFPolicy サーバと通信で

きない場合、ストレージ システムの要求に対

してサーバがエラーを戻した場合も、このエ

ラーが発生することがあります。エラーの原

因には、ネットワーク問題、またはFPolicy サーバのハードウェア/ソフトウェア問題など

があります。この 要求が失敗した場合は、サーバとの接続が

切断されます。

エラー コードを調べて、問題の原因を特

定できるかどうかを確認します。FPolicy(ファイル ポリシー)サーバのイベント ログを調べて、ストレージ システムから切

断されているかどうか、およびその理由を

確認します。ネットワーク問題や、FPolicy サーバのハードウェア問題など、特定さ

れた問題を解決します。

fpolicy.fscreen.server. completionUnexpecte

FPolicy サーバによってスクリーニング要求

が実行され、完了メッセージが戻された場合

に表示されます。

ただし、この要求に対応する内部ストレージ

Page 216: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

216 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

エラーメッセージ 原因 推奨対処法

dState severity="ERR"

システム状態は有効ではありません。この

完了メッセージは、ストレージ システムで無

視されます。

fpolicy.fscreen.server. requestStatusError severity="ERR"

FPolicy サーバによってスクリーニング要求

が受信されたが、要求の完了が報告されて

いない場合に表示されます。完了していない

要求のステータスがストレージ システムでチ

ェックされます。ストレージ システムが要求

を送信できない場合、またはサーバで要求

がサポートされない場合は、このエラーが発

生します。エラーの原因には、ネットワー ク問題、または切断されているFPolicy サー

バのハードウェア/ソフトウェア問題により、

サーバとストレージ システム間の接続が切

断されていることなどがあります。

エラー コードを調べて、問題の原因を特

定できるかを確認します。FPolicy(ファイ

ル ポリシー)サーバのイベント ログを調

べて、ストレージ システムから切断されて

いるかどうか、およびその理由を調べま

す。ネットワーク問題や、サーバ のハードウェア問題など、特定された問

題を解決します。

fpolicy.fscreen.server. connecting.internalErr or severity="ERR"

ファイル ポリシー サーバがストレージ シス

テムに登録されていて、ストレージ システム

のFPolicyサーバとして機能している場合に

表示されます。ストレージ システムは、

FPolicy サーバの関連情報を保持するため

に必要なメモリを取得できませんでした。

テクニカルサポートにお問い合わせくださ

い。

fpolicy.fscreen.server. connecting.privError severity="ERR"

FPolicy サーバがストレージ システムに登

録されていて、ストレージ システムFPolicy サーバとして機能している場合に表示されま

す。サーバは、FPolicy サーバとして機能す

るために必要な権限を持たないユーザとし

て接続されています。サーバをストレージ システムに接続する際に名前を使用するユー

ザには、ストレージ システムのBackup-Operator グループのメンバー以上の権限

が必要です。この登録を行おうとしても、拒

否されます。

サーバとストレージ システムとの接続に

使用されているユーザ名を確認するに

は、Filerオプションのcifs.trace_login をオンにします。この問題が解決されたら、

忘れずにこのオプションをオフに戻してく

ださい。トレーシングによって、ストレージ システムのパフォーマンスが低下すること

があります。

FPolicy サーバでファイル ポリシー サー

ビスを実行する際に使用されるユーザ名

を確認します。このユーザが属しているグ

ループを判別するには、wcc コマンドを使

用します。このユーザを適切なグル

ープに追加するか、またはFPolicy サー

バのプロパティを変更して、サーバが別

のユーザ名で実行されるようにしてくださ

い。

fpolicy.fscreen.cfg.pC reateErr severity="ERR"

レジストリに保存されたファイル スクリーニン

グ設定情報をストレージ システムが処理す

る場合に表示されます。ストレージ システム

は新しいポリシーを作成し、初期化しようとし

ましたが、実行できませんでした。このエラ

ーは、ストレージ システムのレジストリの一

貫性に問題があることを示すもので、発

ポリシーは fpolicy destroy コマンドを使

用して削除できます。その後、fpolicy create を使用してポリシーを再作成し、

必要に応じてポリシーを設定します。

Page 217: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 217

エラーメッセージ 原因 推奨対処法

生してはならないエラーです。このポリシー

に関連した情報は破棄されます。

fpolicy.fscreen.request .pathError severity="ERR"

ストレージ システムがファイルへのアクセス

に使用するfscreen サーバのパスを構築し

ようとして、エラーが発生した場合に表示さ

れます。 原因としては、パスが長すぎる、 あるいは

Unicode 変換に問題などが考えられます。 ユーザはファイルへのアクセスに、

shareName\directories\fileName のような

パスを使用します。 ストレージ システムは、自身のルートからサ

ーバまでの絶対パスを構築します。

ontap_admin$\vol\volName\sharePath \directories\FileName 通常、これはストレー

ジ システムの内部エラー(バグ)です。

fpolicy.fscreen.server. requestTO severity="ERR"

サーバによってファイル スクリーニング通知

が受信されたが、要求の完了が報告されな

かった場合に表示されます。ストレージ シス

テムにより、タイムアウトが終了したあとで完

了していない要求のステータスがチェックさ

れます。受信されたにもかかわらず完了して

いない要求は、そのすべての情報がサーバ

で受け入れられていなければ、タイムアウト

したとみなされます。この場合は通常、サー

バに問題があります。

サーバのイベント ログを調べて、問題が

ないか確認します。サーバ ソフトウェア ベンダーに問い合わせて、 そのベンダー

の製品が要求ステータスの照会をサポー

トしているかどうか確認します。

ストレージ システムによって タイムアウト

されるのは、サーバで受信済みの要求の

みです。サーバがまだ処理していると主

張している要求は、タイムアウトされませ

ん。ストレージ システムは サーバに要求

ステータス メッセージを送信して、タイム

アウトした可能性のある要求のステータ

スを調べます。

fpolicy.server.fqdn.un avail severity="ERR"

FPolicy™(ファイル ポリシー)サーバのIP アドレスに関するリバースDNS 検索に失敗

し、 ストレージ システムがFPolicy サーバの

Fully Qualified Domain Name (FQDN;完全に限定されたドメイン名)を判

別できない場合に表示されます。FPolicy サーバをMicrosoft®Longhorn OS で実行して

いる場合、ストレージ システムには、

FPolicyサーバに対して自身を認証するため

の FPolicy サーバFQDN が必要です。

DNS サーバのリバースDNS 検索の設

定を確認します。

警告メッセージ

次の表に、一般的なFPolicy 警告メッセージ、考えられる原因、および推奨対処法(ある場合)を示し

ます。

Page 218: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

218 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

警告 原因 推奨対処法

fpolicy.fscreen.server.c onnectedNone severity="WARNING"

ストレージ システムに接続されている

FPolicy(ファイル スクリーニング)サーバが

ない場合に表示されます。ポリシーが必須

の場合は、ファイルやディレクトリに関するさ

まざまな操作がストレージ システムで拒否さ

れるため、この警告が重要になることがあり

ます。また、ポリシーが必須でない場合も、

この警告が重要になることがあります。サ ーバで承認されていないさまざまなファイル

操作やディレクトリ操作が、ストレージ シス

テムで許可されるためです。

FPolicy サーバのイベント ログを調べて、

ストレージ システムとの接続が切断され

ている原因を確認します。 ストレージ システムのsyslog で、手がか

りとなるエラー メッセージを調べます。 FPolicy サーバのネットワーク エラーや

ハードウェア問題など、 特定された問題

を解決します。

fpolicy.fscreen.server.c ompletionRequestLost severity="WARNING"

FPolicy(ファイル ポリシー)サーバがスクリ

ーニング要求を完了して、完了を戻したにも

かかわらず、完了メッセージ内のファイル パスと、ストレージ システムがスクリーニング

要求を送信したファイル パスが一致しない

場合に表示されます。 ストレージ システムは、スクリーニング要求

を送信する場合、FPolicyサーバにファイル パスと要求IDを提供します。

FPolicy サーバからストレージ システムに有

効な要求ID を含むスクリーニング完了メッ

セージが送信されましたが、この中のファイ

ル パスが、スクリーニング要求でストレージ システムから提供されたファイル パスと一致

していません。この問題は、FPolicy サーバ

やストレージ システムのソフトウェア障害で

ある可能性があります。また、FPolicy サー

バが複数のストレージ システムを処理して

いる場合、 要求が完了したにもかかわら

ず、間違ったストレージ システムに完了通

知が送信されることがあります。 このような場合、ストレージ システムの要求

ID は有効ですが、ファイル パスはこの要求

ID に対応していません。

この問題が繰り返し発生する場合は、回

線トレースを使用して診断すると便利で

す。Filerコマンドpktt を使用すると、回線ト

レースを行うことができます。

fpolicy.fscreen.server.c ompletionInconsistent severity="WARNING"

FPolicy(ファイルポリシー)サーバが全くスト

レージシステムに接続していない時起こりま

す。しかしながら、完了メッセージの中のファ

イルパスはどのスクリーン要求がストレージ

システムに作られたかに対するファイルパス

と一致しません。

ストレージシステムがスクリーン要求を作る

際、FPolicyサーバにファイルパスと要求Ⅰ

D の両方を提供します。

FPolicyサーバは有効な要求IDを持つストレ

ージシステムにスクリーン完了メッセージを

問題が繰り返し起こる場合、ライントレー

スが診断で助けます。フィルターコマンド

pktt が使われライントレースが得られま

す。

Page 219: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 219

警告 原因 推奨対処法

送りましたが、ファイルパスが、スクリーン要

求でストレージシステムにより与えられたも

のと一致しません。 この問題はFPolicyサーバ又はストレージシ

ステム内のソフトウェア検出の可能性があり

ます。あるいは、FPolicyサーバがストレージ

システムのグループに応えている場合、要

求を完了しているが間違ったストレージシス

テムに完了を送信しているという可能性があ

ります。また、要求IDがストレージシステム

上で有効だがファイルパスが要求IDと関係

ない可能性もあります。

fpolicy.fscreen.server.c onnecting.badOperatio nList severity="WARNING"

FPolicy サーバがストレージ システムに、通

知を受信する必要がある操作リストを提供し

た場合に表示されます。操作の例は、ファイ

ルやディレクトリの名前変更、ファイルの 作成、ファイルを開く、ファイルを閉じるなど

です。この操作リストは、サーバを登録する

とき、またはサーバを登録したあとで、ストレ

ージ システムに提供できますこの警告の原

因は、FPolicy サーバから提供された操作リ

ストに、ストレージ システムが通知しない操

作が含まれていることです。サーバから提供

されるリストは、ストレージ システムで無視さ

れます。

ストレージ システムとファイル ポリシ

ー ソフトウェアのバージョンを調べて、相

互に互換性があることを確認します。

fpolicy.fscreen.server.c onnecting.badParamete r severity="WARNING"

FPolicy サーバがストレージ システムに登

録されていて、ストレージ システムのファイ

ル ポリシー サーバとして機能している場合

に表示されます。サーバから提供されたパラ

メータが、ストレージ システムで認識可能な

値に設定されていません。サーバから提供

されるパラメータは、ストレージ システムで

無視されます。

ストレージ システムとファイル ポリシ

ー ソフトウェアのバージョンを調べて、相 互に互換性があることを確認します。無効

なパラメータは無視され、サーバはストレ

ージ システムへの登録を許可されます。

fpolicy.srv.conn.badOp tParam severity="WARNING"

FPolicy™サーバがシステムに登録され、シ

ステムのファイル ポリシー サーバとして使

用できるように設定されているにもかかわら

ず、FPolicy サーバから提供されたオプショ

ン パラメータがシステムで認識可能な値に

設定されていないか、またはオプション パラ

メータの形式が不正な場合に表示されま

す。無効なパラメータは無視され、FPolicy

サーバは登録を許可されます。

システムとファイル ポリシー ソフトウェ アのバージョンを調べて、相互に互換性

があることを確認します。

fpolicy.fscreen.cfg.pCr eateInfo severity="WARNING"

ストレージ システムがレジストリに保存され

たファイル スクリーニング設定情報を処理

する場合に表示されます。 ストレージ シス

テムは新しいポリシーを作成し、初期化しよ

ポリシーは fpolicy destroy コマンドを使

用して削除できます。

その後、fpolicy create を使用してポ リシーを再作成し、必要に応じてポリシー

Page 220: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

220 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

警告 原因 推奨対処法

うとしましたが、問題が発生しました。この警

告は、ストレージ システムのレジストリの一

貫性に問題があることを示すもので、発生し

てはならないエラーです。

を設定します。

fpolicy.fscreen.server.d roppedConn severity="WARNING"

ファイル ポリシー(fscreen)サーバとの接続

が切断された場合に表示されます。サーバ

がストレージ システムから意図的に切り離さ

れると、接続が切断されることがあります。

その他の理由としては、 ネットワーク エラ

ー、ストレージ システムのCIFS サービスの

終了、サーバのハードウェア/ソフトウェア障

害などが考えられます。

ご使用のサーバがまだ機能しているか調

べます。ストレージ システムとサーバ間の

ネットワーク接続を調べます。サーバのイ

ベント ログを調べて、切断の原因となるエ

ラーがあるか確認します。ストレージ シス

テムでCIFS が実行されていることを確認

します。

fpolicy.fscreen.vol.i2p. off severity="WARNING"

FPolicy™サーバがファイル ポリシーを実行

するシステムに登録されていて、NFS 要求

に対するファイル ポリシー通知のためには

inode/パス名変換が必要であるにもかかわ

らず、ファイル ポリシーで監視されるボリュ

ームでinode/パス名変換が無効になってい

る場合に表示されます。ボリュームでinode/パス名変換が無効な場合、FPolicy はNFS 要求に対応するファイル パスを生成できま

せん。

次のコマンドを実行して、no_i2p オプショ

ンをオフにします。 vol options volumeName no_i2p off このコマンドを実行すると、ボリュームのフ ァイルに対してinode/パス名変換が有効

になります。

fpolicy.fscreen.server.u nexpectedFileDataRes ponse severity="WARNING"

FPolicyサーバがファイルデータをRRD(Read Redirect)要求のためにシステムに

送信するけれども、ファイルデータが送られ

た要求をシステムが見つけられない時、メッ

セージが出ます。

この問題が起こるのは、タイミングの問題の

ためです。たとえば、ファイルデータはファイ

ルスクリーニングがシステム上で無効化さ

れ、完了を待つ全ての要求が継続を許可さ

れてから、すぐに到着します。あるいは要求

にある状態をシステムが求めるようにしたた

めに、要求が時間切れになったのかもしれ

ません。あるいはFPolicyサーバが要求を見

つけられなかった場合、システムが要求の

継続を許可したのでしょう。その後FPolicyサーバが後でデータを要求のために送り、

その要求はシステムによって見つけられな

いこともあります。 FPolicy サーバがRead Redirect (RRD)要

求に関するファイル データをシステムに送

信したにもかかわらず、システムが送信され

たファイル データに対応する要求を特定 できない場合に表示されます。この警告は、

この問題が繰り返し発生する場合は、パ

ケット トレースを使用して診断すると便利

です。

pktt コマンドを使用して、パケット トレー

スを行ってください。たとえば、次のように

入力します。 pktt start all –i FpolicyServerIP

Page 221: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CIFS によるファイルアクセス| 221

警告 原因 推奨対処法

FPolicy サーバおよびストレージ システムが

同期していないことを示します。 原因は、タイミング問題などです。たとえば、

システムでファイル スクリーニングを無効に

し、完了を待機しているすべての要求が処

理の継続を許可されたすぐあとに、ファイル データが着信することがあります。また、

FPolicy サーバがスクリーニング要求を受

入れる前に、ファイル データを戻したり、要

求がタイムアウトしたために、システムが要

求のステータスを要求することもあります。

FPolicy サーバが要求を特定できなかった

場合は、要求の継続処理が許可されます。

あとでFPolicy サーバがこの要求に関するフ

ァイル データを送信した場合、該当する要

求はシステムで特定されません。

スクリーニング操作に関するキーワード一覧

操作はすべて、3 つの方法で監視できます。監視を設定するには、FPolicy サーバの登録中にビット

マスクを使用するか、ONTAPI コールを使用するか、あるいはCLI を使用します。

さまざまなキーワードを使用して、FPolicy でサポートされる各種操作を監視することができます。次

の表に、3 つのオプションで設定する場合に、各操作で使用されるキーワードを示します。

Page 222: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

222 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

操作名 CLIのキーワード ONTAPIのキーワー

ド 登録時のキーワード

ビット 値

File open open file-open FS_OP_OPEN 0x0001

File create create file-create FS_OP_CREATE 0x0002

File close close file-close FS_OP_CLOSE 0x0008

File rename rename file-rename FS_OP_RENAME 0x0004

File delete delete file-delete FS_OP_DELETE 0x0010

File write write file-write FS_OP_WRITE 0x4000

File read read file-read FS_OP_READ 0x2000

File link link link FS_OP_LINK 0x0400

File symlink symlink symlink FS_OP_SYMLINK 0x0800

Directory delete directory-delete directory-delete FS_OP_DELETE_DI R

0x0020

Directory rename directory-rename directory-rename FS_OP_RENAME_DI R

0x0040

Directory create directory-create directory-create FS_OP_CREATE_DI R

0x0080

File lookup lookup lookup FS_OP_LOOKUP 0x1000

Get attribute getattr getattr FS_OP_GETATTR 0x0100

Set attribute setattr setattr FS_OP_SETATTR 0x0200

Page 223: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS と CIFS との間でのファイル共有| 223

NFS と CIFS 間でのファイル共有

NFS と CIFS クライアント間でエラーを発生させることなく、ファイル共有を短時間で実現

できるように、Data ONTAP を最適化することができます。

次のトピック

NFS と CIFS のファイルのネーミング規則について UNIX と Windows 間におけるファイル名の文字変換の有効化 ボリュームからの文字マッピングの削除 プロトコル間のファイルロッキングについて 読み取り専用ビットについて CIFS クライアントの UNIX クレデンシャルの管理 SID と名前のマッピングキャッシュの管理 LDAP(Lightweight Directory Access Protocol)サービスの使用 fsecurity コマンドによるストレージレベルアクセスガードの有効化 システムアクセスイベントの監査 シンボリックリンクへの CIFS アクセスの制御 CIFS クライアントに対する NFS ディレクトリアクセスの最適化 CIFS クライアントで大文字のファイル名が作成されないようにする方法 NFS クライアントからの CIFS ファイルへのアクセス UNIX の「実行」権限がない CIFS クライアントへの.dll および.exe ファイルの暗黙的な実行権限の

付与

NFS と CIFS のファイルのネーミング規則について

ファイルのネーミング規則は、ネットワーク クライアントのオペレーティング システムとそ

のファイル共有のプロトコルによって異なります。

オペレーティング システムとそのファイル共有のプロトコルは次のものを決定します。

• ファイル名の長さ

• ファイル名に使用できる文字

• ファイル名の大文字と小文字の区別

次のトピック

ファイル名の長さ ファイル名に使用できる文字 ファイル名での大文字と小文字の区別 小文字のファイル名の作成 Data ONTAP でのファイル名の作成方法 CIFS クライアント上でのドットファイルの表示の制御

Page 224: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

224 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ファイル名の長さ

Data ONTAP がサポートするファイル名の長さは、PC の長いファイル名形式をサポートするCIFS クライアントと、8.3 形式をサポートするCIFS クライアントで異なります。

Data ONTAP では、次の長さのファイル名をサポートしています。

• NFS クライアントおよびCIFS クライアントが、PC で使用される長いファイル名をサポートする場

合、最大 255 文字

• CIFS クライアントが、MS-DOS やWindows 3.x クライアントなどの 8.3 形式をサポートしている

場合は、最大 8 文字のファイル名と最大 3 文字のファイル拡張子

ファイル名に使用できる文字

異なるオペレーティング システム上のクライアント間でファイルを共有する場合は、 両方のオペレー

ティング システムで有効な文字を使用します。

たとえば、UNIX を使用してファイルを作成する場合は、ファイル名にはコロン(:)を使用しないでくださ

い。コロンは、MS-DOS ファイル名では無効な文字となります。文字の制約はオペレーティング シス

テムごとに異なります。使用できない文字の詳細については、クライアントのオペレーティング システ

ムのマニュアルを参照してください。

ファイル名での大文字と小文字の区別

ファイル名について、NFS クライアントでは大文字と小文字が区別されますが、CIFS クライアントで

は大文字と小文字が区別されず、同じ文字として扱われます。

たとえば、CIFS クライアントがSpec.txt というファイルを作成すると、CIFS とNFS のどちらのクライア

ントでもファイル名はSpec.txt と表示されます。CIFS クライアントがあとでspec.txt というファイルを作

成しようとしても、CIFS クライアントに同じ名前がすでに存在しているため、その名前は許可されませ

ん。NFS ユーザがあとでspec.txt という名前のファイルを作成すると、この名前はNFS クライアントと

CIFS クライアントで次のように表示されます。

• NFS クライアントではファイル名の大文字と小文字は区別されるため、作成 したとおりに両方の

ファイル名 Spec.txt と spec.txt が表示されます。

• CIFS クライアントでは Spec.txt と Spec~1.txt が表示されます。Data ONTAP によって 2 つのフ

ァイル名を区別するために、Spec~1.txt というファイル名が作成されます。

小文字のファイル名の作成

cifs.save_case オプションをoff に設定すると、Data ONTAP に大文字と小文字の区別を強制的に

無視させることができます。この場合、ファイル名が入力されると、これらの名前は強制的に小文字の

テキストにされます。

Page 225: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

NFS と CIFS との間でのファイル共有| 225

この作業について

このオプションをoff に設定すると、16 ビットのアプリケーションと一部のUNIX ツール間の互換性が

高まります。ただし、デフォルトでは、このオプションはon に設定されています。

手順

1. 次のコマンドを入力します。

options cifs.save_case off 33

Data ONTAPでのファイル名の作成方法

Data ONTAP では、CIFS クライアントからアクセスされるすべてのディレクトリ内にあるフ

ァイルに対して、2 つのファイル名が作成され、保持されます。元の長いファイル名と 8.3 形

式のファイル名です。

ファイル名制限は名前が 8 文字で拡張子が 3 文字ですが、どちらかがこの制限を超えた場合、

8.3 形式ファイル名が次のように生成されます。

• ファイル名が 6 文字を超える場合は、元の名前が 6 文字に短縮されます。

• 切り捨てられたためにもはや一意ではないファイル名に、チルダ(~)および 1 ~ 5 の数字が追加

されます。同様の名前が 6 つ以上存在するため数字が足りなくなった場合には、元のファイル名

とは無関係の一意のファイル名が作成されます。

• ファイル名拡張子が 3 文字に短縮されます。

例:NFS クライアントがspecifications.html という名前のファイルを作成すると、Data ONTAPによっ

てspecif~1.htm という 8.3 形式のファイル名が作成されます。この名前がすでに存在している場合

は、ファイル名の最後の番号が別の番号になります。たとえば、NFS クライアントが

specifications_new.html という別の名前のファイルを作成すると、このファイルの 8.3 形式の名前は

specif~2.htm になります。

CIFSクライアント上でのドットファイルの表示の制御

UNIX ベースのシステムでは、通常ドット ファイルは表示されません。Windows クライアント システム

でドット ファイルを非表示にするには、cifs.show_dotfiles オプションを off に設定します。

この作業について

ドット ファイルは、デフォルトでWindows のフォルダオプションの隠しファイルの表示/非表示設定に関

係なく、CIFS クライアント システム上で表示されます。

手順

1. 次のコマンドを入力して、cifs.show_dotfiles オプションを off に設定します。

options cifs.show_dotfiles off

このシステムのドット ファイルは、Windows クライアントのユーザが[Folder Options (フォルダ オプション)]、[View (表示)]タブで[Do not show hidden files and folders (隠しファイルおよ

び隠しフォルダを表示しない)]を選択すると、表示から除外されます。

Page 226: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

226 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

UNIX と Windows 間におけるファイル名の文字変換の有効化

それぞれのオペレーティング システム(Windows および UNIX)上に、両方のオペレーティ

ング システムで有効でない文字を含む古いファイル名がある場合は、charmap コマンドを使

用することで、CIFS にとってそのままでは有効でない NFS 形式の名前を持つファイルであ

っても、CIFS からアクセスできます。

この作業について

NFS クライアントで作成されたファイルに CIFS クライアントがアクセスすると、ストレージ システム

はそのファイル名を調べ、ファイル名が有効な CIFS ファイル名でない場合は(たとえば、コロン「:」が含まれている場合)、ファイルごとに用意されている 8.3 形式のファイル名を返します。ただし、こ

れにより、長いファイル名に重要な情報をエンコードしているアプリケーションでは問題が発生しま

す。したがって、異なるオペレーティング システムを使用するクライアント間でファイルを共有する場

合は、両方のオペレーティング システムで有効な文字をファイル名に使用するようにしてください。

これとは別に、それぞれのオペレーティング システム(Windows および UNIX)上に、両方のオペレ

ーティング システムで有効でない文字を含む古いファイル名がある場合は、無効な NFS の文字を、

CIFS と特定の Windows アプリケーションの両方で有効な Unicode 文字に変換するマップを定義

できます。

詳細については、na_charmap(1)のマニュアル ページを参照してください。

注: この機能は CATIA® MCAD および Mathematica®アプリケーションをサポートしていますが、

同じ要件を持つほかのアプリケーションでも使用できます。

手順

1. 次のコマンドを入力します。

charmap [volname [mapspec]]

volname は、ストレージ システム上のボリューム名です。volname を指定しない場合、全

てのボリュームのマッピングが表示されます。

Mapspec の形式は次のとおりです。

hh:hhhh [ ,hh:hhhh]...

コロンで区切られた各 hh ペアの最初の値は、変換したい NFS 文字の 16 進値です。各 hh ペアの 2 番目の値は、CIFS が使用する Unicode 値です。mapspec に値を指定しないと、

マッピング済みの場合は現在のマッピングが表示されます。volname に値を指定しないと、

すべてのボリュームのマッピングが表示されます。

例 CATIA アプリケーションで使用される文字をマッピングする場合は、次のコマンドを入力

します。 charmap desvol 3e:ff76,3c:ff77,2a:ff78,3a:ff79,22:ff7a このコマンドでは、ある複数の文字(>、<、*、:、"、?、\、および|)を、通常はファイル名に

正規の文字として使用されない日本語のUnicode 文字にマッピングします。

Page 227: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 227

このマッピングは、ボリューム名「desvol」に適用されます。

文字の制限事項

無効または不正な文字を Unicode 文字で表す場合は、不必要なマッピングが生じるのを防ぐ

ため、通常はファイル名に表れない文字を使用するようにしてください。

たとえば、コロン(:)をハイフン(-)にマッピングしようとした場合に、ファイル名に正し

く使用されているハイフン(-)が存在すると、Windows クライアントが「a-b」という名前

のファイルにアクセスする要求を行ったときに、「a:b」という NFS 名にマッピングされてし

まいます(望ましい結果ではありません)。

再マッピングを行う場合は、次の NFS 文字のリストを参照してください。

• 22 = 二重引用符 (")

• 2a = アスタリスク (*)

• 3a = コロン (:)

• 3c = 小なり (<)

• 3e = 大なり(>)

• 3f = 疑問符 (?)

• 5c = バックスラッシュ (\)

• 7c = パイプ (|)

• b1 = (±)

また、CIFS クライアントからファイルまたはディレクトリを作成あるいはその名前を変更す

る場合に、ファイル名に Unicode 文字の 0x0080 が含まれていると、エラー メッセージが表

示されます。ストレージ システムでは、Unicode 文字の 0x0080 はサポートされません。

ボリュームからの文字マッピングの削除

文字マッピングが不要になった場合は(文字マッピングを使用するアプリケーションをストレ

ージ システムから削除した場合など)、charmap コマンドを使用してボリュームからその文

字マッピングを削除できます。

手順

1. 文字マッピングを消去するには次のコマンドを入力します。

charmap volname ""

volname は、ストレージ システム上のボリュームの名です。

プロトコル間のファイルロッキングについて

ファイル ロッキングとは、あるユーザがすでに開いているファイルに別のユーザがアクセス

することを防ぐ機能で、クライアント アプリケーションで使用されます。Data ONTAP でフ

Page 228: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

228 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ァイルをロックする方法は、クライアントのプロトコルによって異なります。

クライアントが NFS クライアントである場合、ロックは任意に設定します。クライアントが

CIFS クライアントである場合、ロックは必須となります。NFS ファイルと CIFS ファイルの

ロックの違いのため、CIFS アプリケーションで開いているファイルに NFS クライアントか

らアクセスすると、エラーになる場合があります。

NFS クライアントが CIFS アプリケーションによってロックされたファイルにアクセスする

と、次のいずれかの状態になります。

• mixed 形式またはNTFS 形式のqtree では、rm、rmdir、mv などのファイル操作を行うと、NFS アプリケーションがエラーになる場合があります。

• NFS の読み取りと書き込みの操作は、CIFS の読み取り拒否および書き込み拒否のオープン モードによってそれぞれ拒否されます。

• また、ファイルの書き込み対象となる範囲が、排他的なCIFS バイトロックでロックされている場合

も、NFS の書き込みの動作はエラーになります。

例外:ストレージ システム上の CIFS クライアントによって設定されたロックの制限には、例外が 1 つあります。それは、ストレージ システムが dump コマンドを実行する場合です。

dump コマンドは CIFS クライアントにより設定されたすべての読み取りアクセス ファイル ロックを

無視します。ファイル ロックを無視することによって、ストレージ システムはすべてのファイルをバッ

クアップできます。

注: CIFS アプリケーションで開いているファイルに、NFS クライアントがアクセスを試行して、エラー

となった場合は、cifs terminate コマンドを使用して、アアクセスできなかったファイルを使用するセ

ッションとの接続を解除できます。cifs sessions *コマンドまたはサーバー マネージャを使用して、

該当するファイルを使用するセッションを調べることができます。ただし、CIFS セッションを終了する

と、クライアントはエラーを受信する場合があります。

読み取り専用ビットについて

読み取り専用ビットは、ファイルが書き込み可能(無効)なのか読み取り専用(有効)なのか

を示すために、ファイルごとに設定される 2 進数の数値です(0 または 1 の値)。

ファイルごとの読み取り専用ビットを設定できるのは、MS-DOS および Windows を使用する

CIFS クライアントです。NFS クライアントは、ファイルごとの読み取り専用ビットを設定し

ません。NFS クライアントは、ファイルごとの読み取り専用ビットを使用するプロトコル操

作を行わないためです。

MS-DOS または Windows を使用する CIFS クライアントがファイルを作成すると、そのファ

イルに読み取り専用ビットが設定されます。ファイルが NFS クライアントと CIFS クライア

ント間で共有されている場合も、読み取り専用ビットを設定できます。ソフトウェアの中には、

NFS クライアントと CIFS クライアントが使用するときに、読み取り専用ビットが有効にな

っている必要があるものもあります。

NFS クライアントと CIFS クライアント間で共有されるファイルに対して、適切な読み取り

権限および書き込み権限を保持するために、読み取り専用ビットが次の規則に従って処理され

Page 229: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 229

ます。

• NFS は、読み取り専用ビットが有効になっているファイルはすべて、書き込み権限ビットが無効に

なっているファイルとして扱います。

• NFS クライアントがすべての書き込み権限ビットを無効にしたときに、これらのうち少なくとも 1 つが以前有効であったら、そのファイルの読み取り専用ビットは有効になります。

• NFS クライアントがすべての書き込み権限ビットを有効にすると、そのファイルの読み取り専用ビ

ットは無効になります。

• ファイルの読み取り専用ビットが有効になっているときに、NFS クライアントがそのファイルの権

限を調べようとすると、そのファイルの権限ビットはNFS クライアントには送信されませんが、その

代わりに書き込み権限リストをマスクしてNFS クライアントに権限ビットが送信されます。

• ファイルの読み取り専用ビットが有効になっているときに、CIFS クライアントがこの読み取り専用

ビットを無効にすると、そのファイルに対する所有者の書き込み権限ビットが有効になります。

• 読み取り専用ビットが有効になっているファイルは、root のみが書き込めます。

メモ:ファイル権限の変更は、CIFS クライアントではすぐに反映されますが、NFS クライア

ントが属性のキャッシュを有効にしている場合はNFS クライアントではすぐには反映され

ません。

読み取り専用ビットが設定されたファイルの削除

読み取り専用ビットが有効な場合、cifs.perm_check_ro_del_ok を設定すれば、UNIX の削除

セマンティクスを使用してファイルを削除できます。デフォルトでは、この動作は無効になっ

ています。

この作業について

Windows では、読み取り専用ビットが有効になっているファイルを削除できません。マルチ

プロトコル ソース制御アプリケーションの中には UNIX の削除セマンティクスを必要とする

ものもあります。読み取り専用ビットが有効であると、これらのアプリケーション用のファイ

ルも削除できません。

手順

1. 読み取り専用ビットが有効であるときにUNIX の削除セマンティクスを使用するファイルの削除を

許可するには、次のコマンドを入力します。

options cifs.perm_check_ro_del_ok on

CIFS クライアントの UNIX クレデンシャルの管理

ストレージ システムへの接続時に、CIFS クライアント上のユーザは CIFS クレデンシャルを

受信します。ユーザは、Data ONTAP で制御されるリソースにアクセスするために、UNIX ク

レデンシャルを 1 つ以上持つ必要があります。

Page 230: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

230 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

次のトピック

CIFS ユーザーによる UNIX クレデンシャルの取得方法 特定の CIFS ユーザだけが UNIX クレデンシャルを受信できるように設定する方法

CIFSユーザーによるUNIXクレデンシャルの取得方法

UNIX クレデンシャルは、UNIX 形式のUID(ユーザID)とGID(グループID)から構成されています。

Data ONTAP では、UNIX クレデンシャルが次の目的で使用されます。

• UNIX 形式のセキュリティが設定されたファイルにユーザがアクセスしようとするときに、UID およ

びGID を使用してユーザのアクセス権を確認します。

• CIFS ユーザを含むグループに対してグループ クォータを使用する場合、CIFS ユーザはUNIX クレデンシャルを取得している必要があります。グループ クォータに関する詳細については、

Storage Management Guide を参照してください。

CIFS ユーザがストレージ システムに接続しようとすると、Data ONTAP で CIFS ユーザの

UID とプライマリ GID が確認されます。CIFS ユーザの UID が確認できないと、ユーザのア

クセスが拒否されます。

Data ONTAP では、UNIX パスワード データベース(NIS マップまたは/etc/passwd ファイル)

を検索してユーザの UID を取得し、それによって UNIX クレデンシャルを取得します。デー

タベースには、ストレージ システムにアクセスできるすべてのユーザ アカウントが含まれて

います。各アカウントには、UNIX 形式のユーザ名と UID が含まれています。

Data ONTAP で CIFS ユーザの UID を取得するには、まず UNIX 形式のユーザ名を確認する

必要があります。ユーザの Windows 名は UNIX 名と同じでなくてもかまいません。

/etc/usermap.cfg ファイルに情報を入力して、各 Windows 名が UNIX 名にどのようにマッピ

ングされるかを指定できます。デフォルト マッピングを受け入れる場合は、この情報を入力

する必要はありません。デフォルトでは、UID の検索時に Windows 名が UNIX 名として使用

されます(ストレージ システムにより、検索前に Windows 名の大文字は小文字に変換されま

す)。

UNIX パスワード データベースのユーザ名が Windows 名と同じ場合は、/etc/usermap.cfg ファイルにマッピング情報を入力する必要はありません。ユーザ名が UNIX パスワード データ

ベースで見つからないときに wafl.default_unix_user オプションが設定されている場合は、そ

のオプションに指定されているデフォルトのログイン名が使用されます。

wafl.default_unix_user オプションの設定に関する詳細については、options(1)のマニュアル ページを参照してください。

Data ONTAP では、次の方法でユーザの GID が取得されます。

• UNIX パスワード データベースからユーザのプライマリGID を取得します。UNIX パスワード データベースの各アカウントには、そのユーザのプライマリGID が含まれています。

Page 231: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 231

• ユーザのプライマリGID 以外のGID は、グループ データベース(NIS グループ マッ

• プまたは/etc/group ファイル)から取得します。グループ データベースでは、さまざまなグループ

のメンバーシップを定義します。

CIFS セッション情報を表示すると、接続した CIFS ユーザーの UNIX クレデンシャルを確認できま

す。

特定のCIFSユーザだけがUNIXクレデンシャルを受信できるように設定する方法

UNIX クレデンシャルを受信するCIFS ユーザを設定するには、/etc/usermap.cfg ファイルを編集し、

UNIX グループおよびユーザを作成して、Windows ゲスト ユーザ アカウントを有効にします。

手順

1. 一部のWindows 名がUNIX 名と異なる場合、または一部の CIFS ユーザーがストレージ システ

ムにアクセスするのを防ぐ場合、/etc/usermap.cfg ファイルを編集します。

2. UNIX グループ データベース内にグループを作成します。

3. マッピングされたUNIX名を持つ各CIFS ユーザーに対して、UNIX パスワード データベースにユ

ーザー アカウントを入力します。

4. Administrator アカウントの名前を変更する場合、1 人以上のCIFSユーザがUNIX の root アカウ

ントにマッピングされていることを確認します。

5. UNIX パスワード データベース内にエントリが保持されていないCIFS ユーザーにストレージ シス

テムへのアクセスを許可する場合は、UNIX パスワード データベースにデフォルトのユーザー アカウントを作成し、wafl.default_unix_user オプションをそのユーザーに設定します。

6. 認証されていないユーザーにストレージ システムへのアクセスを許可する場合は、Windows ゲスト ユーザー アカウントを有効にします。

次のトピック

/etc/usermap.cfg ファイルのエントリの指定 root への Windows アカウントのマッピング UID および GID への UNIX 名のマッピング デフォルトの UNIX ユーザーアカウントの有効化または無効化 Windows ゲストユーザーアカウントの有効化または無効化

/etc/usermap.cfgファイルのエントリの指定

Data ONTAP では、/etc/usermap.cfg ファイルを使用してユーザ名をマッピングします。最も

単純な形式では、/etc/usermap.cfg ファイルの各エントリに Windows 名と UNIX 名のペアが

含まれています。Data ONTAP では、Windows 名を UNIX 名に変換したり、UNIX 名を

Windows 名に変換したりすることができます。

CIFS の開始時に/etc/usermap.cfg ファイルが見つからない場合は、デフォルトのファイルが

作成されます。デフォルトのファイルには、セキュリティの向上に役立つコメントアウトされ

たサンプル マップ エントリが含まれています。

Data ONTAP では、CIFS ユーザからの接続要求を受信すると、/etc/usermap.cfg ファイルが

Page 232: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

232 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

検索され、エントリがユーザの Windows ドメイン名およびユーザ名と一致するかどうかが確

認されます。

エントリが見つかった場合は、エントリに指定されている UNIX 名が使用され、UNIX パスワ

ード データベースから UID と GID が検索されます。UNIX 名が null 文字列の場合、CIFS ユ

ーザへのアクセスが拒否されます。

エントリが見つからない場合は、Windows 名が小文字に変換され、UNIX 名は Windows 名と

同じとみなされます。この UNIX 名を使用して、UNIX パスワード データベースから UID と

GID が検索されます。

ファイルは順次スキャンされ、最初に一致したエントリがマッピングに使用されます。

/etc/usermap.cfg ファイルの記述方法については、『Storage Management Guide』の/etc ディレクトリの内容に関する情報を参照してください。

手順

1. 各エントリは次の形式で指定します。

[IP_qualifier:] Windows_name [direction] [IP_qualifier:] UNIX_name

ファイルにコメントを入れる場合は、コメント行の先頭に#を付けます。コメントの先頭に#を付けた文をエントリの末尾に置くこともできます。空白の行は無視されます。

次のトピック

IP_qualifier フィールドについて Windows_name フィールドについて direction フィールドについて UNIX_name フィールドについて Data ONTAP による/etc/usermap.cfg 内のドメイン名の解釈 usermap.cfg エントリの例 ユーザー名をマッピングするためのガイドライン セキュリティを強化するための推奨されるエントリ NFS クライアントの確認

IP_qualifierフィールドについて

IP_qualifier フィールドは、照合の対象を絞り込むことによりユーザ名を修飾する IP アドレス

です。

IP 修飾子には、次のいずれかを指定できます。

• ビット表記法の IP アドレス。サブネット マスクにビット数を付けて、サブネットを指定できます。た

とえば、192.4.1.0/24 は 192.4.1.0 クラスC サブネットを表します。

• 名前。Data ONTAP では、最初に、名前はホスト名であるとみなされます。ホスト名データベース

内に一致するホスト名がない場合は、名前はネットワーク名とみなされます。

• ネットワーク名または IP アドレスとサブネット マスクを含んでいるサブネット アドレス (例えば、

corpnet/255.255.255.0 など)。

Page 233: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 233

メモ: Data ONTAP では、照合のときにのみIP 修飾子を使用します。マップ エントリのマ

ッピング先でIP 修飾子を使用する場合、ログイン要求はそのIP 修飾子からのものとはみ

なされません。

Windows_nameフィールドについて

Windows_name フィールドは、Windows ドメイン名(オプション)と Windows ユーザ名で

構成されています。

マップ エントリのマッピング元では、ドメインは、ユーザが属しているドメインを示します。

マップ エントリのマッピング先では、ドメインは、マッピングされた UNIX エントリに使用

されるドメインを示します。エントリ内のアカウント名がローカル ユーザ アカウントの場合、

Windows ドメイン名はストレージ システム名になります。

Windows_name フィールドにドメイン名を指定しないと、ストレージ システムがインストー

ルされているドメインが使用されます。ストレージ システムがローカル ユーザ アカウントを

使用して認証する場合、ドメイン名はストレージ システム名になります。

ワイルドカードとして次のようにアスタリスク(*)を使用できます。

• ドメイン マップ内の指定された名前が、指定されたUNIX 名にマッピングされるようにするには、

アスタリスクをマッピング元で使用する。

• 指定されたUNIX 名が、信頼できる任意のドメインにあるWindows 名にマッピングされるようにす

るには、アスタリスクをマッピング先で使用する。マッピングに使用される信頼できるドメインは、

一致するWindows 名が最初に見つかった場所によって異なります。cifs.search_domains オプ

ションで指定した信頼できるドメインだけが、指定された順に検索されます。このオプションを設定

していないと、すべての信頼できるドメインが、順不同で検索されます。

ユーザ名にスペースやシャープ記号を入れる場合は、名前を二重引用符で囲みます。たとえば、

"bob smith"または"eng#lab"\"#joe"のように入力します。

メモ: \は引用符で囲まないでください。

マップ エントリのマッピング先でユーザ名が空または空白(""と指定)になっている場合、一

致する UNIX 名によるアクセスが拒否されます。ユーザ名に空白のエントリを使用すると、一

部またはすべての UNIX ユーザに対してアクセスが拒否されます。これらのエントリを

IP_qualifier とともに使用すると、特定のホストまたはサブネットを除くすべての UNIX ユー

ザを除外できます。

directionフィールドについて

direction フィールドはマッピングの方向を示しています。

direction フィールドには次の表のいずれかの値を指定します。

direction フィールドの値 意味

== 双方向のマッピングを行います。 エントリはWindows から UNIX に、または UNIX から Windows に

Page 234: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

234 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

マッピングされます。 direction フィールドを指定しない場合は、==が適用されます。

<= エントリは UNIX から Windows へのマップを意味します。

=> エントリは Windows から UNIX へのマップを意味します。

UNIX_nameフィールドについて

UNIX_name フィールドは、UNIX パスワード データベース内の UNIX 名です。

マップ エントリのマッピング先で UNIX_name が空または空白(""と指定)の場合、指定され

たマッピング元の名前はログインを拒否されます。Windows ユーザは、ネットワークの参照

時にストレージ システムが表示されても、ストレージ システムにはログインできません。

UNIX 名にアスタリスク(*)を使用できます。アスタリスクはワイルドカード文字とみなさ

れます。これは、すべてのユーザを表します。Windows 名または UNIX 名でアスタリスクを

使用する場合は、次のガイドラインに注意してください。

• マッピング元でアスタリスクを使用する場合は、すべてのユーザが、マッピング先の指定された名

前にマッピングされます。

• マッピング先でアスタリスクが指定されているが、マッピング元では指定されていない場合、マッピ

ングは行われません。Data ONTAP では、明示的に指定された名前からアスタリスクで指定され

た名前へのマッピングは行われません。

• マッピング元とマッピング先の両方でアスタリスクが指定されている場合は、対応する名前がマッ

ピングされます。

Data ONTAPによる/etc/usermap.cfg内のドメイン名の解釈

ドットが含まれた/etc/usermap.cfg ファイル内のドメイン名に関する Data ONTAP の解釈方

法は、ストレージ ドメインが Windows NT ドメイン内にあるか、または Windows ActiveDirectory ドメイン内にあるかによって異なります。

ストレージ システムが Windows NT のドメイン内にインストールされている場合、ドメイン

名フィールドの長さが、ドメイン名の解釈に影響を与えます。

ストレージ システムが Windows Active Directory のドメイン内にインストールされている場

合、ドメイン名は Windows サーバでの解釈と同様に解釈されます。

ストレージ システムが Windows NT のドメイン内にある場合、domain\user という形式でド

ットが含まれているドメイン名は、次の規則に従って解釈されます。

• domain が 15 文字以内の場合、ドットが含まれている文字列全体がNetBIOS 形式のドメイン名

として認識されます。たとえば、次の名前ではmy_company.com がNetBIOS 形式のドメイン名

です。

my_company.com\john_smith

Page 235: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 235

• domain が 16 文字以上の場合、ドットは区切り文字として扱われ、最初のドットより前の文字列

がNetBIOS 形式のドメイン名になります。たとえば、次の名前ではengineeringがNetBIOS 形式

のドメイン名です。

engineering.1234567890corporation.com\john_smith

ストレージ システムが Windows Active Directory のドメイン内にある場合は、domain\user という形式でユーザ名を指定できます。domain 内の最初のドットより前の文字列が NetBIOS 形

式のドメイン名であり、domain 内の文字列全体が DNS ドメイン名です。

たとえば、次の名前では engineering が NetBIOS 形式のドメイン名で、

engineering.1234567890corporation.com が DNS ドメイン名です。

engineering.1234567890corporation.com\john_smith

usermap.cfgエントリの例

usermap.cfg エントリの例をいくつか示します。

次の表に、簡単な /etc/usermap.cfg エントリを示します。

エントリ 意味

"Bob Garj" == bobg Windows 名Bob Garj がUNIX 名bobg にマッピングされ、UNIX 名bobg がWindows 名BobGarj にマッピングされます。

mktg\Roy => nobody mktg ドメイン内のWindows 名Roy が、UNIX 名 nobody にマッピン

グされます。このエントリでは、Roy はログインできますが、UNIX 形式

のセキュリティが設定されたファイルへのアクセスは制限されます。

engr\Tom => "" engr ドメイン内のユーザTom のログインは許可されません。

次の表に、Windows 名でアスタリスクを使用する例を示します。

エントリ 意味

uguest <= * 照合されていないすべてのUNIX 名が、Windowsユーザuguest にマッ

ピングされます。

*\root => "" すべてのドメインにあるWindows 名root を使用したログインを許可しま

せん。

corporate\* == pcuser corporate ドメイン内の全てのユーザーを UNIX 名 pcuser にマップしま

す。Windows ユーザー名にアスタリスクが使用されているため、UNIX 名 pcuser のマッピングは行われません。

Engineer == * すべてのUNIX 名が、ストレージ システムのドメイン内にあるWindows 名Engineer にマッピングされます。UNIX ユーザ名にアスタリスクが 使用されているため、Windows 名Engineer へのマッピングはこれ以上

行われません。

次のいずれかのエントリ • homeusers\* * • homeusers\* == *

すべてのUNIX ユーザが、homeusers ドメイン内の対応する名前にマッ

ピングされます。たとえば、UNIX ユーザbob はhomeusers\bob にマッ

ピングされます。

Page 236: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

236 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

homeusers ドメイン内にあるすべてのWindowsユーザは、対応する

UNIX 名にマッピングされます。たとえば、homeusers ドメイン内の

Windows ユーザjohn は、UNIX 名john にマッピングされます。

次の表に、IP 修飾子の使用例を示します。

エントリ 意味

Engineering\* <= sunbox2:* sunbox2 というホストにあるUNIX 名が、Engineering ドメイン内の同じ

名前にマッピングされます。

Engineering\* <= 192.9.200.70:* IP アドレス 192.9.200.70 にあるUNIX 名が、Engineering ドメイン内の

同じ名前にマッピングされます。

""<= 192.9.200.0/24:* 192.9.200.0 サブネットのUNIX 名はnull 文字列にマッピングされるた

め、このサブネットからのすべてのNFS 要求は拒否されます。

192.9.200.0/24:test-dom\* => "" test-dom ドメイン内のすべてのユーザは、192.9.200.0 サブネットから

のアクセスを拒否されます。

*\* == corpnet/255.255.0.0: * すべてのドメイン内にあるすべてのユーザ名が、対応するUNIX 名にマ

ッピングされます。ユーザ名がドメイン全体で一意でない場合は、このエ

ントリを使用すると、異なるWindows 名が同じUNIX 名にマッピングされ

る場合があります。 IP 修飾子は照合のためだけに使用されるので、corpnet/255.255.0.0 と指定しても、Windows とUNIX 間のマッピング結果には影響を与えま

せん。 双方向のマッピングが行われるため、corpnet/255.255.0.0 ネットワーク

からのすべてのUNIX 名が、ストレージ システムのいずれかの信頼でき

るドメインにある同じ名前にマッピングされます。

ユーザー名をマッピングするためのガイドライン

いくつかのガイドラインに従って、簡単で分かりやすいエントリを作成してください。

マッピングを実効する場合は、次のガイドラインに注意してください。

• Windows ユーザー名と UNIX ユーザー名は、できる限り同じ名前を使用してください。同じ名前

にすると、/etc/usermap.cfg ファイルにマップ エントリを作成する必要がなくなります。

• 次のような分かりにくいマップ エントリは作成しないでください。

"tome s" => tjs

bill <= tjs

• 複数のユーザをさまざまなマッピング先にマッピングする場合には、IP 修飾子を使用しないでくだ

さい。たとえば、UHOST1 のUNIX ユーザtjs をWindows ユーザTom S にマッピングし、

UHOST2 のUNIX ユーザtjs をWindows ユーザSmith にマッピングすると、わかりにくくなりま

す。IP 修飾子はアクセスを制限するためだけに使用してください。

Page 237: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 237

セキュリティを強化するための推奨されるエントリ

不正ユーザのストレージ システムへのアクセスを防止するには、/etc/usermap.cfg ファイルに

複数のエントリを追加する必要があります。

Data ONTAP では、最初に一致したエントリを使用してマッピングを決定するため、ここで

推奨されるエントリをファイルにコピーするときは、エントリの順番が重要になるので注意し

てください。

マップ エントリ 意味

*\root => nobody root という名前のWindows ユーザはすべてログインできますが、

UNIX アクセス権は持っていません。マッピング先が異なるWindows ユーザrootのインスタンスの場合は、/etc/usermap.cfg ファイ

ルの最初の方にマップ エントリを明示的に追加します。

guest <= administrator guest <= root

最初のエントリは、UNIX からWindows Administrator アカウントへ

の妨害を防ぎます (Administrator アカウントの名前が変更されていない場合)。2 番目

のエントリは、UNIX ユーザ root をWindows guest アカウントにマッ

ピングします。2 番目のエントリは、ルート権限を持つ UNIX ホストまたはサブネットの明示的なマップ エントリのあとに記述

します。記述する場所は、/etc/usermap.cfg ファイルの最後付近にな

ります。

*\* => "" "" <= *

これらのエントリをファイルの最後に指定すると、他のマッピングが行

われるのを防ぐことができます。デフォルトでは、エントリが一致しない 場合、同じ名前を照合しようとしますが、このデフォルトの動作が回避

されます。

NFS クライアントの確認

マルチプロトコルのストレージ システムについては、NFS アクセスを usermap.cfg ファイル

にマッピングされたクライアントだけに制限することができます。

このセキュリティ制限は、非 Kerberos 環境、つまり主に CIFS クライアントに対応している

が、ある既知の(IP マッピングされた)NFS クライアントからの接続は許可したい環境にお

そらく最も適しています。nfs.require_valid_mapped_uid オプションの詳細については、

options(1)のマニュアル ページを参照してください。

rootへのWindowsアカウントのマッピング

環境内に CIFS クライアントだけが存在し、ストレージ システムがマルチプロトコル ストレ

ージ システムとして設定されている場合は、ストレージ システム上のファイルにアクセスす

るルート権限を持つ Windows アカウントが 1 つ以上必要です。このアカウントがないと、

/etc ディレクトリ内の一部の構成ファイルなど、UNIX 形式のセキュリティが設定されたファ

イルにアクセスできないため、ストレージ システムを管理できません。

ただし、ストレージ システムが NTFS 専用に設定されている場合、/etc ディレクトリには、

Page 238: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

238 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ファイルレベルの ACL があります。この ACL によって、管理者グループは Data ONTAP 構成ファイルにアクセスすることができます。

手順

1. 次の作業のいずれかを実行します。

アカウントをroot にマッピングするグ

ループ

操作

管理者の場合 wafl.nt_admin_priv_map_to_root オプションがon に設定されていることを確認します。

結果:アカウントをルートにマッピングする/etc/usermap.cfg エントリを指定していない場

合でも、管理者グループ内のすべてのアカウントがルートとみなされます。

管理者グループに属するアカウントを使用してファイルを作成する場合、UNIX クライア

ントからファイルを表示するときに、ファイルはルートによって所有されます。

選択したアカウント ルートにマッピングされるアカウントごとに、/etc/usermap.cfg エントリを追加します。 メモ: マルチプロトコル ストレージ システム上のルートにマッピングされるWindows アカ

ウントが 1 つ以上必要になります。このアカウントがない場合は、どのアカウントも/etc ディレクトリの構成ファイルにアクセスできません。

次のコマンドを入力して、wafl.nt_admin_priv_map_to_root オプションを無効にします。 options wafl.nt_admin_priv_map_to_root off 結果:管理者グループ内のアカウントがルートにマッピングされなくなります。UNIX

形式のセキュリティが設定されたファイルへアクセスできるのは、/etc/usermap.cfg フ

ァイル内でルートへのマッピングを指定した管理者グループ内のアカウントだけにな

ります。管理者グループ内のアカウントごとにUNIX ID が設定されます。

UIDおよびGIDへのUNIX名のマッピング

CIFS ユーザが UID と GID を取得するには、ユーザの UNIX 名に対応する UNIX アカウントを

UNIX パスワード データベース内に作成する必要があります。

Data ONTAP では、各 UNIX 名の UID とプライマリ GID が UNIX パスワード データベースか

ら取得されます。UNIX グループ データベースから UNIX 名のセカンダリ GID が取得されま

す。UNIX 名がパスワード データベース内にない CIFS ユーザでも、デフォルトの UNIX ユー

ザ アカウントを有効にすると、UID を取得できます。

ストレージ システムが、cifs setup を実行する前の NIS クライアントの場合、/etc/passwd ファイルは自動的に作成されません。cifs setup の実行時に NIS が無効になっている場合は、

/etc/passwd ファイルが自動的に作成されます。

NIS サーバに障害が発生し、ストレージ システムが/etc/passwd ファイルを保持していない場

合、CIFS ユーザはストレージ システムに接続できなくなります。NIS が使用できない場合で

もストレージ システムが CIFS ユーザの UNIX クレデンシャルを取得できるように、

Page 239: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 239

/etc/passwd ファイルを作成しておくことができます。

デフォルトの/etc/passwd ファイルには、次の UNIX 名のエントリが含まれています。

• root

• pcuser

• nobody

/etc/group ファイルと /etc/passwd ファイルの形式の詳細については、Storage Management Guide を参照してください。

手順

1. 次の作業のいずれかを実行します。

使用状況 作業

/etc/passwd ファイルではNISを使用する

場合 各 CIFS ユーザーの UNIX 名を NIS パスワード マップに追加し

ます。

NIS ではなく /etc/passwd ファイルを使用

する場合 各ユーザのUNIX 名に対して、/etc/passwd ファイルにエントリを

追加します。Data ONTAP はパスワードのエントリを作成するコ

マンドをサポートしていないので、passwd コマンドをサポートす

るUNIX ホストを使用して、/etc/passwd ファイルをホスト上に作

成します。作成したファイルは、ホストからストレージ システムに

コピーします。

デフォルトのUNIXユーザーアカウントの有効化または無効化

ときどきストレージ システムに接続する必要はあるが、UNIX パスワード データベース内に

個別のエントリを作成する必要がないユーザに対しては、デフォルトの UNIX ユーザ アカウ

ントを作成します。これらのユーザはデフォルトのユーザ アカウントを使用して、ストレー

ジ システムに接続します。

デフォルト ユーザのデフォルトの UNIX 名は pcuser です。wafl.default_unix_user オプション

を使用して、別の名前を指定できます。このオプションが null 文字列に設定されている場合

は、どのユーザも UNIX デフォルト ユーザとしてストレージ システムにアクセスできません。

つまり、各ユーザが、ストレージ システムにアクセスできるようにするには、パスワード データベースにアカウントを持つ必要があります。

ユーザがデフォルトのユーザ アカウントを使用してストレージ システムに接続するには、次

の前提条件を満たす必要があります。

• ユーザーが認証されていること

• ユーザーが信頼できるドメインに属していること

• そのユーザー名が /etc/usermap.cfg ファイル内でnull文字列にはマッピングされていないこと

クォータが有効になっている場合、デフォルトのユーザ アカウントは他のユーザと同様にク

ォータ制限の対象となります。たとえば、デフォルトのユーザ名が pcuser で、デフォルトの

ユーザ クォータが/vol/vol0 ボリュームに適用される場合、pcuser はこのデフォルトのユーザ

Page 240: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

240 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

クォータによって制限されます。デフォルト ユーザに適用するクォータの詳細については、

Data ONTAP『Storage Management Guide』のデフォルト ユーザが所有するディスク スペー

スの計算方法に関するセクションを参照してください。このセクションは、クォータを使用し

たディスク スペースの管理に関する章に記載されています。

手順

1. 次の作業のいずれかを実行します。

目的 操作

デフォルトの UNIX ユーザー アカウントを無

効にする場合

次のコマンドを入力します。 options wafl.default_unix_user "" 結果: パスワード データベースにアカウントがあるユーザーのみがストレージ システ

ムにアクセスできます。

デフォルトの UNIX ユーザー アカウントを有

効にする場合

NIS パスワード データベースまたは /etc/passwd ファイルに、pcuser アカウントの

エントリを作成します。

デフォルトの UNIX ユーザー アカウントの名

前を pcuser から別の

名前に変更する場合

wafl.default_unix_user オプションを、デフォルトの UNIX ユーザー アカウントの新

しい名前に設定します。 たとえば、次のコマンドを入力して、デフォルトのユーザー名を someuser に変更し

ます。 options wafl.default_unix_user someuser

Windowsゲストユーザーアカウントの有効化または無効化

Windows ゲスト ユーザー アカウントを有効にする影響は、ストレージ システムのユーザ認

証方法によって異なります。

次に考えられる影響を示します。

• ストレージ システムがドメイン コントローラまたはローカル ユーザ アカウントを使用してユーザを

認証する場合、Windows ゲスト ユーザ アカウントを有効にすると、信頼できないドメインからロ

グインしたユーザがストレージ システムに接続する可能性があります。これらのユーザは、Guest アカウント専用に作成されたUNIX UID を使用します。Guest としてログインしたユーザは、ホー

ム ディレクトリを持ちません。

• ストレージ システムがUNIX パスワード データベースを使用してユーザを認証する場合、

Windows ゲスト ユーザ アカウントを有効にすると、デフォルトのUNIX アカウントを有効にする場

合と同じ効果があります。ただし、Guest としてログインしたユーザは、ホーム ディレクトリを持ち

ません。

手順

1. 次の作業のいずれかを実行します。

目的 作業

Windows ゲスト ユ 次のコマンドを入力します。

Page 241: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 241

目的 作業

ーザー アカウントを

無効にする場合 options cifs.guest_account ""

Windows ゲスト ユーザー アカウントを

有効にする場合

NIS パスワード データベースまたは /etc/passwd ファイルに、ゲスト アカウントが使

用するユーザー アカウントを作成します。次のコマンドを入力して、UNIX パスワード データベースで使用するゲスト ユーザー アカウント名を指定します。 options cifs.guest_account unix_name unix_name は、 UNIX パスワード データベースでのユーザー アカウントの名前で

す。

SID と名前のマッピングキャッシュの管理

CIFS では、ユーザ認証、クォータ管理、コンソール コマンドの処理、およびさまざまな

RPC 応答を行うときに、頻繁にセキュリティ識別子(SID)をユーザ名やグループ名にマッ

ピングしたり、ユーザ名やグループ名をセキュリティ識別子にマッピングする必要があります。

SID と名前のマッピング キャッシュには、SID を Windows 2000 より前のユーザ名およびグ

ループ名に対してマッピングするエントリが格納されます。

この作業について

ストレージ システムは、ドメイン コントローラに照会して、SID と名前のマッピング情報を

取得します。同じ名前を何度も参照しないように、ドメインコントローラから受け取った SID と名前のマッピング情報がストレージ システム上の SID と名前のマッピングキャッシュに保

存されます。

ストレージシステムではデフォルトで、SID と名前のマッピング キャッシュが有効になりま

す。エントリの有効期間を変更したり、エントリを消去したり、SID と名前のマッピングキャ

ッシュをオンまたはオフにすることによって、キャッシュを手動で制御できます。

キャッシュは、CIFS サービスを終了したり再起動しても維持されますが、リブートやテイク

オーバーおよびギブバックのあとは維持されません。ストレージ システムは、SID と名前の

マッピング情報が必要なとき、まず SID と名前のマッピング キャッシュ内で一致するエント

リを探します。一致するエントリが見つからない場合や、期限切れのエントリが見つかった場

合、ストレージ システムは最新のマッピング情報の存在について適切なドメイン コントロー

ラに照会します。ドメイン コントローラが使用できない場合、ストレージ システムは期限切

れのマッピング エントリを使用することがあります。

名前の検索に SID と名前のマッピング キャッシュを使用する主な利点は、次のとおりです。

• 認証パフォーマンスが向上します。

• マッピング操作を実行したことにより、ユーザへのコンソールコマンドの応答が速くなります。

次のトピック

SID と名前のマッピングキャッシュの有効化と無効化 SID と名前のマッピングエントリの有効期間の変更 SID と名前のマッピングキャッシュの全体または一部の消去

Page 242: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

242 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

SIDと名前のマッピングキャッシュの有効化と無効化

SID と名前のマッピング キャッシュを有効または無効にするには、cifs.sidcache.enable オプ

ションをそれぞれ on または off に設定します。

手順:

1. 以下の操作のいずれか一つを実行してください。

SID と名前のマッピングキャッシュの設定 操作

有効にする場合 以下のコマンドを入力します。 options cifs.sidcache.enable on

無効にする場合 以下のコマンドを入力します。 options cifs.sidcache.enable off

SIDと名前のマッピングエントリの有効期間の変更

SID と名前のマッピング エントリの有効期間を変更するには、cifs.sidcache.lifetime オプショ

ンを設定します。

手順:

1. 以下のコマンドを入力します。

options cifs.sidcache.lifetime time

time は、新しいマッピングエントリの期限までの使用時間を分で表した値です。

SIDと名前のマッピングキャッシュの全体または一部の消去

期限から 1 週間を過ぎたエントリは、SID と名前のマッピング キャッシュから定期的に自動消去され

ます。ただし、ユーザがアカウントまたはユーザ名を変更した場合は、SID と名前のマッピング キャッ

シュ内のエントリを手動で消去する必要があります。また、SID と名前のマッピング キャッシュをすべ

て手動で消去して、ドメイン コントローラを使用できない場合にストレージ システムが期限切れのエン

トリを使用しないようにすることもできます。

手順:

1. 以下の操作のうちいずれかを行います。

SID と名前のマッピン

グキャッシュエントリ

の消去対象

操作

すべての Windowsドメイン、ユーザー、グ

次のコマンドを入力します。 cifs sidcache clear all

Page 243: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 243

ループ、及び SID

特定のWindows ドメ

イン 以下のコマンドを入力してください。 cifs sidcache clear [domain] domain は、消去するキャッシュ入力のWindows ドメインです。 ドメインを特定しない場合は、ストーレジシステムのホームドメインのエントリがキャ

ッシュから消去されます。

特定のユーザーまた

はグループ 以下のコマンドを入力してください。 cifs sidecache clear user username usernameは、キャッシュから消去する特定の Windows ユーザーまたはグループ

のエントリです。ユーザー名は以下の方法で指定できます。

• domain / username

• username ドメインを使用しないでユーザ名を指定すると、ストレージシステムのホームドメイ

ンがドメインに使用されます。

特定の SID 以下のコマンドを入力します。 cifs sidcache clear sid textualSid textualSid は、キャッシュから消去するテキスト形式の SID です。標準的な「S-1-5…」構文を使用して SID を指定します。

例: cifs sidcache clear sid S-1-5-21-4503-17821-16848-500

LDAP(Lightweight Directory Access Protocol)サービスの使用

Data ONTAP は、NFS と CIFS 間のユーザー認証、ファイルアクセス認証、ユーザー検索,およびマッピングサービスのための LDAP、及び LDAP over Secure Sockets Layer(SSL)をサ

ポートしています。

タスク概要

LDAP サーバーを使用するとユーザー情報を集中的にできるようになります。その結果、ネッ

トワーク上の各ストーレジ システムの構成ファイルを保守する必要がなくなります。ネット

ワーク上にいくつかのストーレジ システムを有する場合は、ユーザー情報を集中的に保守す

ると、ユーザー或いはグループを追加または削除するたびに、各ストーレジ システム上のこ

れらのファイルを更新する必要がなくなります。

ユーザーデータベースを LDAP サーバーに保存する場合、LDAP データベースのユーザー情報

を検索するようストーレジ システムを設定することができます。例えば、コンソールおよび

と rsh、telnet、http、https、ssh の各プロトコルの管理ユーザのログインおよびパスワード情

報を LDAP サーバ上に保存することで、これらの情報の集中管理が可能になります。

Data ONTAP LDAP サポートには、LDAP サーバーの以下の種類が含まれています。

• Netscape

• iPlanet

• OpenLDAP

Page 244: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

244 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

• Windows Active Directory

• Novell NDS

Data ONTAP は、署名が必要な LDAP サーバーへの接続をサポートします。LDAP 署名のサポ

ートはデフォルトで有効です。

次のトピック

LDAP サービスの設定 クライアント認証と許可の管理 LDAP ユーザマッピングサービスの管理 ユーザーマッピングのためのベースと範囲の指定 Active Directory LDAP サーバの管理 LDAP スキーマの管理

LDAPサービスの設定

このセクションでは、LDAP データベースに接続するための設定に役立つ情報を提供します。

次のトピック

一般的な検索ベースと範囲の指定 ユーザ検索用の検索ベースと範囲値の指定 LDAP サーバーの指定 優先 LDAP サーバーの指定 LDAP の有効化と無効化 LDAP トラフィックのための SSL の有効化と無効化 LDAP トラフィックのための SSL 用ルート証明書のインストール /etc/nsswitch.conf ファイルへの Idap エントリの追加 管理ユーザー名の指定 管理パスワードの指定 管理ユーザーの一元管理の有効化 LDAP ポートの指定 LDAP サーバーオプションの優先順位

一般的な検索ベースと範囲の指定

LDAP ベースは、ユーザー情報が保存されている LDAP ツリーの識別名です。LDAP サーバー

に送信された全ての検索要求は、ldap.base.passwd、ldap.base.group、或いは

ldap.base.netgroup のようなより具体的なベースと範囲検索値によって制限されない限り、

ldap.base オプション値によって特定された検索ベースと範囲に制限されます。

手順:

1. 以下のコマンドを入力してください。

options ldap.base name

Page 245: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 245

name は、基本識別名です。名前にスペースが含まれている場合は、これを引用符で囲んでくだ

さい。

例:

options ldap.base “o=exmaplecompany,c=us”

ユーザ検索用の検索ベースと範囲値の指定

必須ではありませんが、LDAP 検索要求専用のベースおよび範囲値を指定して、ユーザの検索

照会を LDAP データベースのユーザアカウントブランチに限定できます。すべての照会の検

索ベースと範囲を制限するとパフォーマンスは著しく向上します。

手順:

1. ldap.base.passwd オプションに指定することにより、LDAP データベースに定義した通りに、ユー

ザーパスワード検索のためのベースおよび範囲検索値を設定します。例:

options ldap.base.passwd “ou=People,dc=companydomain,dc=com”

2. LDAP データベースに定義した通りに、グループ検索のためのベースと範囲検索値

「ldap.base.group」を設定します。 例:

options ldap.base.group “ou=Groups,dc=companydomain,dc=com”

3. LDAP データベースに定義されている通りに、ネットグループ検索のためのベースと範囲検索値

「ldap.base.group」を設定してください。例:

options ldap.base.group “ou=Netgroups, dc=companydomain,dc=com”

いったん ldap.base.passwd および ldap.base.group の検索ベースおよび範囲値が指定される

と、パスワードおよびグループ検索については、これらの値が ldap.base に設定された検索ベ

ースおよび範囲値より優先されます。

LDAPサーバーの指定

LDAP 照会のために使用される LDAP サーバを指定するには、ldap.servers オプションを設定

します。

手順:

1. 以下のコマンドを入力してください。

options ldap.servers “name[name…]”

name は、LDAP サーバーの名前です。引用符で囲まれたスペース区切りリストを使用して、複

数のサーバー名を入力することができます。Data ONTAP は、これらのサーバを指定された順

で接続の確立を試行します。

メモ:Windows LDAP サーバーを IP アドレスではなく、名前として指定し、/etc/hosts ファ

イルに Windows LDAP サーバーの IP アドレスと名前を指定している場合は除き、

Windows LDAP サーバでは SASL を使用しないで単純認証を使用します。/etc/hosts ファイ

Page 246: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

246 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ルの編集方法に関しては、「Data ONTAP 7-Mode System Administration Guide」を参照し

てください。

例:

options ldap.servers “server1 server2”

優先LDAPサーバーの指定

優先 LDAP サーバーを指定するために ldap.servers.preferred を設定することができます。こ

れにより、より高速のリンクにある LDAP サーバーを指定することができます。

手順:

1. 以下のコマンドを入力してください。

options ldap.servers.preferred “name[name…]”

「name」は、優先 LDAP サーバーの名前です。引用符で囲まれたスペース区切りリストを使用し

て複数のサーバー名を入力することができます。

例:

options ldap.servers.preferred “server1 server2”

LDAPの有効化と無効化

ldap.enable オプションをそれぞれ on または off に設定することで、LDAP を有効、または無

効にすることが可能です。

手順:

1. 以下の操作のうちの一つを実行してください。

目的 作業

LDAP を有効にする場合 以下のコマンドを入力します。 options ldap.enable on

LDAP を無効にする場合 以下のコマンドを入力します。 options ldap.enable off

LDAPトラフィックのためのSSLの有効化と無効化

LDAP トラフィックの Secure Sockets Layer(SSL)暗号化を有効または無効にするには、

ldap.ssl.enable オプションをそれぞれ on または off に設定します。

LDAP のための SSL を有効にすることに加え、ルート機関が署名した証明書がストレージ システムにインストールされている必要があります。

メモ:ストーレジ システムとサーバーの証明書は両方とも同一の証明書署名機関から発行さ

Page 247: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 247

れる必要があります。

手順:

1. 以下の操作のうち一つを実行してください。

LDAP のための SSL 設定 操作

有効にする場合 以下のコマンドを入力します。 options ldap.ssl.enable on

無効にする場合 以下のコマンドを入力します。 options ldap.ssl.enable off

LDAPトラフィックのためのSSL用ルート証明書のインストール

LDAP トラフィックの SSL による暗号化に使用されるルート証明書をストレージ システムに

インストールするには、keymgr コマンドを使用します。

手順:

1. 信頼できる署名機関から証明書をストーレジ システムにダウンロードします。ストーレジ システム

上の証明書の保存場所を覚えておきます。

2. 以下のコマンドを入力します。

keymgr install root certificate_filename

certificate_filename は、証明書の完全なファイル名です。keymgr コマンドで証明書をインストー

ルしたら、ストーレジ システム上のコピーを削除できます。

例:

keymgr install root /etc/my_cert

メモ:ストーレジ システムとサーバの証明書は、両方とも同一の証明書署名機関から

発行される必要があります。

3. LDAP ポートをポート 636 に設定します。

/etc/nsswitch.conf ファイルへのIdapエントリの追加

/etc/nsswitch.conf ファイルに ldap エントリ を追加すると、UNIX クライアント認証に LDAPを使用できるようになります。

手順:

1. 編集のためにストーレジ システム上で/etc/nsswitch.conf ファイルを開きます。

2. passwd、group、及び netgroup 行に以下を入力します。

ldap

オプションで passwd 行に files、nis、またはその両方を追加できますが、ユーザ情報を検索する

ためのプライマリ メカニズムとして LDAP を使用する場合、これらは ldap のあとに入力する必要

があります。

Page 248: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

248 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

passwd: ldap files nis

3. ファイルを保存します。

管理ユーザー名の指定

使用環境で匿名認証が機能しない場合は、管理照会で UID および GID の検索に使用する管理

ユーザ名を指定する必要があります。

手順:

1. 以下のコマンドを入力します。

options ldap.name name

name は、管理照会に使用する LDAP の識別名です。最良の方法は、これを LDAP データベ ースへの読み取り専用アクセス権を持つユーザの名前とすることです。名前にスペースが含まれ

ている場合は、これを引用符で囲んでください。

例:

options ldap.name “cn=root,o=examplecompany,c=us”

管理パスワードの指定

管理パスワードを設定するには、ldap.passwd オプションを設定します。

手順:

1. 以下のコマンドを入力してください。

options ldap.passwd password

password は、管理ユーザーのためのパスワードです。

パスワードは、連続したアスタリスクで表示されます。

管理ユーザーの一元管理の有効化

コンソールおよび rsh、telnet、HTTP、HTTPS の各プロトコルを使用する Data ONTAP 管理

ユーザの一元管理を有効にするには、適切なオプションを設定します。

手順:

1. security.admin.authentication オプションの値には、nsswitch を必ず含めてください。

例えば、次のいずれかのコマンドを入力します。

options security.admin.authentication nsswitch

options security.admin.authentication internal,nsswitch

options security.admin.authentication nsswitch,internal

Page 249: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 249

2. security.admin.nsswitchgroup オプションの値を、管理アクセスが許可されたユーザーを指定し

た nsswitch.conf ファイルのグループ名に設定します。

例:

組織内のエンジニア全員に管理アクセスを許可する場合は、engineers という名前のユーザーグループを作成

し、組織内の全エンジニアをそのグループに追加してから、以下のコマンドを入力します。 options security.admin.nsswitchinggroup engineers

LDAPポートの指定

LDAP サーバが LDAP のデフォルトであるポート 389 以外のポートを使用するようセットア

ップされている場合は、LDAP 照会に使用するポートの指定が必要となることがあります。

手順:

1. 以下のコマンドを入力してください。

options ldap.port N

N は、LDAP ポート番号です。

LDAPサーバーオプションの優先順位

Data ONTAP では、LDAP サーバーオプション設定に基づいて LDAP サーバーが選択されます。

サーバー指定オプション サーバー選択順序

ldap.preferred.servers このオプションが指定された場合、まずこのオプション値に記

載されたサーバーがリストの順に従い試されます。

ldap.servers ldap.preferred.servers が指定されなかった場合、または指

定されたサーバが利用できなかった場合、このオプション値

に示されたサーバがリストの順序に従い試されます。

ldap.ADdomain ldap.preferred.servers および ldap.servers が指定されなか

った場合または利用できなかった場合、このオプション値に指

定されたサーバが、ドメイン コントローラ選択方法を使用して

試されます。

クライアント認証と許可の管理

UNIX または Windows クライアントに関する LDAP 認証を有効にしたり、Windows クライア

ントから UNIX ファイルへのアクセス、および UNIX クライアントから NTFS ファイルまたは

mixed ファイルへのアクセスに関する LDAP 許可を有効にしたりできます。

次のトピック

LDAP ベースの UNIX クライアント認証の有効化 LDAP ベースの Windows クライアント認証の有効化 Windows クライアントからの NFS ファイルアクセスに関する LDAP 認証を有効化

Page 250: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

250 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

UNIX クライアントからの NTFS または mixed ファイルシステムアクセスに関する LDAP 許可の有

効化

LDAPベースのUNIXクライアント認証の有効化

LDAP ベースの UNIX クライアント認証を有効にするには、/etc/nsswitch.conf ファイルの passwd 行に ldap が入力されていることを確認します。

LDAPベースのWindowsクライアント認証の有効化

LDAP サーバを通して Windows クライアントを認証するには、/etc/nsswitch.conf ファイルの

passwd 行に ldap を追加して、さらに次の手順を実行します。

手順

1. アクセスするストレージ システム上で cifs setup を実行し、ストレージ システム上で CIFS クライ

アントのために使用する認証方法として NIS/LDAP を指定します。

2. Kerberos または他の暗号化認証方法ではなく平文の(暗号化されていない)パスワード認証を

使用するよう、各 Windows クライアントのローカル セキュリティを設定します。

3. Windows クライアントが、LDAP ユーザ データベースで設定された userpassword 属性を持っ

ていることを確認します。

WindowsクライアントからのNFSファイルアクセスに関するLDAP認証を有効化

LDAP 認証を使用するストレージ システム上の UNIX ファイルへの Windows クライアント アクセス

の許可を有効にするには、2 つのタスクを実行します。

手順

1. アクセスするストレージ システム上で、UNIX ファイルにアクセスする必要のあるすべての CIFS ユーザが usermap.cfg ファイルの対応する UNIX ユーザ名にマッピングされていることを確認し

ます。

2. すべての対応する UNIX ユーザー名が、LDAP データベースにエントリを持つことを確認します。

3.

UNIXクライアントからのNTFSまたはmixedファイルシステムアクセスに関するLDAP許可の有効化

LDAP 認証を使用するストレージ システム上の NTFS ファイルまたは mixed ファイルシステムへの

UNIX クライアント アクセスの許可を有効にするには、いくつかのタスクを実行します。

手順

1. NTFS または mixed ファイルシステムにアクセスする必要があるすべての UNIX ユーザーが、

LDAP データベース内のエントリを持っていることを確認します。

2. アクセスするストレージシステム上で、NTFS ファイルまたは mixed ファイルにアクセスする必要

がある全ての UNIX ユーザが usermap.cfg ファイルの対応する CIFS ユーザー名にマップされ

ていることを確認します。

Page 251: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 251

LDAPユーザマッピングサービスの管理

NIS データを使用したり、usermap.cfg ファイルにエントリを追加しなくても、LDAP サービスを使用し

て UNIX と Windows のユーザーアカウントのマッピングを行うことができます。デフォルトでは、両方

向 (UNIX から Windows へのマッピング、および Windows から UNIX へのマッピング)で同じ(1 対 1)ユーザーアカウントの解決プロセスが使用されます。

タスク概要

デフォルトでは、LDAP ベースのユーザ マッピングは無効です(Data ONTAP は、/etc/usermap.cfg ファイルからユーザ マッピング情報を検索します)。

ファイルベースのユーザ マッピングから LDAP へ変換する場合は、usermap.cfg ファイルから(null セッション エントリを除く)マッピング エントリを削除する必要があります。マッピング エントリがそのフ

ァイルに存在すると、そのエントリは LDAP レコードの代わりにユーザ マッピングに使用されます。

Data ONTAP で null セッションを設定した場合、必ず usermap.cfg ファイルに null セッション クライ

アント エントリを残してください。

Data ONTAP が LDAP 検索サービスへアクセスできるようにするため、UNIX ユーザ アカウント情

報が非 Active Directory LDAP サーバに保存されている場合は、その LDAP サーバを単純認証ま

たは匿名ユーザ検索を許可するよう設定する必要があります。

手順

1. Data ONTAP コマンドラインから、オプション ldap.usermap.attribute.windowsaccoun の値を指

定します。

options ldap.usermap.attribute.windowsaccount account_name

account_name は、 Data ONTAP が Windows アカウント検索に使用するユーザーオブジェクト

の属性です。

2. LDAP スキーマを拡張して、手順 1で入力したユーザオブジェクト属性を含めます。

3. Data ONTAP コマンドラインから、ldap.usermap.attribute.unixaccount オプションに値を指定し

ます。

options ldap.usermap.attribute.unixaccount account_name

account_name は Data ONTAP が UNIX アカウント検索に使用するユーザーオブジェクトの属

性です。

4. LDAP スキーマを拡張して、手順 3で入力した値を含めます。

5. 次のコマンドを入力します。

options ldap.usermap.enable on

LDAP サーバの負荷が大きい場合は、次のセクションで説明するように、ユーザ マッピングのた

めの別の検索ベースまたは検索ベースと範囲を設定することによりパフォーマンスを高めること

ができます。

Page 252: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

252 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ユーザーマッピングのためのベースと範囲の指定

LDAP オプションを使用すると、検索ベースと範囲を設定して、LDAP データベースの適切な領域に

属性検索を限定するために設定することができます。これらのオプションを設定すると LDAP 検索の

速度が向上します。

手順

1. 検索ベースと範囲を指定する場合は、次の構文を使用します。ベースと範囲値は LDAP の デー

タの構造に対応している必要があります。

options ldap.usermap.base "base[:scope][;base2[:scope2]]"

例 このコマンドを入力すると、ユーザマッピングの検索と検索ベースを ou=People,dc=domain0 に設定され、そ

して(指定されていない)検索範囲がデフォルトは SUBTREE に設定します。 options ldap.usermap.base ou=People,dc=domain0” 括弧を使用することにより、指定された検索範囲を(BASE)がou=People,dc=domain0に適用されます。. o ("org")オブジェクトの指定されていない検索範囲は、デフォルトのSUBTREEに設定されます。 options ldap.usermap.base "(ou=People,dc=domain0):BASE;o=org

終了後

検索ベースと範囲の値の詳細については、LDAP のマニュアルを参照してください。

Active Directory LDAP サーバの管理

Data ONTAP では、LDAP 検索サービスのために Active Directory を接続する機能を提供します。

次のトピック

Active Directory LDAP サーバの使用 Active Directory LDAP サーバの要件 Active Directory LDAP 検索サービスの有効化 Active Directory LDAP サーバ接続の監視 Active Directory LDAP サーバ接続のトラブルシューティング Active Directory LDAP サーバ接続のプールと選択について Active Directory サーバでの ldap.servers および ldap.preferred.servers オプションの使用禁止

Active Directory LDAPサーバの使用

LDAP サービスに Active Directory を使用するには、完全修飾 Active Directory ドメインを Data ONTAP の ldap.ADdomain オプションに入力します。

Active Directory を使用して Windows から UNIX へのマッピングが実行されると、Data ONTAP は

次のことを行います。

• ユーザアカウントが、そのアカウントに指定された Active Directory ドメイン内に存在することを確

認します。

Page 253: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 253

• ldap.ADdomain オプションで指定された Active Directory ドメインへの照会を行います。

• UNIX ユーザアカウント情報を戻し、ユーザーアカウントが存在することを確認します。

Active Directory LDAPサーバの要件

Active Directory を LDAP サーバとして使用するには、いくつかの処理を行う必要があります。

Active Directory を LDAP サーバとして使用するために必要な処理は、次のとおりです。

• 有効な CIFS ライセンスを所有します。

• ストレージシステムを Active Directory ドメインに加えます。

• ストレージシステムのドメインと LDAP サーバのドメインが異なる場合、両者の間に双方向の信

頼関係を確立します。

Active Directory LDAP検索サービスの有効化

Active Directory の LDAP 検索サービスを有効にするには、いくつかのタスクを実行します。

手順

1. UNIX ユーザーアカウント情報が Active Directory にない場合、または匿名ユーザ 検索を許可

するように設定された LDAP サーバ内にない場合は、ldap.name と ldap.passwd オプションに、

LDAP 検索で使用するためのユーザー名とパスワードをそれぞれ入力します。

options ldap.name user_name

options ldap.passwd password

2. /etc/nsswitch.conf ファイルで、passwd エントリ、group エントリ、またはその両方に ldap を指定

することで、使用する検索サービスとして LDAP を指定します。

3. カスタムスキーマがある場合は、NSSMAP オプションの値を入力します。

4. Data ONTAP コマンドラインから、次のコマンドを入力します。

options ldap.ADdomain fully_qualified_domain_name

options ldap.ADdomain group.company.com

メモ: 入力するドメインはローカルドメインまたはローカルドメインと信頼関係を共用す

るドメインのどちらかである必要があります。

Active Directory LDAPサーバ接続の監視

Active Directory の LDAP サーバの接続を監視するために、 すべてのLDAPサーバタイプのActive Directory LDAP サーバ情報および接続テータスを表示します。

手順

Page 254: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

254 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

1. 次の操作のいずれかを実行します。

目的 操作

Active Directory LDAP サーバ情報を表示する場合

次のコマンドを入力します。 cifs domaininfo 結果:ドメインコントローラ接続およびドメインコントローラ選択優先のリ

ストに従い、Active Directory LDAP サーバーの接続のリストが表示さ

れ、次に LDAP サーバ選択優先のリストが表示されます。

すべての LDAP サーバタイプの接続

状態を表示する場合 次のコマンドを入力します。 netstat 結果:Active Directoryおよび非 Active Directory LDAP サーバの両

方の接続状態情報が、ポート389(または、ldap.port オプションで割り

当てられた非デフォルト値)に表示されます。

Active Directory LDAPサーバ接続のトラブルシューティング

すべてのドメイン コントローラのアドレス検出と接続処理を記録するようにData ONTAPを設定するに

は、cifs.trace_dc_connection オプションをon に設定します。

手順

1. 次のコマンドを入力します。

options cifs.trace_dc_connection on

すべてのドメインコントローラのアドレス検出と接続処理がシステムログに記録されます。

Active Directory LDAPサーバ接続のプールと選択について

Data ONTAPでは、LDAPのパフォーマンスを向上させるためにいくつかの操作を実行します。

操作は、次のとおりです。

• Active Directory LDAP サーバ接続は、ドメインごとにプールされます。

• 現在のLDAPサーバから応答を受信しない場合、次の接続は事前の利用可能な次のLDAPサー

バーに対して行われます。

• Data ONTAPは毎分チェックを行い、より良いLDAPサーバが使用可能になっているかどうかチェ

ックします。

• Data ONTAPは 4 時間ごとに使用可能なActive Directory LDAPサーバを検出し、リストを並べ

替え、次の順序でサーバーをソートします。

• prefdc コマンドで指定された順番に残された優先サーバ

• 応答時間の早い順にソートされた優遇サーバ

• 応答時間の早い順にソートされたその他のActive Directory LDAPサーバ

Page 255: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 255

Active Directoryサーバでのldap.serversおよびldap.preferred.serversオプションの使用禁止

Data ONTAP は ldap.servers と ldap.preferred.servers オプションで指定されたサーバに接続し、

簡単なバインドを使用して認証を試みます。簡単なバインドはActive Directoryサーバとの接続を確

立するのに十分な認証を提供しないため、これらの 2 つのオプションの値内に Active Directory サー

バを指定しないでください。

LDAPスキーマの管理

デフォルトでは、Data ONTAPはNetwork Information Service(NIS)形式のスキーマを指定する

RFC 2307 準拠LDAPサーバをサポートしています。LDAPオプションのデフォルト値をカスタム属性

名に置き換えData ONTAP 設定にカスタム(非RFC 2307 準拠)スキーマを照会するよう設定できま

す。

タスク概要

RFC 2307 準拠したスキーマは、LDAP照会に使用するLDAPサーバ上で拡張する必要があります。

詳細情報については、RFC 2307、またはサードパーティのディレクトリ統合ベンダーのマニュアルを

参照してください。

次のトピック

デフォルトのスキーマについて LDAP スキーマと一致させるためのカスタムスキーマオプションの変更

デフォルトのスキーマについて

デフォルトでは、Data ONTAP のスキーマ変数は、適切なRFC 2307 の値に設定されます。

オプション デフォルト値 (RFC 2307 による)

ldap.nssmap.objectClass.posixAccount posixAccount

ldap.nssmap.objectClass.posixGroup posixGroup

ldap.nssmap.attribute.groupname Cn

ldap.nssmap.attribute.netgroupname Cn

ldap.nssmap.attribute.nisNetGroupTri ple

nisNetGroupTriple

ldap.nssmap.attribute.memberUid memberUid

ldap.nssmap.attribute.uid Uid

ldap.nssmap.attribute.uidNumber uidNumber

ldap.nssmap.attribute.gidNumber gidNumber

Page 256: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

256 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ldap.nssmap.attribute.userPassword userPassword

ldap.nssmap.attribute.homeDirectory homeDirectory

ldap.nssmap.attribute.loginShell loginShell

ldap.nssmap.attribute.gecos Gecos

LDAPスキーマと一致させるためのカスタムスキーマオプションの変更

lLDAP スキーマと一致するようにData ONTAP を変更するには、該当するldap.nssmap.*オプション

を変更します。

手順

1. 次のコマンドを入力します。

options ldap.nssmap.attribute.gidNumber object

object はGroup ID(GID)番号を含むオブジェクトを指定します。デフォルトはgidNumberです。

たとえば、Group ID(GID)番号を含むオブジェクトが「groupid」であるカスタムLDAP スキーマに

ついては、次のコマンドを入力します。 options ldap.nssmap.attribute.gidNumber groupid

fsecurity コマンドによるストレージレベルアクセスガードの有効化

Data ONTAP 7.2.2 以降では、ストレージ管理者は、fsecurity コマンドを使用して、ボリュームとの

qtree上でセキュリティ(権限および監査)を設定することができます。この機能は、ストレージレベルア

クセスガードと呼ばれています。

タスク概要

ストレージレベルのアクセスガードのセキュリティを配置すると、ストレージオブジェクトは、次のように

セキュリティ階層を 3 つまでもつことができます。

• NTFS/UNIX/NFSv4 セキュリティ.ストレージオブジェクトを表すディレクトリやファイル上に存在し

ます。このセキュリティは、クライアントから設定することができるものと同じセキュリティです。

• ストレージレベルアクセスガードのファイルのセキュリティ ストレージオブジェクト内の全てのファ

イルに適用されます。このセキュリティを適用しても、ディレクトリへのアクセス、ディレクトリの監

査に影響を与えることはありません。

• ストレージレベルアクセスガードディレクトリのセキュリティ ストレージオブジェクト内の全てのディ

レクトリに適用されます。 このセキュリティを適用しても、ファイルへのアクセス、ファイルの監査に

影響を与えることはありません。

Page 257: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 257

メモ: 現在、ストレージレベルのアクセスガードではNTFSのアクセス権のみがサポート

されています。 UNIXユーザがストレージレベルのアクセスガードが適用されたqtree またはボリュームに対してセキュリティチェックを行うには、UNIXユーザーは、

Windowsユーザーにマッピングする必要があります。

ストレージレベルのアクセスガードセキュリティは、ファイルやディレクトリに適用されますが、それによ

って継承はされていません。ファイルまたはディレクトリでセキュリティ設定を表示させた場合、ストレ

ージレベルアクセスガードのセキュリティは表示されません。

表示はされませんが、Data ONTAPのファイルまたはディレクトリへのアクセスは、ファイルおよび/またはディレクトリに適用されるネイティブアクセス権とqtreeおよび/またはボリュームに設定されたスト

レージレベルのアクセスガードのアクセス権との組み合わせに基づいて決定されます。 両方のセキュ

リティのレベルが評価されて、ファイルまたはディレクトリが持っている有効な権限が識別されます。

次のトピック

fsecurity コマンドについて ジョブ定義ファイルの生成と編集 ジョブ定義ファイル要素の指定 セキュリティジョブの作成とストレージオブジェクトへの適用 セキュリティ ジョブのステータスの確認と取り消し ファイルおよびディレクトリのセキュリティ設定の表示 ストレージレベルのアクセス保護の削除

fsecurityコマンドについて

fsecurity コマンドを使用して、ストレージ管理者は、リモートクライアントからではなく、ストレージシス

テム上でローカルに管理されているため、パフォーマンスの大幅な低下を経験することなく大きなディ

レクトリにセキュリティ設定できます。加えて、ストレージ管理者は同じコマンドを使用して、多くのファ

イルとディレクトリのセキュリティを一括して設定することができます。

メモ: fsecurityコマンドの一覧を表示するには、ストレージシステムのコマンドラインで

fsecurity helpを入力するか、fsecurity(1)のマニュアルページを参照してください。

ジョブ定義ファイルの生成と編集

ジョブ定義ファイルを生成すると、qtreeまたはボリュームにストレージレベルのアクセスガードのセキ

ュリティを適用したり、ファイルとディレクトリにアクセス権を一括して設定したりできます。

タスク概要

ジョブの定義ファイルは、Discretionary Access Control List(DACL)およびSystem Access Control List(SACL)定義するセキュリティ記述子やパスなどの情報で構成されたUnicodeテキストファイルで

す。

この情報は、Security Descriptor Definition Language(SDDL)を使用して符号化されています。ファ

イルが作成または編集して、ストレージシステムにコピーしたら、fsecurity apply コマンドを使用して、

ファイルのセキュリティの定義の確認と適用を行います。ファイルにコマンドが実行されると、ストレー

Page 258: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

258 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ジシステム上のバックグラウンドで実行されるジョブを作成されます。ジョブが完了したら、ストレージ

システムコンソールから結果を表示できます。

ジョブ定義ファイルの名前とストレージシステム上の置き場所に関する要件はありません。これらの例

では、次の名前と場所を使用します。

/vol/vol0/templates/security-base.sec

ジョブ定義ファイルは、ASCII形式またはUnicode(UCS - 2)形式にする必要があります。

ジョブ定義ファイルの作成と更新には、次の 2通りの方法があります。

• seceditユーティリティを使用(NOW サイトで入手可能)

• テキストエディタを使用

次のトピック

secedit ユーティリティを使用したジョブ定義ファイルの管理 テキストエディタを使用したジョブ定義ファイルの管理

seceditユーティリティを使用したジョブ定義ファイルの管理

seceditユーティリティを使用してジョブ定義ファイルを生成できます。

手順

1. 次のNOWサイトから、scedit.exe実行ファイルをダウンロードします。

http://now.netapp.com/eservice/toolchest.

2. Secedit_Readme.txt ファイルの指示に従い、ジョブ定義ファイルを生成します。

secedit.exe ユーティリティは、ジョブ定義ファイルの編集と更新にも使用できます。

テキストエディタを使用したジョブ定義ファイルの管理

テキストエディタを使用してジョブ定義ファイルを生成、更新、評価することができます。

手順

1. テキストファイル(例: security-base.sec )を作成するか、または既存のジョブ定義ファイルを編集

します。

2. 新規のファイルや更新したファイルを、ストレージシステムのディレクトリ(/vol/vol0 /templates/ など)にコピーします。

3. ジョブ定義をジョブに適用する前に、-cオプションを指定してfsecurity apply コマンドを実行しファ

イルの有効性を確認します。

メモ: ジョブ定義ファイルの中に無効な行があると、fsecurity apply コマンドを実行して

もセキュリティ ジョブは作成されません。

Page 259: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 259

ジョブ定義ファイル要素の指定

セキュリティ設定をジョブ定義ファイルに定義する場合、プロパゲーション モードを指定すると、セキュ

リティ設定(権限と監査)を一括して適用することができます。

タスク概要

プロパゲーション モードを指定すると設定を迅速かつ効率的に行えるので、ネットワーク経由で適用

することで生じるパフォーマンスの低下がありません。

使用可能なプロパゲーション モードは、次のとおりです。

• 0 =継承可能な権限を全てのサブフォルダとファイルに適用します (Propagate)。

• 1 = このファイルやフォルダの権限の更新を許可しません (Ignore)。このモードは現在使用でき

ません。

• 2 = すべてのサブフォルダとファイルの既存の権限を継承可能な権限で更新します (Replace)。

次に、fsecurityのジョブ定義ファイルの例を示します。

cb56f6f4

1,0,"/vol/vol0/qt1",0,"D:(A;CIOI;0x1f01ff;;;DOMAIN\Administrator)"

1,1,"/vol/vol0/qt2",0,"D:(D;CIOI;0x000002;;;Everyone)"

最初の行の文字列 cb56f6f4 は必須で、常に同じです。次の表は、2 行目の各要素とこれらの要素

によってqtree (/vol/vol0/qt1)に適用されるセキュリティ設定について、次の表で説明します。

要素 説明

1 NTFSセキュリティタイプ

0 標準セキュリティ。ストレージレベルアクセスガードセキュリティは未設定。

"/vol/vol0/qt1" ターゲットのストレージオブジェクトのパス(このフィールドには、二重引用符が必要)

0 プロパゲーションモード(この例の 0 は、"Propagate"の意味)

"D:(A;CIOI; 0x1f01ff;;;DOMAIN Administrator)"

ドメイン管理者にフル制御権を与える DACL の SDDL 記述

(このフィールドには二重引用符は、必要)

このジョブ定義ファイルの 形式と構文の詳細については、fsecurity(5)のマニュアルページを参照し

てください。

セキュリティジョブの作成とストレージオブジェクトへの適用

ジョブ定義ファイルを元にセキュリティジョブを作成するには、fsecurity apply コマンドを使用します。

このコマンドは、ストレージレベル アクセス ガードを qtreeやボリュームに適用するか、セキュリティ

Page 260: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

260 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

設定をファイルおよびディレクトリに一括して適用する場合に使用します。このコマンドを使用しても、

qtreeおよびボリュームレベルで監査できるようにSACLを設定することもできます。

タスク概要

次にセキュリティジョブの作成時に使用できるオプションを示します。

• - cオプション -- 内容を実際に適用しないで、ジョブの有効性を確認します。

• - iオプション -- エラーを無視してジョブの処理を続けます。

• - vオプション -- ジョブ内のタスクが生成されるごとに、そのタスクを表示します。

fsecurity apply コマンドおよびコマンドのオプションの詳細については、fsecurity_apply(1)のマニュ

アルページを参照してください。

セキュリティジョブは異なる管理者が同時に実行もできるため、互いに競合することがあります。

手順

1. 次のコマンドを入力します。

fsecurity apply job_definition_file_path

例 fsecurity apply /vol/vol0/templates/security-base.sec セキュリティジョブ 94089 の追加 ジョブIDは ジョブのステータスの監視や取り消しに使用します。

セキュリティ ジョブのステータスの確認と取り消し

fsecurity statusコマンドを使用すると、現在実行中のジョブのステータスと過去の 15 のジョブの完了

ステータスを表示できます。

タスク概要

fsecurity cancel コマンドを使用すると、現在実行中のすべてのジョブを停止できます。ジョブIDを指

定した場合は、そのジョブだけが停止します。

メモ: 終了したジョブは取り消せません。

コマンドの詳細については、fsecurity_status(1)とfsecurity_cancel(1)のマニュアルページを参照し

てください。

手順

1. 次の操作のいずれかを実行します。

目的 操作

ジョブステータスを表示する場合 次のコマンドを入力します。 fsecurity status [job_id]

Page 261: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 261

ジョブを取り消す場合 次のコマンドを入力します。 fsecurity cancel [job_id] | all 結果:特定のジョブを取り消すには、ジョブ ID を使用します。すべてのジョブ

を取り消すには、オプションの all を使用します。

ファイルおよびディレクトリのセキュリティ設定の表示

fsecurity show コマンドを使用すると、ファイルおよびディレクトリのセキュリティ設定を表示できます。

タスク概要

このコマンドの出力は、ファイルまたはディレクトリ存在するqtreeまたはボリュームのセキュリティ形式

が含まれています。表示される現在のセキュリティ形式がmixed qtree環境によって異なり、ストレー

ジオブジェクトで現在アクティブになっているセキュリティ形式が反映されます。

ファイルまたはディレクトリのパスを指定するときには、ワイルドカードを使用すると、ディレクトリのコ

ンテンツに関するセキュリティ一覧を表示することができます。

このコマンドの詳細については、fsecurity_show(1)のマニュアルページを参照してください。

手順

1. 次のコマンドを入力します。

fsecurity show file_directory_qtree_path [option]

次の例のように(ファイルまたはディレクトリのパスではなく)ファイルまたはディレクトリのinode番号を指定することもできます。

fsecurity show -v volume_name -i inode_number [option]

オプションコマンドの一覧およびコマンド出力の説明については、fsecurity_show(1)マニュアル

ページを参照してください。

ストレージレベルのアクセス保護の削除

fsecurity remove-guardコマンドを使用すると、qtree やボリュームからストレージレベルのアクセス保

護を削除できます。ストレージレベルのアクセス保護が適用されている場合は、qtreeを削除できませ

ん。

詳細は、fsecurity remove-guard(1)のマニュアルページを参照してください。

手順

1. 次のコマンドを入力します。

fsecurity remove-guard volume_qtree_path

メモ: ストレージレベルのアクセス保護を削除しても、qtreeまたはボリューム内のファ

イルやディレクトリ上に存在している標準的なファイルレベルのセキュリティ(NTFSセキュリティなど)は削除されません。

Page 262: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

262 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

システムアクセスイベントの監査

Data ONTAPでは、Windowsのようにログイン、ログオフ、ファイルアクセスのイベントの監査を行うこ

とができます。ただし、監査を就航にする方法や、監査イベント情報を記録するファイルを管理方法に

は一般的なWindowsの手順とは多少違いがあります。

次のトピック

監査について Data ONTAP で監査できるイベント システムイベントの監査の設定 イベント詳細画面の表示と概要

監査について

Data ONTAP で監査を設定すると、イベント ログ ファイルとすべてのオプションの設定は、リブート後

またはCIFS サービスの終了時や再開時にも維持されます。

Data ONTAPでは次の 2 つの方法で監査を実行できます。

• CIFS監査 -- CIFS プロトコルを使用して、ストレージシステム上のデータにアクセスする

Windows クライアントのアクセスイベントを監査

• NFS 監査 -- NFSプロトコルを使用して、ストレージシステム上のデータにアクセスするUNIXクラ

イアントのアクセスイベントを監査

ストレージシステム上にCIFS 監査と NFS監査 の両方を設定できます。監査の種類によって、構成

要件と監査機能に違いがあります。

他のファイルアクセスプロトコルに対する監査は、現在サポートされていません。

Data ONTAPで監査できるイベント

いくつかのカテゴリのイベントに関して監査を有効にできます。

監査できるカテゴリは次のとおりです。

• ログオンおよびログオフイベント(CIFS 監査が有効な場合のみ使用可能)

• ローカルユーザーおよびグループアカウントの管理(CIFS監査が有効な場合のみ使用可能)

• ファイルおよびディレクトリレベルでのファイルアクセスイベント

メモ: 個別ファイルおよびディレクトリごとにアクセス監査をアクティベートする必要

があります。

• qtreeまたはボリュームレベルでのファイルアクセスイベント

メモ: qtree またはボリュームレベルでのイベントの監査はストレージレベルアクセス保

護セキュリティを適用した場合のみに有効です。

Page 263: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 263

イベント ID イベント 説明 カテゴリ

516 AdtEvntDiscard 監査イベントが失われました。 監査ログ

517 AdtLogClear 監査ログが消去されました。 監査ログ

528 AdtSuccessfulLogin ローカルログイン ログイン/ログオフ

529 AdtUnknownUser ユーザー名が不明またはパスワードが無

効です。 ログイン/ログオフ

530 AdtCantLogonNow アカウントログオンの時間制限です。 ログイン/ログオフ

531 AdtAccountDisabled アカウントは現在無効に設定されていま

す。 ログイン/ログオフ

532 AdtUserAccountExpired ユーザーアカウントの有効期限が切れて

います。 ログイン/ログオフ

533 AdtCantLogonHere ユーザーはこのコンピュータにログインで

きません。 ログイン/ログオフ

534 AdtLogonTypeRestriced ユーザーは、ログオンを認められていま

せん。 ログイン/ログオフ

535 AdtPasswordExpired ユーザーパスワードが期限切れです。 ログイン/ログオフ

536 AdtNetLogonInactive NetLogon コンポーネントがアクティブで

はありません。 ログイン/ログオフ

537 AdtUnsuccessfulLogion 上記の理由以外でログオンが失敗しまし

た。 ログイン/ログオフ

538 AdtUserLogoff ローカルまたはネットワークユーザーログ

オフ ログイン/ログオフ

539 AdtLockedOut アカウントのロックアウト ログイン/ログオフ

540 AdtSuccessfulNetLogon ネットワーク(CIFS)ログオン ログイン/ログオフ

560 AdtObjOpen オブジェクト(ファイルまたはディレクトリ)

が開いています。 ファイルアクセス

562 AdtHandleClosed AdtObjOpen になったハンドルが閉じて

います。 ファイルアクセス

563 AdtObjOpenForDelete 削除用にオブジェクト(ファイルまたはディ

レクトリ)が開いています。 ログイン/ログオフ

567 AdtObjAccessAttempt オブジェクトアクセス(読み取り、書き込み

など) ファイルアクセス

612 AdtPolicyChange 監査ポリシーが変更されました。 ポリシー変更

Page 264: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

264 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

イベント ID イベント 説明 カテゴリ

624 AdtUserCreated ユーザーが作成されました。 アカウント管理

630 AdtUserDeleted ユーザーが削除されました。 アカウント管理

635 AdtGroupCreated グループが作成されました。 アカウント管理

636 AdtLclGrpMemberAdded セキュリティが有効なローカルグループメ

ンバーが追加されました。 アカウント管理

637 AdtLclGrpMemberRemoved セキュリティが有効されたローカルグルー

プメンバーが削除されました。 アカウント管理

638 AdtGroupDeleted グループが削除されました。 アカウント管理

システムイベントの監査の設定

システムイベントの監査を設定するには、いくつかのタスクを実行する必要があります。

手順

1. 監査対象のイベントを決定します。 たとえば、ボリュームまたはqtree上の全てのイベントを監査

したい場合は、fsecurity コマンドを使用してストレージレベルのアクセス保護のセキュリティを適

用します。

2. ファイルやディレクトリのアクセスイベントを監査したい場合は、システムのsystem Access Control List(SACL)を設定します。

3. CIFS 監査および/またはNFS 監査を有効化します。

4. 監査の管理にLive Viewを使用する場合は Live View を有効にします。Live Viewを使用しない

場合は、監査ログの管理方法について十分に理解してから行ってください。

5. イベントビューアを使用して監査イベントを表示します。

次のトピック

SACL の設定 Data ONTAP での CIFS 監査の設定 Data ONTAP での NFS 監査の設定 Live View の設定 監査イベントの保存と消去

SACLの設定

System Access Control List(SACL)を使用すると、ファイルおよびディレクトリのアクセスの監査を

有効にできます。

SACL でアクセスを監査する設定には、次の 3 つの方法があります。

Page 265: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 265

• ボリュームまたはqtree内の全てのファイルとディレクトリのアクセスイベントを監査する場合は、

ストレージレベルのアクセス保護のセキュリティを適用することによりSACLを設定することを推奨

します。

• 個々のファイルやディレクトリのアクセスイベントを監査する場合、2 つの方法でSACLを設定する

ことができます。

• Windows Explorer GUIを使用します。

• fsecurity コマンドを使用します。

メモ: 選択する監査オプションの数が多すぎるとシステムのパフォーマンスに影響を与え

ることがあるため、監査の必要のあるイベントに限定して選択するようにしてください。

個々のファイルおよびディレクトリに対するアクセス監査を有効化するためには、Windows管理ホスト

上で次の手順を実行します。

手順

1. アクセスの監査を有効にするファイルまたはディレクトリを選択します。

2. ファイルまたはディレクトリを右クリックし、[Property (プロパティ)]を設定します。

3. [Security (セキュリティ)]タブをクリックします。

4. [Advanced (詳細)]をクリックします。

5. [Auditing] タブを選択します。

6. 監査オプションで追加、編集、または削除を行います。

オプションの使用方法の詳細については、Windowsのマニュアルを参照してください。

Data ONTAPでのCIFS監査の設定

CIFS監査を有効化または無効化すると、ポリシーの変更イベントの監査が有効になります。

現時点では、ポリシーの変更イベントを有効にする単独のCIFSのオプションはありません。

次に、CIFS監査の前提条件を示します。

• 監査を有効にする前に、ストレージシステム上でCIFSのライセンスが設定されて有効になってい

る必要があります。

• 監査するファイルやディレクトリは、mixed 形式、またはNTFS形式のボリューム、やqtree 内に存

在する必要があります。ストレージレベルアクセス保護が有効になっていないと、UNIXボリューム

またはqtree 内のファイルまたはディレクトリのCIFSイベントを監査することができません。

• 記録するアクセスのイベントを指定する必要があります。

• イベント監査は、デフォルトでは無効になっています。 監査対象のイベントを特定するには、個々

のオプションを有効にし、監査を有効にする必要があります

手順

1. 次の操作のいずれかを実行します。

Page 266: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

266 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

目的 操作

ファイルアクセスイベントの

監査を個別にオンまたはオ

フにする場合

次のコマンドを入力します。 options cifs.audit.file_access_events.enable {on | off}

ログオンおよびログオフ イベントの監査を個別にオン

またはオフにする場合

次のコマンドを入力します。 options cifs.audit.logon_events.enable {on | off}

ローカルアカウント管理イベ

ントの監査を個別にオンまた

はオフにする場合

次のコマンドを入力します。 options cifs.audit.account_mgmt_events.enable {on | off} メモ:アカウント管理イベントに対する変更を表示するには、MMC イベントビューアを

使用します。

CIFS 監査を開始または停

止する場合 次のコマンドを入力します。 cifs audit {start | stop} あるいは、cifs.audit enable オプションを使用して CIFS 監査を開始 停止することが

できます。例えば次のコマンドを入力すると cifs audit start コマンドを使用するのと

同じ結果になります。 options cifs.audit.enable {on | off} メモ:CIFS 監査はデフォルトでは無効にされています。

Data ONTAPでのNFS監査の設定

NFS 監査では、ファイルおよびディレクトリに関するアクセス イベントを記録できますが、CIFS 監査

でサポートされるログイン、ログオフなどのイベントは記録できません。監査対象のファイルまたはディ

レクトリは、どのセキュリティ形式(NTFS、UNIX、またはmixed)のボリュームまたはqtree のものでも

かまいません。

• NFS監査を有効にする前に、ストレージシステム上でCIFSのライセンスが設定されて有効になっ

ている必要があります。

• NFS監査を有効にする前に、ストレージシステム上でCIFS監査が有効になっている必要がありま

す。デフォルトでは、監査は無効に設定されています。

• 記録するイベントを識別する必要があります。

次のトピック

NFS 監査イベントの指定 フィルタファイルによる NFS 監査イベントの制御 NFS 監査の有効化

NFS監査イベントの指定

NTFS またはmixed セキュリティ形式のqtree またはボリュームにおけるNFS 監査対象イベントを指

定するには、ファイルおよびディレクトリにSACL を設定する必要があります。

Page 267: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 267

手順

1. ログフィルタファイル(通常は、/etc/log/nfs-audit という名前)をストレージシステム上に作成しま

す。このファイルを使用して、監査ログにデフォルトで含まれるファイルイベントを指定します。フィ

ルタファイルは~の状態になっています。

メモ: NFS ログ フィルタ ファイルは、NTFS またはmixed 形式のボリュームまたは

qtree に作成する必要があります。他の場所に作成すると、監査に必要なフィルタ ファ

イルにSACL を設定できません。

2. cifs.audit.nfs.filter.filename オプションを設定して、フィルタファイルを指定します。

cifs.audit.nfs.filter.filename オプションの詳細については、オプション(1)のマニュアルページを

参照してください。

3. フィルタファイルにSACLを設定します。

NTFS またはmixed セキュリティ形式のqtree に監査イベント用のNFS フィルタ ファイルを作成でき

ますが、個別のファイルおよびディレクトリに設定されたSACL の方が、フィルタ ファイルに設定され

たSACL よりも優先されます。

フィルタファイルによるNFS監査イベントの制御

ログ フィルタ ファイルは、ファイルに設定されたSACL を使用してファイル監査イベントを制御します。

フィルタ ファイルにSACL を設定することは、ストレージ システム上のすべてのファイルとディレクトリ

に同じSACL を設定した場合と同じ効果があります。

メモ: ログ フィルタ ファイルによるSACL は、ストレージ システム上のすべてのファイルやデ

ィレクトリから監査イベントを発生させる可能性があるため、ログ フィルタ ファイルを使用

してNFS 監査を有効にするとシステムのパフォーマンスに影響を与えることがあります。

フィルタ ファイルによる影響の程度は、対象のファイルが存在するqtree のセキュリティ設定によりま

す。

UNIX セキュリティ形式のファイルに操作が実行されると、フィルタ ファイルのSACL に応じたイベント

がログされます。

SACL が設定されていないNTFS またはmixed セキュリティ形式のqtree のファイルに操作が実行さ

れると、フィルタ ファイルのSACL に応じたイベントがログされます。ただし、個別のファイルまたはデ

ィレクトリにSACL が設定されている場合は、これらのSACL の方がフィルタ ファイルに設定された

SACL よりも優先されます。

NFS監査の有効化

NFS監査を有効にするには、いくつかのタスクを実行します。

手順

1. ストレージシステムの /etc/log ディレクトリに、nfs-audit. という名前のファイルを作成します。

Page 268: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

268 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

メモ: 手順 1 と 2 は、UNIXのセキュリティ形式のqtreeの監査に必須ですが、NTFSまた

はmixedセキュリティ形式qtreeの監査の場合は任意で実行します。

2. NFSログフィルタファイルを指定するには、次のコマンドを入力します

options cifs.audit.nfs.filter.filename /etc/log/nfs-audit

3. ファイルへのアクセスイベントの監査を有効にするには、次のコマンドを入力します。

options cifs.audit.file_access_events.enable on

メモ: デフォルトでは、ファイルアクセスおよびログオンのイベントの監査はオフに設

定されています。

4. NFS監査を有効にするには、次のコマンドを入力します。

options cifs.audit.nfs.enable on

5. 監査ログの管理設定をします。

6. Windowsの管理ホスト上で、フィルタファイルのSACLを設定します。

手順に記されたオプションの詳細については、options(1)のマニュアルページを参照してください。

Live Viewの設定

Live Viewが有効の場合、Access Logging Facility (ALC) デーモンが 1 分ごとに実行され、メモリ内

の監査イベントの内容をディスク上の内部ログファイル (/etc/log/cifsaudit.alk) にフラッシュします。

ALFのデーモンは、ALFレコードの保存と、ALFレコードからイベントビューアで表示可能なEVTレコー

ドへの変換も行います。この動作は、1 分ごとに、または.alf ファイルがフルの 75%に達したときに行

われます。

EVTレコードは/etc/log ディレクトリ内の次の3つのファイルに格納されます。

• fixedsection

• varsectiona

• varsectio

ALF デーモンはこれらのファイルを使用して、イベント ビューアを実行するWindows クライアントから

のイベントログRPC 要求に応えます。Live View が有効な場合、イベント ビューアは最新の監査イベ

ントを最大 5,000 レコード表示します。

内部ログ ファイルから新しいレコードが保存されるたびに、それらのレコードはLive Viewファイルに

書き込まれ、EVT ファイルにもバックアップされます。バックアップ ファイルは、タイムスタンプがファイ

ル名の一部になって、/etc/log ディレクトリに保存されます。

イベント ビューアを使用すると、監査イベントをリアルタイムに表示し、バックアップEVT ファイルを静

的なファイルとして表示できます。

メモ: Data ONTAP 7.2.2 より、cifs.audit.autosave オプションと一緒にLive View を有効にで

きるようになりました。このオプションは、内部監査ファイルのサイズと保存方法の制御に

使用します。

Page 269: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 269

手順:

1. 次の操作のいずれかを実行します。

目的 操作

Live View を有効または無

効にする場合 次のコマンドを入力します。 options cifs.audit.liveview.enable {on off} Live View を有効にするには onを使用し、無効にするには off を使用します。

メモ:Live View を有効化する前に、ストレージシステム上の監査を有効化する

必要があります。デフォルトでは Live View は無効に設定されています。

現在の ALT および EVT フ

ァイルを消去する場合 次のコマンドを入力します。 cifs audit clear 結果:内部 cifsaudit.alf ログファイルと/etc/log ディレクトリ内の現在の EVTログ

ファイルは消去されます。しかし、タイムスタンプが付されたバックアップ EVTファ

イルは、このコマンドの影響をうけません。

監査イベントの保存と消去

自動保存するタイミング、自動保存されるファイルの最大数、およびcifsaudit.alf ファイルの最大サイ

ズを指定できます。cifsaudit.alf ファイルを消去することもできます。

次のトピック

Data ONTAP で監査イベント情報が記録される場所 内部および外部のログファイルのサイズと形式 Data ONTAP でのイベントログの更新 外部イベントログの場所の指定 イベントログへの監査イベントの手動保存 自動保存を実行するタイミングの指定 自動的に保存されるファイルの最大数の指定 cifsaudit.alf ファイルの最大サイズの指定 監査イベントの SNMP トラップ cifsaudit.alf ファイルの消去

Data ONTAPで監査イベント情報が記録される場所

監査イベント情報は、内部的な一時ログ ファイルである/etc/log/cifsaudit.alf に保存されます。Live View を使用しない場合は、手動で、または自動保存を設定して、このファイルの内容を外部EVT イベント ログ ファイルに定期的に保存する必要があります。デフォルトでは、外部イベント ログは

/etc/log/adtlog.evt ファイルですが、別のファイルをイベント ログとして指定することもできます。

指定されたファイルがまだ存在していない場合は、ファイルに情報を保存するときに、ファイルが作成

されます。ただし、ファイルを格納するためのディレクトリが存在している必要があります。ディレクトリ

が存在しないと、ファイルを指定したときにエラー メッセージが表示されます。

Page 270: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

270 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

内部および外部のログファイルのサイズと形式

内部的な一時ログ ファイルcifsaudit.alf の最大サイズは、524,288 バイト(512 K)~68,719,476,736 バイト(64 GB)の範囲で指定できます。デフォルトのサイズは 524,288 バイ

トです。

圧縮されていた cifsaudit.alf ファイルの内容が外部イベント ログ ファイルに展開され、書式が再設定

されるため、cifsaudit.alf ファイルから生成された外部イベント ログ(.evt ファイル)のサイズは大きく

なります。外部イベント ログはWindows 形式です。イベント ログは、イベント ビューアで表示できま

す。cifsaudit.alf ログ ファイルのフォーマットは独自形式であるため、イベント ビューアでは表示でき

ません。

Data ONTAPでのイベントログの更新

次回cifs audit save コマンドを実行するか、自動保存が行われたときに、イベント ログが更新されま

す。

監査イベント情報を外部イベント ログに保存するには、cifs audit save コマンドを実行するか、イベン

ト情報の自動保存を有効にします。イベント ログがクライアントで表示されているときは、イベント ログ

は更新されません。ただし、イベント ログが開かれている間に収集されたファイル アクセス情報は失

われません。

イベント情報が失われないように、cifs audit save コマンドを頻繁に実行するか、自動保存の頻度を

高く設定することが重要です。イベントの発生率が高い場合は、cifsaudit.alf ファイルが短期間でフル

になり、古いイベントがイベント ログに保存される前に上書きされる可能性があります。

外部イベントログの場所の指定

イベントログを異なる場所に指定する場合は、cif.audit.saveas オプションを使用します。

手順

1. 監査イベント情報のログの場所を指定するには、次のコマンドを入力します。

Options cifs.audit.saveas filename

filename はData ONTAP で監査イベント情報が記録されるファイルの完全なパス名です。ファイ

ル拡張子として.evt を使用します。パスにスペースが含まれている場合は、パス名を引用符で囲

んでください。

例 options cifs.audit saveas /etc/log/mylog/.evt options cifs.audit.saveas “/home/my event log/audio.evt”

Page 271: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 271

イベントログへの監査イベントの手動保存

cifs audit save コマンドを使用してイベントログを手動で更新できます。

メモ:cifs audit clear コマンドを実行した後では、手動で監査イベントを保存する必要はあり

ません。その場合はData ONTAP が監査イベントを自動で保存します。

手順

1. 次のコマンドを入力して、イベントログを更新します。

cifs audit save [-f]

イベントログが存在しない場合は、-f オプションを省略します。既存のイベントログを上書きする場

合は、-f オプションを使用します。

イベントログの前回の更新以降に収集されたイベント情報が、イベントログに書き込まれます。

自動保存を実行するタイミングの指定

イベントログへの監査イベントの自動保存は、一定の間隔または一時的な内部ログファイルのサイズ

に基づいて(cidsaudit.alf ファイルの最大サイズに対する割合)、実行されるように指定できます。

サイズしきい値と間隔の両方を指定すると、そのサイズしきい値または時間間隔のいずれかに到達し

たときに、監査イベントがイベントログに保存されます。

内部的な一時ログ ファイルが自動的に外部イベント ファイルに保存されるたびに、イベント ファイル

の基本名に拡張文字が付加されます。付加される拡張文字の種類は、次のいずれかを選択できます。

• カウンタ

• タイムスタンプ

これらの拡張文字の1つが指定されないと、タイムスタンプがファイル拡張文字として使用されます。

ただし、「タイムスタンプ」の値は表示されません。

ストレージ システムは 6 週間までイベント ファイルを保存します。保存できるイベント ファイルの数に

制限を指定できます。

次のトピック

内部的な一時ログファイルサイズに基づいの自動保存の有効化 時間間隔に基づいた自動保存の有効化 カウンター拡張子の指定 タイムスタンプ拡張文字の指定

内部的な一時ログファイルサイズに基づいの自動保存の有効化

内部的な一時ログ ファイルのサイズに基づいた自動保存を有効にしている場合、サイズしきい値を

指定できます。

内部的な一時ログ ファイルのデフォルトのサイズしきい値は 75%です。したがって、内部的な一時ロ

グ ファイルがフルの 75%になると、その内容が自動的に外部イベント ファイルに保存されます。しき

い値は、内部的な一時ログ ファイルのサイズの割合または絶対サイズで指定できます。

Page 272: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

272 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

次の表に、自動保存する内部的な一時ログ ファイルのサイズしきい値の指定に使用できる測定単位

と値を示します。

測定単位 値

% (cifsaudit.alf.file ファイルの割合) 1~100

k(キロバイト) 1~67108864

m(メガバイト) 1~65526

g(ギガバイト) 1~64

手順

1. 下のいずれかのアクションを実行してください

目的 操作

内部的な一時ログファイルの自動保存に

使用するサイズしきい値を指定する場合 次のコマンドを入力します。 optioons cifs.audit.autosave.onsize.threshold N はサイズしきい値の値、suffixは、測定単位です。

例 options cifs.audit.autosave.onsize.threshold 90%

内部的な一時ログファイルのサイズに基づ

いて自動保存を有効または無効にする場

次のコマンドを入力します。 options cifs.audit.autosave.onsize.enable {on off}

時間間隔に基づいた自動保存の有効化

時間間隔に基づいた自動保存を有効にしている場合、時間間隔を指定できます。

次の表に、自動保存の間隔の指定に使用できる測定単位と値を示します。

測定単位 値

s (秒) 1~60

m (分) 1~60

h (時間) 1~24

d (日) 1~7

手順

Page 273: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 273

1. 次のいずれかの操作を実行してください。

目的 操作

内部的な一時ログファイルを外部イ

ベントファイルに自動的に保存する

時間間隔を指定する場合

次のコマンドを入力します。 options cigs.audit.autosave.ontime.interval N は、時間間隔の値、suffix は、測定単位です。

例 options cifs.audit.autosave.ontime.interval 1d

時間間隔に基づいて自動保存を有

効または無効にする場合 次のコマンドを入力します。 options cifs.audit.autosave.ontime.enable {on | off}

カウンター拡張子の指定

自動ファイル名指定に「カウンタ」を選択すると、拡張文字として数値が付加されます。

自動保存が行われると、古いイベント ファイルの名前が変更されて、順番に番号が付きます。最新の

イベント ファイルには、番号は付きません。

たとえば、基本ファイル名がeventlog の場合に自動保存が行われると、最新のイベント ファイルは

eventlog.evt という名前が付けられ、これより前のeventlog.evt ファイルはeventlog1.evt にコピーさ

れ、eventlog1.evt ファイルはeventlog2.evt にコピーされます。

手順:

1. 次のコマンドを入力します。

options cifs.audit.autosave.file.extension counter

タイムスタンプ拡張文字の指定

自動ファイル名指定にtimestampを選択すると、ファイル名はタイムスタンプ形式になります。

形式は

base_name_of_event_file.YYYYMMDDHHMMDD.evt

です。

パラメータ 概要

YYYY 4桁の年

MM 2 桁の月

DD 2桁の日

HH 2桁の時間

Page 274: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

274 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

パラメータ 概要

MM 2桁の分

SS 2桁の秒

手順

1. 次のコマンドを入力します。

Options cifs.audit.autosave.file.extension timestam

自動的に保存されるファイルの最大数の指定

cifs.audit.autosave.file limit オプションを使用すると、自動保存できるイベントファイルの最大数を指

定できます。

手順

1. 次のコマンドを入力します。

options cifs.audit.autosave.file.limit value

value は、0~999までの番号です。

メモ:このオプションの値を 1 ~ 999 に設定した場合、ストレージ システム上のファイ

ル数の制限に達すると、最も古いファイルが常に上書きされます。ただし、このオプシ

ョンの値を 0 に設定すると、システムに自動的に保存されるEVT ファイルの数は制限さ

れません。

cifsaudit.alfファイルの最大サイズの指定

cifs.audit.logsize オプションを使用すると、cissaudit.alf ファイルの最大サイズを指定することができ

ます。

手順

1. 次のコマンドを入力します。

options cifs.audit.logsize. Size

size はバイト数です。無効な値を入力すると、使用できる数値の範囲を告げるメッセージが表示

されます。

メモ:cifsaudit.alf ファイルが最大サイズに到達すると、最も古いデータが上書きされます。イ

ベント データが失われないように、cifsaudit.alf ファイルがフルになる前に保存してくださ

い。デフォルトでは、ファイルが 75%に達すると、警告メッセージが表示されます。さらに、

Page 275: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 275

ファイルがほぼフルになり、データの上書きが始まるときと、データがすでに上書きされた

ときも警告メッセージが送信されます。

監査イベントのSNMPトラップ

Data ONTAP は、SNMP トラップをサポートしており、これによって特定の監査イベント情報に基づい

た規定の動作(通知など)を実行させることができます。

CIFS クライアントが監査イベントのSNMP トラップを受信するように設定する場合は、Data ONTAP のSNMP 機能を使用してクライアントを登録する必要があります。登録されたクライアントには、

SNMP トラップを監視するためのSNMP ソフトウェアが必要です。

次のいずれかのイベントが発生すると、SNMP トラップが発行されます。

• 指定された間隔に到達し、cifsaudit.alf ファイルが保存されたとき

• 指定されたサイズしきい値に到達し、cifsaudit.alf ファイルが保存されたとき

• デフォルトのしきい値 (75 %)に到達し、cifsaudit.alf ファイルがラップされ、イベントデータの上書

きされる危険性はあるが、cifs.audit.autosave.onsize.enable および

cifs.audit.autosave.ontime.enable オプションがオフになっているために、ファイルが保存され

ないとき

• どの自動保存機能もオンになっていないため、cifsaudit.alf ファイルがラップされ、イベントデータ

が上書きされたとき

cifsaudit.alfファイルの消去

cifs audit clear コマンドを使用すると、内部的なcifsaudit.alf ファイルを消去できます。

手順

1. 次のコマンドを入力します。

cifs audit clear

監査が始まると、内部的な一時ログ ファイルcifsaudit.alf は消去されます。監査が停止すると、

cifsaudit.alf ファイルは削除されます。外部イベント ログはこのコマンドの影響を受けません。

イベント詳細画面の表示と概要

Live View で取得されたリアルタイム監査イベント、ユーザーが保存した外部イベント ログ(.evt ファ

イル)、またはLive View により作成されたバックアップ ログ ファイルを表示することができます。

タスク概要

次のイベントの詳細表示が使用できます。

• ネットワークログオン

• 失敗したネットワークのログオン

Page 276: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

276 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

• ネットワークログオフ

• Windows ファイルアクセス

• UNIXファイルアクセス

• 失敗したファイルアクセス

• 失われたレコードイベント

• 監査ログイベントの消去

次のトピック

監査イベントの表示方法 Live View を使用した監査イベントのリアルタイム表示 静的なイベントログファイルの表示 Windows ファイルアクセスの詳細表示 UNIX ファイルアクセスの詳細表示 失敗したファイルアクセスと失われたレコードのイベントの詳細表示

監査イベントの表示方法

監査イベントは、Windows クライアントでコントロール パネルの管理ツールまたはMMCから、

Microsoft イベント ビューアを使用して見ることができます。

監査イベントの表示には 2 つの方法があります。

• リアルタイム表示。Live View 機能が有効な場合は、EVT イベント ログ ファイルが 1 分ごとに自

動的に更新されます。これにより、イベント ビューアで最近の 5,000 の監査イベントを常に最新

の状態で見ることができます。

メモ: Live View 機能を使用するには、Windows クライアントがWindows 2000 以上を使用し

ている必要があります。

• 静的表示。EVT イベント ログは、手動または自動保存を設定して自分で管理することができます。

自分で管理する場合、ログ ファイルの管理方法にもよりますが、保存されたログ ファイルの最新

バージョンがイベント ビューアに表示されます。

Live Viewを使用した監査イベントのリアルタイム表示

Windows イベント ビューアを使用すると、LiveView で取得された監査イベントをリアルタイムで表示

できます。

監査イベントをリアルタイムで表示する前に、Live View を設定する必要があります。

手順

1. Windows クライアントから、コントロールパネルの管理ツール、またはMMCからEvent Viewerを起動します。

2. [Action(操作)] >[Connect to Another Computer(別のコンピュータへ接続)] を選択します。

Page 277: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 277

3. ダイアログボックスに監査するストレージシステムの名を入力し、[OK]をクリックします。

4. アプリケーションの左側のセキュリティエントリーを選択します。

アプリケーションの右側に、ストレージシステムで取得された最新の監査イベントが表示されます

(最大 5000 イベント)。

静的なイベントログファイルの表示

Windows クライアントを使用すると、保存した外部のイベントログ(.evt ファイル)、またはLive Viewにより作成されたバックアップログファイルを表示することができます。

手順

1. Windows クライアントで、コントロールパネルの管理ツールから、またはMMCからEvent Viewerを起動します。

2. [Log (ログ)] > [Open(開く)] を選択します。

メモ:イベント ログを開く場合は、[ログ]メニューの[コンピュータの選択]をポイントし、スト

レージ システム名をダブルクリックしないでください。この方法でイベント ログを開くと、

Live View が有効の場合を除いて、Data ONTAP とイベント ビューアはRPC コールを使用し

て通信できないため、イベント ビューアに「The RPC server is unavailable」というエラー メッセージが表示されます。

3. ストレージシステム上のイベントログを選択します。

Windowsファイルアクセスの詳細表示

Windows ファイル アクセスの詳細表示には、さまざまな種類の情報が表示されます。

次の表に、Windows ファイル アクセスの詳細表示フィールドの説明を示します。

フィールド 説明

オブジェクトサーバ 監査チェック機能を呼び出すサブシステムのサーバ プロセスの名前。

これはセキュリティ ログなので、通常は SECURITY になります。

オブジェクトの種類 アクセスされているオブジェクトの種類

オブジェクト名 アクセスされているオブジェクト名(ファイル名など)

オブジェクトハンドル ID 開いているオブジェクトの新しいハンドル識別子

操作 ID 1 回の操作で発生した複数のイベントを関連付ける一意の識別子

プロセス ID オブジェクトにアクセスするクライアントプロセスの識別子

プライマリ ユーザ名 オブジェクト アクセスを要求するユーザのユーザ名。偽装が行われて

いる場合、これは、サーバ プロセスへのログオンに使用したユーザ名

になります。

プライマリ ドメイン コンピュータの名前。[プライマリ ユーザー名]に指定されているユーザ

Page 278: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

278 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

フィールド 説明

名が SYSTEM の場合は、SYSTEM になります。コンピュータが

Windows NT Server ドメインのメンバーの場合、プライマ リ ユーザ アカウントを含むドメイン名になる場合もあります。

プライマリ ログオン ID プライマリユーザがログオン時に割り当てられる一意の識別子

クライアントユーザ名 ログイン名

クライアントドメイン コンピュータの名前、またはクライアントユーザアカウントを含んでい

るドメイン

クライアントログオン ID クライアントユーザのログイン時に割り当てられる一意の識別子

アクセス 実行しようとしたオブジェクトのアクセスの種類

権限 ユーザの権限。

UNIXファイルアクセスの詳細表示

UNIX ファイル アクセスの詳細表示には、Windows ファイル アクセスの詳細表示と同じ種類の情報

が表示されます。ただし、NFS クライアントからファイルへのアクセスが行われるため、オブジェクト名

ではなくNFS アクセスが表示されます。

さらに、UNIX ファイル アクセスの詳細表示には、監査中のファイルに関する次の情報が表示されま

す。

• ファイルが格納されているボリュームのID

• ファイルが格納されている最新のSnapshot コピーのID

• ファイルのinode

この情報を使用すると、NFS クライアントからfind -inum コマンドを実行してファイルを検索できます。

失敗したファイルアクセスと失われたレコードのイベントの詳細表示

失敗したファイル アクセスの詳細表示には、ファイルのアクセスに失敗した操作についての情報が

表示されます。さらに、Data ONTAP で監査レコードを作成できない場合は、失われたレコード イベントの詳細表示に理由が表示されます。

たとえば、ユーザがファイルにアクセスしようとしたが、アクセス権がないためにファイル アクセス

が失敗した場合などです。詳細表示には、ファイルにアクセスしようとしたユーザのID と、アクセス

が失敗したことが表示されます。

Data ONTAP で監査レコードを作成できない場合は、失われたレコード イベントの詳細表示に次

のような理由が表示されます。

Internal resources allocated for the queueing of audit messages have been exhausted, leading to the loss of

Page 279: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 279

some audits.

Number of audit records discarded: 1

シンボリックリンクへの CIFS アクセスの制御

シンボリックリンクは NFS クライアントが指定する特殊なファイルで、別のファイルまたは

ディレクトリをポイントします。シンボリックリンクは、ある意味では、Windows 環境の

「ショートカット」に似ています。

タスク概要

シンボリックリンクには、次の 2 種類があります。

• 絶対シンボリックリンクは、スラッシュ[/]で始まり、ファイルシステムのルートから導か

れるパスとして扱われます。

• 相対シンボリックリンクは、スラッシュ[/]以外の文字で始まり、シンボリックリンクの親

ディレクトリを基準とした相対的なパスとして扱われます。

CIFS クライアントではシンボリック リンクを作成できませんが、NFS クライアントによっ

て作成されたシンボリック リンクを参照することはできます。

CIFS が次の種類のシンボリック リンクにアクセスできるようにするためには特別の要件があ

ります。

• 絶対シンボリックリンク。絶対シンボリックリンクの送信先は UNIX 実装タイプにより異

なるので、CIFS クライアントは絶対シンボリックリンクを解釈するための情報を追加す

る必要があります。

• リンク先が自身と同じストレージ システム上、共有の外にある相対シンボリック リンク。

デフォルトでは、Data ONTAP は、CIFS クライアントが認証されている共有の外部にあ

るシンボリック リンクを CIFS クライアントが参照することを許可していません。

次のトピックス

クライアントのシンボリックリンク参照の有効化 CIFS クライアントとシンボリックリンクの連動の指定 ファイルへのシンボリックリンクを使用しない理由 Map エントリについて Widelink エントリについて シンボリックリンクに対する共有の境界チェックの無効化 絶対シンボリックリンクのリダイレクト ストレージシステムによる Map と Widelink エントリの使用方法

クライアントのシンボリックリンク参照の有効化

cifs.symlinks.enable オプションを使用すると、シンボリック リンクへの CIFS アクセスが無

効にされたあとで、それを有効にすることができます。

Page 280: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

280 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

タスク概要

cifs.symlinks.enable オプションは、デフォルトで有効になっています。

ステップ

1. 次のコマンドを入力して CIFS がシンボリックリンクにアクセスできるようにします。

Options cifs.symlinks.enable on

結果

CIFS クライアントは、同じ共有内にあるリンク先への相対シンボリックリンクに直接参照で

きるようになります。

CIFSクライアントとシンボリックリンクの連動の指定

CIFS クライアントとシンボリック リンクの連動を指定するには、/etc/symlink.translations フ

ァ イ ル に Map エ ン ト リ を 作 成 す る か (絶 対 シ ン ボ リ ッ ク リ ン ク の み ) 、

/etc/symlink.translations ファイルに Widelink エントリを作成するか(絶対シンボリック リン

クのみ)、またはシンボリック リンクの NT 共有境界チェックを無効にします(相対および

絶対シンボリック リンク)。

タスク概要

次の表を参照して、実行するオプションを決定してください。この表は、各オプションについ

て、シンボリック リンクが示すことができるリンク先の種類を示しています。

シンボリックリンクのリンク先

Map エントリ Widelink エントリ 共有の境界チェックの無効

同じストレージ システム上の同じ共有 ○ ○ ○

同一ストレージ システム上の別の共有 ○ ○

同一ストレージ システムの非共有領域 ○

別のストレージ システムの共有 ○

別の CIFS サーバまたはデスクトップ

PC 上の共有 ○

ファイルへのシンボリックリンクを使用しない理由

ファイルにリンクするシンボリック リンクを CIFS クライアントが参照しないようにしてく

ださい。Data ONTAP によって間違ったファイルが更新される場合があるためです。

間違ったファイルが更新される原因は、多くの CIFS クライアント アプリケーションでは、

一時ファイルに書き込み、元のファイルの名前をバックアップ名に変更し、そのあと、一時フ

ァイルを元のファイル名に変更するという動作を行うためです。

クライアント アプリケーションでこのような処理が実行されるとき、シンボリック リンクに

よって元のファイルが直接ターゲットになっていると、このファイルはシンボリック リンク

と同じディレクトリに格納され、名前を変更されたシンボリック リンクのリンク先は更新さ

Page 281: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 281

れたファイルではなく、元のファイルとなります。

メモ:個々のファイルではなくディレクトリにリンクしているシンボリックリンクを参照し

ている CIFS クライアントはこの問題は発生しません。

Mapエントリについて

Map エントリは、ストレージ システム上の絶対シンボリック リンクのリダイレクトに使用さ

れます。Map エントリは、/etc/symlink.translations ファイルに作成します。Map エントリに

よって、CIFS クライアントは、絶対シンボリック リンクを参照して同じ共有内のリンク先を

ターゲットにすることができます。

メモ: cifs share -nosymlink_strict_security オプションがソース共有に指定されていない場

合、リンクの共有の外にあるリソースへのシンボリック リンクを参照する CIFS クライアン

ト ユーザは機能しません。

Map エントリには次の必要条件があります。

• 絶対シンボリック リンクを参照するには、リンク先を決定する Map エントリが

/etc/symlink.translations ファイル内に必要です。

• シンボリック リンクのリンク先がリンク自身と同じ共有内にあるか、または-nosymlink_strict_security オプションが指定された共有内にリンクがなければなりません。

Map エントリを使用して絶対シンボリック リンクをリダイレクトすると、シンボリック リン

クとリンク先が同じ共有内にあるため、両方の Windows 共有セキュリティが維持されます。

symlink.translations ファイル内に Map エントリと Widelink エントリの両方がある場合、スト

レージ システムでは最初に一致したエントリが使用されます。

Widelinkエントリについて

Widelink エントリは、ストレージ システム上の絶対シンボリックリンクをリダイレクトする

もう一つの方法です。Widelink エントリは、/etc/symlink.translations ファイルに作成します。

Widelink エントリによって、CIFS クライアントは絶対シンボリック リンクを参照し、同じス

トレージ システム上または外部のリンク先をターゲットにすることができます。Widelink エントリは、共有ごとに使用できます。

Widelink エントリには次の要件があります。

• 絶対シンボリック リンクが含まれている共有は、ワイド シンボリック リンクに対して有

効にする必要があります。 • 絶対シンボリック リンクを参照するには、リンク先を決定する Widelink エントリが

/etc/symlink.translations ファイル内に必要です。 • Widelink エントリのリンク先を次のいずれかにする必要があります。

• シンボリックリンクと同じ共有 • 同じストレージ システム上の別の共有 • 別のストレージ システム上の共有 • 別の CIFS サーバまたはデスクトップ PC 上の共有

Page 282: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

282 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

• CIFS クライアントは、Microsoft Distributed File System (DFS)用のクライアント側サポー

トが必要です。Windows NT とその後のクライアントがデフォルトで DFS をサポートし

ています。

Widelink エントリを参照するために、CIFS クライアントは、ストレージ システムに対して

DFS 照会の要求と受信を自動的に実行し、ターゲットとなる共有との認証された接続を確立

する必要があります。これによって、シンボリック リンクとリンク先の両方の NT 共有セキ

ュリティが維持されます。接続が確立されると、CIFS クライアントはターゲットの共有また

はサーバに直接新しい要求を出すことができるので、パフォーマンスが向上します。

symlink.translations ファイル内に Map エントリと Widelink エントリの両方がある場合、スト

レージ システムでは最初に一致したエントリが使用されます。

Widelink エントリには次の制約があります。

• ワイド シンボリック リンクのリンク先がファイルであっても、ディレクトリの一覧には

ディレクトリとして表示されます。ファイルを開くシステム API はワイド シンボリック リンクのリンクを正しく参照しますが、一部のアプリケーションでは混乱が発生する場合

があります。この問題を回避するには、ファイルではなくディレクトリを参照するワイド シンボリック リンクを作成します。

• Windows 95、Windows 98、および Windows ME クライアントでは、別のワイド シンボ

リック リンクにリンクするワイド シンボリック リンクを参照できません。 • ワイド シンボリックリンクでは、リンク先の装置の非共有領域にクライアントを誘導でき

ません。

シンボリックリンクに対する共有の境界チェックの無効化

シンボリックリンクのシェア境界チェックを無効にすると、CIFS クライアントは、ストレー

ジ システム上にあるシンボリックリンクを参照できます。この動作は、共有単位で設定され

相対シンボリックリンクと絶対シンボリックリンクの両方に影響を及ぼします。

シンボリック リンクに対する共有の境界チェックを無効にするには、次の要件を満たす必要

があります。

• シンボリック リンクが含まれている共有は、nosymlink_strict_security に設定する必要が

あります。 • 絶対シンボリック リンクを参照するには、リンク先を決定する Map エントリが

/etc/symlink.translations ファイル内に必要です。 • 相対シンボリック リンクおよびマッピングされた絶対シンボリック リンクのリンク先は、

ストレージ システムの任意の共有領域または非共有領域になければなりません。

シンボリック リンクに対する共有の境界チェックを無効にするには、次の制約があります。

• ボリュームを連結するには、相対シンボリック リンクを使用せず、絶対シンボリック リンクを使用します。

• シンボリックリンクは、そのストレージシステム以外のシステムを参照することはできま

せん。

Page 283: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 283

• NT 共有セキュリティはシンボリック リンクに対して維持されます。これは、CIFS クラ

イアントが、シンボリック リンクが含まれている共有に接続できるように認証する必要が

あるためです。 • リンク先が同じ共有内にある場合のみ、そのシンボリック リンクのリンク先に対して NT

共有セキュリティは維持されます。 • リンク先が共有外にある場合、NT 共有セキュリティはシンボリック リンクのリンク先に

対して維持されません。これは、CIFS クライアントが、そのリンク先(CIFS 共有である

か否かは問わない)を認証する必要がないためです。

メモ:シンボリック リンクに対する共有の境界チェックを無効にする場合は、ユーザから

のアクセスを禁止しているストレージ システムのすべての領域の安全を確保してください。

この操作は必ず行ってください。ユーザが、ストレージ システム上の任意のパスに対する

シンボリック リンクを作成できてしまうためです。

絶対シンボリックリンクのリダイレクト

ストレージ システムで絶対シンボリック リンクをリダイレクトするには、

/etc/symlink.translations ファイル内に Map エントリを作成するか、または

/etc/symlink.translations ファイル内に Widelink エントリを作成します。

タスク概要

NFS クライアントは、ファイルシステムがクライアント上にどのようにマウントされているかに基づいて、

絶対シンボリック リンクが示すファイルシステムの位置を解釈します。CIFS クライアントは、NFS クラ

イアントのマウント情報にアクセスできません。

CIFS クライアントがストレージ システム上の絶対シンボリック リンクを参照できるようにするには、絶

対シンボリック リンクをリダイレクトして、CIFS クライアントが、絶対シンボリック リンクによって表され

ているファイルシステムの位置を解釈できるようにする必要があります。/etc/symlink.translations ファイル内にエントリを作成することによって、絶対シンボリック リンクをリダイレクトできます。

/etc/symlink.translations ファイルは、ストレージ システム上で、UNIX サーバの自動マウント テーブ

ルと同じ役割を果たします。

次のトピックス

Map エントリの作成

Widelink エントリの作成

Mapエントリの作成

Map エントリを作成するには、/etc/symlink.translations ファイルを編集します。

ステップ

1. 編集するために、/etc/symlink.translations ファイルを開きます。

2. 次の形式を使用して、ファイルに 1 行以上の行を入力します。

Page 284: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

284 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

Map template result

temoplate は、絶対シンボリックリンクとの照合に使用されます。

result は、一致した絶対シンボリックリンクと置き換わるストレージ システム上の パスで

す。

メモ:ファイル パスにスペースまたはポンド(#)記号を指定する場合、バックスラ

ッシュ(\)エスケープ文字を前に付加する必要があります。

例 Map /u/users/charlie/* /home/charlie/* Map /temp1/* /vol/vol2/util/t/* Map /u/users/bob\ smith/* /home/bob\ smith/*

Widelinkエントリの作成

Widelink エントリを作成するには、/etc/symlink.translations ファイル編集します。

ステップ

1. 編集するために/etc/symlink.translations ファイルを開きます。

2. 次のフォーマットを使ってファイル内に 1 行またはそれ以上の行を入力します。

Widelink template [@qtree] result

template は、UNIX パス名を指定します。

result は、CIFS UNC パス名を指定します。

qtree は、異なる qtree 内の複数のエントリが同一の template 値を有することを許可しま

す。

メモ:マップエントリと違って、バックスラッシュ(∖)エスケープ文字を先頭に付けずにフ

ァイルパ C スにスペースとポンド(#)文字を指定できます。Widelink では、バックスラッ

シュ文字は、Universal Naming Convention(UNC)に従って円記号はファイルパスの標

準文字とされています。

次の例では、result に、バックスラッシュを区切り文字とした CIFS パス名の構文を使 用しています。また、スペースの埋め込みも可能です。テンプレート パス名の中の

ワイルドカード文字(*)は、バックスラッシュ(\)を含む 0 個以上の任意の文字を

表します。次の result のパス名のワイルドカード文字は、template のパス名の対応部分 と一致する文字列を表します。 Widelink /eng/proj/* @/vol/vol2 \\filer\hw\proj\* Widelink /eng/proj/* \\filer\sw\proj\*

Page 285: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 285

ストレージシステムによるMapとWidelinkエントリの使用方法

CIFS クライアントが絶対シンボリック リンクを参照できるようにするために、ストレージ システムは、一致するエントリが検出されるか、または検索が失敗するまで、順番に

/etc/symlink.translations ファイル内にあるエントリを検索します。

ストレージ システムは、最初に一致したエントリを使用して、リンク先へのパスを生成しま

す。このため、最も限定的なエントリを最初に配置して、マッピング エラーの発生を防ぐこ

とが重要です。

この例は、Map エントリの記述方法を示しています。/u/home/*は、/u/*よりも限定的です。

Map /u/home/* /vol/vol2/home/*

Map /u/* /vol/vol0/*

次の例は、Widelink エントリの記述方法を示しています。

Widelink /u/docs/* \\filer\engr\tech pubs\*

Widelink /u/* \\filer\engr\*

CIFS クライアントに対する NFS ディレクトリアクセスの最適化

CIFS クライアントから NFS ディレクトリへのアクセスを最適化するには、CIFS クライアン

トまたは NFS クライアントがディレクトリにアクセスして、Unicode 形式のディレクトリの

みを作成する場合には非 Unicode ディレクトリが Unicode 形式に変換されるように

DataONTAP を設定します。これにより、形式を変換する必要がなくなります。

タスク概要

メモ:ファイルを CIFS クライアントと NFS クライアントで共有する場合は、インストー

ル直後にディレクトリを Unicode 形式で作成するよう Data ONTAP を設定します。こうす

ることにより、すべての新しいディレクトリが Unicode 形式で作成されます。

Data ONTAP をインストールすると、NFS クライアントによって作成されたディレクトリは

非 Unicode 形式になり、CIFS クライアントによって作成されたディレクトリは Unicode 形式

になります。このため、CIFS ディレクトリには NFS クライアントから直接アクセスできま

すが、NFS ディレクトリには CIFS クライアントから直接アクセスできません。NFS ディレ

クトリに CIFS クライアントがアクセスできるようにするには、ストレージ システムがまず

NFS ディレクトリを Unicode 形式に変換する必要があります。これは、ストレージ システム

がアクセス要求を受け取ったときに自動的に(すぐに)実行されます。対象となるデータの量

によっては、Unicode 変換に時間がかかり、ストレージ システム リソースを消費する場合も

あります。

次のトピックス

Unicode 形式のディレクトリの作成

Unicode 形式への変換

Page 286: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

286 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

Unicode形式のディレクトリの作成

vol options コマンドを使用すると、Data ONTAP ですべてのディレクトリを Unicode 形式で

作成できます。

ステップ

1. 次のコマンドを入力して下さい。

vol options volume_name create_ucode on

Unicode形式への変換

デフォルトでは、CIFS クライアントがアクセスを要求したときだけ、ディレクトリの

Unicode 変換が実行されます。各ディレクトリのエントリの数を 50,000 未満に制限すること

により、Unicode 変換に必要な時間を短縮できます。

タスク概要

すでに大きなディレクトリがある場合は、次の手順に説明するように大きなディレクトリを前

もって強制的に Unicode に変換することにより、Unicode 変換のパフォーマンスへの影響を

最小限にすることができます。

大きなディレクトリを強制的に Unicode 形式に変換し、CIFS および NFS クライアントの両

方からアクセスされた時点でディレクトリを Unicode 形式に変換するには、次の手順を実行

します。

ステップ

1. 50,000 を超えるファイルが格納されたディレクトリがある場合は、Windows クライアン

トから変換対象のディレクトリと同じボリュームかつ同じ qtree 内に新しい CIFS ディレ

クトリを作成し、NFS mv コマンドを使用してこれらのファイルを作成したディレクトリ

に移動します。古いディレクトリを削除して、新しいディレクトリに同じ名前を割り当て

ることもできます。

2. 次のコマンドを入力します。

vol options volume_name convert_ucode on

NFS クライアントがファイルにアクセスすると Unicode 変換が実行されます。

メモ:50,000 件以上のファイルを含むディレクトリがある時は、convert_ucode オプ

ションを有効にしないで下さい。

CIFS クライアントで大文字のファイル名が作成されないようにする方法

cifs.save_case オプションを off に設定すると、CIFS クライアントで大文字のファイル名が

作成されないようにすることができます。

タスク概要

Page 287: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 287

以前の 16 ビットの CIFS クライアントでファイルを開いたり保存したりすると、小文字だけ

のファイル名と、大文字と小文字の混在するファイル名が、すべて大文字のファイル名に変更

されます。Data ONTAP で CIFS ファイル名に小文字を使用して保存するように指定すると、

大文字のファイル名には変更されません。

ステップ

1. 次のコマンドを入力します。

options cifs.save_case off

NFS クライアントからの CIFS ファイルへのアクセス

Data ONTAP では、NTFS(Windows NT ファイルシステム)のセキュリティ セマンティクス

を利用して、mixed 形式または NTFS 形式の qtree 内にあるファイルへのアクセス権が、NFS クライアント上の UNIX ユーザにあるかどうかが判別されます。

タスク概要

Data ONTAP では、ユーザの UNIX User ID(UID)から変換された CIFS クレデンシャルを使

用して、ファイルに対するユーザのアクセス権の有無が確認されます。CIFS クレデンシャル

は、通常はユーザの Windows ユーザ名であるプライマリ Security Identifier(SID;セキュリテ

ィ ID)と、ユーザがメンバーとなっている Windows グループに対応する 1 つ以上のグループ

SID で構成されています。

Data ONTAP で UNIX UID を CIFS クレデンシャルへ変換するときに要する時間は、数十ミリ

秒から数百ミリ秒です。これは、この変換処理にドメイン コントローラへの問い合わせも含

まれるためです。Data ONTAP では UID が CIFS クレデンシャルにマッピングされます。

このマッピングは WAFL®クレデンシャル キャッシュ内に入力されるので、変換によって発

生する照合時間が短縮されます。WAFL クレデンシャル キャッシュを制御することによって、

Data ONTAP で権限の照合に要する時間が大幅に短縮されます。また、WAFL クレデンシャ

ル キャッシュの統計を監視し、現在 WAFL クレデンシャル キャッシュ内にある CIFS クレデ

ンシャルの判別に利用することができます。

次のトピックス

WAFL クレデンシャルキャッシュへのマッピングエントリの追加 WAFL クレデンシャルキャッシュからのマッピングエントリの削除 マッピングエントリの有効時間の設定 WAFL クレデンシャルキャッシュ統計の監視 マッピング不整合への対処 CIFS ログインの追跡 ドメインコントローラ接続の追加

WAFLクレデンシャルキャッシュへのマッピングエントリの追加

WAFL クレデンシャル キャッシュには、マッピング エントリをいつでも追加できます。通常

Page 288: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

288 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

は、ストレージ システムにアクセスすることによってエントリが自動的に作成されるため、

追加する必要はありません。

開始する前に

WAFL 認証情報キャッシュに追加するエントリの名前および IP アドレスを準備しておく必要

があります。

タスク概要

エントリを追加する最適な方法は、起動時にエントリで WAFL クレデンシャル キャッシュを

ロードするスクリプトを使用することです。これによって、ファイルへのアクセス中にエント

リが作成されるのを待機する必要がなくなり、エントリは、WAFL クレデンシャル キャッシ

ュ内にすぐに追加されます。

メモ:キャッシュは、10,000 エントリに制限されます。この制限を超える場合は、古いエン

トリから削除されます。

ステップ

1. 次のコマンドを入力します。

wcc -a -u uname -i ipaddress

uname は、ユーザの UNIX 名を指定します。

Ipaddress はユーザが接続しているホストの IP アドレスを指定します。

WAFLクレデンシャルキャッシュからのマッピングエントリの削除

WAFL クレデンシャル キャッシュからエントリをいつでも削除できます。セキュリティ変更

を行ったあとでエントリを削除して、ただちにセキュリティ変更を反映させたい場合があるか

もしれません。

開始する前に

WAFL クレデンシャル キャッシュから削除するエントリの名前を準備しておく必要がありま

す。さらに選択を絞り込むには、オプションで IP アドレスを指定できます。

タスク概要

ユーザの権限を変更したとき、セキュリティ変更はただちに反映されない場合もあります。た

とえば、グループからユーザを削除したが、そのユーザのマッピングがすでに WAFL クレデ

ンシャル キャッシュに存在する場合、WAFL クレデンシャル キャッシュが自動的にタイムア

ウトになるまで、そのユーザはファイルへのグループ アクセス権を持ち続けます。デフォル

トのクレデンシャル キャッシュ タイムアウト時間は 20 分です。

ステップ

1. 次のコマンドを入力します。

Wcc – x name

Page 289: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 289

Name には、次のいずれかを指定します。-s に続けて、CIFS クレデンシャル内で検出さ

れた Windows ユーザ名またはグループ名、あるいは、-u に続けて CIFS クレデンシャル

内で検出された UNIX 名が続きます。

メモ:nameがグループ名の場合、この手順でそのグループの全てのメンバーが

WAFL クレデンシャルキャッシュから削除されます。

-i を追加し、その後にユーザが接続しているホストの IP アドレスを続けることによってユ

ーザ指定を更に狭めることができます。名前を指定しない場合、全てのエントリが削除さ

れます。

例 wcc -x -u jdoe -i 10.100.4.41

マッピングエントリの有効時間の設定

Data ONTAP が更新を行ったあとに CIFS クレデンシャルが WAFL クレデンシャル キャッシ

ュ内に存在している時間を長くすることによって、パフォーマンスを向上させることができま

す。これは、Data ONTAP で CIFS クレデンシャルを作成してファイルへのアクセス権を照合

するための時間を確保する必要がないためです。

タスク概要

CIFS クレデンシャルが WAFL クレデンシャル キャッシュ内に存在する時間を延長すること

の欠点は、ユーザのアクセス権を変更しても、Data ONTAP が WAFL クレデンシャル キャッ

シュを更新するまで変更が有効にならないことです。このため、アクセスの拒否を設定したば

かりのファイルへのアクセス権をユーザが一時的に持ってしまう可能性があります。

この欠点によって問題が発生しなければ、クレデンシャル エントリが有効になる時間を長く

することができます。アクセス権の更新をすぐに反映させる必要があり、パフォーマンスが遅

くても問題にならない場合は、デフォルトよりも小さい値を使用できます。

ステップ

1. 次のコマンドを入力します。

options wafl.wcc_minutes_valid n

n は、各エントリを有効にする時間(分)です。指定できる範囲は1~20,160 で、デフォル

ト値は 20 です。

WAFLクレデンシャルキャッシュ統計の監視

WAFL クレデンシャル キャッシュ統計を監視すると、現在キャッシュされているエントリ、

および UNIX UID/CIFS 間のクレデンシャル マッピングを表示できます。これらの情報は、

WAFL クレデンシャル キャッシュにあるエントリや、エントリの一覧で示されるユーザのア

クセス権について知る必要がある場合に利用できます。

ステップ

Page 290: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

290 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

1. 次のコマンドを入力します。

wcc –d uname

uname は、ユーザの UNIX 名です。WAFL クレデンシャルキャッシュの全てのクレデンシ

ャルエントリを一覧表示する時は、uname を省略します。コマンド行に-v を追加するこ

とによって、更に詳細な情報を得ることができます。コマンド当たり-v オプションを 3 つ

まで(-vvv)使用でき、各インスタンスは、詳細レベルの増加を示します。

次に、-d オプションを使用した統計出力を示します。 wcc –d tday (UID 10350) from 10.121.4.41 => NT-DOMAIN\tday* Total WCC entries: 3; oldest is 127 sec. Total Administrator-privileged entries: 1 * indicates members of "BUILTIN\Administrators" group

次に、-v オプションを 2 つ使用した統計出力例を示します。 wcc –dvv jdoe (UID 1321) from 10.121.4.41 => NT-DOMAIN\jdoe *************** UNIX uid = 1321 NT membership NT-DOMAIN\jdoe NT-DOMAIN\Domain Users NT-DOMAIN\SU Users NT-DOMAIN\Installers NT-DOMAIN\tglob NT-DOMAIN\Engineering BUILTIN\Users User is also a member of Everyone, Network Users, Authenticated Users *************** tday (UID 10350) from 10.121.4.41 => NT-DOMAIN\tday* ************** UNIX uid = 10350 NT membership NT-DOMAIN\tday NT-DOMAIN\Domain Users NT-DOMAIN\Domain Admins NT-DOMAIN\SU Users NT-DOMAIN\Installers BUILTIN\Users BUILTIN\Administrators User is also a member of Everyone, Network Users, Authenticated Users ***************

Page 291: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 291

bday (UID 1219) from 10.121.4.41 => NT-DOMAIN\bday *************** UNIX uid = 1219 NT membership NT-DOMAIN\bday NT-DOMAIN\Domain Users NT-DOMAIN\Installers NT-DOMAIN\SU Users BUILTIN\Users User is also a member of Everyone, Network Users, Authenticated Users *************** Total WCC entries: 3; oldest is 156 sec. Total Administrator-privileged entries: 1 * indicates members of "BUILTIN\Administrators" group

マッピング不整合への対処

マッピングの不整合に対処するには、いくつかのタスクを実行します。

タスク概要

ユーザがアクセス可能であるはずのファイルにアクセスできない場合、次のような理由が考え

られます。

• アクセス権を最近付与したが、WAFL クレデンシャル キャッシュに新しいマッピング エントリがない場合。最近付与された権限と WAFL クレデンシャル キャッシュ間のマッピ

ングの不整合は、CIFS クレデンシャル マッピングを比較して判別します。マッピングの

結果は、ユーザの UNIX 名または Windows 名のどちらについても表示できます。 • NFS クライアントが CIFS クレデンシャルを取得できなかった場合。NFS クライアント

がストレージ システムへの CIFS のログインを実行できるかどうかは、CIFS ログインを

追跡することによって判別できます。 • NFS クライアントによっては、NFS 属性キャッシュがタイムアウトしてからでないと

CIFS クレデンシャルの変更が有効にならない場合があります。

ステップ

1. 次のコマンドを入力して UNIX 名の現在の CIFS クレデンシャルマッピングを表示します。

wcc –s uname

uname は、Windows ユーザ名です。-i を追加し、続けてユーザが使用しているホストの

IP アドレスを指定すると、ユーザをさらに絞り込むことができます。さらに詳細な情報を

表示するには、コマンドラインに-v を追加します。1つのコマンドには、-v オプションの

インスタンスを3つまで指定でき(-vvv)、各インスタンスが詳細レベルの増加を示します。

2. CIFS クレデンシャル情報を記録します。

3. 次のコマンドを入力して、接続されているすべてのユーザの情報を表示します。

cifs sessions –s

Page 292: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

292 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

出力結果からこのユーザの情報を検索します。

4. 2つの CIFS クレデンシャルマッピングを比較します。

5. CIFS クレデンシャルマッピングが異なる場合は、次のコマンドを入力してクライアントの接続を解

除します。

cifs terminate workstation

結果

クライアントを再接続すると、CIFS クレデンシャルマッピングは正しいものになります。

CIFSログインの追跡

CIFS ログインを追跡するには、NFS クライアントによる CIFS クレデンシャル取得の試行を

監視します。

タスク概要

すべての CIFS ログインが報告されるため、CIFS ログイン追跡は慎重に使用してください。

継続的に使用するとコンソールおよびログ メッセージが膨大な量になり、システムのパフォ

ーマンスに影響を及ぼすことがあります。cifs.trace_login オプションは、診断のときだけオン

にしてください。それ以外の用途のときにはオフにしておくことを推奨します(デフォルトで

はオフになっています)。

ステップ

1. 次のコマンドを入力します。

options cifs.trace_login {on | off}

CIFS ログインの追跡を有効にする場合は on を指定し、無効にする場合は off を指定してくださ

い。

ドメインコントローラ接続の追加

Data ONTAP が数分ごとにドメイン コントローラ接続の改善を試行する際にメッセージをコ

ンソールに送信するように、Data ONTAP を設定できます。

タスク概要

追跡機能は、コンソールおよびシステム ログに頻繁にメッセージを送信するため、このオプ

ションは継続的に有効にしないでください。

ステップ

1. 次のコマンドを入力します。

options cifs.trace_dc_connection {on | off}

デフォルは、off です。

Page 293: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 293

UNIX の「実行」権限がない CIFS クライアントへの.dll および.exe ファイルの暗黙的な実行

権限の付与

cifs.grant_implicit_exe_perm オプションを on に設定すると、UNIX 実行可能ビットが設定さ

れていない CIFS クライアントに、.dll および.exe ファイルの実行を許可することができます。

ステップ

1. 次のコマンドを入力します。

options cifs.grant_implicit_exe_perm on

結果

UNIX の「読み取り」権限のみが設定された実行可能ファイルを、CIFS クライアントから実

行した場合は、実行権限が黙示的に付与されます。

Page 294: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

294 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

FTP を使用したファイルアクセス

Internet File Transfer Protocol (FTP) サーバを有効にして、Windows および UNIX FTP クライ

アントがストレージシステムのファイルへアクセスできるように設定できます。

FTP の管理

FTP を有効化または無効化する、構成する、およびそれに関連した統計を見ることで管理で

きます。

次のトピックス

FTP サーバの有効化と無効化 TFTP サーバの有効化と無効化 FTP ファイルロッキングの有効化と無効化 FTP 認証形式の指定 FTP トラバースチェックのバイパスの有効化と無効化 FTP アクセスの制限 FTP ログファイルの管理 FTP サーバで生成された SNMP トラップの表示 FTP の統計の表示 FTP の統計のリセット FTP 接続の最大数の指定 TFTP 接続の最大数の指定 FTP 接続しきい値の設定 FTP 処理用の TCP ウィンドウサイズの指定 FTP アイドルタイムアウト値の指定 匿名 FTP アクセスの管理

FTPサーバの有効化と無効化

FTP サーバを有効にするには、ftpd.enable オプションを on に設定します。FTP サーバを無

効にするには、ftpd.enable オプションを off に設定します。デフォルトでは、このオプション

は off になっています。

手順

1. 次のいずれかの操作を実行します。

目的 操作

FTP サーバを有効にする場合

次のコマンドを入力します: options ftpd.enable on FTP サーバは標準 FTP ポート 21 で FTP 要求のリスニングを開始します。

FTP サーバを無効にする場合

次のコマンドを入力します。 options ftpd.enable off

Page 295: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 295

TFTPサーバの有効化と無効化

tftpd.enable オプションを変更して TFTP サーバを有効化または無効化できます。

手順

1. 次のアクションの 1 つを実行します:

目的 操作

TFTP サーバを有効にする場合

次のコマンドを入力します。 options tftpd.enable on tftpd.enable オプションはオンで TFTP サーバは標準の FTP ポート 69 で

TFTP 要求のリスニングを開始します。

TFTP サーバを無効にする場合

つぎのコマンドを入力します。 options tftpd.enable off

このオプションはデフォルトで off です。

FTPファイルロッキングの有効化と無効化

FTP サーバが転送中にファイルの変更を防止するために、FTP ファイルロッキングを有効化

できます。そうでなければ、ファイルロッキングを無効にできます。デフォルトではファイル

ロッキングは無効化されています。

手順

1. 次のアクションのうち 1 つを実行します。

目的 操作.

削除と名前変更を有効化する

場合 次のコマンドを入力します。 options ftpd.locking delete

削除、名前変更、書き込みを有

効化する場合 次のコマンドを入力します。 options ftpd.locking write

無効化 次のコマンを入力します。 options ftpd.locking none

FTP認証形式の指定

UNIX、Windows、また両方の認証スタイルを構成するには、ftpd.auth_style オプションを unix, ntlm, or mixed へそれぞれ設定できます。デフォルトでは、このオプションは mixed に

なっています。

タスク概要

UNIX の認証形式を指定すると、FTP サーバは /etc/ passwd ファイルまたは Network Information Service (NIS) サーバを使ってユーザを認証します。

Page 296: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

296 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

NTLM 認証形式を指定するとき、FTP サーバは Windows ドメインコントローラーを使用して

ユーザを認証します。NTLM の認証形式は UNIX の認証スタイルよりも安全です、なぜならば

暗号化されたユーザ名とパスワードを使うからです。

mixed の認証形式を指定すると、FTP サーバは UNIX の認証スタイルをバックスラッシュ(\)文字を含む名前のユーザへ使用し、NTLM 認証スタイルを他の全てのユーザへ使用します。

手順

1. 次のコマンドを入力します。

options ftpd.auth_style style

style は unix, ntlm, または mixed です。

2. 手順 1 で ntlm を指定したら、/etc/cifs_homedir.cfg ファイルの中で CIFS のホームディレ

クトリを指定して次のコマンドを入力します。

cifs homedir load

ユーザのホーム ディレクトリは、/etc/cifs_homedir.cfg で指定されたパスとそのユーザの

ユーザ ID を組み合わせたものです。/etc/cifs_homedir.cfg で指定されたパスでは大文字と

小文字が区別されますが、ユーザ ID では区別されません。

たとえば、パスが\home でユーザ名が JOHN の場合、ユーザのホーム ディレクトリは

\home\john になります。

終了後

ftpd.auth_style オプションが unix に設定されていて、NIS が有効になっている(nis.enable オプションが on になっている)場合は、/etc/nsswitch ファイルに適切な passwd エントリを追

加する必要があります。

• /etc/passwdファイルのみを使っているユーザを認証するには、 次のエントリを追加しま

す。

passwd: files

• NIS のみを使っているユーザを認証するには、次のエントリを追加します。

passwd: nis

• /etc/nsswitch ファイルと NIS の両方を使用してユーザを認証するには、次のエントリを追

加します。

passwd: files nis

NTLM認証形式の制限

NTLM 認証形式にはいくつか制限があります。

Page 297: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 297

これらの制限には次のものが含まれます:

• NTLMv2 は、ストレージ システムに存在しないドメイン コントローラベースのサービス

に依存します。そのため、ワークグループ モードで動作するストレージ システムへの接

続に使用できるのは NTLMv1 およびそれ以前のバージョンのみとなります。 • NTLM 認証を使用するワークグループ ストレージ システムの Windows クライアントでは、

「LAN マネージャ認証レベル」を「NTLMv2 のみ」以外のレベルに設定する必要がありま

す。このオプションを設定すると、「LMCompatibilitylevel」のレジストリ値が 0、1、ま

たは 2 に変更されます。これは、ワークグループ環境のストレージ システムでサポート

される唯一の NTLM 設定です。 • Active Directory 環境のドメインベースのクライアントは、(要求がストレージ システム

からドメイン コントローラへ渡されるため)NTLMv2 を使用して認証することができま

すが、ドメイン コントローラはローカル ストレージ システム アカウントの接続情報を使

用することができません。このため、ローカル ストレージ システム アカウントは、この

ような環境でストレージ システムに接続しようとしても認証に失敗します。

FTP トラバースチェックのバイパスの有効化と無効化

FTP トラバース チェックのバイパスを有効または無効にするには、

ftpd.bypass_traverse_checking オプションをそれぞれ on または off に設定します。デフォル

トでは、このオプションは off になっています。

タスク概要

ftpd.bypass_traverse_checking option が off になっている場合に、ユーザが FTP プロトコル

を使用してファイルにアクセスしようとすると、このファイルのパスに含まれるすべてのディ

レクトリに対してトラバース(実行)権限があるかチェックされます。いずれかの中間ディレ

クトリに「X」(トラバース権限)がない場合は、このファイルへのアクセスが拒否されます。

ftpd.bypass_traverse_checking オプションが on になっている場合に、ユーザがファイルにア

クセスしようとすると、中間ディレクトリのトラバース権限がチェックされないで、ファイル

へのアクセスの可否が判別されます。

手順

1. 次のいずれかを実行します。

FTP トラバースチェックのバイパスの設定 操作

有効にする場合 次のコマンドを入力します。 options ftpd.bypass_traverse_checking on

無効にする場合

次のコマンドを入力します。 options ftpd.bypass_traverse_checking off

FTPアクセスの制限

FTP アクセスを制限するには、FTP アクセスを有効または無効にしたり、ユーザのホーム ディレクトリおよびユーザ名を指定したりします。

Page 298: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

298 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

次のトピックス

特定の FTP ユーザのブロック FTP ユーザのアクセス先を特定のディレクトリに限定 FTP ユーザのアクセス先をホームディレクトリまたはデフォルトディレクトリに限定

特定のFTPユーザのブロック

特定の FTP ユーザに対してストレージシステムへアクセスを禁止するには/etc/ftpusers ファ

イルに該当するユーザを追加します。

手順

1. NFS または CIFS クライアントからストレージシステムのデフォルトボリューム(デフォ

ルトでは/vol/vol0)にある /etc ディレクトリへアクセスします。

2. /etc/ftpusers ファイルをテキストエディターで開きます(もしファイルが存在しなければ

新規に作ります)。

3. アクセスを拒否するユーザのユーザ名(1 行に 1 つ)を追加します。

NTLM 認証の場合は、次のいずれかの形式でユーザ名を指定してください:

• Domain\username • Username@domain

メモ:上記のフォーマットで、正確なドメイン名を指定してください。;正確でなければ、

FTP サーバはユーザへアクセスを拒否できません。たとえば、ドメインの名に".com"というサフィックスが含まれている場合は、このサフィックスを名前に含めてください。

4. /etc/ftpusers ファイルを保存します。

FTPユーザのアクセス先を特定のディレクトリに限定

FTP ユーザを指定のディレクトリへ制限するには、ftpd.dir.restriction オプションを on に設定

できます; そうしないのであれば、FTP ユーザがシステム全体に渡ってアクセスを許される

ように、ftpd.dir.restriction オプションは OFF に設定できます。デフォルトではこのオプショ

ンは ON です。

手順

1. 次の 1 つのアクションを実行してください。

目的 操作

FTP ユーザのアクセス先をホームディレクトリま

たはデフォルトディレクトリに限定する場合 次のコマンドを入力します。 options ftpd.dir.restriction on

FTP ユーザがストレージシステム全体にアクセ

スできるようにする場合 次のコマンドを入力します。 options ftpd.dir.restriction off

ftpd.dir.restriction オプションが on に設定されている場合に、ftpd.dir.override オプションを使

Page 299: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 299

用すると、FTP ユーザがアクセスできるディレクトリをホーム ディレクトリまたはデフォル

ト ディレクトリの中から指定できます。

FTPユーザのアクセス先をホームディレクトリまたはデフォルトディレクトリに限定

FTP ユーザをデフォルトディレクトリに限定するには ftpd.dir.override オプションを設定する

ことができます。FTP ユーザをホームディレクトリに限定するために ftpd.dir.override オプシ

ョンをクリアします。デフォルトでは、このオプションはクリアされています。

ftpd.dir.override オプションを設定する前に ftpd.dir.restriction オプションを on に設定する必要

があります。

手順

1. 次のいずれかの操作を実行します。

目的 操作

FTP ユーザのアクセス先をホームディレクトリに

限定する場合 次のコマンドを入力します。 options ftpd.dir.override ""

FTP ユーザのアクセス先をデフォルトディレクトリ

に限定する場合 次のコマンドを入力します。 options ftpd.dir.override directory directory は FTPユーザを制限したい先のデフォルトディレクトリの

名です。

FTP ユーザが手順 1 で作成されたディレクトリへの読み取りアクセスがあることを確認します。

詳細は Data ONTAP Storage Management Guide を参照してください。

FTPログファイルの管理

FTP ログ ファイルを管理するには、FTP ログ ファイルを表示して、FTP ログ ファイルの最

大数や、現在の FTP ログ ファイルの最大サイズを指定します。

次のトピックス

FTP サーバでのログファイルの管理方法 /etc/log/ftp.xfer ログファイルの形式 /etc/log/ftp.cmd ログファイルの形式 FTP ログファイルの表示 FTP ログファイルの最大数の指定 FTP サーバでのログファイルの管理方法

FTPサーバでのログファイルの管理方法

Data ONTAP では、すべての FTP サーバ要求が/etc/log/ftp.cmd ファイルに記録され、すべて

のファイル転送が/etc/log/ftp.xfer ファイルに記録されます。

データは FTP ログ ファイル(/etc/log/ftp.cmd または/etc/log/ftp.xfer ファイル)に書き込まれ、

FTP ログ ファイルが最大サイズに達すると、Data ONTAP で次のタスクが実行されます。

1. FTP ログ ファイルの総数が FTP ログ ファイルの最大数と等しい場合は、最も古い FTP

Page 300: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

300 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ログ ファイルが削除されます。

2. 古い FTP ログ ファイルのサフィックスが増加します。

3. 現在の FTP ログ ファイルには.1 というサフィックスが追加されて、古い FTP ログ ファ

イルになります。

4. 新しい FTP ログ ファイルが作成されます。

例 ログ ファイルの最大数が 6 の場合に、/etc/log/ftp.xfer ログ ファイルが最大サイズに 達すると、次のタスクが実行されます。 1. /etc/log/ftp.xfer.5 ファイルが存在する場合は、削除されます。

2. /etc/log/ftp.xfer.4 ファイルの名前が /etc/log/ftp.xfer.5 に、 /etc/log/ftp.xfer.3 ファイルの名前が

/etc/log/ftp.xfer.4 に変更されます(以下同様)。

3. etc/log/ftp.xfer ファイルの名前が/etc/log/ftp.xfer.1 に変更されます。

4. 新しい/etc/log/ftp.xfer ログ ファイルが作成されます。

/etc/log/ftp.xferログファイルの形式

etc/log/ftp.xfer ファイルには、FTP サーバによって転送されるすべてのファイルの情報が格納

されます。

次の表に、/etc/log/ftp.xfer ファイルのフィールドの説明を示します。

フィールド 解説

timestamp ログレコードのタイムスタンプ

xferTime ファイル転送の時間 (秒)

clientIP FTP クライアントの IP アドレス

XferCount 転送済みファイルのバイトカウント

filename 転送済みファイルのファイル名

xferType “a” (ascii), “e” (ebcdic), または “b” (バイナリ)が可能です。

xferDirection “o” (アウトバウンド) または r “i” (インバウンド)が可能です。

accessType “a” (匿名), “r” (実ユーザ), または “g” (ゲスト)が可能です。

/etc/log/ftp.cmdログファイルの形式

etc/log/ftp.cmd ファイルには、FTP サーバで受信されたすべてのコマンドの情報が格納されま

す。

次の表に、/etc/log/ftp.cmd ファイルのフィールドの説明を示します。

フィールド 説明

Page 301: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 301

timestamp ログレコードのタイムスタンプ

serialNo FTP 接続のシリアル番号

command FTP コマンド

FTPログファイルの表示

FTP ログファイルを見るには、テキストエディターかビューアーで開きます。

FTP サーバは 2 つのログファイルを維持します。

• /etc/log/ftp.cmd ファイルには、FTP サーバで受信されたすべてのコマンドの情報が格納さ

れます。

• /etc/log/ftp.xfer ファイルには、FTP サーバによって転送されるすべてのファイルの情報が

格納されます。

手順

1. NFS または CIFS クライアントから、ストレージ システムのデフォルト ボリューム(デ

フォルトは/vol/vol0)の/etc/log ディレクトリにアクセスします。

2. テキスト エディタまたはビューアでログ ファイルを開きます

FTPログファイルの最大数の指定

ftpd.log.nfiles オプションを FTP ログファイルの最大数を指定するように設定できます。デフ

ォルトでは、FTP ログファイルの最大数は 6 です。

手順

1. 次のコマンドを入力します。

opitions ftpd.log.nfiles n

n はログファイルの最大数です。くわしくは na_options(1) マニュアルページを参照して

ください。

現在のFTPログファイルの最大サイズの指定

現在の FTP ログ ファイル(/etc/log/ftp.cmd および/etc/log/ftp.xfer ログ ファイル)の最大サイ

ズを指定するには、ftpd.log.filesize オプションを設定します。デフォルトでは、現在の FTP ログ ファイルの最大サイズは 512 KB です。

手順

1. 次のコマンドを入力します。

options ftpd.log.filesize filesize

filesize は、整数の値で、あとに K または k(KB)あるいは G または g(GB)が付加され

ます。詳細については na_options(1) マニュアルページを参照ください。

Page 302: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

302 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

例 以下のコマンドは現在の FTP ログファイルの最大サイズを 1 GB に設定するには、次のコマン

ドを入力します。 options ftpd.log.filesize 1G

FTPサーバで生成されたSNMPトラップの表示

FTP サーバで生成された SNMP トラップを見るには、ストレージシステムの SNMP を開始し

て構成でき、UNIX クライアントで SNMP トラップを表示します。

次のトピックス

FTP サーバで生成された SNMP トラップ ストレージシステムでの SNMP の開始と設定 UNIX クライアントでの SNMP トラップの表示

FTPサーバで生成されたSNMPトラップ

FTP サーバでは SNMP トラップが生成されます。

以下のイベントが発生すると、FTP サーバで SNMP トラップが生成されます。:

• 同時接続数が ftpd.max_connections_threshold に達した場合

• 同時接続数が ftpd.max_connections のに達した場合

• エラーのためデーモン処理が停止した場合

SNMP の詳細については、 Data ONTAP 7-Mode Network Management Guide を参照してく

ださい。

ストレージシステムでのSNMPの開始と設定

ストレージシステムの SNMP を開始するには snmp コマンドを使用します。

手順

1. 次のコマンドを入力します。

snmp init 1

2. 次のコマンドを入力します。

snmp traphost add hostname

hostname は FTP サーバで生成された SNMP トラップを受信する UNIX クライアントのホ

スト名です。

手順 2 で指定した UNIX クライアント上で SNMP トラップを有効にする必要があります。

Page 303: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 303

UNIXクライアントでのSNMPトラップの表示

UNIX クライアントで SNMP トラップを表示するには、snmptrapd -p コマンドを入力できま

す。

UNIX クライアントで SNMP トラップを表示する前に、ストレージシステムで SNMP を開始

および設定する必要があります。

手順

1. 次のコマンドを入力します。

snmptrapd -P

FTPの統計の表示

FTP の統計を表示するには、ftp stat のコマンドを入力します。

手順

1. 次のコマンドを入力します。

ftp stat -p native

このコマンドを使って SFTP-のみ, explicit-FTPS-のみ, implicit-FTPS-のみ,IPv4-のみ, また

は IPv6-のみの統計を表示することもできます。詳細は na_ftp(1) マニュアルページを参照

してください。

結果

ftp stat コマンドを使用すると、次の統計が表示されます。

• 現在の FTP 接続数

• 同時 FTP 接続の最大数

• FTP 統計がリセットされてからの FTP 接続の合計数

FTPの統計のリセット

FTP の統計をリセットするには、ftp stat -z コマンドを入力します。

手順

1. 次のコマンドを入力します。

ftp stat -z

FTP接続の最大数の指定

FTP サーバが許可される FTP 接続の最大数を指定するには、ftpd.max_connections オプショ

ンを使用します。デフォルトでは、FTP 接続の最大数は 500 です。

手順

1. 次のコマンドを入力します。

Page 304: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

304 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

options ftpd.max_connections n

n は、FTP サーバが許可される FTP 接続の最大数です。

ftpd.max_connections を現在の FTP 接続数より少ない値に設定した場合、接続数が新し

い最大値未満になるまで、新規接続は FTP サーバによって拒否されます。既存の FTP 接

続は中断されません。

HA の構成で、ストレージシステムがテイクオーバモードになっている場合は、FTP 接続

の最大数は自動的に 2倍になります。

TFTP接続の最大数の指定

TFTP が許可する TFTP 接続の最大数を指定するには、tftpd.max_connections オプションを使

うことができます。TFTP 接続のデフォルト数は 8です。サポートされる接続の最大数は 32です。

手順

1. 次のコマンドを入力します。

options tftpd.max_connections n

n は TFTP サーバが許可す TFTP 接続の最大数です。tftpd.max_connections オプションを

TFTP 接続の現在の数より少ない値に設定したら、TFTP サーバは数字が新しい最大数以

下へ落ちるまでは新しい接続を拒絶します。TFTP サーバは既存の TFTP 接続を中断させ

ません。

HA の構成できでは、TFTP 接続の最大数はストレージシステムが引き継ぎモードになっ

たら自動的に倍になります。

FTP接続しきい値の設定

FTP 接続数が FTP 接続の最大数にどの程度近づいた場合に、FTP サーバがシステム ログに

エントリを追加し、(オプションとして)SNMP トラップを開始するのかを指定するには、

ftpd.max_connections_threshold オプションを設定します。デフォルトでは、このオプション

は 0(オフ)です。

手順

1. 次のコマンドを入力します。

options ftpd.max_connections_threshold n

n は ftpd.max_connections の値に対する割合(0~99)です。

FTP処理用のTCPウィンドウサイズの指定

FTP 処理用の TCP ウィンドウサイズを指定するには、ftpd.tcp_window_size オプションを使

うことができます。デフォルトでは、FTP 操作のための TCP ウィンドウサイズは 28,960 で

す。

手順を始める前に

Page 305: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 305

FTP 処理用の TCP ウィンドウ サイズは、ネットワーク設定で必要な場合にだけ変更してくだ

さい。変更すると、FTP のパフォーマンスに大きな影響が及びます。

手順

1. 次のコマンドを入力します。

options ftpd.tcp_window_size n

n は、FTP 処理用の TCP のウィンドウサイズです。

FTPアイドルタイムアウト値の指定

FTP アイドル タイムアウト値(FTP サーバによって終了されるまで、FTP 接続がアイドル状

態を継続できる期間)を指定するには、ftpd.idle_timeout オプションを設定します。デフォル

トでは、FTP アイドル タイムアウト値は 900 秒です。

手順

1. 次のコマンドを入力します。

options ftpd.idle_timeout n s | m | h

n は新しいタイムアウト値です。文字 s、m、または h を付加して、n の単位をそれぞれ

秒、分、または時間に指定します。

匿名FTPアクセスの管理

匿名 FTP アクセスを管理するには、匿名 FTP アクセスを有効または無効にしたり、匿名ユー

ザのホーム ディレクトリおよびユーザ名を指定したりします。

次のトピックス

匿名 FTP アクセスの有効化と無効化 匿名 FTP ユーザのユーザ名の指定 匿名 FTP ユーザのホームディレクトリの指定

匿名FTPアクセスの有効化と無効化

匿名 FTP アクセスを有効または無効にするには、ftpd.anonymous.enable オプションをそれぞ

れ on または off にそれぞれ設定します。デフォルトでは、このオプションは off になっていま

す。

手順

1. 次の操作のいずれかを実行します。

目的 操作

匿名 FTP アクセスを有効にする場合

次のコマンドを入力します。 options ftpd.anonymous.enable on

Page 306: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

306 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

目的 操作

匿名 FTP アクセスを無効にする場合

次のコマンドを入力します。 options ftpd.anonymous.enable off

匿名 FTP アクセスを有効にする場合は、次のタスクを実行する必要があります。

• 匿名 FTP ユーザのユーザ名を指定します。

• 匿名 FTP ユーザのホームディレクトリを指定します。

匿名FTPユーザのユーザ名の指定

匿名 FTP ユーザのユーザ名を指定するには、 ftpd.anonymous.name オプションを設定できま

す。 デフォルトでは、匿名 FTP ユーザのユーザ名は"anonymous."です。

FTP 認証形式が unix の場合、/etc/passwd ファイルで ftp ユーザに対してして指定されたユー

ザ名は無視され、このオプションで指定されたユーザ名が使用されます。

手順

1. 次のコマンドを入力します。

options ftpd.anonymous.name username

username は匿名ユーザの名前です。

匿名FTPユーザのホームディレクトリの指定

匿名 FTP ユーザのホームディレクトリ(つまり匿名 FTP ユーザがアクセスする唯一のディレ

クトリ)を指定するには、 ftpd.anonymous.home_dir オプションを使用します。

FTP 認証形式が unix の場合、/etc/passwd ファイルで ftp ユーザに対して指定されたユーザ名

は無視され、このオプションで指定されたユーザ名が使用されます。

手順

1. 匿名 FTP ユーザのためにホームディレクトリを作成します。

2. 次のコマンドを入力します。

options ftpd.anonymous.home_dir homedir

homedir は、匿名 FTP ユーザのホームディレクトリの名前です。

匿名 FTP ユーザが手順 1 で作ったディレクトリへ読み取りアクセス権があることを確かめて

ください。詳細は、 Data ONTAP 7-Mode Storage Management Manual を参照してください。

メモ: NTLM 認証形式の場合、FTP サーバによって認証された匿名の FTP ユーザには、

null ユーザと同じアクセス権が設定されます。

Page 307: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 307

HTTP を使用したファイルアクセス

HTTP クライアント(Web ブラウザ)がストレージシステムのファイルにアクセスできるよう

にするには、Data ONTAP ビルドイン HyperText Transfer Protocol (HTTP) サーバを有効化し

て構成できます。または、サードパーティの HTTP サーバを購入してストレージシステムへ

接続します。

次のトピックス

Data ONTA の ビルドイン HTTP サーバの管理

サードパーティ製 HTTP サーバの購入とストレージシステムへの接続

Data ONTA の ビルドイン HTTP サーバの管理

Data ONTAP ビルドイン HTTP サーバを管理するにはいくつかのタスクを実行します。

次のトピックス

Data ONTAP のビルドイン HTTP サーバの有効化と無効化 HTTP トラバースチェックのバイパスの有効化と無効化 Data ONTAP のビルドイン HTTP サーバのルートディレクトリの指定 Data ONTAP のビルドイン HTTP サーバのログファイルの最大サイズの指定 Data ONTAP のビルドイン HTTP サーバのテスト Data ONTAP のビルドイン HTTP サーバでの MIME コンテンツタイプとファイル名拡張子のマッピ

ング方法の指定 Data ONTAP のビルドイン HTTP サーバでの HTTP 要求の変換方法の指定 MIME コンテンツタイプの値の設定 Data ONTAP のビルドイン HTTP サーバのセキュリティーの維持 Data ONTAP ビルドイン HTTP サーバの統計の表示 Data ONTAP のビルドイン HTTP サーバの統計のリセット Data ONTAP のビルドイン HTTP サーバの接続情報の表示

Data ONTAPのビルドインHTTPサーバの有効化と無効化

Data ONTAP のビルドイン HTTP サーバを有効または無効にするには、httpd.enable オプショ

ンを on または off に設定できます。デフォルトでは、このオプションは off です。

手順

1. 次のアクションの 1 つを実行します。

HTTP の設定 操作

有効にする場合

次のコマンドを入力します: options httpd.enable on

無効にする場合 次のコマンドを入力します:

Page 308: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP の設定 操作

options httpd.enable off

実行後の作業

HTTP のライセンスを購入したユーザは、Web ブラウザから HTTP サーバのルートディレク

トリの全てのファイルへアクセスできます。;HTTP ライセンスを購入していないユーザは、

Web ブラウザからマニュアルページと FilerView のみにアクセスできます。

HTTPトラバースチェックのバイパスの有効化と無効化

httpd.bypass_traverse_checking オプションをそれぞれ on または off に設定することで HTTPトラバースチェックのバイパスを有効化または無効化できます。デフォルトではこのオプショ

ンは off に設定されています。

タスク概要

httpd.bypass_traverse_checking option が off になっている場合に、ユーザが HTTP プロトコ

ルを使用してファイルにアクセスしようとすると、このファイルのパスに含まれるすべてのデ

ィレクトリに対してトラバース(実行)権限があるかチェックされます。いずれかの中間ディ

レクトリに「X」(トラバース権限)がない場合は、このファイルへのアクセスが拒否されま

す。http.bypass_traverse_checking オプションが on になっている場合に、ユーザがファイル

にアクセスしようとすると、中間ディレクトリのトラバース権限がチェックされないで、ファ

イルへのアクセスの可否が判別されます。

手順

1. 次のいずれかの操作を実行します。

HTTP トラバースチェックのバイパス設定 操作

有効にする場合

次のコマンドを入力します。 options httpd.bypass_traverse_checking on

無効にする場合

次のコマンドを入力します。 options httpd.bypass_traverse_checking off

Data ONTAPのビルドインHTTPサーバのルートディレクトリの指定

Data ONTAP のビルトイン HTTP サーバのルート ディレクトリ(HTTP クライアントからア

クセスできるすべてのファイルが格納されたディレクトリ)を指定するには、httpd.rootdir オプションを設定します。

手順

1. 次のコマンドを入力します。

options httpd.rootdir directory

Page 309: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 309

directory は HTTP サーバのルートディレクトリへの完全パスです。

例 HTTP サーバのルート ディレクトリを/vol0/home/users/pages に設定するには、次のコマンドを

入力します。 options httpd.rootdir /vol0/home/users/pages

Data ONTAPのビルドインHTTPサーバのログファイルの最大サイズの指定

Data ONTAP のビルトイン HTTP サーバのログ ファイル(/etc/log/httpd.log)の最大サイズを

指定するには、httpd.log.max_file_size オプションを設定します。このオプションは ftp.cmd, ftp.xfer, and httpd.log ファイルを含めた/etc/lofiles ディレクトリの HTTP と FTP ログインファ

イルの最大のログファイルサイズを指定します。デフォルトではこのオプションは 512 キロ

バイトです。

手順

1. 次のコマンドを入力します。

options ftpd.log.filesize bytes

bytes は HTTP サーバのログファイルの最大サイズです。

Data ONTAPのビルドインHTTPサーバのテスト

Data ONTAP のビルトイン HTTP サーバが機能しているか確認するには、HTTP サーバのル

ート ディレクトリに HTML ファイルをコピーして、そのファイルに Web ブラウザからアク

セスします。Web ブラウザから HTTP サーバのルート ディレクトリ(または HTTP サーバの

ルート ディレクトリのサブディレクトリ)に直接アクセスすることもできます。

手順

1. HTTP サーバのルートディレクトリに HTML ファイルをコピーします。

2. 別のストレージシステムで動作している Web ブラウザから、HTTP サーバのルートディ

レクトリにコピーされたファイルにアクセスします。.

URL は、 http://www.hostname.com/myfile.html です。hostname は、ストレージシス

テムのホスト名、myfile.html は HTTP サーバのルートディレクトリへコピーしたファイル

の名前です。ファイルの内容が表示されます。

3. 別のクライアントで動作している実行されている Web ブラウザーから直接 HTTP サーバ

のルートディレクトリ(または HTTP サーバのルートディレクトリのサブディレクトリ)

へアクセスします。

URL http://www.hostname.com です。hostname は、ストレージシステムのホスト名で

す。HTTP サーバは指定されたディレクトリ内の以下のファイルを次の順番で検索しま

す。:

a. index.html

Page 310: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

b. default.htm

c. index.htm

d. default.html

どのファイルも存在しない場合は、ストレージ システムはそのディレクトリの一覧を自動

的に HTML 形式で生成するか(httpd.autoindex.enable オプションが on の場合)、また

はエラー コード「403」(禁止)を返します(httpd.autoindex.enable オプションが off の場合)。httpd.autoindex.enable オプションの詳細については、na_options(1)のマニュア

ル ページを参照してください。

Data ONTAPのビルドインHTTPサーバでのMIMEコンテンツタイプとファイル名拡張子のマッピング方法

の指定

Data ONTAP のビルトイン HTTP サーバでの Multipurpose Internet Mail Extensions(MIME)コンテンツ タイプとファイル名拡張子の マッピング方法を指定するには、

/etc/httpd.mimetypes ファイルを作成または編集します。/etc/httpd.mimetypes ファイルが見つ

からない場合、HTTP サーバでは/etc/httpd.mimetypes.sample ファイル内のマッピングが使用

されます。詳細については、na_httpd.mimetypes(5)のマニュアル ページを参照してください。

タスク概要

Web ブラウザでは、MIME コンテンツ タイプに従ってファイルを解釈します。たとえば、フ

ァイルの MIME コンテンツ タイプがイメージ タイプの場合、Web ブラウザは画像プログラ

ムを使用して、ファイルをイメージとしてレンダリングします。

メモ: MIME について詳しくは RFC 1521 を参照してください。

手順

1. /etc/httpd.mimetypes ファイルのエントリ形式は次のとおりです。入力項目は次の形式で

す:

# An optional comment.

suffixContent-Type

suffix は、MIME コンテンツ タイプをマッピングするファイル名の拡張子です。

Content-Type は、MIME コンテンツタイプです。MIME コンテンツタイプの値の最初のフ

ィールドは、ファイルに含まれている一般的なデータのタイプについて記述しており、2 番目のフィールドはデータのサブタイプについて記述しています。このデータのサブタイ

プは、データが保存される特定の形式を示しています。

ポンド記号(#)のあとのテキストは、コメントです。ファイル名のサフィックスでは大

文字と小文字は区別されません。

例 /image/pict MIME コンテンツ タイプとファイル名拡張子が.pct および.pict であるファイルをマッ

ピングするには、/etc/httpd.mimetypes ファイルに次のエントリを追加します。 # My clients’ browsers can now use # PICT graphics files.

Page 311: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 311

pct image/pict pict image/pict

このエントリが適切に設定されている場合は、Web ブラウザによって画像プログラムがヘルパ

ー アプリケーションとして開始され、.pct および.pict ファイルを画像ファイルとして表示できるよ

うになります。

Data ONTAPのビルドインHTTPサーバでのHTTP要求の変換方法の指定

Data ONTAP のビルトイン HTTP サーバでの HTTP 要求への応答方法を指定するには、

/etc/httpd.translations 構成ファイルに map、redirect、pass、または fail 変換ルールを追加し

ます。

次のトピックス

Data ONTAP のビルドイン HTTP サーバでの交換ファイルの動作 マッピングルールの追加 リダイレクトルールの追加 許可ルールの追加 拒否ルールの追加

Data ONTAPのビルドインHTTPサーバでの交換ファイルの動作

Data ONTAP ビルドイン HTTP サーバでは、/etc/httpd.translations のファイルに記述されたル

ールが、記述されている順序で処理され、URL がテンプレートと一致した場合にそのルール

が適用されます。最初に一致したあとは、HTTP サーバは残りのルールの処理は中止されます。

/etc/httpd.translations ファイルに追加されたマップ、リダイレクト、およびパス ルールの

template および result フィールドでは、ワイルドカード文字としてアスタリスク(*)を使用

できます。

template フィールド内のワイルドカード文字は、スラッシュ(/)を含むゼロ文字以上の文字

と一致します。

result フィールド内のワイルドカード文字は、template フィールドの一致部分から展開された

文字列を表します。ワイルドカードを template フィールドで使用している場合のみ、resultフィールドにワイルドカード文字を使用できます。

複数のワイルドカード文字を使用する場合の対応は、result フィールド内の最初のワイルドカ

ードが template フィールド内の最初のワイルドカード、result フィールド内の 2 番目のワイ

ルドカードが template フィールド内の 2 番目のワイルドカード、となります。

星印(*)をテンプレートの中でのワイルドカードとして使い、マップの結果の欄、転送とパス

する規則を /etc/httpd.translations へ追加します。

マッピングルールの追加

HTTP サーバが URL を別の場所にマッピングするように指定するには、/etc/httpd.translations

ファイルにマッピング ルールを追加します。

Page 312: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

手順

1. /etc/httpd.translations ファイルをテキストエディターで開きます。

2. 以下のエントリを追加します。

map template result

template は別の場所にマッピングする URL のコンポーネントです(/image-bin/graphics/

など)。result は、新しい場所です。

3. ファイルを保存します。

例 /image-bin コンポーネントを含む URL を/usr/local/http/images ディレクトリにマッピングするに

は、/etc/httpd.translations ファイルに次のマッピングルールを追加します。 map /image-bin/* /usr/local/http/images/*

リダイレクトルールの追加

リダイレクトルールを /etc/httpd.translations ファイルへ追加して HTTP サーバが特定のコン

ポーネントを含む URL を新しい場所にリダイレクトします。

手順

1. /etc/httpd.translations ファイルをテキストエディタで開きます。

2. 次の入力項目を追加します。

redirect template result

template はリダイレクトする URL のコンポーネント、result は新しい場所です。

メモ: リダイレクト ルールの result フィールドは、http://およびホスト名で始まる完全な

URL で指定する必要があります。

3. ファイルを保存します。

例 Common Gateway Interface(CGI )要求を HTTP サーバ cgi-host にリダイレクトするには、e /etc/httpd.translations ファイルに次のエントリを追加します。 redirect /cgi-bin/* http://cgi-host/*

許可ルールの追加

HTTP サーバが特定のルールをそのまま処理し、それ以外のルールを無視するように指定する

には、/etc/httpd.translations ファイルに許可エントリを追加します。

手順

1. /etc/httpd.translations ファイルをテキストエディターで開きます。

Page 313: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 313

2. 次の入力項目を追加します。

pass template [result]

template は、URL のコンポーネントです。

result は、HTTP サーバが URL をリダイレクトするあて先(オプション)です。

3. ファイルを保存します。

例 /image-bin を含む URL に対する要求をそのまま処理するには、/etc/httpd.translations ファイ

ルに許可エントリを追加します。 pass /image-bin/*

拒否ルールの追加

HTTP サーバが特定のコンポーネントを含む URL へのアクセスを拒否するように指定するに

は、/etc/httpd.translations ファイルに拒否ルールを追加します。

手順

1. /etc/httpd.translations ファイルをテキストエディターで開きます。

2. 次の入力項目を追加します。

fail template

template は HTTP サーバがアクセスを拒否する URL のコンポーネントです。

3. ファイルを保存します。

例 /usr/forbidden ディレクトリへのアクセスを拒否するには、/etc/httpd.translations ファイルに次

のエントリを追加します。 fail /usr/forbidden/*

MIMEコンテンツタイプの値の設定

クライアントから get 要求への応答があるたびに適切な MIME コンテンツタイプの値を送信するよう

にストレージ システムを設定するには、/etc/httpd.mimetypes ファイル内の情報に応じ

て、.gif、.html、.mpg などのファイル名のサフィックスをマッピングします。

タスク概要

ファイルの Multipurpose Internet Mail Extensions(MIME)コンテンツタイプの値によって、クライア

ント上のブラウザにファイルの解釈方法が通知されます。たとえば、MIME コンテンツタイプの値が

そのファイルが画像ファイルであることを示しているとき、クライアントが正しく設定されていれば、ブ

ラウザは画像プログラムを使用して画像をレンダリングできます。

MIME の詳細については、RFC 1521 を参照してください。

Page 314: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

手順

1. /etc/httpd.mimetypes ファイルへの入力を編集します。

エントリは次の形式に従っています。

# An optional comment.

suffixContent-Type

#記号が先頭についている行はコメントです。ファイル名のサフィックスでは大文字と小

文字が区別されません。

例 # My clients’ browsers can now use # PICT graphics files. pct image/pict pict image/pict

サンプルのエントリでは、ファイル名が.pct または.pict で終わるファイルが、image/pict の MIME コンテンツタイプの値にマッピングされます。コンテンツタイプの値の最初のフィールドは、ファイル

に含まれている一般的なデータのタイプについて記述しており、2 番目のフィールドはデータのサ

ブタイプについて記述しています。このデータのサブタイプは、データが保存される特定の形式を

示しています。クライアント上のブラウザで画像プログラムをヘルパー アプリケーションとして開始

するように設定されている場合は、file.pict という名前のファイルがクライアント上で画像ファ

イルとして表示されます。

Data ONTAPのビルドインHTTPサーバのセキュリティーの維持

Data ONTAP のビルトインHTTP サーバのセキュリティを維持するには、HTTP オプションを使用し

てアクセスを制限し、HTTP 仮想ファイアウォールを使用し、ユーザ認証によってWeb ページを保護

し、HTTP TRACE メソッドのサポートを無効にします。

次のトピックス

HTTP オプションを使用したアクセス制限 HTTP 仮想ファイアウォールの使用 Web のページの保護 HTTP 仮想ホスティングの設定

HTTPオプションを使用したアクセス制限

HTTP オプションでは、指定のホストからと指定のインターフェースからの HTTP サービスへのアクセ

スが制限されます。

次のオプションを使用して HTTP アクセスを制限できます。

• httpd.access—HTTP サービスへのアクセスを制限する。

Page 315: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 315

• httpd.admin.access—HTTP(FilerView)経由でのストレージシステム管理へのアクセスを制限

する。

1 つ以上のホストであるいはネットワークのインターフェースでアクセスを制限する。詳しくは

options(1)マニュアルページを参照してください。

メモ:httpd.admin.access オプションが設定されていれば、 HTTP 管理については the trusted.hosts オプションは無視されます。

• httpd.method.trace.enable—HTTP TRACE メソッドのサポートを有効化または無効化します。

デフォルトでは、このオプションは Off です。HTTP TRACE 方式を使用すると、HTTP クライアン

トはデバッグ目的で要求チェーンの相手側が受信している内容を知ることができます。(詳細につ

いては RFC2616 を参照)。ただし、攻撃者が HTTP TRACE 方式とブラウザのクロスとメイン脆

弱性を利用して、サードパーティのドメインの重要なヘッダー情報を読み取る可能性があります。

詳しくは、http://www.cert.org/ にある United States Computer Emergency Readiness Team Vulnerability Notes Database の Vulnerability Note 867593 を参照してください。

• httpd.admin.top-page.authentication—重要な FilerView 管理 Web ページでユーザ認証を要

求するかどうかを指定します。デフォルトではこのオプションは on です。

例 次の例では、ホスト Host1 のみがインターフェース e3 を経由してストレージシステム Filer1 上の

HTTPD サービスへのアクセスを許可されます: Filer1> options httpd.access host=Host1 AND if=e3

次の例ではホスト Host1 が、ストレージシステム Filer1 への FilerView アクセスを拒否されます。 Filer1> options httpd.admin.access host!=Host1

HTTP仮想ファイアウォールの使用

HTTP の仮想なファイアウォールは、HTTP 要求を受信するサブネットのインターフェースからの

HTTP アクセスを制限することによって、ストレージシステムへセキュリティーを実現します。

サブネット インターフェイスを信頼されないものとしてマークすることによって、HTTP アクセスを制限

します。信頼されないサブネット インターフェイスでは、ストレージ システムへの読み取り専用の

HTTP アクセスのみ行うことができます。デフォルトでは、サブネット インターフェイスは信頼されてい

ます。

次のすべての条件が当てはまる場合は、サブネット インターフェイスを信頼されないものとしてマーク

します。

• HTTP 要求のために、そのインターフェースが提供される場合 • HTTP 以外のプロトコルによる要求を許可しない場合 • そのインターフェース経由でのストレージシステムへのアクセスを読み取り専用のアクセ

スに制限する場合

手順

1. 次のコマンドを入力します。

Page 316: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

ifconfig interface_name [trusted | untrusted]

interface_name は信頼性の有無を設定する特定のインターフェースです。

untrusted を使用すると HTTP アクセスが制限され、trusted を使用すると完全な HTTP アクセス

が許可されます。

例 この例では、f0 のインターフェースが信頼されていないものとしてマークされます。 ifconfig f0 untrusted

Webのページの保護

HTTP アクセスを制限できることから、許可されていないユーザからのアクセスを制限することで

Web ページを保護できます。この方法では、指定したユーザまたはグループのみがその Web ペー

ジを含むディレクトリにアクセスできます。

Data ONTAP には、HTTP アクセスの認証を行う次の 2 つの方法があります。

• Basic • NTLM

使用する認証方法は、/etc/httpd.access ファイルで指定します。1 つのストレージ システム上に両方

の認証方法を存在させることもできますが、HTTP サブツリーの 1 つのディレクトリに指定できる認証

方法は 1 つだけです。

次のトピックス

ベーシック認証 NTLM 認証 /etc/httpd.access ファイルの編集 httpd.passwd ファイルの作成と編集 httpd.group ファイルの作成と編集

ベーシック認証

HTTP サービスの認証を設定するには、/etc/httpd.access、/etc/httpd.passwd、および

/etc/httpd.group の 3 つの構成ファイルを使用します。

/etc/httpd.access ファイルには、認証方法、アクセスを制限するディレクトリ、これらのディレクトリへ

のアクセスが認証されているユーザおよびグループのリストが含まれています。

/etc/httpd.passwd ファイルには、/etc/httpd.access ファイルで指定されたユーザが

/etc/httpd.access ファイルで指定されたディレクトリへのアクセスを取得するために使用するパスワ

ードが、暗号化形式で含まれています。/etc/httpd.passwd ファイルの形式は、/etc/passwd ファイル

で使用される形式と同じです。

/etc/httpd.group ファイルには、/etc/httpd.access ファイルに指定されているディレクトリにアクセスす

ることを許可されたグループおよび各グループのメンバーのユーザ ID が含まれています。

/etc/httpd.group ファイルの形式は、/etc/group ファイルで使用される形式と同じです。

Page 317: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 317

NTLM認証

ディレクトリについては、ベーシック認証の代わりに Windows ドメイン認証を使用できます。Data ONTAP では、ドメイン コントローラ(DC)を使用して、Web ページを含むディレクトリへのユーザのア

クセスを認証します。

ドメイン コントローラによるユーザ認証を行うディレクトリを、/etc/httpd.access ファイルで指定する必

要があります。

NTLM 認証が設定されているディレクトリにアクセスするユーザは、ユーザ名を使用してドメインを指

定する必要があります。ドメインが指定されていない場合、ストレージ システムのドメインがデフォルト

としてみなされます。ユーザは次の 2 つの形式のいずれかでドメインを指定できます。

• user_name@domain_name • domain_name\user_name

メモ:HTTP アクセスのために NTLM 認証を使用するには、ストレージシステムで CIFSが実行されている必要があります。

/etc/http.passwd ファイルと/etc/http.group ファイルで情報を管理する必要がないため、ユーザ管理

を一元化できます。また、ブラウザとして Internet Explorer(IE)を使用する場合は、ユーザ名および

パスワードが平文で送信されないため、NTLM 認証はより安全なユーザ認証方法となります。

メモ:Netscape browser 系はユーザ名とパスワードを平文で送信するため、NTLM に対し

セキュリティー上の利点がありません。

/etc/httpd.accessファイルの編集

/etc/httpd.access ファイルには、各ディレクトリへのアクセスおよびディレクトリの見かけを制御するオ

プションが含まれています。

ストレージ システムでは、次のオプションがサポートされています。

Directory---保護するディレクトリを指定します。ディレクトリ オプションには他のすべて

のオプションが含まれます。 • AuthName—ユーザがディレクトリにアクセスしようとする場合に、ブラウザのパスワー

ド ダイアログ ボックス内でディレクトリ名の代わりに表示されるディレクトリのエイリ

アスを指定します。 • require user—ディレクトリにアクセスできるユーザを指定します。 • require group—ディレクトリにアクセスできるグループを指定します。

メモ: オプション require user および require group は、ベーシック認証の場合のみ必要です。

/etc/httpd.access ファイル内の各ディレクトリのオプション情報は、次の形式で指定します。

<Directory directory>

option ...

</Directory>

directory は、許可されたアクセスを可能にする特定のディレクトリツリー名です。

手順

Page 318: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

1. /etc/httpd.access ファイルを開いて編集します。

2. 次の行で保護するディレクトリ ツリーを指定します:

<Directory directory>

directory は保護するディレクトリ ツリーです。

3. /etc/httpd.passwd および /etc/httpd.group ファイルを使用してベーシック認証を設定して

いる場合は、次の行でディレクトリのエイリアスを指定します。

AuthName title_phrase

title_phrase は、そのディレクトリにアクセスしようとした場合に、ブラウザのパスワード ダイアロ

グ ボックス内にディレクトリ名の代わりに表示される、ユーザ指定の任意の文字列です。この名

前にはスペースを含めることができます。例:

AuthName Secured Area

4. NTLM 認証を設定している場合は、正確に次のように指定します。

AuthName Windows(tm) Authentication

5. 次の行で、ディレクトリにアクセスできるユーザを指定します。

require user user_id[, user_id, ...]

user_id はディレクトリにアクセスできる各ユーザのユーザ ID です。

6. 次の行で、ディレクトリへアクセスできるグループ指定します。

require group group_id[, group_id, ...

group_id は、ディレクトリへアクセスできる各グループの特定のグループ ID です。

7. 次の行を入力して、そのディレクトリのオプションまたはオプションの一覧を終了します。

</Directory>

8. ファイルを保存します。

例 次の例では、/etc/httpd.access ファイル内の複数の Directory オプションを使用して、ベーシック認証または

NTLM 認証のいずれかをストレージ システム上で指定する方法を示します。 <Directory /vol/vol0/web1> AuthName Windows(tm) Authentication </Directory> <Directory /vol/vol0/web2> AuthName Web2 directory require user test1 require group testg1 </Directory> <Directory /vol/vol0/web3> AuthName Windows(tm) Authentication </Directory> <Directory /vol/vol0/web4> AuthName Web4 directory

Page 319: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 319

require user test2 </Directory> この例では、web1 および web3 で NTLM 認証を使用し、web2 および web4 でベーシック認証を使用していま

す。web2 へのアクセスは、ユーザ test1 およびグループ testg1 のメンバーに限定され、web4 へのアクセスはユ

ーザ test2 に限定されます。

httpd.passwdファイルの作成と編集

/etc/httpd.passwd ファイルには、/etc/httpd.access ファイルに記述されているユーザの暗号化され

たパスワードが含まれています。このファイルは、ベーシック認証を使用してユーザを認証する場合に

のみ必要です。

ユーザ認証にユーザ名およびパスワードを使用する HTTP サーバがある場合は、そこからユーザ

ID および暗号化されたパスワードをコピーします。/etc/httpd.passwd ファイルを編集して、アクセス

を許可しないユーザを削除する必要があります。

HTTP サーバが使用できない場合は、UNIX サーバから既存の/etc/passwd ファイルをコピーし、

/etc/httpd.passwd ファイルとしてストレージ システムに保存します。

手順

1. /etc/httpd.passwd ファイルを開きます。

2. /etc/httpd.access ファイルに指定されている、ディレクトリへのアクセスを許可しないユ

ーザの ID および暗号化されたパスワードを削除します。

3. 編集内容を保存します。

httpd.groupファイルの作成と編集

/etc/httpd.group ファイルには、グループ名、およびこれらのグループに属しているユーザ名が含ま

れています。このファイルは、ベーシック認証を使用してユーザを認証する場合にのみ必要です。

ユーザのグループを認証する HTTP サーバがある場合は、グループ名およびユーザ ID をその

HTTP サーバからコピーします。/etc/httpd.group ファイルを編集して、アクセスを許可しないグルー

プを削除する必要があります。

HTTP サーバが使用できない場合は、UNIX サーバから既存の/etc/group ファイルをコピーし、 /etc/httpd.group ファイルとしてストレージ システムに保存します。

手順

1. /etc/httpd.group ファイルで, 次の行を編集します。

group_id:user_id [, user_id, ...]

同様の一覧を持っているサーバから一覧がコピーされます。

2. グループまたはユーザを、追加または削除します。グループとユーザの情報の一覧が、次

の形式で表示されます。

Page 320: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

group_id: user_id[user_id ...]

group_id はグループ名、user_id はグループに属している各ユーザの名前です。

3. ファイルを保存します。

HTTP仮想ホスティングの設定

Data ONTAP 7.3 以降のリリース版では、物理インターフェースへエイリアス IP アドレスを加えること

で HTTP 仮想ホスティングを設定できます。 Data ONTAP はこの目的のために vh インターフェース

は使いません。

手順

1. 次のコマンドを入力して HTTP を有効にします。

options httpd.enable on

2. 次のコマンドを入力することで、HTTP 仮想ホスティングに使う予定の物理インターフェ

ースへ 1 つ以上のエイリアス IP アドレスを追加します。

ifconfig physical_interface_name [IP_address_family] alias IP_address

192.225.37.102 のエイリアス IP アドレス ( IPv6 アドレス)を e0a 物理インターフェースへ

加えるには次のコマンドを入力します:

ifconfig e0a alias 192.225.37.102

詳しくは、na_ifconfig(1)マニュアルページを参照。

3. 手順 2 で指定したエイリアス IP アドレスを HTTP ルートディレクトリの 1 つ以上のサブ

ディレクトリへマップする/etc/httpd.hostprefixes ファイルへ入力を追加します。

HTTP のルートディレクトリを決めるためには、httpd.rootdir オプションの値を調べます。

fd20:81be:b255:4136::a48:8a5f のエイリアス IP アドレスをサブディレクトリ /httpdir1 へ

マップするには、 次の入力を /etc/httpd.hostprefixes ファイルへ加えます。

/httpdir1 192.225.37.102

4. 手順 2 と手順 3でそれぞれ作ってマップしたエイリアス IP アドレスへ接続するために

HTTP クライアントを使うことで HTTP 仮想ホスティングを試します。

Data ONTAPビルドインHTTPサーバの統計の表示

httpstat コマンドを使用すると、Data ONTAP ビルドイン HTTP サーバの動作について 5 種類の統

計を表示できます。

タスク概要

5 種類の統計は、次のとおりです。

• 要求

Page 321: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 321

• 詳細 • エラー • サービス • タイムアウト

手順

1. 次のコマンドを入力します。

httpstat [-dersta]

- d -- 詳細統計値の表示

- e -- エラー統計値の表示

- r -- 要求統計の表示

- s -- サービス統計の表示

- t -- タイムアウト統計の表示

- a – すべての HTTP の統計の表示

引数を使用しない場合は、httpstat によって HTTP 要求統計が表示されます。

httpstat コマンドの詳細については、httpstat(1)のマニュアル ページを参照してください。

次のトピックス

要求統計

詳細統計

エラー統計

サービス統計

タイムアウト統計

要求統計

要求の統計値を指定すると、次の統計が表示されます。

統計値のラベル 説明

Accept ストレージ システムによって許可された新しい接続の数

Reuse 既存の接続で受信された新しい要求の数

Response 送信された返答の数

InBytes すべての受信要求で受信されたバイト数

OutBytes 送信されたバイト数のうち、すべてのHTTP ヘッダーを含み、サーブレットによって生成されたデ

ータを含まないバイト数

Page 322: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

詳細統計

詳細統計を指定すると、次の統計が表示されます。

統計値のラベル 説明

Get 受信されたファイルへの要求数

Head 受信されたファイル情報の要求数

Redirect 別のファイルへリダイレクトされた要求の数

NotMod 要求されたファイルが変更されていないことがクライアント(ブラウザ)に通知された回数

Post 受信された POST 要求の数

Put 受信された PUT 要求の数

Servlet 受信されたサーブレット要求の数

エラー統計

エラー統計を指定すると、次の統計が表示されます。

統計値のラベル 説明

Errors 返された HTTPプロトコルのエラー返答の数

BadReq 受信された認識されない要求の数

LogDiscard ログがいっぱいになったために破棄されたログエントリの数

UnAuth 許可情報の不足のために拒否された要求の数

RcvErr 入力ソケット上のエラーにより中止された要求の数

サービス統計

サービス統計を指定すると、次の統計が表示されます。

統計値のラベル 説明

Open 現在開かれている接続数

Peak これまでに成功した最大の接続数

Waits 許可されたが、接続処理を待機している現在の接続数

タイムアウト統計

タイムアウト統計を指定すると、次の統計が表示されます。

統計値のラベル 説明

Pending

ネットワーク接続の開始後、ストレージ システムにデータが送信される前に再要 求された接続処理の数

Page 323: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 323

統計値のラベル 説明

Active

ネットワーク接続が開始され、要求の一部が送信されたあと、完全な要求を受信

する前に再要求された接続処理の数

Idle

完全な要求が受信されたあと、開いている接続が別の要求を受信できるようにな

る前に再要求された接続の数

Data ONTAPのビルドインHTTPサーバの統計のリセット

Data ONTAP のビルトイン HTTP サーバの統計をリセットするには、httpstat -z コマンドを使用しま

す。

手順

1. 次のコマンドを入力します。

httpstat -z[derta]

- zd -- 詳細統計の表示

- ze -- エラー統計の表示

- zr -- 要求統計の表示

- zt -- タイムアウト統計の表示

- za -- サービスの統計を除くすべての HTTP 統計の表示

メモ:サービス統計はリセットできません。

httpstat コマンドの詳細は httpstat(1) マニュアルページを参照してください。

Data ONTAPのビルドインHTTPサーバの接続情報の表示

Data ONTAP のビルトイン HTTP サーバによって確立された接続ごとに、/etc/log/httpd.log ファイルに格納されたさまざまな種類の情報を表示することができます。

手順

1. MFS または CIFS クライアントから、 ストレージシステムのデフォルトボリューム(デ

フォルトでは/vol/vol0)の/etc/log ディレクトリへアクセスします。

2. テキスト ビューアまたはテキストエディタを使用して、httpd.log ファイルを開いて表示

します。

3. ログファイルを閉じて表示を終了します。

結果

Data ONTAP は次のタイプの情報を表示します:

• HTTP クライアントの IP アドレス

Page 324: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

• 要求を行う許可ユーザの名前。ページが保護されていれば Data ONTAP は /etc/httpd.passwd ファイルから取得した許可された名前の一覧が示されます。 ページが保

護されていない場合は、名前の代わりにダッシュ記号が示されます。 • 接続の時間--- dd/mm/yy:hh:mm:ss の形式の Greenwich Mean Time(GMT) • 接続ホストからの要求行。たとえば、 get /my_company.html などです。 • サーバによって返されるステータスコード。HTTP1.0 仕様によって定義されています。 • ストレージシステムから返答で送信された合計バイト数。MIME ヘッダーは含まれません。

例 192.9.77.2 - - [26/Aug/2003:16:45:50] "GET /top.html" 200 1189 192.9.77.2 - - [26/Aug/2003:16:45:50] "GET /header.html" 200 531 192.7.15.6 - - [26/Aug/2003:16:45:51] "GET /logo.gif" 200 1763 198.9.200.2 - - [26/Aug/2003:16:45:57] "GET /task/top.html" 200 334 192.9.20.5 authuser [26/Aug/2003:16:45:57] "GET /task/head.html" 200 519

/etc/log/httpd.logファイル形式の変更

/etc/log/httpd.log ファイルのデフォルト形式は、アクセスされた HTTP クライアントの IP アドレスとア

クセスやHTTPパスを示しますが、アクセスされた仮想ホストは示しません。/etc/log/httpd.log ファイ

ルの形式を変更して、HTTP メッセージを仮想ホストごとに区別するには、httpd.log.format オプション

を設定します。

手順

1. 次のコマンドを入力します。

options httpd.log.format alt1

ログ形式の設定を復元するには、このオプションを alt1 からデフォルト値 common へ変更します。

サードパーティ製 HTTP サーバの購入とストレージシステムへの接続

Data ONTAP のビルトイン HTTP サーバの制限を回避するには、サードパーティ製 HTTP サーバを

購入して、ストレージ システムに接続します。

タスク概要

Data ONTAP ビルドイン HTTP サーバは、次の制限があります。

• セキュア HTTP(HTTPS)をサポートしない • 複数の HTTP ルートディレクトリをサポートしない • スクリプトをサポートしない(HTTP がサポートしているのはファイル処理のみ) • 多数の小さなファイルに多数のファイル処理を行う場合、スケーラビリティおよびパフォ

ーマンスの問題が生じる

手順

Page 325: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

HTTP を使用したファイルアクセス| 325

1. サードパーティ製の HTTP サーバを購入します。

2. サードパーティ製の HTTP サーバを NFS プロトコルを使用してストレージシステムへ接

続します。

詳細については、サードパーティ製HTTPサーバに付属のマニュアルを参照してください。

Page 326: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

326 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

WebDAV を使用したファイルアクセス

Web-based Distributed Authoring and Versioning(WebDAV)との相互接続が可能なコラボレーテ

ィブ アプリケーションをユーザが使用できるようにするには、WebDAV プロトコルを既存の HTTP サービスに追加します。または、サードパーティ製 WebDAV サーバを購入して、ストレージ システムに

接続します。

メモ: HTTP 用のライセンスを購入している場合のみ、ストレージ システムの WebDAV プロ

トコルを拡張 HTTP として使用できます。Data ONTAP の将来のバージョンでは、WebDAV を HTTP とともに使用するには WebDAV ライセンス キーの使用が必要になる場合がありま

す。

次のトピックス

WebDAV の概要 Data ONTAP ビルドイン WebDAV サーバの管理 サードパーティ製 WebDAV サーバの購入とストレージストレージシステムへの接続

WebDAV の概要

WebDAV プロトコルは、ユーザのニーズをサポートしながら、分散 Web オーサリング ツールの広範

な相互運用を可能にする HTTP 拡張を定義します。WebDAV を使用することにより、HTTP ディレク

トリを作成できます。

WebDAV プロトコルは、広範なコラボレーティブ アプリケーションによりリモート ソフトウェア開発チー

ムをサポートします。WebDAV は HTTP の能力を強化し、広範なストレージ レポジトリの標準アクセ

ス レイヤとして機能します。HTTP は読み取りアクセス権を付与し、WebDAV は書き込みアクセス権

を付与します。

WebDAV プロトコルの主要機能を次に示します。

• ロッキング。長期の排他的な共有書き込みロックにより、最初に変更をマージすることな

く複数の共同作業者が同じリソースに書き込むのを防ぎます。ネットワーク接続を任意に

切断できるインターネット規模でのコラボレーションを堅固なものにするため、スケーラ

ビリティを達成するため、そして各オープン接続がサーバ リソースを消費するため、

DAV ロックの期間は、個々のネットワーク接続から独立しています。 • プロパティ。XML プロパティは、Web リソース上の著者のリストなど任意のメタデータ

のストレージを提供します。プロパティは DAV プロトコルを使用して効率的に、設定、

削除、および検索を行うことができます。DAV Searching and Locating(DASL)プロト

コルは、XML プロパティの値に基づき Web リソースの検索を行うことができます。 • 名前空間の操作。Web の進化に伴いリソースをコピーまたは移動させる必要がでてくる

可能性があるため、DAV はコピーおよび移動操作をサポートします。コレクション(フ

ァイルシステム ディレクトリに似たもの)を作成して、一覧表示することができます。

Page 327: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

WebDAV を使用したファイルアクセス| 327

• HTTP 機能のサポート。 Data ONTAP WebDAV の実装は、リダイレクト規則、認証、ア

クセス制限のような HTTP 構成設定をサポートします。WebDAV を使用するには、HTTPサービスを有効化して設定する必要があります。

• CIFS 機能のサポート。有効な CIFS および HTTP ライセンスを持っており、WebDAV を有効化している場合には、Data ONTAP WebDAV 実装は CIFS ホーム ディレクトリをサ

ポートします。

Data ONTAP ビルドイン WebDAV サーバの管理

Data ONTAP'ビルドイン WebDAV サーバには WebDAV のプロトコルを有効化または無効化して

WebDAV のクライアントからホームディレクトリを参照します。

次のトピックス

Data ONTAP ビルドイン WebDAV サーバの有効化と無効化

WebDAV クライアントからのホームディレクトリの参照

Data ONTAPビルドインWebDAVサーバの有効化と無効化

Data ONTAP ビルドイン WebDAV サーバを有効化または無効化するには webdav.enable オプショ

ンを on または off にそれぞれ設定します。デフォルトではこのオプションは OFF です。

始める前に

Data ONTAP ビルドイン WebDAV サーバを有効化できる前に Data ONTAP ビルドイン HTTP サー

バを有効化してください。Data ONTAP ビルドイン WebDAV サーバは、リダイレクト規則、認証、およ

びアクセス制限のような HTTP コンフィグレーション設定をサポートします。

さらに、Data ONTAP ビルドイン WebDAV サーバは有効な CIFS を持ち CIFS のディレクトリを有効

化してコンフィグしていれば CIFS のホームディレクトリをサポートします。

手順

1. 次のいずれかの操作を実行します。

WebDAV の設定 操作

有効にする場合 次のコマンドを入力します。 options webdav.enable on

無効にする場合

次のコマンドを入力します。 options webdav.enable off

WebDAVクライアントからのホームディレクトリの参照

ホーム ディレクトリを参照するように WebDAV クライアントを設定するには、WebDAV クライアントの

ナビゲーション フィールドに入力する URL に、チルダ(~)文字を付加します。

手順

1. WebDAV クライアントのナビゲーションフィールド(またはデフォルトのディレクトリ)

Page 328: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

328 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

で次のシンタックスを持つ URL を入力します。

http://host[:port]/~

host は、ホスト名またはストレージシステムの IP アドレスです。

port は、ストレージシステムにアクセスしたいときに通るポートです。ティルダ(~)文字はユーザの

ホームディレクトリを指定します。

有効な WebDAV のホームディレクトリ URL の例 http://eng_filer.lab.company.com/~ http://10.120.83.104:80/~

サードパーティ製 WebDAV サーバの購入とストレージストレージシステムへの接続

Data ONTAP のビルトイン WebDAV サーバの制限を回避するには、サードパーティ製 WebDAV サ

ーバを購入して、ストレージ システムに接続します。

タスク概要

Data ONTAP ビルドイン WebDAV サーバには、次の制限があります。

• 2 バイトの Unicode 文字のみが含まれるプロパティ値をサポートします。2 バイトを超え

る Unicode の文字は正しく記録されません。 • 主要 WebDAV プロトコルのみをサポートします。副次的な WebDAV プロトコルはサポー

トされません。 • 仮想 IP アドレスのホームディレクトリ機能はサポートしません。仮想 IP アドレスをホス

トとして指定する URL は参照されません。

手順

1. サードパーティ製の WebDAV サーバを購入します。

2. サードパーティ製の WebDAV サーバを NFS プロトコルを介してストレージシステムに 接続します。

詳細については、サードパーティ製 WebDAV サーバに付属のマニュアルを参照してください。

Page 329: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

システムメモリによる CIFS のリソース制限値| 329

システム メモリによる CIFS のリソース制限値

ストレージ システム モデルによる CIFS リソース制限値は、システム メモリに基づいた上限値のことで

す。ただし、これらは理論上の値です。実際の上限は理論値より低い値となり、ご使用の環境におけるシ

ステム構成に応じて異なります。

メモ: 次の表の数値は、ご使用のシステムのストレージ リソースの適正化には使用しないでくだ

さい。ご使用のストレージ システムでこれらのカテゴリの十分なリソースを取得できない場合

は、テクニカル サポートにお問い合わせください。

ストレージ システムが CIFS リソースに最大の値を割り当てる場合、システム メモリを 6 GB を超えて使

用することはありません。たとえば、32 GB のメモリを搭載したストレージ システムは、8 GB のメモリを

搭載したストレージ システムと比べてはるかに高いパフォーマンスを示しますが、両者の CIFS リソース

の制限値は同じになります。この方法で CIFS リソースの制限値を計算することで、システム メモリをス

トレージ容量と他のシステム リソースの調整に使用することができます。

ストレージ システム上のすべての vFiler ユニットは、同じ有限な CIFS リソース プールを使用します。

その結果、ストレージ システム上のすべての vFiler ユニットによって消費されるリソースの合計が、

システムのリソースの制限値を超えることはありません。

次のトピックス

FAS 60xx シリーズ ストレージシステムの制限 FAS 30xx および 31xx シリーズ ストレージ システムの制限 FAS 2040 シリーズ ストレージ システムの制限

FAS 60xx シリーズ ストレージシステムの制限

次の表に、FAS60xx シリーズのストレージシステムのアクセス制限を示します。

ストレージシステムメモリに

よる CIFS の制限 16 GB FAS6030 32 GB FAS6040 32 GB FAS6070 64 GB FAS6080

接続の最大数 96,000 96,000 96,000 96,000

共有の最大数 192,000 192,000 192,000 192,000

開いたファイルの最大数 1,920,000 1,920,000 1,920,000 1,920,000

ロックされるファイルの最大

数 2,116,608 2,116,608 2,116,608 2,116,608

ロックの最大数 4,233,216 4,233,216 4,233,216 4,233,216

FAS 30xx および 31xx シリーズ ストレージ システムの制限

次の表に、30xx および 31xx ストレージシステムのためのアクセス制限を示します。

Page 330: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

330 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ストレージシステムメモリに

よる CIFS の制限 16 GB FAS6030 32 GB FAS6040 32 GB FAS6070 64 GB FAS6080

接続の最大数 64,000 96,000 96,000 96,000

共有の最大数 128,000 192,000 192,000 192,000

開いたファイルの最大数 1,280,000 1,920,000 1,920,000 1,920,000

ロックされたファイルの最大

数 1,411,072 2,116,608 2,116,608 2,116,608

ロックの最大数 2,822,144 4,233,216 4,233,216 4,233,216

FAS 2040 シリーズ ストレージ システムの制限

ストレージシステムの接続、共有、共有接続、オープンファイル、ロックされたファイル、ロックには最

大数に制限があります。

ストレージシステムメモリによる CIFS の制限 4 GB FAS2040

接続の最大数 41,200

共有の最大数 82,400

開いたファイルの最大数 824,000

ロックされたファイルの最大数 910,016

ロックの最大数 1,820,032

Page 331: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

イベントログとオーディットポリシー マッピング | 331

イベントログと監査ポリシーのマッピング

一部のイベント ログ ポリシーおよび監査グループ ポリシーは、Data ONTAP システムと Windows システムでは異なる方法で適用されます。

ストレージ システム上で Group Policy Object(GPO;グループ ポリシー オブジェクト)のサポートが

有効になっていると、Data ONTAP ではすべての関連する GPO を処理して適用します。関連するグ

ループ ポリシー設定のほとんどは、Data ONTAP および Windows システムを実行中のストレージ システムに同じ方法で適用されます。

ただし、イベント ログおよび監査(ローカル ポリシー)の 2 種類のポリシーは、基盤となるロギングお

よび監査のテクノロジが異なるため、ストレージ システムに異なる方法で適用されます。イベント ログ

GPO および監査 GPO は、対応する Data ONTAP オプションをマッピングして設定することで、スト

レージ システムに適用されます。オプションのマッピングの効果はイベント ログ設定および監査ポリ

シー設定とほぼ同等ですが、まったく同じではありません。

次の表に、対応する GPO の適用時に有効となる Data ONTAP のオプションを示します。オプション

の詳細については、options(1)のマニュアル ページを参照してください。

次のトピック

イベントログのマッピング値 監査のマッピング値

イベントログのマッピング値

次の表で、左側の列は適用されるイベント ログ ポリシー(必要に応じて設定と例)を、右側の列はその際

に有効となるData ONTAP のオプションを示しています。

ポリシー名 設定 Data ONTAP オプション

最大セキュリティ ログ サイズ

適用外 cifs.audit.logsize

セキュリティ ログの保存

方法 指定した日数を過ぎたら上書

きする cifs.audit.autosave.file.extension timestamp cifs.audit.autosave.file.limit 0 cifs.audit.autosave.onsize.threshold 100 cifs.audit.autosave.onsize.enable on cifs.audit.autosave.ontime.interval 7d cifs.audit.autosave.ontime.enable on cifs.audit.saveas /etc/log/adtlog.evt cifs.audit.enable on

セキュリティ ログの保存

方法 必要に応じてイベントの上書き

をする cifs.audit.autosave.file.extension timestamp cifs.audit.autosave.file.limit 1 cifs.audit.autosave.onsize.threshold 100 cifs.audit.autosave.onsize.enable on cifs.audit.autosave.ontime.enable off

Page 332: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

332 | Data ONTAP 8.0 7 モード ファイルアクセスとプロトコルマネージメントマニュアル

ポリシー名 設定 Data ONTAP オプション

cifs.audit.saveas /etc/log/adtlog.evt cifs.audit.enable on

セキュリティ ログの保存

方法 イベントを上書きしない(手動

でログを消去) cifs.audit.autosave.file.extension timestamp cifs.audit.autosave.file.limit 0 cifs.audit.autosave.onsize.threshold 100 cifs.audit.autosave.onsize.enable on cifs.audit.autosave.ontime.enable off cifs.audit.saveas /etc/log/adtlog.evt cifs.audit.enable on

監査のマッピング値

次の表で、左側の列は適用される監査ポリシー(必要に応じて設定と例)を、右側の列はその際に有効と

なるData ONTAP のオプションを示します。

ポリシー名 設定 Data ONTAP オプション

監査 アカウントのログオン イベ

ント

監査 ログオン イベント

両方のポリシーとも定義されていますが

監査試行はどちらも設定しません。 cifs.audit.logon_events.enable off

監査 アカウントのログオン イベ

ント

監査 ログオン イベント

両方のポリシーとも定義されています。

成功と失敗のいずれか、またはその両

方に対する監査を有効にします。

cifs.audit.enable on cifs.audit.logon_events.enable on

監査 ディレクトリ サービス アク

セス

監査 オブジェクト アクセス

両方のポリシーとも定義されていますが

どちらも監査の実行を有効にしません。 cifs.audit.file_access_events.enable off

監査 ディレクトリ サービス アク

セス

監査 オブジェクト アクセス

両方のポリシーとも定義されています。

成功と失敗のいずれか、またはその両

方に対する監査を有効にします。

cifs.audit.enable on cifs.audit.file_access_events.enable on

その他の監査 ポリシーと

設定 マッピングは行われません。

Page 333: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更
Page 334: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

用語集| 334

用語集

ACL Access Control List(アクセス制御リスト)の略。各シェアにユーザーかグループ

のアクセス権を含むリスト。

アダプタカード 拡張スロットに差し込む SCSI カード、ネットワークカード、ホットスワップアダプタカー

ド、シリアルアダプタカード、または VGAのアダプタ。

アドレス解決 LAN またはWAN 送信先のアドレスに対応するメディアアクセス制御(MAC)アドレスを

定める為の手順。

アドミニストレーション ホスト ストレージ システムの管理用システムセットアップ中に指定されるクライアント。 セット

アッププログラムは自動的にストレージ システムを構成して、このクライアントからの telnet と rsh 接続を受け入れ、/と/homeディレクトリをマウントするためのクライアント

に許可を与え、 このクライアントを 自動サポート メールメッセージを送るためのメール ホストとして使用します。常時 セットアップ プログラムの実行後、ストレージ システムを

他のクライアントと機能できるように構成できます。これはアドミニストレーション ホスト

と機能するのと同様です。

エージェント ステータスおよび診断情報を集めて、それを NMS に転送する Data ONTAPプロセ

ス。

アプライアンス よく定義された機能を行い、取付け作動し易い装置。

ATM Asynchronous Transfer Mode(非同期転送モード)の略。セルスイッチングと

多重化機能を結合して、信頼のある効率的なネットワークサービスを提供するネットワ

ークテクノロジー 。ATMは ワークステーションおよびルーターおよびネットワーク等の

デバイス間のインターフェースとして機能します。

認証 /etc/passwdファイルを使用してストレージ システム自体によってストレージ システム

のドメイン用のドメインコントローラにより実行されるセキュリティステップ。

自動サポート ストレージ システムに潜在的な問題があるとき、 カスタマ サイトからテクニカルサポ

ートまたは他の指定メール受信者にメールメッセージを送信するストレージ システム

のデーモン。

big-endian 最も有意なビットまたはバイトが最初に来るストレージと伝送用バイナリデータフォーマ

ット。

CIFS Common Internet File System の略。PC ネットワーク用プロトコル。

クライアント ストレージ システムにあるファイルを共有するコンピュータ。

クラスタ インターコネクト HA 構成内の 2 つのストレージ システムを繋ぎ合わせ、両方のシステムともに稼働し

ているときにハートビートとWAFL ログ情報が伝送されるケーブルとアダプタ

クラスタ 監視 HA 構成のストレージ システム関係を cf コマンドにより管理するソフトウェア。

Page 335: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

335 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

コミュニティ ストレージ システム エージェントと通信するために SNMP マネージャーがパスワード

として使用する名前

コンソール ストレージ システムのシリアルポートに接続されている端末であり、ストレージ システ

ム操作 の監視と管理に使用する。

copy-on-write 余分なディスク領域を消費せずに Snapshot コピーを作成するテクニック。

衰退モード RAID アレイからディスクが欠落していたり NVRAMカードのバッテリー残が僅かなと

きの ストレージ システムの作動モード

ディスク ID 番号 ディスクを起動時に診断する際 ディスクごとにストレージ システムにより割当てられた

番号。

ディスク シェルフ ディスク ドライブ を格納し ストレージ システムに接続されたシェルフ。

エミュレート ストレージ システ

ム 承継ストレージ システムによりホストされている障害のあるストレージ システムのソフ

ト ウェア コピー。 エミュレートされた ストレージ システムはユーザーと管理者

には障害のある ストレージ システムの機能するバージョンのように見えます。例え

ば、 障害のあるストレージ システムと同じ名前を持ちます。

イーサネット アダプタ イーサネット用インターフェース カード

拡張カード ストレージ システム 拡張スロットにプラグインする SCSI カード、 NVRAMカード、ネッ

トワークカード、 ホットスワップカード、 または コンソールカード。

拡張スロット 拡張カードを差し込むためのシステムボード上のスロット。

障害のあるストレージ システ

ム 作動停止した 物理ストレージ システム。ギブバックが成功するまでは障害のあるスト

レージ システムにとどまります。

FDDI アダプタ Fiber Distributed Data Interface(FDDI) インターフェースカード。

FDDI ファイバ 光ファイバケーブルをサポートする FDDI アダプタ

FDDI-TP ツイストペアケーブルをサポートする FDDI アダプタ

FPolicy ファイルタイプ等のファイルプロパティに基づいてアクセスパミッションを制御する機能

を提供する Data ONTAP 独自のファイル ポリシー機能です。

GID グループ ID.

ギブバック 仮想ストレージ システムから障害のあるストレージ システムへアイデンティティーが戻

ること。これにより正常作動状態に戻ります。テークオーバーの逆を意味します。

グループ ストレージ システムの /etc/group ファイルで定義されたユーザーの グループ

HA 構成 一つのシステムが他方のシステムが作動していないことを検出でき、 実際に作動して

いない場合は障害のあるシステムにあるデータを処理できるストレージ システムペ

ア。DataONTAP ドキュメンテーションとその他情報源では、高可用性(HA)構成はとき

としてクラスタまたは HA ペアとも呼ばれます。

Page 336: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

用語集| 336

ハートビート システムが作動中であることを示す、1 つのストレージ システムから他方へ送られる

反復する 信号。ハートビート情報はディスクに保存もされます。

ホットスペア ディスク 障害のあるディスク の替わりに使用できるストレージ システムにインストールされた ディスク。ディスク障害前には、 ホットスペア ディスクは RAID ディスク アレイには含ま

れていません。

ホットスワップ ストレージ システムの作動中に ディスクを追加、取外す、または、交換すること。

ホットスワップ アダプタ ファイル システムの動作中断を最小限できるハード ディスクの追加や取外しを可能に

する拡 張カード

inode ストレージ システムと UNIX フィあるシステムにあるファイルについての情報を格納し

ている データ構造。

中断スイッチ デバッグのために使用される、一部の ストレージ システム フロントパネルにあるスイ

ッチ。

LAN エミュレーション(LANE) ATM をネットワークトポロジ基盤として使用するエミュレート化 LAN を作成するアーキ

テクチャ、プロトコル、及びサービス。 LANE は ATMが接続されたエンドシステムが

他の LAN ベースシステムと交信できる ようにする。

ローカル ストレージ システム ユーザーがログイン中のストレージ システム

マジックディレクトリ 名前によりアクセス可能なディレクトリである一方、ディレクトリリストには現れないディ

レクトリです。 Snapshot コピー ディレクトリはマウントポイントまたはシェアのルートに

あるディレクトリを除いては、マジック ディレクトリです。

メールボックス ディスク システムの HA 構成ステート情報を格納するために使用されたストレージ システムご

とに所有された ディスクのセットの一種。仮にそのストレージシステムが動作停止する

と、承継システムが仮想ストレージ システムを構築するため メールボックスディスクの

情報を使用します。 メールボックス ディスクはファイル システム ディスクとしても使用

されます。

メールホスト 特定のストレージ システム イベント が発生すると自動的にメールをテクニカルサポー

トに送信することをになうクライアント ホスト。

メンテナンス モード システム起動ディスクから ストレージ システムを起動する際のオプション。メンテナン

ス モー ドはトラブルシューティング用ハードウェアと構成用に

特殊なコマンドを提供しています。

MIB Management Information Base(情報管理データベース)の略。エージェント

が NMS に転送する情報を記述する ASCII ファイル。

MIME Multipurpose Internet Mail Extensions の略。インターネット メッセージの本文フォー

マットを指定して記述するための仕組みを定義した仕様。MIME Content-Type ヘッダ

を含んでいる HTTP 応答信号は HTPクライアントが受信データに最適なアプリ

ケーションを起動できるようにしています。

MultiStore オプションのストレージ システム ソフトウェア製品。1つのストレージ システム のスト

レージとネットワーク リソースをパーティションできます。このためネットワークでは複

Page 337: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

337 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

数の ストレージシステムとして現れます。

NDMP ネットワーク Network Data Management Protocol の略。ストレージ システムがバックアップ

アプリケーションと通信できるようにするプロトコルです。複数のテープバックアップデ

バイスの自働機能を制御する能力を提供します。

ネットワークアダプタ イーサネット、FDDI、または非同期伝送モード(ATM) アダプタ。

ネットワーク マネージメント ステーション NMS を参照してください。

NMS Network Management Station(ネットワーク管理ステーション)の略。A host on a ネットワーク 上のホストで他メーカー製ネットワーク管理用アプリケーション

(SNMP manager)を使用して ストレージ システムについてステータスと診断情報を処

理しています。

ノーマルモード HA 構成でテークオーバーが行われない場合のストレージ システムのステート。

ゼロユーザー アプリケーションがリモートデータへのアクセスに使用するWindows NT マシンアカウ

ント。

NVRAM キャッシュ ストレージ システムにある不揮発性 RAM。入ってくる書き込みデータと NFS 要求の

ロギング に使用されます。システム性能 を改善してストレージ システム障害または停電時にデータ損 失を防止します。

NVRAMカード ストレージ システムの NVRAM キャッシュを格納するアダプタカード

NVRAM ミラー パートナーストレージ システムに保存されたストレージ システム NVRAM(Nonvolatile Random Access Memory) の内容の、同期的に交信

された内容のコピー。

パニック ストレージ システムを停止させるような重大なエラー状態。Windows システム環境に

おけるソフトウェアクラッシュに同じです。

パリティー ディスク パリティー情報が RAID-4 ディスク ドライブアレイ用に保存されている ディスク。 障害のある ディスク ブロックまたは障害のあるディスクにあるデータ復元に使用します。

パートナー ローカル ストレージ システムの観点から見た、HA 構成にある他の ストレージ システ

パートナー モード テークオーバー時に仮想 ストレージ システムによるコマンドライン インターフェースを

通して 通信を行うための方法。

PCI Peripheral Component Interconnect の略。最近のストレージ システム モデル

で使用されてきたバスアーキテクチャ。

pcnfsd PC が ストレージ システム ファイル システムをマウントすることを許可するストレージ システ ム デーモン。これに対応する PC クライアントソフトウ

ェアは PC-NFS と呼ばれます。

PDC Primary Domain Controller(プライマリ ドメイン コントローラ)の略。ドメイン用

プライマリ認証サーバにネゴシエートの結果なった またはそう割当てられたドメ

Page 338: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

用語集| 338

インコントローラ。

POST Power-on Self-Test(パワーオン セルフテスト)の略。電源の投入後ストレージ システ

ムが実行するテスト。

PVC Permanent Virtual Circuit(相手固定接続)の略。通常手動セットアップにより事

前に定義された静的ルートとのリンク。

q ツリー 特別な属性をもつ仮想サブボリュームとなるボリュームの root の特別サブディレクト

リ。

RAID Redundant Array of Independent Disks の略。アレイにある全ての ディスクの

内容基づいてパリティー情報を計算することにより、ディスク障害から保護するテクニッ

ク。ストレージ システムでは RAID レベル 4を使用します。すべてのパリティ情報を 1台のディスクに格納します。

RAID ディスクのスクラブ システムが RAID グループ にあるディスクを 1つずつ読みとり他のるプロセスディスク

溶液にデータを再書き込みすることによりメディアのエラーを固定化しようとする。

SCSI アダプタ SCSI ディスク ドライブ とテープ ドライブをサポートする拡張カード

SCSI アドレス ディスク のフルアドレス。 ディスクの SCSI アダプタ番号とディスクの SCSI ID から構

成されます。 例えば、 9a.1

SCSI ID SCSI チェーン (0 から 6)にある ディスク ドライブの数

シリアル アダプタ 一部のストレージ システム 機種で端末をコンソールとして接続するための拡張カード

シリアル コンソール ストレージ システムの シリアルポートに接続された ASCII または ANSI 端末。 ストレ

ージ システム操作の監視と管理に使用されます。

シェア ネットワーク ユーザーが利用でき CIFS クライアントの 文字にマップ可能な ストレージ システムエのディレクトリまたはディレクトリ構造

SID セキュリティ ID

Snapshot コピー ファイル システム全体の読取専用オンライン コピー。ファイルの内容を複製せずにフ

ァイルを 削除または変更してしまう事故から防御します。

Snapshot コピーはユーザーがシステム使用中にファイルをリストアして ストレージ システムをテープにバックアップすることを可能にします。

SVC Switched Virtual Circuit(相手選択接続)の略。シグナリングにより確立した接

続。ユーザーはコールが開始されるとエンドポイントを定義します。

システム回路基板 ストレージ システムの CPU、拡張バススロット、システムメモリーを含む PCB.

テークオーバー HA 構成されたテークオーバー ストレージ システムによる障害のあるストレージ シス

テム のアイデンティティーのエミュレーション。ギブバックの逆。

テークオーバー ストレージ システム

他のストレージ システムが機能停止した後も作動し続け、障害のあるストレージ シス

テム ディスク シェルフとネットワーク接続へのアクセスを管理する仮想ストレージ シス

Page 339: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

339 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

テムをホストするストレージ システム 。

テークオーバー ストレージ システム

それ自身のアイデンティティーを維持し、仮想ストレージ システムは障害のある ストレ

ージ システムのアイデンティティーを維持します。

テークオーバー モード ストレージ システムがパートナーをテークオーバーした一方、ストレージ システムと相

互作用するために使用する方法。コンソール プロンプトはストレージ システムがテー

クオーバー モードにあるときはいつかを示します。

トラップ SNMP エージェントから SNMP マネージャーに送信された要求されていない非同期メ

ッセージ。ストレージ システムでイベントが発生したことを伝えます。

ツリー クォータ quota qtree コマンドにより作成されたディレクトリによるディスク使用度を制限する ディスク クォータの一種。所与の UID または GID によりファイル

によるディスク使用度を制限するユーザーとグループ クォータとは異なります。

UID ユーザー ID。

Unicode 16 ビット文字セット規格。非営利目的コンソーシアム Unicode Inc.により設計され維

持されています。

VCI Virtual Channel Identifier(仮想チャネル識別子)。セルが移動する仮想チャネルを識

別する ATMセルヘッダ内の 16 ビットのフィールドにより定義された固有な数字タグ。

vFiler ユニット MultiStore を使用して作成する仮想ストレージ システム。 ストレージと 1 つの ストレ

ージ システムのストレージとネットワークリソースを区画化することができます。 このた

めネットワークでは複数のストレージ システムに見えます。

VGA アダプタ コンソールとして VGA 端末を接続するための拡張カード。

ボリューム ファイル システムの一種。

VPI Virtual Path Identifier(仮想パス識別子)。 セルのルーティングが行われるべき仮想

パスを示す ATM セルヘッダの 8 ビットフィールド

WAFL Write Anywhere File Layout の略。 WAFL ファイル システムは書込み性能を最適化

するために Data ONTAP を実行するストレージ システムのためデザインされました。

WINS Windows Internet Name Serviceの略。

ワークグループ 閲覧と共有用にグループ化されたWindows NT または Windows for Workgroupを

実行するコンピュータの集合。

Page 340: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

索引| 340

索引 /etc/ad directory 122

/etc/cifs_nbalias.cfg

NetBIOSエイリアスの作成 135

/etc/exports

編集 22

/etc/httpd.access

編集 324

/etc/httpd.groupcreating and editing 326

/etc/httpd.passwd

作成と編集 326

/etc/httpd.translation

失敗ルールの追加 319

/etc/httpd.translations

マップルールの追加 318

合格ルールの追加 319

リダイレクトルールの追加 318

定義 317

/etc/log/ftp.cmd

ログファイルフォーマット 306

/etc/log/ftp.xfer

ログファイルフォーマット 306

/etc/log/httpd.log

フォーマットの変更 331

/etc/nsswitch.conf

LDAPエントリの追加 250

LDAPクライアント認証 253

/etc/symlink.translations

マップエントリの作成 287

ワイドリンクエントリの作成 288

マップエントリ 285

絶対シンボリックリンクへのリダイレクト 287

マップ及びワイドリンクエントリの使用 289

ワイドリンクエントリ 285

/etc/usermap.cfg

方向 235

拡大するセキュリティ 239

ドメイン名の解釈 236

IP 修飾子 234

ユーザー名のマップ 238

Windowsアカウントをroot にマップする 239

NFS アクセスの制限 239

サンプルエントリ 237

エントリの特定 233

UNIX名 236

Windows名 235

A

アクセス

FTP、制限 303

許可や拒否の理由 149

アクセスキャッシュ

エントリの追加 29

説明 28

性能の最適化 30

エントリの削除 29

タイムアウト値の設定 31

統計の表示 30

アクセス制御

トラブルシューティング 146

アクセス制御リスト (ACL)

NFSv4 、NTFS 間の互換性 48

ファイルレベル、表示と変更 97

管理 90

NFSv4 47

NFSv4、有効化の 利点 48

NFSv4、有効化/無効化 48

NFSv4、管理 46

NFSv4、設定と変更 49

Page 341: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

341 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

NFSv4、表示 49

共有レベル、MMCからユーザーやグループを

追加する 91

共有レベル、CLIから変更する 95

共有レベル、定義 90

共有レベル、表示と変更 91

共有レベル、MMCから表示及び変更する 93

共有レベル、CLIを使ってユーザーやグループ

を削除する 96

共有レベル、MMCを使ってユーザーやグルー

プを削除する 91

ユーザーやグループの削除 95

共有レベル、グループ IDの特定 99

アクセスベースの列挙

定義 88

有効化/無効化 88

Windowsクライアントから実行するコマンド 89

アカウント

ローカルユーザー、追加、表示、削除 111

ユーザー、制限 110

機械、データアクセスの禁止 134

機械、Kerberos環境でのアクセスに使う 134

ACL 許可

NFSv3/v4 クライアント、表示 96

ACL (アクセス制御リスト)

NFSv4、NTFS 間での互換性 48

ファイルレベル、表示と変更 97

管理 90

NFSv4 47

NFSv4、有効化の利点 48

NFSv4、有効化/無効化 48

NFSv4、管理 46

NFSv4、設定と変更 49

NFSv4、viewing 49

共有レベル、MMCからのユーザーやグループ

の追加 91

共有レベル、CLIから変更する 95

共有レベル、定義 90

共有レベル、表示と変更 91

共有レベル、MMCから表示及び変更する 93

共有レベル、CLIを使ってユーザーやグループ

を削除する 96

共有レベル、MMCを使ってユーザーやグルー

プを削除する 95

共有レベル、グループIDの特定 99

Active Directory

LDAP 探索サービス、有効化 256

LDAP サーバ、接続プーリングと選択 258

LDAP サーバ、管理 255

LDAP サーバ、接続の監視 257

LDAP サーバ、要件 256

LDAP サーバ、接続のトラブルシューティング 257

LDAP サーバ、使用 256

簡易バインド 258

追加

HTTP 失敗ルール 319

HTTP マップルール 318

HTTP 合格ルール 319

HTTP リダイレクトルール 318

WAFL資格キャッシュにエントリをマップする 292

エイリアス

NetBIOS、作成 135

NetBIOS、CLIから作成する 135

NetBIOS、/etc/cifs_nbalias.cfg 内で作成する 135

NetBIOS、表示 136

監査ポリシー

マッピング 341

マッピング値 342

監査

CIFS、構成 269

Page 342: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

索引| 342

イベントの消去 273

内部監査ログファイルの消去 279

自動保存の構成 275

ログファイルサイズによる自動保存の構成 275

定義 265

イベントの表示 279, 280

時間間隔による自動保存を有効化する 276

イベントログ の保管場所 273

失敗したアクセス試行 282

失われたイベント記録 282

NFS、構成 270

NFS、イベントをフィルターファイルで制御する 271

NFS、有効化 271

NFS、イベントの特定 270

イベントの保存 273

手動でのイベントの保存 274

イベントのためのSNMPトラップ 279

ログカウンター拡張子の特定 277

ログ タイムスタンプ拡張子の特定 277

最大自動保存ファイルの特定 278

内部監査ログファイルの最大サイズの特定 278

UNIX ファイルアクセス詳細 282

イベントログのアップデート 273

イベントを調べる 280

静的イベントログの表示 281

Windows ファイルアクセス詳細 281

認証

FTP、特定する 301

HTTP 322

Kerberos 127

クライアントの管理 253

方式、表示 110

NTLM、制限 302

UNIX 126

UNIX クライアント、LDAPのための有効化 253

Windows クライアント、LDAPのための有効化 253

Windows ワークグループ 126

承認

クライアントの管理 253

B

境界のチェック

共有からシンボリックリンクを有効化/無効化す

る 84

ブラウジング

有効化/無効化 86

C

キャッシュ

有効化/無効化 87

クライアント側プロパティの設定 88

文字のマッピング

ボリュームから消去する 229

文字の制限

ファイル名 229

文字の変換

ファイル名のために有効化する 228

CIFS

監査、構成 269

クライアントイベント 170

クライアント、NFSディレクトリアクセスの最適化 289

構成 62

シャットダウンメッセージの構成 143

再構成の際に考慮すること 68

シンボリックリンクへのアクセスの制御 283

無効化 142

クライアントがシンボリックリンクを継承できるよ

うにする 284

ファイルロック 230

ファイル名 225

NFSとのファイル共有 225

ファイル、NFS クライアントからのアクセス 291

Page 343: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

343 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

クライアントに許可を与え .dll 及び.exe ファイル

を実行する 297

同時スクリーニングの制限 167

監視されるイベント 160

アクティビティの監視 137

クライアントが大文字のファイル名を作成するの

を禁止する 291

読み込み限定ビット 230

再構成 69

リソースの制限 140

システムメモリによるリソース制限 337–339

サービスの再開 143

セットアップ 63

クライアントとがシンボリックリンクと対話する方

法を特定する 284

サーバが切断された要求をスクリーンするのを

停止する 166

ログインのトレース 296

CLI

fpolicy ext 200–203

クライアント

MMCを使った切断 141

認証と承認の管理 253

Windows、サポートされた 62

構成

HTTP MIME タイプ 316

作成

CLIからの CIFS 共有 79

ホームディレクトリパス内のディレクトリ 106

マップエントリ 287

Widelink エントリ 288

資格キャッシュ

WAFL、マッピングエントリの追加 292

WAFL、マッピングエントリの削除 292

WAFL、統計の監視 294

資格

UNIX、CIFS クライアントの管理 231

UNIX、CIFS ユーザーの取得獲得 232

UNIX、CIFS ユーザーの特定 233

D

消去

ファイルを読み込み限定ビットセットで 231

prefdc リストからサーバを 130

CLIから共有を 90

説明

表示と変更 144

ディレクトリ

Unicode フォーマットへの変換 290

Unicodeフォーマットでの作成 290

セキュリティ設定の表示 264

FTP、ユーザーの制限 304

ユーザーとの一致 101

新しく作成されたディレクトリの許可の特定 85

ディレクトリアクセス

NFS、CIFSクライアントの最適化 289

ディレクトリ作成操作

FPolicyを構成して監視する 186、187

ディレクトリ 作成要求の監視

定義 186

ディレクトリ 作成要求

FPolicyを登録して監視する 187

ディレクトリ 削除操作

FPolicyを構成して監視する 184

ディレクトリ 削除要求の監視

定義 183

ディレクトリ 削除要求

FPolicyを登録して監視する 184

ディレクトリ イベント 171

ディレクトリ 操作 171

ディレクトリ 名変更 操作

FPolicyを構成して監視する 185

Page 344: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

索引| 344

ディレクトリ 名変更 要求の監視

定義 185

ディレクトリ 名変更 要求

FPolicyを登録して監視する 186

無効化

CIFS 142

フェンス 26

FPolicy 162

FTPサーバ 299

NFSv3 42

NFSv4 46

SMB 2.0 73

SMB 2.0 クライアント 77

SMB 2.0 永続ハンドル 74

LDAP のためのSSL 249

TFTPサーバ 300

切断

MMCを使うクライアント 141

CLIからのユーザー 141

表示

ファイルシステムパスのためのエクスポートオプ

ション 27

ファイルシステムパス 27

Group Policy Objects (GPO) 120

HTTP 統計 327

NFS 統計 42

フィルタートレースの許可 148

優先ドメインコントローラーと LDAP サーバ

131

ドメインコントローラー

接続のトレース 296

Windows、サポートされた 62

ドメイン

変更 64

優先コントローラーの表示 131

ドメインで接続を再確立する 132

コントローラーの選択 128

優先コントローラーの特定 130

コントローラー接続のトラブルシューティング

131

コントローラー検出プロセスを理解する 129

ドットファイル

CIFSクライアント上での表示 227

永続ハンドル

SMB 2.0、タイムアウト 74

SMB v2.0、有効化/無効化 74

E

有効化

フェンス 26

ファイル名の文字変換 228

FPolicy 162

FTPサーバ 299

NFSv3 42

NFSv4 46

SMB 2.0 73

SMB 2.0 クライアント 77

SMB 2.0 永続ハンドル 74

LDAP のためのSSL 249

TFTPサーバ 300

強制

SMB 2.0 の署名 76

列挙

アクセスベース、定義 88

アクセスベース、有効化/無効化 88

アクセスベース、Windowsクライアントからのコ

マンドの実行 89

エラーメッセージ

FPolicy 215

イベントログ

外部、場所の特定 274

イベントログ

マッピング 341

Page 345: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

345 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

マッピング値 341

アップデート 273

イベント

監査、 保存と消去 273

監査可能 266

CIFSをとおして監視される 160

NFSを通して監視される 161

監査 イベントログに手動で保存する 274

NFS 及びCIFSクライアントのためにスクリーン

される 170

システムアクセス、 監査 265

システム、監査の構成 267

エクスポートオプション

ファイルシステムパスの表示 27

エクスポート

ファイルシステムパス 23、24

拡張子

除外リストに追加する 201

対象リストに追加する 200

対象または除外リストに追加する 200

表示 199

除外リストの表示 200

対象リストの表示 199

除外リストからの削除 202

対象リストからの削除 201

対象または 除外リストからの削除 201

対象リストの再設定 203

対象または除外リストの再設定 203

除外リストの再設定 203

ワイルドカードでのスクリーニング 199

除外リストの設定 203

対象リストの設定 202

対象または除外リストの設定または置換 202

F

フェンス

有効化/無効化 26

ファイル終了の 操作

FPolicyを構成して監視する 175

ファイル終了 要求の監視

定義 174

ファイル終了 要求

監視のためにFPolicyを登録する 175

ファイル作成 操作

FPolicyを構成して監視する 173, 174

ファイル 作成要求

FPolicyを登録して監視する 174

ファイル 削除操作

FPolicyを構成して監視する 177, 178

ファイル 削除要求の監視

定義 177

ファイル 削除要求

FPolicyを登録して監視する 178

ファイル イベント 171

ファイル リンク 操作

FPolicyを構成して監視する 181, 182

ファイル リンク 要求

FPolicyを登録して監視する 182

ファイル ロック

説明 230

ファイル 探索 操作

FPolicyを構成して監視する 188

ファイル 探索 要求の監視

定義 187

ファイル 探索 要求

FPolicyを登録して監視する 188

ファイル管理

Windows管理ツールを使う 145

ファイル名

大文字と小文字の区別 226

文字の制限 229

Page 346: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

索引| 346

作成 227

小文字での作成 226

文字変換の有効化 228

NFS及びCIFSのための 225

長さ 226

CIFSクライアントが大文字で作成するのを禁止

する 291

有効な 文字 226

ファイルを開く 操作

FPolicyを構成して監視する 172

ファイルを開く 要求の監視

定義 171

ファイルを開く 要求

FPolicyを登録して監視する 173

ファイル操作 171

ファイルポリシー

作成 163

破棄 66

無効化 166

情報の表示 165

有効化 164

ファイル読み込み操作

FPolicyを構成して監視する 180

FPolicyを登録して監視する 181

ファイル読み込み 要求の監視

定義 180

ファイル名変更操作

FPolicyを構成して監視する 176

ファイル名変更要求の監視

定義 176

ファイル名変更要求

FPolicyを登録して監視する 177

ファイル要求の監視

定義 173

ファイルスクリーニング

サーバ接続の無効化 204

サーバ情報の表示 204

特定 164

ファイルスクリーニングサーバ

管理 204

ファイル共有

NFSとCIFS間での 225

ファイル symlink 操作

FPolicyを構成して監視する 183

ファイル symlink 要求

FPolicyを登録して監視する 183

ファイルシステム制御

SMB v2.0 72

ファイルSystem ID (FSID) 43

ファイルシステムパス

表示 27

エクスポートオプションの表示 27

フェンスの有効化/無効化 26

エクスポート 23、24

エクスポート 又はアンエクスポート 21

同期 26

アンエクスポート 24、25

ファイル書き込み操作

FPolicyを構成して監視する 179

ファイル書き込み要求の監視

定義 178

ファイル書き込み要求

FPolicyを登録して監視する 179

ファイル

FTP を使うアクセス 299

HTTPを使うアクセス 313

WebDAVを使うアクセス 333

監査、アクセス詳細 281、282

シンボリックリンクの回避 285

セキュリティ設定の表示 264

Page 347: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

347 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

失敗したアクセス処理 282

失われたイベント記録 282

新しく作成されたファイルのための許可を特定

する 85

フィルターファイル

NFS 監査 イベントの制御 271

ファイアウォール

バーチャル HTTP、使用 322

フォースグループオプション

定義 80

FPolicy

これについて 150

操作を追加して監視する 206

セカンダリサーバの割り当て 205

CLI コマンド 208

ストレージ環境で通信する 155

定義 150

有効化/無効化 162

エラーメッセージ 215

FAQ 210

FAQ、アクセス 212

FAQ、ファイルスクリーニング 213、214

FAQ、一般的な質問 210–212

FAQ、パフォーマンス 212、213

FAQ、サーバ 215

概要 150

制限 156

スクリーンされたCIFS要求数の制限 167

操作の監視 206、208

登録してファイル作成要求を監視する 174

監視する操作の削除 207

セカンダリサーバの削除 206

セカンダリサーバ、定義 205

セットアップ 162

使用 151、162

警告メッセージ 219

フローチャートの実行 153

FAQ

FPolicy 210

FPolicyサーバ 215

FPolicy、アクセス 212

FPolicy、ファイルスクリーニング 213、214

FPolicy、一般 210–212

FPolicy、 パフォーマンス 212, 213

fsecurity

セキュリティジョブの作成と適用 263

定義 260

Storage-Level Access Guardの有効化 260

FSID (ファイル System ID) 43

FTP

ファイルへのアクセス 299

匿名でのアクセス、有効化/無効化 311

認証スタイル、特定 301

ブロックするユーザー 303

走査チェックのバイパス、有効化/無効化

302

ファイル ロック、有効化/無効化 300

管理 299

匿名でのアクセスを管理する 311

管理ログファイル 305

再設定統計 309

アクセスの制限 303

ユーザーの制限 304

サーバ、有効化/無効化 299

接続しきい値の設定 310

生成されるSNMPトラップ 308

匿名 ユーザー名の特定 312

匿名ユーザーのためのホーム ディレクトリの特

定 312

アイドルタイムアウトの特定 311

特定 接続の最大数 309

Page 348: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

索引| 348

ログファイルの最大数の特定 307

ログファイルの最大サイズの特定 307

TCP ウィンドウサイズの特定 310

ログファイルの表示 306

SNMPトラップの表示 307

統計の表示 309

G

get属性演算

FPolicyを構成して監視する 189

get属性要求の監視

定義 188

get属性要求

FPolicyを登録して監視する 189

GID

UNIX ユーザー名のマッピング 240

用語 345

GPO (Group Policy Object)

適用 114

ファイルシステムセキュリティの作成 116

表示 120

サポートの有効化/無効化 115

管理 116

使用のための要件 115

アップデートの問題のトラブルシューティング

121

アップデート 設定s 120

Group Policy Object (GPO)

適用 114

作成 ファイルシステムセキュリティ 116

表示 120

サポートの有効化/無効化 115

イベントログと監査ポリシーのマッピング 341

管理 116

使用のための要件 115

アップデートの問題のトラブルシューティング

121

アップデート の設定 120

グループ

ローカル、MMC から追加する 112

ローカル、MMC からユーザーを追加する 112

ローカル、追加、表示、CLIからの削除

111

ローカル、管理 111

ローカル、MMCを使った削除 113

ローカル、SnapMirrorで実行する 113

H

ホームディレクトリ

CIFS、共有エイリアスを使ったアクセス 108

ディレクトリの作成 105、106

拡張子使用時のサブディレクトリの作成 106

定義 101

無効化 109

パスの表示 104

ほかのユーザーからのアクセスを有効化する 107

管理 100

名前付けのスタイルの特定 104

パスの特定 103

UNCを使った特定、syntax 107

WebDAV、アクセスする 335

HTTP

失敗ルールの追加 319

マップルールの追加 318

合格ルールの追加 319

リダイレクトルールの追加 318

認証 322

ベーシック認証 323

ビルトインサーバ、有効化/無効化 313

ビルトインサーバ、管理 313

走査チェックのバイパス、有効化/無効化 314

/etc/log/httpd.log フォーマットの変更 331

MIMEタイプの構成 316

Page 349: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

349 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

要求の構成 317

バーチャルホスティングの構成 327

/etc/httpd.groupの作成と編集 326

/etc/httpd.passwdの作成と編集 326

詳細な統計 329

統計の表示 327

/etc/httpd.accessの編集 324

エラー統計 329

ファイルアクセス 313

セキュリティの維持 321

NTLM 認証 323

統計の要求 328

統計の再設定 330

アクセスの制限 321

サービス統計 329

ログファイルの最大サイズの特定 315

特定 root ディレクトリ 315

サーバのテスト 315

タイムアウト統計 330

ファイルの変換 317

バーチャル ファイアウォールを使用する 322

サードパーティのサーバを使用する 332

接続情報の表示 330

I

アイドル

セッション、タイムアウトする 138

アイドル タイムアウト

FTP、特定 311

J

ジョブ定義ファイル

Storage-Level Access Guardのための生成と

編集 261

シークレットユーティリティでの管理 261

テキストエディタでの管理 262

要素の特定 262

K

Kerberos

認証 127

NFSのための構成 32、33、35

有効化 31

NFSのための有効化 38

v5 セキュリティサービスをサポートするNFS クライアント 40

パッシブ再生攻撃の禁止 128

アクセスのためのマシンアカウントを使う 134

keytab ファイル

生成 36

キーワード

スクリーニング 操作 223

L

LDAP

Active Directory 探索サービス, 有効化 256

Active Directory サーバ、接続プーリングと選

択 258

Active Directory サーバ、管理 255

Active Directory サーバ、接続の監視

257

Active Directory サーバ、要件 256

Active Directory サーバ、トラブルシューティン

接続 257

Active directory サーバ、使用 256

/etc/nsswitch.conf にエントリを追加する 250

構成 246

既定のスキーマ 259

優先 サーバの表示 131

Windows クライアントからのNFS ファイル アク

セスの有効化 253

NTFS 又は混合 ファイルの承認の有効化

UNIX クライアントからのシステムアクセス 254

有効化/無効化 249

有効化/無効化 SSL 249

Page 350: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

索引| 350

有効化 UNIX クライアント 認証 253

有効化 Windows クライアント 認証 253

SSL root証明書のインストール 250

スキーマの管理 258

ユーザーのマッピング 254

スキーマ オプションの変更 259

サーバの選択 128

サーバ選択順序 252

管理パスワードの設定 251

簡易バインド 258

管理 ユーザー名の特定 251

ベース及びスコープ値 の特定 47

ポートの特定の 252

優先 サーバの特定 130, 248

ベース及びスコープの検索の特定 247

サーバの特定 248

ユーザー マッピング, ベース及びスコープ値の

特定

255

使用 245

制限

CIFS リソース 140

ローカル ユーザー アカウント 110

リンク 操作

FPolicyを構成して監視する 181, 182

リンク 要求

監視 181

Live View

構成 272

監査 イベントの表示 280

イベントの表示 279

イベントの表示 280

猶予期間のロック

NFSv4、特定 54

リース期間のロック

NFSv4、特定 54

ログ

場所を特定する外部 イベント 274

ログファイル

FTP, 管理 305

FTP,最大数の特定 307

FTP, 最大サイズの特定 307

FTP, 表示 306

HTTP,最大サイズの特定 315

サイズとフォーマット 273

ログイン

CIFS, トレース 296

M

マシンアカウント

データアクセスの禁止 134

Kerberos環境でのアクセスのための使用 134

マップキャッシュ

SID-to-name, 消去 244

SID-to-name, 有効化/無効化 244

SID-to-name, 管理 243

マップエントリ

作成 287

定義 285

使用 289

マッピング

不整合の管理 295

ユーザー LDAPのある 254

エントリのマッピング

WAFL 資格キャッシュへの追加 292

有効時間の構成 293

WAFL 資格キャッシュからの削除 292

SID-to-name,ライフタイムの変更 244

メッセージ

ユーザーへの送信 143

MIMEタイプ

Page 351: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

351 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

構成 320

HTTP, 構成 316

MMC

ユーザーまたは グループの 共有レベルへの追

加、 ACL 91

追加 ユーザー to ローカル グループ 112

ストレージシステムへの接続 61

共有の削除 89

クライアントの切断 141

共有プロパティの表示と変更 81

表示と変更 共有レベル、 ACL 93

ローカル グループ削除 113

共有レベルからユーザーやグループを削除する、 ACLs

95

running the Share a Folder wizard 79

monitor list

操作追加 206

操作削除 207

監視

WAFL 資格キャッシュ 統計 294

マウントサービス統計

表示 41

mountd 要求

トレース 41

マウンティングの問題 40

マウントポイント

NFSv4 pseudo-fs に影響される

複数サーバ構成

定義 155

マルチプロトコルl

変更,影響 67

N

サーバ データベースの名前をつける

キャッシュのフラッシュ 55

名前付けのスタイルs

ドメイン 105

non-ドメイン 106

ホームディレクトリの特定 104

ネイティブ ファイルのブロック

構成 158

定義 157

使用 158

NetBIOS

作成 エイリアス 135

CLIからのエイリアス作成 135

/etc/cifs_nbalias.cfg 内でエイリアス作成 135

エイリアスの表示 136

TCPを通した, 無効化 136

NFS

監査, 構成 270

監査, 有効化 271

v4 ACLs有効化の利点 48

クライアント イベント 170

Kerberos v5 セキュリティサービスをサポートす

る クライアント 40

クライアント, CIFS ファイルへのアクセス 291

v4 とNTFS ACL間での互換性 48

構成 Kerberos 32、33、35

監査 イベントの制御 271

オープンな委任統計の表示, v4 52, 53

統計の表示 42

Kerberosの有効化 31、38

v3 の有効化/無効化 42

v4 の有効化/無効化 46

v4 ACLsの有効化/無効化 48

v4 読み込みオープン委任の有効化/無効化 51

Windows クライアントからのファイル アクセス, LDAPの有効化

承認 253

ファイル ロック 230

Page 352: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

索引| 352

ファイル名 225

CIFSとのファイル共有 225

v4 サポートの制限 44

v4 ACLの管理 46

監視されるイベント 161

CIFSクライアントのためのディレクトリアクセス

の最適化 289

マウントポイントに影響するpseudo-fs 45

読み込み限定bits 230

ユーザーアクセスの制限 239

設定と変更、v4 ACL 49

監査 イベントの特定 270

v4 のためのユーザー ID ドメインの特定 46

v4 クライアントのサポート 43

v3/v4 クライアント, 表示 Windows ACL

アクセス許可 96

v4 ACLs 47

v4、ファイル 削除の決定 48

v4、オープン委任 統計の表示 52, 53

v4、有効化/無効化 read オープン委任 50

v4、オープン委任の管理 50

v4、オープン委任 50

v4、猶予期間のロックの特定 54

v4、リース期間のロックの特定 54

v4 ACLの表示 49

NFS クライアント

フェンスの有効化/無効化 26

NTFS

ACL, NFSv4 との互換性 48

NTLM

認証、制限 of 302

NTLM 認証

HTTP 323

null セッション

アクセスの提供 133

非Kerberos 環境でのアクセスのための 使用

132

null ユーザー

許可する共有へのアクセス 133

O

ONTAPI 150

オープン委任統計

表示、NFSv4 52、53

NFSv4、表示 52、53

オープン委任

NFSv4 50

NFSv4、管理 50

操作

監視リストへの追加 206

監視リストからの削除 207

監視される操作リストの設定 または置換 208

oplocks

変更 delay time for sending breaks 124

有効化/無効化 123

qtree上の有効化/無効化 124

クライアント パフォーマンの改善 122

書き込みキャッシュデータ損失の考慮 123

最適化

アクセスキャッシュの パフォーマンス 30

組織的ユニット (OU)

関係 115

OU (組織的ユニット)

関係 115

P

パスワード

管理、 LDAPの設定 251

変更 144

パス名

構成要件 122

PC-NFS

作成 ユーザー エントリ 57

Page 353: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

353 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

for ファイルとディレクトリのためのumaskの定

義 58

クライアントのサポート 56

pcnfsd デーモン

有効化/無効化 56

説明 56

パフォーマンス

クライアント、oplocks で改善する 122

アクセスキャッシュの最適化 30

アクセス許可

フィルタートレースの追加 146

フィルタートレースの表示 148

フィルタートレースの削除 147

新しく作成されたファイルとディレクトリののため

の特定 85

ports

LDAPのための 特定 252

principals

作成 36

protocol modes

変更 66

pseudo-fs

NFSv4、マウントポイントに影響する 45

Q

qtrees

oplocksの有効化/無効化 124

queries

統、保存と再利用 140

R

読み込みオープン委任

NFSv4、有効化/無効化 50

読み込み限定 bits

ファイルの削除 231

説明 230

Remote Procedure Call (RPC) 150

削除

アクセスキャッシュからのエントリ 29

Storage-Level Access Guards 265

再設定

HTTP 統計 330

リソース制限

CIFS、システムメモリによる 337–339

リソース

CIFS、制限 140

制限

ディレクトに対するFTP ユーザー304

制限

認証ベースの 19

ファイルベースの 19

root ディレクトリ

WebNFSのための有効化 60

HTTP、特定 315

WebNFSのための設定 59

WebNFSのための名前の特定 59

RPC (Remote Procedure Call) 150

S

SACL (System アクセス制御リスト)

設定 268

スクリーニング

拡張子による、定義 197

ボリュームによる、定義 191

ワイルドカードの使用 192, 199

スクリーニング 操作

キーワード 223

スクリーニング タイムアウト

設定 169

scripts

startup, shutdown 122

シークレットユーティリティ

ジョブ定義ファイルの管理 261

セカンダリ サーバ

Page 354: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

索引| 354

割り当て 205

定義 205

削除 206

セキュリティ

HTTP、維持 321

ユーザー アクセスを増やす 239

セキュリティジョブ

ストレージオブジェクトへの適用 263

キャンセル 264

状態のチェック 264

ジョブ定義ファイルからの作成 263

セキュリティ レベル

最小レベルの設定 127

セキュリティ設定

ファイルとディレクトリの表示 264

サーバスクリーニング

切断されたCIFS 要求のための停止 166

サーバ タイムアウト

設定 168

サーバ

接続プーリング と 選択 258

prefdcリストからの削除 130

LDAP、順序の選択 252

セッション

情報の表示 138

アイドル, タイムアウトする 138

属性設定の操作

FPolicyを構成して監視する 190, 191

属性設定 要求の監視

定義 190

属性設定 要求

FPolicyを登録して監視する 191

共有境界のチェック

シンボリックリンクの 無効化 286

共有

CLI からのプロパティ変更 83

作成 78

CLIからの作成 79

Windows クライアント上のMMCからの 作成

79

削除 89

CLIからの削除 90

MMCからの削除 89

プロパティの表示と変更 81

MMCからのプロパティの表示と変更 81

CLIからのプロパティ表示の 82

名前付け規則 79

シャットダウンメッセージ

CIFSのための構成 143

SID-to-name マップキャッシュ

消去 244

有効化/無効化 244

管理 243

SID-to-name マッピング エントリ

変更 ライフタイムの 244

簡易バインド

Active Directory、LDAP 258

SMB

構成 70

署名 74

通信に影響を与えるポリシーの署名 75

署名, パフォーマンスインパクト 76

v1.0 のサポート 70

v2.0 のサポート 71

v1.0、署名の強制 76

v2.0、有効化/無効化するクライアント 77

v2.0、永続ハンドルのタイムアウト 74

v2.0、永続ハンドル、有効化と無効化 74

v2.0、有効化/無効化 73

v2.0、署名の強制 76

Page 355: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

355 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

v2.0、ファイルシステム制御 72

v2.0、コンテキスト作成のサポート 72

v2.0、有効化するとき 73

SMB 名前付けされたパイプ

有効化/無効化 複数のオープンインスタンス 169

SnapMirror

ローカル グループで実行する 113

SNMP

構成 308

FTP、生成されるトラップ 308

FTP、トラップの表示 307

開始する 308

監査 イベントのためのトラップ 279

UNIX クライアント上のトラップの表示 308

特定

FTP 認証スタイル 301

FTP アイドル タイムアウト 311

匿名 FTP ユーザーのホーム ディレクトリ 312

ホーム ディレクトリ パス 103

HTTP サーバ root ディレクトリ 315

LDAP 管理パスワード 251

LDAP 管理 ユーザー名 251

LDAP 検索ベース及びスコープ 247

LDAP サーバポート 252

自動保存ファイルの最大数 278

FTP ログファイルの最大数 307

cifsaudit.alf ファイルの最大サイズ 278

FTP ログファイルの最大サイズ 307

HTTP ログファイルの最大サイズ 315

優先ドメインコントローラーと LDAP サーバ

130

優先 LDAP サーバ 248

SSL

LDAPの有効化/無効化 249

LDAP のためのroot証明書のインストール 250

統計

FTP、再設定 309

FTP、表示 309

HTTP、表示 327

WAFL 資格キャッシュの監視 294

NFS、表示 42

クエリの保存と再利用 140

トラッキング 138

表示 139

アクセスキャッシュの表示 30

Storage-Level Access Guard

有効化 260

ジョブ定義ファイルの生成と 編集 261

Storage-Level Access Guards

削除 265

シンボリックリンク

絶対、制限 287

回避 285

CIFS アクセスの制御 283

共有境界チェックの無効化 286

継承するCIFSクライアントの有効化 284

境界チェックの有効化/無効化 84

CIFSクライアントが対話する方法の特定 284

wide、有効化/無効化 84, 108

ホームディレクトリで 102

symlink 操作

FPolicyを構成して監視する 183

symlink 要求の監視

定義 182

symlink 要求

FPolicyを登録して監視する 183

同期

ファイルシステムパス 26

System アクセス制御リスト (SACL)

設定 268

Page 356: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

索引| 356

システムアクセス イベント

監査 265

システムイベントの 監査

構成 267

T

TCP ウィンドウサイズ

FTP、特定 310

TFTP

サーバ、有効化/無効化 300

接続の最大数の特定 310

タイムアウト

SMB 2.0 永続ハンドルタイムアウト 74

タイムアウト 値

アクセスキャッシュのための設定 31

タイムアウトする

アイドル セッション 138

フィルタートレース

アクセス許可のための追加 146

アクセス許可のための表示 148

許可のための削除 147

トラップ

SNMP、監査 イベントのための 279

U

UID

UNIX ユーザー名のマッピング 240

umask

PC-NFS ユーザーの ファイルとディレクトリのた

めの定義 58

説明 57

アンエクスポート

ファイルシステムパス 25

Unicode

ディレクトリの変換 290

フォーマットされた、ディレクトリの作成 290

UNIX

認証 126

資格、CIFSクライアントのための管理 231

資格、CIFS ユーザーのための維持 232

資格、CIFS ユーザーのための特定 233

NTFS 又は混合ファイル システムアクセスのた

めのLDAP 承認の有効化 254

既定ユーザー アカウントの有効化/無効化 241

ファイルアクセス詳細 282

LDAPベースのクライアント認証、有効化 253

ユーザー名をUIDとGIDにマッピングする 240

SNMPトラップの表示 308

ユーザーアカウント名

Windows、特定 67

ユーザー アカウント

有効化/無効化 Windows guest 242

UNIX、有効化/無効化 241

ユーザー ID ドメイン

NFSv4 のための特定 46

ユーザー マッピング

LDAP、特定 ベース及びスコープ値 255

ユーザー名

管理、LDAPのための特定 251

マッピング 238

WindowsとUNIX間での変換 233

UNIX、UIDと GIDへのマッピング 240

ユーザー

管理、集中管理の有効化 251

CLIからの切断 141

FTP、ブロック 303

FTP、制限 304

ローカル アカウントの制限 110

ローカル、アカウントの追加、表示、削除

111

ローカル、管理 109

null、共有への許可するアクセス 133

制限 304

Page 357: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

357 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

メッセージの送信 143

特定 137

V

バーチャルホスティング

構成 327

ウイルススキャン

有効化/無効化 86

ボリューム

除外リストに追加する 194

対象リストに追加する 194

対象または除外リストに追加する 194

文字 マッピングの消去 229

表示 193

除外リスト からの削除 195

対象リストからの削除 195

対象または除外リストからの削除 195

除外リストの再設定 197

再設定 対象リスト 197

ワイルドカードでのスクリーニング 192

設定 除外リスト 196

設定 対象リスト 196

対象または除外リストに特定 または置換 197

W

WAFL

資格キャッシュ、マッピング エントリへの追加 292

資格キャッシュ、マッピングエントリの削除

292

資格キャッシュ、統計の監視 294

警告メッセージ

FPolicy 219

WebDAV

ホームディレクトリへのアクセス 335

有効化/無効化 334

説明 333

ファイルアクセス 333

管理 334

サードパーティのサーバの使用 335

WebNFS

有効化/無効化 59

root ディレクトリの有効化 60

root ディレクトリの設定 59

root ディレクトリ名の特定 59

クライアントのサポート 58

widelink エントリ

作成 288

定義 285

使用 289

wildcards

スクリーニングのための使用 192, 199

Windows

NFS ファイルアクセスのための LDAP 承認の

有効化 253

ゲストユーザーアカウントの有効化/無効化 242

ファイルアクセス詳細 281

LDAPベースのクライアント認証, 有効化 253

ユーザーアカウント名の特定 67

サポートされるクライアント 62

サポートされるドメインコントローラー 62

workgroup 認証 126

WINS サーバ

特定 64

書き込みキャッシュ

使用 oplocks使用時のデータロス検討事項 123

書き込み オープン委任

有効化/無効化、NFSv4 51

Page 358: ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

索引| 358

ServerView with Data ONTAP-v

File Access and Protocols Management Guide

CA92276-8997-01

発行日 2011年6月

発行責任 富士通株式会社

●本書の内容は、改善のため事前連絡なしに変更することがあります。

●本書に記載されたデータの使用に起因する、第三者の特許権およびその他

の権利の侵害については、当社はその責を負いません。

●無断転載を禁じます。