ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更

CA92276-8997-01

ServerView with Data ONTAP-ｖTM

File Access and Protocols Management Guide

Data ONTAP® 8.0 7-Mode

2 | Data ONTAP 8.0 7-Mode File Access and Protocols Management Guide

目次

著作権に関する注意事項 ............................................................................................. 10

商標に関する注意事項 ................................................................................................ 11

このガイドについて ....................................................................................................... 12

対象ユーザー ......................................................................................................................... 12 Data ONTAP のマニュアルページの表示................................................................................. 12 コマンドの入力場所 ................................................................................................................. 13 キーボード表記と表記規則 ....................................................................................................... 14 特記事項 ................................................................................................................................ 15

ファイルアクセス管理の概要 ........................................................................................ 16

Data ONTAP でサポートされるファイルプロトコル ..................................................................... 16 Data ONTAP によるファイルアクセス制御方法......................................................................... 16

認証ベースの制限 ...................................................................................................... 16 ファイルベースの制限 ................................................................................................. 16

NFS を使用したファイルアクセス ................................................................................. 18

ファイルシステムパスのエクスポートまたはエクスポート解除 ..................................................... 18 etc/exportsファイルの編集 ......................................................................................... 19 exportfs コマンドの使用 .............................................................................................. 20

1 つ以上のファイルシステムパスに対する 1 つ以上の NFS クライアントの遮断の有効化または無効

化 .................................................................................................................................... 22 エクスポートされたファイルシステムパスに対応した実際のファイルシステムパスの表示................ 23 ファイルシステムパスのエクスポートオプションの表示 ................................................................ 24 アクセスキャッシュの管理 ......................................................................................................... 24

アクセスキャッシュへのエントリの追加 .......................................................................... 25 アクセスキャッシュのエントリの削除 .............................................................................. 26 アクセスキャッシュの統計の表示 .................................................................................. 26 アクセスキャッシュのパフォーマンスの最適化................................................................ 26 アクセスキャッシュタイムアウト値の設定 ....................................................................... 27

Kerberos v5 セキュリティサービスの有効化 .............................................................................. 28 Active Directoryベース KDC のセキュリティサービスの設定 ......................................... 29 UNIXベース KDC のセキュリティサービスの構成.......................................................... 31 Kerberos v5 セキュリティサービスをサポートする NFS クライアント ................................. 36

マウント問題のデバッグ ........................................................................................................... 37 マウントサービス統計の表示 ....................................................................................... 37 マウント要求のトレース ................................................................................................ 37

目次 | 3

NFS 統計の表示 ..................................................................................................................... 38 NFSv3の有効化と無効化........................................................................................................ 38 NFSv3 および NFSv4 における FSID （File System ID）処理の相違点 ....................................... 39 NFSv4クライアントのサポート .................................................................................................. 39

NFSv4 の Data ONTAP サポートについて ................................................................... 40 NFSv4 の Data ONTAP サポートの制限 ...................................................................... 40 NFSv4における pseudo-fsのマウントポイントへの影響 ................................................ 41 NFSv4の有効化と無効化 ........................................................................................... 42 NFSv4のユーザーIDドメインの指定 ............................................................................ 42 NFSv4 ACL の管理 .................................................................................................... 43 NFSv4のオープン委譲の管理..................................................................................... 46 NFSv4のファイルおよびレコードロックの構成 ............................................................... 49 ネームサーバデータベースキャッシュのフラッシュ ......................................................... 51

PC-NFS クライアントのサポート ............................................................................................... 52 pcnfsd デーモンの仕組み ............................................................................................ 52 pcnfsd デーモンの有効化と無効化 ............................................................................... 53 ストレージシステムのローカルファイルでの PC-NFS ユーザーエントリの作成 .................. 53 umask と NFS ファイルパーミッションの連携方法 .......................................................... 54 PC-NFS ユーザーが作成したファイルおよびディレクトリの umask の定義 ....................... 54

WebNFS クライアントのサポート .............................................................................................. 54 WebNFS プロトコルの有効化と無効化 ......................................................................... 55 WebNFS のルートディレクトリの設定 ........................................................................... 55

CIFS を使用したファイルアクセス ................................................................................. 57

MMC とストレージシステムの接続 ............................................................................................ 57 ストレージシステムでの CIFS の設定 ........................................................................................ 57

サポート対象のWindowsクライアントおよびドメインコントローラ .................................... 58 cifs setup コマンドの機能 ............................................................................................ 59 システムの初期設定 ................................................................................................... 59 WINS サーバの指定 ................................................................................................... 59 ストレージシステムドメインの変更 ................................................................................. 60 プロトコルモードの変更 ............................................................................................... 61 Windowsユーザーアカウント名の指定 ......................................................................... 63 CIFS 再設定時の検討事項 ......................................................................................... 64 ストレージシステム上の CIFS の再設定 ....................................................................... 65

ストレージシステムでの SMB の設定 ........................................................................................ 66 SMB 1.0 プロトコルのサポート ..................................................................................... 66 SMB 2.0 プロトコルのサポート ..................................................................................... 66 SMB 2.0 プロトコルを有効化する場合 .......................................................................... 69 SMB 2.0 プロトコルの有効化と無効化 .......................................................................... 69


SMB 2.0 永続ハンドルの有効化と無効化 ..................................................................... 70 SMB 2.0 永続ハンドルのタイムアウト値の指定 ............................................................. 70 SMB 署名 .................................................................................................................. 70 ストレージシステムの SMB2.0 プロトコルのクライアント機能の有効化と無効化 ................ 72

共有の管理............................................................................................................................. 73 共有の作成 ................................................................................................................ 73 共有のプロパティの表示と変更 .................................................................................... 76 共有の削除 ................................................................................................................ 84

アクセス制御リスト (Access Control List) .................................................................................. 85 共有レベル ACL について ........................................................................................... 85 共有レベル ACL の表示と変更 .................................................................................... 86 ファイルレベルの ACL の表示と変更 ............................................................................ 92 共有レベルでの ACL を使用したグループ ID の機能の指定 ........................................... 96

ホームディレクトリの管理 ......................................................................................................... 97 ストレージシステム上のホームディレクトリについて ........................................................ 98 Data ONTAP でのユーザとディレクトリの照合方法 ....................................................... 99 ホームディレクトリでのシンボリックリンクの機能............................................................ 99 ホームディレクトリバスの指定 ................................................................................... 100 ホームディレクトリパスのリストの表示 ........................................................................ 101 ホームディレクトリの名前形式の指定......................................................................... 101 ホームディレクトリパスでのディレクトリの作成（ドメインの名前形式の場合） ................. 102 ホームディレクトリパスでのディレクトリの作成（ドメインの名前形式以外の場合） .......... 103 ホームディレクトリのパス拡張機能を使用する場合のホームディレクトリにおけるサブディレ

クトリの作成 ....................................................................................................... 104 UNC 名を使用してホームディレクトリを指定するための構文........................................ 104 他のユーザーのホームディレクトリに対するアクセスの許可 ......................................... 105 共有エイリアスを使用した CIFS ホームディレクトリへのアクセス ................................... 105 共有からのWide Symbolic Link の有効化と無効化 .................................................... 106 ホームディレクトリの無効化 ....................................................................................... 106

ローカルユーザーとグループの管理........................................................................................ 106 ローカルユーザの管理 .............................................................................................. 107 ローカルグループの管理 ........................................................................................... 109

グループポリシーオブジェクトの適用 ....................................................................................... 112 ストレージシステムで GPO を使用するための要件 ...................................................... 113 ストレージシステムと OU の関連付け ......................................................................... 113 ストレージシステム上での GPO サポートの有効化と無効化 ......................................... 113 ストレージシステム上での GPO の管理 ...................................................................... 114

oplock でのクライアントパフォーマンスの向上.......................................................................... 121 oplocksを使用するときの書き込みキャッシュデータ消失に関する考慮事項 .................. 121 ストレージシステムでの oplock の有効化と無効化 ....................................................... 121

目次 | 5

qtree での oplock の有効化と無効化 ......................................................................... 122 oplock ブレークを送信するための遅延時間の変更 ...................................................... 123

認証とネットワークサービスの管理......................................................................................... 124 認証問題について .................................................................................................... 124 ストレージシステムの最小セキュリティレベルの設定 .................................................... 125 Kerberosのパッシブリプレイアタックの防御 ................................................................ 126 ドメインコントローラと LDAP サーバの選択 ................................................................. 126 非-Kerberos環境でストレージにアクセスするための null セッションの使用 .................... 131 ストレージシステムの NetBIOSエイリアスの作成 ........................................................ 134 NetBIOS over TCP の無効化 ................................................................................... 135

CIFS アクティビティの監視 ..................................................................................................... 136 ユーザを指定するさまざまな方法 ............................................................................... 136 セッション情報の要約の表示...................................................................................... 137 アイドルセッションのタイムアウト ................................................................................ 137 統計のトラッキング .................................................................................................... 137 特定の統計の表示 .................................................................................................... 139 統計クエリの保存と再使用 ........................................................................................ 139 CIFS リソースの制限 ................................................................................................ 139

CIFS サービスの管理 ............................................................................................................ 140 MMC を使用した特定のクライアントの切断 ................................................................. 140 コマンドラインによる選択したユーザの切断 ................................................................. 140 ストレージシステム全体での CIFS サービスの無効化 .................................................. 141 CIFS シャットダウンメッセージを受信するユーザの指定 ............................................... 142 CIFS サービスの再開 ............................................................................................... 142 ストレージシステム上のすべてのユーザへのメッセージ送信 ......................................... 143 ストレージシステムの説明の表示と変更 ..................................................................... 144 ストレージシステムのコンピュータアカウントパスワードの変更 ..................................... 144 Windows管理ツールを使用したファイル管理 ............................................................. 145

アクセス制御問題のトラブルシューティング .............................................................................. 145 権限トレースフィルターの追加 .................................................................................... 146 権限トレースフィルターの削除 .................................................................................... 147 権限トレースフィルターの表示 .................................................................................... 147 Data ONTAP で特定のクライアントまたはユーザへのアクセスが許可拒否される理由の詳細

の取得 ............................................................................................................... 148 Fpolicy の使用 ...................................................................................................................... 149

Fpolicy の概要 ......................................................................................................... 149 Data ONTAP 内での Fpolicyの使用 ......................................................................... 156 ネイティブファイルブロッキングの使用方法.................................................................. 157 Fpolicy との連携....................................................................................................... 161 FAQ、エラーメッセージ、警告メッセージ、およびキーワード .......................................... 209


NFS と CIFS 間でのファイル共有 ............................................................................... 223

NFS と CIFS のファイルのネーミング規則について .................................................................. 223 ファイル名の長さ....................................................................................................... 224 ファイル名に使用できる文字 ...................................................................................... 224 ファイル名での大文字と小文字の区別 ........................................................................ 224 小文字のファイル名の作成 ........................................................................................ 224 Data ONTAP でのファイル名の作成方法 ................................................................... 225 CIFS クライアント上でのドットファイルの表示の制御 .................................................... 225

UNIXと Windows間におけるファイル名の文字変換の有効化 .................................................. 226 文字の制限事項 ....................................................................................................... 227

ボリュームからの文字マッピングの削除 .................................................................................. 227 プロトコル間のファイルロッキングについて .............................................................................. 227 読み取り専用ビットについて ................................................................................................... 228

読み取り専用ビットが設定されたファイルの削除 .......................................................... 229 CIFS クライアントの UNIXクレデンシャルの管理 ..................................................................... 229

CIFS ユーザーによる UNIXクレデンシャルの取得方法 ............................................... 230 特定の CIFS ユーザだけが UNIXクレデンシャルを受信できるように設定する方法 ........ 231

SID と名前のマッピングキャッシュの管理 ................................................................................ 241 SID と名前のマッピングキャッシュの有効化と無効化 ................................................... 242 SID と名前のマッピングエントリの有効期間の変更 ...................................................... 242 SID と名前のマッピングキャッシュの全体または一部の消去 ......................................... 242

LDAP（Lightweight Directory Access Protocol）サービスの使用 .............................................. 243 LDAP サービスの設定 .............................................................................................. 244 クライアント認証と許可の管理 .................................................................................... 249 LDAP ユーザマッピングサービスの管理 ..................................................................... 251 ユーザーマッピングのためのベースと範囲の指定 ........................................................ 252 Active Directory LDAP サーバの管理 ....................................................................... 252 LDAP スキーマの管理 .............................................................................................. 255

fsecurity コマンドによるストレージレベルアクセスガードの有効化 .............................................. 256 fsecurity コマンドについて ......................................................................................... 257 ジョブ定義ファイルの生成と編集 ................................................................................ 257 ジョブ定義ファイル要素の指定 ................................................................................... 259 セキュリティジョブの作成とストレージオブジェクトへの適用 ........................................... 259 セキュリティジョブのステータスの確認と取り消し ......................................................... 260 ファイルおよびディレクトリのセキュリティ設定の表示 .................................................... 261 ストレージレベルのアクセス保護の削除 ...................................................................... 261

システムアクセスイベントの監査 ............................................................................................. 262 監査について ........................................................................................................... 262 Data ONTAP で監査できるイベント ............................................................................ 262

目次 | 7

システムイベントの監査の設定 .................................................................................. 264 イベント詳細画面の表示と概要 .................................................................................. 275

シンボリックリンクへの CIFSアクセスの制御 ........................................................................... 279 クライアントのシンボリックリンク参照の有効化............................................................. 279 CIFS クライアントとシンボリックリンクの連動の指定 ..................................................... 280 ファイルへのシンボリックリンクを使用しない理由 ......................................................... 280 Map エントリについて ................................................................................................ 281 Widelink エントリについて.......................................................................................... 281 シンボリックリンクに対する共有の境界チェックの無効化 .............................................. 282 絶対シンボリックリンクのリダイレクト........................................................................... 283 ストレージシステムによる Map と Widelinkエントリの使用方法..................................... 285

CIFS クライアントに対する NFS ディレクトリアクセスの最適化 .................................................. 285 Unicode 形式のディレクトリの作成 ............................................................................. 286 Unicode 形式への変換 ............................................................................................. 286

CIFS クライアントで大文字のファイル名が作成されないようにする方法 ..................................... 286 NFS クライアントからの CIFSファイルへのアクセス ................................................................. 287

WAFLクレデンシャルキャッシュへのマッピングエントリの追加 ...................................... 287 WAFLクレデンシャルキャッシュからのマッピングエントリの削除 ................................... 288 マッピングエントリの有効時間の設定 .......................................................................... 289 WAFLクレデンシャルキャッシュ統計の監視................................................................ 289 マッピング不整合への対処 ........................................................................................ 291 CIFS ログインの追跡 ................................................................................................ 292 ドメインコントローラ接続の追加 .................................................................................. 292

UNIX の「実行」権限がない CIFS クライアントへの.dll および.exeファイルの暗黙的な実行権限の付

与 .................................................................................................................................. 293

FTP を使用したファイルアクセス ................................................................................. 294

FTP の管理 .......................................................................................................................... 294 FTP サーバの有効化と無効化 ................................................................................... 294 TFTP サーバの有効化と無効化 ................................................................................. 295 FTPファイルロッキングの有効化と無効化 .................................................................. 295 FTP 認証形式の指定 ................................................................................................ 295 FTP トラバースチェックのバイパスの有効化と無効化 .................................................. 297 FTPアクセスの制限 ................................................................................................. 297 FTP ログファイルの管理 ............................................................................................ 299 FTP サーバで生成された SNMP トラップの表示 .......................................................... 302 FTP の統計の表示 ................................................................................................... 303 FTP の統計のリセット ................................................................................................ 303 FTP 接続の最大数の指定 ......................................................................................... 303 TFTP 接続の最大数の指定 ....................................................................................... 304


FTP 接続しきい値の設定 .......................................................................................... 304 FTP 処理用の TCP ウィンドウサイズの指定 ............................................................... 304 FTPアイドルタイムアウト値の指定 ............................................................................. 305 匿名 FTPアクセスの管理 .......................................................................................... 305

HTTP を使用したファイルアクセス .............................................................................. 307

Data ONTA のビルドイン HTTP サーバの管理....................................................................... 307 Data ONTAP のビルドイン HTTPサーバの有効化と無効化 ........................................ 307 HTTP トラバースチェックのバイパスの有効化と無効化 ................................................ 308 Data ONTAP のビルドイン HTTPサーバのルートディレクトリの指定 ............................ 308 Data ONTAP のビルドイン HTTPサーバのログファイルの最大サイズの指定 ............... 309 Data ONTAP のビルドイン HTTPサーバのテスト ....................................................... 309 Data ONTAP のビルドイン HTTPサーバでの MIME コンテンツタイプとファイル名拡張子の

マッピング方法の指定 ......................................................................................... 310 Data ONTAP のビルドイン HTTPサーバでの HTTP要求の変換方法の指定 ............... 311 MIME コンテンツタイプの値の設定 ............................................................................. 313 Data ONTAP のビルドイン HTTPサーバのセキュリティーの維持 ................................. 314 Data ONTAP ビルドイン HTTP サーバの統計の表示 .................................................. 320 Data ONTAP のビルドイン HTTPサーバの統計のリセット ........................................... 323 Data ONTAP のビルドイン HTTPサーバの接続情報の表示 ....................................... 323

サードパーティ製 HTTP サーバの購入とストレージシステムへの接続........................................ 324

WebDAV を使用したファイルアクセス ........................................................................ 326

WebDAVの概要 .................................................................................................................. 326 Data ONTAP ビルドインWebDAVサーバの管理 ................................................................... 327

Data ONTAP ビルドインWebDAVサーバの有効化と無効化 ...................................... 327 WebDAVクライアントからのホームディレクトリの参照 ................................................. 327

サードパーティ製WebDAVサーバの購入とストレージストレージシステムへの接続.................... 328

システムメモリによる CIFS のリソース制限値 ............................................................. 329

FAS 60xx シリーズストレージシステムの制限......................................................................... 329 FAS 30xx および 31xx シリーズストレージシステムの制限 ..................................................... 329 FAS 2040 シリーズストレージシステムの制限 ....................................................................... 330

イベントログと監査ポリシーのマッピング ..................................................................... 331

イベントログのマッピング値 .................................................................................................... 331 監査のマッピング値 ............................................................................................................... 332

用語集 ....................................................................................................................... 334

目次 | 9

著作権に関する注意事項

Copyright © 1994–2010 NetApp, Inc. All rights reserved. Printed in the U.S.A.

このマニュアルは著作権によって保護されています。著作権所有者の書面による事前承諾があ

る場合を除き、画像媒体、電子媒体、および写真複写、記録媒体、テープ媒体、電子検索シス

テムへの組み込みを含む機械媒体など、いかなる形式および方法による複製も禁止します。

NetApp の著作物から派生したソフトウェアは、次に示す使用許諾条項および免責条項の対象

となります。

このソフトウェアは、NetApp によって｢現状のまま」提供されています。明示的または商品性

および特定目的に対する適合性の黙示性の黙示的保証を含み、かつこれに限定されないいかな

る暗示的な保証も放棄します。NetApp は、代替品または代替サービスの調達、使用不能、デ

ータ損失、利益損失、業務中断を含み、かつこれに限定されない、このソフトウェアの使用に

より生じたすべての直接的損害、間接的損害、偶発的損害、特別損害、懲罰的損害、必然的損

害の発生に対して、損失の発生の可能性が通知されていたとしても、その発生理由、根拠とす

る責任論、契約の有無、厳格責任、不法行為 (過失またはそうでない場合を含む) に関わらず、

一切の責任を放棄します。

NetApp は、ここに記載されているすべての製品に対する変更を随時、予告なく行う権利を保

有します。NetApp による明示的な書面による合意がある場合を除き、ここに記載されている

製品の使用により生じる責任および義務に対して、NetApp は責任を放棄します。この製品の

使用または購入は、NetApp の特許権、商標権、または他の知的所有権に基づくライセンスの

供与とはみなされません。

このマニュアルに記載されている製品は、1 つ以上の米国特許、外国特許、および係属中の出

願によって保護されている場合があります。

権利の制限について：

政府による使用、複製、開示は DFARS 252.277-7103 (1988 年 10 月)の Rights in Technical Data and software(技術データおよびコンピュータソフトウェアに関する諸権利)条項の

(c)(1)(ii) 項、および FAR 52-227-19 (1987 年 6 月)に規定された制限が適宜適用されます。

商標に関する注意事項|11

商標に関する注意事項

「NetApp」、｢NetApp のロゴ｣、｢Network Appliance のロゴ」、｢Bycast｣、｢Cryptainer｣、｢Cryptoshred｣、｢DataFabric｣、｢Data ONTAP｣、｢Decru｣、｢Decru DataFort｣、｢FAServer｣、｢FilerView｣、｢FlexCache｣、｢Flexclone｣、｢FlexShare｣、｢FlexVol｣、｢Fpolicy｣、｢gFiler｣、｢Go further, faster｣、｢Manage ONTAP｣、｣Multistore｣、｢Nearstore｣、｢NetCache｣、｢NOW｣ (NetApp on the Web)、｢ONTAPI｣、｢RAID-DP｣、｢SANscreen｣、｢SecureShare｣、｢Simulate｣、｢ONTAP｣、｢SnapCopy｣、｢SnapDrive｣、｢SnapLock｣、｢SnapManager｣、｢SnapMirror｣、｢SnapMover｣、｢Snaprestore｣、｢SnapValidator｣、｢SnapVault｣、｢Spinnaker Networks｣、｢Spinnaker Networks のロゴ｣、｢SpinAccess｣、｢SpinCluster｣、｢SpinFlex｣、｢SpinFS｣、｢SpinHA｣、｢SpinMove｣、｢SpinServer」、｢SpinStor｣、｢storageGRID」、｢storeVault｣、｢SyncMirror｣、｢Topio｣、｢vFiler」、「VFM」、「WAFL」は、米国、その他の国、またはその両方に

おけるNetApp, Inc. の登録商標です。｢Network Appliance｣、｢Snapshot｣、｢The evolution of storage｣は米国、その他の国、またはその両方におけるNetApp, Inc. の商標、および一部の国にお

ける登録商標です。｢StoreVault のロゴ｣、｢ApplianceWatch｣、｢ApplianceWatch PRO｣、｢ASUP｣、｢AutoSupport｣、｢ComplianceClock｣、｢DataFort｣、｢Data Motion｣、｢FlexScale｣、｢FlexSuite｣、｢Lifetime Key Management｣、｢LockVault｣、｢NOW｣、｢MetroCluster｣、｢OpenKey｣、｢ReplicatorX｣、｢SecureAdmin｣、｢Shadow Tape｣、｢SnapDirector｣、｢SnapFilter｣、｢SnapMigrator｣、｢SnapSuite｣、｢Tech OnTap｣、｢Virtual File Manager｣、｢Vpolicy｣、｢Web Filer｣は、米国、その他の国、またはその両方におけるNetApp, Inc. の商標です。｢Get Successful｣｢Select｣は米国における NetApp, Inc. の役務商標です。

｢IBM｣、｢IBM のロゴ｣、ならびに、｢ibm.com｣は、米国、その他の国、またはその両方における

International Business Machines Corporation の登録商標です。その他のすべてのIBM商標の最

新のリストは、 Webサイト( www.ibm.com/legal/copytrade.shtml)から入手できます。

Apple は米国、その他の国、またはその両方におけるApple, Inc. の登録商標です。QuickTime は米

国、その他の国、またはその両方におけるApple, Inc. の商標です。 Microsoft は米国、その他の国、

またはその両方におけるMicrosoft Corporationの登録商標でです。Windows Media は、同社の米

国、その他の国、またはその両方における商標です。｢RealAudio｣、｢RealNetworks｣、｢RealPlayer｣、｢RealSystem｣、｢RealText｣、ならびに、｢RealVideo｣は、米国、その他の国、また

はその両方におけるRealNetworks, Inc. の登録商標です。｢SureStream｣は米国、その他の国、ま

たはその両方におけるRealNetworks, Inc. の商標です。

その他すべてのブランドおよび製品は、それを所有する各社の商標または登録商標であり、相応の取

り扱いが必要です。

NetApp, Inc. は｢CompactFlash｣ならびに｢CF Logo｣の商標に対する使用許諾を有しています。

NetApp, Inc. の｢NetCache｣は RealSystem の認定互換製品です。


このガイドについて

この文書の対象読者ならびにこの文書が情報を掲載するために用いている表記規約を理解すれ

ば、お使いの製品をより効果的に使用できます。

メモ：このマニュアルは、Vシリーズシステムを含めたData ONTAP 8.0 7-Modeを実行する

システムに適用されます。Data ONTAP 8.0 7-Mode製品名での 7-Modeは、Data ONTAP 7.0、7.1、7.2 または 7.3 リリースファミリーを使用していた場合、このリリースがこれ

まで使用していた機能と特徴を備えていることを意味します。Data ONTAP 8.0 Cluster-Modeを使用している場合、nodeshellから 7-Modeコマンドでアクセスする機能について

は、Data ONTAP 8.0 Cluster-ModeのマニュアルとData ONTAP 8.0 7-Modeのマニュアル

を使用してください。

次のトピック

対象ユーザー Data ONTAP のマニュアルページの表示コマンドの入力場所キーボード表記と表記規則特記事項

対象ユーザー

このガイドは、ユーザが一定の技術知識と経験を有していることを前提として作成されていま

す。このマニュアルは、ストレージシステムのクライアント上で動作するオペレーティングシステム

（UNIX®や Windows®など）に精通しているシステム管理者を対象としています。

このマニュアルを使用するには、ストレージシステムの構成方法や、Network File System（NFS）、Common Internet File System（CIFS）、Hypertext Transport Protocol（HTTP）、

File Transport Protocol（FTP）、および Web-based Distributed Authoring and Versioning（WebDAV）を使用したファイル共有またはファイル転送に関する詳しい知識も必要です。

このマニュアルでは、基本システムやネットワーク管理のトピック（IP アドレスの指定、ル

ーティング、ネットワークトポロジなど）については説明せず、ストレージシステムの特徴

に重点を置いています。

Data ONTAP のマニュアルページの表示

技術的な情報については、Data ONTAP マニュアル (man) ページを利用できます。

このタスクについて

次のタイプの情報について、Data ONTAP マニュアルページが用意されています。これらの

このガイドについて |13

ページは、UNIX の標準命名規則に従って、複数のセクションに分類されています。

手順

1. マニュアルページを表示するには、次のいずれかの操作を実行してください。

• コンソールのコマンドラインで次のコマンドを入力します。

man command_or_file_name

• FilerView ユーザーインターフェースの Data ONTAP ナビゲーションページで manual pages ボタンをクリックします。

メモ：Data ONTAP 8.0 7-Mode のすべてのマニュアルページは、システム上で他の

マニュアルページと区別するために名前の先頭に「na_」が付加されたファイルに

保管されています。これらの接頭辞付きの名前は、マニュアルページの NAME フ

ィールドに表示されることがありますが、これらの接頭辞はコマンド名、ファイル

名、およびサービス名の一部ではありません。

コマンドの入力場所

このマニュアルで使用されているコマンド表記を理解すると、製品をより効率的に使用できるよ

うになります。

一般的な管理者向け作業を、次の 1 つ以上の方法で実行できます。

メモ：このマニュアルで示すData ONTAPコマンドは、Data ONTAP 8.0 7-ModeおよびData ONTAP 7.xリリースファミリー向けです。ただし、これらのコマンドの一部は、Data ONTAP 8.0 Cluster-Modeを実行するシステムのnodeshellプロンプトでも使用できます。詳

細は、『Data ONTAP 8.0 Cluster-ModeAdministration Reference』を参照してください。

• コマンドは、システムコンソール、または Telnet または Secure Shell（SSH）セッシ

ョンを使用してストレージシステムにアクセスできる任意のクライアントコンピュー

タから入力できます。コマンド実行を説明する例では、コマンド構文と出力は、お使い

のオペレーティングシステムのバージョンによっては入力内容および表示内容が異なる

場合があります。 • FilerView グラフィカルユーザインターフェースを使用できます。

情報のタイプマニュアルページのセクション

コマンド 1

特別なファイル 4

ファイルの形式と規約 5

システム管理とサービス 8


キーボード表記と表記規則

このマニュアルで使用されているキーボード表記と表記規則を理解すると、製品をより効率的に利用する

ことができます。

キーボード規則

書式規則

規約意味

斜体フォント • 特別な注意が必要な単語または文字

• 入力が必要な情報のプレースホルダー例えば、ガイドから arp -d hostname コマンドの入力が指示された場合は、文字「arp -d」を入力

し、その後にホストの実際の名前を入力します。

• クロスリファレンス付きの書名

等幅フォント • コマンド名、オプション名、キーワード、デーモン名

• システムコンソールまたは他のコンピューターモニターに表示される情報

• ファイルのコンテンツ。

• ファイル、パス、およびディレクトリ名

等幅太字フォント入力する単語または文字。プログラムが正常に機能するために大小文字を区別す

る必要がない限り、入力内容は常に小文字で表記されます。

表記規則意味

NOW サイト NetApp On the Web (http://now.netapp.com/). Enter, enter • キャリッジリターン（改行）キーです。キーボードによっては、「Return」キーと呼ばれ

ています。

• キーボードの1つ以上のキーを押してから「Enter」キーを押すか、またはグラフィカ

ルインターフェイスのフィールドをクリックして情報をフィールドに入力することを示し

ます。

ハイフン（-）個々のキーを区切るために使用される。例えば、Ctrl-D とは Ctrl キーを押しながら D キーを押すこと。

タイプ(入力) キーボードで 1 つまたは複数のキーを押すこと

http://now.netapp.com/�

このガイドについて |15

特記事項

このマニュアルには、注意が必要な条件を通知する、次の種類のメッセージが記載されている場合があり

ます。

メモ：メモには、システムのインストールや操作を効率的に行うのに役立つ重要な情報が記述さ

れています。

注意: 注意には、システムクラッシュ、データ損失、または装置へのダメージを回避するため

に従う必要のある指示が記述されています。

16 | Data ONTAP 8.0 7-Mode FileAccess and Protocols Management Guide

ファイルアクセス管理の概要

Data ONTAP を使用すると、さまざまなプロトコルのファイルアクセスを管理できます。

次のトピック

Data ONTAP でサポートされるファイルプロトコル Data ONTAP によるファイルアクセス制御方法

Data ONTAP でサポートされるファイルプロトコル

Data ONTAP は、NFS、CIFS、FTP、HTTP、および WebDAV など、最も一般的なファイ

ルプロトコルをすべてサポートします。

Data ONTAP によるファイルアクセス制御方法

Data ONTAP では、指定された認証ベースおよびファイルベースの制限に従ってファイル

アクセスが制御されます。

次のトピック

認証ベースの制限ファイルベースの制限

認証ベースの制限

認証ベースの制限を使用すると、ストレージシステム全体に接続できるクライアントマシ

ンおよびユーザーを指定できます。

Data ONTAP は、 UNIX および Windows サーバの両方の Kerberos 認証をサポートします。

ファイルベースの制限

ファイルベースの制限を使用して、ファイルごとにアクセス可能なユーザを指定することが

できます。

ユーザーがファイルを作成すると、Data ONTAP では、そのファイルにアクセス許可のリス

トが生成されます。このアクセス許可リストの形式はプロトコルごとに異なりますが、読み

取り/書き込み権限などの共通事項は必ず含まれます。

あるユーザがファイルにアクセスしようとすると、Data ONTAP は許可リストを使用してア

クセスを許可するかどうかを決定します。アクセスはユーザーが実行中の操作（読み取り/書き込みなど）および次の要素に基づき、許可または拒否されます。

• ユーザーアカウント

• ユーザーグループまたはネットグループ

• クライアントのプロトコル

ファイルアクセス管理の概要|17

• クライアントの IP アドレス

• ファイル形式

Data ONTAP は検証プロセス中に、Lightweight Directory Access Protocol（LDAP）

Network Information Service (NIS)、またはローカルストレージシステム情報など、指

定された検索サービスを使用して、ホスト名を IP アドレスにマッピングします。


NFS を使用したファイルアクセス

ご使用のストレージシステムでファイルシステムパスのエクスポートおよび解除を実行でき

ます。エクスポートおよびエクスポート解除によって、それぞれ、PC-NFS や WebNFS クラ

イアントなどの NFS クライアントによるマウントが有効または無効になります。

次のトピック

ファイルシステムパスのエクスポートまたはエクスポート解除 1 つ以上のファイルシステムパスに対する 1つ以上の NFS クライアントの遮断の有効化または無

効化エクスポートされたファイルシステムパスに対応した実際のファイルシステムパスの表示ファイルシステムパスのエクスポートオプションの表示アクセスキャッシュの管理 Kerberos v5 セキュリティサービスの有効化マウント問題のデバッグ NFS 統計の表示 NFSv3 の有効化と無効化 NFSv3 および NFSv4 における FSID （File System ID）処理の相違点 NFSv4 クライアントのサポート PC-NFS クライアントのサポート WebNFS クライアントのサポート

ファイルシステムパスのエクスポートまたはエクスポート解除

ファイルシステムパスをエクスポートまたはエクスポート解除して、これらのパスを NFS クライアントで有効または無効にするには、/etc/exports ファイルを編集するかまたは exportfs コマンドを実行します。

作業を開始する前に

セキュアな NFS アクセスをサポートするには ( sec=krb* のエクスポートオプションを使用)、最初に Kerberos v5 セキュリティサービスを有効にする必要があります。


複数のエクスポートエントリに永久的な変更を１度に行う必要がある場合は、/etc/exports ファ

イルを編集する方法が最も簡単です。しかし、エクスポートエントリを１つ変更する必要が

ある場合や、一時的に変更する必要がある場合は、通常、 exportfs コマンドを実行する方法が

最も簡単です。

次のトピック

/etc/exports ファイルの編集 exportfs コマンドの使用

NFS を使用するファイルアクセス|19

/etc/exportsファイルの編集

NFS が起動した際に Data ONTAP が自動的にエクスポートするかを指定するには、 /etc/exports ファイルを編集します。その詳細については、 na_exports(5) のマニュアルページ

を参照してください。

作業を開始する前に

nfs.export.auto-update オプションが on (デフォルト)の場合、Data ONTAP は、ボリュームの

作成、名前変更、または、あるいは削除の際に/etc/exports ファイルを自動的に更新します。詳細については、 na_exports(1) のマニュアルページを参照してください。

メモ： /etc/exports ファイルの最大エントリ数は 10,240 です。各エクスポートエントリの

最大文字数は、行末文字を含め、 4,096 文字です。


export エントリには、次の構文があります。

path -option[, option...]

export エントリの構文で、path はファイルシステムパス (例えば、ボリューム、ディレクト

リ、或いは、ファイルへのパス) であり、 option は次の情報を指定するエクスポートオプシ

ョンです。

• NFS クライアントと、各クライアントが保持するアクセス権限 (読み取り専用、読み取

り/書き込み、または root) の対応関係。

• ファイルシステムパスにアクセスするすべての anomymous または root の NFS クライ

アントユーザーのユーザー ID (または名前）

• NFS クライアントユーザーが setuid ならびに setgid 実行可能ファイルを作成して、ファ

イルシステムパスにアクセスする際、 mknod コマンドを使用するかどうか。

• NFS クライアントがファイルシステムパスへのアクセスでサポートする必要があるセキ

ュリティの種類

• エクスポートされたファイルシステムパスに対応した実際のファイルシステムパス

手順

1. ストレージシステムに対する root アクセス権を持つ NFS クライアント上で、/etc/exports ファイルをテキストエディタで開きます。

2. 変更します。

3. ファイルを保存します。

コマンド実行後の作業

テキストエディタを使用して/etc/exports ファイルを変更した場合は、 /etc/exports ファイル

にあるすべてのファイルシステムパスをエクスポートするか、現在エクスポートされたファ

イルシステムパスと/etc/exports ファイルで指定されたファイルシステムパスを同期するま

で、変更は有効になりません。


メモ： -b、 -p、または、 -z オプションを指定して exportfs コマンドを実行した場合も、

/etc/exports ファイルは変更されます。

exportfs コマンドの使用

ファイルシステムパスのエクスポートまたはエクスポート解除をコマンドラインから実行す

るには、 exportfs コマンドを実行します。その詳細については、 na_exportfs(1)のマニュア

ルページを参照してください。

次のトピック

ファイルシステムパスのエクスポートファイルシステムパスのエクスポート解除 /etc/exports ファイルに指定されたすべてのファイルシステムパスのエクスポート

ファイルシステムパスのエクスポート

/etc/ exports ファイルに対応するエントリを追加または追加せずにファイルシステムパスをエ

クスポートできます。さらに、/etc/exports ファイルに指定されているすべてのファイルシス

テムパスをエクスポートできます。

次のトピック

ファイルシステムパスのエクスポートおよび/etc/exports ファイルに対応するエントリの追加対応するエントリを/etc/exports ファイルに追加しない場合のァイルシステムパスのエクスポート /etc/exports ファイルに指定されたすべてのファイルシステムパスのエクスポート

ファイルシステムパスのエクスポートおよび/etc/exportsファイルに対応するエントリの追加

ファイルシステムパスをエクスポートして、対応する export エントリを/etc/exports ファイ

ルに追加するには、exportfs -p コマンドを使用します。

手順

1. 次のコマンドを入力します。

exportfs -p [options] path

options はエクスポートオプションのコンマで区切りのリストを表します。

(詳細については、 na_exports(5) マニュアルページをご参照ください。)

path は、ファイルシステムパス (例えば、ボリューム、ディレクトリ、ファイルへのパス)を表します。

メモ：エクスポートオプションを１つも指定しない場合、Data ONTAP はファイルシステムパスを rw および sec=sys のエクスポートオプションで自動的にエクスポートします。


対応するエントリを/etc/exportsファイルに追加しない場合のァイルシステムパスのエクスポート

対応する export エントリを/etc/exports ファイルに追加しないでファイルシステムパスを

エクスポートするには、exportfs -io コマンドを入力します。

手順


exportfs -io [options] path

options は、エクスポートオプションのコンマで区切りのリストを表します。詳細について

は、 na_exports(5) マニュアルページをご参照ください。

path は、ファイルシステムパス (例えば、ボリューム、ディレクトリ、或いは、ファイル

へのパス)を表します。

メモ：エクスポートオプションを指定しない場合、 Data ONTAP は、 /etc/exports ファイル

にあるファイルシステムパスに指定されたエクスポートオプションを使用します。

/etc/exportsファイルに指定されたすべてのファイルシステムパスのエクスポート

exportfs -a コマンドにより、/etc/exports ファイルに指定されているすべてのファイルシステ

ムパスをエクスポートできます。

手順


exportfs -a

ファイルシステムパスのエクスポート解除

特定のファイルシステムパスをエクスポート解除したり、対応するエントリを/etc/exports フ

ァイルから任意に削除したりすることができます。また、対応するエントリを /etc/exports ファ

イルから削除せずに、すべてのファイルシステムパスをエクスポート解除することもできま

す。

次のトピック

特定のファイルシステムパスのエクスポート解除すべてのファイルシステムパスのエクスポート解除

特定のファイルシステムパスのエクスポート解除

対応するエントリを /etc/exports ファイルから削除せずに、特定のファイルシステムパスをエ

クスポート解除するには、exportfs -u コマンドを使用します。特定のファイルシステムパスを

エクスポート解除して、対応するエントリを/etc/exports ファイルから削除するには、exportfs -z コマンドを使用します。


手順

1. 次の操作の 1 つを行います。

特定のファイルシステムパスをエクスポートする場合の操作操作

/etc / exportsファイルから対応するエントリを削除せずに削除しな

い場合

次のコマンドを入力します。 exportfs -u path path は、ファイルシステムのパスです。

c/exports ファイルから対応するエントリを削除する場合

次のコマンドを入力します。 exportfs -z path path は、ファイルシステムのパスです。

すべてのファイルシステムパスのエクスポート解除

対応するエントリを/etc/exports ファイルから削除せずに,すべてのファイルシステムパスをエクス

ポート解除するには、exportfs -ua コマンドを入力します。

メモ：このコマンドを実行すると、すべてのファイルシステムパスをアンマウントして、ストレージシステムからすべての NFS クライアントを切断します。

手順


exportfs -ua

-u は、ファイルシステムパスをアンエクスポートするように指定します。

-a は、すべてのファイルシステムパスを指定します。

現在エクスポートされたファイルシステムパスと/etc/exportsファイルで指定されたものと同期

exportfs -r コマンドを使用して /etc/ exports ファイルに指定されたすべてのファイルシステ

ムパスをエクスポートして、 /etc/exports ファイルに指定されていないすべてのファイルシステムパスをアンエクスポートできます。

手順


exportfs -r

1 つ以上のファイルシステムパスに対する 1 つ以上の NFS クライアントの遮断の有効化また

は無効化

遮断を使用すると、複数のファイルシステムパスへの読み取り専用アクセスまたは読み取り/書き込みアクセスを、複数の NFS クライアントに一時的または永続的に付与することができ


ます。

タスク概要

遮断を有効または無効にすると、 Data ONTAP は指定された NFS クライアントを新しいア

クセスリストの前に移動します (rw= または ro=)。この順序変更によって、元のエクスポー

トルールが変更されることがあります。

手順


exportfs -b enable | disable save | nosave allhosts |

clientid[:clientid...] allpaths | path[:path...]

目的操作

遮断を有効にする場合 enable オプションを指定

遮断を無効にする場合 disable オプションを指定

/etc/exports ファイルを更新する場合 save オプションを指定

/etc/exports ファイルが更新を禁止する場合 nosave オプションを指定

すべての NFS クライアントを対象にする場合 allhosts オプションを指定

エクスポートされたすべてのファイルシステムパスを対

象にする場合 allpaths オプションを指定

特定の NFS クライアントセットを対象にする場合 NFS クライアント識別子のコロンで区切りリストを指

定

特定のファイルシステムパスを対象にする場合ファイルシステムパスのコロンで区切りリストを指定

Data ONTAP では遮断を有効または無効にする前に、キュー内のすべての NFS 要求が処理さ

れるため、すべてのファイル書き込みは完了します。

エクスポートされたファイルシステムパスに対応した実際のファイルシステムパスの表示

エクスポートされたファイルシステムパスに対応した実際のファイルシステムパスを表示する

には、exportfs -s コマンドを使用します。

タスク概要

ファイルシステムの実際のパスは -actual オプションを使用してファイルシステムパスをエク

スポートする場合を除いて、エクスポートされるパスと同じです。詳細については、 na_exports(5) マニュアルページを参照してください。

手順


exportfs -s path

path はエクスポートされたファイルシステムパスを指定します。


ファイルシステムパスのエクスポートオプションの表示

エクスポート問題のデバックに役立つファイルシステムパスのエクスポートオプションを表示

するには、exportfs -q コマンドを使用します。

手順


exportfs -q path

path はファイルシステムパスを指定します。

結果

メモ： Data ONTAP はオプションのルール識別子も表示されますが、診断コマンドを使用し

ないかぎり、ルール識別子は必要ありません。詳細については、テクニカルサポートに

お問い合わせください。

アクセスキャッシュの管理

ファイルシステムパスに NFS クライアントアクセスを許可または拒否する際に、リバー

ス DNS 検索の実行やネットグループ解析の実行頻度を軽減できるように、Data ONTAP はア

クセスキャッシュが使用されます。

NFS クライアントがファイルシステムパスにアクセスしようとするときは、Data ONTAP はそのアクセスを許可するか拒否するかを判別する必要があります。最も単純なケース (例えば、

ファイルシステムパスが ro または rw オプションのみを使用してエクスポートされる場合を

除き)、 Data ONTAP は次の情報に対応するアクセスキャッシュ内の値に基づいて許可または

拒否を実行します。:

• ファイルシステムパス

• NFS クライアントの IP アドレス、アクセスタイプ、ならびに、セキュリティタイプ

該当する値がアクセスキャッシュエントリに存在しない場合(たとえば、Data ONTAP が以前

にアクセスの判断をしていない場合や、この特定の NFS クライアントとシステムパスの組み

合わせに対応するアクセスキャッシュエントリを exportfs -c コマンドを使用して作成してい

なかった場合)、Data ONTAP は次の情報を比較して、その結果に基づいてアクセスの許可ま

たは拒否を実行します:

• NFS クライアントの IP アドレス (または、必要に応じてホスト名）、アクセスタイプ、ならびに、セキュリティタイプ

• ファイルシステムパスのエクスポートオプション

Data ONTAP はこの比較結果をアクセスキャッシュに保存します。

リバース DNS 検索を実行したりネットグループを解析したりする機会を減らすため、比較処


理を 3 段階に分割して行われます。 NFS クライアントがファイルシステムパスへのアクセ

ス許可があるかどうかを判断する必要がある場合にだけ、各段階の比較が連続して行われま

す。

第１段階では、 NFS クライアントの IP アドレスとすべてのエクスポートルート(単一 IP アド

レスを含むすべての IP アドレス、サブネット、ならびに、 Data ONTAP が以前に IP アドレ

スへの名前解決を行ったホスト名で構成されるルール)を比較します。

第 2 段階では、NFS クライアントの IP アドレスでリバース DNS 検索を実行してから、NFS クライアントのホスト名とすべてのエクスポートルール(サブドメイン名および Data ONTAPが IP アドレスへ名前解決していないホスト名で構成されるルール)と比較します。

第 3 段階では、Data ONTAP はネットグループを解析します。

エントリキャッシュは、リブート後およびテイクオーバまたはギブバック後もアクセスキャッ

シュ内の情報を使用できるように、15 分毎にディスクにバックアップされます。

次のトピック

アクセスキャッシュへのエントリの追加アクセスキャッシュのエントリの削除アクセスキャッシュの統計の表示アクセスキャッシュのパフォーマンスの最適化アクセスキャッシュタイムアウト値の設定

アクセスキャッシュへのエントリの追加

NFS クライアントがファイルシステムパスへの特定のアクセス権を持っているかどうかを調

べるには(また同時に、対応するエントリアクセスをアクセスキャッシュに追加するには)、exportfs -c コマンドを使用します。

手順

1. 次のコマンドを入力して、NFS クライアントのアクセスを確認して、アクセスキャッシ

ュにエントリを追加します。

exportfs -c clientaddr[:clientaddr...] path [accesstype] [securitytype] clientaddr

clientaddr:は、NFS クライアントの IP アドレス

path は、ファイルシステムパス

accesstype は、次のアクセスタイプのオプションのうちいずれかを使用します。

• ro - 読み取り専用アクセス

• rw - 読み取り/書き込みアクセス

• root - root アクセス

アクセスタイプを指定しない場合、NFS クライアントによるファイルシステムパスをマ

ウントが可能かどうかだけ確認します。


securitytype は次のセキュリティタイプのオプションのうちいずれかを使用します。

• sys - Unix 形式のセキュリティ

• none- セキュリティ無し

• krb5 - Kerberos Ver 5 認証

• krb5i - Kerberos Ver 5 インテグリティサービス

• krb5p - Kerberos Ver 5 プライバシーサービス

セキュリティタイプを指定しない場合、NFS クライアントのセキュリティタイプは sysであるとみなされます。

アクセスキャッシュのエントリの削除

ファイルシステムパスのエクスポートを解除する、またはエントリがタイムアウトすると、

アクセスキャッシュのエントリが自動的に削除されます。アクセスキャッシュのエントリを

削除するには、exportfs -f コマンドを使用します。

タスク概要

手順

アクセスキャッシュのエントリを削除するには、次のコマンドを入力します。

exportfs -f [path]

path は、アクセスキャッシュから削除するエントリのファイルシステムパスを指定しま

す。ファイルシステムパスを指定しない場合は、アクセスキャッシュのすべてのエント

リが削除されます。

詳細については、 na_exportfs(1) マニュアルページを参照してください。

アクセスキャッシュの統計の表示

アクセスキャッシュの統計を表示するには、nfsstat -d コマンドを入力します。これによりア

クセスキャッシュの統計、接続、要求、さらにトラブルシューッティングするための詳細を

見ることができます。

手順

1. アクセスキャッシュの統計を表示するには、次のコマンドを入力します。

nfsstat -d

これらのアクセスキャッシュの統計について詳細は na_nfsstat(1) マニュアルページを参

照してください。

アクセスキャッシュのパフォーマンスの最適化

アクセスキャッシュのパフォーマンスを最適化するには、同じエクスポートルールをできる

だけ頻繁に再利用する必要があります。


タスク概要

Data ONTAP では、同じルールを指定するすべてのエクスポートエントリに対して、１つの

アクセスキャッシュエントリが保持されます。

手順

1. 同一エクスポートルールを使えるときは使用します。

例 ro,rw=@group1

ro,rw=@group1 ルールは次の両方のエントリ内にありますが、このルールに対して保持されるアクセスキャッシュエントリは１つです。

/vol/a -sec=sys,ro,sec=sys,rw=@group1,sec=krb5,rw=@group2 /vol/b -sec=sys,ro,sec=sys,rw=@group1

アクセスキャッシュタイムアウト値の設定

いくつかのオプションを設定して、アクセスキャッシュのタイムアウト動作をカスタマイズ

できます。これにより、保存された情報がどれほど新しいかによりアクセスキャッシュのパ

フォーマンスをバランスさせることができます。

手順

1. アクセスキャッシュにエントリに保持する時間を指定するために、次のコマンドを入力

します

options nfs.export.harvest.timeout integer

integer は、秒単位でエクスポートアクセスキャッシュにあるエントリのアイドル期限を

指定します。デフォルト値は、 3600 秒 (1 時間) です。最小値は 60 秒です。最大値は 604800 秒 (7 日間) です。

2. 更新前にアクセスが拒否されたアクセスキャッシュエントリが保持する時間を指定する

には、次のコマンドを入力します。

options nfs.export.neg.timeout integer

integer は秒単位でタイムアウト時間を指定します。デフォルトでは 1800 秒 (30 分) です。最小値は 60 秒です。最大値は 604800 秒 (7 日間) です。

3. 更新前にアクセスが許可されたアクセスキャッシュエントリが保持する時間を指定する

には、次のコマンドを入力します。

options nfs.export.pos.timeout integer

integer は秒単位でエクスポートアクセスキャッシュにあるエントリのアイドル期限を指


定します。そのデフォルト値は 36000 秒 (10 時間) です。最小値は 60 秒です。最大値

は 604800 秒 (7 日間) です。その詳細については、 na_options(1) マニュアルページを

ご参照ください。

Kerberos v5 セキュリティサービスの有効化

NFS の Kerberos v5 セキュリティサービスを有効にするには、 nfs setup コマンドを使用し

ます。

タスク概要

Data ONTAP で実現される、セキュリティで保護された NFS アクセスでは、Kerberos v5 認証

プロトコルを使用して、制御されたドメイン内のデータとユーザーID のセキュリティを確保

します。

Data ONTAP の Kerberos v5 の実装により、2 種類の Kerberos Key Distribution Center (KDC)がサポートされています。下の表に記載のとおり、Active Directory ベースと UNIX ベー

スがあります。

KDC の種類説明

Active Directory ベース

Windows ドメインは Kerberos 領域です。 CIFS および Active Directory サーバには、同じドメインコントローラを使用します。

UNIX タイプ NFS 用の Kerberos 領域は、 MIT または Heimdal KDC です。

Multirealm NFS 用には UNIX ベースの KDC 、 CIFS 用には Active Directory ベースの KDC を使用します。Data ONTAP 7.3.1 以降のバージョンでご利用できます。

メモ： Kerberos ｍultirealm 構成をサポートするため、 Data ONTAP は 2 セットのプリンシパ

ルファイルと keytab ファイルを使用します。 Data ONTAP 7.3.1.より前のリリースの場合の

ように、アクティブディレクトリベースの KDC では、プリンシパルファイルと keytab ファイルはそれぞれ、/etc/ krb5auto.conf と /etc/krb5.keytab です。

しかし、Data ONTAP 7.3.1 以降のバージョンの場合、UNIX ベースの KDC では、メインファイルと keytab ファイルは /etc/krb5.conf と /etc/UNIX_krb5.keytab になっています。 Data ONTAP 7.3.1 からは、 UNIX ベースの KDC の keytab ファイルが /etc/krb5.keytab から /etc/UNIX_krb5.keytab に変更されました。

Data ONTAP が NFS 用に UNIX ベースの KDC を使用するように構成された Data ONTAP 7.3.1 より前のリリースからバージョンからアップグレードする場合、 Data ONTAP は引き続

き keytab file /etc/krb5.keytab ファイルを使用します。この以前のバージョンからアップグレ

ードした後 CIFS を再構成する場合、または、アクティブディレクトリタイプ KDC を CIFS 用に構成した後で最初に NFS を構成する場合、 UNIX タイプ KDC には、新しい keytab ファ

イル/etc/UNIX_krb5.keytab を使用することしか必要になりません。

次のトピック


Active Directory ベース KDC のセキュリティサービスの設定 UNIX ベース KDC のセキュリティサービスの構成 Kerberos v5 セキュリティサービスをサポートする NFS クライアント

Active DirectoryベースKDCのセキュリティサービスの設定

cifs setup コマンドの実行前または実行後に、Active Directory ベース KDC を使用するため

に NFS 用に Kerberos v5 セキュリティサービスを構成することができます。セキュリティサービスセットアップ手順では、ストレージシステムを

nfs/hostname.domain@REALM というサービスプリンシパルとしてActive Directoryベースの

KDC に追加します。hostname.domain@REALM.

次のトピック

Active Directory ベース KDC のセキュリティサービスの設定 UNIX ベース KDC のセキュリティサービスの構成

CIFS 設定前のActive DirectoryベースKDCのセキュリティサービスの設定

cifs setup がまだ実行されず、CIFS が設定されていない場合は、CIFS 構成から取り込まれる

はずの構成情報を入力する必要があります。

Active Directory ベースのドメインネームサービスを使用するようストレージシステムを設定

し、必要に応じて /etc/resolv.conf ファイルを変更して、Active Directory サーバだけが表示され

るようにします。

例えば、 Active Directory サーバが 172.16.1.180 と 172.16.1.181 であるような Kerberos 領域

については、次の Active Directory サーバエントリだけが含まれるように/etc/resolv.conf を変

更します:

nameserver 172.16.1.180

nameserver 172.16.1.181

この領域で他のすべての Active Directory サーバが削除されたことを確認します。

すでに nfs setup を使用して構成情報を入力している場合は、表示されるプロンプトは次の手

順に示されるものと異なっている場合があります。

手順


nfs setup

次のメッセージが表示されます。

Enable Kerberos for NFS?

2. y キーを押して次に進みます。 KDC 種類を指定するように指示されます。 The filer supports these types of Kerberos Key Distribution Centers (KDCs):


1 - UNIX KDC

2 - Microsoft Active Directory KDC

Enter the type of your KDC (1-2):

3. 2 を入力します。

ストレージシステム名を指定するよう指示されます:

The default name of this filer will be 'SERVER'

Do you want to modify this name? [no]:

4. ここではストレージシステム名を入力するので、yesと入力します。デフォルトのストレ

ージシステム名"SERVER" を使用する場合は、Enter キーを押してください。

ストレージシステムのActive Directoryサーバ用のドメイン名を指定するように指示され

ます:

Enter the Windows Domain for the filer []:

5. Active Directoryサーバのドメイン名を入力します

入力したドメイン名は Kerberos 領域名としても使用されます。ローカル管理者アカウントを指定するよう指示されます。

6. ローカル管理者アカウント情報を入力します。

メモ：この手順は Active Directory KDC の Kerberos 構成には影響がありません。

7. ローカル管理者アカウント情報を入力したあとで、次の例のようなメッセージが表示され

ていることを確認します。

ADKDC.LAB.DOCEXAMPLE.COM is a Windows 2000(tm) domain.

このメッセージは、ストレージシステムが Active Directory サーバを検出したこと、そし

てストレージシステムがこのサーバは KDC サーバとして機能できると判断したことを確

認するものです。

上記のようなメッセージが表示されない場合、ア Active Directory サーバに問題がある、

または、ストレージシステムの DNS サーバが Active Directory サーバではない可能性があ

ります。ネットワーク構成を確認して、nfs setup を再び実行してください。

8. 次の種類のメッセージが表示された場合は、 Active Directoryドメイン管理者の名前とパス

ワードを入力してください。 In order to create this filer's domain account, you must supply the name and password of an administrator account with sufficient privilege to add the filer to the ADKDC.LAB.DOCEXAMPLE.COM domain.

Please enter the Windows 2000 user [[email protected]] Password for Administrator:

パスワードが正しく、指定されたアカウントにストレージシステムドメイン内の適切な

権限がある場合は、次のようなメッセージが表示されます:

CIFS - Logged in as [email protected].

Welcome to the ADKDC (ADKDC.LAB.DOCEXAMPLE.COM) Windows 2000(tm) domain. Kerberos now enabled for NFS.


NFS setup complete.

NFS 設定が終了すると出力テキストに次のメッセージが表示されることがあります。この

出力はインストールプロセスの誤認であり、無視してかまいません:

CIFS is not licensed.

(Use the "license" command to license it.)

CIFS設定後のActive DirectoryベースKDCのセキュリティサービスの設定

すでに cifs setup が実行されており、CIFS で Active Directory を使用するよう Data ONTAP が設定されている場合、nfs setup では CIFS に指定した構成情報の一部を自動的に使用しま

す。

メモ：すでに nfs setup を使用して構成情報を入力している場合は、表示されるプロンプトは次の手

順とことなっているかもしれません。

手順


nfs setup

nfs setup により次のメッセージが表示されます。


2. y を入力して次に進みます。

KDC の種類を指定するように指示されます:

The filer supports these types of Kerberos Key Distribution Centers (KDCs):

1 - UNIX KDC

2 - Microsoft Active Directory KDC


3. 2 を入力します。

次のメッセージが表示されます:

Kerberos now enabled for NFS.

NFS setup complete.

この操作により、Data ONTAP で Active Directory ベースの KDC Kerberos over NFS が設定されました。

UNIXベースKDCのセキュリティサービスの構成

UNIX ベース KDC のセキュリティサービスを有効にするには、プリンシパル（領域ユーザ ID）

を作成して、ストレージシステムの keytab（キーテーブルファイル）を生成し、UNIX ベー

ス KDC を使用するように Data ONTAP を設定します。


開始する前に行うべきこと

次の要件が満たされていることを確認します:

• ルートおよび 1 つ以上のルートではないクライアントのクライアントプリンシパルで、

NFS クライアントと UNIX ベースの KDC 設定されていること

• NFS アクセスがクライアントと既存のネットワークサーバで確認されていること。

NFS をセットアップして使用する前に、ストレージシステムに DNS を有効にする必要があ

ります。ホストのコンポーネントがまだ完全に限定されたドメイン名ではなく、 DNS が有効

になっていない場合、後でＤＮＳを有効にできるよう NFS サーバプリンシパル名をすべて変

更する必要があります。

メモ：所有権制約のため、CIFS クライアントをサポートする UNIX ベースの Kerberos 実装

はありません。Data ONTAP で UNIX ベースの KDC サービスを設定する場合は、CIFS クライアントを認証できないことに注意してください。しかし、 Data ONTAP 7.3.1 以降の

バージョンでは、 Kerberos マルチ領域機能が提供されています。このため、 NFS クライアントを認証するため UNIX ベース KDC を使用するために NFS を同時に構成する

間に、 CIFS 認証用の Microsoft Active Directory ベース KDC を使用するための CIFS を構成できます。

タスク概要

次の手順は、ストレージシステムを nfs/hostname.domain@REALM というサービスプリン

シパルとして標準 UNIX ベースの KDC に追加する例を使用して説明します。

次のトピック

プリンシパルの作成と keytab ファイルの生成 NFS 用 Kerberos v5 セキュリティサービスの有効化

プリンシパルの作成とkeytabファイルの生成

プリンシパルを作成し、keytab ファイルを生成するには、kadmin コマンドを使用します。ど

のバージョンであっても Kerberos が現在ストレージシステム上で有効になっている場合は、

まず nfs setup を実行してこれを無効にする必要があります。どの形式であっても Kerberos が有効になっている場合は、次のプロンプトが表示されます:

Disable Kerberos for NFS?

y または n のどちらを入力しても、NFS の設定作業が終了します。Kerberos を無効にする選

択をした場合、ストレージシステムは設定された現在の Kerberos 実装をまず無効にします。

UNIX ベースの Kerberos については、nfs.kerberos.file_keytab.enable オプションが off に設

定されます。

手順

1. UNIX ベース Kerberos v5 サービスをサポートする UNIX または Linux システムでは、 kadmin コマンドを入力するか、kadmin.local コマンドを入力します。( KDC にすでにログインしている場


合)。

2. kadmin または kadmn.local コマンドラインで次のコマンドを入力します。

ank -randkey nfs/hostname.domain

hostname は、NFS サーバプリンシパルのホスト名です。 domain は、 NFS サーバプリンシパ

ルのドメインです。

NFS サーバにプリンシパルが作成されます。例えば

nfs/ [email protected]_COMPANY.COM の場合、領域は

@LAB.MY_COMPANY.COM です。

KDC ソフトウェアが、Data ONTAP ではサポートされないデフォルト暗号化タイプ

（des3*または aes128*暗号化タイプなど）を使用してプリンシパルを作成している場合

は、-e をパラメータ指定して ank コマンドを呼び出し、des-cbc-md5:normal などの Data ONTAP でサポートされる暗号化タイプを指定する必要があります。次に、des-cbc-md5 暗号化タイプを使用し、プリンシパルを作成するコマンドの例を示します:

kadmin: ank -e des-cbc-md5:normal -randkey nfs/server.lab.my_company.com

詳細は KDC ソフトウェアドキュメンテーションを参照してください。

3. kadmin または kadmn.local コマンドラインで、次のコマンドを入力します。

xst -k/tmp/filer.UNIX_krb5.conf nfs/hostname.domain

hostname は、サーバプリンシパルのホスト名、domain は、手順 2 で作成したサーバメインのドメインです。たとえば、

kadmin: xst -k/tmp/filer.UNIX_krb5.conf nfs/server.lab.my_company.com のように

入力します。

サーバのプリンシパルの nfs/[email protected]_COMPANY.COM.にkeytab が作成され、KVNO 3 暗号化タイプ DES-CBC-CRC が keytab の

WRFILE:/tmp/filer.UNIX_krb5.conf.に追加されます。

KDC ソフトウェアが、Data ONTAP ではサポートされないデフォルト暗号化タイプ

（des3* または aes128*暗号化タイプなど）を使用して keytab を作成している場合は、-e をパラメータ指定して xst コマンドを呼び出し、des-cbc-md5:normal などの Data ONTAP でサポートされる暗号化タイプを指定する必要があります。

次に、des-cbc-md5 暗号化タイプを使用し、keytab を作成するコマンドの例を示します。

xst -k /tmp/filer.keytab -e des-cbc-md5:normal nfs/ filer.lab.mycompany.com

詳細は KDC ソフトウェアドキュメンテーションを参照してください。

4. NFS サーバで次のコマンドを入力します。

cp /tmp/filer.UNIX_krb5.keytab /net/filer/vol/vol0/etc/ krb5.UNIX_krb5.keytab

keytab がストレージシステムにコピーされます。

注意: keytab がストレージシステムにコピーされた後に、ボリュームから/etc サブデ

mailto:[email protected]_COMPANY.COM.にkeytab�

mailto:[email protected]_COMPANY.COM.にkeytab�


ィレクトリをエクスポートしないでください。 /etc サブディレクトリをエクスポート

すると、クライアントがキー情報を読み取ることができるのでストレージシステム

になりすます可能性があります。

5. krb5.conf ファイルをストレージシステムにコピーするには、次のいずれかの手順を実行します。

MIT KDC ソフトウェアを実行しているUNIX クライアントでは、次のコマンドを入力します。

cp /etc/krb5.conf /net/filer/vol/vol0/etc/krb5.conf

SEAM を実行している Solaris クライアントでは、次のコマンドを入力します:

cp /etc/krb5/krb5.conf /net/filer/vol/vol0/etc/krb5.conf

NFS用Kerberos v5セキュリティサービスの有効化

NFS 用 Kerberos v5 セキュリティサービスを有効にするには、 nfs setup コマンドを使用し

ます。nfs setup コマンドは、サーバプリンシパルと keytab ファイルを作成する前に、 UNIX ベースの KDC を設定することができます。しかし、サーバプリンシパルと Keytab フ

ァイルを作成しないと Kerberos を使用することはできません。

手順


nfs setup

nfs setup から次のメッセージが表示されます。


2. y キーを入力して次に進みます。

KDC の種類を指定するように指示されます。

The filer supports these types of Kerberos Key Distribution Centers (KDCs):

1. - UNIX KDC

2. - Microsoft Active Directory KDC


3. 1 と入力します。

サーバプリンシパルと keytab ファイルをまだ設定していない場合、次の警告のどちらか

または両方が表示されますが、設定プロセスは継続します。

新規インストール後に nfs setup を実行する場合、次の警告メッセージが表示されます。

There is no /etc/krb5.conf file yet. You will need to establish one.

Unix KDC uses the keytab file /etc/UNIX_krb5.keytab. There is no /etc/

UNIX_krb5.keytab file yet. You will need to establish one.


cifs setup の実行後に nfs setup を実行すると(及び、アクティブディレクトリタイプ KDC を使用するために CIFS を構成後) 、次の警告メッセージが表示されます。

There is no /etc/krb5.conf file yet. You will need to establish one.

You have an existing keytab file /etc/krb5.keytab. Your new keytab file

for Unix KDC would be /etc/UNIX_krb5.keytab.

NOTE: If CIFS Active Directory based authentication has been configured

on this filer at any point in the past, the /etc/krb5.keytab might

belong to CIFS. Do you want to rename your existing keytab file /etc/

krb5.keytab to the new keytab file /etc/UNIX_krb5.keytab.

(Yes/No)? n

Unix KDC uses the keytab file /etc/UNIX_krb5.keytab. There is no /etc/

UNIX_krb5.keytab file yet. You will need to establish one.

Data ONTAP 7.3.1 より前のバージョンから Data ONTAP をアップグレードした後初めて nfs setup を実行する場合、次の警告メッセージが表示されます。

Your new keytab file for Unix KDC would be /etc/UNIX_krb5.keytab.

NOTE: If CIFS Active Directory based authentication has been configured on this filer at any point in the past, the /etc/krb5.keytab might belong to CIFS. Do you want to rename your existing keytab file /etc/krb5.keytab to the new keytab file /etc/UNIX_krb5.keytab. (Yes/No)? y

/etc/krb5.keytab renamed to /etc/UNIX_krb5.keytab

最後の 2 つのプロンプトで n と答えると、 nfs setup は keytab ファイルの名前を変更せ

ずに進行します。

次に Kerberos 領域名を求められます。

Enter the Kerberos realm name.

4. UNIX タイプ KDC 用のレルム名を入力します。

領域名は NFS サーバの Kerberos プリンシパル名の領域に関連する部分(NFS サーバプリ

ンシパルに指定された名前)。たとえば、 MY_COMPANY.COM などを入力します。入力

した領域名は nfs.kerberos.realm オプション値を変更することにより、後で確認または変

更することができます:

options nfs.kerberos.realm realm_name

例

options nfs.kerberos.realm LAB.MY_COMPANY.COM

メモ：Data ONTAP は、UNIX ベースの KDC の小文字の領域名をサポートしますが、

Active Directory KDC の小文字領域名はサポートしません。

ホストインスタンスの入力をプロンプトされます。

Enter the host instance of the NFS server principal name [default:

server.lab.my_company.com]:


5. ホストインスタンスを入力します。

例

server.lab.my_company.com

DNS が有効である場合、これを使用してホストの完全に限定されたドメイン名を入力し

たことを確認します。部分名を入力した場合、ホストが DNS に入力されていれば、欠落

したドメイン情報がエントリに追加されます。

入力したホストインスタンスは nfs.kerberos.principal オプションで確認できます。

options nfs.kerberos.principal

nfs setup コマンドはホストインスタンスと領域名のエントリを使用してＫerberos プリン

シパルを識別します。このプリンシパルは、次に示すように nfs setup エントリから派生

したものです。

nfs/value from nfs.kerberos.principal@value from nfs.kerberos.realm

ホストインスタンスを入力し、 nfs setup を終了すると、生成したキーテーブルファイル

を使用するようにストレージシステムが設定されます。nfs setup を再び実行することに

より、後で設定を変更することができます。

Kerberos v5セキュリティサービスをサポートするNFSクライアント

クライアントで Kerberos v5 セキュリティサービスを使用する前に、クライアントが

RFC1964 および RFC2203 をサポートしているか確認する必要があります。

Kerberos v5 セキュリティをサポートするクライアントのリストには、一般に普及したクライ

アントのうち、ネットワークアプライアンスの開発ラボまたは Connectathon（www.connectathon.org）などの相互運用性テストイベントのどちらかがテストしたクライ

アントだけを記載しています。

たとえば、次のクライアントが Kerberos v5 をサポートしています。

• AIX 5L Expansion Pack および Web Download Pack による NFSv2、 NFSv3、 NFSv4 を実行している AIX 5.3。 IBM から入手できます。

• NFSv2、 NFSv3、または、 NFSv4 を実行する Linux 2.6

• Sun Enterprise Authentication Mechanism (SEAM) 1.0 による NFSv2 または NFSv3を実

行する Solaris 2.6。Sun Microsystems の Solaris Easy Access Server (SEAS) 3.0 製品バ

ンドルされています。

• SEAM 1.0 による NFSv2 または NFSv3 を実行する Solaris 7。Sun Microsystems の SEAS 3.0 製品バンドル

• SEAM 1.0.1 による NFSv2 または NFSv3 を実行する Solaris 8。Sun Microsystems の Solaris 8 Admin Pack または Solaris 8 Encryption Pack で利用できます。

• NFSv2 または NFSv3 を実行する Solaris 9


• NFSv2、 NFSv3、または、 NFSv4 を実行する Solaris 10

• Hummingbird NFS Maestro バージョン 7 または NFS Maestro Solo バージョン 7 による

NFSv2 または NFSv3 を実行する Windows クライアント

• Hummingbird NFS Maestro Client バージョン 8 または NFS Maestro Solo バージョン 8 による NFSv2、 NFSv3、または、 NFSv4 を実行する Windows クライアント

マウント問題のデバッグ

マウントの問題をデバッグするには、マウントサービス統計を表示し、 mountd 要求をトレ

ースします。

次のトピック

マウントサービス統計の表示マウント要求のトレース

マウントサービス統計の表示

マウントサービス統計を表示するには、 nfsstat -d コマンドを入力します。

手順


nfsstat -d

結果

Data ONTAP は次のマウントサービス統計を表示します。

v2 mount (requested, granted, denied, resolving)

v2 unmount (requested, granted, denied)

v2 unmount all (requested, granted, denied)

v3 mount (requested, granted, denied, resolving)

v3 unmount (requested, granted, denied)

v3 unmount all (requested, granted, denied)

mount service requests (curr, total, max, redriven)

その詳細については、 na_nfsstat(1) マニュアルページを参照してください。

マウント要求のトレース

Mountd 要求をトレースするには、 /etc/syslog.conf ファイルに *.debug エントリを追加して、 nfs.mountd.trace オプションを on にセットします。

タスク概要


ＤＯＳ攻撃中は syslog が何回もヒットされるため、このオプションはデバッグセッション時

のみ有効にしてください。

デフォルトでは、 nfs.mountd.trace オプションは off になっています。

手順

1. /etc/syslog.conf ファイルを編集して、 *.debug エントリを追加します。

syslog.conf ファイルにエントリを追加するについて詳細は、 na_syslog.conf(5) マニュアルペー

ジを参照してください。

2. nfs.mountd.trace オプションを有効化するには、次のコマンドを入力します。 options nfs.mountd.trace on

mountd.trace オプションの詳細については、 na_options(1) マニュアルページを参照してくださ

い。

NFS 統計の表示

すべての NFS バージョンについて NFS 統計を表示するには、 nfsstat コマンドを使用します。

タスク概要

nfsstat コマンドを使用すると、すべてのクライアントの NFS 統計を表示できます。

nfs.per_client_stats.enable オプションが on の場合に、 nfsstat -h または nfsstat -l を使用する

と、クライアント単位で NFS 統計を表示できます。

NFS 統計を表示するだけでなく、 nfsstat コマンドを使用して NFS 統計をリセットすること

もできます。

その詳細については、 na_nfsstat(1) マニュアルページおよび次のトピックを参照してくださ

い。

関連参照事項

マウントサービス統計の表示マウント NFSv4 のオープン委譲の管理

手順

1. NFS の統計を表示するには、次のコマンドを入力します。

nfsstat

NFSv3 の有効化と無効化

NFSv3 は有効または無効化するには、nfsv3.enable オプションをそれぞれ on または off に設

定します。(このオプションは、デフォルトでは onになっています。)


手順

1. 次のアクションのうち 1 つを行います。

目的操作

NFSv3 を有効化にする場合次のコマンドを入力します。 options nfs.v3.enable on

NFSv3 を無効化にする場合次のコマンドを入力します。 options nfs.v3.enable off

NFSv3 および NFSv4 における FSID （File System ID）処理の相違点

NFSv3 および NFSv4 でのアクティブなファイルシステムの場合と同じように、Data ONTAP を構成して .snapshot サブディレクトリおよびファイルの同じまたは異なる FSID を返すことができます。

エクスポートパスをマウントして .snapshot ディレクトリおよびサブディレクトリのディレ

クトリリストを取得する場合、返されたファイルおよびディレクトリの属性には FSID が含

まれます。.snapshot サブディレクトリの FSID はアクティブなファイルシステムの FSID と同じです。.snapshot サブディレクトリの FSID は、次の 2 つのオプションによって異なりま

す。

操作結果

nfs.v3.snapshot.active.fsid.enable オプションを有効化する

NFSv3 では、.snapshot 内のディレクトリおよびファイルに

返された FSID はアクティブなファイルシステムの FSID と同じである必要があります。

nfs.v3.snapshot.active.fsid.enable オプションを無効化する


返された FSID はアクティブなファイルシステムの FSID と異なる必要があります。

nfs.v4.snapshot.active.fsid.enable オプションを有効化する


返された FSID はアクティブなファイルシステムの FSID と同じである必要があります。

nfs.v4.snapshot.active.fsid.enable オプションを無効化する


返された FSID はアクティブなファイルシステムの FSID と異なる必要があります。

NFSv4 クライアントのサポート

NFSv4 クライアントをサポートされている場合は、NFSv4 プロトコルを有効または無効にし

たり、NFSv4 ユーザー ID ドメインを指定したり、NFSv4 ACL およびファイル委譲を管理し

たり、ファイルおよびレコードロックを設定したりできます。

次のトピック


NFSv4 の Data ONTAP サポートについて NFSv4 の Data ONTAP サポートの制限 NFSv4 における pseudo-fs のマウントポイントへの影響 NFSv4 の有効化と無効化 NFSv4 のユーザーID ドメインの指定 NFSv4 ACL の管理 NFSv4 のオープン委譲の管理 NFSv4 のファイルおよびレコードロックの構成ネームサーバデータベースキャッシュのフラッシュ

NFSv4のData ONTAPサポートについて

Data ONTAP は、SPKM3 および LIPKEY セキュリティ機能を除く、NFSv4 の必須機能をすべてサ

ポートしています。

NFSv4 の必須機能は、次のとおりです。

COMPOUND クライアントは 1 回の Remote Procedure Call (RPC) で複数のファイル操

作を要求できます。

オープン委任サーバはある種類のクライアントにファイル制御を委任して読み取り/書き込み

を行うことができます。

Pseudo-fs NFSv4サーバでストレージシステムのマウントポイントを決めます。NFSv4 には、マウントプロトコルがありません。

ロックリースベース。NFSv4 には、個別の Network Lock Manager(NLM)または Network Status Monitor(NSM)プロトコルはありません。

名前付き属性 Windows NT ストリームと類似。

NFSv4 プロトコルの詳細については、Web で「RFC 3050」を検索してください。RFC 3050 は、NFSv4 プロトコルを定義する、タイトルが「Network File System (NFS) version 4 Protocol」の「IETF（インターネット技術標準化委員会）Request for Comments」の規定で

す。

NFSv4のData ONTAPサポートの制限

NFSv4 の Data ONTAP サポートには、いくつの制限があることに注意してください。

• SPKM3 および LIPKEY セキュリティ機能はサポートされていません。

• 委譲機能はすべてのクライアントタイプによってサポートされているわけではない。

• LANG設定がUTF8 以外のボリュームでは、ASCII以外の文字を使用した名前は、ストレージシステム

で拒否されます。


• すべてのファイルハンドルは永続的です。サーバでは揮発性のファイルハンドルを配布しません。

• 移行(Migration)および複製(Replication）はサポートされません。

• 次の属性を除く、すべての推奨属性がサポートされています。

• archive

• hidden

• homogeneous

• mimetype

• quota_avail_hard

• quota_avail_soft

• quota_used

• system

• time_backup

メモ： Data ONTAP は quota* 属性をサポートしませんが、RQUOTA 側のサイドバンドプロ

トコルを通じてユーザーおよびグループクォータをサポートします。

• NFSv4 では、User Datagram Protocol (UDP）転送プロトコルを使用しません。

NFSv4 を有効にしていても、options nfs.tcp.enable を off に設定して NFS over TCP を無効

にすると、NFSv4 は実質的に無効になります。

NFSv4におけるpseudo-fsのマウントポイントへの影響

NFSv4 は、マウントポイントを決定するときのストレージシステムへのエントリポイントと

し pseudo-fs（ファイルシステム）を使用します。pseudo-fs を使用すると、複数ではなく１

つのポートセキュリティ用に使用できます。すべての NFSv4 サーバでは pseudo-fs の使用を

サポートします。

NFSv4 で pseudo-fs を使用したことで、NFSv3 および NFSv4 間のマウントポイントで矛盾

する場合があります。

次の例では、以下のようなボリュームを使用します。

• /vol/vol0 (root)

• /vol/vol1

• /vol/home

例 1：

NFSv3 で、/vol/vol0 の絶対パスを使用せずに filer:/ をマウントする場合、マウントポイント

は filer:/vol/vol0 になります。つまり、NFSv3 ではパスが /vol で始まらない場合、Data ONTAP はパスの先頭に /vol/vol0 を補完します。

NFSv4 で、/vol/vol0 の絶対パスを使用せずに filer:/ をマウントする場合は、/vol/vol0 ではなく


pseudo-fs のルートをマウントします。Data ONTAP は、パスの先頭に /vol/vol0 を補完しま

せん。

したがって、NFSv3 を使用して filer:/を /n/filer にマウントしている場合、NFSv4 を使用して

同じマウントを実行すると、別のファイルシステムがマウントされます。

例 2

Data ONTAP での NFSv4 pseudo-fs の実装では、ノードに続く / および /vol は常に必要で、

pseudo-fs に対する参照の共通のプレフィックスを形成します。/vol 以外で始まる参照は無効

です。

この例には、/vol/vol0/home ディレクトリがあります。NFSv3 で filer:/home を/users をマウ

ントすると、/home はディレクトリ /vol/vol0/home であると判断されます。NFSv4 で filer:/ home を/users にマウントすると、/home はボリューム /vol/home ではなく、pseudo-fs ツリ

ーの不正なパスであると解釈されます。

NFSv4の有効化と無効化

NFSv4 を有効化または無効化するには、nfs.v4.enable オプションをそれぞれ on または off に設定します。(デフォルトでは、このオプションは off になっています。)

手順

1. 次のいずれかの操作を実行します。

目的操作

NFSv4 の有効化次のコマンドを入力します。 options nfs.v4.enable on

NFSv4 の無効化次のコマンドを入力します。 options nfs.v4.enable off

NFSv4のユーザーIDドメインの指定

ユーザー ID ドメインを指定するには、nfs.v4.id_domain オプションを設定します。

タスク概要

NFSv4 ユーザー ID のマッピングにデフォルトで使用されているドメインは、 NIS ドメイン

が設定されている場合は、NIS ドメインになります。NIS ドメインが設定されていない場合は、

DNS ドメインが使用されます。たとえば、複数のユーザー ID ドメインがあると、ユーザー ID ドメインの設定が必要になる場合があります。

手順


options nfs.v4.id_domain domain


NFSv4 ACLの管理

NFSv4 Access Control List (ACL）を有効化、無効化、設定、変更、および表示できます。

次のトピック

NFSv4 ACL の仕組み NFSv4 ACL を有効化する利点 NFSv4 ACL と Windows (NTFS) ACL の互換性 Data ONTAP でのファイルの削除可否を判断するために NFSv4 ACL を使用する方法 NFSv4 ACL の有効化と無効化 NFSv4 ACL の設定と変更 NFSv4 ACL の表示

NFSv4 ACLの仕組み

NFSv4 ACL を使用するクライアントは、システム上のファイルとディレクトリに ACL を設

定したり、それらの ACL を表示したりすることができます。ACL を持つディレクトリ内にフ

ァイルやサブディレクトリを新規に作成すると、新規オブジェクトには対応する ACL の値が

継承されます。

アクセスチェックでは、CIFS ユーザは UNIX ユーザにマッピングされます。マッピングされ

た UNIX ユーザとそのユーザグループのメンバーシップは ACL に対してチェックされます。

ファイルまたはディレクトリに ACL がある場合、その ACL はファイルまたはディレクトリ

のアクセスに使用されているプロトコル（NFSv2、NFSv3、NFSv4、または CIFS）に関わら

ずアクセスの制御に使用され、NFSv4 がシステム上で有効でなくなった場合でも使用されま

す。

ファイルやディレクトリは親ディレクトリから NFSv4 ACL を継承します（適切に変更さる可

能性があります）。

ファイルやディレクトリが NFSv4 要求の結果として作成された場合、結果のファイルやディ

レクトリの ACL は、ファイル作成要求に ACL を含むか、標準の UNIX ファイルアクセス権

限のみを含むか、あるいは、親ディレクトリに ACL があるかどうかによって異なります。

• 要求に ACL が含まれている場合、その ACL が使用されます。

• 要求に標準 UNIX ファイルアクセス権限のみが含まれ、親ディレクトリに ACL がある場

合は、親ディレクトリの ACL が新しいファイルやディレクトリに継承されます（変更を

伴う可能性あり）。

メモ: 親の ACL は、nfs.v4.acl.enable が off の場合でも継承されます。

• 要求に標準の UNIX ファイルアクセス権限のみが含まれ、親ディレクトリに ACL がない

場合は、クライアントのファイルモードが標準の UNIX ファイルアクセス権限の設定に

使用されます。


• 要求に標準 UNIX ファイルアクセス権限のみが含まれ、親ディレクトリに継承可能でない

ACL がある場合は、要求に渡されたモードビットに基づいてデフォルトの ACL が新規オ

ブジェクトに設定されます。

qtree のセキュリティセマンティクスは、そのセキュリティ形式と ACL（NFSv4 または

NTFS）で定義されます。

UNIX セキュリティスタイルの qtree の場合：

• NFSv4 ACL とモードビットが有効です。

• NTFS ACL が有効ではありません。

• Windows クライアントは属性を設定できません。

• NTFS セキュリティ形式の qtree

• NFSv4 ACL が有効ではありません。

• NTFS ACL とモードビットが有効です。

• UNIX クライアントは属性を設定できません。

mixes セキュリティ形式の qtree

• NFSv4 ACL およびモードビットが有効です。

• NTFS ACL が有効です。

• Windows クライアントと UNIX クライアントの両方に属性を設定できます。

メモ: qtree 内のファイルおよびディレクトリは、NFSv4 ACL または NTFS ACL のいずれ

かを持つことができますが、両方を持つことはできません。Data ONTAP は必要に応じ

てどちらかの形式を別のものに再マッピングします。

NFSv4 ACLを有効化する利点

NFSv4 ACL を有効化すると、多くの利点があります。

以下に、その利点を示します。

• ファイルやディレクトリへのユーザアクセスのより詳細な制御

• NFS セキュリティの向上

• CIFS との相互接続性の向上

• ユーザごとに NFS グループ 16 個の制限の解除

NFSv4 ACLとWindows (NTFS) ACLの互換性

NFSv4 ACL は Windows のファイルレベル ACL（NTFS ACL）と異なりますが、Data ONTAP では、Windows プラットフォームを表示するために NFSv4 ACL を Windows ACL にマッピングできます。


NFS クライアント側に表示される、Windows ACL を持つファイル権限「表示」権限です。ま

た、ファイルアクセスの確認に使用される権限は Windows ACL の権限です。

メモ: Data ONTAP は POSIX ACL をサポートしていません。

Data ONTAP でのファイルの削除可否を判断するために NFSv4 ACL を使用する方法

NFS 4.1 RFC に説明されているとおり、Data ONTAP でファイルの削除可否を判断するため

には、ファイルの DELETE ビットおよび所属するディレクトリの DELETE_CHILD ビットの

組み合わせを使用します。詳細については、NFS 4.1 RFC を参照してください。

NFSv4 ACLの有効化と無効化

NFSv4 ACL を有効化または無効化するためには、nfs.v4.acl.enable オプションを on または off に設定します。このオプションは、デフォルトで off に設定されています。

nfs.v4.acl.enable オプションは、NFSv4 ACL の設定および表示を制御しますが、アクセスチェックの際は、

NFSv4 ACL の適用に対する制御は行いません。詳細については、na_options(1) マニュアルページを参照して

ください。

手順


目的操作 NFSv4 ACL の有効にす

る場合次のコマンドを入力します。 options nfs.v4.acl.enable on

NFSv4 ACL の無効にす

る場合次のコマンドを入力します。 options nfs.v4.acl.enable off

NFSv4 ACLの設定と変更

NFSv4 ACL を設定または変更するためには、setacl コマンドを使用します。

NFSv4 ACL を設定および変更するには、NFSv4 が有効で、NFSv4 ACL が有効である必要が

あります。ACL は一度有効になると、NFSv4 を使用するクライアントから設定または変更で

きます。

手順


Setfacl -m user:nfsuser:rwx a

NFSv4 ACLの表示

NFSv4 ACL を表示するには、getfacl コマンドを使用します。

手順


getfacl filename


ファイル foo の NFSv4 ACL の表示

ss> getfacl foo # file: foo # owner: nfs4user # group: engr # group: engr user::rwuser: nfs4user:rwx #effective:rwx group::r-- #effective:r-- mask:rwx other:r--

同じファイルに ls -l コマンドを実行すると、次のように出力されます。 -rw-r--r--+ 1 nfs4user 0 May 27 17:43 foo この出力の「+」は、ACL がファイルに設定されたことを Solaris クライアントが認識したことを示します。

NFSv4のオープン委譲の管理

NFSv4 オープン委任を有効または無効にしたり、NFSv4 オープン委譲統計情報を取得してりすることが

できます。

次のトピック

NFSv4 オープン委譲の仕組み NFSv4 の読み取りオープン委譲の有効化と無効化 NFSv4 の書き込みオープン委譲の有効化と無効化 NFSv4 オープン委譲統計の表示

NFSv4オープン委譲の仕組み

Data ONTAP は RFC 3530 に従って、読み取りオープン委譲と書き込みオープン委譲をサポ

ートします。

RFC 3530 で指定されているとおり、NFSv4 クライアントがファイルを開くと、Data ONTAP はオープン要求や書き込み要求の処理を、開いているクライアントに委譲することが

できます。オープン委譲には、読み取り委譲と書き込み委譲の 2 種類があります。読み取り

オープン委譲の場合、クライアントは、他のファイルへの読み取りアクセスを禁止しない、読

み取りのためのファイルオープン要求を処理できます。書き込み委譲の場合、クライアント

はすべてのオープン要求を処理できます。

oplock が有効であるかどうかに関係なく、委譲は任意の形式の qtree 内のファイルで動作しま

す。

ファイル操作のクライアントへの委譲は、リースが期限切れになったとき、またはストレージシステムが他のクライアントから次の要求を受け取ったときにリコールすることができます。

• ファイルへの書き込み、書き込みのためのファイルオープン、または「読み取り拒否」の

ためのファイルオープン

• ファイル属性の変更


• ファイルの名前変更

• ファイルの削除

リースが期限切れになると、委譲状態は取り消され、関連するすべての状態は「soft」とマー

クされます。つまり、以前に委譲状態であったクライアントがリースを更新する前に、ストレ

ージシステムが同じファイルに対して他のクライアントから競合するロック要求を受け取っ

た場合、この競合するロックは認められます。競合するロックがなく、委譲状態のクライアン

トによってリース期限が更新される場合、soft ロックは hard ロックに変更され、アクセスが

競合しても削除されることはありません。

ただし、リース期限が更新されても委譲は再び認められません。サーバがリブートされると、

委任状態は失われます。クライアントは、委譲要求プロセスをすべて再実行しなくても、再接

続時に委譲状態を再要求することができます。読み取り委譲を保持しているクライアントがリ

ブートされたときには、すべての委譲状態情報は再接続時にストレージシステムのキャッシ

ュからフラッシュされます。クライアントは委譲要求を発行して新しい委任を確立する必要が

あります。

NFSv4の読み取りオープン委譲の有効化と無効化

NFSv4 読み取りオープン委譲を有効または無効にするには、nfs.v4.read_delegation オプショ

ンをそれぞれ on または off に設定します。デフォルトでは、このオプションは off になってい

ます。

読み取りオープン委譲を有効にすると、ファイルのオープンとクローズに関連するメッセージ

のオーバーヘッドを大幅に軽減できます。読み取りオープン委譲を有効にした場合の欠点は、

サーバのリブートまたはリスタート後、クライアントのリブートまたはリスタート後、あるい

はネットワークを分割したあとに、サーバおよびそのクライアントが委譲をリカバリする必要

があることです。

手順

1. 次のいずれかの操作を実行してください。

目的操作読み取りオープン委譲の有効に

する場合次のコマンドを入力します。 options nfs.v4.read_delegation on

読み取りオープン委譲の無効に

する場合次のコマンドを入力します。 options nfs.v4.read_delegation off

オープン委任のオプションは、変更後すぐに有効になります。NFS を再起動する必要はあり

ません。

NFSv4の書き込みオープン委譲の有効化と無効化

書き込みオープン委譲を有効または無効にするには、nfs.v4.write_delegation オプションをそ


れぞれ on または off に設定します。デフォルトでは、このオプションは off になっています。書き込みオープン委譲を有効にすると、ファイルのオープンとクローズだけでなく、ファイル

およびレコードのロックに関連するメッセージのオーバーヘッドを大幅に軽減できます。

書き込みオープン委譲を有効にした場合の欠点は、サーバのリブートまたはリスタート後、ク

ライアントのリブートまたはリスタート後、あるいはネットワークを分割したあとに、サーバ

およびそのクライアントが委譲をリカバリするための追加タスクを実行する必要があることで

す。

手順


目的操作書き込みオープン委譲の有効に

する場合次のコマンドを入力します。 options nfs.v4.write_delegation on

書き込みオープン委譲の無効に

する場合次のコマンドを入力します。 options nfs.v4.write_delegation off

変更が行われるとすぐにオープン委譲オプションが反映されます。リブートや NFS の再起動

は必要ありません。

NFSv4オープン委譲統計の表示

NFSv4 オープン委任要求に関する情報を表示するめには、nfsstat コマンドを使用します。

nfsstat コマンドによって返される結果には、許可されたオープン委譲要求だけでなく、エラーが原因で拒否

された要求も含まれます。

ストレージシステムで拒否されたオープン委譲要求の情報については、システムログファイルを参照してく

ださい。

次のトピック

すべてのクライアントの NFSv4 オープン委譲統計の表示特定のクライアントの NFSv4 オープン委譲統計の表示 vFiler ユニットの NFSv4 オープン委譲統計の表示ストレージシステムの NFSv4 オープン委譲統計の表示

すべてのクライアントのNFSv4オープン委譲統計の表示

すべてのクライアントの NFSv4 オープン委譲情報を表示するためには、nfsstat -l コマンドを

入力します。

手順すべてのクライアントのNFSv4 オープン委譲統計の表示


nfsstat -l count


ストレージシステムにより、クライアントごとに個々の NFSv4 オープン委譲統計情報が

返されます。クライアントの数を指定しない場合、ストレージシステムは、各クライアン

トによって実行された NFS 操作の合計を最初の 256 のクライアントの統計を返します。

特定のクライアントのNFSv4オープン委譲統計の表示

特定のクライアントの NFSv4 オープン委譲情報を表示するには、nfsstat -h コマンドを使用し

ます。

手順


nfsstat -h hostname or ip_address

ストレージシステムにより、特定のクライアントの個々の NFSv4 オープン委譲統計が返され

ます。

vFilerユニットのNFSv4 オープン委譲統計の表示

vFiler ユニットの NFSv4 オープン委譲情報を表示するには、vFiler ユニットのコンテキスト

で nfsstat -d コマンドを実行します。

手順


Vfiler run filername nfsstat -d

ストレージシステムのNFSv4オープン委譲統計の表示

ストレージシステムの NFSv4 オープン委譲情報を表示するには、nfsstat -d コマンドを入力し

ます。

手順


nfsstat -d

ストレージシステムにより、現在の NFSv4 オープン委譲とリコールされたものを含めて、

自身で処理した NFSv4 オープン委譲の総数が返されます。ストレージシステムで処理さ

れた現在の NFSv4 オープン委譲のみを表示するには、lock status コマンドを使用します。

NFSv4のファイルおよびレコードロックの構成

NFSv4 のファイルおよびレコードロックを設定するには、ロックリース期間および猶予

期間を指定します。


次のトピック

NFSv4 のファイルおよびレコードロックについて NFSv4 ロックリース期間の指定 NFSv4 ロックの猶予期間の指定

NFSv4のファイルおよびレコードロックについて

NFSv4 クライアントの場合、Data ONTAP は NFSv4 のバイト範囲ファイルロックメカニ

ズムをサポートしているため、すべてのファイルのロック状態がリースベースモデルで保持

されます。

Data ONTAP は RFC 3530 に従って、NFS クライアントで保持されているすべての状態のリ

ース期間を 1 つ定義します。この定義された期間内にクライアントがリースを更新しない場

合は、クライアントのリースに関連付けられたすべての状態がサーバによって解放される可能

性があります。クライアントはファイル読み取りなどの操作を実行して、リースを明示的また

は暗黙的に更新できます。

Data ONTAP は猶予期間も定義します。猶予期間とは、クライアントから、サーバリカバリ

中に自身がロック状態になるように再要求される特殊な処理期間のことです。

用語定義（RFC 3530 を参照）

リース Data ONTAP がクライアントを解除不能なロック状態に設定する期間

猶予期間クライアントが、サーバのリカバリ中に自身がロック状態になるように、Data ONTAPに再要求する期間

ロック他に特に記載がない限り、レコード（バイト範囲）ロックとファイル（共有）ロックの

両方を表します。

Data ONTAP では、非アクティブ/アクティブ構成の場合は最大 64 K のファイルロック状態が

保持され、アクティブ/アクティブ構成の場合は最大 32 K のファイルロック状態が保持されま

す。1 つのクライアントでは、これらの状態のうち最大 16 K のファイルロック状態が保持さ

れます。

メモ: リカバリ中は、リース期間と猶予期間を合計した期間が満了するまで待機しないと、

Data ONTAP は新しいロック要求を許可できません。

NFSv4ロックリース期間の指定

NFSv4 ロックリース期間（Data ONTAP により、クライアントが解除不能なロック状態に設

定される期間）を指定するには、nfs.v4.lease_seconds オプションを設定します。

デフォルトでは、このオプションは 30 に設定されています。このオプションの最小値は 10です。このオプションの最大値は、locking.lease_seconds オプションで設定できるロック猶

予期間となります。

RFC 3530 で指定されているように、「サーバリカバリが短時間で完了する場合は、短いリ

ース期間」が望ましく、「多数のクライアントを処理するインターネットサーバの場合は、

長いリース期間」が適しています。


手順


options nfs.v4.lease_seconds n

n はリース期間（秒単位）です。

NFSv4ロックの猶予期間の指定

NFSv4 ロック猶予期間（サーバのリカバリ中に、クライアントがロック状態になるように

Data ONTAP に再要求する期間）を指定するためには、 locking.grace_lease_seconds オプシ

ョンを設定します。このオプションにより、ロックリース期間と猶予期間の両方が指定され

ます。

デフォルトでは、このオプションは 45 に設定されています。

手順


Options locking.grace_lease_seconds n

n は猶予期間（秒単位）です。

ネームサーバデータベースキャッシュのフラッシュ

nfs nsdb flush コマンドを使用して、name server database (NSDB) キャッシュの特定のエ

ントリまたはすべてのエントリをクリアすることができます。

タスク概要

環境でストレージシステムへの認証に NFSv4 または RPCSEC_GSS（Kerberos 付き）を使

用している場合、ユーザー/グループ ID として文字列名が使用されます。これらの文字列名は、

UID/GID 形式の適切な UNIX 認証情報に変換する必要があります。変換では、外部のネームサーバ参照が使用されます。

パフォーマンスの最適化のために、NSDB ではネームサーバ参照操作の結果をキャッシュし

ます。ネームサービスでユーザーの認証情報を変更した場合、変更は直ちに有効化されない

ことがあります。これは、変更の前にユーザー情報が NSDB によってキャッシュされ、キャ

ッシュされたエントリの有効期間が切れていないため発生します。NSDB のキャッシュをフ

ラッシュすることで古い情報が削除されます。

手順

1. 次の操作のいずれかを実行します。

目的操作すべてのエントリをフラッシュする場合

次のコマンドを入力します。 nfs nsdb flush -a


PC-NFS クライアントのサポート

PC-NFS クライアントをサポートするには、pcnfsd デーモンを有効にし、ストレージシステ

ムのローカルファイルに PC-NFS ユーザエントリを作成し、PC-NFS ユーザがストレージシステムに作成したファイルおよびディレクトリの umask を定義します。

次のトピック

pcnfsd デーモンの仕組み pcnfsd デーモンの有効化と無効化ストレージシステムのローカルファイルでの PC-NFS ユーザーエントリの作成 umask と NFS ファイルパーミッションの連携方法 PC-NFS ユーザーが作成したファイルおよびディレクトリの umask の定義

pcnfsdデーモンの仕組み

Data ONTAP の pcnfsd デーモンは、PC-NFS バージョン 1 または 2 を使用してクライアント

に認証サービスを提供します。認証された PC-NFS ユーザは NFS ユーザと同様に、ストレー

ジシステムのファイルシステムパスをマウントできます。pcnfsd デーモンは、プリンターサービスをサポートしていません。

pcnfsd デーモンが認証要求を受信すると、ローカルファイルまたは NIS マップを使用して

ユーザのパスワードが確認されます。

使用するローカルファイルは/etc/shadow ファイルまたは/etc/passwd ファイルです。使用す

る NIS マップは、passwd.adjunct または passwd.byname です。

シャドウソースが使用できる場合には、これが使用されます。シャドウソースには、パスワ

ードデータベースの代わりに暗号化ユーザ情報が含まれます。

PC-NFS バージョン 1 およびバージョン 2 のユーザを認証するために、pcnfsd デーモンがロ

ーカルファイルまたは NIS マップを使用する方法を次に示します。

シャドウソースを使用できる場合、Data ONTAP では/etc/shadow ファイルまたは

passwd.adjunct NIS マップを使用してユーザのパスワードを照合します。

シャドウソースを使用できない場合は、Data ONTAP では/etc/passwd ファイルまたは

ユーザー名で指定したエントリをフラッシュする場合

次のコマンドを入力します。 nfs nsdb flush -U username1 [,username2,...]

ユーザー ID で指定したエントリをフラッシュする場合

次のコマンドを入力します。 nfs nsdb flush -u userID1[,userID2,...]

グループ名で指定したエントリをフラッシュする場合

次のコマンドを入力します。 nfs nsdb flush -G groupname1 [,groupnaem2,...]

グループ ID で指定したエントリをフラッシュする場合

次のコマンドを入力します。 nfs nsdb flush -g groupID1[,groupID2,...]


passwd.byname NIS マップを使用して、UID、プライマリ GID（グループ ID）、およびパス

ワードを照合します。

pcnfsd デーモンは PC-NFS バージョン 2 の認証要求を受信すると、/etc/group ファイルまた

は

group.byname NIS マップを検索してユーザが属するすべてのグループを調べます。

pcnfsdデーモンの有効化と無効化

pcnfsd デーモンを有効または無効にするには、pcnfsd.enable オプションをそれぞれ on また

は off に設定します。

作業を始める前に

pcnfsd デーモンを有効にする前に、ストレージシステムで NFS を有効にする必要がありま

す。

タスク概要

PC-NFS ユーザがストレージシステムのファイルシステムパスをマウントするときに、スト

レージシステムが PC-NFS ユーザを認証できるように、pcnfsd デーモンを有効にします。他

のコンピュータを使用してユーザを認証する場合は、pcnfsd デーモンを有効にする必要はあ

りません。他のコンピュータで認証されたユーザは、ストレージシステムで認証されたユー

ザと同様に、ストレージシステムのファイルシステムパスにアクセスできます。

手順


目的操作

pcnfsd デーモンを有効にする場合次のコマンドを入力します。 options pcnfsd.enable on

pcnfsd デーモンを無効にする場合次のコマンドを入力します。 options pcnfsd.enable off

ストレージシステムのローカルファイルでのPC-NFSユーザーエントリの作成

ストレージシステムのローカルファイルに PC-NFS ユーザエントリを作成するには、すべ

ての PC-NFS ユーザを適切に認証する UNIX ホストからストレージシステムに、/etc/passwd、/etc/shadow、および/etc/group ファイルをコピーします。

タスク概要

ローカルファイルを使用して PC-NFS ユーザを認証し、グループメンバーシップを判別する

場合は、ストレージシステムのローカルファイルに PC-NFS ユーザエントリを作成します。

手順

1. すべての PC-NFS ユーザーを適切に認証する UNIX ホストから、/etc/passwd、/etc/shadow、および


/etc/group ファイルをストレージシステムにコピーします。

umaskとNFSファイルパーミッションの連携方法

ファイルおよびディレクトリの umask を定義する前に、ファイルアクセス権の計算における umask の使用方法について理解しておく必要があります。

各ファイルのアクセス権は、3 個の 8 進数の値によって定義されます。これらの値は、所有者、グルー

プ、その他に適用されます。PC-NFS のクライアントが新しいファイルを作成する場合は、666 から

umask（ユーザが定義する 3 個の 8 進数の数字）が減算されます。

その結果の 8 進数は、ファイルのアクセス権として使用されます。

デフォルトでは、umask は 022 です。これは、アクセス権に関する有効な 8 進数の数字は

644 であることを意味しています。これらのアクセス権によってファイルの所有者はファイルの読み取

りと書き込みができ、グループおよびその他はファイルの読み取りができます。

次の表で、umask の各数字について説明します。

unmask の数字説明

0 読み取り/書き込み権限

2 書き込み権限

4 読み取り専用権限

6 アクセス権限なし

PC-NFSユーザーが作成したファイルおよびディレクトリのumaskの定義

通常の NFS ユーザとは異なり、PC-NFS ユーザは、UNIX の umask コマンドを実行して、デ

フォルトのファイルのアクセス権を決めるファイルモード生成マスク（umask）を設定でき

ません。ただし、Data ONTAP の機能を利用してすべての PC-NFS ユーザに umask を定義す

ることができます。

手順


options pcnfsd.umask umask

umask は 3 桁の 8 進数です。

WebNFS クライアントのサポート

WebNFS クライアントをサポートするには、WebNFS プロトコルを有効にして、WebNFS ル

ートディレクトリを任意で設定します。

タスク概要


WebNFS プロトコルを有効な場合、WebNFS クライアントのユーザーは nfs:// で始まる URL を指定して、ストレージシステムからファイルを転送することができます。

次のトピック

WebNFS プロトコルの有効化と無効化 WebNFS のルートディレクトリの設定

WebNFSプロトコルの有効化と無効化

WebNFS プロトコルを有効または無効にするためには、nfs.webnfs.enable オプションをそれ

ぞれ on または off に設定します。

手順


Web NFS プロトコルへの操作手順

有効にする場合次のコマンドを入力します。 options nfs.webnfs.enable on

無効にする場合次のコマンドを入力します。 options nfs.webnfs.enable off

WebNFSのルートディレクトリの設定

WebNFS のルートディレクトリを設定するためには、ルートディレクトリの名前を指定して

から、そのルートディレクトリを有効にします。

タスク概要

WebNFS 検索のルートディレクトリを設定する場合、WebNFS ユーザは絶対パス名でなく、

ルートディレクトリに対する相対パス名のみを指定できます。たとえば、WebNFS のルートディレクトリが/vol/vol1/web である場合は、URL として「nfs://specs」と指定することによ

り、WebNFS ユーザは/vol/vol1/web/specs ファイルにアクセスできます。

次のトピック

WebNFS のルートディレクトリの名前の指定 WebNFS のルートディレクトリの有効化

WebNFSのルートディレクトリの名前の指定

WebNFS のルートディレクトリの名前を指定するには、nfs.webnfs.rootdir オプションを設定

します。

手順


options nfs.webnfs.rootdir directory


directory には、ルートディレクトリへの完全パスを指定します。

WebNFSのルートディレクトリの有効化

WebNFS のルートディレクトリを有効にするには、nfs.webnfs.rootdir.set オプションを on に設定します。 WebNFS のルートディレクトリを有効にするには、まず名前を指定する必要

があります。

手順


options nfs.webnfs.rootdir.set on

CIFS によるファイルアクセス| 57

CIFS を使用したファイルアクセス

ストレージシステム上のファイルに CIFS クライアントがアクセスできるように、CIFS サー

バを有効化または設定することができます。

次の項目

MMC とストレージシステムの接続ストレージシステムでの CIFS の設定ストレージシステムでの SMB の設定共有の管理アクセス制御リスト (Access Control List) ホームディレクトリの管理ローカルユーザーとグループの管理グループポリシーオブジェクトの適用 oplock でのクライアントパフォーマンスの向上認証とネットワークサービスの管理 CIFS アクティビティの監視 CIFS サービスの管理アクセス制御問題のトラブルシューティング Fpolicy の使用

MMC とストレージシステムの接続

特定の CIFS 管理タスクは MMC によって実行できます。このタスクを実行する前に、MMC をストレージシステムに接続する必要があります。MMC メニューコマンドを使って、MMC をストレージシステムに接続することができます。

手順

1. MMC を Windows サーバ上に起動するには、Windows Explorerのマイコンピュータのアイコン

を右クリックし、Manage（管理）を選択します。

2. 左側のパネルの Computer Management（コンピュータの管理）を選択します。

3. Action（操作） > Connect to another computer（別のコンピュータへ接続）を選択します。

Select Computer（コンピュータの選択）ダイアログボックスが現れます。

4. ストレージシステムの名前を入力するか、[Browse（参照）] をクリックしてストレージのシステムを

検索します。

5. [OK] をクリックします。

ストレージシステムでの CIFS の設定

cifs setup コマンドを使用すると、ストレージシステムに CIFS を設定できます。ストレージ


システムの初期設定についての一般的な情報については、Data ONTAP Software Setup Guideを参照してください。

次の項目

サポート対象の Windows クライアントおよびドメインコントローラ cifs setup コマンドの機能システムの初期設定 WINS サーバの指定ストレージシステムドメインの変更プロトコルモードの変更 Windows ユーザーアカウント名の指定 CIFS 再設定時の検討事項ストレージシステム上の CIFS の再設定

サポート対象のWindowsクライアントおよびドメインコントローラ

Data ONTAP を実行するストレージシステムでは、特定の Windows クライアントとドメイン

コントローラの特定の組み合わせに対してサービスを提供できます。

サポート対象の Windows クライアント：

• Windows 7

• Windows サーバ 2008 R2

• Windows サーバ 2008

• Windows Vista


• Windows サーバ 2003

• Windows XP

• Windows 2000

• Windows NT

• Windows 98

• Windows 95

サポート対象のドメインコントローラ：


• Windows Server 2008

• Windows Server 2003 R2

• Windows Server 2003

• Windows 2000


• Windows NT

詳細については、NOW サイト（now.netapp.com/）にある Windows File Services (CIFS)の互

換性マトリクスを参照してください。

このマトリクスには、次の内容に関する情報が記載されています。

• Data ONTAP と Microsoft オペレーティングシステムの最新のリリースとの互換接続性

• Data ONTAP と Microsoft Service Packs の互換性マトリクス

• Data ONTAP と Microsoft のセキュリティアップデート

cifs setupコマンドの機能

CIFS の初期設定以外に、cifs setup コマンドは次の複数のタスクを実行します。

cifs setup コマンドで、次のタスクを実行することができます。

• CIFS クライアントからアクセスできる CIFS のサーバの作成および名前設定

• ドメインまたはワークグループへの CIFS サーバの参加、またはドメインやワークグルー

プ間での移動

• ローカル CIFS ユーザーおよびグループのデフォルトセットの作成

メモ：グループ検索サービスに NIS を使用する場合、NIS グループキャッシュを無効にす

ると、パフォーマンスが極度に悪化する場合があります。nis.enable オプションを使用して

NIS 検索を有効にする場合は、nis.group_update.enable オプションを使用してキャッシン

グも有効にすることを強く推奨します。

これらの 2 つのオプションを同時に有効にしないと、CIFS クライアントが認証を試行する

ときに、タイムアウトになることがあります。

NIS の設定の詳細については、Data ONTAP 7-Mode Network Management Guide を参照し

てください。

システムの初期設定

有効な CIFS のライセンスが存在する場合、ストレージシステムの初期セットアップ中に cifs setup コマンドが自動的に呼び出されます。cifs setup コマンドにより、認証の種類、使用す

る検索サービスなどの情報の入力が求められます。

cifs setup を実行する際に必要な情報など CIFS の初期設定における cifs setup コマンドの使

用の詳細については、Data ONTAP Software Setup Guide をご参照ください。

WINSサーバの指定

WINS サーバを指定するには無停止型の cifs.wins_servers オプションを使用するか、または

CIFS サービスの停止を要求する cifs setup コマンドを使います。


http://now.netapp.com/�


WINS サーバリストは追加式ではありません。3 番目の WINS サーバを追加する際は、必ず 3つの IP アドレスをすべてカンマ区切りのリストで入力してください。そうしないと、最初の

2 つの WINS サーバは追加するサーバで置き換えだれてしまいます。

手順

1. 次の動作のどれかを実行します。

目的操作

cifs.wins_servers オプションを使用して WINS サーバを指定する場合

次のコマンドを入力します。 options cifs.wins_servers servers server は、WINS サーバのカンマ区切りのリストです。

cifs.wins_servers オプションの更に詳しい情報は

options(1)のマニュアルページをご参照ください。

cifs setup コマンドを使用して WINS サーバを

指定する場合次のコマンドを入力します。 cifs setup IPv4 WINS サーバの入力を求められたら、4 つまで指

定します。 cifs setup コマンドの詳細については cifs(1) マニュア


ストレージシステムドメインの変更

ストレージシステムをすでに Windows ドメイン認証用に設定しており、ストレージシステム

を別のドメインに移動する場合は、cifs setup コマンドを実行する必要があります。

始める前に

この手順を実行するには、ドメインに任意の Windows サーバを追加する権限を持つ管理アカ

ウントが必要です。


ストレージシステムのドメインを変更すると、BUILTIN\Administrators グループのメンバーシ

ップが更新され、新しいドメインが有効になります。この変更によって、新しいドメインが古

いドメインから信頼されていないドメインであった場合でも、新しいドメインの管理者グルー

プがストレージシステムを管理できるようになります。

メモ： CIFS サーバを新しいドメインまたはワークグループに実際に追加するまでは、Ctrl+Cを押して、cifs restart コマンドを入力することにより、CIFS 設定プロセスをキャンセルし、

以前の設定に戻すことができます。

手順

1. CIFS が現在実行中の場合は、次のコマンドを入力します。

cifs terminate

2. cifs setup コマンドを実行します。


cifs setup

次のプロンプトが表示されます。

Do you want to delete the existing filer account information? [no]

3. 既存のアカウント情報を削除するには、次のコマンドを入力します。

yes

メモ： DNS サーバのエントリプロンプトを表示するためには、既存のアカウント情報

を削除する必要があります。

アカウント情報を削除すると、ストレージシステムの名前を変更することができます。

The default name of this filer will be 'filer1'.

Do you want to modify this name? [no]:

4. ストレージシステム名を維持する場合は、 [Enter]キーを押します。現在のストレージシス

テム名を変更する場合は、yes を入力して、新しいストレージシステム名を入力します。

Data ONTAP displays a list of authentication methods:

Data ONTAP CIFS services support four styles of user authentication. Choose the one from the list below that best suits your situation.

Active Directory domain authentication (Active Directory domains only)

Windows NT 4 domain authentication (Windows NT or Active Directory domains)

Windows Workgroup authentication using the filer's local user accounts

/etc/passwd and/or NIS/LDAP authentication

Selection (1-4)? [1]:

5. ドメイン認証のデフォルト方式（Active Directory）を受け入れる場合は、[Enter]キーを押

します。それ以外の場合は、新しい認証方式を選択します。

6. cifs setup プロンプトの残りの要求に応答します。デフォルト値を受け入れるには [Enter] キーを押します。終了すると、cifs setup アップユーティリティは CIFS を起動します。

7. 変更を確認するには、次のコマンドを入力します。

cifs domaininfo

ストレージシステムのドメイン情報が表示されます。

プロトコルモードの変更

有効な CIFS ライセンスと NFS ライセンスを保持している場合は、プロトコル設定を unix （デフォルト）から ntfs または mixed （マルチプロトコル）モードに変更できます。


NFS、CIFS、または両方のクライアントからストレージシステム上のファイルにアクセスで


きるかどうかは、プロトコルモードによって決まります。

プロトコルモードを設定するには、cifs setup ユーティリティを実行するか、または

wafl.default_security_style オプションを設定します。

cifs setup を使用してマルチプロトコルモードに変更する場合、NFS クライアントではファ

イルの利用がすぐには可能になりません。cifs setup を使用してマルチプロトコルモードに変

更したあと、ファイルを NFS クライアントで利用できるようにするには、ルートボリューム

の qtree セキュリティ形式を unix に変更し、chmod コマンドを使用して必要な UNIX クライ

アントアクセスを許可する必要もあります。

メモ： Data ONTAP がユーザの UNIX ユーザ ID と CIFS クレデンシャルを正常にマッピン

グし、ユーザがファイルにアクセスできることを（CIFS クレデンシャルによって）確認し

た場合、NFS クライアントは Windows ACL を使用してファイルにアクセスすることもでき

ます。たとえば、Data ONTAP が UNIX root ユーザと BUILTIN\Administrators グループ内の

ユーザを正常にマッピングした場合、UNIX root ユーザはセキュリティ形式に関係なく、

Windows ユーザがアクセスできるファイルと同じファイルにアクセスできます。

手順

1. 次のいずれかを実行します。

目的操作

CIFS setupユーティリティを

使用してプロトコルモードを

変更する場合

次のコマンドを入力します。 cifs terminate cifs setup プロンプトに従って、プロトコルモードを変更します。

wafl.default_security_style オプションを

設定してプロトコルモードを変更する場合

次のコマンドを入力します。 options wafl.default_security_style {unix | NTFS | mixed}

次の項目

NTFS 専用ストレージシステムをマルチプロトコルストレージシステムに変更することによる影響マルチプロトコルストレージシステムを NTFS 専用ストレージシステムに変更する影響

NTFS専用ストレージシステムをマルチプロトコルストレージシステムに変更することによる影響

NTFS ストレージシステムをマルチプロトコルストレージシステムに変更すると次のよ

うな影響が出ます。

• ボリュームを作成すると、そのデフォルトのセキュリティは、UNIX です。

• wafl.default_security_style オプションが UNIX に設定されます。

既存の ACL、現在のすべてのボリュームと qtree のセキュリティ形式は変更されません。


メモ：ストレージシステムをマルチプロトコルに変更したあとも、ルートボリュームのセ

キュリティ形式は ntfs のままなので、UNIX からルートとしてルートボリュームにアクセス

しようとすると、拒否される場合があります。ただし、ルートボリュームの ACL によって、

ルートにマッピングされる Windows ユーザにフルコントロールが許可される場合は、アク

セスができます。cifs.nfs_root_ignore_acl オプションを on に設定して、アクセスすること

もできます。

マルチプロトコルストレージシステムをNTFS専用ストレージシステムに変更する影響

マルチプロトコルストレージシステムから NTFS ストレージシステムへ変更すると様々な

影響があります。

• ストレージシステムのルートディレクトリ（ /etc）と、 /etc ディレクトリのファ

イルに既存の ACL がある場合、ACL は影響を受けません。ACL が存在しない場

合は、BUILTIN\Administrators グループがフルコントロールを持つように ACL が作成されます。 /etc/http ディレクトリ内のものはすべて「Everyone Read」に

割り当てられます。

• その他のファイルおよびディレクトリの ACL は影響を受けません。

• 読み取り専用ボリュームを除き、すべてのボリュームのセキュリティ形式が、ntfs に変更

されます。

• /etc ディレクトリが qtree の場合、そのセキュリティ形式は ntfs に変更されます。

• 他のすべての qtrees のセキュリティ形式は影響をうけません。

• ボリュームまたは qtree を作成する場合、そのデフォルトのセキュリティは ntfs です。

• wafl.default_security_style オプションは ntfs に設定されています。

Windowsユーザーアカウント名の指定

一部の Data ONTAP コマンドおよび構成ファイルでは、Windows ユーザーアカウント名を指

定できます。


Windows ユーザアカウント名は次の場所で指定できます。

• Windows ユーザーに関する情報を表示する場合、cifs session コマンドの引数として

• Windows 名を UNIX 名にマッピングする場合は、/etc/usermap.cfg ファイル内

• Windows ユーザーのクォータを設定する場合、/etc/quotas ファイル内

構成ファイル内で円記号（\）を使用して UNIX ユーザ名を指定すると、Data ONTAP では

Windows ユーザアカウント名として扱われます。たとえば、/etc/quotas ファイルで指定した

corp\john のような UNIX 名は、Windows ユーザアカウント名として解釈されます。

メモ：user@domain 形式を使用して Windows ユーザーアカウント名を指定できるコマンド


は、cifs setup コマンドだけです。また、構成ファイルによっては、そのファイル固有の

Windows ユーザーアカウント名を指定するときに規則が適用される場合があります。これ

らの規則の詳細については、それぞれの構成ファイルに関連するセクションを参照してくだ

さい。

手順


目的操作

Windows 2000 より前の形式

で Windows 名を指定する場

合

ドメイン名に円記号およびユーザ名を追加します。

(corp\john_smith など)

Windows 2000 のユーザ名

を Windows 2000より前の

形式で指定する場合

ドメイン名の NETBIOS 形式を使用し、ユーザー名が 20文字以下になる

ようにします。たとえば [email protected]_company.com が Windows 2000 ユーザの場合、Data ONTAP コマンドおよび構成ファイ

ル内では、このユーザを engineering\john_smith として参照できます。

ローカルユーザーアカウント

を指定する場合 Windows 2000 より前の形式で、ドメイン名の代わりにストレージシステ

ム名を入力します。(filer1\john_smith など)

CIFS再設定時の検討事項

ストレージシステム上の CIFS 再構成前に、前提条件およびその他の重要な情報について知る

必要があります。

CIFS を再設定する前に、ご使用の設定に適した準備作業をすべて完了しておいてください。

• ストレージシステムを再設定するときに、ストレージシステムのドメインを Windows NT ドメインから別のドメインに変更する場合は、ストレージシステムをインストールす

るドメインのプライマリドメインコントローラとストレージシステム間の通信が可能に

なっている必要があります。

ストレージシステムのインストールにはバックアップドメインコントローラを使用でき

ません。

• ストレージシステムの名前を変更する場合、ドメインコントローラ上に新しいコンピュ

ータアカウントを作成します（Windows 2000 よりあとの Windows バージョンの場合の

み必要）。

• 同じドメインのストレージシステムおよびドメインコントローラは、同じタイムソースと

同期している必要があります。ストレージシステムの時間とドメインコントローラの時間

が同期していない場合は、次のエラーメッセージが表示されます。

Clock skew too great

時刻同期サービスの設定方法の詳しい手順については、 Data ONTAP System Administration Guide をご参照ください。

Cifs setup コマンドを使用して、CIFS 再構成する場合、UNIX ベースの KDC が、NFS に設


定されているとき、Data ONTAP は、UNIX 文字列を含むように UNIX keytab ファイルの名前

を変更します。UNIX ベースの KDC の keytab ファイルの名前を変更するには、CIFS 構成中

に Data ONTAP が次のメッセージプロンプトを表示したら、yes を入力します。

*** Setup has detected that this filer is configured to support

Kerberos *** authentication with NFS clients using a non-Active

Directory KDC. If *** you choose option 1 below, to allow NFS to

use the non-Active *** Directory KDC, your existing keytab file

'/etc/krb5.keytab' will be *** renamed to '/etc/UNIX_krb5.keytab'.

NFS will be using the new keytab *** file '/etc/UNIX_krb5.keytab'.

Do you want to continue. (Yes/No)?

yes を入力すると、Data ONTAP は UNIX ベースの KDC の keytab ファイルの名前を変更し

ます。no を入力するか、または[Enter] を押すと、Data ONTAP は CIFS 再構成プロセスを中

止します。この名前変更は Kerberos Multirealm 構成に必要です。

ストレージシステム上のCIFSの再設定

初期設定後にCIFSを再設定するには、cifs setupユーティリティを再実行します。


CIFSセットアップを実行して変更できるCIFS構成設定は次の通りです。

• WINS サーバのアドレス

• ストレージシステムがマルチプロトコルであるか、または NTFS 専用であるか

• ストレージシステムが Windows ドメイン認証、Windows ワークグループ認証、または

UNIX パスワード認証のどの認証方法を使用するか

• ストレージシステムが属しているドメインまたはワークグループ

• ストレージシステム名

メモ：進行中の cifs setup ユーティリティを終了する必要がある場合は、 [Ctrl-C] を押しま

す。次に、cifs restart コマンドを入力し、古い構成情報を使用して CIFS を再起動してくだ

さい。

手順


cifs terminate

ストレージシステムへの CIFS のサービスが停止します。


cifs setup

cifs setup プログラムが実行され、CIFS の再構成を求める一連のメッセージが表示されま

す。


ストレージシステムでの SMB の設定

CIFS プロトコルに付け加えて、Data ONTAP は Server Message Block (SMB) 1.0 プロトコ

ルと SMB 2.0 に対応しています。

次の項目

SMB 1.0 プロトコルのサポート


SMB 2.0 プロトコルを有効化する場合

SMB 2.0 プロトコルの有効化と無効化

SMB 2.0 永続ハンドルの有効化と無効化

SMB 2.0 永続ハンドルのタイムアウト値の指定

SMB 署名

ストレージシステムの SMB2.0 プロトコルのクライアント機能の有効化と無効化


Data ONTAP はセキュリティ、ファイル、およびディスク管理機能を使用して CIFS を拡張す

る SMB 1.0 プロトコルに対応しています。

SMB プロトコルの仕様によると、SMB1.0 プロトコルには、次の機能が含まれています。

• Kerberos 認証などの新しい認証方式

• メッセージの署名

• 旧バージョンのファイルの列挙とアクセス

• サーバのデータをすべて読み込み／書き込みの必要がないクライアントによるサーバのフ

ァイル管理

• SMB 通信のためにダイレクト TCP (NetBIOS over TCP/UDP の代わりに), NetBIOS over Internetwork Packet Exchange (IPX), NetBIOS Extended User Interface (NetBEUI)を使用

した SMB 接続

• サーバーによって公開されるファイルシステム操作を要求する FSCTL（File System Controls）のクライアント使用対応

• 既存のコマンドに応答する拡張情報取得のサポート

更に詳しい情報は、「SMB 1.0 プロトコルの仕様」をご参照ください。


従来の SMB プロトコルに付け加えて、Data ONTAP は SMB 2.0 プロトコルに対応していま


す。これは従来のプロトコルにいくつかの拡張機能を提供します。

SMB2.0 プロトコルは従来の SMB の大幅改訂版であり、完全に別のパケットフォーマットを

使用しています。しかし、クライアントは、従来の SMB プロトコルの使用を交渉する SMB 2.0 プロトコルを使用できるので、 SMB 2.0 プロトコルは従来の SMB 対応のサーバとクライ

アントとの互換性を維持します。

SMB2.0 プロトコルの仕様によると、SMB2.0 プロトコルには、次の機能が含まれています。

• クライアント接続がいったん中断した後に、中断前に開いていたファイルを再確立する」


開いているとは「[a] 特定のユーザーのセキュリティコンテキストを使用して、現在確立さ

れている特定のクライアントから特定のサーバへアクセスに対応するファイルまたは名前

付きパイプランタイムオブジェクト」のことです。クライアントとサーバの両方はアクテ

ィブなアクセスを表わす開いた状態を維持します。

• これは「サーバがいつでも、同時に実行できる未処理の操作数を調節する」ことができる

ようにします。

• これは「共有、ユーザー数、同時に開いているファイルのスケーラビリティを提供します。

特に Data ONTAP は次の SMB 2.0 機能に対応しています。

• 非同期メッセージ

Data ONTAP は非同期メッセージを使って次の要求を含む潜在的に無期限量の完全な応答

をブロックする可能性のある要求に対して SMB 2.0をクライアントに暫定的な応答を送

信します。

• CHANGE_NOTIFY 要求

• oplock の失効によってブロックされた CREATE 要求

• 既にロックされているバイトの範囲への LOCK 要求

• 永続性ハンドル

Data ONTAP は永続性ハンドルを使います。これはネットワークの短い停止発生による、

データの損失を防ぐために、SMB セッションを保持するファイルハンドルです。クライ

アントはファイルを開くときに、永続性ハンドルが必要かどうかを指定します。必要な場

合は、Data ONTAP は永続性ハンドルを作成します。その後、SMB 2.0 接続がダウンした

場合、Data ONTAP は、別の SMB2.0 接続上の同じユーザーによる回収に永続性ハンドル

が利用できるようにします。Data ONTAP の永続性ハンドル対応は有効化／無効化するこ

とができます。ONTAP にネットワーク障害が発生した後、永続性ハンドルを保持する時

間の長さも指定することができます。

• SHA-256 署名

Data ONTAP は SHA-256 ハッシュ機能を使って SMB 2.0 メッセージの署名のための MAC（Message Authentication Codes）を生成します。SMB 2.0 署名を有効化すると、 Data ONTAP は有効な署名がある SMB 2.0 メッセージのみを受け入れます。

• クレジット付与のためのアルゴリズム


SMB 2.0 プロトコルの仕様によれば、クレジットは「クライアントがサーバに送信するこ

とができる未解決の要求の数を制限する」と共に、「クライアントは、ストレージシステ

ムへの複数の同時要求を送信する」ことができます。

• 配合要求

SMB 2.0 プロトコルの仕様によれば、配合要求は「複数の SMB2.0 プロトコル要求を基本

的なトランスポートに提出するための個別の送信要求に結合したもの」です。

さらに、Windows サーバは SMB2.0 プロトコルのクライアント機能を有効化／無効化するこ

とができます。それはストレージシステムが Windows サーバ通信するために、従来の SMBプロトコル SMB プロトコルのどちらを使うかを決定します。

メモ：Data ONTAP SMB2.0 プロトコルはオプション機能で、シンボリックリンクを

サポートしていません。

更に詳しい情報は、「SMB 2.0 プロトコルの仕様」をご参照ください。

次の項目

コンテキスト作成のサポート

ファイルシステム制御のサポート

コンテキスト作成のサポート

Data ONTAP は SMB2.0 プロトコル仕様で定義されたコンテキスト作成のサブセットに対応

しています。Data ONTAP は次のコンテキスト作成に対応しています。

• SMB2_CREATE_EA_BUFFER

• SMB2_CREATE_SD_BUFFER

• SMB2_CREATE_QUERY_MAXIMAL_ACCESS

• SMB2_CREATE_TIMEWARP_TOKEN

• SMB2_CREATE_DURABLE_HANDLE_REQUEST

• SMB2_CREATE_DURABLE_HANDLE_RECONNECT

• SMB2_CREATE_ALLOCATION_SIZE

Data ONTAP は次のコンテキスト作成には対応していません。

• SMB2_CREATE_QUERY_ON_DISK_ID

ファイルシステム制御のサポート

Data ONTAP は SMB 2.0 プロトコル仕様で定義された FSCTL（File System Controls）のサ

ブセットに対応しています。

Data ONTAP は次のファイルシステム制御に対応しています。

• FSCTL_PIPE_TRANSCEIVE


• FSCTL_PIPE_PEEK

• FSCTL_GET_DFS_REFERRALS

• FSCTL_SRV_ENUMERATE_SNAPSHOTS

Data ONTAP は次のような実例のないファイルシステム制御には対応していません。

• FSCTL_SRV_REQUEST_RESUME_KEY

• FSCTL_SRV_COPYCHUNK

SMB 2.0 プロトコルを有効化する場合

ファイル転送やプロセス間通信のシナリオの中には、従来の SMB プロトコルよりも SMB 2.0 が優れている場合があります。

SMB2.0 プロトコルの仕様によれば、このようなシナリオは次のような必要条件があることが

あります。

• より多くのスケーラビリティが必要な同時にファイル、共有の数、およびユーザセッショ

ンを開く場合

• サーバにとって要求数が大きいとみなされる場合のサービスの品質保証

• HMAC - SHA256 ハッシュアルゴリズムによるより強力なデータ整合性の保護

• 不均質特性のあるネットワーク上でのより良いスループット

• ネットワーク接続の断続的な損失の処理を改善

更に詳しい情報は、「SMB2.0 プロトコルの仕様」をご参照ください。

SMB 2.0 プロトコルの有効化と無効化

cifs.smb2.enable オプションを使って SMB 2.0 プロトコルの有効化／無効化ができます。デフォルトではこのオプションは off に設定されています。


SMB 2.0 プロトコルはストレージシステムで無効になっている場合、SMB 2.0 クライアント

とストレージシステム間のコミュニケーションは従来の SMB プロトコルに戻ります（SMB 2.0 クライアントの交渉要求に従来の SMB ダイアレクトを含むことが前提条件）。

手順

1. 次の動作の 1つを実行します。

目的操作

SMB 2.0 プロトコルを有効化する場合次のコマンドを入力します。 options cifs.smb2.enable on

SMB 2.0 プロトコルを無効化する場合次のコマンドを入力します。 options cifs.smb2.enable off


SMB 2.0 永続ハンドルの有効化と無効化

cifs.smb2.durable_handle.enable オプションで SMB 2.0 永続ハンドルを有効化、または無効

化することができます。デフォルトではこのオプションは on に設定されています。

手順


目的操作

SMB 2.0 プロトコルを有効にする場合次のコマンドを入力します。 options cifs.smb2.enable on

SMB 2.0 プロトコルを無効にする場合次のコマンドを入力します。 options cifs.smb2.enable off

SMB 2.0 永続ハンドルのタイムアウト値の指定

cifs.smb2.durable_handle.timeout オプションを使って SMB 2.0 永続ハンドルのタイムアウト

値を指定することができます。デフォルトではこのオプションは 960 秒（16 分）です。

手順


options cifs.smb2.durable_handle.timeout value

value は 5 秒～4294967295 秒の秒単位のタイムアウトです。

SMB 署名

Data ONTAP はクライアントから要求時に Server Message Block (SMB) 署名をサポートし

ます。（SMB 1.0 プロトコルと SMB 2.0 プロトコル経由で）。SMB 署名はリプレイアタッ

ク（別名「中間攻撃」の防御により、ストレージシステムとクライアント間のネットワークト

ラフィックが危険にさらされることのないようにします。

Microsoft Network クライアント：デジタル署名通信（サーバが同意した場合）：この設定は

クライアントの SMB 署名機能を有効にするかどうかを制御します。この設定がクライアント

上で無効な場合は、ストレージシステム上の SMB 設定にかかわらず、クライアントは通常

SMB 署名以外でストレージシステムと通信します。

次の項目

クライアントの SMB 署名ポリシーがストレージシステムとの通信に及ぼす影響 SMB 署名のパフォーマンスへの影響クライアントへの SMB1.0 メッセージ署名要求の強制クライアントへの SMB2.0 メッセージ署名要求の強制

クライアントのSMB署名ポリシーがストレージシステムとの通信に及ぼす影響

クライアントとストレージシステム間の通信のデジタル署名を制御する、Windows クライア


ント上の SMB 署名ポリシーには、「通常」と「サーバが同意した場合」の 2 つがあります。

クライアント SMB ポリシーは、Microsoft Management Console（MMC）を使用した

Security Settings で制御されます。クライアントの SMB 署名とセキュリティ問題の詳細につ

いては、Microsoft Windows のマニュアルを参照してください。

ここでは、2 つの SMB 署名ポリシーについて説明します。

次はクライアントの 2つの SMB 署名ポリシーについての説明です。

• Microsoft Network クライアント：デジタル署名通信（サーバが同意した場合）：この設定

はクライアントの SMB 署名機能を有効にするかどうかを制御します。デフォルトでは有

効です。この設定がクライアント上で無効な場合は、ストレージシステム上の SMB 設定

にかかわらず、クライアントは通常 SMB 署名以外でストレージシステムと通信します。

クライアント上でこの設定が有効な場合:

• SMB 署名がストレージシステム上で有効な場合、クライアントとストレージシステム

間のすべての通信は SMB 署名を使用します。

• SMB 署名がストレージシステム上で無効でない場合は、通信は通常 SMB 署名以外で

行われます。

• Microsoft Network クライアント：デジタル署名通信（通常）：この設定では、クライアン

トがサーバとの通信に SMB 署名を必要とするかどうかを制御します。デフォルトでは無

効です。この設定がクライアント上で無効である場合、SMB 署名の動作は、「デジタル

署名通信（サーバが同意した場合）」のポリシー設定とストレージシステム上の設定に依

存します。この設定がクライアント上で有効な場合は、次のようになります。

• SMB 署名がストレージシステム上で有効な場合、クライアントとストレージシステ

ム間のすべての通信は SMB 署名を使用します。

• SMB 署名がストレージシステム上で有効でない場合、クライアントはストレージシ

ステムとの通信を拒否します。

メモ：ご使用中の環境に SMB 署名を要求するように設定された Windows クライアン

トが含まれる場合、ストレージシステム上の SMB 署名を有効にする必要があります。

有効にしないと、ストレージシステムはこのようなシステムにデータを提供できません。

SMB署名のパフォーマンスへの影響

SMB 署名が有効な場合、Windows クライアントとのすべての CIFS 通信によってパフォーマ

ンスに重大な影響が生じます。これは、クライアントとサーバ（つまり Data ONTAP を実行

中のストレージシステム）両方に影響があります。

パフォーマンスの低下は、CPU 使用率の増加としてクライアントとサーバの両方に表示され

ますが、ネットワークのトラフィック量は変わりません。

ネットワークとストレージシステムの実装によって、SMB 署名のパフォーマンスへの影響は

大きく異なるため、影響の検証はご使用のネットワーク環境でのテストによってのみ可能です。


多くの Windows クライアントは、サーバ上で SMB 署名が有効な場合は、SMB 署名をデフォ

ルトでネゴシエートします。ご使用の Windows クライアントのいくつかに SMB 保護が必要

で、SMB 署名がパフォーマンスの問題を引き起こしている場合は、リプレイアタックからの

保護を必要としない Windows クライアントに対して SMB 署名を無効にすることができます。

Windows クライアントでの SMB 署名の無効化については、Microsoft Windows のマニュアル

を参照してください。

クライアントへのSMB1.0メッセージ署名要求の強制

cifs.signing.enable オプションを有効化すれば、クライアントが SMB 1.0 メッセージに署名す

るように強制することができます。デフォルトではこのオプションは off です。

手順


目的操作

SMB 署名を有効にする場合次のコマンドを入力します。 options cifs.smb.signing.enable on

SMB 署名を無効にする場合次のコマンドを入力します。 options cifs.smb2.signing.enable off

クライアントへのSMB2.0メッセージ署名要求の強制

cifs.smb2.signing.required オプションを有効化すればクライアントが SMB 2.0 メッセージに

強制的に署名できます。デフォルトではこのオプションは off です。

Data ONTAP は、SMB の 2.0 メッセージの署名用の Message Authentication Codes（MAC）を

生成する SHA - 256 ハッシュ関数を使用します。cifs.smb2.signing.required オプションを設

定する場合は、Data ONTAP は、有効な署名がある場合にのみ SMB 2.0 のメッセージを受け

付けます。

手順


クライアントが SMB2.0 メッセージの署名に署名す

る機能操作

Data ONTAPによって強制する場合次のコマンドを入力します。 options cifs.smb2.signing.required on

Data ONTAPによって強制しない場合次のコマンドを入力します。 options cifs.smb2.signing.required off

ストレージシステムのSMB2.0プロトコルのクライアント機能の有効化と無効化

cifs.smb2.client.enable オプションを使って、ストレージシステムの SMB 2.0 プロトコルクラ


イアント機能の有効化または無効化ができます。デフォルトではこのオプションは off です。


cifs.smb2.client.enable オプションは on に設定されていても Windows サーバが SMB 2.0 プロトコルに対応していない場合、ストレージシステムは従来の SMB プロトコルを使って

Windows サーバと通信します。

cifs.smb2.client.enable オプションを off に設定すると、ストレージシステムは従来の SMB プロトコルを Windows サーバとの新規の通信セッションで使います。しかし、ストレージシス

テムは既存のセッションでは引き続き SMB 2.0 プロトコルを使い続けます。

手順


ストレージシステムの SMB 2.0 プロトコルクライアント機能

操作

有効にする場合次のコマンドを入力します。 options cifs.smb2.client.enable on

無効にする場合次のコマンドを入力します。 options cifs.smb2.client.enable off

共有の管理

管理者としてストレージシステム上のユーザーとディレクトリを共有することができます

（「shares」の作成）。

次の項目

共有の作成共有のプロパティの表示と変更共有の削除

共有の作成

Windows クライアントの MMC（Microsoft Management Console）または Data ONTAP コマ

ンドラインから、共有を作成することができます（フォルダ、qtree、ボリュームへのアクセ

スを CIFS ユーザが指定することです）。

始める前に

共有を作成するときには、次のすべての情報を提供する必要があります。

• 共有する既存のフォルダ、qtree、ボリュームの完全なパス名

• 共有に接続するときにユーザーが入力する共有の名前

• 共有のアクセス権

メモ：アクセス権の一覧から選択するか、またはユーザーかユーザーグループごとに固有

のアクセス権を入力できます。


共有を作成する場合、共有の説明を任意で指定できます。共有の説明はネットワーク上の共有

を参照する際に Comment (コメント) フィールドに表示されます。

Data ONTAP コマンドラインから共有を作成する場合は、次のようなプロパティを指定する

こともできます。

• 共有内にあるファイルのグループのメンバシップ

• 同じストレージシステム上にある任意のデスティネーションへの共有のシンボリックリン

クを、CIFS クライアントが参照できるかどうか

• 共有内でのワイドシンボリックリンクのサポート

• 共有の umask 値

• 共有は参照可能かどうか

• 共有ファイル開いたときのウイルススキャンを無効にすること

• Windows クライアントによる共有内のファイルキャッシュを無効にすること

• Windows クライアントによる共有内の文書やプログラムの自動キャッシュのサポート

• Windows の Access-Based Enumeration （ABE）を使用して共有リソースの表示を制御

すること

メモ：共有を作成した後、これらのプロパティは随時変更できます。

終了後は

共有を作成した後、共有のプロパティを指定できます。

• 同時に共有にアクセスできるユーザーの最大数

メモ：ユーザー数を指定しない場合は、追加のユーザーはストレージシステムにメモリがな

くなると、ユーザを追加できなくなります。

• 共有レベル ACL

次の項目

共有のネーミング規則 Windows クライアントの MMC を使用した CIFS 共有の作成

共有のネーミング規則

Data ONTAP では、共有のネーミング規則は Windows でのネーミング規則と同じです。

たとえば、$文字で終わる共有名は非表示の共有です。また、ADMIN $や IPC$などの特定の

共有名は予約されています。

共有名は大文字と小文字が区別されません。


WindowsクライアントのMMCを使用したCIFS共有の作成

Windows クライアントの MMC を使用して CIFS 共有を作成するには、MMC とストレージシ

ステムを接続して、フォルダ共有ウィザードを実行します。

フォルダ共有ウィザードの実行

フォルダ共有ウィザードは、MMC を使用して実行できます。

手順

1. MMC をストレージシステムに接続します。

2. 既に選択されていない場合は、左側のペインで Computer Management (コンピュータの

管理) を選択します。

3. System Tools (システムツール)> Shared Folders (共有フォルダ)> Shares(共有) > Action (操作)を選択します。

Windows のバージョンによって次のメニュー項目の文言は多少異なる場合があります。

4. New Share(新しい共有) をダブルクリックします。

5. フォルダ共有ウィザードの指示に従います。

Data ONTAPコマンドラインを使用したCIFS共有の作成

Data ONTAP コマンドラインを使用して共有を作成するには、cifs shares - add コマンドを使

用します。

手順

1. CIFS 共有を作成するには次のコマンドを入力します。

cifs shares -add shareName path

shareName 新規 CIFS 共有名を指定します。

path の区切り文字には、スラッシュまたはバックスラッシュを使用できますが、Data ONTAP では、どちらもスラッシュとして表示します。

詳細については、na_cifs_shares(1) マニュアルページを参照してください。

例 Web でアクセス可能な共有（webpages 共有）を、最大ユーザ数が 100 の/vol/vol1/companyinfo ディレクトリに作成し、CIFS ユーザがこのディレクトリ内に作成したす

べてのファイルをすべてのユーザが所有するように設定するには、次のコマンドを入力しま

す。 cifs shares -add webpages /vol/vol1/companyinfo -comment "Product Information" -forcegroup webgroup1 -maxusers 100


forcegroupオプションについて

Data ONTAP コマンドラインから共有を作成する場合は、forcegroup オプションを使用して、

その共有内の CIFS ユーザーが作成するすべてのファイルが同じグループ(forcegroup）に属す

るように指定できます。このグループは、UNIX グループデータベース内で既に定義されてい

る必要があります。

指定した forcegroup が利用可能になるのは、共有が UNIX qtree または mixed qtree 内にある

場合に限られます。NTFS qtree 内の共有に含まれているファイルへのアクセスは、GID では

なく Windows アクセス権によって判別されるため、このような共有に forcegroup を使用する

必要はありません。

共有に forcegroup が指定されている場合は、共有には次のようになります。

• この共有にアクセスする forcegroup 内の CIFS ユーザーは、forcegroup の GID に一時的

に変更されます。

この GID を使用すると、forcegroup を含んだ共有内のファイルにアクセスできます。通常、

このファイルには、プライマリ GID または UID ではアクセスできません。

• CIFS ユーザが作成した共有内にあるすべてのファイルは、ファイル所有者のプライマリ

GID に関係なく、同じ forcegroup に属します。

CIFS ユーザーが NFS によって作成されたファイルにアクセスしようとするときは、各ユー

ザのプライマリ GID によって、アクセス権があるかどうかが判断されます。

forcegroup は NFS ユーザーがこの共有内のファイルにアクセスする方法には影響しません。

NFS ユーザが作成したファイルは、ファイル所有者から GID を取得します。アクセス権の決

定は、ファイルにアクセスしようとしている NFS ユーザーUID およびプライマリ GID に基づ

きます。

forcegroup を使用すると、さまざまはグループに属する CIFS ユーザーがそのファイルにアク

セスできるようになります。たとえば、会社の Web ページを保存する共有を作成し、

Engineering グループと Marketing グループのユーザに書き込みアクセス権を付与する必要が

ある場合、共有を作成して「webgroup1」という forcegroup に書き込みアクセス権を与えま

す。Forcegroup が含まれているので、CIFS ユーザーがこの共有内に作成したすべてのファイ

ルは web グループの GID が自動的に割り当てられます。その結果、すべてのユーザーは、こ

の共有に書き込めるようになりますが、Engineering グループと Marketing グループのアクセ

ス権を管理する必要はありません。

共有のプロパティの表示と変更

MMC または Data ONTAP コマンドラインを使用して、共有プロパティを表示したり、変更

したりできます。


次の共有プロパティを変更できます。

• 共有の説明


• 共有に同時にアクセスできるユーザの最大数

• 共有レベルのアクセス権

• Access-Based Enumeration (ABE)の有効化と無効化

次の項目

Windows クライアントの MMC を使用した共有プロパティの表示と変更

Data ONTAP コマンドラインを使用した共有プロパティの表示

Data ONTAP コマンドラインを使用した共有プロパティの変更

WindowsクライアントのMMCを使用した共有プロパティの表示と変更

Windows クライアントの MMC を使用して、共有のプロパティを表示したり、変更したりで

きます。

手順

1. MMC とストレージシステムを接続します。

2. 左側パネルで[Computer Management (コンピュータの管理)]が選択されていない場合は、選

択します。

3. [System Tools(システムツール) ] > [Shared Folders (共有フォルダ)] の順に選択します。

4. [Shares (共有)] をダブルクリックします。

5. 右側のパネルで共有を右クリックします。

6. [Properties (プロパティ)]を選択します。

選択した共有のプロパティが例に示されたように表示されます。


7. [Share Permissions (共有のアクセス許可)]タブを選択します。共有の ACL が表示されます。

8. 追加のグループまたはユーザーを含むように共有のACLを変更するには、[Group or user names(グループ名またはユーザ名)]ボックスでユーザーまたはグループを選択します。

9. [Permissions for group or user name (groupまたはuser nameのアクセス許可)]ボックス

で、アクセス権を変更します。

Data ONTAPコマンドラインを使用した共有プロパティの表示

cifs shares コマンドを使えば、Data ONTAP コマンドラインから共有プロパティを表示する


手順


cifs shares sharename

sharename は単一共有の名前です。sharename を指定しない場合、すべての共有のプロパテ

ィが表示されます。

Data ONTAP は共有名、共有されたディレクトリのパス名、共有の説明、共有レベルACLが表示さ


れます。

Data ONTAPコマンドラインを使用した共有プロパティの変更

cifs shares コマンドを使えば、Data ONTAP コマンドラインから共有プロパティを変更

することができます。

手順


cifs shares -change sharename {-browse | -nobrowse} {-comment desc | - nocomment} {-maxusers userlimit | -nomaxusers} {-forcegroup groupname | -noforcegroup} {-widelink | -nowidelink} {-symlink_strict_security | - nosymlink_strict_security} {-vscan | -novscan} {-vscanread | - novscanread} {-umask mask | -noumask {-no_caching | -manual_caching | - auto_document_caching | -auto_program_caching}

詳細は、na_cifs_shares(1) マニュアルページをご参照ください。

メモ： sharename で疑問符とアスタリスク文字をワイルドカードに使用すると、複数

の共有のプロパティを同時に変更することができます。たとえば、クライアントが任意

の共有内で開いたすべてのファイルのウィルススキャンを無効にするには、次のコマン

ドを入力します。

cifs shares -change * -novscan

-nocomment、-nomaxusers、-noforcegroup、および -noumask を指定すると、説明、

ユーザの最大数、forcegroup、および umask 値がそれぞれ削除されます。

次の項目

共有からのシンボリックリンクに対する境界チェックの有効化と無効化共有からのワイドシンボリックリンクの有効化と無効化共有内に新規作成されたファイルおよびディレクトリのアクセス権の指定参照の有効化と無効化ウイルススキャンの有効化と無効化キャッシュの有効化と無効化共有のクライアント側キャッシュのプロパティの設定 ABE について ABE の有効化と無効化 Windows クライアントからの ABE コマンドの実行

共有からのシンボリックリンクに対する境界チェックの有効化と無効化

同じストレージシステム上にある任意のリンク先に関連する、共有内のシンボリックリンク

を、CIFS クライアントが参照できるようにする場合は、共有からのシンボリックリンクに対

する境界チェックを無効にします。

デフォルトでは、ユーザが共有の外からファイルにアクセスするのを防ぐため、シンボリックリンクに対する境界チェックは有効になっています。

境界チェックが無効になっている場合、ストレージシステムはシンボリックリンクを含んで

いる共有の共有権限だけを確認します。


手順


共有からのシンボリックリンクに対す

る境界チェックの設定操作

無効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename - nosymlink_strict_security

有効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename - symlink_strict_security

共有からのワイドシンボリックリンクの有効化と無効化

共有またはストレージシステムの外部に対する絶対パスによるシンボリックリンクを、CIFS クライアントが参照できるようにするには、共有からのワイドシンボリックリンクを有効に

します。デフォルトでは、この機能は無効になっています。

手順


目的操作

共有からのワイドシンボリックリンクを有効にする場合

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -widelink

共有からのワイドシンボリックリンクを無効にする場合

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -nowidelink

メモ：共有を作成する場合に widelink オプションを指定して、共有からのワイドシン

ボリックリンクを有効にすることもできます。

共有からのワイドシンボリックリンクを有効にしたあとで、ストレージシステムがワイド

シンボリックリンクのリンク先を決定する方法を指定するために、/etc/symlink.translations ファイル内に Widelink エントリを作成する必要があります。

共有内に新規作成されたファイルおよびディレクトリのアクセス権の指定

共有内に新規作成された、mixed または UNIX qtree セキュリティ形式のファイルおよびディ

レクトリのアクセス権を指定するには、共有の umask オプションを設定します。

共有の umask オプションは 8 進数（8 進法）値として指定する必要があります。デフォルト

の umask 値は 0 です。

メモ：共有の umask オプションの値は NFS に影響を与えません。


手順


アクセス権を指定する対象操作

新規作成されたファイルおよび

ディレクトリ Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -umask mask mask は、新規作成されたファイルおよびディレクトリのデフォルト

アクセス権を指定する8 進数の値です。共有を作成する場合は、代わり

に umask オプションを設定します。

新規作成されたファイル(共有

の umask オプションの値を無

視する場合)

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -file_umask mask mask は、新規作成されたファイルのデフォルトアクセス権を指定する

8 進数の値であり、umask 共有オプションの値は無視されます。共

有を作成する場合は、代わりに file_mask オプションを設定します。

新規作成されたディレクトリ(共有の umask オプションの値を

無視する場合)

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -dir_umask mask mask は、新規作成されたディレクトリのデフォルトアクセス権を指

定する8 進数の値であり、umask 共有オプションの値は無視されます。

共有を作成する場合は、代わりに dir_mask オプションを設定します。

例

共有内でファイルを作成した場合に、「group」権限および「other」権限への書き込みアクセスを無

効にするには、次のコマンドを入力します。

dir_umask 022

参照の有効化と無効化

参照を有効または無効にすると、特定の共有の表示をユーザに対して許可したり、禁止したり

できます。

参照可能にしたい各共有の -browse オプションを有効化する必要があります。

手順


目的操作

特定の共有に関する参照を有効にする場合

（cifs.enable_share_browsing オプションが

on の場合は、影響がない）

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -browse

特定の共有に関する参照を無効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -nobrowse

すべての共有の参照を有効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 options cifs.enable_share_browsing on


すべての共有の参照を無効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 options cifs.enable_share_browsing off

更に詳しい情報は、「na_options(1) マニュアルページ」をご参照ください。

ウイルススキャンの有効化と無効化

1 つ以上の共有のウイルススキャンを有効化／無効化して、セキュリティ／パフォーマンスを

向上させることができます。

デフォルトでは、Data ONTAP はクライアントで開かれたすべてのファイルのウイルスがス

キャンされます。

手順

1. 次の動作のいずれかを実行します。

目的操作

クライアントで開かれたすべてのファイル

のウイルススキャンを有効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -vscan

クライアントで開かれたすべてのファイル

のウイルススキャンを無効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -novscan

クライアントで開かれた読み取り専用ファ

イルのウイルススキャンを有効にする場

合

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -vscanread

クライアントで開かれた読み取り専用ファ

イルのウイルススキャンを無効にする場

合

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -novscanread

メモ： -nvscan または -nvscanread オプションを指定すれば、共有のウイルススキャンを無

効にすることもできます。

CIFS 共有のウイルススキャンの指定についての更に詳しい情報は「Data ONTAP Data Protection Online Backup and Recovery Guide」をご参照ください。

キャッシュの有効化と無効化

キャッシュを有効または無効にすると、共有のファイルのキャッシュをクライアントに対して

許可したり、禁止したりできます。

キャッシュするファイルをクライアントで手動選択する必要があるかどうかを指定できます。

手動で選択する必要がない場合は、クライアント設定に従って、プログラム、ユーザファイル、

または両方を自動的にキャッシュするかどうかを指定できます。デフォルトでは、キャッシュ


するファイルをクライアントで手動選択する必要があります。

手順


目的操作

キャッシュを無効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -nocaching

手動キャッシュを有効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -manual_caching

ドキュメントの自動キャッシュを有効にする場合

Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -auto_document_caching

プログラムの自動キャッシュを有効にする場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -auto_program_caching

メモ：共有を作成する場合、デフォルトのキャッシュオプション（-manual_caching）を

無視するには、-nocaching、-auto_document_caching、 -auto_program_caching オプショ

ンを指定します。

共有のクライアント側キャッシュのプロパティの設定

Windows 2000、XP, 2003 クライアントのコンピュータ管理アプリケーションを使用して、共

有のクライアント側キャッシュのプロパティを設定することができます。詳細については、

「Microsoft Windows online Help system」を参照してください。

ABEについて

Access-Based Enumeration（ABE）が CIFS 共有で有効になっていると、共有フォルダまた

はその下のファイルに（個人またはグループの権限制限により）アクセスする権限がないユー

ザの環境には、その共有リソースは表示されません。

標準的な共有のプロパティを使用すると、ユーザ（個人またはグループ）を指定して共有リソ

ースの表示や変更を許可することができます。ただし、この方法では、アクセス権のないユー

ザに対し共有フォルダやファイルが表示可能かどうかを制御することができません。この状態

だと、共有フォルダ名またはファイル名に、顧客名や開発中の製品などの重要な情報が記述さ

れている場合に問題になることがあります。

ABE を使用すると、共有プロパティを拡張して共有リソースの一覧を含めることができます。

したがって、ABE を使用することにより、ユーザのアクセス権に基づいて共有リソースの表

示をフィルタすることができます。職場の重要な情報を保護することに加え、ABE を使用す

ると大きなディレクトリ構造の表示を簡略化できるので、ディレクトリ全体にアクセスする必

要のないユーザにはメリットです。


ABEの有効化と無効化

Access-Based Eenumeration（ABE）を有効または無効にすると、アクセス権を設定していな

い共有リソースの表示をユーザに対して許可したり、禁止したりできます。

デフォルトでは、ABE は無効です。


目的操作

ABE を有効化する場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -accessbasedenum

ABE を無効化する場合 Data ONTAP コマンドラインに次のコマンドを入力します。 cifs shares -change sharename -noaccessbasedenum

メモ：共有作成時に- accessbasedenum オプションを指定して、ABE を有効化するこ

ともできます。

WindowsクライアントからのABEコマンドの実行

abecmd コマンドで共有の ABE を有効化または無効化して、Access-Based Eenumeration (ABE) コマンドを Windows クライアントから実行することができます。

Windows クライアントから ABE コマンドを実行する前に Data ONTAP の ABE を有効化する

必要があります。

手順

1. ABE に対応する Windows クライアントから、次のコマンドを入力します。

abecmd [/enable | /disable] [/server filername] {/all | ShareName}

abecmd コマンドについての詳細は、Windows クライアントのドキュメントを参照してく

ださい。

共有の削除

MMC または Data ONTAP コマンドラインで共有を削除することができます。

次の項目

MMC を使用した共有の削除 Data ONTAP コマンドラインを使用した共有の削除

MMCを使用した共有の削除

MMC を使用して共有を削除することができます。

手順

1. MMC をストレージシステムに接続します。


2. 選択されていない場合は、左側パネルで[Computer Management (コンピュータの管理)] を選

択します。

3. [System Tools (システムツール)] > [Shared Folders (共有フォルダ)]の順に選択します。


5. 右側のパネルで、共有を右クリックしてから、[Stop Sharing (共有の停止)]を選択します。

6. 確認ボックスで、[Yes(はい)] を選択します。

MMC によって共有が削除されます。

Data ONTAPコマンドラインを使用した共有の削除

Data ONTAP コマンドラインを使用して共有を削除するには、cifs shares コマンドを使用し

ます。

手順


cifs shares -delete [-f] sharename

-f オプションを指定すると、確認メッセージは表示されず、共有上のすべてのファイルは強制的に

閉じられます。このオプションは、スクリプトを使用するときに役立ちます。

sharename は削除したい共有名を指定します

アクセス制御リスト (Access Control List)

MMC またはコマンドラインで共有レベル ACLを表示し、変更することができます。ファイ

ルレベル ACLはコマンドラインでのみ変更することができます。

次の項目

共有レベル ACL について共有レベル ACLの表示と変更ファイルレベルの ACL の表示と変更共有レベルでの ACLを使用したグループ ID の機能の指定

共有レベルACLについて

CIFS ユーザーが共有にアクセスしようとすると、Data ONTAP は共有を含む qtree のセキュ

リティスタイルに関わらず、常に共有レベル ACL をチェックして、アクセスを許可するかど

うか決定します。

共有レベル ACL （Access Control List）は ACE（Access Control Entries）リストから構成さ

れています。各 ACE はユーザー／グループ名とアクセス許可のセットを含み、アクセス許可

のセットがユーザー／グループが共有にアクセスするかどうかを決定します。

共有レベル ACL は共有内のファイルへのアクセスのみを制限します。ファイルレベル ACL 以上のアクセスを許可することはありません。


共有レベルACLの表示と変更

共有レベル ACL を変更して、ユーザーの共有へのアクセス権をより多く／少なくすることが

できます。


共有を作成後、デフォルトでは、共有レベル ACLは Everyone と名づけられた標準的グルー

プに読み取りアクセスを与えます。ACL への読み取りアクセスは、ドメイン内のすべてのユ

ーザーおよびすべての信頼される側のドメインは共有への読み取り専用アクセス権があること

を意味します。

Windows クライアントの MMC または Data ONTAP コマンドラインを使って、共有レベル

ACL を変更することができます。

MMC を使う場合は、次のガイドラインを覚えてください。

• 指定するユーザー名とグループ名は Windows 名にする必要があります

• Windows のアクセス許可のみを指定することができます。

• 共有レベル ACL は UNIX スタイルのアクセス許可である必要があります。

Data ONTAP コマンドラインを使う場合は、次のガイドラインを覚えてください。

• Windows アクセス許可または UNIX スタイルのアクセス許可を指定することができます。

• ユーザー名とグループ名は、Windows または UNIX 名を指定できます。

• ストレージシステムが、/etc/passwd ファイルによって認証されている場合、ACL のユー

ザー名またはグループ名は、UNIX の名前であると仮定されます。ストレージシステムが、

ドメインコントローラによって認証されている場合、名前は最初に Windows の名前とみ

なされますが、名前がドメインコントローラ上に見つからないときは、ストレージシステ

ムは、UNIX 名データベースで名前を検索しようとします。

次の項目

Windows クライアントの MMC を使用した共有レベル ACL へのユーザまたはグループの追加 Windows クライアントの MMC を使用した共有レベル ACL の表示と変更 Windows クライアントの MMC を使用した共有レベル ACL からのユーザーまたはグループの削除 Data ONTAP コマンドラインを使用した共有レベルの ACL の変更 Data ONTAP コマンドラインを使用した共有レベル ACL からのユーザーまたはグループの削除 NFSv3 および NFSv4 クライアントに表示される Windows ACL 権限の基準(最小アクセス権また

は最大アクセス権)

Windows クライアントのMMCを使用した共有レベルACLへのユーザまたはグループの追加

Windows クライアントの MMC を使用して、ユーザーまたはグループを ACL に追加できます。

手順



2. 既に選択されていない場合は左ペインの [Computer Management (コンピュータの管理)] を選択します。

3. [System Tools(システムツール)] > [Shared Folders (共有フォルダ)] を選択します。


5. 右ペインの共有を右クリックします。

6. [Properties (プロパティ)] を選択します。

7. [Share Permissions (共有のアクセス許可)]タブを選択します。

共有の ACL が現れます。

8. [Add (追加)] をクリックします。

9. [Select Users, Computers, or Groups(ユーザ、コンピュータ、またはグループの選択)]ウィンドウで、ユーザー名を[Enter the object names to select(選択するオブジェクト名

を入力してください)]に入力します。



これで、ACLに新しいユーザーまたはグループが追加されます。

Windows クライアントのMMCを使用した共有レベルACLの表示と変更

Windows クライアントの MMC を使用して、共有レベル ACL を表示したり、変更したりでき

ます。

手順


2. 左側パネルで[Computer Management(コンピュータの管理)]が選択されていない場合は、

を選択します。

3. [System Tools(システムツール)] > [Shared Folders(共有フォルダ)]の順に選択します。


4. [Shares(共有)]をダブルクリックします。

5. 右側のパネルで、 [share(共有)] を右クリックします。

6. [Properties(プロパティ)]を選択します。

7. [Share Permissions(共有のアクセス許可)] タブを選択します。共有の ACL が表示され

ます。

8. 特定のグループまたはユーザーに関する ACL を変更するには、[group or user names(グループ名またはユーザ名)] ボックスで [group or user(グループ名またはユーザ名)]を選択

し、[Permissions for group or user name(group または user name のアクセス許可)」ボックスで、アクセス権限を変更します。


Windows クライアントのMMCを使用した共有レベルACLからのユーザーまたはグループの削除

Windows クライアント上の MMC を使用して、共有レベル ACL からユーザーまたはグループ

を削除することができます。

手順


2. 左側パネルで[ Computer Management(コンピュータの管理)]が選択されていない場合は、

選択します。

3. [System Tools(システムツール)]> [Shared Folders(共有フォルダ)]を選択します。

4. [Shares(共有)]をダブルクリックします。

5. 右側のパネルで、[share(共有)]を右クリックします。

6. [Properties(プロパティ)]を選択します。

7. [Share Permissions(共有のアクセス許可)] タブを選択します。

共有の ACL が表示されます。

8. ユーザーまたはグループを選択します。

9. [Remove(削除)]をクリックします。

これで、ACLからそのユーザーまたはグループが削除されました。

Data ONTAP コマンドラインを使用した共有レベルのACLの変更

Data ONTAP コマンドラインを使用して共有レベル ACL を変更するには、cifs access コマン

ドを使用します。

手順


cifs access share [-g] user rights

share は、共有の名前です。（「* 」と「? 」ワイルドカードを使用できます。）

user は、ユーザーまたはグループの名前です。（UNIX または Windows）

user がローカルグループの場合、ドメイン名としてストレージシステム名を指定します。

（例：toaster\writers など）

rights は、アクセス権です。 Windows ユーザーの場合は、No Access、Read、Change、Full Control のアクセス権の中から１つを選択します。UNIX ユーザーの場合は、 r (read)、 w (write)、 x (execute)のアクセス権の中から１つを選択します。


user が UNIX グループの名前であることを指定するには、-g オプションを指定します。

例次に、releasesという共有上のWindows ユーザーENGINEERING\mary にWindows 読み取

りアクセス権を設定する例を示します。 cifs access releases ENGINEERING\mary Read 次に、accountingという共有上のユーザー「john 」に、UNIX の読み取りおよび実行アクセス権

を設定する例を示します。 cifs access accounting john rx 次に、sysadmins という共有上のUNIX グループ Wheelにフルコントロールアクセスを設定する

例を示します。

cifs access sysadmins -g wheel Full Control

Data ONTAP コマンドラインを使用した共有レベルACLからのユーザーまたはグループの削除

Data ONTAP コマンドラインを使用して、ACL からユーザーまたはグループを削除すること

ができます。

手順


cifs access -delete share [-g] user

share は、共有の名前です。（「* 」と「? 」ワイルドカードを使用可）

user は、ユーザーまたはグループの名前です。（UNIX または Windows）

user は、ローカルグループの場合、ドメイン名としてストレージシステム名を指定します。

（例：toaster\writers など）

-g オプションを使用して、user を UNIX グループの名前に指定します（つまり、user はUNIX ユーザー、 Windows ユーザーまたは Windows グループのいずれでもありません。）

例：releases共有からのENGINEERING\mary のACL エントリの削除 cifs access -delete releases ENGINEERING\mary


NFSv3 および NFSv4 クライアントに表示されるWindows ACL 権限の基準(最小アクセス権または最大

アクセス権)

NFSv3 および NFSv4 クライアントで、ACL によって付与された最小アクセス権を基にした

Windows ACL 権限（UNIX または NFSv4 ACL 権限ではありません）が表示されるように指

定するには nfs.ntacl_display_permissive_perms オプションを on に設定します。

それ以外の場合は、このオプションを off に設定します。デフォルトでは、このオプションは

off になっています。

7.2.1 より前の Data ONTAP バージョンでは、NFSv3 および NFSv4 クライアントに表示され

るファイルに関する権限は、Windows ACL によって付与された最大アクセス権に基づいてい

ました。

ただし、Data ONTAP 7.2.1 以降、NFSv3 および NFSv4 クライアントに表示されるファイル

に関する権限は、Windows ACL によってすべてのユーザに付与される最小アクセス権に基づ

いています。

手順


options nfs.ntacl_display_permissive_perms {on | off}

ファイルレベルのACLの表示と変更

ファイルレベルの ACL を変更すると、特定のユーザーおよびグループにそのファイルへのア

クセス権を設定するかどうかを制御できます。

タスク概要

ファイルおよびディレクトリの権限の設定は、ファイルレベルの ACL に保存されます。これ

らの ACL は、Windows 2000 NTFS セキュリティモデルに準拠しています。NTFS 形式の

セキュリティが設定されたファイルの場合、CIFS ユーザは、PC を使用してファイルレベル

の ACL を設定し、表示できます。NTFS 形式の qtree 内にあるすべてのファイルと mixed 形式の qtree 内にある一部のファイルは、NTFS 形式のセキュリティを備えています。

File Allocation Table（FAT）ファイルシステム内のファイルには ACL を使用しません。

UNIX アクセス権を使用します。CIFS クライアントから見た場合、ACL のないファイルでは、

ファイルの[Properties (プロパティ)]ウィンドウの[Security (セキュリティ)]タブは表示され

ません。

ある特定のリソースのファイルシステム（FAT または NTFS）は、ストレージシステム認証

方法およびそのリソースの qtree 形式によって異なります。

Qtree の型と認証方法ファイルシステム

UNIX 形式の qtree ですべての認証方法 FAT


mixed または NTFS 形式の qtree で /etc/passwd の認証 FAT

mixed または NTFS 形式の qtree でドメインまたはワークグループの認証 NTFS


手順

1. Windows のデスクトップで、ファイルを右クリックし、ポップアップメニューの

[Properties(プロパティ)] をクリックします。

注：NT4 クライアントでは、Widelink（wide symbolic link）をサポートしている共有内にあるファ

イルを右クリックし、[Properties (プロパティ)]をクリックしても、[(Security] セキュリティ]タブは

表示されません。 cacls などのセキュリティツールを使用して、セキュリティを設定できます。あるいは、Windows 2000 クライアントからファイルにアクセスするか、ワイドシンボリックリンクをサポートしていない共有を使用してファイルにアクセスできます。

ワイドシンボリックリンクをサポートしている共有と、サポートしていない共有の 2 つの異なる

共有を同じディレクトリに置き、セキュリティの設定時は、ワイドシンボリックリンクをサポートし

ていない共有を使用できます。

2. [Security(セキュリティ)] タブをクリックします。

メモ：認証方法と qtree 形式によっては、[Security (セキュリティ)]タブは表示されませ

ん。

3. [user or group names(グループ名またはユーザ名)]ボックスから表示する権限のユーザ

ーまたはグループを選択します。

選択したグループまたはユーザーの権限は、[Permissions for user or group(user また

は group のアクセス許可)]ボックスに表示されます。



4. ファイルにユーザーまたはグループを追加するには、[Add(追加)]をクリックし、それから

[Select Users, Computers, or Groups (ユーザー、コンピュータ、またはグループの選

択)]画面の[Enter the object names to select(選択するオブジェクト名を入力してくださ

い)] ボックスにユーザーまたはグループの名前を入力します。

ユーザーまたはグループは ACLへ追加されます。

共有レベルでのACLを使用したグループ IDの機能の指定

共有に UNIX 形式のセキュリティが設定されたファイルが含まれており、共有レベルの ACLを使用して UNIX グループによるアクセスを管理する場合は、グループ ID を基準にして、フ

ァイルへのアクセスをユーザに許可するかどうかを決める必要があります。

タスク概要

specs という共有が UNIX 形式の qtree 内にあり、engineering と marketing の 2 つの UNIX グループに共有へのフルアクセス権を与える必要がある場合、共有のレベルでこれらのグル

ープに rwx アクセス権を与えます。

この共有内では、engineering グループが所有するファイルは draft という名前で、次の権限

があると仮定します。

draft rwxr-x---

engineering のメンバーが draft ファイルへアクセスしようとした場合、共有レベルの ACL はこのユーザに specs 共有への無制限のアクセス権を与え、draft ファイルへのアクセスは

engineering グループに割り当てられたアクセス権（この例では r-x）によって決まります。

ただし、marketing グループのメンバーが draft ファイルにアクセスしようとすると、アクセ

スが拒否されます。UNIX 形式のファイルアクセス権では、engineering のメンバー以外はフ

ァイルにアクセスできないためです。marketing グループが draft ファイルを読めるようにす

るには、ファイルレベルの権限を次の設定に変更する必要があります。

draft rwxr-xr-x

これらの権限の欠点は、marketing グループだけでなくすべての UNIX ユーザがファイルを読


めるようになるため、セキュリティ上の問題が生じることです。

この問題を解決するには、アクセスを許可するときに、GID を無視するように Data ONTAPを設定します。

アクセスを許可する際にユーザの GID を無視するように Data ONTAP を設定する場合、ファ

イル所有者以外のすべてのユーザが、ファイルを所有する UNIX グループのメンバーとみなさ

れます。

前述の例では、engineering グループに適用される権限は、ファイルにアクセスしようとする

marketing グループのメンバーにも適用されます。

つまり、engineering グループのメンバーと marketing グループのメンバーの両方に、draft ファイルへの r-x アクセス権があります。

Data ONTAP のデフォルトでは、アクセスを許可する前にユーザの GID が確認されます。

このデフォルトの設定は、次の条件のいずれかが当てはまる場合に役立ちます。

• UNIX 形式のセキュリティを備えたファイルが共有に含まれていない場合

• 共有レベルの ACL を使用して、UNIX グループのアクセスを管理していない場合

手順

1. 次の操作のどれかを実行します。

ユーザーアクセス権の許可に関するオプション

の指定操作

ユーザーの GID を無視する場合次のコマンドを入力します。 options cifs.perm_check_use_gid off

ユーザーの GID を検討する場合次のコマンドを入力します。 options cifs.perm_check_use_gid on

ホームディレクトリの管理

ストレージシステム上にユーザのホームディレクトリを作成し、各ユーザにホームディレク

トリ共有を自動的に割り当てるよう Data ONTAP を設定できます。

タスク概要

CIFS クライアントからは、ホームディレクトリはユーザが接続できる他の共有と同じよう

に機能します。各ユーザは自分のホームディレクトリだけに接続できます。他のユーザのホ

ームディレクトリには接続できません。

次のトピック

ストレージシステム上のホームディレクトリについて Data ONTAP でのユーザとディレクトリの照合方法ホームディレクトリでのシンボリックリンクの機能


ホームディレクトリバスの指定ホームディレクトリパスのリストの表示ホームディレクトリの名前形式の指定ホームディレクトリパスでのディレクトリの作成（ドメインの名前形式の場合）ホームディレクトリパスでのディレクトリの作成（ドメインの名前形式以外の場合）ホームディレクトリのパス拡張機能を使用する場合のホームディレクトリにおけるサブディレクトリ

の作成 UNC 名を使用してホームディレクトリを指定するための構文他のユーザーのホームディレクトリに対するアクセスの許可共有エイリアスを使用した CIFS ホームディレクトリへのアクセス共有からの Wide Symbolic Link の有効化と無効化ホームディレクトリの無効化

ストレージシステム上のホームディレクトリについて

Data ONTAP では、ホームディレクトリ名をユーザ名にマッピングし、指定されたホームディレクトリを検索し、標準共有の場合とはやや異なる方法でホームディレクトリを処理し

ます。

Data ONTAP では、名前が一致するユーザに共有が割り当てられます。照合するユーザ名に

は、Windows ユーザ名、ドメイン名付きの Windows ユーザ名、または UNIX ユーザ名のいず

れかを使用できます。ホームディレクトリ名の大文字と小文字は区別されません。

Data ONTAP でユーザ名と一致するディレクトリを検索するとき、指定したパスだけが検索

されます。

これらのパスをホームディレクトリパスといいます。

ホームディレクトリパスには、さまざまなボリュームを指定できます。

ホームディレクトリとその他の共有には次のような違いがあります。

• ホームディレクトリの共有レベルの ACLおよびコメントは変更できません。

• CIFS shares コマンドを実行しても、ホームディレクトリは表示されません。

• Universal Naming Convention (UNC) を使用してホームディレクトリを指定する形式は、

他の共有の指定する形式とは異なる場合があります。

ホームディレクトリパスとして/vol/vol1/enghome および/vol/vol2/mktghome を指定する

と、これらのパスでユーザのホームディレクトリが検索されます。

/vol/vol1/enghome パスで jdoe のディレクトリを作成し、/vol/vol2/mktghome パスで jsmith のディレクトリを作成した場合、両方のユーザにホームディレクトリが割り当てられます。

jdoe のホームディレクトリは/vol/vol1/enghome/jdoe ディレクトリに対応し、jsmith のホームディレクトリは/vol/vol2/mktghome/jsmith ディレクトリに対応します。


Data ONTAPでのユーザとディレクトリの照合方法

ホームディレクトリの名前形式を指定して、ユーザとディレクトリの照合方法を決定できま

す。

次に、選択できる名前形式と、各形式の情報を示します。

• Windows 名—Data ONTAP は名前がユーザの Windows 名と一致するディレクトリを検

索します。 • 非表示名—名前形式が非表示の場合、ユーザはドル記号を付加した Windows ユーザ名

（name$）を使用してホームディレクトリに接続します。すると、Windows ユーザー名

（name）と一致するディレクトリが検索されます。 • Windows のドメイン名および Windows 名—異なるドメインに属しているユーザが同じ

名前を持つ場合、この名前はドメイン名を使用して区別する必要があります。この名前

形式では、ドメイン名と一致するホームディレクトリパスにあるディレクトリが検索

されます。さらに、ドメインディレクトリでユーザー名と一致するホームディレク

トリが検索されます。

例: engineering\jdoe のディレクトリと marketing\jdoe のディレクトリを作成するには、

ホームディレクトリパスで 2 つのディレクトリを作成します。ディレクトリの名前は、

ドメイン名と同じになります（engineering と marketing）。これらのドメインディレクト

リにユーザのホームディレクトリを作成します。

• マッピングされた UNIX 名―名前形式が UNIX 方式の場合、ユーザのマッピングされた

UNIX 名と一致するディレクトリが検索されます。

例：John Doe の Windows 名 jdoe が UNIX 名 johndoe にマッピングされる場合、（jdoe ではなく）johndoe というディレクトリがホームディレクトリパスで検索され、ホー

ムディレクトリとして John Doe に割り当てられます。

ホームディレクトリの名前形式を指定しない場合は、ユーザの Windows 名を使用してディレ

クトリを照合します。これは、Data ONTAP バージョン 6.0 より前によって使用される形式

と同じです。

ホームディレクトリでのシンボリックリンクの機能

Symbolic Link の機能は、ホームディレクトリの名前形式によって異なります。

名前形式を指定しない場合、ホームディレクトリパスの外部にあるディレクトリを指す

Symbolic Link に従って、ホームディレクトリが検索されます。

例：ホームディレクトリパスが/vol/vol0/eng_homes であり、jdoe のホームディレクトリを

探すために、/vol/vol0/eng_homes/jdoe が検索されます。このパスは、/vol/vol1/homes/jdoe などのホームディレクトリパスの外部にあるディレクトリを指す Symbolic Link として使

用できます。

ホームディレクトリの名前形式を指定する場合、デフォルトでは、Symbolic Link は、ホー

ムディレクトリパスのディレクトリを指す場合のみ機能します。


例：ホームディレクトリパスが/vol/vol0/eng_homes であり、Windows 名前形式を使用す

ると仮定します。jdoe のホームディレクトリを探すため、Data ONTAP は/vol/vol0/eng_homes/jdoe を検索します。パスがシンボリックリンクである場合は、Symbolic Link のターゲットがホームディレクトリパス内にある場合のみ、ユーザはホームディレクト

リにアクセスできます。

たとえば、Symbolic Link が/vol/vol0/eng_homes/john ディレクトリを指す場合は、シンボリッ

クリンクが機能しますが、/vol/vol1/homes/john ディレクトリを指す場合は機能しません。

メモ：デフォルトのストレージシステム設定を変更すると、ホームディレクトリパスの

外部にあるリンク先に関連する Symbolic Link を、CIFS クライアントが参照できるようにな

ります。

Data ONTAP 6.0 では、さまざまなボリューム内でホームディレクトリを作成できるように

なったため、

ホームディレクトリ名として Symbolic Link を使用する必要はありません。

ただし、Data ONTAP でも、下位互換性を維持するために、Symbolic Link をホームディレ

クトリ名として使用できます。

ホームディレクトリバスの指定

Data ONTAP はユーザー名と一致するディレクトリに指定した順に、ホームディレクトリパ

スを検索します。ホームディレクトリパスを指定するには、/etc/cifs_homedir.cfg ファイルを

編集します。

タスク概要

複数のホームディレクトリパスを指定することができます Data ONTAP は一致するディレク

トリを見つけると検索を停止します。

複数のホームディレクトリパスを指定できます。一致するディレクトリが見つかれば、検索

は停止します。ユーザがホームディレクトリの最上位レベルにアクセスできないようにする

場合、ホームディレクトリパスに拡張子を追加できます。

拡張子は、ユーザがホームディレクトリにアクセスするときに自動的に開くサブディレクト

リを表します。cifs_homedir.cfg ファイル内のエントリを変更することにより、ホームディ

レクトリパスをいつでも変更できます。ただし、ユーザがホームディレクトリパス内に

あるファイルを開いているときに、

リストからパスを削除しようとすると、変更の確認を求める警告メッセージが表示されます。

ファイルが開いた状態でディレクトリパスを変更すると、ホームディレクトリへの接続が

切断されます。

デフォルトの cifs_homedir.cfg ファイルがない場合は、CIFS の開始時に/etc ディレクトリに

このファイルが作成されます。このファイルの変更内容は、CIFS の開始時に自動的に処理さ

れます。cifs homedir load コマンドを使用して、このファイルの変更内容を処理することもで


きます

手順

1. ホームディレクトリパスとして使用するディレクトリを作成します。たとえば、/vol/vol0 ボリューム

内に、enghomeというディレクトリを作成します。

2. 編集のために/etc/cifs_homedir.cfg ファイルを開きます。

3. で/etc/cifs_homedir.cfg ファイルに、1 行につき 1 エントリずつ、Data ONTAPがユーザーホームディレクトリを検索するパスとして、作成したホームディレクトリパス名を入力します。

メモ：1000 個までパス名を入力できます。

4. 次のコマンドを入力して、エントリを処理します。

cifs homedir load [-f]

-fオプションを指定すると、新しいパスが強制的に使用されます。

ホームディレクトリパスのリストの表示

cifs homedir コマンドを使用すると、ディレクトリパスの現在のリストを表示できます。

手順


cifs homedir

メモ：ホームディレクトリに非表示の名前形式を使用している場合、ホームディレク

トリパスのリストを表示すると、ドル記号が自動的にホームディレクトリ名に付加

されます（name$など）。

結果

ホームディレクトリに非表示の名前形式を使用している場合、ホームディレクトリは次の場

合に表示されません。

• DOS で、net view \\filer コマンドを使用する場合。

• Windows で、Explorer アプリケーションを使用してストレージシステムにアクセスし、ホ

ームディレクトリフォルダーを表示する場合。

ホームディレクトリの名前形式の指定

ホームディレクトリに使用する名前形式を指定するには、cifs.home_dir_namestyle オプションを使

用します。


手順


options cifs.home_dir_namestyle {ntname | hidden | domain | mapped | ""}

Windows ユーザ名と同じホームディレクトリ名を使用する場合は「ntname」を使用しま

す。

ドル記号を付加した Windows ユーザ名を使用して、Windows ユーザ名と同じ名前のホー

ムディレクトリの検索を開始したい場合は、「hidden」を使用します。

Windows ユーザ名とともにドメイン名を使用してホームディレクトリを検索する場合

は、domain を使用します。

usermap.cfg ファイルで指定した UNIX ユーザ名と同じホームディレクトリ名を使用す

る場合は、mapped を使用します。

名前形式を指定せずに、ホームディレクトリとユーザを照合する場合は、「""」を使用

します。

このようにすると、ホームディレクトリパスの外部にあるディレクトリを指す

Symbolic Link に従って、ホームディレクトリが検索されます。

デフォルトでは、cifs.home_dir_namestyle オプションは「""」になっています。

ホームディレクトリパスでのディレクトリの作成（ドメインの名前形式の場合）

cifs.home_dir_namestyle オプションが domain の場合は、/etc/cifs_homedir.cfg を編集し、ホ

ームディレクトリを作成して、権限を設定することにより、ホームディレクトリを作成

できます。

手順

1. /etc/cifs_homedir.cfg ファイルを開き、ホームディレクトリを作成するパスを追加します。

各ユーザの所属するNetBIOS ドメインの名前の付いたフォルダ内に、ホームディレクトリを作成し

ます。たとえば、/vol/vol1/homedir というパスを/etc/cifs_homedir.cfg ファイルに追加します。

2. /etc/cifs_homedir.cfg ファイルに追加したディレクトリ内に、各ドメインのディレクトリを作成しま

す。

たとえば、HQ と UKという 2 つのドメインがある場合、/vol/vol1/homedir/hq/ ディレクトリおよび

/vol/vol1/homedir/uk/ ディレクトリを作成します。

3. 手順 2 で作成した各ドメインディレクトリに、そのドメイン内の各ユーザが使用するホームディレク

トリを作成します。

たとえば、2 人のユーザーが同じ jsmith で、HQ ドメインとUK ドメインに属している場合は、 /vol/vol1/homedir/HQ/jsmith ホームディレクトリと/vol/vol1/ homedir/UK/jsmith ホームディレク

トリを作成します。


4. 各ユーザをそれぞれのホームディレクトリの所有者に設定します。

たとえば、 HQ\jsmith を/vol/vol1/homedir/HQ/jsmith ホームディレクトリの所有者に設定し、

UK\jsmith を /vol/vol1/homedir/UK/jsmith ホームディレクトリの所有者に設定します。

HQ\jsmith という名前のユーザーは、/vol/ vol1/homedir/HQ/jsmith ホームディレクトリに対応す

るjsmithという共有に接続することができます。

UK\jsmithという名のユーザーは、/vol/vol1/homedir/UK/jsmith ホームディレクトリに対応する

jsmith という共有に接続することができます。

5. 新しいCIFSの homedir 設定をストレージシステムにロードします。

たとえば、次のコマンドを入力します。

cifs homedir load -f

6. 次のコマンドを入力して、CIFS homedir のドメイン名の形式が有効であることを確認します。

cifs homedir showuser user_name

たとえば、次のいずれかのコマンドを入力します。

cifs homedir showuser hq/jsmith

cifs homedir showuser uk/jsmith

ホームディレクトリパスでのディレクトリの作成（ドメインの名前形式以外の場合）

cifs.home_dir_namestyle オプションが domain ではない場合は、ホームディレクトリを作成

して、ユーザをそのディレクトリの所有者にすることにより、ホームディレクトリを作成す

ることができます。

手順

1. 指定したホームディレクトリパスにホームディレクトリを作成します。

例

たとえば、jsmith と jdoeという 2 人のユーザがいる場合は、/vol/vol0/enghome/jsmith ホームデ

ィレクトリと /vol/vol1/mktghome/jdoe ホームディレクトリを作成します。

ユーザーは、ユーザー名と同名の共有に接続して、共有をホームディレクトリとして使用できるよ


2. 各ユーザーをそれぞれのホームディレクトリの所有者にします。

例

たとえば、jsmithを/vol/vol0/enghome/jsmithホームディレクトリの所有者に設定し、jdoe を/vol/vol1/mktghome/jdoe ホームディレクトリの所有者に設定します。

メモ：名前形式が非表示の場合、ユーザはドル記号を付加したユーザ名(たとえば、

name$)を入力して、ホームディレクトリに接続する必要があります。

engineering\jsmith という名前のユーザを、/vol/vol0/enghome/engineering/jsmith ホームディ


レクトリに対応するjsmithという共有に接続することができます。

marketing\jdoeという名前のユーザーを、/vol/vol1/mktghome/marketing/jdoeホームディレクト

リに対応するjdoeという共有に接続することができます。

ホームディレクトリのパス拡張機能を使用する場合のホームディレクトリにおけるサブディレクトリの作成

ホームディレクトリパス拡張機能を使用すると、ユーザがアクセスできるサブディレクト

リをホームディレクトリ内に作成することができます。

手順

1. 拡張されたホームディレクトリパス内にある各ホームディレクトに対して、ユーザがアクセスでき

るサブディレクトリを作成します。例えば、/etc/cifs_homedir.cfg ファイルに

/vol/vol0/enghome/%u%/data パスが含まれる場合、dataというサブディレクトリを各ホームディ

レクトリ内に作成します。

ユーザは、ユーザ名と同名の共有に接続できます。共有に読み書きするとき、ユーザはdata サブディレクトリに効

率よくアクセスできます。

UNC名を使用してホームディレクトリを指定するための構文

UNC の使用時にホームディレクトリを指定するための規則は、cifs.home_dir_namestyle オプションで指定

するホームディレクトリの名前形式によって異なります。

次の表に、namestyle 値ごとの UNC 名、および例を示します。

cifs.home_dir_namestyle の値 UNC 名

ntname または "" \\filer\Windows_NT_name 例：\\toaster\jdoe

Hidden \\filer\Windows_NT_name$ 例： \\toaster\jdoe$

domain \\filer\~domain~Windows_NT_name 例：\\toaster\~engineering~jdoe

mapped \\filer\~mapped_name 例：\\toaster\~jdoe

cifs.home_dir_namestyle が domain であるにもかかわらず、アクセス要求内の UNC 名でドメ

イン名を指定しない場合、ドメインは、要求の送信先となるドメインとみなされます。

アクセス要求内のドメイン名を省略する場合、ユーザ名の前のチルダ（~）も省略できます。

例


jdoe というユーザが engineering ドメイン内の PC から engineering\jdoe としてログインしていま

す。このユーザが、marketing ドメインにある自分のユーザ名を使用して自分のホームディレクトリに

アクセスしようとする場合、次のコマンドのどちらかを使用してアクセスを要求することができます。 net use * \\toaster\~jdoe /user:marketing\jdoe net use * \\toaster\jdoe /user:marketing\jdoe

他のユーザーのホームディレクトリに対するアクセスの許可

ユーザは自分のホームディレクトリだけに接続できますが、他のユーザのホームディレクト

リへのアクセスを許可することができます。

手順

1. 次のどちらかのパス名に対応する共有を作成します。

• cifs.home_dir_name_style が domain ではない場合、ホームディレクトリパス

• cifs.home_dir_name_style が domain の場合、ホームディレクトリパス内のドメイン

ディレクトリ

例：vol/vol0/enghome がホームディレクトリパスの場合は、次のコマンドを使用します。

cifs shares -add eng_dirs /vol/vol0/enghome -comment "readable engineering home directories"

2. 各ユーザのホームディレクトリに対する適切なアクセス権を、各ユーザに割り当てます。

例：次のように、eng_dirs 共有の読み取り専用の権限を engineering グループに割り当て

ます。

cifs access eng_dirs engineering full

engineering グループのメンバーは、eng_dirs 共有内にあるすべてのホームディレクトリ

に対する読み取り専用の権限を持ちます。

共有エイリアスを使用したCIFS ホームディレクトリへのアクセス

CIFS ホームディレクトリのどの名前形式でも、cifs.homedir またはチルダ（~）のいずれか

の共有のエイリアスを使用すると、各自の CIFS ホームディレクトリに接続できます。

タスク概要

各自の CIFS ホームディレクトリに接続する方法は、スクリプトの作成時に役立ちます。

手順

1. cifs.homedir またはチルダ (~) 共有エイリアスのどちらかを使って各自のCIFS ホームディレク

トリにアクセスします。

例


net use * \\toaster\cifs.homedir net use * \\toaster\~

共有からのWide Symbolic Linkの有効化と無効化

共有またはストレージシステムの外部に対する絶対パスによる Symbolic Link を、CIFS クラ

イアントが参照できるようにするには、共有からの Wide Symbolic Link を有効にします。デ

フォルトでは、この機能は無効になっています。

手順


目的操作

共有からのWide Symbolic Linkを有効にする

場合

Data ONTAP コマンドラインで、次のコマンドを入力しま

す。 cifs shares -change sharename -widelink

共有からのWide Symbolic Link を無効にする

場合

On the Data ONTAP コマンドラインで、のコマンドを入

力します。 cifs shares -change sharename -nowidelink

メモ：共有を作成する場合に widelink オプションを指定して、共有からの Wide Symbolic Link を有効にすることもできます。

タスク概要

共有からの Wide Symbolic Link を有効にした後で、ストレージシステムが Wide Symbolic Link のリンク先を決定する方法を指定するために、/etc/ symlink.translations ファイル内に

Widelink エントリを作成する必要があります。

ホームディレクトリの無効化

ホームディレクトリの割り当てを停止するには、/etc/cifs_homedir.cfg ファイルを削除します。

cif sshares -delete コマンドを使用して、ホームディレクトリを削除することはできません。

手順

1. ストレージシステム上の /etc/cifs_homedir.cfg ファイルを削除します。

ローカルユーザーとグループの管理

このセクションでは、ストレージシステム上でのローカルユーザーとグループの作成と管理

について説明します。


次のトピック

ローカルユーザの管理

ローカルグループの管理

ローカルユーザの管理

ローカルユーザは、ユーザおよびグループのリストで指定できます。

たとえば、ファイルレベルの ACL と共有レベルの ACL にローカルユーザを指定できます。

また、ローカルユーザをローカルグループに追加することもできます。

次のトピック

ローカルユーザーアカウントの作成が必要な場合ストレージシステムの認証方法の表示ローカルユーザーアカウントの制限ローカルユーザーアカウントを追加、表示、および削除

ローカルユーザーアカウントの作成が必要な場合

ストレージシステムにローカルユーザーアカウントを作成する理由はいくつかあります。

• ストレージシステムの設定時に、ストレージシステムを Windows ワークグループのメ

ンバーに設定した場合は、ローカルユーザアカウントを作成する必要があります。

この場合、ストレージシステムは、ローカルユーザアカウントの情報を使用して、ユーザ

を認証します。

• ストレージシステムがドメインのメンバーである場合:

• トレージシステムは、ローカルユーザアカウントを使用して、信頼できないドメイ

ンからストレージシステムに接続しようとするユーザを認証できます。

• ドメインコントローラがダウンしているか、またはネットワークの問題によってスト

レージシステムがドメインコントローラに接続できない場合でも、ローカルユーザは

ストレージシステムにアクセスできます。たとえば、ストレージシステムがドメイン

コントローラに接続できない場合でも、ローカルユーザアカウントを使用してストレ

ージシステムにアクセスできるように、BUILTIN\Administrator アカウントを定義でき

ます。

メモ：

ストレージシステムの設定時に、ストレージシステムが UNIX モードを使用してユーザを認

証するように設定した場合は、ローカルユーザアカウントを作成しないでください。 UNIX モードでは、ストレージシステムは常に UNIX パスワードデータベースを使用してユーザを

認証します。


ストレージシステムの認証方法の表示

ストレージシステムの認証方法を表示して、ローカルユーザおよびグループを作成する必要

があるかどうかを判別するには、cifs sessions コマンドを入力します。

手順


cifs sessions

詳細については、 na_cifs_セッション(1) マニュアルページを参照してください。

ローカルユーザーアカウントの制限

ローカルユーザーアカウントには次の制限があります。

• ユーザマネージャを使用して、ストレージシステム上のローカルユーザアカウントを

管理することはできません。 • Windows NT 4.0 のユーザマネージャは、ローカルユーザアカウントを表示するときの

み使用できます。ただし、Windows 2000 のユーザマネージャを使用する場合は、｢ユーザ

ー」メニューから、ローカルユーザーを表示できません。｢グループ｣メニューからローカ

ルユーザを表示する必要があります。

• 96 個までのローカルユーザーアカウントを作成できます。

ローカルユーザーアカウントを追加、表示、および削除

ローカルユーザアカウントを追加、表示、および削除するには、useradmin コマンドを使用

します。

ストレージシステム上で管理ユーザの作成、表示、および削除を行う場合にも、useradminコマンドを使用します（このコマンドを使用して、domainuser サブコマンドによってローカ

ルでないユーザを管理することもできます）。

useradmin コマンドの使用方法の詳細については、System Administration Guide Data ONTAP『システムアドミニストレーションガイド』の「管理者アクセスの制御」を参照してください。

メモ：Data ONTAP では、useradmin コマンドで作成されたユーザアカウントのリストが 1 つ

保持されます。ローカルユーザアカウントと管理ユーザアカウントでは、同じタイプ

の情報を保持しています。適切な Admin Role のあるローカルユーザアカウントを持つ

CIFS ユーザは、ストレージシステムへのログインに Windows の RPC コールを使用できます。詳しくは、Data ONTAP『システムアドミニストレーションガイド』の「管理者アクセスの制

御」の章を参照してください。


ローカルグループの管理

ローカルグループを管理して、ユーザがアクセスできるリソースを制御できます。

タスク概要

ローカルグループは、信頼できるドメインからのユーザまたはグローバルグループで構成

されます。

ローカルグループのメンバーはファイルおよびリソースにアクセスできます。

特定のローカルグループのメンバーシップによって、ストレージシステムに関する特別な権

限が付与されます。

たとえば、BUILTIN\Power Users のメンバーは共有を操作できますが、それ以外の管理権限

はありません。

CIFS クライアントには、次のいずれかの形式でローカルグループの名前が表示されます。

• FILERNAME\localgroup

• BUILTIN\localgroup

次のトピック

Data ONTAP コマンドラインを使用したローカルグループの追加、表示、および削除 Windows クライアントの MMC を使用したローカルグループの追加 Windows クライアントの MMC を使用したローカルグループへのユーザの追加 Windows クライアントの MMC を使用したローカルグループの削除 SnapMirror によるローカルグループの処理

Data ONTAPコマンドラインを使用したローカルグループの追加、表示、および削除

Data ONTAP コマンドラインを使用して、ローカルグループを追加、表示、および削除する

には、useradmin コマンドを使用します。

詳細については、Data ONTAP System Administration Guide を参照してください。

WindowsクライアントのMMCを使用したローカルグループの追加

Windows クライアントの MMC を使用して、ローカルグループを追加することができます。

手順


2. 左パネルで[Computer Management (コンピュータの管理)]が選択されていない場合は、

選択します。

3. [System Tools (システムツール)] > [Local Users and Groups (ローカルユーザとグループ)] の順に選択します。


4. [Groups (グループ)] を右クリックします。

5. [New Group (新しいグループ)] を選択します。

6. [New Group (新しいグループ)] ボックスにグループの名前と説明を入力します。

7. [Create (作成)]をクリックします。

新しいグループがストレージシステム上に作成されます。

WindowsクライアントのMMCを使用したローカルグループへのユーザの追加

Windows クライアントの MMC を使用して、ローカルグループにユーザを追加できます。

手順


2. 左側パネルで[Computer Management (コンピュータの管理)]が選択されていない場合は、

を選択します。

3. [System Tools (システムツール)] > [Local Users and Groups (ローカルユーザとグルー

プ) ]の順に選択します。

4. [Groups ( グループ)] をダブルクリックします。

5. 右側のパネルで、ユーザーを追加するグループを右クリックします。

6. [Add to Group (グループに追加)] を選択します。

結果: [Properties(プロパティ)] ボックスが表示されます。

7. [Properties(プロパティ)] ボックスで、 [Add (追加)]をクリックします。

8. [Select Users、Computer, Groups (ユーザ、コンピュータ、または、グループの選択)]ウィンド

ウで、 [Enter the object names to select (選択するオブジェクト名を入力してください)] ボッ

クスにユーザーの名前を入力します。


9. OK をクリックします。

MMC がグループにユーザが追加されます。

WindowsクライアントのMMCを使用したローカルグループの削除

Windows クライアントの MMC を使用して、ローカルグループを削除することができます。

手順


2. 左パネルで[Computer Management (コンピュータの管理)]が選択されていない場合は、選択します。

3. [System Tools (システムツール)] > [Local Users and Groups (ローカルユーザとグループ)] > [Groups (グループ)] の順に選択します。

4. 右側のパネルで、ユーザを追加するグループを右クリックします。

5. [Remove (削除)] を選択します。


MMC がローカルグループを削除します。

SnapMirrorによるローカルグループの処理

複製データは、読み取り専用ボリュームであり、その ACL や権限を変更できないため、

SnapMirror によって複製されるファイルの ACL では、ローカルグループを使用しないでくだ

さい。

SnapMirror 機能を使用して、ローカルグループに ACL が設定されているボリュームを、他の

ストレージシステムにコピーする場合、ACL は複製データに適用されません。これは、グル


ープがソースストレージシステムに対してローカルであるためです。

SnapMirror によって複製されるファイルの ACL でローカルグループを使用する場合は、

MultiStore 製品を使用します。 MultiStore 製品の詳細については、[MultiStore Management Guide]を参照してください。

グループポリシーオブジェクトの適用

ストレージシステムは、Group Policy Object（GPO;グループポリシーオブジェクト）をサ

ポートしています。 GPO は、Active Directory 環境のコンピュータに適用される一連のルー

ル（グループポリシー属性）です。

タスク概要

Data ONTAP は、ストレージシステム上でCIFS およびGPO が有効になっている場合、 Active Directory サーバにLDAP クエリを送信してGPO 情報を要求します。

Active Directory サーバは、ストレージシステムに適用できる GPO 定義がある場合、次の項

目を含む GPO の情報を返します。

• GPO 名

• 現在の GPO バージョン

• GPO 定義の場所

• GPO ポリシーセットの Universally Unique Identifier（UUID）一覧

メモ：Windows GPO の詳細については、Microsoft ウェブサイトを参照してください。

すべての GPO がストレージシステムに適用できるわけではありませんが、ストレージシス

テムは関連する GPO を認識し処理することができます。

ストレージシステムでは現在、次の GPO をサポートしています。

• スタートアップおよびシャットダウンスクリプト

• コンピュータのグループポリシーの更新間隔（ランダムオフセットを含む）

• ファイルシステムのセキュリティポリシー

• 制限されたグループのセキュリティポリシー

• イベントログ

• 監査

• 所有権の取得のユーザ権

メモ：イベントログおよび監査ポリシーの設定は、ストレージシステムと Windows システ

ムで適用方法に違いがあります。また、Windows のビルトイン管理者アカウントを含ま

ない所有権の取得のユーザリストまたはグループリストを定義すると、これらの管理者


は所有権の取得の権限を失います。

次のトピック

ストレージシステムで GPO を使用するための要件ストレージシステムと OU の関連付けストレージシステム上での GPO サポートの有効化と無効化ストレージシステム上での GPO の管理

ストレージシステムでGPOを使用するための要件

ストレージシステムで GPO を使用するには、いくつか満たすべき要件があります。

該当する要件は次のとおりです。

• ストレージシステム上で CIFS のライセンスが付与され、有効になっている

• cifs setup コマンドを使用して CIFS が設定されており、セットアップ処理でストレージシステムが Windows ドメイン(バージョン 2000 以降)に参加するようになっている。

• Windows Active Directory サーバ上の GPO 設定には、ストレージシステムと Organizational Unit (OU) の関連付けがされている。

• ストレージシステム上で GPO のサポートが有効になっている。

ストレージシステムとOUの関連付け

デフォルトでは、cifs setup 処理中にストレージシステムと OU の関連付けはされません。こ

の関連付けを明示的に設定する必要があります。

手順

1. Windows サーバで[Active Directory ユーザとコンピュータ] ツリーを開きます。

2. ストレージシステムの Active Directory オブジェクトを探します。

3. 該当オブジェクトを右クリックして、 [Move (移動)] を選択します。

4. ストレージシステムに関連付ける OU を選択します。

結果

選択した OU 内にストレージシステムオブジェクトが移ります。

ストレージシステム上でのGPOサポートの有効化と無効化

cifs.gpo.enable オプションを設定すれば、ストレージシステムに GPO サポートを有効化ま

たは無効化できます。

手順


1. 次のいずれかの操作を行います。

目的操作

GPO を有効にする場合次のコマンドを入力します。 options cifs.gpo.enable on

GPO を無効にする場合次のコマンドを入力します。 options cifs.gpo.enable off

ストレージシステム上でのGPOの管理

Group Policy Object（GPO）の作成、表示、更新、およびトラブルシューティングをストレ

ージシステム上で行えます。

次のトピック

ファイルシステムのセキュリティ GPO の作成現在の GPO とその結果の表示 GPO 設定の更新 GPO の更新に関する問題のトラブルシューティングストレージシステムのスタートアップとシャットダウンスクリプトについて /etc/ad ディレクトリについて Data ONTAP のパス名の設定要件

ファイルシステムのセキュリティGPOの作成

GPO ファイルシステムのセキュリティの設定は、Data ONTAP のファイルシステムオブジェ

クト（ディレクトリまたはファイル）に直接設定できます。

GPO ファイルシステムのセキュリティ設定はディレクトリ階層で共有されます。

つまり、GPO のセキュリティ設定をディレクトリ上で行うと、そのセキュリティ設定は該当

するディレクトリ内のオブジェクトに適用されます。

メモ：

これらのファイルシステムのセキュリティ設定は、mixed 形式または NTFS 形式のボリュ

ーム、または qtree 内にのみ適用できます。これらのセキュリティ設定を UNIX 形式のボ

リュームや qtree 内のファイルまたはディレクトリに適用することはできません。

ファイルシステムのセキュリティ ACL が伝播されるのは、約 280 のディレクトリ階層レ

ベルまでです。

手順

1. Windows サーバで[Active Directoryのユーザとコンピュータ]ツリーを開きます。


2. ストレージシステムを含むOrganization Unit (OU) を右クリックします。

3. [Group policy (グループポリシー)]タブを選択して、 [New(新規)] をクリックします。

4. 新しい GPO に名前を入力します。

5. 新しい GPO を強調表示し、［Edit (編集)］をクリックします。

グループポリシーオブジェクトエディタが表示されます。

6. [Computer configuration (コンピュータの構成)] > [Windows settings (Windows の設定)] > [security settings (セキュリティの設定)] の順にダブルクリックします。

7. [File System (ファイルシステム)]を右クリックして [Add File (ファイルの追

加)]を選択します。

[Add a file or folder (ファイルまたはフォルダの追加)]ボックスが表示されます。

メモ：ローカルサーバのドライブを検索するオプションは選択しないでください。

8. ｢フォルダ｣フィールドにGPO の適用先ストレージシステムのパスを入力し[OK] をクリックします。

｢Database Security (データベースセキュリティ )｣ウィンドウが開きます。

9. 「Database Security (データベースセキュリティ)｣ウィンドウで、必要な許可を選択し、[OK]をクリックします。


[Add Object (オブジェクトの追加)]ウィンドウが開きます。

10. [Add Object (オブジェクトの追加)]ウィンドウで、必要なACL 承継を選択し、[OK] をクリックします。


グループポリシーエディタに新しいオブジェクト名が表示されます。

11. グループポリシーエディタと [OU Properties (組織単位のプロパティ)]ダイアログボックスを閉じます。


12. ストレージシステム上で、次のコマンドを入力して新しい GPO を取得し、適用します。

cifs gpupdate

cifs gpupdate コマンドで明示的に新しい GPO を適用しない場合、新しい GPO が適用さ

れるのは、ストレージシステムが次回に Active Directory サーバに照会したときになりま

す（つまり、90 分以内）。

現在のGPOとその結果の表示

ストレージシステムに現在適用されている GPO とその結果を表示するには、cifsgpresult コマンドを使用します。

cifs gpresult コマンドは、Windows 2000/XP の gpresult.exe / force コマンドの出力結果を

模しています。

メモ：cifs gpresult コマンドの出力には、ご使用のストレージシステムおよび現在の Data ONTAP リリースに関連する group policy 設定しのみ表示されます。

手順


cifs gpresult [-r] [-d] [-v]

- r は、ストレージシステムへの現在の GPO の適用結果が表示されます。

- v は、適用できる GPO に関する情報および適用の結果などを含んだ詳細画面が表示されます。

- d は、 cifs gpresult -v の出力が/etc/ad/gpresult_timestamp ファイルにダンプされます。

オプションを指定しない場合は、ストレージシステムに現在適用できる GPO に関する情

報(名前、バージョン、場所など)が表示されます。

GPO設定の更新

Data ONTAP では、90 分ごとに GPO の変更が取得および適用され、16 時間ごとにセキュリ

ティ設定が更新されます。ただし、cifs gpupdate コマンドを入力して、強制的に更新するこ

ともできます。

ストレージシステム上のグループポリシーの設定は次の 3 つの方法で更新できます。

• すべての GPO を 90 分に 1 回確認。デフォルトでは、Data ONTAP は GPO の変更がな

いかどうかを Active Directory に照会します。Active Directory に記録されている GPO のバージョンがストレージシステム上の GPO のバージョンより高い場合、Data ONTAP は新しい GPO を取得して適用します。バージョンが同一の場合、ストレージシステム上の

GPO は更新されません

• セキュリティ設定の GPO を 16 時間に 1 回更新。Data ONTAP は、セキュリティ設定の

GPO に変更がある場合もない場合も、16 時間に１回これらの GPO を取得し適用します。

メモ：16 時間はデフォルトの値で、現在の Data ONTAP バージョンでは変更できません。こ


れは Windows クライアントのデフォルト設定です。

• Data ONTAP コマンドを使用してオンデマンドですべての GPO を更新。このコマンドは、

Windows 2000/XP の gpupdate.exe /force コマンドの出力結果を模しています。

手順

1. グループポリシー設定を手動で更新するには、次のコマンドを使用します。

cifs gpupdate

GPOの更新に関する問題のトラブルシューティング

cifs gpupdate コマンドを実行した場合などに、Data ONTAP のコンソールに、GPO 設定が正

常に適用されたことを示すメッセージが表示されないときは cifs.gpo.trace.enable オプション

を使用して、ストレージシステムの GPO 接続に関する診断情報を確認する必要があります。

更新されたポリシー設定がストレージシステムの GPO に適用されると、ストレージシステ

ムのコンソール上に次のようなメッセージが 1 つまたは両方表示されます。

CIFS GPO System: GPO processing is successfully completed. CIFS GPO System: GPO security processing is completed.

手順

1. 次のコマンドを入力して GPO トレースを有効にします。

options cifs.gpo.trace.enable on

2. 次のコマンドを入力して GPO 設定を更新します。

cifs gpupdate

次の例に示すような、GPO に関する Active Directory 情報が含まれたメッセージが表示さ

れます。

CIFS GPO Trace: Site DN: cn=Default-First-Site-Name, cn=sites,CN=Configuration,DC=cifs,DC=lab,DC=company, DC=com. CIFS GPO Trace: Domain DN: dc=CIFS,dc=LAB,dc=COMPANY, dc=COM. CIFS GPO Trace: Filer DN: cn=user1,ou=gpo_ou,dc=cifs, dc=lab,dc=company,dc=com. CIFS GPO Trace: Processing GPO[0]: T_sub. CIFS: Warning for server \\LAB-A0: Connection terminated.

GPO のトレースメッセージは、 GPO トレース機能がオフにされるまでコンソールとメ

ッセージログに出力されます。

3. 次のコマンドを入力して、 GPO トレースを無効にします。

options cifs.gpo.trace.enable off


ストレージシステムのスタートアップとシャットダウンスクリプトについて

GPO がストレージシステム上で有効になっていて、Active Directory ドメインで指定されて

いる場合、CIFS を起動またはシャットダウンするたびに、スタートアップおよびシャットダ

ウンスクリプトが実行されます。

ストレージシステムはドメインコントローラの sysvol ディレクトリからスクリプトを取得し、

ローカルの/etc/ad ディレクトリに保存します。

メモ: ストレージシステムは、スタートアップおよびシャットダウンスクリプトの更新を

定期的に取得しますが、スタートアップスクリプトが適用されるのは CIFS が次回に起動

されたときです。

/etc/adディレクトリについて

ストレージシステム上で cifs.gpo.enable オプションを使用して初回に GPO サポートを有効

にすると、/etc/ad ディレクトリが作成されます。

このディレクトリは、次のレポジトリとして使用されます。

• ドメインコントローラから取得した GPO のスタートアップおよびシャットダウンスク

リプト。

• cifs gpresult -d コマンドの出力。

Data ONTAPのパス名の設定要件

対象となるファイル名またはディレクトリ名の形式は、Data ONTAP が認識できる、絶対パ

ス名または相対パス名形式である必要があります。

ここでは、パス名形式の詳細を示します。

• 絶対パス名-例: /vol/vol0/home

絶対パス名で示された場合、Data ONTAP は指定された対象ファイルまたは対象ディレク

トリ内のファイルにファイルシステムのセキュリティ設定を適用します。この例では、設

定はストレージシステムのルートボリューム内の/home ディレクトリに適用されます。

• 相対パス名-例: /home

相対パス名（/vol で始まらないパス名）で示された場合、Data ONTAP は指定された要素

が含まれるすべての対象ファイルまたは対象ディレクトリにファイルシステムのセキュリ

ティ設定を適用します。この方法は、シングルストレージシステム内で並列に位置する

複数の対象に設定を適用する場合に便利です。

この例では、設定は/home ディレクトリを持つすべての vFiler ユニットに適用されます。


oplock でのクライアントパフォーマンスの向上

oplock（opportunistic locks）を使用すると、特定のファイル共有シナリオで動作する CIFS クライアントは、先読み、あと書き、およびロック情報をクライアント側でキャッシュできます。

これによりクライアントは、目的のファイルへのアクセス要求をサーバに定期的に通知しなく

ても、ファイルの読み書きを実行できます。この処理によって、ネットワークトラフィック

が軽減し、パフォーマンスが向上します。

次のトピック

oplocks を使用するときの書き込みキャッシュデータ消失に関する考慮事項ストレージシステムでの oplock の有効化と無効化 qtree での oplock の有効化と無効化 oplock ブレークを送信するための遅延時間の変更

oplocksを使用するときの書き込みキャッシュデータ消失に関する考慮事項

ある環境では、プロセスがファイルに対して排他的な oplock を使用している場合に、別のプ

ロセスがそのファイルを開こうとすると、最初のプロセスは、キャッシュされたデータを無効

にし、書き込みとロックをフラッシュする必要があります。クライアントは oplock を放棄し、

ファイルにアクセスする必要があります。このフラッシュ時にネットワーク障害が発生すると、

キャッシュされた書き込みデータが失われることがあります。

データ消失の可能性：データの書き込みがキャッシュされるアプリケーションでは、次の場合

にそのデータを失う可能性があります。

• ファイルに対して排他的な oplock を使用している場合

• その oplock を破棄するか、ファイルを閉じるように指示された場合

• 書き込みキャッシュをフラッシュするプロセスで、ネットワークまたはターゲットシステ

ムにエラーが発生した場合

エラー処理および書き込みの完了。キャッシュ自体にはエラー処理機能がありません。アプリ

ケーションがエラー処理を行います。アプリケーションがキャッシュへの書き込みを行うと、

書き込みは必ず完了します。またキャッシュがネットワークを介してターゲットシステムに

書き込みを行う場合、書き込みは正常に終了することを前提とする必要があります。このよう

な前提でないと、後続のプロセスでデータが失われるからです。

ストレージシステムでのoplockの有効化と無効化

ストレージシステムで oplock を有効にすると、個々の qtree の oplock を有効または無効にで

きます。

タスク概要

ストレージシステム上の CIFS oplocks はデフォルトでオンです。

次の状況のいずれかの状況では CIFS oplocks をオフにします。


• oplock をオフにするようにマニュアルで推奨されているデータベースアプリケーション

を使用している場合

• CIFS クライアントが信頼性の低いネットワーク上にある場合

• 重要なデータを処理中で、わずかなデータでも失うことができない場合。

その他の場合には、 CIFS oplocks をオンにしたままにできます。

ストレージシステムで CIFS oplock をオンにしても、クライアントの個々の設定は変更され

ません。

ストレージシステムで CIFS oplock をオフにすると、ストレージシステムとの間のすべての

oplock が無効になります。

Windows レジストリ設定を使用して、個々のクライアントで CIFS oplock をオンまたはオフ

にすることができます。

手順

1. 次の操作のいずれかを行います。

目的操作

ストレージシステムに oplocksを有効にする場合次のコマンドを使用します。 options cifs.oplocks.enable on

ストレージシステムに oplocksを無効にする場合次のコマンドを使用します。 options cifs.oplocks.enable off

結果

cifs.oplocks.enable オプションを on に設定すると、qtree ごとの oplock 設定が有効になりま

す。

このオプションをオフに設定すると、qtree ごとの oplock 設定に関係なく、すべての qtree のoplock が無効になります。

qtreeでのoplockの有効化と無効化

ストレージシステムレベルで oplock を有効にすると、個々の qtree の oplock を有効または

無効にできます。

手順

1. 次のアクションのうち 1 つを行います。

目的操作

qtree で oplocks を有効にする場合次のコマンドを入力します。 qtree oplocks qtree_name enable

qtree で oplocks を無効にする場合次のコマンドを入力します。 qtree oplocks qtree_name disable


結果

cifs.oplocks.enable オプションを on に設定すると、qtree に対して qtree oplocks コマンドが

即座に有効になります。

cifs.oplocks.enable オプションが off の場合は、オプションを on に変更するまで qtree oplocks コマンドは有効になりません。

oplockブレークを送信するための遅延時間の変更

ファイルの oplock を所有しているクライアントがファイルオープン要求を送信した場合、そ

のクライアントはストレージシステムが oplock ブレークを要求した場合に発生する「競合

状態」に対して一時的に脆弱になります。

この状況を防ぐため、ストレージシステムは cifs.oplocks.opendelta オプションによって指

定された遅延時間の値（ミリ秒）に従い oplock ブレーク送信を遅延させます。

タスク概要

デフォルトの遅延時間値は 0 ミリ秒です。仮にお使いのストレージシステムが古い Microsoft Windows クライアント、例えば最新サービスパックなしの Microsoft Windows NT 4.0 や Microsoft Windows NT 3.5.1 をサポートする必要がある場合、 Microsoft Knowledge Base 記事 163525 で説明されているパフォーマンスの障害を防止するために、このデフォル

ト値を変更しないでください。

古いバージョンの Windows を実行するクライアントがない場合は、この遅延時間を他の値、

例えば、8 に変更できます。

この意味は、ストレージシステムは、ファイルオープン要求を受信するか、または要求に応

答した後で、 8 ミリ秒経過してから oplock ブレイクをクライアントに送信します。

cifs stat コマンドを実行し、出力の OpLkBkNoBreakAck フィールドにゼロ以外の値が表示さ

れる場合は、遅延時間を延長できます。

次の例のような syslog メッセージが表示されたら、oplock ブレークを送信するための遅延時

間を長くします。

Mon Jan 21 15:18:38 PST [CIFSAdmin:warning]: oplock break timed out to station JOHN-PC for file \\FILER\share\subdir\file.txt

手順


options cifs.oplocks.opendelta time

time is the delay in milliseconds.

cifs.oplocks.opendelta オプションを設定すると、ちょうどファイルを開いたばかりのクラ

イアントへの oplock ブレーク要求が延期されます。この数値を 35 より大きい値に設定す

る場合は、テクニカルサポートに問い合わせてください。


認証とネットワークサービスの管理

このセクションでは、以前の NetBIOS プロトコルの管理の手順とストレージシステムの認証

について説明しています。

次のトピック

認証問題についてストレージシステムの最小セキュリティレベルの設定 Kerberos のパッシブリプレイアタックの防御ドメインコントローラと LDAP サーバの選択非-Kerberos 環境でストレージにアクセスするための null セッションの使用ストレージシステムの NetBIOS エイリアスの作成 NetBIOS over TCP の無効化

認証問題について

ストレージシステムでは、UNIX 認証、 Windows ワークグループ認証、 Kerberos 認証の 3 種類の認証をサポートしています。

次のトピック

UNIX 認証について Windows ワークグループ認証について Kerberos 認証について

UNIX認証について

認証は、/etc/passwd ファイルにあるエントリ、NIS/LDAP ベース認証、またはその両方を使

用して UNIX モードで実行されます。

UNIX 認証の使用

• パスワードは “平文” (暗号化されていない文)で送信されます。 • 認証されたユーザには、一意でセキュアユーザ ID (SID) のないクレデンシャルが付与され

ます。 • ストレージシステムは、ユーザーパスワードの “ハッシュ” (アルゴリズム変形)に対して受

信したパスワードを確認します。パスワードはストレージシステムには保存されません。

UNIX クライアント認証を行うため、次の項目を設定する必要があります。


• クライアント情報はストレージシステムの/etc/passwd ファイルの中になくてはなりませ

ん。 • クライアント情報は、 NIS 、 LDAP またはその両方に入力されなくてはなりません。 • Windows クライアントレジストリを変更して、平文パスワードを許可する必要があり

ます。

UNIX 認証は暗号化されていないパスワードを送信するため、Windows クライアントはレジ

ストリ編集を行い暗号化することなくパスワードを送信できるようにする必要があります。平

文パスワードをストレージシステムに送信するよう正しく設定されていないクライアントは、

アクセスが拒否され、次のようなエラーメッセージが表示されます。

クライアントが UNIX 認証を使用できるよう平文パスワードを有効にするための情報について

は、Microsoft のサポートに照会してください

Windowsワークグループ認証について

ワークグループ認証を行うとローカル Windows クライアントアクセスが可能になります。

ワークグループ認証の特徴は、次のとおりです。

• ドメインコントローラには依存しません。 • ストレージシステムへアクセスを 96 個のローカルクライアントに制限します。 • トレージシステムの useradmin コマンドを使用して管理されます。

Kerberos認証について

Kerberos 認証が有効な場合、クライアントはストレージシステムに接続されると、最高のセ

キュリティレベルをネゴシエートします。

選択できるセキュリティには 2つのプライマリレベルがあります。

• NT Lan Manager (NTLM)、 lanman、 netlogon などのネットワークサービスに基づく、

基本(Windows NT-4) セキュリティ

• Windows 2000 Kerberos 実装を使用した拡張セキュリティ

メモ：拡張セキュリティ機能は、 Windows Active Directory ドメインのメンバであるクライ

アントだけが利用できます。

ストレージシステムの最小セキュリティレベルの設定

ストレージシステムの最小セキュリティレベル（ストレージシステムによって許可されるク

ライアントからのセキュリティトークンの最低レベル）を設定するには、

cifs.LMCompatibilityLevel オプションを設定します。デフォルトでは、このオプションは 1 です。

System error 1240 has occurred. The account is not authorized to login from this station.


手順


options cifs.LMCompatibilityLevel minimum_level

minimum_level は、ストレージシステムによって許可されるクライアントからのセキュリ

ティトークンの最小レベルを表します。下表を参照してください。

Kerberosのパッシブリプレイアタックの防御

Kerberos 再生キャッシュは、ストレージシステムにユーザ認証コードを短期間保存すること

や、認証コードが後続の Kerberos チケットで再使用されないようにすることで、パッシブリプレイアタックを防ぎます。

タスク概要

Kerberos 認証コードの保存と比較によって、ストレージシステムでのいくつかの作業のパフ

ォーマンスにかなりの負荷がかかる場合があります。

このため、kerberos.replay_cache.enable オプションはデフォルトで off に設定されています。

手順


目的操作

Kerberos 再生キャッシュを有効にする場合次のコマンドを入力します。 options kerberos.replay_cache.enable on

Kerberos 再生キャッシュを無効にする場合次のコマンドを入力します。 options kerberos.replay_cache.enable off

ドメインコントローラとLDAPサーバの選択

起動時には次に示すようにストレージシステムがWindows ドメインコントローラを検索します。

値説明

1 (デフォルト) ストレージシステムにより、 LM、 NTLM、 NTLMv2 のセッションセキュリティが許可されます。また、NTLMv2 と Kerberos 認証も許可されます。

2 ストレージシステムにより、 NTLM と NTLMv2 セッションセキュリティが許可さ

れます。また、NTLMv2 と Kerberos 認証も許可されます。 LM 認証は拒否されます。

3 ストレージシステムにより、 NTLMv2 セッションセキュリティが許可されます。ま

た、 NTLMv2 と Kerberos 認証も許可されます。 LM と NTLM 認証は拒否されます。

4 ストレージシステムにより、NTLMv2 と Kerberos 認証が許可されます。 LM、 NTLM、 NTLMv2 のセッションセキュリティは拒否されます。

5 ストレージシステムにより Kerberos 認証のみが許可されます。


このセクションでは、ストレージシステムがどのようにしていつドメインコントローラを見つけて選択

するのかを説明します。

タスク概要

ストレージシステムは次のうちいずれかが当てはまる場合に、ドメインコントローラを検索

します。

• ストレージシステムが起動またはリブートされている場合

• cifs resetdc コマンドが実行されている場合

• 直前の検索から 4 時間が経過した場合。

メモ：Active Directory LDAP サーバは同じ条件で検索されます。

次のトピック

ドメインコントローラの検出処理について優先ドメインコントローラと LDAP サーバのリストの指定 prefdc リストからのサーバの削除ドメインコントローラ接続のトラブルシューティング優先ドメインコントローラと LDAP サーバのリストの表示ドメインとストレージシステムの接続の再確立

ドメインコントローラの検出処理について

ドメイン環境で CIFS を実行すると、ストレージシステムは Internet Control Message Protocol （ICMP）パケットを 4 時間ごとに送信することで、ドメイン環境のすべてのドメ

インコントローラを再検出しようとします。これにより、現行のドメインコントローラが

現在もアクセス可能であることを確認でき、パケットの応答時間を利用して使用可能なドメイ

ンコントローラの優先順位付けができます。

ストレージシステムは、接続レートの高いドメインコントローラへのアクセスを失い、低

速レートのバックアップドメインコントローラを使用することになった場合、接続レート

の高い接続が見つかるまで 2 分ごとにドメインコントローラの検出処理を実行します。

該当する接続が検出されると、その新しいドメインコントローラに接続して、元の 4 時間ご

との検出パケットの送信に戻ります。

次の表に、ドメインコントローラの検出処理および優先グループを示します。ストレージ

システムは上位の優先グループのすべてのドメインコントローラへの接続に失敗したときだ

け、優先順位が下位のグループに進みます。

メモ：Active Directory 環境については、サイトメンバーシップは、（使用できる優先ドメ

インコントローラがない場合）ストレージシスムがドメインコントローラの選択時に

使用する基準の 1 つです。そのため、（ストレージシステムと同じサイトに含まれるス

トレージシステムのサブネット情報を使用して）Site と Service を適切に設定することが

重要です。


ドメインコントローラカテゴリ優先グループ: ドメインコントローラが選択される順番

優先: prefdc リストのコントローラグループ 1: 優先ドメインコントローラは、コントローラが

prefdc リストに表示される順番に選択されます。優遇: ストレージシステムと同じActive Directoryサイト

メンバーシップを共有するコントローラ

(Windows NT 環境のストレージシステムではこのカテゴ

リは空です。)

グループ 2: Ping されてから 1 秒以内に応答したドメインコントローラ。応答時間の速い順グループ 3: 1 秒以内に応答しなかったドメインコントロー

ラ、ただしストレージシステムと同じサブネットを共有グループ 4: Ping に 1 秒以内に応答しなかったすべての

非ローカルドメインコントローラ

その他: サイトメンバーシップを共有しないコントローラグループ 5: ping されてから 1 秒以内に応答したドメインコントローラ。応答時間の速い順グループ 6: 1 秒以内に応答しなかったドメインコントロー

ラ、ただしストレージシステムと同じサブネットを共有グループ 7: ping に 1 秒以内に応答しなかったすべての

非ローカルドメインコントローラ

メモ：サイトメンバーシップは Active Directory ドメイン固有のものであるため、Windows

NT4 ドメインにも、ストレージシステムが NT4 サーバとして設定されている mixed モード

ドメインにも「優遇」カテゴリはありません。このような環境では、検出により見つかるすべ

てのドメインコントローラは、「その他」のカテゴリに割り当てられます。

優先ドメインコントローラとLDAPサーバのリストの指定

優先ドメインコントローラと LDAP サーバの一覧を指定するには、cifs prefdc add コマンドを

使用します。

手順


cifs prefdc add domain address [address ...]

domain は、指定するドメインコントローラまたは LDAP サーバのドメインです。

address は、ドメインコントローラまたは LDAP サーバの IP アドレスです。

例 lab ドメインに対して 2 つの優先ドメインコントローラを指定するには、次のコマンドを入力します。 cifs prefdc add lab 10.10.10.10 10.10.10.11 メモ：ストレージシステムに強制的に優先ドメインコントローラまたは LDAP サーバの改訂リストを使用さ

せるには、cifs resetdc コマンドを使用します。


prefdcリストからのサーバの削除

prefdc リストからサーバを削除するには、 cifs prefdc delete コマンドを使用します。

手順


cifs prefdc delete domain

domain は、優先ドメインコントローラまたは LDAP サーバが配置されているドメイン

です。


cifs resetdc [domain]

domain は、手順 1 で指定したドメインです。

ストレージシステムは、改訂された prefdc リストに指定された順番でドメインコントロ

ーラの切断と検索を実行します。

例 prefdc リストから lab を削除するには、次のコマンドを入力します。 cifs prefdc delete lab

prefdc リストからドメインを削除したあとは、手順 2 に示すように、必ず cifs resetdc コマン

ドを実行して、ストレージシステムが使用可能なドメインコントローラ情報を更新する必要

があります。

prefdc リストが更新されると、ストレージシステムはネットワークサービスからドメイ

ンコントローラの検出情報を更新しません。

ドメインコントローラ情報をリセットできなかった場合には、ストレージシステムが使用で

きないドメインコントローラ（または LDAP サーバ）と接続を確立しようとしたときに接続

障害が発生することがあります。

メモ：再起動時に、ストレージシステムは自動的にドメインコントローラの検出動作を実行

しません。ストレージシステムを再起動しても、使用できるドメインコントローラと LDAP サーバのリストは更新されません。

ドメインコントローラ接続のトラブルシューティング

セキュリティを重視する観点から、ICTM エコー要求 (ping) のトラフィックが増加した場合は、

それがドメインコントローラ接続ステータスの変更と関連しているかどうかを確認するよう

にしてください。


手順

1. ICMP パケットがすべて、ストレージシステムと既知のドメインコントローラとの間でやりとりされ

るパケットであることを確認します。既知のドメインコントローラのリストを表示するには、次のコ

マンドを入力します。

cifs domaininfo

2. ストレージシステムがこれらのデバイスに 4 時間ごとに Ping を実行していることを確認します。

3. これよりも多くの ping トラフィックが発生している場合は、ログを調べてドメインコントローラとの

接続が切断されたことを示すメッセージがないかどうかを確認します。

4. 一時的に cifs.trace_dc_connection オプションを有効にして、ストレージシステム上のドメインコントローラのアドレス検出と接続処理のすべてを記録することもできます。ログに取ることで、調べ

ているパケットと、ストレージシステムによるドメインコントローラの再検出の通知時間を関連付

けることができます。このオプションの使用に関する詳細については、options(1)のマニュアルページを参照してください。

優先ドメインコントローラとLDAPサーバのリストの表示

優先ドメインコントローラと LDAP サーバリストを表示するには、 cifs prefdc print コマ

ンドを使用します。

手順


cifs prefdc print [domain]

domain は、表示するドメインコントローラのドメインです。ドメインが指定されないと、

このコマンドはすべてのドメインの優先ドメインコントローラを表示します。

例 lab ドメインの優先コントローラと LDAP サーバを表示するには、次のコマンドを入力します。 cifs prefdc print lab

ドメインとストレージシステムの接続の再確立

ストレージシステムとドメイン接続との接続を再確立するには、cifs resetdc コマンドを使用

します。

次の手順では、現在のドメインコントローラからストレージシステムを切断して、ストレー

ジシステムと優先ドメインコントローラとの接続を確立します。


また、ドメインコントローラを強制的に検出して、使用可能なドメインコントローラの一覧

を更新します。

メモ：この手順は、 LDAP 接続も確立し、 LDAP サーバ検出も実行します。

手順


cifs resetdc [domain]

domain は、ストレージシステムから切断するドメインです。省略すると、ストレージシステムはストレージシステムがインストールされているドメインから切断されます。

例

lab ドメイン用のドメインコントローラからストレージシステムを切断するには、次のコマンド

を入力します。 cifs resetdc lab

非-Kerberos環境でストレージにアクセスするためのnullセッションの使用

null セッションアクセスは、ローカルシステムで稼働しているクライアントベースのサービ

スにストレージシステムデータなどのネットワークリソースのアクセス権を提供するこ

とです。null セッションは、クライアント処理が「システム」アカウントを使用して、ネット

ワークリソースにアクセスする場合に発生します。null セッション設定は非 Kerberos 認証

に固有です。

次のトピック

ストレージシステムによる null セッションアクセスの実現方法 null ユーザに対するファイルシステム共有へのアクセス権の付与 Kerberos 環境のストレージにアクセスするためのマシンアカウントの使用

ストレージシステムによるnullセッションアクセスの実現方法

null セッション共有には認証が必要ないため、null セッションアクセスが必要なクライアン

トはその IP アドレスがストレージシステムにマッピングされている必要があります。

デフォルトでは、マッピングされていない null セッションクライアントは、共有の列挙など

一部の Data ONTAP システムサービスにはアクセスできますが、ストレージシステム

データへのアクセスは制限されます。

メモ： Data ONTAP では、cifs.restrict_anonymous オプションを使用して、Windows のレジストリ値の RestrictAnonymous をサポートします。これにより、マッピングされてい

ない null ユーザが表示またはアクセスできるシステムリソースの範囲を制御できます。

たとえば、共有の一覧や IPC$共有（非表示の名前付きパイプ共有）へのアクセスを無効


にできます。詳細については、options(1)のマニュアルページを参照してください。

他の設定を行わない場合、null セッションを介してストレージシステムアクセスを要求する

ローカル処理を実行しているクライアントは、「everyone」などの非制限グループのメンバー

だけとなります。null セッションアクセスを選択されたストレージシステムリソースに制限

するため、すべての null セッションクライアントが属するグループを作成することができま

す。このグループを作成すると、ストレージシステムアクセスを制限して、特に null セッシ

ョンクライアントに適用されるストレージシステムリソース権限を設定することができます。

nullユーザに対するファイルシステム共有へのアクセス権の付与

null セッションクライアントからストレージシステムリソースへのアクセスを許可するには、

null セッションクライアントで使用されるグループを割り当てて、null セッションクライア

ントの IP アドレスを記録し、ストレージシステム上の、null セッションによるデータアクセ

スが許可されているクライアントリストに追加します。

手順

1. /etc/usermap.cfg ファイルを開きます。 2. 次の形式を使用して各 null ユーザーごとにエントリを追加します。

IPqual:"" => UNIXacct

IPqual は IP アドレス (ホスト名または数値ドット形式) またはサブネット (IP アドレス + ネトネットマスク)を指定します。 "" は、null ユーザーを指します。 => はマッピング方向を

指定します。UNIXacct はマッピングされた null ユーザに設定された UNIX アカウント (/etc/passwd か NIS 内) です。

3. null セッションクライアント用に使用しようとしているグループ名に

cifs.mapped_null_user_extra_group オプションを設定します。 4. 適切なアクセス権を null セッションクライアントに許可するための権限を設定します。

例 10.10.20.19:"" => exchuser 192.168.78.0/255.255.255.0:"" => iisuser IP アドレス10.10.20.19 のクライアントは、ストレージシステムへのnull セッションアクセスが許可

されます。 null ユーザアカウントは、/etc/passwd またはNIS データベースになくてはならないexchuser というUNIX アカウントへマッピングされます。また、192.168.78.0 クラスC サブネットからの接続を確立するクライアントは、null セッションアク

セスが許可され、UNIX アカウントiisuser にマッピングされます。他のnull ユーザのストレージシステムへの接続は許可されません。


Data ONTAP は、/etc/usermap.cfg ファイルにマッピング構文を提供して、null ユーザセッシ

ョンを使用したストレージシステムリソースへのアクセスが許可されるクライアントの IP アドレスを指定します。null ユーザのグループを作成すると、null セッションだけに適用される

ストレージシステムリソースおよびリソース権限のアクセス制限を指定できます。

マッピングされた IP アドレスからストレージシステムにアクセスするすべての null ユーザに

は、マッピングされたユーザ権限が付与されます。null ユーザでマッピングされたストレージシステムへの認証されていないアクセスを防ぐため適切な予防措置が必要です。

最大限の保護を行うため、ストレージシステムおよび null ユーザストレージシステムアク

セスが必要なすべてのクライアントを別のネットワークに置き、IP アドレスの「なりすまし」

を防ぎます。

Kerberos環境のストレージにアクセスするためのマシンアカウントの使用

マシンアカウントには、ユーザアカウントとして同じ Kerberos 認証が適用されるため、スト

レージシステム上でマッピングする必要がありません。

Kerberos を使用して認証を行う場合、「システム」アカウントを使用してローカル処理を実

行するクライアントは、リモートリソースにアクセスするときに、これらの処理をマシンアカウントに割り当てます。マシンアカウントにはドメインコントローラで登録されたコンピ

ュータ名が割り当てられ、後ろにドル記号（$）が付きます。

マシンアカウントによるデータアクセスを防ぐ方法

デフォルトでは、マシンアカウントは（他の認証ユーザと同様に）データ共有に常にアクセ

スできます。ただし、セキュリティ上の理由から、Kerberos 対応クライアント上で実行され

るサービスが CIFS を使用してデータにアクセスするのを防止したい場合があります。

メモ：マシンアカウントによるデータ共有へのアクセスを無効にすると、オフラインフ

ォルダやプロファイルのローミングなど多くのサービスが機能しなくなります。マシン

アカウントのアクセスを無効にする前に、ストレージシステムで必要なサービスをよく

確認してください。

手順


cifs access -delete share_name –m

メモ： IPC$ 共有 (非表示の名前付きのパイプ共有) へのアクセスは変更できず、常に許

可されます。

その詳細については、 cifs_access(1) マニュアルページを参照してください。


ストレージシステムのNetBIOSエイリアスの作成

NetBIOS エイリアスを作成するには、cifs.netbios_aliases オプションを設定するか、または /etc/cifs_nbalias.cfg ファイルを編集します。

タスク概要

NetBIOS エイリアスは、ご使用のストレージシステムの代わりに使用される名前です。リス

ト内に記述されるどの名前を使用しても、ストレージシステムに接続できます。

cifs.netbios_aliases オプションを使用すると、カンマで区切られたＮｅｔＢＩＯＳエイリアス

のリストを作成できます。リストにはカンマを含めて 255 文字まで入力できます。

/etc/cifs_nbalias.cfg ファイルには最大 200 個のエントリを入力できます。

次のトピック

コマンドラインを使用した NetBIOS エイリアスの作成 /etc/cifs_nbalias.cfg ファイルでの NetBIOS エイリアスの作成 NetBIOS エイリアスのリストの表示

コマンドラインを使用したNetBIOSエイリアスの作成

コマンドラインを使用して、ＮｅｔＢＩＯＳエイリアスを作成するには、cifs.netbios_aliases オプションを使用します。

手順


options cifs.netbios_aliases name,...

カンマを含めて 255 文字まで入力できます。

例

options cifs.netbios_aliases alias1,alias2,alias3

2. 次のコマンドを入力して、エントリを処理します。

cifs nbalias load

/etc/cifs_nbalias.cfgファイルでのNetBIOSエイリアスの作成

/etc/cifs_nbalias.cfg ファイル内に NetBIOS エイリアスを作成できます。

デフォルトの cifs_nbalias.cfg ファイルがない場合には、CIFS 開始時に/etc ディレクトリにこ

のファイルが作成されます。

このファイルの変更内容は、CIFS 起動時に自動的に処理されます。


コマンド cifs nbalias load を使用しても、このファイルの変更内容を処理することもできます。

手順

1. 編集する/etc/cifs_nbalias.cfg ファイルを開きます。 2. /etc/cifs_nbalias.cfg ファイルに、NetBIOS エイリアスのエントリを 1 行に 1 つずつ入力します。

メモ： ASCII 文字または Unicode 文字を使用して、ファイルに NetBIOS エイリアスを

200 個まで入力できます。

3. 次のコマンドを入力してエントリを処理します。

cifs nbalias load

NetBIOSエイリアスのリストの表示

NetBIOS エイリアスのリストを表示するには、cifs nbalias コマンドを入力します。

手順


cifs nbalias

NetBIOS over TCPの無効化

NetBIOS over TCP が、Windows 2000 ネットワーク内で無効になっている場合、

cifs.netbios_over_tcp.enable オプションを使用して、ストレージシステム上で NetBIOS over TCP を無効にできます。

タスク概要

NetBIOS over TCP は、Windows 2000 より前の CIFS サービスに使用されていた標準プロト

コルです。デフォルトでは、ストレージシステム上で cifs.netbios_over_tcp.enable プロトコ

ルを使用するオプションが有効になります。

このオプションは、Windows 2000 の[TCP/IP 詳細設定]タブにある[enable NetBIOS over TCP (NetBIOS over TCP を有効にする)]と同等の機能があります。

ストレージシステム上で NetBIOS over TCP のステータスを確認するには、nbtstat(1)のマニ

ュアルページの説明に従って nbtstat コマンドを使用します。

NetBIOS over TCP を無効にするため、すべてのストレージシステムクライアントは

Windows 2000 以降を実行している必要があります。NetBIOS over TCP を無効にしたら、

Windows 2000 ドメインコントローラおよびウィルススキャンだけを使用できます。

メモ：一度 NetBIOS over TCP を無効にすると、クライアントは shutdown メッセージや vscan 警告などの Data ONTAP 通知メッセージを受信できません。

手順



options cifs.netbios_over_tcp.enable off

CIFS アクティビティの監視

このセクションでは、CIFS セッションのアクティビティの監視とストレージシステムの統計

収集について説明します。

タスク概要

次の種類のセッション情報を表示できます。

• セッション情報の要約。ストレージシステム情報と、接続中の各ユーザが開いている共

有およびファイルの数が表示されます。 • 接続中の 1 ユーザーまたはすべてのユーザに関する共有およびファイルの情報。次の内

容が表示されます。 • 接続中の特定ユーザまたはすべてのユーザが開いている共有の名前 • 開いているファイルのアクセスレベル • 接続中の特定ユーザまたはすべてのユーザに関するセキュリティ情報。UNIX UID

と、ユーザが属している UNIX グループおよび Windows グループのリストが表示さ

れます。

メモ：セッション情報に表示される、開いている共有の数には、非表示の IPC$ 共有が含まれま

す。

次のトピック

ユーザを指定するさまざまな方法セッション情報の要約の表示アイドルセッションのタイムアウト統計のトラッキング特定の統計の表示統計クエリの保存と再使用 CIFS リソースの制限

ユーザを指定するさまざまな方法

接続中のユーザに関するセッション情報を表示する場合は、ユーザ名またはワークステーシ

ョンの IP アドレスでユーザを指定します。さらに、ユーザが Windows 2000 より前のクライ

アントからストレージシステムに接続している場合は、ワークステーション名を指定できま

す。

クライアントが、認証されていない「null」セッションで接続することがあります。このよう

なセッションは、共有を列挙するためにクライアントが使用する場合があります。クライアン


トが null セッションだけでストレージシステムに接続している場合、次のステータスメッセ

ージが表示されます。

User (or PC) not logged in

セッション情報の要約の表示

cifs sessions コマンドを使用すると、セッション情報の要約を表示できます。

手順


cifs session

アイドルセッションのタイムアウト

アイドルセッションが切断するまでの経過時間(秒)を指定できます。

タスク概要

アイドルセッションが切断されるまでの経過時間（秒）を指定できます。ユーザがストレー

ジシステム上でファイルを開いていない場合、セッションはアイドル状態とみなされます。

デフォルトでは、アイドル状態になってから 30 秒経過したセッションは切断されます。

アイドルセッションが切断されると、次回クライアントがストレージシステムにアクセスす

るとき、そのセッションが自動的に再接続されます。

手順


options cifs.idle_timeout time

time は、秒です。新しい切断までのアイドル時間を指定します。

このオプションの新しい値は、すぐに有効になります。

統計のトラッキング

stats コマンドを使用して、パフォーマンスをトラッキングするシステム統計を表示できます。

タスク概要

stats コマンドは、CIFS 関連の統計に限りません。統計データを出力する stats コマンドには、

stats show（リアルタイム統計データ）と stats stop（一定時間内での統計のトラッキング）

の 2 つがあります（cifs stat コマンドがまだ使用可能であることに注意してくだい）。


stats コマンドで表示される統計はカウンタで累算されます。特定のカウンタを参照するには、

object_name:instance_name:counter_name という形式の階層的な名前を使用します。たとえ

ば、カウンタ名は、system:system:cifs_ops などになります。stats list コマンドを使用すると、

ストレージシステムで使用可能な object_names、instance_names、および counter_names を判別できます。

stats show コマンドの出力により、コマンドを実行した瞬間のストレージシステムに関する

データが提供されます。一定の期間で統計をトラックするには、stats start コマンドを使用し

てトラックする期間の開始時点を指定し、stats stop コマンドで統計データ収集期間の終了時

点を指定します。Data ONTAP は、stats stop コマンドが入力されるとすぐに収集データを出

力します。

Data ONTAP では、stats start と stats stop コマンドを使用して異なる統計を並行してトラッ

クできます。これを実現するには、インスタンス(-i)引数を stats start と stats stop コマンドに

入力します。使用法と構文の詳細については、stats(1)のマニュアルページを参照してくださ

い。

手順

次のコマンドを入力して、stats コマンドでトラックされたオブジェクトのリストを参照します。 stats list objects

Data ONTAP は、 stats show object_name コマンドを使用して、参照可能なオブジェク

トのリストを返します。

次のコマンドを入力して、統計インスタンスの一覧を表示します。

stats list instances

Data ONTAP は、 stats show コマンドを使用して参照可能なインスタンスの一覧を返し

ます。これらのインスタンスを使用して、stats show コマンドの出力を絞り込むことがで

きます。

次のコマンドを入力して、統計カウンターの一覧を表示します。

stats list counters

Data ONTAP は、 stats show コマンドを使用して参照可能なカウンタの一覧を返します。

次のコマンドを入力して、すべてのカウンター、インスタンス、または、オブジェクトの説明を表示してください。

stats explain counters

Data ONTAP により、stats show コマンドの出力の絞り込みに使用できるすべてのカウン

ター、インスタンス、または、オブジェクトの説明が返されます。


特定の統計の表示

個々の統計をトラックするために監視できるオブジェクト、インスタンス、およびカウンタが

わかれば、cifs show コマンドの出力を絞り込むためにコマンドラインの引数としてそれらを

使用できます。

タスク概要

詳細については、 stats(1) のマニュアルページを参照してください。

手順


stats show [[object_name][:instance_name][:counter_name]]

Data ONTAP は、要求された特定の統計を返します。

統計クエリの保存と再使用

通常実行する「事前設定された」統計クエリは、保存して再使用することができます。

事前設定されたクエリは、次に示す場所と名前の形式で、XML ファイルに保存されます。

/etc/stats/preset/preset_name.xml

クエリの保存と再使用方法の詳細については、stats_preset(5)のマニュアルページを参照して

ください。

CIFSリソースの制限

一部の CIFS のリソースへのアクセスは、ストレージシステムのメモリおよび CIFS サービス

に使用可能な最大メモリ量によって制限されます。

該当するリソースは、次のとおりです。

• 接続 • 共有 • 共有接続 • ファイルを開く • ロックされたファイル • ロック

メモ：ご使用のストレージシステムでこれらのカテゴリの十分なリソースを取得できな

い場合は、テクニカルサポートにお問い合わせください。


CIFS サービスの管理

このセクションでは、ストレージシステム上の CIFS サービスを管理ついて説明しています。

次のトピック

MMC を使用した特定のクライアントの切断コマンドラインによる選択したユーザの切断ストレージシステム全体での CIFS サービスの無効化 CIFS シャットダウンメッセージを受信するユーザの指定 CIFS サービスの再開ストレージシステム上のすべてのユーザへのメッセージ送信ストレージシステムの説明の表示と変更ストレージシステムのコンピュータアカウントパスワードの変更 Windows 管理ツールを使用したファイル管理

MMCを使用した特定のクライアントの切断

MMC を使用して、クライアントを切断できます。

手順

1. MMC をストレージシステムに接続します。 2. 左パネルで[Computer Management (コンピュータの管理)]が選択されていない場合は、選択

します。 3. [System Tools (システムツール)] > [Shared folders （共有フォルダ）] > [sessions (セッショ

ン)]の順にダブルクリックします。 4. 次のアクションのうち 1 つを行います。

目的操作

特定クライアントを切断する場合 a. クライアントの名前を右クリックします。 b. [Close session(セッションを閉じる)] をクリックしま

す。 c. [OK] をクリックします。

全クライアントを切断する場合

a. [Session (セッション)]を右クリックします。 b. [Disconnect All Session (セッションをすべて切

断)] をクリックします。 c. [Yes]をクリックします。

コマンドラインによる選択したユーザの切断

コマンドラインを使用して、選択したユーザを切断するには、 cifs terminate コマンドを使用

します。


手順

1. 次のコマンドラインを入力して、接続中のクライアントの一覧を表示します。

cifs session*

2. 次のコマンドを入力して、クライアントを切断します。

cifs terminate client_name_or_IP_address [-t time]

client_name_or_IP_address は、ストレージシステムから切断したいワークステーション

の名前または IP アドレスを指定します。

time は、クライアントがストレージシステムから切断されるまでの待機時間(分)です。0 を指定すると、クライアントがすぐに切断されます。

メモ：time を指定しない場合に、クライアントで開いているファイルが検出されると、

クライアントを切断するまでの待機時間（分）の入力を求めるメッセージが表示されま

す。

事例次のコマンドで、クライアントがすぐに切断されることをユーザに知らせるメッセージが、 jsmith-pc というワークステーションに通知されます。コマンドを入力してから5 分後に、jsmith-pc がストレージシステムから切断されます cifs terminate jsmith-pc -t 5

ストレージシステム全体でのCIFS サービスの無効化

CIFS サービスの無効化の設定は、リブート後は維持されません。CIFS サービスを無効にした

あとでストレージシステムをリブートすると、CIFS サービスが自動的に再開されます。

手順

1. 次のコマンドを入力して、CIFS サービスを無効にします。

cifs terminate [-t time]

time は、ストレージシステムがすべてのクライアントを切断し CIFS サービスを終了す

るまでの待機時間(分)です。0 を入力すると、コマンドはすぐに有効になります。

メモ：引数を指定しないで、cifs terminate コマンドを入力した場合に、クライアントで

開いているファイルが検出されると、クライアントを切断するまでの待機時間(分)の入

力を求めるメッセージが表示されます。


目的操作

次回のストレージシステムのりブート時に CIFSサービ

スが自動的に開始させる場合特別な操作は必要ありません。

次回のストレージシステムのリブート時に CIFSサービ

スが自動的に開始しないようにする場合 /etc/cifsconfig.cfg ファイルの名前を変更します。


結果

クライアントがすぐに切断されることをユーザに知らせるメッセージが、接続中のすべてのク

ライアントに送信されます。コマンドは入力してから 5 分後に、すべてのクライアントが切断

され、ストレージシステムは CIFS サービスを停止します。

完了後

ストレージシステム全体でＣＩＦS サービスを無効にすると、ほとんどの cifs コマンドは使

用できなくなります。 CIFS を無効にしても使用できる cifs コマンドは次の通りです。

• cifs prefdc

• cifs restart

• cifs setup

• cifs testdc

CIFSシャットダウンメッセージを受信するユーザの指定

cifs terminate コマンドを実行すると、Data ONTAP のデフォルトでは、CIFS サービスが切断

されることをユーザに知らせるメッセージが接続中のすべてのクライアントに送信されます。

デフォルトの設定を変更して、これらのメッセージを送信しないようにしたり、ファイルを開

いている接続中のクライアントだけに送信したりできます。

手順


options cifs.shutdown_msg_level {0 | 1 | 2}

CIFS シャットダウンメッセージを送信しない場合は、 0 を使用します。

ファイルを開いている接続中のクライアントだけにメッセージを送信する場合は、 1 を使

用します。接続中のすべてのクライアントにメッセージを送信する場合は、2 を使用しま

す。これが、デフォルトの設定です。

CIFSサービスの再開

CIFS サービスを再開するには、cifs restart コマンドを入力します。

手順


cifs restart


結果

ストレージシステムはドメインコントローラに接続し、CIFS サービスを再開します。

ストレージシステム上のすべてのユーザへのメッセージ送信

重要なイベントを知らせる場合、ストレージシステム上のすべてのユーザにメッセージを送

信することができます。このメッセージは、ユーザのコンピュータの警告ボックスに表示され

ます。

タスク概要

cifs terminate コマンドを入力すると、接続中のユーザにメッセージが自動的に送信されます。

ただし、すべてのファイルを閉じるようにユーザに指示する場合など、CIFS サービスを停止

しないでメッセージを送信する場合は、サーバーマネージャまたは Data ONTAP コマンドラインを使用してメッセージを送信します。ブロードキャストメッセージを受信しないクライ

アントがいるかもしれません。次の制限と前提条件がこの機能に適用されます。

• Windows 95 および Windows for Workgroups のクライアントは、WinPopup プログラム

を設定する必要があります。 • Windows 2003 および Windows XP Service Pack 2 のクライアントは、メッセンジャサー

ビスを有効にする必要があります（デフォルトでは無効）。 • ユーザへのメッセージは、NetBIOS over TCP を使用して接続された Windows クライア

ントだけが見ることができます。

メモ：ネットワーク構成は、どのクライアントがブロードキャストメッセージを受信す

るかに影響を与える場合もあります。

手順

1. 次のアクションのうちいずれかを行います。

目的操作

ストレージシステムに接続中のすべての CIFS ユーザーに

メッセージを送信する場合次のコマンドを入力します。 cifs broadcast * "message"

ストレージシステムに接続中の特定の CIFSユーザにメッ

セージを送信する場合次のコマンドを入力します。 cifs broadcast client_name "message"

特定のボリュームに接続中のすべての CIFS ユーザにメッ

セージを送信する場合次のコマンドを入力します。 cifs broadcast -v volume "message"


ストレージシステムの説明の表示と変更

わかりやすい説明を追加すると、ネットワーク上の他のコンピュータとストレージシステム

を区別できます。

タスク概要

ストレージシステムの説明は、ネットワークを参照する際に[コメント]フィールドに表示され

ます。ストレージシステムを最初に使用するときは、ストレージシステムの説明はありませ

ん。説明は、48 文字まで入力できます。

手順

1. 次のコマンドを入力して、現在のストレージシステムの説明を表示します。

cifs comment

2. 次のコマンドを入力して説明を変更します。

cifs comment "description"

ストレージシステムのコンピュータアカウントパスワードの変更

cifs changefilerpwd コマンドは、ストレージシステム（Active Directory ドメインまたは NT4 ドメインのどちらか）にそのドメインアカウントパスワードをただちに変更するよう指示しま

す。

cifs.weekly_W2K_password_change オプションに on が設定されている場合、Windows Active Directory ドメインに属するストレージシステムでは 1 週間に 1 回ドメインパスワード

が変更になります。

タスク概要

詳細については、 cifs_changepassword(1) と options (1) マニュアルページをご参照ください。

手順


cifs changefilerpwd

ストレージシステムによって次のメッセージが表示されます。

password change scheduled.

password change がスケジュールされて、パスワードは通常 1 分以内に変更されます。

2. オプションとして、次のコマンドを入力します。

options cifs.weekly_W2K_password_change {on | off}

Windows Active Directory ドメインに属するストレージシステムでは、1 週間に 1 回ドメ

インパスワードが変更されます。パスワードの変更は日曜日の午前 1 時前後に発生しま

す。デフォルトは off です。


Windows管理ツールを使用したファイル管理

Windows 管理ツールを使用することで、一部の CIFS ファイルアクセス管理タスクを行うこ

とができます。次の Windows 管理ツールは、 Data ONTAP と互換性があります。

• Microsoft Management Console (MMC)用コンピュータ管理スナップイン(管理用) • Microsoft Active Directory ユーザ MMC スナップイン • Microsoft イベントビューア • Microsoft パフォーマンス

上記の Microsoft 管理ツールを使用してストレージシステムを管理する手順は、 Windows サーバを管理する手順とほとんど同じですこの章で説明する手順は、Windows サーバとは異な

る Data ONTAP 管理タスクの情報です。

Windows サーバ管理ツールに入力するテキストと異なり、Data ONTAP コマンドラインは大

文字と小文字を区別します。たとえば、Windows でボリューム名を指定するときには、小文

字または大文字のどちらでも入力できます。Windows ツールでは、TEST という名前の qtree と同じレベルで Test という名前の qtree は作成できません。Windows ツールはこれらの名前

を区別しないためです。Data ONTAP コマンドラインからなら、これら 2 つの qtree を作成

して区別することができます。

NT ユーザーマネージャを使用してストレージシステムを設定するときに、次の制限が NT ユーザーマネージャに適用されます。

ストレージシステムはローカルユーザをサポートしていますが、ローカルユーザアカウ

ントの作成や削除には、[ユーザー]メニューの[新しいユーザー]を使用できません。

[原則]メニューは無効になりますが、ポリシーによっては、オプションまたはグループメン

バーシップを使用して制御できます。

Data ONTAP に該当する機能がないため、次の NTサーバマネージャ機能はサポートされてい

ません。

• サービスの停止と開始 • 警告の受信者の指定

アクセス制御問題のトラブルシューティング

アクセス制御問題のトラブルシューティングを行うには（つまり、ストレージシステム上の

ファイルへのアクセスが、本来あるべき設定と異なり、クライアントまたはユーザに対して許

可または禁止されている理由を判別するには）、sectrace コマンドを使用します。

次のトピック

権限トレースフィルターの追加権限トレースフィルターの削除


権限トレースフィルターの表示 Data ONTAP で特定のクライアントまたはユーザへのアクセスが許可拒否される理由の詳細の取

得

権限トレースフィルターの追加

権限トレースフィルタを追加すると、クライアントまたはユーザがストレージシステムの処

理を実行できる理由、またはできない理由に関する情報を Data ONTAP がシステムログに記

録するようになります。

タスク概要

権限トレースフィルタを追加すると、ストレージシステムのパフォーマンスが若干低下する

ため、デバッグ目的以外で権限トレースフィルタを追加しないでください。デバッグが完了

したら、権限トレースフィルタをすべて削除する必要があります。さらに、コンソールに大

量の EMS メッセージが送信されないように、できるだけ具体的なフィルタリング基準を指定

する必要があります。

次の制限に注意してください。

• 権限トレースフィルタは vFiler ごとに 10 個まで追加できます。

• CIFS 要求に関する権限トレースフィルタだけを追加できます。

手順


sectrace add [-ip ip_address] [-ntuser nt_username] [-UNIXuser

UNIX_username] [-path path_prefix] [-a]

ip_address は、アクセスを試みているクライアントの IP アドレス。

nt_username は、アクセスを試みている Windows NT のユーザー名。

unix_username は、アクセスを試みているユーザーの UNIX ユーザー名。NT ユーザを指

定する場合は、 UNIX ユーザ名を指定できません。

path_prefix は、アクセスをトレースするファイルのパス名の接頭辞。たとえば、

/vol/vol0/home/ディレクトリ内にある、名前が "file" で始まるすべてのファイル

(/vol/vol0/home/file100 や /vol/vol0/home/file200 など)へのアクセスをトレースするには、

/vol/vol0/home/file を指定します。

- a は、拒否される要求だけでなく、許可される要求もストレージシステムがトレースす

るように指定します。

例次のコマンドを実行すると、IP アドレスが 192.168.10.23 のクライアントから送信されるアクセス要求のうち、

Data ONTAP で拒否されたアクセス要求をすべてトレースする権限トレースフィルタが追加されます。


sectrace add -ip 192.168.10.23 次のコマンドを実行すると、UNIXユーザ foo からパス/vol/vol0/home4 に送信されるアクセス要求のうち、

DataONTAP で許可または拒否されたアクセス要求をすべてトレースする権限トレースフィルタが追加されます。 sectrace add -UNIXuser foo -path /vol/vol0/home4 -a

権限トレースフィルターの削除

権限トレースフィルタを追加すると、システムパフォーマンスが若干低下するため、アクセ

スエラーのデバックが完了したら削除する必要があります。

手順

1. 次の操作を実行のいずれかを実行してください。

目的操作

すべての権限トレースフィルタを削除する場合次のコマンドを入力します。 sectrace delete all

特定の権限トレースフィルタを削除する場合次のコマンドを入力します。 sectrace delete index indexは、削除する権限とレースフィルタのインデックスで

す。(権限トレースフィルタを追加すると、1～10のインデッ

クスが割り当てられます。)

例インデックスが 1 の権限トレースフィルタを削除するには、次のコマンドを入力します。 sectrace delete 1

権限トレースフィルターの表示

ストレージシステムまたは vFiler の権限トレースフィルターを表示するには、sectrace show コマンドを使用します。

手順


sectrace show [index]

index は、表示する権限トレースフィルタのインデックスです(権限トレースフィルタを追

加すると、1～10 のインデックスが割り当てられます)。インデックスを指定しない場合は、

すべての権限トレースフィルタが表示されます。


例ストレージシステムの権限トレースフィルタをすべて表示するには、次のコマンドを入力します。 sectrace show すべての権限トレースフィルタが次のような出力で表示されます。

Sectrace filter: 1 Hits: 5 Path: /vol/vol1/UNIX1/file1.txt NT User: CIFS-DOM\harry Trace DENY and ALLOW events Sectrace filter: 2 Hits: 7 IP Addr: 10.30.43.42 Path: /vol/vol1/mixed1/dir1/file1.txt NT User: CIFS-DOM\chris Trace DENY and ALLOW events Sectrace filter: 3 Hits: 1 Path: /vol/vol1/mixed1/file2.txt NT User: CIFS-DOM\chris

Trace DENY events

Data ONTAPで特定のクライアントまたはユーザへのアクセスが許可拒否される理由の詳細の取得

権限トレースフィルタの基準が満たされている場合は、コンソールに EMS メッセージが表示

されます。Data ONTAP で特定のクライアントまたはユーザへのアクセスが許可または拒否さ

れる理由の詳細を取得するには、sectrace print-status コマンドを使用します。

手順


sectrace print-status status_code

status_code は、ストレージシステムで許可または拒否されている要求に関するストレー

ジシステムログ内の"Status:"タグの値に対応しています。

例権限トレースフィルタを追加した結果、コンソールに次の EMS メッセージが表示されたとします。


Thu Dec 20 13:06:58 GMT [sectrace.filter.allowed:info]: [sectrace index: 1] Access allowed because 'Read Control, Read Attributes, Read EA, Read' permission (0x20089) is granted on file or directory (Access allowed by unix permissions for group) - Status: 1:6047397839364:0:0 - 10.73.9.89 - NT user name: CIFS-DOM\harry - UNIX user name: harry(4096) - Qtree security style is MIXED and unix permissions are set on file/directory - Path: /vol/vol1/mixed1/ file1.txt

Data ONTAP で特定ユーザーに特定のファイルへのアクセスが許可される理由の詳細を取得するには、次の

コマンドを入力します。

sectrace print-status 1:6047397839364:0:0

メモ： sectrace print-status コマンドを呼び出す場合は、対応するエラーメッセージの "Status:"行のテー

タスコードを指定する必要があります。

応答には、次のような詳細が示されます。 secAccess allowed because 'Traverse' permission is granted on requested path. - Access allowed by UNIX permissions for others. - Access allowed because requested permission is granted on file or directory. - Access allowed by share-level ACL. - Access allowed by UNIX permissions for group. trace print-status 1:6047397839364:0:0

Fpolicy の使用

Fpolicy を使用すると、ストレージシステムに接続されたパートナーアプリケーションから

ファイルアクセス権限を監視したり、設定したりすることができます。

次のトピック

Fpolicy の概要 Data ONTAP 内での Fpolicy の使用ネイティブファイルブロッキングの使用方法 Fpolicy との連携 FAQ、エラーメッセージ、警告メッセージ、およびキーワード

Fpolicyの概要

ここでは、Fpolicy のシステムアーキテクチャ、Fpolicy の仕組み、 Fpolicy の一般的な使用事

例、さまざまな Fpolicy アプリケーション、および Fpolicy の制限について説明します。

次のトピック

Fpolicy Fpolicy の機能 Fpolicy 作業フローチャートストレージ環境の Fpolicy 複数サーバ構成機能 Fpolicy の制限


Fpolicy

FPolicy は、NetApp ストレージシステムに接続されたパートナーアプリケーションからファ

イルアクセス権限を監視および設定する機能を備えた、Data ONTAP のインフラコンポーネ

ントです。

クライアントがネットアップストレージシステムからファイルにアクセスするたびに、

FPolicy の設定に基づいて、パートナーアプリケーションにファイルアクセス情報が通知され

ます。パートナーはこの情報を使用して、ストレージシステムに作成されたファイル、ある

いはアクセスされているファイルに制限を設定できます。

FPolicy を使用すると、ファイル形式に従ってファイル操作権限を指定するファイルポリシー

を作成できます。たとえば、JPEG や.mp3 ファイルなど特定のファイル形式について、スト

レージシステムへの保存を制限することができます。

Data ONTAP 6.4 に最初に導入された FPolicy では、CIFS プロトコルのみがサポートされてい

ました。NFS プロトコルのサポートは、Data ONTAP 7.0 で追加されました。ただし、NFS固有のイベントを処理する場合も、FPolicy には CIFS のライセンスが付与されている必要が

あります。

FPolicy は、ファイルを作成する、開く、名前を変更する、削除するといった、個々のクライ

アントシステムからの操作の要求をストレージシステムがどのように処理するかを決定しま

す。ストレージシステムは、ポリシー名や該当するポリシーがアクティブかどうかなど、

FPolicy の一連のプロパティを維持します。ストレージシステムコンソールコマンドを使用

して、FPolicy のこれらのプロパティを設定できます。

FPolicy インターフェイスは Data ONTAP API（別名 ONTAPI ）です。この API で Distributed Computing Environment（DCE）は動作し、Remote Procedure Calls（RPC;リモートプロシ

ージャコール）が使用されます。これらのツールを使用することにより、外部アプリケーシ

ョンは FPolicy サーバとして登録できます。

プログラマは FPolicy インターフェイスを使用して、別のプラットフォームで実行中の外部ア

プリケーションから、ストレージシステムまたは NearStore システムに高度なファイルスク

リーニング機能を実装できます。

FPolicy インターフェイスを利用するアプリケーションは、次の処理を実行できます。

• 1 つ以上のストレージシステムに 1 つ以上の FPolicy を登録する • ファイルを開く、作成する、名前を変更するなど、ファイル操作に関する通知を受信する • 通知を受信した任意のファイルへのアクセスをブロックする

FPolicy では次のプロトコルがサポートされています。

• CIFS • NFS（バージョン 2、バージョン 3、バージョン 4）

FPolicy サーバでは次のフィルタを使用できます。

• プロトコル • ボリューム名


• ファイル拡張子 • オフラインビット • 操作

Data ONTAP のファイルスクリーニングは、次の 2 つの方法で有効にできます。

• 外部ファイルスクリーニングソフトウェアの使用ファイルスクリーニングソフトウェアは、ファイルスクリーニングサーバとして機能す

るクライアント上で実行されます。ファイルスクリーニングソフトウェアを使用すると、

ファイルの内容の制御とフィルタリングが柔軟に行えます。

メモ：最適なパフォーマンスを得るために、FPolicy サーバをストレージシステムと同一のサブ

ネットに設定することを推奨します。

• ネイティブファイルブロッキングの使用

ファイルスクリーニングソフトウェアはストレージシステム上でネイティブ実行されま

す。ネイティブファイルブロッキングは、ファイルタイプで制限するシンプルな拒否機

能を備えています。

Fpolicyの機能

NFS および CIFS により、クライアントからアクセスされたときに通知を送信するように

FPolicy サーバを設定するには、FPolicy サーバを事前にストレージシステムに登録する必要

があります。

FPolicy サーバをストレージシステムに登録したあとに、クライアントがファイルへのアクセ

スを求める要求を行うと、ストレージシステムは FPolicy サーバに、登録されている通知用イ

ベントを通知します。クライアント要求を受信したストレージシステムは、通知の一部とし

て、クライアントアクセスに関する情報を FPolicy に送信します。FPolicy サーバに送信され

る情報には、ファイル名、パス名、クライアント情報、プロトコル情報、クライアントから要

求された操作などがあります。受信された情報および FPolicy サーバの構成に基づいて、

FPolicy サーバはクライアントの要求に応答します。FPolicy サーバは、クライアントからの要

求を許可または拒否するのかについて、ストレージシステムと通信します。

ファイルポリシーを使用すると、ファイルまたはディレクトリ操作を指定して、これらに制

限を設けることができます。Data ONTAP は、（開く、書き込む、作成する、名前を変更する

などの）ファイルまたはディレクトリ操作要求を受信すると、ファイルポリシーをチェック

してからその操作を許可します。

ポリシーでファイルの拡張子に基づいたスクリーニングが指定されている場合、ファイルスクリーニングはファイルスクリーニングサーバ上またはストレージシステム上で実行されま

す。

次に、これらのファイルスクリーニングの方法について説明します。

• ファイルスクリーニングサーバ上で実行する場合（外部スクリーニングソフトウェアを使用）：ファ

イルをスクリーニングするファイルスクリーニングサーバに通知が送信されます。ファイルスクリ

ーニングサーバはルールを適用して、要求されたファイル操作をストレージシステムが許可すべ


きかどうかを判断します。ファイルスクリーニングサーバは、要求されたファイル操作を許可また

は拒否する応答をストレージシステムに送信します。

• ストレージシステム上で実行する場合（ネイティブファイルブロッキングを使用）要求

は拒否され、ファイル操作がブロックされます。

関連する概念

ネイティブファイルブロッキング

Fpolicy作業フローチャート

フローチャートに、Fpolicy の使用モデルの概要を示します。


図 1: Fpolicy フローチャート


ストレージ環境のFpolicy

クライアントがファイルを要求すると、要求はプロトコルスタックに送信されます。FPolicy機能が有効な場合、プロトコルスタックは CIFS および NFS 要求を識別し、FPolicy スクリー

ニング用のマークを付けます。

要求は WAFL モジュールに送信されます。WAFL モジュールはストレージシステムから

FPolicy サーバに要求をリダイレクトします。WAFL モジュールは FPolicy エンジンにファイ

ル要求を送信します。

FPolicy エンジンは FPolicy インフラ、ONTAPI、および RPC で構成されています。要求は

RPC コールとして、FPolicy サーバに送信されます。FPolicy サーバから応答が戻されたら、

FPolicy エンジンはクライアント要求に応答します。この応答は WAFL モジュールに転送され、

さらにプロトコルスタックに転送されて、クライアントに送信されます。

このファイルへのアクセスが許可されている場合は、クライアントにファイルが提供されます。

ファイルへのアクセスが禁止されている場合は、適切な応答がクライアントに送信されます。

CIFS クライアントでは、ファイルアクセスが禁止されている場合、

STATUS_ACCESS_DENIED というエラーメッセージが表示されます。

システムアーキテクチャ図に、システムアーキテクチャ全体の概要、および Data ONTAP の

各レイヤに含まれる FPolicy インフラを示します。

図 2: ストレージ環境の FPolicy

複数サーバ構成機能

FPolicy では、1 つのポリシーに登録された複数のサーバ間のロードシェアリングをサポート

しています。FPolicy を使用すると、1 つのポリシーに対して複数のサーバを登録できます。

これらのサーバはプライマリサーバまたはセカンダリサーバとして登録できます。


複数の FPolicy サーバがストレージシステムにプライマリサーバとして登録されている場合、

すべての FPolicy 通知は登録済みの FPolicy サーバ間で等しく共有されます。接続されたすべ

ての FPolicy サーバのロードシェアリングに従って、通知が送信されます。使用できるプライ

マリサーバがない場合、通知はセカンダリサーバ間で共有されます。プライマリサーバが使

用可能になると、要求はセカンダリサーバでなく、プライマリサーバに送信されます。

いずれかの FPolicy サーバで未処理の要求数が上限に達すると（現在は 50）、通知は他のアク

ティブなサーバにリダイレクトされます。登録されたすべてのサーバで未処理の要求数が上限

に達すると、すべての通知がスロットルキューに格納されます。

サーバは機能タイプに基づいて設定されます。たとえば、パススルーリード、ファイルサイ

ズ、所有者はサーバベースの機能です。これらの機能は特定のサーバで有効にする必要があり

ます。ただし、許可変更通知、inode からファイルへのパス、オフラインビットなどの機能は、

ポリシー全体に関する機能です。特定のポリシーでこれらの機能が有効な場合は、このポリシ

ーを使用するすべての FPolicy サーバに対して機能が更新されます。

複数サーバ構成では、応答が低速なサーバと高速なサーバを区別できないという制限があり

ます。応答が低速なサーバが存在すると、システム全体のパフォーマンスが低下することがあ

ります。FPolicy サーバが接続されている場合は、この複数サーバ構成機能は有効です。

Fpolicyの制限

FPolicy の制限はプロトコルに関する制限、スクリーニングに関する制限、および一般的な制

限に分類されます。

次に Fpolicy のプロトコルに関する制限を示します。

• FPolicy がサポートしているのは、CIFS および NFS プロトコルのみです。

• FTP、HTTP、WebDAV、FileIO など、その他のプロトコルはサポートしていません。

• CIFS および NFS プロトコルに関する一部の操作は、FPolicy では監視できません。

• CIFS および NFS 操作を同じポリシーで個別に設定することはできません。

以下は Fpolicy のスクリーニング関する制限を示します。

• ファイルスクリーニングはボリューム全体に設定する必要があります。個々の qtree お

よびディレクトリをスクリーニングすることはできません。

• FPolicy は、相互データストリームでの CIFS 操作のスクリーニングは、サポートしますが、

相互データストリームでの NFS 操作のスクリーニングは、サポートされません。

• 複数のサーバが登録されている場合、接続されたすべてのサーバのポリシーは、直前に登

録されたサーバの設定に基づいて変更されます。

• 特定の IP アドレスを持つ Fpolicy サーバは、ストレージシステムに一度のみ登録できます。

1 台のサーバに設定できるポリシーは１つのみです。

• Fpolicy に使用される CIFS システムリソースが不足すると、 Fpolicy エンジンによる CIFS スクリーニングは停止します。


Data ONTAP内でのFpolicyの使用

Data ONTAP ストレージシステムでのネイティブファイルブロッキングには、FPolicy を使

用できます。


ネイティブファイルブロッキングを使用すると、監視リストに記述されたファイルまたはデ

ィレクトリ操作をすべて拒否できます。

サーバベースファイルスクリーニングでサポートされているフィルタとプロトコルの同一セ

ットも、ネイティブファイルブロッキングのためにサポートされています。ネイティブファ

イルブロッキングポリシーおよび FPolicy サーバベースファイルスクリーニングは、複数

のポリシーで同時に設定できます。

次の図に、ネイティブファイルブロッキングが有効な場合のクライアント要求の処理方法を

示します。数字は要求フローの順番です。

図 3: ネイティブファイルブロッキング

CIFS または NFS クライアントが要求を送信すると、ネイティブブロッキングが有効な場合、

ストレージシステムでファイルがスクリーニングされます。要求とスクリーニング要件が一

致した場合、要求は拒否されます。

次に示す任意の操作に関して、ネイティブファイルブロッキングが実行されます:

• ファイルを開く • ファイルの作成する • ファイルの名前変更


• ファイルを閉じる • ファイルの削除 • ファイルを読み取り • ファイルを書き込み • ディレクトリの削除 • ディレクトリの名前変更 • ディレクトリの作成 • Getattr (NFS のみ) • Setattr • ハードリンクの作成(NFS のみ) • symlink の作成(NFS のみ) • 検索 (NFS のみ) • 許可変更通知 (CIFS のみ)

• 所有者の変更

• グループ変更

• システム ACL (SACL) の変更

• Discretionary ACL（DACL）の変更

関連する概念

ネイティブファイルブロッキングの使用方法

関連参照事項

CIFS を通して監視されるイベント NFS を通じて監視されるイベント

ネイティブファイルブロッキングの使用方法

ネイティブファイルブロッキングを使用するには、まず FPolicy を作成してから、特定の処

理に対して通知するように FPolicy を設定します。ネイティブファイルブロッキング機能は、

Data ONTAP ではデフォルトで有効になっています。

ネイティブファイルブロッキングを使用すると、ファイルスクリーニングセクションに示さ

れたファイル操作をすべて拒否できます。また、特定の拡張子を持つファイルへのアクセスを

ブロックできます。

たとえば、.mp3 拡張子を含むファイルをブロックするには、拡張子が.mp3 のファイルをター

ゲットとする特定の処理に対する通知を送信するようにポリシーを設定します。このポリシー

は、.mp3 ファイルに関する要求を拒否するように設定されます。拡張子が.mp3 のファイルを

クライアントが要求すると、ストレージシステムはネイティブファイルブロッキング設定に

基づいてこのファイルへのアクセスを拒否します。


ネイティブファイルブロッキングおよびサーバベースファイルスクリーニングアプリケー

ションは同時に設定できます。

メモ：ネイティブファイルブロッキング機能では、ファイルの内容でなく、拡張子のみを

基準としてファイルをスクリーニングします。

ネイティブファイルブロッキングの設定

ネイティブファイルブロッキングを設定するには、ポリシーを作成してから、ブロックする

ファイル拡張子のリストを設定します。

CIFS プロトコルにライセンスを付与して、設定する必要があります。

手順

1. 下記の CLI コマンドを使用して、ファイルポリシーを作成します。

fpolicy create policyName policytype

例

mp3blocker という名前のスクリーニングポリシーを作成するには、次のコマンドを入

力します。

fpolicy create mp3blocker screen

screen ポリシーのタイプを使用して、指定したポリシー名を持つ Fpolicy が作成されま

す。

2. mp3 拡張子をモニターするためのポリシーを構成します。次のコマンドを使用します。

fpolicy extensions include set policyName ext-list

例

次のコマンドを使用して.mp3 拡張子を監視するためのポリシーを設定します。

fpolicy extensions include set mp3blocker mp3

3. 次のコマンドを使用して、ポリシーで監視される操作とプロトコルを設定します。

fpolicy monitor {add|remove|set} policyName [-p protocols] [-f] op-spec

policyName は、操作を追加するポリシーの名前です。

protocols は、監視を有効にする一連のプロトコルです。

CIFS 要求を監視するには cifs を、 NFS 要求を監視するには nfs を、両方を監視するには cifs,nfs を使用します。

-f オプションを指定すると、ポリシーを実行するために使用できるサーバがない場合も、ポリシー

は強制的に有効になります。

op-spec は、追加する操作のリストです。


例

ポリシー.mp3blocker に CIFS および NFS 操作で監視される操作リストを設定するには、次のコ


fpolicy monitor set .mp3blocker -p cifs,nfs create,rename

create オプションを指定して、.mp3 ファイルの作成を防ぎます。

さらに、.mp3 ファイルが異なる拡張子でストレージシステム上にコピーされたり、名前を変更され

たりしないように、rename オプションも指定します。

この CLI コマンドを使用すると、監視対象となる特定の操作が設定されます。

4. 次のコマンド構文を使用して、required オプションを onに設定します。

fpolicy options policyName required on

例

mp3blocker ポリシーに対する必須のスクリーニングを有効化するには、次のコマンドを入力し

ます。

fpolicy options mp3blockerrequired on

この CLI コマンドを使用すると、ファイルにアクセスする前に、ファイルスクリーニングが必ず実

行されます。

5. 次の CLI コマンドを使用して、 Fpolicy 機能を有効にします。

fpolicy enable policyName [-f]

例

Fpolicy .mp3blocker を有効にするには、次のコマンドを入力します。

fpolicy enable mp3blocker

この CLI コマンドを使用すると、ファイルポリシーが有効になります。

上記手順を完了後に、クライアントがブロックされたファイルを使用して操作を実行しようと

しても、操作に失敗し、STATUS_ACCESS_DENIED エラーコードが送信されます。

次のトピック

CIFS を通して監視されるイベント NFS を通じて監視されるイベント

関連する概念

FPolicy を使用して操作を監視する方法

関連タスク


ファイルポリシーの作成必須ファイルのスクリーニングの指定 Fpolicy 機能の有効化と無効化

CIFSを通して監視されるイベント

Fpolicy では多数の CIFS イベントを監視できます。

次の表に、 Fpolicy で監視できる CIFS 操作、および、Fpolicy による各操作の処理方法の概要

を示します。

イベント説明

ファイルを開くファイルを開くときに送信される通知

ファイルの作成ファイルを作成するときに送信される通知

ファイルの名前変更ファイルの名前を変更するときに送信される通知

ファイルを閉じるファイルを閉じるときに送信される通知

ファイルの削除ファイルを削除するときに送信される通知

ファイルの読み取りファイルを読み取るときに送信される通知

ファイルの書き込みファイルを変更するときに送信される通知

ディレクトリの削除ディレクトリを削除するときに送信される通知

ディレクトリの名前変更ディレクトリの名前を変更するときに送信される通知

ディレクトリの作成ディレクトリを作成するときに送信される通知

ｓetattr 属性情報を設定するときに送信される通知

NFSを通じて監視されるイベント

Fpolicy では多数の NFS イベントを監視できます。

下の表に、 Fpolicy で監視できるＮFS 操作及、および各操作の概要を示します。

イベント説明

ファイルを開くファイルを開いたときに送信される通知

ファイルの作成ファイルを作成されたときに送信される通知

ファイルの名前変更ファイルの名前が変更されたときに送信される通知

ファイルを閉じるファイルを閉じたときに送信される通知

ファイルの削除ファイルを削除されたときに送信される通知

ファイルの読み取りファイルが読み取るときに送信される通知

ファイルの書き込みファイルを変更するときに送信される通知

ディレクトリの削除ディレクトリを削除するときに送信される通知

ディレクトリの名前変更ディレクトリの名前を変更するときに送信される通知


イベント説明

ディレクトリの作成ファイルを作成するときに送信される通知

Setattr 属性情報を設定するときに送信される通知

Getattr 属性情報を要求するときに送信される通知

リンクハードリンクを作成するときに送信される通知

Symlink シンボリックリンクを作成するときに送信される通知

検索 NFS 検索が発生したときに送信される通知

Fpolicyとの連携

CLI コマンドを使用すると、Fpolicy の作成、有効化、設定を行ったり、ボリュームおよび拡

張子に基づいてファイルをスクリーニングしたりすることができます。

次のトピック

Fpolicy の設定方法 NFS クライアントと CIFS クライアントでスクリーニングされるイベントファイルまたはディレクトリイベントボリュームによるスクリーニング拡張子によるスクリーニングファイルスクリーニングサーバの管理方法 FPolicy を使用して操作を監視する方法さまざまな CLI コマンド

Fpolicyの設定方法

Fpolicy を設定するには、単純な CLI コマンドを使用します。

次のトピック

Fpolicy 機能の有効化と無効化ファイルポリシーの作成ファイルポリシーの有効化必須ファイルのスクリーニングの指定ファイルポリシー情報の表示すべてのファイルポリシーの情報の表示ファイルポリシーの無効化ファイルポリシーの削除切断された CIFS 要求に関するサーバスクリーニングの停止 CIFS 要求の同時スクリーニングに関する制限の設定サーバタイムアウトの設定


要求スクリーニングタイムアウトの設定 SMB 名前付きパイプの複数のインスタンスの有効化と無効化

Fpolicy機能の有効化と無効化

CIFS プロトコルにライセンスが付与されていて、設定されている場合は、Fpolicy はデフォ

ルトで有効です。Fpolicy 機能を手動で有効または無効にする場合は、fpolicy.enable オプショ

ンを使用します。

手順


目的操作

Fpolicy を有効にする場合次のコマンドを入力します。 options fpolicy.enable on

Fpolicy を無効化する次のコマンドを入力します。 options fpolicy.enable off

Fpolicy 機能を無効にした場合は、個々のポリシーの有効または無効の設定よりも優先さ

れ、すべてのポリシーが無効になります。

ファイルポリシーの作成

ファイルポリシーを設定するには、まずファイルポリシーを作成する必要があります。

ファイルポリシーを作成するには、 create コマンドを使用します。

通知に関するポリシーを設定するには、ファイルポリシーを作成します。特定のファイル操

作要求またはネイティブファイルブロッキングが発生した場合に、Fpolicy サーバに通知を送

信するように、ファイルポリシーを設定できます。

create コマンドを実行すると、一意のポリシー名を持つ新しいファイルポリシーが作成されま

す。新しいファイルポリシーが作成されたら、オプションを設定し、特定の拡張子の場合に

スクリーニングする必要がある要求を決定できます。

手順

1. ファイルポリシーを作成するには、次のコマンドを入力します。

fpolicy create policyName policytype

policyName は、作成するポリシーの名前です。ポリシー名は、80 文字以内の一意の文字列である必要があります。ファイルポリシーの名には

UNICODE 英数字を使用できます。 FPolicy がポリシー名で使用できる ASCII 文字セットの特殊文字は、アンダースコア (_) とハイフ


ン (-) のみです。新しいファイルポリシー名にほとんどの特殊文字が禁止されているほか、 Fpolicy は、 "."を含む既存のポリシー名が、そこでカットされます。 (ドット) がポリシー名にあるとド

ットを含むそれ以降の文字が削除されます。アップグレード後は、このファイルポリシーに構成され

たどのオプションも失われることになります。 policytype は、このファイルポリシーが属するポリシーグループです。現在、Fpolicy でサポートさ

れているポリシータイプは screen だけです。

例

fpolicy create policy1 screen

指定されたポリシー名 policy1、screen ポリシータイプを使用して、ファイルポリシーが作成

されます。

メモ： VFiler ユニットごとに、一度に最大 20 個のファイルポリシーを作成して使用で

きます。

ファイルポリシーを機能させるには、作成されたファイルポリシーを有効にします。

関連タスク

Fpolicy 機能の有効化と無効化

ファイルポリシーの有効化

通知ポリシーを設定するには、作成されたファイルポリシーを有効にしておく必要がありま

す。ファイルポリシーを有効にするには、enable コマンドを使用します

手順

1. ファイルポリシーを有効化するには、次のコマンドを入力します。

fpolicy enable policyName

policyName は、有効化するポリシーの名前です。

例

fpolicy enable policy1

指定したファイルポリシーが有効になります。

メモ：ファイルポリシーをアクティブにするには、options fpolicy.enable が on になって

いることを確認してください。

必須ファイルのスクリーニングの指定

required オプションは、ファイルスクリーニングが必須であるかどうかを決定します。

required オプションが on に設定されている場合、ファイルスクリーニングは必須になります。

Fpolicy サーバを使用できない場合、スクリーニングを実行できないため、クライアント要求


は拒否されます。

ネイティブファイルブロッキングを有効にする場合も、このオプションを使用します。

required オプションが off に設定されている場合、ファイルスクリーニングは必須ではありま

せん。

Fpolicy サーバが接続されていない場合、スクリーニングしなくても、操作は許可されます。

手順

1. ファイルスクリーニングを必須にするには、次のコマンドを入力します。

fpolicy options policyName required on

policyName は、required オプションを設定するポリシーの名前です。

このオプションは、デフォルトでは off に設定されます。使用できるファイルスクリーニングサーバがない場合に、required オプションを on にすると、ネイティブファイルブロッキング

機能によって、このポリシーで指定されたファイルへのアクセスがブロックされます。

メモ：ファイルスクリーニングを必須にしない場合は、同じコマンドを off に設定します。

関連概念


ファイルポリシー情報の表示

特定のファイルポリシーの重要情報を表示するには、fpolicy show コマンドを使用します。

手順


fpolicy show policyName

policyName は、情報を表示するファイルポリシーの名前です。

show コマンドを実行すると、特定のファイルポリシーに関する次の情報が表示されます。

• ファイルポリシーのステータス • 監視対象操作のリスト • スクリーニング対象ボリュームのリスト • スクリーニング対象拡張子のリスト • サーバの合計接続時間 • スクリーニングされた要求数 • 拒否された要求数 • ローカルにブロックされた要求数


すべてのファイルポリシーの情報の表示

すべてのファイルポリシーの重要情報を表示するには、fpolicy コマンドを使用します。

手順


fpolicy

fpolicy show コマンドを実行すると、既存のすべてのファイルポリシーに関する次の情報が

表示されます。

• 登録された Fpolicy サーバのリスト • すべてのファイルポリシーのステータス • 各ファイルポリシーで監視される操作のリスト • 各ファイルポリシーでスクリーニングされるボリュームのリスト • 各ファイルポリシーでスクリーニングされる拡張子のリスト • サーバの合計接続時間 • 各ファイルポリシーでスクリーニングされた要求数 • 各ファイルポリシーで拒否された要求数 • ローカルにブロックされた要求数

ファイルポリシーの無効化

ファイルポリシーが無効な場合は、この特定のファイルポリシー用に指定された操作は監視

されません。

また、Fpolicy サーバがストレージシステムに登録されている場合でも、この Fpolicy サーバ

にファイル要求通知は送信されません。

手順

1. ファイルポリシーを無効にするには、次のコマンドを入力します。

fpolicy disable policyName

例

fpolicy disable policy1

ファイルポリシーの削除

ファイルポリシーを削除するとすぐに、接続先のストレージシステムから既存のファイルポ


リシーが削除されます。特定のファイルポリシーを削除するには、 destroy コマンドを使用し

ます。特定のファイルポリシーを削除する前に、そのファイルポリシーを無効に設定する必

要があります。

ファイルポリシーに Fpolicy サーバが関連付けられている場合は、その Fpolicy サーバが登録

解除されます。

手順

1. 特定のファイルポリシーを削除してファイルポリシーのリストから削除するには、次の

コマンドを入力します。

fpolicy destroy policyName

例

fpolicy destroy policy1

policyName は、削除するファイルポリシーの名前です。

このコマンドを入力すると、ファイルポリシーのリストから、指定したファイルポリシーが

削除されます。

切断された CIFS 要求に関するサーバスクリーニングの停止

セッションが切断された CIFS 要求のサーバスクリーニングを停止するには、

cifs_disconnect_check オプションを有効にします。

冗長な要求を除外し、FPolicy サーバの負荷を軽減することができます。

手順

1. この機能をファイルポリシーごとに有効にするには、次のコマンドを入力します。

fpolicy options policyName cifs_disconnect_check on

policyName は、チェックを有効にするファイルポリシーの名前です。

メモ：デフォルトでは、このオプションは off に設定されています。

例 F ファイルポリシーp1 に対して cifs_disconnect_check を有効にするには、次のコマンドを使用します。

filer> fpolicy options p1 cifs_disconnect_check fpolicy options p1 cifs_disconnect_check: off filer> fpolicy options p1 cifs_disconnect_check on


CIFS要求の同時スクリーニングに関する制限の設定

FPolicy サーバが同時にスクリーニングできる CIFS 要求の数を制限できます。

このオプションを使用すると、CIFS 要求で pBlks が不足することはなくなります。

特定の制限が設定されている場合、この制限を超える要求がスクリーニングのために FPolicyサーバに送信されることはありません。

この制限を設定するには、フラグ fp_maxcifsreqs_pblkpercent を使用します。

このフラグは、ストレージシステムで使用可能な最大 pBlks 数に対する割合で制限を設定し

ます。この設定には、setflag および printflag コマンドを使用します。

メモ：setflag および printflag を使用できるのは、 diag 権限レベルの場合のみです。

手順

1. スクリーニングに関する制限を設定するには、次のコマンドを使用します。

setflag fp_maxcifsreqs_pblkpercent limit_value

limit_value は、許可する同時要求の最大数です。

値の範囲は 1 ～ 100 です。

メモ：1～100 以外の値を指定すると、この機能が無効になります。

例制限を設定するには、次のコマンドを入力します。 filer> priv set diag filer*> printflag fp_maxcifsreqs_pblkpercent fp_maxcifsreqs_pblkpercent = 0 filer*> setflag fp_maxcifsreqs_pblkpercent 30

ストレージシステムの最大 pBlks 数を決定するには、cifs stat コマンドを実行します。出力の Max pBlks フィールドに、ストレージシステムの最大 pBlks 数が表示されます。

filer> cifs stat ... ... Max pBlks = 256 Current pBlks = 256 Num Logons = 0

サーバタイムアウトの設定

FPolicy サーバが要求に応答するまでのシステム待機時間の上限を設定することができます。

この上限はファイルポリシーごとに個別に設定できます。これにより、FPolicy サーバは効率

化されます。

手順


1. ファイルポリシーごとにタイムアウト値を設定するには、次のコマンドを入力します。

fpolicy options policyName serverprogress_timeout timeout-in-secs

policyName は、 Fpolicy サーバのタイムアウトを設定するファイルポリシーの名前です。

timeout-in-secs は、タイムアウト値(秒)です。

入力可能なタイムアウト値は 0 ～4294967 秒です。

タイムアウト値を 0 に設定すると、 serverprogress_timeout オプションが無効になります。

メモ：デフォルトでは、このオプションは無効で、タイムアウト値は設定されてい

ません。

タイムアウト値を設定した後は、設定されたタイムアウト値までに Fpolicy サーバが応答しな

いと、サーバは切断されます。

例ファイルポリシー p1 のタイムアウト値を設定するには、次のコマンドを使用します。 filer> fpolicy options p1 serverprogress_timeout fpolicy options p1 serverprogress_timeout: 0 secs (disabled) filer> fpolicy options p1 serverprogress_timeout 600 filer> fpolicy options fp1 serverprogress_timeout 4294967

要求スクリーニングタイムアウトの設定

FPolicy サーバが要求をスクリーニングするまでのシステムの待機時間に上限を設定できます。

この上限はポリシーごとに個別に設定できます。

これにより、FPolicy サーバーのパフォーマンスは改善します。

手順

1. ファイルポリシーごとにタイムアウト値を設定するには、次のコマンドを入力します。

fpolicy options policyName reqcancel_timeout timeout-in-secs

policyName は、スクリーニングのタイムアウトを設定したいファイルポリシーの名前です。

timeout-in-secs は、タイムアウト値(秒)です。

タイムアウト値が設定されている場合は、設定されたタイムアウト値までにスクリーニング要求が完了しないと、スクリーニング要求はキャンセルされます。

例ファイルポリシー p1 のタイムアウト値を設定するには、次のコマンドを入力します。 filer> fpolicy options p1 reqcancel_timeout fpolicy options p1 reqcancel_timeout: 0 secs (disabled) filer> fpolicy options p1 reqcancel_timeout 60


SMB名前付きパイプの複数のインスタンスの有効化と無効化

SMB 名前付きパイプの複数のインスタンスを有効または無効にする。

fpolicy.multiple_pipes オプションを使用することにより、 Fpolicy サーバ上で SMB 名前付き

パイプの複数のインスタンスを有効化できます。

このオプションを有効にすると、 Fpolicy エンジンは Fpolicy サーバに対して最大 10 個の SMB 名前付きパイプのインスタンスを開くことができます。このオプションを無効にすると、 1 個のみの SMB 名前付きパイプのインスタンスが、 Fpolicy サーバに対して開かれます。

手順

1. Fpolicy サーバ上で SMB 名前付きパイプの複数のインスタンスを有効または無効するには、次のコマンドを入力します。

options fpolicy.multiple_pipes {on|off}

デフォルトでは、このオプションは on に設定されています。

NFSクライアントとCIFSクライアントでスクリーニングされるイベント

FPolicy サーバは、NFS および CIFS クライアントから着信したファイル要求に関する多数の

操作またはイベントをスクリーニングできます。

次の表に、ネイティブファイルブロッキングとサーバベーススクリーニングに関する、NFS および CIFS でスクリーニングされるイベントを示します。

イベントプロトコル説明

ファイルを開く CIFS と NFS(v4) ファイルを開くときに送信される通知

ファイルの作成 CIFS と NFS ファイルを作成するときに送信される通知

ファイルの名前変更 CIFS と NFS ファイルの名前を変更するときに送信される通知

ファイルを閉じる CIFS と NFS(v4) ファイルを閉じるときに送信される通知

ファイルの削除 CIFS と NFS ファイルを削除するときに送信される通知

ファイルの読み取り CIFS と NFS ファイルを読み取るときに送信される通知

ファイルの書き込み CIFS とNFS ファイルに書き込むときに送信される通知

ディレクトリの削除 CIFS と NFS ディレクトリを削除するときに送信される通知

ディレクトリの名前変更 CIFS と NFS ディレクトリの名前を変更するときに送信される通知

ディレクトリの作成 CIFS と NFS ディレクトリを作成するときに送信される通知

Getattr NFS 属性情報要求に関して送信される通知


イベントプロトコル説明

Setattr CIFS と NFS 属性情報設定に関して送信される通知

ハードリンクの作成 NFS ハードリンクを作成するときに送信される通知

symlinkの作成 NFS シンボリックリンクを作成するときに送信される通知

検索 NFS NFS検索が発生したときに送信される通知

メモ：CIFS setattr イベントはさまざまな機能を実行できますが、FPolicy で監視されるのは、

セキュリティ記述子情報を変更する setattr 操作のみです。

セキュリティ記述子情報には、所有者、グループ、 Discretionary Access Control List（DACL）、System Access Control List（SACL）情報があります。

Fpolicy を使用すると、ファイルシステム関連の NFS 操作と CIFS 操作におけるほとんどの

イベントに対応できます。Fpolicy で監視されない操作の一部を、次に示します。

• NFS (v2, v3, v4) : ACCESS、 COMMIT、 FSINFO、 FSTAT、 PATHCONF、 ROOT、 READLINK、 READDIR、 READDIRPLUS、 STATFS、 MKNOD

• NFSv4 : 検索と委譲に関連する操作

• CIFS:

• SMB_COM_TREE_CONNECT や SMB_COM_TREE_DISCONNECT などのツリー操作

• SMB_COM_session_SETUP_ANDX などのセッション関連操作

• ロック関連の操作

• プリント関連操作など、ファイルシステム動作に関連しない操作

ファイルまたはディレクトリイベント

さまざまなファイルおよびディレクトリ操作がスクリーニングされます。

操作要求があると、ポリシー設定に基づいて FPolicy サーバに通知が送信されます。

次のトピック

ファイルオープン要求の監視ファイル作成要求の監視ファイルクローズ要求の監視ファイル名前変更要求の監視ファイル削除要求の監視ファイル書込み要求の監視ファイル読み取り要求の監視リンク要求の監視（NFS のみ） symlink 要求の監視（NFS のみ）


ディレクトリ削除要求の監視ディレクトリ名前変更要求の監視ディレクトリ作成要求の監視ファイル検索要求の監視（NFS のみ） getattr 要求の監視 (NFS のみ) setattr 要求の監視

ファイルオープン要求の監視

ファイルオープン操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。

ファイルオープン要求が CIFS または NFSv4 クライアントからストレージシステムに送信されると、

ストレージシステムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理

には、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしている

かどうかのチェックが含まれます。ファイル拡張子がファイルポリシーの extension include リストに

含まれている場合、ファイルがチェックに合格すると、要求が FPolicy サーバに転送されます。

FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイルオープン要求を許可またはブ

ロックします。

ストレージシステムがリブートした場合、NFSv4 クライアントはシャットダウン前に開いていたファイル

のファイルハンドラを再要求できます。ストレージシステムが再び機能するようになったあとで、

FPolicy サーバが NFS クライアントより先にストレージシステムに接続した場合、ストレージシステ

ムはファイル再要求をオープン要求として FPolicy サーバに転送します。

FPolicy サーバが NFS クライアントのあとにストレージシステムに接続した場合、ストレージシステ

ムはオープン再要求をオープン要求として FPolicy サーバに転送しません。この場合、NFS クライア

ントは NFSv4 再要求操作を使用して、ファイルハンドルを取得します。

NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上で

no_i2p オプションをオフに設定します。この設定により、ボリュームで inode とパス間のファイル名変

換が有効になります。

メモ： Data ONTAP 7.3 リリース以降、FPolicy ではボリューム上で NFSv4 プロトコルお

よび i2p オプションをサポートしています。古いリリースの FPolicy では、NFSv4 プロ

トコルおよび i2p オプションはサポートされません。

NFSv4 環境で Data ONTAP ベースのアプリケーションが動作している場合に、NFSv4 をサポート

するには、FPolicy アプリケーションをアップグレードする必要があります。

NFSv4 をサポートすることで、ファイルの OPEN および CLOSE イベントのサポートが追加されます。

したがって、古いリリースの FPolicy をベースとするアプリケーションでこれらのファイル操作を行うと、

FPolicy アプリケーションでは UNKNOWN イベントエラーとして認識されることがあります。

FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイルオープン操作を追加する必要があります。ファイルオープン操作を監視するには、CLI または ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。


次のトピック

CLI を通じてファイルオープン操作を監視するための Fpolicy の設定 ONTAPI を通じてファイルオープン操作を監視するため Fpolicy の設定ファイルオープン要求を監視するための Fpolicy の登録

CLIを通じてファイルオープン操作を監視するためのFpolicyの設定

ファイルオープン操作を監視するようにファイルポリシーを設定するには、 fpolicy monitor add コマンドを使用します。

この CLI コマンドを追加すると、CIFS と NFS 要求の監視対象イベントリストにファイル

オープン操作を追加できます。

手順

1. ファイルオープン操作を監視するには、次の CLI コマンドを入力します。

fpolicy monitor add policyName open

ONTAPI を通じてファイルオープン操作を監視するためFpolicyの設定

ONTAPI コールを使用すると、ファイルオープン操作を監視するようにファイルポリシーを

設定できます。

手順

1. ファイルオープン操作に関する監視オプションを設定するには、次の ONTAPI コールを使用します。

fpolicy-operations-list-set

monitored-operations 入力名フィールドの、 monitored-operation-info[] には、file-open 操作を指定する必要があります。monitored-protocols には、監視する特定のプロトコルを指

定する必要があります。ファイルオープン操作の場合、 NFS と CIFS の両方の要求を監

視できます。

ファイルオープン要求を監視するためのFpolicyの登録

ファイルオープン操作を監視するためには Fpolicy サーバを登録するときにファイルオープン

操作を登録します。

手順

1. ファイルオープン操作のスクリーニングを有効にするには、ストレージシステムに Fpolicy サーバを登録する場合に、 FP_registration() コールの OpsToScreen ビットマス

クに次のビットを設定します。

FS_OP_OPEN 0x0001


登録が完了したら、 Fpolicy サーバはすべてのファイルオープン要求を監視します。

ファイル作成要求の監視

ファイル作成操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。

ファイル作成要求が CIFS または NFS クライアントからストレージシステムに送信されると、ス

トレージシステムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処

理には、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセ

スしているかどうかのチェックが含まれます。ファイル拡張子が FPolicy の extension include リス

トに含まれている場合、ファイルがチェックに合格すると、要求が FPolicy サーバに転送されます。

FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル作成要求を許可またはブロッ

クします。

FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイル

作成操作を追加する必要があります。ファイル作成操作を監視するには、CLI または ONTAPI を使

用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。

次のトピック

CLI を通してファイル作成操作を監視するための Fpolicy の設定 ONTAPI を通してファイル作成操作を監視するための Fpolicy の設定ファイル作成要求を監視するための FPolicy の登録

CLIを通してファイル作成操作を監視するためのFpolicyの設定

ファイル作成操作を監視するようにファイルポリシーを構成するには、 fpolicy monitor add コマンドを使用します。

手順

1. ファイル作成操作を監視するには、次の CLI コマンドを入力します。

fpolicy monitor add policyName create

ONTAPI を通してファイル作成操作を監視するためのFpolicyの設定

ONTAPI コールを使用すると、ファイル作成操作を監視するようにファイルポリシーを設定

できます。

手順

1. ファイル作成操作に関する監視するオプションを設定するには、次の ONTAPI コールを使

用します。


monitored-operations 入力名フィールドの monitored-operation-info[] には、 file-create


操作を指定する必要があります。monitored-protocols には、監視する特定のプロトコルを

指定する必要があります。

ファイルを作成操作の場合は、 NFS と CIFS の両方の要求を監視できます。

ファイル作成要求を監視するためのFPolicyの登録

ファイル作成要求を監視するためには、Fpolicy サーバを登録するときにファイル作成操作を

登録します。

手順

1. ファイル作成操作のスクリーニングを有効にするには、ストレージシステムに Fpolicy サーバを登録する場合に、FP_registration() コールの OpsToScreen ビットマスクに次のビッ

トを設定します。

FS_OP_CREATE 0x0002

登録が完了したら、 Fpolicy サーバはすべてのファイル作成要求を監視します。

ファイルクローズ要求の監視

ファイルクローズ操作が行われると、FPolicy サーバはストレージシステムから通知を受信し

ます。

ファイルクローズ要求が CIFS または NFSv4 クライアントからストレージシステムに送信

されると、ストレージシステムはそのファイルに関連するすべてのチェックを実行します。

関連するチェック処理には、権限チェック、ファイルの可用性チェック、およびファイルに別

のクライアントがアクセスしているかどうかのチェックが含まれます。ファイルがチェックに

合格すると、要求が FPolicy サーバに転送されます。ファイルが閉じたら、ストレージシステ

ムは FPolicy サーバにファイルが閉じたことを通知します。

FPolicy サーバはファイルクローズ操作をブロックすることはできません。

FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファ

イルクローズ操作を追加する必要があります。ファイルクローズ操作を監視するには、CLI または ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することも

できます。

NFSv4 のオープンダウングレード操作もクローズ操作とみなされ、この操作が実行された場

合は通知が送信されます。NFSv4 操作に対してファイル拡張子ベースのスクリーニングを有

効にするには、ボリューム上で no_i2p オプションを off に設定します。この設定により、ボリ

ュームで inode とパス間のファイル名変換が有効になります。

メモ： Data ONTAP 7.3 リリース以降、Fpolicy では NFSv4 プロトコルがサポートされてい


ます。

次のトピック

CLI を通してファイルクローズ操作を監視するための FPolicy の設定 ONTAPI を通してファイルクローズ操作を監視するための Fpolicy の設定ファイルクローズ要求を監視するための Fpolicy の登録

CLIを通してファイルクローズ操作を監視するためのFPolicyの設定

ファイルクローズ操作を監視するためにファイルポリシーを構成するには、 fpolicy monitor add CLI コマンドを使用できます。この CLI コマンドを使用すると、 CIFS と NFS 要求の監

視対象イベントリストにファイルクローズ操作を追加します。

手順

1. ファイルクローズ操作を監視するには、次の CLI コマンドを入力します。

fpolicy monitor add policyName close

ONTAPIを通してファイルクローズ操作を監視するためのFpolicyの設定

ONTAPI コールを使用すると、ファイルクローズ操作を監視するようにファイルポリシーを


手順

1. ファイルクローズ操作に関する監視オプションを設定するには、次の ONTAPI コールを使

用します。


monitored-operations 入力名フィールドでは、 monitored-operation-info[] には、file-close 操作を指定する必要があります。monitored-protocols には、監視する特定のプロトコルを

指定する必要があります。ファイルクローズ操作の場合は、 NFS と CIFS 両方の要求を監視できます。

ファイルクローズ要求を監視するための Fpolicyの登録

ファイルクローズ操作を監視するには、Fpolicy サーバを登録するときにファイルクローズ操

作を登録します。

手順

1. ファイルクローズ操作のスクリーニングを有効にするには、ストレージシステムに Fpolicy サーバを登録する場合に、 FP_registration() コールの OpsToScreen ビットマス



FS_OP_CLOSE 0x0008

登録が完了したら、 Fpolicy サーバはすべてのファイルクローズ要求を監視します。

ファイル名前変更要求の監視

ファイル名前変更操作が行われると、FPolicy サーバはストレージシステムから通知を受信し

ます。

ファイル名前変更要求が CIFS または NFS クライアントからストレージシステムに送信され

ると、ストレージシステムはそのファイルに関連するすべてのチェックを実行します。

関連するチェック処理には、権限チェック、ファイルの可用性チェック、およびファイルに別

のクライアントがアクセスしているかどうかのチェックが含まれます。ファイル拡張子が

FPolicy の ext[ension] inc[lude]リストに含まれている場合、ファイルがチェックに合格すると、

要求が FPolicy サーバに転送されます。

名前変更要求が FPolicy サーバに送信されるのは、古い拡張子または新しい拡張子が

ext[ension] inc[lude]リストに記述されている場合のみです。

つまり、ファイル名が test.txt から test.mp3 に変更される場合は、一方の拡張子、または両方

の拡張子（.txt または.mp3）が extension include リストに記述されている必要があります。

FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル名前変更要求を許可ま

たはブロックします。


イル名前変更操作を追加する必要があります。

ファイル名前変更操作を監視するには、CLI または ONTAPI を使用します。ビットマスクを使

用して、FPolicy サーバから設定することもできます。

次のトピック

CLI を通してファイル名変更操作を監視するための FPolicy の設定 ONTAPI を通してファイル名変更操作を監視するための Fpolicy の設定ファイル名変更要求を監視するための Fpolicy の登録

CLI を通してファイル名変更操作を監視するためのFPolicyの設定

ファイル名変更操作を監視するには、fpolicy monitor add CLI コマンドを使用します。

CLI コマンドは、 CIFS と NFS 要求の監視イベントリストにファイル作成操作を追加します。

手順

1. ファイル名の変更操作を監視するには、次の CLI コマンドを入力します。

fpolicy monitor add policyName rename


ONTAPIを通してファイル名変更操作を監視するためのFpolicyの設定

policy-operations-list-set ONTAPI コールを使用すると、ファイル名変更操作を監視するよう

にファイルポリシーを設定できます。

手順

1. ファイル名変更操作に関する監視するオプションを設定するには、次の ONTAPI コールを

使用します。


monitored-operations 入力名フィールドの monitored-operation-info[]には、 file-rename 操作を指定する必要があります。

monitored-protocols には、監視する特定のプロトコルを指定する必要があります。ファイ

ルを作成操作の場合は、 NFS と CIFS 両方の要求を監視できます。

ファイル名変更要求を監視するためのFpolicyの登録

ファイル名変更操作を監視するには、Fpolicy サーバを登録するときにファイル名変更操作を

登録します。

手順

1. ファイル名の変更操作のスクリーニングを有効にするには、ストレージシステムに Fpolicy サーバを登録する場合に、 FP_registration() コールの OpsToScreen ビットマス


FS_OP_RENAME 0x0004

登録が完了したら、 Fpolicy サーバはすべてのファイル名変更要求を監視します。

ファイル削除要求の監視

ファイル削除操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。

ファイル削除要求が CIFS または NFS クライアントからストレージシステムに送信されると、

ストレージシステムはそのファイルに関連するすべてのチェックを実行します。関連するチ

ェック処理には、権限チェック、ファイルの可用性チェック、およびファイルに別のクライア

ントがアクセスしているかどうかのチェックが含まれます。チェックが完了し、ファイルがチ

ェックに合格すると、要求通知が FPolicy サーバに送信されます。FPolicy サーバはこの要求

を受信し、ポリシー設定に基づいてファイル削除要求を許可またはブロックします。


イル削除操作を追加する必要があります。ファイル削除操作を監視するには、CLI または

ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできま


す。

NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上

で no_i2p オプションをオフに設定します。この設定により、ボリュームで inode とパス間の

ファイル名変換が有効になります。

次のトピック

CLI を通してファイル削除操作を監視するための Fpolicy の設定 ONTAPI を通してファイル削除操作を監視するための FPolicy の設定ファイル削除要求を監視するための FPolicy の登録

CLIを通してファイル削除操作を監視するためのFpolicyの設定

ファイル削除操作を監視するには、 CLI から fpolicy monitor コマンドを使用します。

この CLI コマンドを使用して、 CIFS と NFS 要求の監視イベントリストにファイル削除操作

を追加します。

手順

1. ファイル削除操作を監視するには、次のCLIコマンドを使用します。

fpolicy monitor add policyName delete

ONTAPIを通してファイル削除操作を監視するためのFPolicyの設定

ファイル削除操作を監視するには、fpolicy-operations-list-set ONTAPIコールを使用します。

ステップ

1. ファイル削除操作に関する監視オプションを設定するには、次のONTAPIコールを使用します。


monitored-operations入力名フィールドでは、monitored-operation-info[]はfile-delete operationを指定する必要があります。monitored-protocolsには、監視する特定のプロトコルを

指定する必要があります。ファイル削除操作の場合は、CIFS要求とNFS要求の両方を監視でき

ます。

ファイル削除要求を監視するためのFPolicyの登録

ファイル削除操作を監視するには、FPolicyサーバーを登録する時にファイル削除操作を登録します。

ステップ

1. ファイル削除操作のスクリーニングを有効するには、ストレージシステムにFPolicyサーバをストレ

ージシステムに登録する場合に、FP_registration ()コールのOpsToScreenビットマスクに次のビ

ットを設定します。

FS_OP_DELETE 0x0010

登録が完了したら、FPolicyサーバはすべてのファイル削除要求を監視します。


ファイル書込み要求の監視

ファイル書き込み操作が行われると、FPolicyサーバはストレージシステムから通知を受け取ります。

ファイル書き込み要求がCIFS またはNFS クライアントからストレージシステムに送信されると、スト

レージシステムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、

権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどう

かのチェックが含まれます。ファイル拡張子がFPolicy のextension include リストに含まれている場

合、ファイルがチェックに合格すると、要求がFPolicy サーバに転送されます。

FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル書き込み要求を許可またはブ


FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイル書

き込み操作を追加する必要があります。ファイル書き込み操作を監視するには、CLI またはONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。

NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上でno_i2p オプションをオフに設定します。この設定により、ボリュームでinode/パス間のファイル名変換が有効

になります。

次のトピックス

CLI を通してファイル書き込み操作を監視するための FPolicy の設定 ONTAPI を通してファイル書き込み操作を監視するための FPolicy 設定ファイル書き込み要求を監視するための FPolicy の登録

CLIを通してファイル書き込み操作を監視するためのFPolicyの設定

ファイル書き込み操作を監視するには、fpolicy monitor CLIコマンドを使用します。

このCLIコマンドを使用すると、CIFSとNFS要求の監視対象にファイル書き込み操作を追加できます。

手順

1. ファイル書き込み操作を監視するには、次のCLIコマンドを使用します。

fpolicy monitor add PolicyName write

ONTAPIを通してファイル書き込み操作を監視するためのFPolicy設定

fpolicy-operations-list-set ONTAPコールを使用すると、ファイル書き込み操作を監視するようにファ

イルポリシーを設定できます。

ステップ

1. ファイル書き込み操作を監視するために、次のONTAPIコールを使用します


monitored-operations入力名フィールドの、monitored-operation-info[]には、write操作を指定す

る必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要があり

ます。ファイル書き込み操作の場合は、CIFS要求とNFS要求の両方を監視できます。


ファイル書き込み要求を監視するためのFPolicyの登録

ファイル書き込み操作を監視するには、FPolicyサーバを登録するときにファイル書き込み操作を登

録します。

ステップ

1. ファイル書き込み操作のスクリーニングを有効にするには、ストレージシステムに登録する場合に

FPolicyサーバを登録する場合に、FP registration ()コールのOpsToScreenビットマスクに次の

ビットを設定して下さい。

FS_OP_WRITE 0x4000

登録が完了したら、FPolicyサーバは全てのファイル書き込み要求を監視します。

ファイル読み取り要求の監視

ファイル読み取り操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。

ファイル読み取り要求がCIFS またはNFS クライアントからストレージシステムに送信されると、スト

レージシステムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理に

は、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているか

どうかのチェックが含まれます。ファイル拡張子がFPolicy のext[ension] inc[lude]リストに含まれてい

る場合、ファイルがチェックに合格すると、要求がFPolicy サーバに転送されます。

FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル読み取り要求を許可またはブ


FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイル読

み取り操作を追加する必要があります。ファイル読み取り操作を監視するには、CLI またはONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。

NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上でno_i2p オプションをoff に設定します。このようにすると、ボリュームでinode/パス間のファイル名変換が有効

になります。


CLI を通してファイル読み取り操作を監視するための FPolicy の設定 ONTAPI を通してファイル読み取り操作を監視するための FPolicy の設定ファイル読み取り要求を監視するための FPolicy の登録

CLI を通してファイル読み取り操作を監視するためのFPolicyの設定

ファイル読み取り操作を監視するには、fpolicy monitor CLIコマンドを使用します。

このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベントリストにファイル読み取り操

作を追加できます。


ステップ

1. ファイル読み取り操作を監視するには、次のCLIコマンドを使用します。

fpolicy monitor add PolicyName read

ONTAPIを通してファイル読み取り操作を監視するためのFPolicyの設定

ファイル読み取り操作を監視するには、fpolicy-operations-list-set ONTAPIコールを使用します。

ステップ

1. ファイル読み取り操作に関する監視オプションを設定するには、次のON TAPIコールを使用しま

す。

fpolicyoperations-list-set

monitored-operations入力名フィールドのmonitored-operation-info[]には、read操作を指定す


ます。ファイル読み取り操作の場合は、CIFSとNFSの両方の要求を監視できます。

ファイル読み取り要求を監視するためのFPolicyの登録

ファイル読み取り操作を監視するには、FPolicyサーバを登録するときにファイル読み取り操作を登録

します。

ステップ

1. ファイル読み取り操作のスクリーニングを有効にするには、ストレージシステムにFPｏｌｉｃｙサーバ

を登録する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定しま

す。

FS_OP_READ 0x2000

登録が完了したら、FPolicyは全てのファイル読み取り要求を監視します。

リンク要求の監視（NFSのみ）

ファイルリンク操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。

ファイルリンク要求がNFS クライアントからストレージシステムに送信されると、ストレージシステム

はそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェック、

ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチェックが

含まれます。ファイル拡張子がFPolicy のextension include リストに含まれている場合、ファイルが

チェックに合格すると、要求がFPolicy サーバに転送されます。FPolicy サーバはこの要求を受信し、

ポリシー設定に基づいてファイルリンク要求を許可またはブロックします。

FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイルリンク操作を追加する必要があります。ファイルリンク操作を監視するには、CLI またはONTAPI を使

用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。



CLI を通してファイルリンク操作を監視するための FPolicy の設定 ONTAPI を通してファイルリンク操作を監視するための FPolicy の設定ファイルリンク要求を監視するための FPolicy の登録

CLIを通してファイルリンク操作を監視するためのFPolicyの設定

fpolicy monitor CLIコマンドを使用すると、ファイルリンク操作を監視するようにファイルポリシーを


ステップ

1. ファイルリンク操作を監視するために、次のCLIコマンドを使用します。

fpolicy monitor add PolicyName link

このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベントリストにファイルリンク操作

を追加できます。

ONTAPIを通してファイルリンク操作を監視するためのFPolicyの設定

ファイルリンク操作を監視するには、fpolicy-operations-list-set ONTAPIコールを使用します。

ステップ

1. ファイルリンク操作に関する監視オプションを設定するには、次のON TAPIコールを使用します。


monitored-operations入力名フィールドのmonitored-operation-info[]は、link操作を指定する必

要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要があります。

ファイルリンク操作の場合は、NFS要求のみ監視できます。

ファイルリンク要求を監視するためのFPolicyの登録

ファイルリンク操作を監視するには、FPolicyサーバを登録するときにファイルリンク操作を登録します。

ステップ

1. ファイルリンク動作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバを

登録する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。

FS_OP_LINK 0x0400

登録が完了したら、FPolicyサーバはすべてのファイルリンク要求を監視します。

symlink要求の監視（NFSのみ）

ファイルsymlink（シンボリックリンク）操作が行われると、FPolicy サーバはストレージシステムから

通知を受信します。


ファイルsymlink 要求がNFS クライアントからストレージシステムに送信されると、ストレージシステ

ムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェッ

ク、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチェッ

クが含まれます。ファイル拡張子がFPolicy のextension include リストに含まれている場合、ファイ

ルがチェックに合格すると、要求がFPolicy サーバに転送されます。FPolicy サーバはこの要求を受

信し、ポリシー設定に基づいてファイルsymlink 要求を許可またはブロックします。

FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイル

symlink 操作を追加する必要があります。ファイルsymlink 操作を監視するには、CLI または

ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。

NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上でno_i2p オプションをオフに設定します。このようにすると、ボリュームでinode/パス間のファイル名変換が有効

になります。


CLI を通してファイル symlink 操作を監視するための FPolicy の設定 ONTAPI を通してファイル symlink 操作を監視するための FPolicy の設定ファイル symlink 要求を監視するためのの FPolicy の登録

CLIを通してファイルsymlink操作を監視するためのFPolicyの設定

CLIコマンドを使用すると、ファイルsymlink操作を監視するようにファイルポリシーを設定できます。

このCLIコマンドを使用すると、CIFS要求と要求の監視対象イベントリストにファイル symlink操作を

追加できます。

ステップ

1. ファイルsymlink動作を監視するために、次のCLIコマンドを使用して下さい。

fpolicy mon[itor] add PolicyName symlink

ONTAPIを通してファイルsymlink操作を監視するためのFPolicyの設定

ONTAPIコマンドを使用すると、ファイルsymlink操作を監視するようにファイルポリシーを設定できま

す。

ステップ

1. ファイルsymlink操作の監視オプションを設定するために、次のON TAPIコールを使用して下さい。


monitored-operations入力名フィールドのmonitored-operation-info[]には、link操作を指定する

必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要がありま

す。ファイルsymlink操作の場合、CIFS要求とNFS要求の両方を監視できます。


ファイルsymlink要求を監視するためののFPolicyの登録

ファイルsymlink操作を監視するには、FPolicyサーバを登録するときにファイルsymlink操作を登録し

ます。

ステップ

1. ファイルsymlink操作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバを


FS_OP_SYMLINK 0x0800

登録が完了したら、FPolicyサーバはすべてのファイルsymlink要求を監視します。

ディレクトリ削除要求の監視

ディレクトリ削除操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。

ディレクトリ削除要求がRMDIR 操作を使用してCIFS クライアントから、またはUNLINK操作を使用し

てNFS クライアントからストレージシステムに送信されると、ストレージシステムはそのディレクトリに

関連するすべてのチェックを実行します。関連するチェック処理には、権限チェック、ディレクトリの可

用性チェック、およびディレクトリに別のクライアントがアクセスしているかどうかのチェックが含まれま

す。ディレクトリがチェックに合格すると、要求はFPolicy サーバに転送されます。ファイルポリシーで

required オプションがon に設定されている場合に、ディレクトリ削除操作が要求されると、要求は拒

否されます。

FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにディレクトリ

削除操作を追加する必要があります。ディレクトリ削除操作を監視するには、CLI またはONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。


CLI 通してディレクトリ削除操作を監視するための FPolicy の設定 ONTAPI を通してディレクトリ削除操作を監視するための FPolicy の設定ディレクトリ削除要求を監視するための FPolicy の登録

CLI通してディレクトリ削除操作を監視するためのFPolicyの設定

CLIコマンドを使用すると、ディレクトリ削除操作を監視するようにファイルポリシーを設定できます。

このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベントリストにディレクトリ削除操


ステップ

1. ディレクトリ削除動作を監視するために、次のCLIコマンドを使用します。

fpolicy mon[itor] add PolicyName directory-delete


ONTAPIを通してディレクトリ削除操作を監視するためのFPolicyの設定

ONTAPIコマンドを使用すると、ディレクトリ削除操作を監視するようにファイルポリシーを設定できま

す。

ステップ

1. ディレクトリ削除操作に関する監視オプションを設定するには、次のONTAPIコールを使用します。


monitored-operations入力名フィールドのmonitored-operation-info[]には、directory-delete操作を指定する必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する

必要があります。ディレクトリ削除の場合は、CIFS要求とNFS要求の両方を監視できます。

ディレクトリ削除要求を監視するためのFPolicyの登録

ディレクトリ削除操作を監視するには、FPolicyサーバを登録するときにディレクトリ削除操作を登録し

ます。

ステップ

1. ディレクトリ削除操作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバを


FS_OP_DELETE_DIR 0x0020

登録が完了したら、FPolicyサーバはすべてのファイルディレクトリ削除要求を監視します。

ディレクトリ名前変更要求の監視

ディレクトリ名前変更操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。

ディレクトリ名前変更要求がCIFS またはNFS クライアントからストレージシステムに送信されると、

ストレージシステムはそのディレクトリに関連するすべてのチェックを実行します。関連するチェック処

理には、権限チェック、ディレクトリの可用性チェック、およびディレクトリに別のクライアントがアクセス

しているかどうかのチェックが含まれます。ディレクトリがチェックに合格すると、要求はFPolicy サー

バに転送されます。ファイルポリシーでrequired オプションがon に設定されている場合に、ディレクト

リ名前変更操作が要求されると、要求は拒否されます。


名前変更操作を追加する必要があります。ディレクトリ名前変更操作を監視するには、CLI または

ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。


CLI を通してディレクトリ名変更操作を監視するための FPolicy の設定 ONTAPI を通してディレクトリ名変更操作を監視するための FPolicy の設定ディレクトリ名変更要求を監視するための FPolicy の登録


CLIを通してディレクトリ名変更操作を監視するためのFPolicyの設定

CLIコマンドを使用すると、ディレクトリ名変更操作を監視するようにファイルポリシーを設定できます。

このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベントリストにディレクトリ名変更操


ステップ

1. ディレクトリ名変更操作を監視するには、次のCLIコマンドを使用します。

fpolicy mon[itor] add PolicyName directory-rename

ONTAPIを通してディレクトリ名変更操作を監視するためのFPolicyの設定

ONTAPIを使用すると、ディレクトリ名変更操作を監視するようにファイルポリシーを設定できます。

ステップ

1. ディレクトリ名変更操作に関する監視オプションを設定するには、次のON TAPIコールを使用しま

す。


monitored-operations入力名フィールドのmonitored-operation-info[]には、directory-rename操作を指定する必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する

必要があります。ディレクトリ名変更操作の場合は、CIFS要求とNFS要求の両方が監視できます。

ディレクトリ名変更要求を監視するためのFPolicyの登録

ディレクトリ名変更操作を監視するには、FPolicyサーバを登録するときにディレクトリ名変更操作を登

録します。

ステップ

1. ディレクトリ名変更操作のスクリーニングを有効にするには、ストレージシステムにFPｏｌｉｃｙを登録

する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。

FS_OP_RENAME_DIR 0x0040

登録が完了したら、FPolicyサーバはすべてのディレクトリ名変更要求を監視します。

ディレクトリ作成要求の監視

ディレクトリ作成操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。

ディレクトリ作成要求がCIFS またはNFS クライアントからストレージシステムに送信されると、ストレ

ージシステムはそのディレクトリに関連するすべてのチェックを実行します。関連するチェック処理に

は、権限チェック、ディレクトリの可用性チェック、およびディレクトリに別のクライアントがアクセスして

いるかどうかのチェックが含まれます。ディレクトリがチェックに合格すると、要求がFPolicy サーバに


転送されます。ファイルポリシーでrequired オプションがon に設定されている場合に、ディレクトリ作

成操作が要求されると、要求は拒否されます。


作成操作を追加する必要があります。ディレクトリ作成操作を監視するには、CLI またはONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。


CLI を通してディレクトリ作成操作を監視するための FPolicy の設定 ONTAPI を通じてディレクトリ作成操作を監視するための FPolicy 設定ディレクトリ作成要求を監視するための FPolicy の登録

CLIを通してディレクトリ作成操作を監視するためのFPolicyの設定

CLIコマンドを使用すると、ディレクトリ作成動作を監視するようにファイルポリシーを設定できます。

このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベントリストにディレクトリ作成操作

を追加できます。

ステップ

1. ディレクトリ作成操作を監視するには、次のCLIコマンドを使用します。

fpolicy mon[itor] add PolicyName directory-create

ONTAPIを通じてディレクトリ作成操作を監視するためのFPolicy設定

ONTAPIを使用すると、ディレクトリ作成操作を監視するようにファイルポリシーを設定できます。

ステップ

1. ディレクトリ作成操作に関する監視オプションを設定するには、次のON TAPIコールを使用します。


monitored-operations入力名フィールドのmonitored-operation-info[]には、directory-create操作を指定する必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する

必要があります。ディレクトリ作成操作の場合は、CIFS要求とNFS要求の両方が監視できます。

ディレクトリ作成要求を監視するためのFPolicyの登録

ディレクトリ作成操作を監視するには、FPolicyサーバを登録するときにディレクトリ作成操作を登録し

ます。

ステップ

1. ディレクトリ作成操作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバを


FS_OP_CREATE_DIR 0x0080


登録が完了したら、FPolicyサーバはすべてのディレクトリ作成要求を監視します。

ファイル検索要求の監視（NFSのみ）

ファイル検索操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。

ファイル検索要求がNFS クライアントからストレージシステムに送信されると、ストレージシステム

はそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェック、

ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチェックが

含まれます。ファイル拡張子がFPolicy のext[ension] inc[lude]リストに含まれている場合、ファイル

がチェックに合格すると、要求がFPolicy サーバに転送されます。FPolicy サーバはこの要求を受信

し、ポリシー設定に基づいてファイル検索要求を許可またはブロックします。

FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイル検

索操作を追加する必要があります。ファイル検索操作を監視するには、CLI またはONTAPI を使用し

ます。ビットマスクを使用して、FPolicy サーバから設定することもできます。


CLI を通してファイル検索操作を監視するための FPolicy の設定 ONTAPI を通してファイル検索操作を監視するための FPolicy の設定ファイル検索要求を監視するための FPolicy の登録

CLIを通してファイル検索操作を監視するためのFPolicyの設定

CLIコマンドを使用すると、ファイル検索操作を監視するようにファイルポリシーを設定できます。

ステップ

1. ファイル検索操作を監視するには、次のCLIコマンドを使用します。

fpolicy mon[itor] add PolicyName lookup

ONTAPIを通してファイル検索操作を監視するためのFPolicyの設定

ONTAPIを使用すると、ファイル検索操作を監視するようにファイルポリシーを設定できます。

ステップ

1. ファイル検索操作に関する監視オプションを設定するには、次のON TAPIコールを使用します。


monitored-operations入力名フィールドのmonitored-operation-info[]には、lookup操作を指定

する必要があります。monitored-protocolsには、監視する特定のプロトコルを指定する必要があ

ります。ファイル検索操作の場合は、NFS要求のみが監視できます。


ファイル検索要求を監視するためのFPolicyの登録

ファイル検索操作を監視するには、FPolicyサーバを登録するときにファイル検索操作を登録します。

ステップ

1. ファイル検索操作のスクリーニングを有効にするには、ストレージシステムにFPolicyサーバを登

録する場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。

FS_OP_LOOKUP 0x1000

登録が完了したら、FPolicyサーバはすべてのファイル検索要求を監視します。

getattr要求の監視 (NFSのみ)

getattr 操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。

属性取得（getattr）要求がNFS クライアントからストレージシステムに送信されると、ストレージシス

テムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェ

ック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチェ

ックが含まれます。ファイル拡張子がFPolicy のext[ension] inc[lude]リストに含まれている場合、ファ

イルがチェックに合格すると、要求がFPolicy サーバに転送されます。

FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてgetattr 要求を許可またはブロックしま

す。

FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにgetattr 操作を追加する必要があります。getattr 操作を監視するには、CLI またはONTAPI を使用します。ビッ

トマスクを使用して、FPolicy サーバから設定することもできます。

NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上でno_i2p オプションをオフに設定します。このようにすると、ボリュームでinode/パス間のファイル名変換が有効

になります。


CLI を通して属性取得操作を監視するための FPolicy の設定 ONTAPI を通して属性取得操作を監視するための FPolicy の設定属性取得要求を監視するための FPolicy の登録

CLIを通して属性取得操作を監視するためのFPolicyの設定

CLIコマンドを使用すると、getattr操作を監視するようにファイルポリシーを設定できます。

このCLIコマンドを使用すると、NFS要求の監視対象イベントリストに属性取得操作を追加できます。

ステップ

1. 属性取得操作を監視するには、次のCLIコマンドを使用します。

fpolicy mon[itor] add PolicyName getattr


ONTAPIを通して属性取得操作を監視するためのFPolicyの設定

ONTAPIを使用すると、getattr操作を監視するようにファイルポリシーを設定できます。

ステップ

1. getattr操作に関する監視オプションを設定するには、次のON TAPIコールを使用します。


monitored-operations入力名フィールドのmonitored-operation-info[]には、getattr操作を指定す


ます。getattr操作の場合は、NFSの要求のみを監視できます。

属性取得要求を監視するためのFPolicyの登録

getattr操作を監視するには、FPolicyサーバを登録するときにgetattr操作を登録します。

ステップ

1. getattr操作のスクリーニングを有効にするには、ストレージシステムにFPｏｌｉｃｙサーバを登録す

る場合に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。

FS_OP_GETATTR 0x0100

登録が完了したら、FPolicyサーバはすべての属性取得要求を監視します。

setattr要求の監視

setattr 操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。

属性設定（setattr）要求がNFS クライアントからストレージシステムに送信されると、ストレージシス

テムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェ

ック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチェ

ックが含まれます。ファイル拡張子がFPolicy のext[ension] inc[lude]リストに含まれている場合、ファ

イルがチェックに合格すると、要求がFPolicy サーバに転送されます。FPolicy サーバはこの要求を

受信し、ポリシー設定に基づいてsetattr 要求を許可またはブロックします。

属性設定（setattr）要求がNT_TRANSACT_SET_SECURITY_DESC 操作を使用してCIFS クライ

アントからストレージシステムに送信された場合、CIFS クライアントによってセキュリティ記述子が変

更されていれば、ストレージシステムはsetattr 通知を送信します。セキュリティ記述子情報には所有

者、グループ、Discretionary Access Control List（DACL）、およびSystem Access Control List（SACL）情報などが含まれています。Windows ベースのCIFS クライアントが

NT_TRANSACT_SET_SECURITY_DESC 操作をストレージシステムに送信した場合、セキュリテ

ィ記述子情報が変更されていなければ、要求はFPolicy サーバに転送されません。

FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにsetattr 操作を追加する必要があります。setattr 操作を監視するには、CLI またはONTAPI を使用します。ビッ

トマスクを使用して、FPolicy サーバから設定することもできます。


NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上でno_i2p オプションをoff に設定します。このようにすると、ボリュームでinode/パス間のファイル名変換が有効

になります。


CLI を通して属性設定操作を監視するための FPolicy の設定 ONTAPI を通して属性設定操作を監視するための FPolicy の設定属性設定要求を監視するための FPolicy の登録

CLIを通して属性設定操作を監視するためのFPolicyの設定

CLIコマンドを使用すると、setattr操作を監視するようにファイルポリシーを設定できます。

このCLIコマンドを使用すると、CIFS要求とNFS要求の監視対象イベントリストに属性設定操作を追

加できます。

ステップ

1. 属性設定操作を監視するには、次のCLIコマンドを使用します。

fpolicy mon[itor] add PolicyName setattr

ONTAPIを通して属性設定操作を監視するためのFPolicyの設定

ONTAPIを使用すると、setattr操作を監視するようにファイルポリシーを設定できます。

ステップ

1. setattr操作に関する監視オプションを設定するには、次のON TAPIコールを使用します。


monitored-operations入力名フィールドのmonitored-operation-info[]には、setattr操作を指定す


ます。setattr操作の場合は、NFS要求のみを監視できます。

属性設定要求を監視するためのFPolicyの登録

setattr操作を監視するには、FPolicyサーバを登録したときに、ビットマスクを使用します。

ステップ

1. setattr操作のスクリーニングを有効にするには、ｽﾄﾚｰｼﾞｼｽﾃﾑにFPolicyサーバを登録する場合

に、FP_registration()コールのOpsToScreenビットマスクに次のビットを設定します。

FS_OP_SETATTR 0x0200

登録が完了したら、FPolicyサーバはすべての属性設定要求を監視します。


ボリュームによるスクリーニング

FPolicy を使用すると、スクリーニングが必要なボリュームを含めるか、または除外することにより、ポ

リシーを特定のボリュームリストに制限することができます。

対象リストを使用すると、指定されたボリュームリストに対応する通知を要求できます。除外リストを

使用すると、指定されたボリュームリストを除くすべてのボリュームに対応する通知を要求できます。

メモ：対象リストと除外リストが両方とも設定されている場合は、対照リストは無視されます。

ポリシーごとに異なる対象ボリュームや除外ボリュームを設定できます。ファイルポリシー

のデフォルトのボリュームリストは、次のとおりです。

• すべてのボリュームは対象リスト表示されます。

• 除外リストに表示されるボリュームはありません。

除外リストと対象リストには、次の操作を実行できます。

• ボリュームリストをデフォルトリストにリセットまたはリストアする

• 対象リストまたは除外リストに含まれるボリュームを表示する

• 対象リストまたは除外リストにボリュームを追加する

• 対象リストまたは除外リストにボリュームを追加する

• 新しいボリュームリストを使用して既存リストを設定したり、置き換えたりする

• ワイルドカード文字を使用して、ファイルポリシーのボリュームリストを表示する

コマンドラインから、対象ボリュームまたは除外ボリュームのリストを表示したり、変更したりすること

ができます。

ファイルボリュームリストをリセットまたは表示するコマンドの構文は、次のとおりです。

fpolicy vol[ume] {inc[lude]|exc[lude]} {reset|show} PolicyName

ファイルボリュームリストを処理するコマンドの構文は、次のとおりです。

fpolicy vol[ume] {inc[lude]|exc[lude]} {add| remove|set|eval} PolicyNamevol-spec

includeは、対象リストを変更する場合に使用します。

excludeは、除外リストを変更する場合に使用します。

resetは、ファイルボリュームリストをデフォルトリストにリストアする場合に使用します。

showは、入力された除外または対象リストを表示する場合に使用します。

addは、除外または対象リストにボリュームを追加する場合に使用します。

removeは、除外または対象リストからボリュームを削除する場合に使用します。

setは、既存リストを新しいボリュームリストで置き換える場合に使用します。

evaは、ワイルドカード文字を使用して、ファイルポリシーのボリュームリストを表示する場合に使用し

ます。


PolicyNameは、ファイルポリシーの名前です。

vol-specは、変更するボリュームリストの名前です。


ボリュームによるスクリーニングに使用するワイルドカードの情報ボリュームリストの表示方法リストへのボリューム追加方法リストからボリュームの削除方法ボリュームリストの指定または置き換え方法対象ボリュームリストのリセット

ボリュームによるスクリーニングに使用するワイルドカードの情報

疑問符（?）またはアスタリスク（*）ワイルドカード文字を使用して、ボリュームを指定できます。

疑問符（?）ワイルドカード文字は、単一文字を表します。たとえば、vol1、vol2、vol23、voll4 が含まれ

ているボリュームリストでvol?を入力すると、vol1 とvol2 が一致します。

アスタリスク（*）ワイルドカード文字は、指定された文字列を含む任意の個数の文字列を表します。フ

ァイルスクリーニングから除外するボリュームのリストに*test*を入力すると、test_vol やvol_test など、この文字列を含むすべてのボリュームが除外されます。

ボリュームリストの表示方法

ファイルポリシーに関する指定の対象ボリュームリストまたは除外ボリュームリストを表示するには、

show またはeval コマンドを使用します。


show コマンドを使用したボリュームの表示 eval コマンドを使用したボリュームの表示

showコマンドを使用したボリュームの表示

指定されたボリュームのリストを表示するには、showコマンドを使用します。

show コマンドを fpolicy volume コマンドに対して実行すると、コマンドラインに入力された指定ボリュ

ームのリストが表示されます。ワイルドカード文字を使用して一連のボリュームを指定して、 show コマンドを実行すると、入力したワイルドカード文字が表示されます。たとえば、vol*が表示されます。

ステップ

1. ファイルポリシーに指定された除外ボリュームのリストを表示するには、次のコマンドを入力しま

す。

fpolicy vol[ume] exc[lude] show PolicyName


このコマンドを入力すると、Data ONTAP は、指定したファイルの除外リストのエントリのリストを表示

します。この表示には、ボリューム名と一連のボリュームを記述したワイルドカード文字（vol*など）が

含まれることがあります。

メモ：ファイルスクリーニングの対象となるファイルリスト内のボリュームを表示するには、

include (inc)オプションをexclude(exe)オプションの代わり使用します。

evalコマンドを使用したボリュームの表示

指定されたボリュームのリストを表示するには、eval コマンドを使用します。

eval コマンドを fpolicy volume コマンドに対して実行すると、入力したリストに含まれるワイルドカード

文字が評価されたあとで、指定されたボリュームが表示されます。たとえば、リストにvol*が含まれて

いる場合に eval コマンドを実行すると、文字列vol を含むすべてのボリューム（vol1、vol22、vol_sales など）が表示されます。

ステップ

1. ワイルドカードを評価して、ファイルポリシーの除外ボリュームのリストを表示するためには、次

のコマンドを入力します。

fpolicy vol[ume] exc[lude] eval PolicyName

このコマンドを入力すると、Data ONTAP はワイルドカード文字を評価して、指定されたファイルの除

外リストのボリュームのリストを表示します。たとえば、vol*を入力した場合は、文字列vol を含むすべ

てのボリューム（vol1、vol22、vol_sales など）が表示されます。

メモ：evalコマンドを使用して、ファイルスクリーニングの対象となるファイルのリストを表

示するには、exclude (exc)オプションではなくinclude (inc)オプションを使用します。

リストへのボリューム追加方法

対象ボリュームリストまたは除外ボリュームリストにボリュームを追加することができます。


対象リストへのボリュームの追加除外リストへのボリュームの追加

対象リストへのボリュームの追加

対象ボリュームリストにボリュームを追加するには、fpolicy volume include add CLIコマンドを使用

します。

ステップ

1. ファイルポリシーでスクリーニングされるボリュームの対象リストにボリュームを追加するには、

次のコマンドを入力します。

fpolicy volume include add PolicyName vol-spec


そのポリシーが有効になったときに、対象リストに追加されたボリュームのファイルはファイルスクリ

ーニングサーバによってスクリーニングされます。

例スクリーニングされるボリュームリストにvol1、vol2、vol3 を含めるには、次のコマンドを入力しま

す。 fpolicy vol inc add imagescreen vol1,vol2,vol3 ボリュームを追加すると、ポリシーimagescreen は、ボリューム vol1、vol2、およびvol3 にスクリー

ニングを実行します。

除外リストへのボリュームの追加

除外ボリュームリストにボリュームを追加するには、fpolicy volume exclude add CLIコマンドを使用

します。

ステップ

1. ファイルポリシーでスクリーニングされるボリュームの除外リストにボリュームを追加するには、

次のコマンドを入力します。

fpolicy volume exclude add PolicyName vol-spec

そのポリシーが有効になると（別の有効なファイルスクリーニングポリシーによって否定されないか

ぎり）除外リストに追加したボリュームのファイルは、ファイルスクリーニングサーバによってスクリー

ニングされません。

例

スクリーニングされるボリュームリストからvol4、vol5、vol6 を除外するには、次のコマンドを入力しま

す。

fpolicy vol exc add default vol4,vol5,vol6

これらのボリュームを除外リストに追加すると、変更されたデフォルトポリシーはボリュームvol4、 vol5、および vol6 にスクリーニングを実行しなくなります。

リストからボリュームの削除方法

対象ボリュームリストまたは除外ボリュームリストからボリュームを削除することができます。


対象リストからボリュームの削除除外リストからのボリュームの削除

対象リストからボリュームの削除

対象ボリュームリストからボリュームを削除するには、fpolicy volume include remove CLI コマンド

を使用します。


ステップ

1. ファイルスクリーニングポリシーの対象ボリュームリストからボリュームを削除するには、次のコ


fpolicy volume include remove PolicyName vol-spec

例

fpolicy volume include remove default vol4

ボリューム vol4内のファイルは、スクリーニングされません。

除外リストからのボリュームの削除

除外ボリュームリストからボリュームを削除するには、fpolicy volume exclude remove CLI コマンド


ステップ

1. ファイルスクリーニングポリシーの除外ボリュームリストからボリュームを削除するには、次のコ


fpolicy vol[ume] exc[lude] remove PolicyName vol-spec

例

fpolicy volume exclude remove default vol4

対象リストで指定されたボリュームがない場合、ボリュームvol4 内のファイルはスクリーニングされま

せん（たとえば、対象リストでボリュームvol1 が指定されている場合は、リストからvol4 を削除したあ

とも、ボリュームvor4 はスクリーニングされません）。

メモ：ファイルスクリーニングの対象となるファイルリストから特定のボリュームを削除す

るには、exclude（exc）オプションでなく、include（inc）オプションを使用します。

ボリュームリストの指定または置き換え方法

対象リストと除外リストを指定したり、置き換えたりします。


対象ボリュームリストの設定除外ボリュームリストの設定

対象ボリュームリストの設定

対象ボリュームリストを設定するには、fpolicy volume include set CLI コマンドを使用します。

ステップ

1. ファイルポリシーの対象ボリュームリスト全体を設定したり、置き換えたりするには、次のコマンド

を入力します。


fpolicy volume include set PolicyName vol-spec

このコマンドを使用して入力した新しいボリュームリストが、対象ボリュームの既存のリストに置き

換わります。その結果、新しいボリュームだけがスクリーニングの対象となります。

メモ：対象リスト内にボリュームが含まれないようにするには、次のように、set オプショ

ンを使用します。

fpolicy vol inc set PolicyName ""

ただし、このコマンドでは、ポリシーを無効にする場合と同じ効果が得られます。

除外ボリュームリストの設定

除外ボリュームリストを設定するには、fpolicy volume exclude set CLI コマンドを使用します。

ステップ

1. ファイルポリシーの除外ボリュームリスト全体を設定したり、置き換えたりするには、次のコマンド

を入力します

fpolicy volume exclude set PolicyName vol-spec

このコマンドを使用して入力した新しいボリュームリストが、除外するボリュームの既存のリストに

置き換わります。その結果、新しいボリュームだけがスクリーニングから除外されます。

リスト内のボリュームのリセット方法

対象または除外ボリュームリスト内のボリュームを指定したり、置き換えたりすることができます。


対象ボリュームリストのリセット除外ボリュームリストのリセット

対象ボリュームリストのリセット

対象ボリュームリストをリセットするには、fpolicy volume include reset CLI コマンドを使用します。

ステップ

1. ファイルポリシー用の除外リストまたは対象リスト内のすべてのエントリをデフォルト値にリセット

するには、次のコマンドを入力します。

fpolicy volume include reset PolicyName

対象リスト内のすべてのエントリがリセットされます。つまり、対象リスト内のすべてのボリューム

が削除されることになります。

除外ボリュームリストのリセット

除外ボリュームリストをリセットするには、CLIコマンドを使用します。


ステップ

1. ファイルポリシーの除外リスト内のすべてのエントリをデフォルト値にリセットするには、次のコマ

ンドを入力します。

fpolicy vol[ume] exc[lude] reset PolicyName

除外リスト内のすべてのボリュームが削除されます。

拡張子によるスクリーニング

FPolicy を使用すると、スクリーニングする必要がある拡張子を含めるか、または除外することにより、

ポリシーを特定のファイル拡張子リストに制限することができます。

対象リストを使用すると、指定されたファイル拡張子に対応する通知を要求できます。対象リストと除

外リストを両方指定できます。除外リスト内の拡張子が最初にチェックされます。要求されたファイル

の拡張子が除外リストに含まれていない場合は、対象リストがチェックされます。ファイル拡張子が対

象リストに記述されている場合は、ファイルがスクリーニングされます。ファイル拡張子が対象リストに

記述されていない場合は、スクリーニン

グは行われないで、要求が許可されます。

メモ：スクリーニングに使用できるファイル名拡張子の最大長は、260 文字です。拡張子によ

るスクリーニングの基準となるのは、ファイル名の最後のピリオド（.）のあとの文字列のみで

す。たとえば、ファイルfile1.txt.name.jpg のファイルアクセス通知が有効になるのは、ファ

イルポリシーに.jpg 拡張子が設定されている場合のみです。

拡張子によるスクリーニング機能は、ポリシーベースとなります。したがって、ポリシーごとに異なる

拡張子を指定できます。

次に、ファイルポリシーのデフォルトの拡張子リストを示します。

• すべてのファイル拡張子は対象リストにリスト表示されます

• 除外リストに表示されるファイル拡張子はありません。

除外リストおよび対象リストには、次の操作を実行できます。

• 拡張子リストをデフォルトリストにリセットまたはリストアする。

• 新しい拡張子リストを使用して既存リストを設定したり、置き換えたりする。

• 対象リストまたは除外リストに拡張子を追加する。

• 対象リストまたは除外リストから拡張子を削除する。

• 対象リストまたは除外リストに含まれる拡張子を表示する。

• ワイルドカード文字を使用して、ファイルポリシーの拡張子リストを表示する。

コマンドラインから、対象または除外拡張子リストを表示したり、変更したりすることができます。

ファイル拡張子リストをリセットまたは表示するコマンドの構文は、次のとおりです。


fpolicy extensions { include | exclude } { reset | show } PolicyName

ファイル拡張子リストを処理するコマンド構文は、次の通りです。

fpolicy extensions { include | exclude } { set | add | remove } PolicyName

ext-list

include は、対象リストを変更する場合に使用します。

exclude は、除外リストを変更する場合に使用します。

reset は、ファイル拡張子リストをデフォルトリストにリストアする場合に使用します。

show は、入力された除外または対象リストを表示する場合に使用します。

set は、既存リストを新しい拡張子リストで置き換える場合に使用します。

add は、除外または対象リストに拡張子を追加する場合に使用します。

remove は、除外または対象リストから拡張子を削除する場合に使用します。

PolicyName は、ファイルポリシーの名前です。

ext-listは、変更する拡張子のリストです。

メモ：拡張子を単位としたスクリーニングは、directory create、directory delete、directory renameなどのディレクトリ動作には実行されません。


拡張子によるスクリーニングに使用するワイルドカードの情報拡張子リストの表示方法リストへの拡張子の追加方法リストから拡張子の削除方法拡張子のリストの設定方法または置き換え方法リスト内の拡張子のリセット方法

拡張子によるスクリーニングに使用するワイルドカードの情報

ファイル拡張子を指定する場合は、疑問符（?）ワイルドカードを使用します。疑問符（?）ワイルドカード

文字が文字列の先頭に使用されている場合は、単一の文字を表します。文字列の末尾に使用されて

いる場合は、任意の個数の文字列を表します。

たとえば、次のようになります。

• ファイルスクリーニングの対象となるファイル拡張子リストに「?s」を入力すると、末尾がs で、文

字数が 2 のファイル拡張子がすべて対象となります（as やjs 拡張子など）。

• ファイルスクリーニングの対象となるファイル拡張子リストに「??m」を入力すると、末尾がm で、

文字数が 3 のファイル拡張子がすべて対象となります（htm やvtm 拡張子など）。

• ファイルスクリーニングの対象となるファイル拡張子リストに「j?」と入力すると、先頭がj のファイ

ル拡張子がすべて対象となります（js、jpg、jpe 拡張子など）。


拡張子リストの表示方法

対象および除外拡張子リストを表示するには、fpolicy extensions CLI コマンドを使用します。


対象リスト内の拡張子リストの表示除外リスト内の拡張子リストの表示

対象リスト内の拡張子リストの表示

対象拡張子リストに含まれる拡張子リストを表示するには、fpolicy extensions include show CLI コマンドを使用します。

ステップ

1. ファイルポリシーの対象となるファイル拡張子のリストを表示するには、次のコマンドを入力しま

す。

fpolicy extensions include show PolicyName

このコマンドを入力すると、Data ONTAP は指定したファイルの対象リストに含まれる拡張子リストを

表示します。

除外リスト内の拡張子リストの表示

除外拡張子リストに含まれる拡張子リストを表示するには、fpolicy extensions exclude show CLI コマンドを使用します。

ステップ

1. ファイルポリシーで除外されるファイル拡張子のリストを表示するには、次のコマンドを入力しま

す。

fpolicy extensions exclude show PolicyName

このコマンドを入力すると、Data ONTAP は指定したファイルの除外リストに含まれる拡張子リストを

表示します。

リストへの拡張子の追加方法

対象および除外拡張子リストに拡張子を追加するには、fpolicy extensions CLI コマンドを使用しま

す。

次のトピック

対象リストへの拡張子の追加除外リストへの拡張子の追加

対象リストへの拡張子の追加

対象拡張子リストに拡張子を追加するには、fpolicy extensions include CLI コマンドを使用します。


ステップ

1. ファイルポリシーでスクリーニングされるファイル拡張子のリストにファイル拡張子を追加するに

は、次のコマンドを入力します。

fpolicy extensions include add PolicyName ext-list

例

fpolicy ext inc add imagescreen jpg,gif,bmp

リストに拡張子が追加されたあとに、ポリシーimagescreen が有効になると、ファイル拡張子

が.jpg、.gif、または.bmp のすべてのファイルがスクリーニングされます。

そのポリシーが有効になるといつでも、対象リストに追加されたファイル拡張子はファイルスクリ

ーニングサーバによってスクリーニングされます。

除外リストへの拡張子の追加

除外拡張子リストに拡張子を追加するには、fpolicy extensions exclude CLI コマンドを使用します。

ステップ

1. ファイルポリシーで、ファイルスクリーニングから除外するファイル拡張子のリストにファイル拡張

子を追加するには、次のコマンドを入力します。

fpolicy extensions exclude add PolicyName ext-list

例

fpolicy ext exc add default txt,log,hlp

リストに拡張子が追加されて、変更されたポリシーが有効になると、.txt、.log、および.hlp ファイルは

ファイルスクリーニングサーバによるスクリーニングの対象ではなくなります。

そのポリシーが有効になると（別の有効なファイルスクリーニングポリシーによって否定されないか

ぎり）除外リストに追加したファイル拡張子は、ファイルスクリーニングサーバによってスクリーニング

されません。

リストから拡張子の削除方法

対象および除外拡張子リストから拡張子を削除するには、fpolicy extensions CLI コマンドを使用しま

す。

次のトピック

対象リストから拡張子の削除除外リストから拡張子の削除

対象リストから拡張子の削除

対象拡張子リストから拡張子を削除するには、fpolicy extensions include remove CLIコマンドを使

用します。


ステップ

1. ファイルポリシーの対象拡張子リストからファイル拡張子を削除するには、次のコマンドを入力し

ます。

fpolicy extensions include remove PolicyName ext-list

例

fpolicy ext inc remove default wav

.wav 拡張子のついたファイルはスクリーニングされません。

このコマンドを実行すると、現在のファイル拡張子リスト内のエントリが削除されます。

除外リストから拡張子の削除

除外拡張子リストから拡張子を削除するには、fpolicy extensions exclude remove CLI コマンドを使

用します。

ステップ

1. ファイルスクリーニングポリシーの除外拡張子リストからファイル拡張子を削除するには、次のコ


fpolicy extensions exclude remove PolicyName ext-list

例

fpolicy ext exc remove default wav

.wav 拡張子の付いたファイルがスクリーニングされます。

このコマンドを実行すると、現在のファイル拡張子リスト内のエントリが削除されます。

拡張子のリストの設定方法または置き換え方法

対象および除外拡張子リストを設定したり、置き換えたりするには、fpolicy extensions CLI コマンドを

使用します。

次のトピック

対象拡張子リストの設定除外拡張子リストの設定

対象拡張子リストの設定

対象拡張子リストを設定するには、fpolicy extensions include set CLI コマンドを使用します。

ステップ

1. Fpolicy の対象リスト全体を置き換えるには、次のコマンドを入力します。

fpolicy extensions include set PolicyName ext-list

このコマンドを入力すると、このコマンドで指定された新しい拡張子リストによって既存の除外拡張子

リストが置き換えられて、新しい拡張子だけがスクリーニングの対象となります。


メモ: set オプションを使用すると、ファイル拡張子をスクリーニングしないように対象リス

トを設定することもできます。たとえば、次のように入力します。

fpolicy ext inc set PolicyName ""

このコマンドを使用すると、ファイルはスクリーニングされなくなります。

除外拡張子リストの設定

除外拡張子リストを設定するには、fpolicy extensions exclude set CLI コマンドを使用します。

ステップ

1. Fpolicy の除外リスト全体を置き換えるには、次のコマンドを入力してください。

fpolicy extensions exclude set PolicyName ext-list

このコマンドを入力すると、このコマンドで指定された新しい拡張子リストによって既存の除外拡張子

リストが置き換えられて、新しい拡張子だけがスクリーニングから除外されます。

リスト内の拡張子のリセット方法

対象および除外拡張子リストをリセットするには、fpolicy extensions CLI コマンドを使用します。

次のトピック

対象拡張子リストのリセット除外拡張子リストのリセット

対象拡張子リストのリセット

対象拡張子リストをリセットするには、fpolicy extensions include reset CLI コマンドを使用します。

ステップ

1. FPolicy の対象リスト内のすべてのエントリをデフォルト値のリセットするには、次のコマンドを入

力します。

fpolicy extensions include reset PolicyName

このコマンドを使用すると、対象拡張子リスト内のファイル拡張子がデフォルト値にリストアされます。

除外拡張子リストのリセット

除外拡張子リストをリセットするには、fpolicy extensions exclude reset CLI コマンドを使用します。

ステップ

1. Fpolicy の除外リスト内のすべてのエントリをデフォルト値にリセットするには、次のコマンドを入

力します。

fpolicy extensions exclude reset PolicyName

このコマンドを使用すると、除外拡張子リスト内のファイル拡張子がデフォルト値にリストアされます。


ファイルスクリーニングサーバの管理方法

ファイルスクリーニングサーバに関する重要な情報を表示するには、CLI コマンドを使用します。ま

た、セカンダリサーバリストにサーバを割り当てたり、セカンダリサーバリストからサーバを削除した

りすることができます。

次のトピック

ファイルスクリーニングサーバの情報の表示接続の無効化セカンダリサーバとは

ファイルスクリーニングサーバの情報の表示

ファイルスクリーニングサーバに関する重要な情報を表示するには、fpolicyservers show CLI コマ

ンドを使用します。表示される情報は、登録されたサーバのリスト、接続されたサーバのリスト、有効

な機能などです。

コマンドを実行すると、特定のFPolicy に関する次の情報が表示されます。

• 登録された Fpolicy サーバのリスト

• 接続された Fpolicy サーバのリスト

• サーバが接続された合計時間

• Data ONTAP 7.3 でサポートされるサーバで有効化な機能のリスト

• プライマリサーバのステータス

• セカンダリサーバのステータス

ステップ

1. スクリーニングサーバのステータスを表示するには、次のコマンドを入力します。

fpolicy servers show PolicyName

このコマンドを入力すると、Data ONTAP は指定したポリシーのファイルスクリーニングサーバのス

テータスを戻します。

接続の無効化

サーバの接続が無効な場合、FPolicy サーバとストレージシステム間の接続は終了します。

ステップ

1. ファイルスクリーンサーバとの接続を無効にするには、次のコマンドを入力します。

fpolicy servers stop PolicyName server-IP-address

PolicyName には、接続を無効にするポリシーの名前です。

server-IP-address は、ストレージシステムに対して無効にするFPolicy サーバのIPアドレスのリ

ストです。


サーバの接続が無効になります。

セカンダリサーバとは

FPolicy サーバはプライマリサーバまたはセカンダリサーバとして使用できます。セカンダリサーバ

として特定のFPolicy サーバまたはFPolicy サーバのリストを指定するには、fpolicy options コマンド


使用可能なプライマリサーバがない場合にかぎり、ストレージシステムはセカンダリサーバを使用し

てファイルポリシーを適用します。つまり、FPolicy サーバがセカンダリサーバとして指定されていて

も、プライマリサーバが使用可能である場合は、使用されません。すべてのプライマリサーバが使用

できない場合、ストレージシステムはプライマリサーバが再び使用できるようになるまで、接続されて

いるセカンダリサーバを使用します。

セカンダリとして分類されないFPolicy サーバはプライマリサーバとみなされます。

次のトピック

セカンダリサーバリストの割り当てすべてのセカンダリサーバの削除

セカンダリサーバリストの割り当て

セカンダリサーバとして特定のFPolicy サーバを割り当てたり、指定したりするには、fpolicy options secondary_servers CLI コマンドを使用します。

ステップ

1. プライマリファイルスクリーニングサーバが使用できないときに使用するセカンダリサーバのリ

ストを指定するには、次のコマンドを入力します。

fpolicy options PolicyName secondary_servers [server_list]

PolicyName は、セカンダリサーバで使用するポリシーの名前です。

server_list は、セカンダリサーバとして指定するFPolicy サーバのIP アドレスのリストです。複数

のIP アドレスを区切る場合は、カンマ（,）を使用します。このフィールドで指定されたIP アドレスに

接続されているサーバは、ストレージシステムによってセカンダリサーバとして分類されます。

このコマンドを入力すると、指定されたサーバが指定されたFPolicy のセカンダリサーバとして指定

されます。

メモ: IP アドレスのカンマ区切りリストを指定すると、すべての既存リストが新しいリスト

で置き換えられます。したがって、既存のセカンダリサーバを保持するには、新しいリス

トに目的のIP アドレスを追加する必要があります。

すべてのセカンダリサーバの削除

すべてのセカンダリサーバをプライマリサーバに変換するには、fpolicy optionsCLI コマンドを使用

します。


ステップ

1. 全てのセカンダリサーバをプライマリサーバに変換するには、次のコマンドを入力してください。

fpolicy options PolicyName secondary_servers ""

PolicyName は、セカンダリサーバで使用するポリシー名です。

このコマンドを実行すると、セカンダリ FPolicy サーバとして割り当てられたい全ての FPolicy サーバ

がプライマリ FPolicy サーバになります。

FPolicyを使用して操作を監視する方法

FPolicy を使ってファイル操作を監視することができます。ファイル操作監視を管理するタスクには、

監視される操作リストの追加、削除、または設定があります。

次のトピック

監視リストへの操作の追加監視リストからの操作の削除監視対象リスト設定または置き換え

監視リストへの操作の追加

FPolicy でネイティブファイルブロッキングを実行するには、最初に、ネイティブブロッキングが必要

な操作を監視する必要があります。そのためには、監視対象リストに目的の操作を追加します。

ステップ

1. FPolicy でスクリーニングする監視対象操作リストに操作を追加するには、次のコマンドを入力し

ます。

fpolicy mon[itor] add PolicyName [-p {cifs|nfs|cifs,nfs} ] [-f] op-spec

PolicyName は、変更を実施するポリシーの名前です。

-p {cifs|nfs|cifs,nfs} オプションには、FPolicy で監視するプロトコルを指定します。

CIFS 操作を監視するにはcifs を使用し、NFS 操作を監視するにはnfs を使用します。また、

CIFS とNFS の両方の操作を監視するにはcifs,nfs を使用します。monitor コマンドでプロトコル

情報が指定されなかった場合は、CIFS とNFS の両方のプロトコルに関する通知が送信されま

す。

-f オプションを指定すると、ポリシーを適用できるサーバがない場合も、ポリシーが強制的に有効

になります。

op-spec は、監視する操作のリストです。すべての操作にまとめて監視オプションを設定すること

もできます。その場合は、操作リストの代わりにall オプションを使用します。

CIFS 操作に対して特定の操作が設定されている場合に、あとでNFS 操作に対してこの操作を

設定すると、両方のプロトコルからの要求についてこの操作が監視されます。ただし、一方のプロ

トコルからこの操作を削除すると、操作に関する監視は両方のプロトコルで停止します。


特定の操作がCIFS にのみ設定されていて、NFS に設定されていない場合、この操作は両方の

プロトコルで監視されます。この操作をNFS の監視対象操作リストから削除すると、CIFSでもこ

の操作の監視は停止します。

監視対象操作リストに、指定された操作が追加されます。

例監視対象操作リストに読み取り、書き込み、および検索操作を追加するには、次のコマンドを入

力します。 fpolicy mon add p1 read,write,lookup ポリシーp1 が有効になると、読み取り、書き込み、検索操作に加えて、すでに設定されているそ

の他のすべての操作が監視されます。

監視リストからの操作の削除

リストから操作を削除するには、fpolicy monitor remove CLI コマンドを使用します。監視対象操作リ

ストから操作を削除すると、その操作はFPolicy で監視されなくなります。

ステップ

1. FPolicyでスクリーニングされる監視対象のリストから操作を削除するには、次のコマンドを入力し

ます。

fpolicy mon[itor] remove PolicyName [-p {cifs|nfs|cifs,nfs} ] [-f] opspec

監視対象操作リストから、指定された操作が削除されます。

例読み取りおよびsetattr 操作の監視を停止して、監視対象操作リストからこれらの操作を削除

するには、次のコマンドを入力します。 fpolicy mon remove p1 read,setattr ポリシーp1 が有効になると、読み取りおよびsetattr 操作の監視が停止し、監視対象操作リス

トからこれらの 2 つの操作が削除されます。

監視対象リスト設定または置き換え

監視対象操作リストを置き換えるには、fpolicy monitor set CLI コマンドを使用します。

ステップ

1. 監視対象操作のリストを置き換えるには、次のコマンドを入力します。

fpolicy mon[itor] set PolicyName [-p {cifs|nfs|cifs,nfs } ] [-f] op-spec

監視対象操作のリストは、新しい一連の操作で置き換えられます。

例


監視対象操作リストを設定したり、置き換えたりするには、次のコマンドを入力します。 fpolicy mon set p1 read,setattr ポリシーp1 が有効になると、読み取りおよびsetattr 操作のみが監視されます。既存の監視対

象リストはすべて、このリストで置き換えられます。

さまざまなCLI コマンド

次の表に、FPolicy CLI コマンド表示します。

入力名説明

fpolicy help [cmd] CLI ヘルプの表示します。

fpolicy create PolicyName PolicyType ファイルポリシーを作成します。

fpolicy destroy PolicyName ファイルポリシーを削除します。

fpolicy enable PolicyName [-f] ファイルポリシーを有効にします。

fpolicy disable PolicyName ファイルポリシーを無効にします。

fpolicy show PolicyName ファイルポリシーを表示します。

fpolicy servers show PolicyName Fpolicyサーバのステータス情報を表示します。

fpolicy servers stop PolicyName IPaddress FPolicyサーバの接続を無効にします。

fpolicy options PolicyName required {on|off}

ファイルポリシーのrequiredオプションをオンまたはオフ

にします。

fpolicy options PolicyName secondary_servers [ IP-address [,IP-address ]*]

FPolicyサーバのオプションを設定します。

fpolicy extension {exclude|include} show PolicyName

対象または除外リストに含まれる拡張子を表示します。

fpolicy extension {exclude|include} reset PolicyName

対象または削除リスト含まれる拡張子をリセットします。

fpolicy extension {exclude|include} add PolicyName ext-list

対象または削除リストに拡張子を追加します。

fpolicy extension {exclude|include} remove PolicyName ext-list

対象または削除リストから拡張子を削除します。

fpolicy extension {exclude|include} set PolicyName ext-list

対象または除外リストに含まれる全ての拡張子を置き換

えたりします。

fpolicy volume {include|exclude} show PolicyName

対象または除外リストに含まれるボリュームを表示しま

す。

fpolicy volume {include|exclude} reset PolicyName

対象または除外リストのボリュームをリセットします。

fpolicy volume {include|exclude} add PolicyName vol_spec

対象または除外リストにボリュームを追加します。


入力名説明

fpolicy volume {include|exclude} remove PolicyName vol_spec

対象または除外リストからボリュームを削除します。

fpolicy volume {include|exclude} set PolicyName vol_spec

対象または除外リストにボリュームを設定したり、リストに

含まれるすべてのボリュームを置き換えたりします。

fpolicy volume {include|exclude} eval PolicyName vol_spec

ワイルドカード文字で指定されたボリュームを評価して、

対象または除外リストに含まれるボリュームを表示しま

す。

fpolicy monitor add PolicyName [-p {nfs|cifs|cifs,nfs}] [-f] op_spec [,op_spec]

監視対象操作リストに操作を追加します。

fpolicy monitor remove PolicyName [-p {nfs|cifs|cifs,nfs}] [-f] op_spec [,op_spec]

監視対象ファイルリストからファイルを削除します。

fpolicy monitor set PolicyName [-p {nfs|cifs|cifs,nfs}] [-f] op_spec [,op_spec]

監視対象ファイルリストを設定したり、置き換えたりしま

す。

FAQ、エラーメッセージ、警告メッセージ、およびキーワード

ここでは、よくある質問、エラーメッセージ、及び警告メッセージについて説明しています。

次のトピック

FAQ エラーメッセージ警告メッセージスクリーニング操作に関するキーワード一覧

FAQ

一般的なFAQ と、アクセス権やアクセス許可、及びそのほかの問題が記載されています。

次のトピック

一般的な FAQ アクセス権と権限に関する FAQ パフォーマンスに関する FAQ ファイルスクリーニングに関する FAQ FPolicy サーバに関する FAQ

一般的な FAQ

現在、アクティブなファイルポリシーの総数に制限がありますか。

あります。現在、アクティブなファイルポリシーの総数は、VFiler ユニットごとに最大で 20 です。

２つのポリシーを作成した場合、要求は順番に処理されますか、それとも並列で処理されますか。


2 つのポリシーを作成した場合、要求は順番に処理されます。

複数の FPolicy サーバに対応する複数のポリシーを作成できますか

作成できます。複数のポリシーを作成し、FPolicy サーバごとに異なるポリシーを使用することができ

ます。たとえば、FLM とNTP にそれぞれ対応した 2 つのポリシーを作成し、2 つのFPolicy サーバが

これら 2 つのポリシーを参照するように設定できます。

通知を送信する順番は、fpolicy コマンドでポリシーが指定されている順番と同じです。この順番は、

Filer にポリシーが作成される順番と逆です。たとえば、ポリシーp1 を作成し、そのあとでポリシーp2 を作成した場合、通知はp2 に送信され、そのあとでp1 に送信されます。

「複数のファイルポリシー」と「複数のサーバ」の違いを認識することが重要です。

次のような問題が発生することがあります。

• 現在、FPolicy エンジンでは複数のポリシーの要求が（並列でなく）順番に送信されるため、パフ

ォーマンスの低下量が 2 倍になることがあります。

FPolicy を NetApp ストレージシステムで機能させるために必要なライセンスは何ですか

FPolicy を機能させるには、ストレージシステムにCIFS のライセンスを付与し、CIFS を設定する必


NFS 専用ストレージシステムの場合も、CIFS のライセンスと設定が必要なのはなぜですか

FPolicy サーバは多くの機能を実行しますが、CIFS セキュリティを使用して認証を受けることにより、

ストレージシステム上にBackup-Operator（以上の）権限を確保します。したがって、NFS 専用の環

境であっても、CIFS のライセンスが付与されている必要があります。

同様に、ファイルポリシーをNFS ファイルに適用するには、NFS のライセンスが付与され、NFS が稼働している必要もあります。

FPolicy に制限はありますか。

あります。次に、FPolicy の制限事項を示します。

• FPolicy がサポートしているのは、CIFS およびNFS プロトコルのみです。FTP、HTTP、WebDAV、FileIO などはサポートされていません。

• CIFS およびNFS プロトコルに関する一部の操作は、FPolicy では監視できません。

• CIFS およびNFS 操作は個別に設定できません。

• スクリーニングを実行できるのは、ボリュームレベルまでです。個々のqtree およびディレクトリをス

クリーニングすることはできません。

• FPolicy では、ADS はスクリーニングされません。

• 複数のサーバが登録されている場合、接続されたすべてのサーバのポリシーは、直前に登録された

サーバの設定に基づいて変更されています。

• 特定のIP アドレスを持つFPolicy サーバは、ストレージシステムに一度のみ登録できます。


• 1 つのFPolicy サーバに登録できるポリシーは、一度に 1 つのみです。同じIP アドレスから別のポリ

シーを登録しようとしても、FPolicy によって要求は拒否されます。

• 1 台のサーバに設定できるポリシーは 1 つのみです。

• 1 つのWindows マシンで実行できるFPolicy サーバは、1 つのみです。

FPolicy はウィルススキャン（vscan）の影響を受けますか

FPolicy はvscan 処理から独立して実行されます。FPolicy はウィルススキャン処理の前に発生する

ため、スタブファイル（symlink など）で指定されたパスを経由して実際のファイルをロードすることが

できます。スタブファイルがスキャンされるだけということはありません。vscan 処理はファイルポリシ

ーから独立しているため、vscan はファイルポリシーによってブロックされているファイルを開いてス

キャンできます。したがって、FPolicyとvscan には依存関係がありません。

FPolicy の設定はどこに保存されますか。

FPolicy の設定はレジストリに保存されます。

ユーザーが読み込み許可でアクセスされた移行済みのファイルに変更を加えようとすると、どうなりま

すか。

読み取り権限を使用してアクセスされた移行済みファイルをユーザが変更しようとした場合、どうなり

ますか

FPolicy サーバは次の処理を実行する必要があります。

CIFS およびNFS バージョン 4 では、書き込み（または読み書き）アクセスモードでファイルオープン

要求が行われた場合、ファイルを開くときにファイルをリコールすることができます。また、書き込み要

求が行われたときに、ファイルをリコールすることもできます。ただし、この場合は、書き込み処理を監

視するサーバが登録されている必要があります。

NFSv2 およびNFSv3 バージョンにはオープンコールがないため、読み取り処理および書き込み処

理を監視するためのHSM サーバを登録する必要があります。HSM サーバは、書き込み要求を受信

した場合、ファイルをリコールします。読み取り処理の場合、HSM サーバはパススルーリードまたは

ライトのいずれかを使用できます。

アクセス権と権限に関するFAQ

ストレージシステムに接続し、FPolicy イベントをリスニングするFPolicy サーバとして登録するアカ

ウントに最低限必要なアクセス権は何ですか

FPolicy サーバをストレージシステムに登録するためには、少なくともバックアップ特権が必要です。

ストレージシステムに接続し、q-tree ACL をスキャンするアカウントに最低限必要なアクセス権は何

ですか

ACL をスキャンする権限は、標準Windows 方式を使用するCIFS ログインに付与されています。

Backup Operators またはAdministrators グループのメンバーアカウントを使用して、ストレージシステムに接続しているユーザは、FILE_FLAG_BACKUP_SEMANTICS オープンモードを使用し

て、セキュリティに関係なくすべてのファイルにアクセスできます。


パフォーマンスに関するFAQ

FPolicy のパフォーマンスに影響する要因は何ですか

次に、FPolicy のパフォーマンスに影響する要因の一部を示します。

• 監視対象の操作数（読み込む、開く、閉じるなど）

• 登録されたFPolicy サーバ数（ロードシェアリング）

• 同じ操作をスクリーニングするポリシーの数

• ストレージシステムとFPolicyサーバ間のネットワーク帯域幅（スクリーニング要求の応答時間）

• FPolicy サーバの応答時間

FPolicy トラフィックを CIFS トラフィックとNFS トラフィックに分離する方法はありますか

ストレージシステムで実行されるFPolicy コマンドの出力には、特定のファイルポリシーでスクリーニ

ングされた要求の総数を示すカウンタが含まれています。ただし、現在はCIFS トラフィックとNFS トラフィックを区別する方法はありません。

FPolicy スクリーニングの対象となるすべてのクライアント要求によって、余分なCIFS 要求が生成さ

れ、内部的なFPolicy 通信が発生します。これは、CIFS とNFS の両方のクライアントの要求に当て

はまります。現在、この余分なトラフィックを測定する方法はありません。

リコールの前にFPolicy を有効にした場合は、パフォーマンスに影響がありますか

リコールの前にFPolicy を有効にした場合は、パフォーマンスに影響があります。パフォーマンスへの

影響は主に、FPolicy の設定方法によって決まります。したがって、リコールの前にFPolicy を有効に

しないことを推奨します。

ストレージシステムにパフォーマンスレベルが異なる 2 つのFPolicy サーバが登録されている場

合、高速サーバのパフォーマンスは低速サーバのパフォーマンスから影響を受けますか

はい、低速サーバのパフォーマンスは高速サーバのパフォーマンスに影響を及ぼします。したがっ

て、ストレージシステムに接続する場合は、同じ性能のサーバを使用することを推奨します。

FPolicy が有効な場合、CPU に追加される負荷を判別する測定基準はありますか

ありません。このようなデータは、現在 FPolicy では使用できません。

ファイルスクリーニングに関するFAQ

ファイルスクリーニングはどのように実行されますか

ファイルスクリーニングポリシーは、何らかの制限が必要なファイルやディレクトリを指定する場合に

使用します。Data ONTAP は、（開く、書き込む、作成する、名前を変更するなどの）ファイル操作要

求を受信すると、ファイルスクリーニングポリシーをチェックしてからその操作を許可します。

ポリシーでファイルの拡張子に基づくスクリーニングが指定されている場合は、ファイルスクリーニン

グサーバにファイル名が送信されて、スクリーニングされます。ファイルスクリーニングサーバは、

ポリシーをファイル名に適用して、ストレージシステムが要求されたファイル操作を許可するかどう


かを判別します。ファイルスクリーニングサーバは、要求されたファイル操作を許可または拒否する

応答をストレージシステムに送信します。

ファイルスクリーニングの使用中にシステムのパフォーマンスは低下しますか

はい、ファイルスクリーニングの使用中にシステムのパフォーマンスは低下します。

ファイルスクリーニングオプションの設定にデフォルトオプションを使用できますか

すべてのファイルポリシーに対応するマスター設定のfpolicy.enable オプションがあります。このオプ

ションはデフォルトでon になっています。新しいFPolicy が個別に作成される場合、このオプションは

デフォルトでoff になります。そのため、システム管理者はポリシーを完全に設定してから、アクティブ

にすることができます。実際にスクリーニングが行われるかどうかは、サポート対象の外部ファイルスクリーニングサーバが動作していて、ストレージシステムからアクセスできるかどうかによって決まり

ます。FPolicy を使用するには、外部ファイルスクリーニングサーバが必要であることに注意してくだ

さい。

スクリーニングポリシーを作成してもスクリーニングサーバがない場合はどうなりますか。

使用できるファイルスクリーニングサーバがない場合は、ポリシーを有効にしても、何も起こりませ

ん。ただし、このポリシーのfpolicy option required をオンにした場合は、このポリシーで指定された

ファイルへのアクセスが拒否されます。ポリシーに関する「required」の設定は、デフォルトでオフに設

定されています。

ファイルスクリーニングサーバのステータスを表示できますか

ファイルスクリーニングサーバのステータスを表示するには、次のコマンドを使用します。

fpolicy servers show PolicyName

Data ONTAPは、指定したポリシーのファイルスクリーニングサーバのステータス戻します。

セカンダリスクリーニングサーバを指定できますか。指定できるとしたら、どのように指定しますか。

指定できます。プライマリファイルスクリーニングサーバが使用できないときに使用するセカンダリサーバのリストを指定できます。次のコマンドを使用します。

fpolicy options PolicyName secondary_servers [ server_list ]

ストレージシステムに接続されたFPolicy サーバのうち、セカンダリサーバリストにIP アドレスがな

いものは、すべてプライマリサーバになります。すべてのプライマリサーバが使用不能にならないか

ぎり、ストレージシステムでセカンダリサーバは使用されません。

ファイルスクリーニングサーバとの接続を無効にする方法は何ですか。

ファイルスクリーニングサーバとの接続を無効にするは、次のコマンドを使用します。

fpolicy servers stop PolicyName server-IP-address

FPolicy ファイルスクリーニングの適用はボリューム単位ですか、それとも qtree単位ですか

FPolicy ファイルスクリーニングは、ボリューム単位で適用されます。qtree 単位では適用されませ

ん。


FPolicyサーバに関するFAQ

プライマリサーバとセカンダリサーバの違いは何か

プライマリサーバは、クライアント要求をスクリーニングするアクティブサーバです。セカンダリサー

バは、フェールセーフモード用に登録されています。プライマリサーバがすべて停止した場合は、す

べてのセカンダリサーバがスクリーニング要求を開始します。

セカンダリサーバの登録方法は

サーバをセカンダリサーバとして登録するには、セカンダリサーバの一覧にサーバのIPを追加しま

す。そのサーバが接続されると、セカンダリとして扱われます。

エラーメッセージ

次の表に、一般的なFPolicy エラーメッセージ、考えられる原因、および推奨される対処方法（ある場

合）を示します。

エラーメッセージ原因推奨対処法

fpolicy.fscreen.server. connectError severity="ERR"

FPolicy（ファイルポリシー）サーバとの通信

試行中に、ストレージシステムにエラーが発

生した場合に表示されます。通信に障害が

あると、ストレージシステムはこのサーバと

の接続を切断します。エラーの原因には、ネットワーク問題、

FPolicy サーバ上のセキュリティ設定による

ストレージシステムへのアクセス拒否、また

はFPolicyサーバ上のハードウェア/ソフトウ

ェア問題などがあります。ストレージシステ

ムのメモリ不足によって、ストレージシステ

ムが操作を実行するために必要なリソース

を取得できない場合も、この問題が発生する

ことがあります。

エラーコードを調べて、問題の原因を特

定できるかどうかを確認します。

FPolicy（ファイルポリシー）サーバのイベ

ントログを調べて、ストレージシステムか

ら切断されているかどうか、およびその理

由を確認します。

ストレージシステムのsyslog で、手がか

りとなるエラーメッセージを調べます。 FPolicy サーバのネットワークエラーや

ハードウェア問題など、特定された問題を

解決します。 FPolicy サーバに最近ソフトウェアパッチ

が適用され、これにより、セキュリティ設定が変更されていないかどうかを確認

します。

fpolicy.fscreen.server. closeError severity="ERR"

FPolicy（ファイルスクリーニング）サーバと

の通信を停止しようとしているときに、ストレ

ージシステムにエラーが発生した場合に表

示されます。エラーの原因には、ネットワーク問題、また

はFPolicy サーバのハードウェア/ソフトウェ

ア問題などがあります。


定できるかどうかを確認します。 FPolicy（ファイルポリシー）サーバのイベ

ントログを調べて、ストレージシステムか

ら切断されているかどうか、およびその理

由を調べます。ネットワーク問題や、FPolicy サーバのハ

ードウェア問題など、特定された問題を解

決します。このエラーは、実際はエラーで

はないことがあります。以前にサーバとの通信を試みたときにエ

ラーが発生したため、サーバとの通信が

終了した可能性があります。接続を切断

しているときに発生したエラーが原因で、



その後もエラー状態が継続することがあ

ります。

fpolicy.fscreen.server. requestError severity="ERR"

FPolicy（ファイルポリシー）サーバに通知要

求を送信しようとしているときに、ストレージシステムにエラーが発生した場合に表示さ

れます。エラーの原因には、ネットワーク問題、また

はFPolicy サーバのハードウェア/ソフトウェ

ア問題などがあります。ポリシーに複数のサーバが設定されている

場合は、このポリシーの別のサーバに対し

てこの通知が再送信されます。それ以外の

場合は、requiredオプションに関するポリシ

ーの設定に基づいた処理が実行されます。

required 設定がオンの場合、要求は拒否されます。required 設定がオフの場合

は、クライアント要求の処理は許可されま

す。


定できるかどうかを確認します。FPolicy（ファイルポリシー）サーバのイベントログを調べて、ストレージシステムから切

断されているかどうか、およびその理由を

調べます。

ネットワーク問題や、FPolicy サーバのハ

ードウェア問題など、特定された問題を解

決します。

fpolicy.fscreen.server. requestRejected severity="ERR"

ストレージシステムからFPolicy（ファイルポリシー）サーバへの通知要求がFPolicy サーバで拒否された場合に表示されます。エラ

ーの原因には、FPolicy サーバのソフト

ウェア問題などがあります。


定できるかどうかを確認します。FPolicy（ファイルポリシー）サーバのイベントログを調べて、問題の原因となるエラーが

発生しているかどうかを確認します。

FPolicy サーバで内部エラーが検出されている場合や、これ以上要求を受信でき

ない場合があります。

fpolicy.fscreen.server. pingRejected severity="ERR"

FPolicy サーバの接続がアイドル状態にあ

る場合は、ストレージシステムからFPolicy サーバのステータスを取得するためのステ

ータス要求が送信されることが時々ありま

す。このエラーは、ストレージシステムから

FPolicy サーバへのステータス要求でエラー

が取得された場合に発生します。また、スト

レージシステムがFPolicy サーバと通信で

きない場合、ストレージシステムの要求に対

してサーバがエラーを戻した場合も、このエ

ラーが発生することがあります。エラーの原

因には、ネットワーク問題、またはFPolicy サーバのハードウェア/ソフトウェア問題など

があります。この要求が失敗した場合は、サーバとの接続が

切断されます。


定できるかどうかを確認します。FPolicy（ファイルポリシー）サーバのイベントログを調べて、ストレージシステムから切

断されているかどうか、およびその理由を

確認します。ネットワーク問題や、FPolicy サーバのハードウェア問題など、特定さ

れた問題を解決します。

fpolicy.fscreen.server. completionUnexpecte

FPolicy サーバによってスクリーニング要求

が実行され、完了メッセージが戻された場合

に表示されます。

ただし、この要求に対応する内部ストレージ



dState severity="ERR"

システム状態は有効ではありません。この

完了メッセージは、ストレージシステムで無

視されます。

fpolicy.fscreen.server. requestStatusError severity="ERR"

FPolicy サーバによってスクリーニング要求

が受信されたが、要求の完了が報告されて

いない場合に表示されます。完了していない

要求のステータスがストレージシステムでチ

ェックされます。ストレージシステムが要求

を送信できない場合、またはサーバで要求

がサポートされない場合は、このエラーが発

生します。エラーの原因には、ネットワーク問題、または切断されているFPolicy サー

バのハードウェア/ソフトウェア問題により、

サーバとストレージシステム間の接続が切

断されていることなどがあります。


定できるかを確認します。FPolicy（ファイ

ルポリシー）サーバのイベントログを調

べて、ストレージシステムから切断されて

いるかどうか、およびその理由を調べま

す。ネットワーク問題や、サーバのハードウェア問題など、特定された問

題を解決します。

fpolicy.fscreen.server. connecting.internalErr or severity="ERR"

ファイルポリシーサーバがストレージシス

テムに登録されていて、ストレージシステム

のFPolicyサーバとして機能している場合に

表示されます。ストレージシステムは、

FPolicy サーバの関連情報を保持するため

に必要なメモリを取得できませんでした。

テクニカルサポートにお問い合わせくださ

い。

fpolicy.fscreen.server. connecting.privError severity="ERR"

FPolicy サーバがストレージシステムに登

録されていて、ストレージシステムFPolicy サーバとして機能している場合に表示されま

す。サーバは、FPolicy サーバとして機能す

るために必要な権限を持たないユーザとし

て接続されています。サーバをストレージシステムに接続する際に名前を使用するユー

ザには、ストレージシステムのBackup-Operator グループのメンバー以上の権限

が必要です。この登録を行おうとしても、拒

否されます。

サーバとストレージシステムとの接続に

使用されているユーザ名を確認するに

は、Filerオプションのcifs.trace_login をオンにします。この問題が解決されたら、

忘れずにこのオプションをオフに戻してく

ださい。トレーシングによって、ストレージシステムのパフォーマンスが低下すること

があります。

FPolicy サーバでファイルポリシーサー

ビスを実行する際に使用されるユーザ名

を確認します。このユーザが属しているグ

ループを判別するには、wcc コマンドを使

用します。このユーザを適切なグル

ープに追加するか、またはFPolicy サー

バのプロパティを変更して、サーバが別

のユーザ名で実行されるようにしてくださ

い。

fpolicy.fscreen.cfg.pC reateErr severity="ERR"

レジストリに保存されたファイルスクリーニン

グ設定情報をストレージシステムが処理す

る場合に表示されます。ストレージシステム

は新しいポリシーを作成し、初期化しようとし

ましたが、実行できませんでした。このエラ

ーは、ストレージシステムのレジストリの一

貫性に問題があることを示すもので、発

ポリシーは fpolicy destroy コマンドを使

用して削除できます。その後、fpolicy create を使用してポリシーを再作成し、

必要に応じてポリシーを設定します。



生してはならないエラーです。このポリシー

に関連した情報は破棄されます。

fpolicy.fscreen.request .pathError severity="ERR"

ストレージシステムがファイルへのアクセス

に使用するfscreen サーバのパスを構築し

ようとして、エラーが発生した場合に表示さ

れます。原因としては、パスが長すぎる、あるいは

Unicode 変換に問題などが考えられます。ユーザはファイルへのアクセスに、

shareName\directories\fileName のような

パスを使用します。ストレージシステムは、自身のルートからサ

ーバまでの絶対パスを構築します。

ontap_admin$\vol\volName\sharePath \directories\FileName 通常、これはストレー

ジシステムの内部エラー（バグ）です。

fpolicy.fscreen.server. requestTO severity="ERR"

サーバによってファイルスクリーニング通知

が受信されたが、要求の完了が報告されな

かった場合に表示されます。ストレージシス

テムにより、タイムアウトが終了したあとで完

了していない要求のステータスがチェックさ

れます。受信されたにもかかわらず完了して

いない要求は、そのすべての情報がサーバ

で受け入れられていなければ、タイムアウト

したとみなされます。この場合は通常、サー

バに問題があります。

サーバのイベントログを調べて、問題が

ないか確認します。サーバソフトウェアベンダーに問い合わせて、そのベンダー

の製品が要求ステータスの照会をサポー

トしているかどうか確認します。

ストレージシステムによってタイムアウト

されるのは、サーバで受信済みの要求の

みです。サーバがまだ処理していると主

張している要求は、タイムアウトされませ

ん。ストレージシステムはサーバに要求

ステータスメッセージを送信して、タイム

アウトした可能性のある要求のステータ

スを調べます。

fpolicy.server.fqdn.un avail severity="ERR"

FPolicy™（ファイルポリシー）サーバのIP アドレスに関するリバースDNS 検索に失敗

し、ストレージシステムがFPolicy サーバの

Fully Qualified Domain Name （FQDN;完全に限定されたドメイン名）を判

別できない場合に表示されます。FPolicy サーバをMicrosoft®Longhorn OS で実行して

いる場合、ストレージシステムには、

FPolicyサーバに対して自身を認証するため

の FPolicy サーバFQDN が必要です。

DNS サーバのリバースDNS 検索の設

定を確認します。

警告メッセージ

次の表に、一般的なFPolicy 警告メッセージ、考えられる原因、および推奨対処法（ある場合）を示し

ます。


警告原因推奨対処法

fpolicy.fscreen.server.c onnectedNone severity="WARNING"

ストレージシステムに接続されている

FPolicy（ファイルスクリーニング）サーバが

ない場合に表示されます。ポリシーが必須

の場合は、ファイルやディレクトリに関するさ

まざまな操作がストレージシステムで拒否さ

れるため、この警告が重要になることがあり

ます。また、ポリシーが必須でない場合も、

この警告が重要になることがあります。サーバで承認されていないさまざまなファイル

操作やディレクトリ操作が、ストレージシス

テムで許可されるためです。

FPolicy サーバのイベントログを調べて、

ストレージシステムとの接続が切断され

ている原因を確認します。ストレージシステムのsyslog で、手がか

りとなるエラーメッセージを調べます。 FPolicy サーバのネットワークエラーや

ハードウェア問題など、特定された問題

を解決します。

fpolicy.fscreen.server.c ompletionRequestLost severity="WARNING"

FPolicy（ファイルポリシー）サーバがスクリ

ーニング要求を完了して、完了を戻したにも

かかわらず、完了メッセージ内のファイルパスと、ストレージシステムがスクリーニング

要求を送信したファイルパスが一致しない

場合に表示されます。ストレージシステムは、スクリーニング要求

を送信する場合、FPolicyサーバにファイルパスと要求IDを提供します。

FPolicy サーバからストレージシステムに有

効な要求ID を含むスクリーニング完了メッ

セージが送信されましたが、この中のファイ

ルパスが、スクリーニング要求でストレージシステムから提供されたファイルパスと一致

していません。この問題は、FPolicy サーバ

やストレージシステムのソフトウェア障害で

ある可能性があります。また、FPolicy サー

バが複数のストレージシステムを処理して

いる場合、要求が完了したにもかかわら

ず、間違ったストレージシステムに完了通

知が送信されることがあります。このような場合、ストレージシステムの要求

ID は有効ですが、ファイルパスはこの要求

ID に対応していません。

この問題が繰り返し発生する場合は、回

線トレースを使用して診断すると便利で

す。Filerコマンドpktt を使用すると、回線ト

レースを行うことができます。

fpolicy.fscreen.server.c ompletionInconsistent severity="WARNING"

FPolicy（ファイルポリシー）サーバが全くスト

レージシステムに接続していない時起こりま

す。しかしながら、完了メッセージの中のファ

イルパスはどのスクリーン要求がストレージ

システムに作られたかに対するファイルパス

と一致しません。

ストレージシステムがスクリーン要求を作る

際、FPolicyサーバにファイルパスと要求Ⅰ

D の両方を提供します。

FPolicyサーバは有効な要求IDを持つストレ

ージシステムにスクリーン完了メッセージを

問題が繰り返し起こる場合、ライントレー

スが診断で助けます。フィルターコマンド

pktt が使われライントレースが得られま

す。



送りましたが、ファイルパスが、スクリーン要

求でストレージシステムにより与えられたも

のと一致しません。この問題はFPolicyサーバ又はストレージシ

ステム内のソフトウェア検出の可能性があり

ます。あるいは、FPolicyサーバがストレージ

システムのグループに応えている場合、要

求を完了しているが間違ったストレージシス

テムに完了を送信しているという可能性があ

ります。また、要求IDがストレージシステム

上で有効だがファイルパスが要求IDと関係

ない可能性もあります。

fpolicy.fscreen.server.c onnecting.badOperatio nList severity="WARNING"

FPolicy サーバがストレージシステムに、通

知を受信する必要がある操作リストを提供し

た場合に表示されます。操作の例は、ファイ

ルやディレクトリの名前変更、ファイルの作成、ファイルを開く、ファイルを閉じるなど

です。この操作リストは、サーバを登録する

とき、またはサーバを登録したあとで、ストレ

ージシステムに提供できますこの警告の原

因は、FPolicy サーバから提供された操作リ

ストに、ストレージシステムが通知しない操

作が含まれていることです。サーバから提供

されるリストは、ストレージシステムで無視さ

れます。

ストレージシステムとファイルポリシ

ーソフトウェアのバージョンを調べて、相

互に互換性があることを確認します。

fpolicy.fscreen.server.c onnecting.badParamete r severity="WARNING"

FPolicy サーバがストレージシステムに登

録されていて、ストレージシステムのファイ

ルポリシーサーバとして機能している場合

に表示されます。サーバから提供されたパラ

メータが、ストレージシステムで認識可能な

値に設定されていません。サーバから提供

されるパラメータは、ストレージシステムで

無視されます。

ストレージシステムとファイルポリシ

ーソフトウェアのバージョンを調べて、相互に互換性があることを確認します。無効

なパラメータは無視され、サーバはストレ

ージシステムへの登録を許可されます。

fpolicy.srv.conn.badOp tParam severity="WARNING"

FPolicy™サーバがシステムに登録され、シ

ステムのファイルポリシーサーバとして使

用できるように設定されているにもかかわら

ず、FPolicy サーバから提供されたオプショ

ンパラメータがシステムで認識可能な値に

設定されていないか、またはオプションパラ

メータの形式が不正な場合に表示されま

す。無効なパラメータは無視され、FPolicy

サーバは登録を許可されます。

システムとファイルポリシーソフトウェアのバージョンを調べて、相互に互換性

があることを確認します。

fpolicy.fscreen.cfg.pCr eateInfo severity="WARNING"

ストレージシステムがレジストリに保存され

たファイルスクリーニング設定情報を処理

する場合に表示されます。ストレージシス

テムは新しいポリシーを作成し、初期化しよ

ポリシーは fpolicy destroy コマンドを使

用して削除できます。

その後、fpolicy create を使用してポリシーを再作成し、必要に応じてポリシー



うとしましたが、問題が発生しました。この警

告は、ストレージシステムのレジストリの一

貫性に問題があることを示すもので、発生し

てはならないエラーです。

を設定します。

fpolicy.fscreen.server.d roppedConn severity="WARNING"

ファイルポリシー（fscreen）サーバとの接続

が切断された場合に表示されます。サーバ

がストレージシステムから意図的に切り離さ

れると、接続が切断されることがあります。

その他の理由としては、ネットワークエラ

ー、ストレージシステムのCIFS サービスの

終了、サーバのハードウェア/ソフトウェア障

害などが考えられます。

ご使用のサーバがまだ機能しているか調

べます。ストレージシステムとサーバ間の

ネットワーク接続を調べます。サーバのイ

ベントログを調べて、切断の原因となるエ

ラーがあるか確認します。ストレージシス

テムでCIFS が実行されていることを確認

します。

fpolicy.fscreen.vol.i2p. off severity="WARNING"

FPolicy™サーバがファイルポリシーを実行

するシステムに登録されていて、NFS 要求

に対するファイルポリシー通知のためには

inode/パス名変換が必要であるにもかかわ

らず、ファイルポリシーで監視されるボリュ

ームでinode/パス名変換が無効になってい

る場合に表示されます。ボリュームでinode/パス名変換が無効な場合、FPolicy はNFS 要求に対応するファイルパスを生成できま

せん。

次のコマンドを実行して、no_i2p オプショ

ンをオフにします。 vol options volumeName no_i2p off このコマンドを実行すると、ボリュームのファイルに対してinode/パス名変換が有効

になります。

fpolicy.fscreen.server.u nexpectedFileDataRes ponse severity="WARNING"

FPolicyサーバがファイルデータをRRD（Read Redirect）要求のためにシステムに

送信するけれども、ファイルデータが送られ

た要求をシステムが見つけられない時、メッ

セージが出ます。

この問題が起こるのは、タイミングの問題の

ためです。たとえば、ファイルデータはファイ

ルスクリーニングがシステム上で無効化さ

れ、完了を待つ全ての要求が継続を許可さ

れてから、すぐに到着します。あるいは要求

にある状態をシステムが求めるようにしたた

めに、要求が時間切れになったのかもしれ

ません。あるいはFPolicyサーバが要求を見

つけられなかった場合、システムが要求の

継続を許可したのでしょう。その後FPolicyサーバが後でデータを要求のために送り、

その要求はシステムによって見つけられな

いこともあります。 FPolicy サーバがRead Redirect （RRD）要

求に関するファイルデータをシステムに送

信したにもかかわらず、システムが送信され

たファイルデータに対応する要求を特定できない場合に表示されます。この警告は、

この問題が繰り返し発生する場合は、パ

ケットトレースを使用して診断すると便利

です。

pktt コマンドを使用して、パケットトレー

スを行ってください。たとえば、次のように

入力します。 pktt start all –i FpolicyServerIP



FPolicy サーバおよびストレージシステムが

同期していないことを示します。原因は、タイミング問題などです。たとえば、

システムでファイルスクリーニングを無効に

し、完了を待機しているすべての要求が処

理の継続を許可されたすぐあとに、ファイルデータが着信することがあります。また、

FPolicy サーバがスクリーニング要求を受

入れる前に、ファイルデータを戻したり、要

求がタイムアウトしたために、システムが要

求のステータスを要求することもあります。

FPolicy サーバが要求を特定できなかった

場合は、要求の継続処理が許可されます。

あとでFPolicy サーバがこの要求に関するフ

ァイルデータを送信した場合、該当する要

求はシステムで特定されません。

スクリーニング操作に関するキーワード一覧

操作はすべて、3 つの方法で監視できます。監視を設定するには、FPolicy サーバの登録中にビット

マスクを使用するか、ONTAPI コールを使用するか、あるいはCLI を使用します。

さまざまなキーワードを使用して、FPolicy でサポートされる各種操作を監視することができます。次

の表に、3 つのオプションで設定する場合に、各操作で使用されるキーワードを示します。


操作名 CLIのキーワード ONTAPIのキーワー

ド登録時のキーワード

ビット値

File open open file-open FS_OP_OPEN 0x0001

File create create file-create FS_OP_CREATE 0x0002

File close close file-close FS_OP_CLOSE 0x0008

File rename rename file-rename FS_OP_RENAME 0x0004

File delete delete file-delete FS_OP_DELETE 0x0010

File write write file-write FS_OP_WRITE 0x4000

File read read file-read FS_OP_READ 0x2000

File link link link FS_OP_LINK 0x0400

File symlink symlink symlink FS_OP_SYMLINK 0x0800

Directory delete directory-delete directory-delete FS_OP_DELETE_DI R

0x0020

Directory rename directory-rename directory-rename FS_OP_RENAME_DI R

0x0040

Directory create directory-create directory-create FS_OP_CREATE_DI R

0x0080

File lookup lookup lookup FS_OP_LOOKUP 0x1000

Get attribute getattr getattr FS_OP_GETATTR 0x0100

Set attribute setattr setattr FS_OP_SETATTR 0x0200

NFS と CIFS との間でのファイル共有| 223

NFS と CIFS 間でのファイル共有

NFS と CIFS クライアント間でエラーを発生させることなく、ファイル共有を短時間で実現

できるように、Data ONTAP を最適化することができます。

次のトピック

NFS と CIFS のファイルのネーミング規則について UNIX と Windows 間におけるファイル名の文字変換の有効化ボリュームからの文字マッピングの削除プロトコル間のファイルロッキングについて読み取り専用ビットについて CIFS クライアントの UNIX クレデンシャルの管理 SID と名前のマッピングキャッシュの管理 LDAP（Lightweight Directory Access Protocol）サービスの使用 fsecurity コマンドによるストレージレベルアクセスガードの有効化システムアクセスイベントの監査シンボリックリンクへの CIFS アクセスの制御 CIFS クライアントに対する NFS ディレクトリアクセスの最適化 CIFS クライアントで大文字のファイル名が作成されないようにする方法 NFS クライアントからの CIFS ファイルへのアクセス UNIX の「実行」権限がない CIFS クライアントへの.dll および.exe ファイルの暗黙的な実行権限の

付与

NFS と CIFS のファイルのネーミング規則について

ファイルのネーミング規則は、ネットワーククライアントのオペレーティングシステムとそ

のファイル共有のプロトコルによって異なります。

オペレーティングシステムとそのファイル共有のプロトコルは次のものを決定します。

• ファイル名の長さ

• ファイル名に使用できる文字

• ファイル名の大文字と小文字の区別

次のトピック

ファイル名の長さファイル名に使用できる文字ファイル名での大文字と小文字の区別小文字のファイル名の作成 Data ONTAP でのファイル名の作成方法 CIFS クライアント上でのドットファイルの表示の制御


ファイル名の長さ

Data ONTAP がサポートするファイル名の長さは、PC の長いファイル名形式をサポートするCIFS クライアントと、8.3 形式をサポートするCIFS クライアントで異なります。

Data ONTAP では、次の長さのファイル名をサポートしています。

• NFS クライアントおよびCIFS クライアントが、PC で使用される長いファイル名をサポートする場

合、最大 255 文字

• CIFS クライアントが、MS-DOS やWindows 3.x クライアントなどの 8.3 形式をサポートしている

場合は、最大 8 文字のファイル名と最大 3 文字のファイル拡張子

ファイル名に使用できる文字

異なるオペレーティングシステム上のクライアント間でファイルを共有する場合は、両方のオペレー

ティングシステムで有効な文字を使用します。

たとえば、UNIX を使用してファイルを作成する場合は、ファイル名にはコロン（:）を使用しないでくださ

い。コロンは、MS-DOS ファイル名では無効な文字となります。文字の制約はオペレーティングシス

テムごとに異なります。使用できない文字の詳細については、クライアントのオペレーティングシステ

ムのマニュアルを参照してください。

ファイル名での大文字と小文字の区別

ファイル名について、NFS クライアントでは大文字と小文字が区別されますが、CIFS クライアントで

は大文字と小文字が区別されず、同じ文字として扱われます。

たとえば、CIFS クライアントがSpec.txt というファイルを作成すると、CIFS とNFS のどちらのクライア

ントでもファイル名はSpec.txt と表示されます。CIFS クライアントがあとでspec.txt というファイルを作

成しようとしても、CIFS クライアントに同じ名前がすでに存在しているため、その名前は許可されませ

ん。NFS ユーザがあとでspec.txt という名前のファイルを作成すると、この名前はNFS クライアントと

CIFS クライアントで次のように表示されます。

• NFS クライアントではファイル名の大文字と小文字は区別されるため、作成したとおりに両方の

ファイル名 Spec.txt と spec.txt が表示されます。

• CIFS クライアントでは Spec.txt と Spec~1.txt が表示されます。Data ONTAP によって 2 つのフ

ァイル名を区別するために、Spec~1.txt というファイル名が作成されます。

小文字のファイル名の作成

cifs.save_case オプションをoff に設定すると、Data ONTAP に大文字と小文字の区別を強制的に

無視させることができます。この場合、ファイル名が入力されると、これらの名前は強制的に小文字の

テキストにされます。

NFS と CIFS との間でのファイル共有| 225

この作業について

このオプションをoff に設定すると、16 ビットのアプリケーションと一部のUNIX ツール間の互換性が

高まります。ただし、デフォルトでは、このオプションはon に設定されています。

手順


options cifs.save_case off 33

Data ONTAPでのファイル名の作成方法

Data ONTAP では、CIFS クライアントからアクセスされるすべてのディレクトリ内にあるフ

ァイルに対して、2 つのファイル名が作成され、保持されます。元の長いファイル名と 8.3 形

式のファイル名です。

ファイル名制限は名前が 8 文字で拡張子が 3 文字ですが、どちらかがこの制限を超えた場合、

8.3 形式ファイル名が次のように生成されます。

• ファイル名が 6 文字を超える場合は、元の名前が 6 文字に短縮されます。

• 切り捨てられたためにもはや一意ではないファイル名に、チルダ（~）および 1 ～ 5 の数字が追加

されます。同様の名前が 6 つ以上存在するため数字が足りなくなった場合には、元のファイル名

とは無関係の一意のファイル名が作成されます。

• ファイル名拡張子が 3 文字に短縮されます。

例：NFS クライアントがspecifications.html という名前のファイルを作成すると、Data ONTAPによっ

てspecif~1.htm という 8.3 形式のファイル名が作成されます。この名前がすでに存在している場合

は、ファイル名の最後の番号が別の番号になります。たとえば、NFS クライアントが

specifications_new.html という別の名前のファイルを作成すると、このファイルの 8.3 形式の名前は

specif~2.htm になります。

CIFSクライアント上でのドットファイルの表示の制御

UNIX ベースのシステムでは、通常ドットファイルは表示されません。Windows クライアントシステム

でドットファイルを非表示にするには、cifs.show_dotfiles オプションを off に設定します。


ドットファイルは、デフォルトでWindows のフォルダオプションの隠しファイルの表示/非表示設定に関

係なく、CIFS クライアントシステム上で表示されます。

手順

1. 次のコマンドを入力して、cifs.show_dotfiles オプションを off に設定します。

options cifs.show_dotfiles off

このシステムのドットファイルは、Windows クライアントのユーザが[Folder Options (フォルダオプション)]、[View (表示)]タブで[Do not show hidden files and folders (隠しファイルおよ

び隠しフォルダを表示しない)]を選択すると、表示から除外されます。


UNIX と Windows 間におけるファイル名の文字変換の有効化

それぞれのオペレーティングシステム（Windows および UNIX）上に、両方のオペレーティ

ングシステムで有効でない文字を含む古いファイル名がある場合は、charmap コマンドを使

用することで、CIFS にとってそのままでは有効でない NFS 形式の名前を持つファイルであ

っても、CIFS からアクセスできます。


NFS クライアントで作成されたファイルに CIFS クライアントがアクセスすると、ストレージシステム

はそのファイル名を調べ、ファイル名が有効な CIFS ファイル名でない場合は（たとえば、コロン「:」が含まれている場合）、ファイルごとに用意されている 8.3 形式のファイル名を返します。ただし、こ

れにより、長いファイル名に重要な情報をエンコードしているアプリケーションでは問題が発生しま

す。したがって、異なるオペレーティングシステムを使用するクライアント間でファイルを共有する場

合は、両方のオペレーティングシステムで有効な文字をファイル名に使用するようにしてください。

これとは別に、それぞれのオペレーティングシステム（Windows および UNIX）上に、両方のオペレ

ーティングシステムで有効でない文字を含む古いファイル名がある場合は、無効な NFS の文字を、

CIFS と特定の Windows アプリケーションの両方で有効な Unicode 文字に変換するマップを定義

できます。

詳細については、na_charmap(1)のマニュアルページを参照してください。

注: この機能は CATIA® MCAD および Mathematica®アプリケーションをサポートしていますが、

同じ要件を持つほかのアプリケーションでも使用できます。

手順


charmap [volname [mapspec]]

volname は、ストレージシステム上のボリューム名です。volname を指定しない場合、全

てのボリュームのマッピングが表示されます。

Mapspec の形式は次のとおりです。

hh:hhhh [ ,hh:hhhh]...

コロンで区切られた各 hh ペアの最初の値は、変換したい NFS 文字の 16 進値です。各 hh ペアの 2 番目の値は、CIFS が使用する Unicode 値です。mapspec に値を指定しないと、

マッピング済みの場合は現在のマッピングが表示されます。volname に値を指定しないと、

すべてのボリュームのマッピングが表示されます。

例 CATIA アプリケーションで使用される文字をマッピングする場合は、次のコマンドを入力

します。 charmap desvol 3e:ff76,3c:ff77,2a:ff78,3a:ff79,22:ff7a このコマンドでは、ある複数の文字（>、<、*、:、"、?、\、および|）を、通常はファイル名に

正規の文字として使用されない日本語のUnicode 文字にマッピングします。

HTTP を使用したファイルアクセス| 227

このマッピングは、ボリューム名「desvol」に適用されます。

文字の制限事項

無効または不正な文字を Unicode 文字で表す場合は、不必要なマッピングが生じるのを防ぐ

ため、通常はファイル名に表れない文字を使用するようにしてください。

たとえば、コロン（:）をハイフン（-）にマッピングしようとした場合に、ファイル名に正し

く使用されているハイフン（-）が存在すると、Windows クライアントが「a-b」という名前

のファイルにアクセスする要求を行ったときに、「a:b」という NFS 名にマッピングされてし

まいます（望ましい結果ではありません）。

再マッピングを行う場合は、次の NFS 文字のリストを参照してください。

• 22 = 二重引用符 (")

• 2a = アスタリスク (*)

• 3a = コロン (:)

• 3c = 小なり (<)

• 3e = 大なり(>)

• 3f = 疑問符 (?)

• 5c = バックスラッシュ (\)

• 7c = パイプ (|)

• b1 = (±)

また、CIFS クライアントからファイルまたはディレクトリを作成あるいはその名前を変更す

る場合に、ファイル名に Unicode 文字の 0x0080 が含まれていると、エラーメッセージが表

示されます。ストレージシステムでは、Unicode 文字の 0x0080 はサポートされません。

ボリュームからの文字マッピングの削除

文字マッピングが不要になった場合は（文字マッピングを使用するアプリケーションをストレ

ージシステムから削除した場合など）、charmap コマンドを使用してボリュームからその文

字マッピングを削除できます。

手順

1. 文字マッピングを消去するには次のコマンドを入力します。

charmap volname ""

volname は、ストレージシステム上のボリュームの名です。

プロトコル間のファイルロッキングについて

ファイルロッキングとは、あるユーザがすでに開いているファイルに別のユーザがアクセス

することを防ぐ機能で、クライアントアプリケーションで使用されます。Data ONTAP でフ


ァイルをロックする方法は、クライアントのプロトコルによって異なります。

クライアントが NFS クライアントである場合、ロックは任意に設定します。クライアントが

CIFS クライアントである場合、ロックは必須となります。NFS ファイルと CIFS ファイルの

ロックの違いのため、CIFS アプリケーションで開いているファイルに NFS クライアントか

らアクセスすると、エラーになる場合があります。

NFS クライアントが CIFS アプリケーションによってロックされたファイルにアクセスする

と、次のいずれかの状態になります。

• mixed 形式またはNTFS 形式のqtree では、rm、rmdir、mv などのファイル操作を行うと、NFS アプリケーションがエラーになる場合があります。

• NFS の読み取りと書き込みの操作は、CIFS の読み取り拒否および書き込み拒否のオープンモードによってそれぞれ拒否されます。

• また、ファイルの書き込み対象となる範囲が、排他的なCIFS バイトロックでロックされている場合

も、NFS の書き込みの動作はエラーになります。

例外：ストレージシステム上の CIFS クライアントによって設定されたロックの制限には、例外が 1 つあります。それは、ストレージシステムが dump コマンドを実行する場合です。

dump コマンドは CIFS クライアントにより設定されたすべての読み取りアクセスファイルロックを

無視します。ファイルロックを無視することによって、ストレージシステムはすべてのファイルをバッ

クアップできます。

注: CIFS アプリケーションで開いているファイルに、NFS クライアントがアクセスを試行して、エラー

となった場合は、cifs terminate コマンドを使用して、アアクセスできなかったファイルを使用するセ

ッションとの接続を解除できます。cifs sessions *コマンドまたはサーバーマネージャを使用して、

該当するファイルを使用するセッションを調べることができます。ただし、CIFS セッションを終了する

と、クライアントはエラーを受信する場合があります。

読み取り専用ビットについて

読み取り専用ビットは、ファイルが書き込み可能（無効）なのか読み取り専用（有効）なのか

を示すために、ファイルごとに設定される 2 進数の数値です（0 または 1 の値）。

ファイルごとの読み取り専用ビットを設定できるのは、MS-DOS および Windows を使用する

CIFS クライアントです。NFS クライアントは、ファイルごとの読み取り専用ビットを設定し

ません。NFS クライアントは、ファイルごとの読み取り専用ビットを使用するプロトコル操

作を行わないためです。

MS-DOS または Windows を使用する CIFS クライアントがファイルを作成すると、そのファ

イルに読み取り専用ビットが設定されます。ファイルが NFS クライアントと CIFS クライア

ント間で共有されている場合も、読み取り専用ビットを設定できます。ソフトウェアの中には、

NFS クライアントと CIFS クライアントが使用するときに、読み取り専用ビットが有効にな

っている必要があるものもあります。

NFS クライアントと CIFS クライアント間で共有されるファイルに対して、適切な読み取り

権限および書き込み権限を保持するために、読み取り専用ビットが次の規則に従って処理され


ます。

• NFS は、読み取り専用ビットが有効になっているファイルはすべて、書き込み権限ビットが無効に

なっているファイルとして扱います。

• NFS クライアントがすべての書き込み権限ビットを無効にしたときに、これらのうち少なくとも 1 つが以前有効であったら、そのファイルの読み取り専用ビットは有効になります。

• NFS クライアントがすべての書き込み権限ビットを有効にすると、そのファイルの読み取り専用ビ

ットは無効になります。

• ファイルの読み取り専用ビットが有効になっているときに、NFS クライアントがそのファイルの権

限を調べようとすると、そのファイルの権限ビットはNFS クライアントには送信されませんが、その

代わりに書き込み権限リストをマスクしてNFS クライアントに権限ビットが送信されます。

• ファイルの読み取り専用ビットが有効になっているときに、CIFS クライアントがこの読み取り専用

ビットを無効にすると、そのファイルに対する所有者の書き込み権限ビットが有効になります。

• 読み取り専用ビットが有効になっているファイルは、root のみが書き込めます。

メモ:ファイル権限の変更は、CIFS クライアントではすぐに反映されますが、NFS クライア

ントが属性のキャッシュを有効にしている場合はNFS クライアントではすぐには反映され

ません。

読み取り専用ビットが設定されたファイルの削除

読み取り専用ビットが有効な場合、cifs.perm_check_ro_del_ok を設定すれば、UNIX の削除

セマンティクスを使用してファイルを削除できます。デフォルトでは、この動作は無効になっ

ています。


Windows では、読み取り専用ビットが有効になっているファイルを削除できません。マルチ

プロトコルソース制御アプリケーションの中には UNIX の削除セマンティクスを必要とする

ものもあります。読み取り専用ビットが有効であると、これらのアプリケーション用のファイ

ルも削除できません。

手順

1. 読み取り専用ビットが有効であるときにUNIX の削除セマンティクスを使用するファイルの削除を

許可するには、次のコマンドを入力します。

options cifs.perm_check_ro_del_ok on

CIFS クライアントの UNIX クレデンシャルの管理

ストレージシステムへの接続時に、CIFS クライアント上のユーザは CIFS クレデンシャルを

受信します。ユーザは、Data ONTAP で制御されるリソースにアクセスするために、UNIX ク

レデンシャルを 1 つ以上持つ必要があります。


次のトピック

CIFS ユーザーによる UNIX クレデンシャルの取得方法特定の CIFS ユーザだけが UNIX クレデンシャルを受信できるように設定する方法

CIFSユーザーによるUNIXクレデンシャルの取得方法

UNIX クレデンシャルは、UNIX 形式のUID（ユーザID）とGID（グループID）から構成されています。

Data ONTAP では、UNIX クレデンシャルが次の目的で使用されます。

• UNIX 形式のセキュリティが設定されたファイルにユーザがアクセスしようとするときに、UID およ

びGID を使用してユーザのアクセス権を確認します。

• CIFS ユーザを含むグループに対してグループクォータを使用する場合、CIFS ユーザはUNIX クレデンシャルを取得している必要があります。グループクォータに関する詳細については、

Storage Management Guide を参照してください。

CIFS ユーザがストレージシステムに接続しようとすると、Data ONTAP で CIFS ユーザの

UID とプライマリ GID が確認されます。CIFS ユーザの UID が確認できないと、ユーザのア

クセスが拒否されます。

Data ONTAP では、UNIX パスワードデータベース（NIS マップまたは/etc/passwd ファイル）

を検索してユーザの UID を取得し、それによって UNIX クレデンシャルを取得します。デー

タベースには、ストレージシステムにアクセスできるすべてのユーザアカウントが含まれて

います。各アカウントには、UNIX 形式のユーザ名と UID が含まれています。

Data ONTAP で CIFS ユーザの UID を取得するには、まず UNIX 形式のユーザ名を確認する

必要があります。ユーザの Windows 名は UNIX 名と同じでなくてもかまいません。

/etc/usermap.cfg ファイルに情報を入力して、各 Windows 名が UNIX 名にどのようにマッピ

ングされるかを指定できます。デフォルトマッピングを受け入れる場合は、この情報を入力

する必要はありません。デフォルトでは、UID の検索時に Windows 名が UNIX 名として使用

されます（ストレージシステムにより、検索前に Windows 名の大文字は小文字に変換されま

す）。

UNIX パスワードデータベースのユーザ名が Windows 名と同じ場合は、/etc/usermap.cfg ファイルにマッピング情報を入力する必要はありません。ユーザ名が UNIX パスワードデータ

ベースで見つからないときに wafl.default_unix_user オプションが設定されている場合は、そ

のオプションに指定されているデフォルトのログイン名が使用されます。

wafl.default_unix_user オプションの設定に関する詳細については、options(1)のマニュアルページを参照してください。

Data ONTAP では、次の方法でユーザの GID が取得されます。

• UNIX パスワードデータベースからユーザのプライマリGID を取得します。UNIX パスワードデータベースの各アカウントには、そのユーザのプライマリGID が含まれています。


• ユーザのプライマリGID 以外のGID は、グループデータベース（NIS グループマッ

• プまたは/etc/group ファイル）から取得します。グループデータベースでは、さまざまなグループ

のメンバーシップを定義します。

CIFS セッション情報を表示すると、接続した CIFS ユーザーの UNIX クレデンシャルを確認できま

す。

特定のCIFSユーザだけがUNIXクレデンシャルを受信できるように設定する方法

UNIX クレデンシャルを受信するCIFS ユーザを設定するには、/etc/usermap.cfg ファイルを編集し、

UNIX グループおよびユーザを作成して、Windows ゲストユーザアカウントを有効にします。

手順

1. 一部のWindows 名がUNIX 名と異なる場合、または一部の CIFS ユーザーがストレージシステ

ムにアクセスするのを防ぐ場合、/etc/usermap.cfg ファイルを編集します。

2. UNIX グループデータベース内にグループを作成します。

3. マッピングされたUNIX名を持つ各CIFS ユーザーに対して、UNIX パスワードデータベースにユ

ーザーアカウントを入力します。

4. Administrator アカウントの名前を変更する場合、1 人以上のCIFSユーザがUNIX の root アカウ

ントにマッピングされていることを確認します。

5. UNIX パスワードデータベース内にエントリが保持されていないCIFS ユーザーにストレージシス

テムへのアクセスを許可する場合は、UNIX パスワードデータベースにデフォルトのユーザーアカウントを作成し、wafl.default_unix_user オプションをそのユーザーに設定します。

6. 認証されていないユーザーにストレージシステムへのアクセスを許可する場合は、Windows ゲストユーザーアカウントを有効にします。

次のトピック

/etc/usermap.cfg ファイルのエントリの指定 root への Windows アカウントのマッピング UID および GID への UNIX 名のマッピングデフォルトの UNIX ユーザーアカウントの有効化または無効化 Windows ゲストユーザーアカウントの有効化または無効化

/etc/usermap.cfgファイルのエントリの指定

Data ONTAP では、/etc/usermap.cfg ファイルを使用してユーザ名をマッピングします。最も

単純な形式では、/etc/usermap.cfg ファイルの各エントリに Windows 名と UNIX 名のペアが

含まれています。Data ONTAP では、Windows 名を UNIX 名に変換したり、UNIX 名を

Windows 名に変換したりすることができます。

CIFS の開始時に/etc/usermap.cfg ファイルが見つからない場合は、デフォルトのファイルが

作成されます。デフォルトのファイルには、セキュリティの向上に役立つコメントアウトされ

たサンプルマップエントリが含まれています。

Data ONTAP では、CIFS ユーザからの接続要求を受信すると、/etc/usermap.cfg ファイルが


検索され、エントリがユーザの Windows ドメイン名およびユーザ名と一致するかどうかが確

認されます。

エントリが見つかった場合は、エントリに指定されている UNIX 名が使用され、UNIX パスワ

ードデータベースから UID と GID が検索されます。UNIX 名が null 文字列の場合、CIFS ユ

ーザへのアクセスが拒否されます。

エントリが見つからない場合は、Windows 名が小文字に変換され、UNIX 名は Windows 名と

同じとみなされます。この UNIX 名を使用して、UNIX パスワードデータベースから UID と

GID が検索されます。

ファイルは順次スキャンされ、最初に一致したエントリがマッピングに使用されます。

/etc/usermap.cfg ファイルの記述方法については、『Storage Management Guide』の/etc ディレクトリの内容に関する情報を参照してください。

手順

1. 各エントリは次の形式で指定します。

[IP_qualifier:] Windows_name [direction] [IP_qualifier:] UNIX_name

ファイルにコメントを入れる場合は、コメント行の先頭に#を付けます。コメントの先頭に#を付けた文をエントリの末尾に置くこともできます。空白の行は無視されます。

次のトピック

IP_qualifier フィールドについて Windows_name フィールドについて direction フィールドについて UNIX_name フィールドについて Data ONTAP による/etc/usermap.cfg 内のドメイン名の解釈 usermap.cfg エントリの例ユーザー名をマッピングするためのガイドラインセキュリティを強化するための推奨されるエントリ NFS クライアントの確認

IP_qualifierフィールドについて

IP_qualifier フィールドは、照合の対象を絞り込むことによりユーザ名を修飾する IP アドレス

です。

IP 修飾子には、次のいずれかを指定できます。

• ビット表記法の IP アドレス。サブネットマスクにビット数を付けて、サブネットを指定できます。た

とえば、192.4.1.0/24 は 192.4.1.0 クラスC サブネットを表します。

• 名前。Data ONTAP では、最初に、名前はホスト名であるとみなされます。ホスト名データベース

内に一致するホスト名がない場合は、名前はネットワーク名とみなされます。

• ネットワーク名または IP アドレスとサブネットマスクを含んでいるサブネットアドレス (例えば、

corpnet/255.255.255.0 など)。


メモ: Data ONTAP では、照合のときにのみIP 修飾子を使用します。マップエントリのマ

ッピング先でIP 修飾子を使用する場合、ログイン要求はそのIP 修飾子からのものとはみ

なされません。

Windows_nameフィールドについて

Windows_name フィールドは、Windows ドメイン名（オプション）と Windows ユーザ名で

構成されています。

マップエントリのマッピング元では、ドメインは、ユーザが属しているドメインを示します。

マップエントリのマッピング先では、ドメインは、マッピングされた UNIX エントリに使用

されるドメインを示します。エントリ内のアカウント名がローカルユーザアカウントの場合、

Windows ドメイン名はストレージシステム名になります。

Windows_name フィールドにドメイン名を指定しないと、ストレージシステムがインストー

ルされているドメインが使用されます。ストレージシステムがローカルユーザアカウントを

使用して認証する場合、ドメイン名はストレージシステム名になります。

ワイルドカードとして次のようにアスタリスク（*）を使用できます。

• ドメインマップ内の指定された名前が、指定されたUNIX 名にマッピングされるようにするには、

アスタリスクをマッピング元で使用する。

• 指定されたUNIX 名が、信頼できる任意のドメインにあるWindows 名にマッピングされるようにす

るには、アスタリスクをマッピング先で使用する。マッピングに使用される信頼できるドメインは、

一致するWindows 名が最初に見つかった場所によって異なります。cifs.search_domains オプ

ションで指定した信頼できるドメインだけが、指定された順に検索されます。このオプションを設定

していないと、すべての信頼できるドメインが、順不同で検索されます。

ユーザ名にスペースやシャープ記号を入れる場合は、名前を二重引用符で囲みます。たとえば、

"bob smith"または"eng#lab"\"#joe"のように入力します。

メモ: \は引用符で囲まないでください。

マップエントリのマッピング先でユーザ名が空または空白（""と指定）になっている場合、一

致する UNIX 名によるアクセスが拒否されます。ユーザ名に空白のエントリを使用すると、一

部またはすべての UNIX ユーザに対してアクセスが拒否されます。これらのエントリを

IP_qualifier とともに使用すると、特定のホストまたはサブネットを除くすべての UNIX ユー

ザを除外できます。

directionフィールドについて

direction フィールドはマッピングの方向を示しています。

direction フィールドには次の表のいずれかの値を指定します。

direction フィールドの値意味

== 双方向のマッピングを行います。エントリはWindows から UNIX に、または UNIX から Windows に


マッピングされます。 direction フィールドを指定しない場合は、==が適用されます。

<= エントリは UNIX から Windows へのマップを意味します。

=> エントリは Windows から UNIX へのマップを意味します。

UNIX_nameフィールドについて

UNIX_name フィールドは、UNIX パスワードデータベース内の UNIX 名です。

マップエントリのマッピング先で UNIX_name が空または空白（""と指定）の場合、指定され

たマッピング元の名前はログインを拒否されます。Windows ユーザは、ネットワークの参照

時にストレージシステムが表示されても、ストレージシステムにはログインできません。

UNIX 名にアスタリスク（*）を使用できます。アスタリスクはワイルドカード文字とみなさ

れます。これは、すべてのユーザを表します。Windows 名または UNIX 名でアスタリスクを

使用する場合は、次のガイドラインに注意してください。

• マッピング元でアスタリスクを使用する場合は、すべてのユーザが、マッピング先の指定された名

前にマッピングされます。

• マッピング先でアスタリスクが指定されているが、マッピング元では指定されていない場合、マッピ

ングは行われません。Data ONTAP では、明示的に指定された名前からアスタリスクで指定され

た名前へのマッピングは行われません。

• マッピング元とマッピング先の両方でアスタリスクが指定されている場合は、対応する名前がマッ

ピングされます。

Data ONTAPによる/etc/usermap.cfg内のドメイン名の解釈

ドットが含まれた/etc/usermap.cfg ファイル内のドメイン名に関する Data ONTAP の解釈方

法は、ストレージドメインが Windows NT ドメイン内にあるか、または Windows ActiveDirectory ドメイン内にあるかによって異なります。

ストレージシステムが Windows NT のドメイン内にインストールされている場合、ドメイン

名フィールドの長さが、ドメイン名の解釈に影響を与えます。

ストレージシステムが Windows Active Directory のドメイン内にインストールされている場

合、ドメイン名は Windows サーバでの解釈と同様に解釈されます。

ストレージシステムが Windows NT のドメイン内にある場合、domain\user という形式でド

ットが含まれているドメイン名は、次の規則に従って解釈されます。

• domain が 15 文字以内の場合、ドットが含まれている文字列全体がNetBIOS 形式のドメイン名

として認識されます。たとえば、次の名前ではmy_company.com がNetBIOS 形式のドメイン名

です。

my_company.com\john_smith


• domain が 16 文字以上の場合、ドットは区切り文字として扱われ、最初のドットより前の文字列

がNetBIOS 形式のドメイン名になります。たとえば、次の名前ではengineeringがNetBIOS 形式

のドメイン名です。

engineering.1234567890corporation.com\john_smith

ストレージシステムが Windows Active Directory のドメイン内にある場合は、domain\user という形式でユーザ名を指定できます。domain 内の最初のドットより前の文字列が NetBIOS 形

式のドメイン名であり、domain 内の文字列全体が DNS ドメイン名です。

たとえば、次の名前では engineering が NetBIOS 形式のドメイン名で、

engineering.1234567890corporation.com が DNS ドメイン名です。

engineering.1234567890corporation.com\john_smith

usermap.cfgエントリの例

usermap.cfg エントリの例をいくつか示します。

次の表に、簡単な /etc/usermap.cfg エントリを示します。

エントリ意味

"Bob Garj" == bobg Windows 名Bob Garj がUNIX 名bobg にマッピングされ、UNIX 名bobg がWindows 名BobGarj にマッピングされます。

mktg\Roy => nobody mktg ドメイン内のWindows 名Roy が、UNIX 名 nobody にマッピン

グされます。このエントリでは、Roy はログインできますが、UNIX 形式

のセキュリティが設定されたファイルへのアクセスは制限されます。

engr\Tom => "" engr ドメイン内のユーザTom のログインは許可されません。

次の表に、Windows 名でアスタリスクを使用する例を示します。

エントリ意味

uguest <= * 照合されていないすべてのUNIX 名が、Windowsユーザuguest にマッ


*\root => "" すべてのドメインにあるWindows 名root を使用したログインを許可しま

せん。

corporate\* == pcuser corporate ドメイン内の全てのユーザーを UNIX 名 pcuser にマップしま

す。Windows ユーザー名にアスタリスクが使用されているため、UNIX 名 pcuser のマッピングは行われません。

Engineer == * すべてのUNIX 名が、ストレージシステムのドメイン内にあるWindows 名Engineer にマッピングされます。UNIX ユーザ名にアスタリスクが使用されているため、Windows 名Engineer へのマッピングはこれ以上

行われません。

次のいずれかのエントリ • homeusers\* * • homeusers\* == *

すべてのUNIX ユーザが、homeusers ドメイン内の対応する名前にマッ

ピングされます。たとえば、UNIX ユーザbob はhomeusers\bob にマッ



homeusers ドメイン内にあるすべてのWindowsユーザは、対応する

UNIX 名にマッピングされます。たとえば、homeusers ドメイン内の

Windows ユーザjohn は、UNIX 名john にマッピングされます。

次の表に、IP 修飾子の使用例を示します。

エントリ意味

Engineering\* <= sunbox2:* sunbox2 というホストにあるUNIX 名が、Engineering ドメイン内の同じ

名前にマッピングされます。

Engineering\* <= 192.9.200.70:* IP アドレス 192.9.200.70 にあるUNIX 名が、Engineering ドメイン内の

同じ名前にマッピングされます。

""<= 192.9.200.0/24:* 192.9.200.0 サブネットのUNIX 名はnull 文字列にマッピングされるた

め、このサブネットからのすべてのNFS 要求は拒否されます。

192.9.200.0/24:test-dom\* => "" test-dom ドメイン内のすべてのユーザは、192.9.200.0 サブネットから

のアクセスを拒否されます。

*\* == corpnet/255.255.0.0: * すべてのドメイン内にあるすべてのユーザ名が、対応するUNIX 名にマ

ッピングされます。ユーザ名がドメイン全体で一意でない場合は、このエ

ントリを使用すると、異なるWindows 名が同じUNIX 名にマッピングされ

る場合があります。 IP 修飾子は照合のためだけに使用されるので、corpnet/255.255.0.0 と指定しても、Windows とUNIX 間のマッピング結果には影響を与えま

せん。双方向のマッピングが行われるため、corpnet/255.255.0.0 ネットワーク

からのすべてのUNIX 名が、ストレージシステムのいずれかの信頼でき

るドメインにある同じ名前にマッピングされます。

ユーザー名をマッピングするためのガイドライン

いくつかのガイドラインに従って、簡単で分かりやすいエントリを作成してください。

マッピングを実効する場合は、次のガイドラインに注意してください。

• Windows ユーザー名と UNIX ユーザー名は、できる限り同じ名前を使用してください。同じ名前

にすると、/etc/usermap.cfg ファイルにマップエントリを作成する必要がなくなります。

• 次のような分かりにくいマップエントリは作成しないでください。

"tome s" => tjs

bill <= tjs

• 複数のユーザをさまざまなマッピング先にマッピングする場合には、IP 修飾子を使用しないでくだ

さい。たとえば、UHOST1 のUNIX ユーザtjs をWindows ユーザTom S にマッピングし、

UHOST2 のUNIX ユーザtjs をWindows ユーザSmith にマッピングすると、わかりにくくなりま

す。IP 修飾子はアクセスを制限するためだけに使用してください。


セキュリティを強化するための推奨されるエントリ

不正ユーザのストレージシステムへのアクセスを防止するには、/etc/usermap.cfg ファイルに

複数のエントリを追加する必要があります。

Data ONTAP では、最初に一致したエントリを使用してマッピングを決定するため、ここで

推奨されるエントリをファイルにコピーするときは、エントリの順番が重要になるので注意し

てください。

マップエントリ意味

*\root => nobody root という名前のWindows ユーザはすべてログインできますが、

UNIX アクセス権は持っていません。マッピング先が異なるWindows ユーザrootのインスタンスの場合は、/etc/usermap.cfg ファイ

ルの最初の方にマップエントリを明示的に追加します。

guest <= administrator guest <= root

最初のエントリは、UNIX からWindows Administrator アカウントへ

の妨害を防ぎます（Administrator アカウントの名前が変更されていない場合）。2 番目

のエントリは、UNIX ユーザ root をWindows guest アカウントにマッ

ピングします。2 番目のエントリは、ルート権限を持つ UNIX ホストまたはサブネットの明示的なマップエントリのあとに記述

します。記述する場所は、/etc/usermap.cfg ファイルの最後付近にな

ります。

*\* => "" "" <= *

これらのエントリをファイルの最後に指定すると、他のマッピングが行

われるのを防ぐことができます。デフォルトでは、エントリが一致しない場合、同じ名前を照合しようとしますが、このデフォルトの動作が回避

されます。

NFS クライアントの確認

マルチプロトコルのストレージシステムについては、NFS アクセスを usermap.cfg ファイル

にマッピングされたクライアントだけに制限することができます。

このセキュリティ制限は、非 Kerberos 環境、つまり主に CIFS クライアントに対応している

が、ある既知の（IP マッピングされた）NFS クライアントからの接続は許可したい環境にお

そらく最も適しています。nfs.require_valid_mapped_uid オプションの詳細については、

options(1)のマニュアルページを参照してください。

rootへのWindowsアカウントのマッピング

環境内に CIFS クライアントだけが存在し、ストレージシステムがマルチプロトコルストレ

ージシステムとして設定されている場合は、ストレージシステム上のファイルにアクセスす

るルート権限を持つ Windows アカウントが 1 つ以上必要です。このアカウントがないと、

/etc ディレクトリ内の一部の構成ファイルなど、UNIX 形式のセキュリティが設定されたファ

イルにアクセスできないため、ストレージシステムを管理できません。

ただし、ストレージシステムが NTFS 専用に設定されている場合、/etc ディレクトリには、


ファイルレベルの ACL があります。この ACL によって、管理者グループは Data ONTAP 構成ファイルにアクセスすることができます。

手順

1. 次の作業のいずれかを実行します。

アカウントをroot にマッピングするグ

ループ

操作

管理者の場合 wafl.nt_admin_priv_map_to_root オプションがon に設定されていることを確認します。

結果：アカウントをルートにマッピングする/etc/usermap.cfg エントリを指定していない場

合でも、管理者グループ内のすべてのアカウントがルートとみなされます。

管理者グループに属するアカウントを使用してファイルを作成する場合、UNIX クライア

ントからファイルを表示するときに、ファイルはルートによって所有されます。

選択したアカウントルートにマッピングされるアカウントごとに、/etc/usermap.cfg エントリを追加します。メモ: マルチプロトコルストレージシステム上のルートにマッピングされるWindows アカ

ウントが 1 つ以上必要になります。このアカウントがない場合は、どのアカウントも/etc ディレクトリの構成ファイルにアクセスできません。

次のコマンドを入力して、wafl.nt_admin_priv_map_to_root オプションを無効にします。 options wafl.nt_admin_priv_map_to_root off 結果：管理者グループ内のアカウントがルートにマッピングされなくなります。UNIX

形式のセキュリティが設定されたファイルへアクセスできるのは、/etc/usermap.cfg フ

ァイル内でルートへのマッピングを指定した管理者グループ内のアカウントだけにな

ります。管理者グループ内のアカウントごとにUNIX ID が設定されます。

UIDおよびGIDへのUNIX名のマッピング

CIFS ユーザが UID と GID を取得するには、ユーザの UNIX 名に対応する UNIX アカウントを

UNIX パスワードデータベース内に作成する必要があります。

Data ONTAP では、各 UNIX 名の UID とプライマリ GID が UNIX パスワードデータベースか

ら取得されます。UNIX グループデータベースから UNIX 名のセカンダリ GID が取得されま

す。UNIX 名がパスワードデータベース内にない CIFS ユーザでも、デフォルトの UNIX ユー

ザアカウントを有効にすると、UID を取得できます。

ストレージシステムが、cifs setup を実行する前の NIS クライアントの場合、/etc/passwd ファイルは自動的に作成されません。cifs setup の実行時に NIS が無効になっている場合は、

/etc/passwd ファイルが自動的に作成されます。

NIS サーバに障害が発生し、ストレージシステムが/etc/passwd ファイルを保持していない場

合、CIFS ユーザはストレージシステムに接続できなくなります。NIS が使用できない場合で

もストレージシステムが CIFS ユーザの UNIX クレデンシャルを取得できるように、


/etc/passwd ファイルを作成しておくことができます。

デフォルトの/etc/passwd ファイルには、次の UNIX 名のエントリが含まれています。

• root

• pcuser

• nobody

/etc/group ファイルと /etc/passwd ファイルの形式の詳細については、Storage Management Guide を参照してください。

手順


使用状況作業

/etc/passwd ファイルではNISを使用する

場合各 CIFS ユーザーの UNIX 名を NIS パスワードマップに追加し

ます。

NIS ではなく /etc/passwd ファイルを使用

する場合各ユーザのUNIX 名に対して、/etc/passwd ファイルにエントリを

追加します。Data ONTAP はパスワードのエントリを作成するコ

マンドをサポートしていないので、passwd コマンドをサポートす

るUNIX ホストを使用して、/etc/passwd ファイルをホスト上に作

成します。作成したファイルは、ホストからストレージシステムに

コピーします。

デフォルトのUNIXユーザーアカウントの有効化または無効化

ときどきストレージシステムに接続する必要はあるが、UNIX パスワードデータベース内に

個別のエントリを作成する必要がないユーザに対しては、デフォルトの UNIX ユーザアカウ

ントを作成します。これらのユーザはデフォルトのユーザアカウントを使用して、ストレー

ジシステムに接続します。

デフォルトユーザのデフォルトの UNIX 名は pcuser です。wafl.default_unix_user オプション

を使用して、別の名前を指定できます。このオプションが null 文字列に設定されている場合

は、どのユーザも UNIX デフォルトユーザとしてストレージシステムにアクセスできません。

つまり、各ユーザが、ストレージシステムにアクセスできるようにするには、パスワードデータベースにアカウントを持つ必要があります。

ユーザがデフォルトのユーザアカウントを使用してストレージシステムに接続するには、次

の前提条件を満たす必要があります。

• ユーザーが認証されていること

• ユーザーが信頼できるドメインに属していること

• そのユーザー名が /etc/usermap.cfg ファイル内でnull文字列にはマッピングされていないこと

クォータが有効になっている場合、デフォルトのユーザアカウントは他のユーザと同様にク

ォータ制限の対象となります。たとえば、デフォルトのユーザ名が pcuser で、デフォルトの

ユーザクォータが/vol/vol0 ボリュームに適用される場合、pcuser はこのデフォルトのユーザ


クォータによって制限されます。デフォルトユーザに適用するクォータの詳細については、

Data ONTAP『Storage Management Guide』のデフォルトユーザが所有するディスクスペー

スの計算方法に関するセクションを参照してください。このセクションは、クォータを使用し

たディスクスペースの管理に関する章に記載されています。

手順


目的操作

デフォルトの UNIX ユーザーアカウントを無

効にする場合

次のコマンドを入力します。 options wafl.default_unix_user "" 結果: パスワードデータベースにアカウントがあるユーザーのみがストレージシステ

ムにアクセスできます。

デフォルトの UNIX ユーザーアカウントを有

効にする場合

NIS パスワードデータベースまたは /etc/passwd ファイルに、pcuser アカウントの

エントリを作成します。

デフォルトの UNIX ユーザーアカウントの名

前を pcuser から別の

名前に変更する場合

wafl.default_unix_user オプションを、デフォルトの UNIX ユーザーアカウントの新

しい名前に設定します。たとえば、次のコマンドを入力して、デフォルトのユーザー名を someuser に変更し

ます。 options wafl.default_unix_user someuser

Windowsゲストユーザーアカウントの有効化または無効化

Windows ゲストユーザーアカウントを有効にする影響は、ストレージシステムのユーザ認

証方法によって異なります。

次に考えられる影響を示します。

• ストレージシステムがドメインコントローラまたはローカルユーザアカウントを使用してユーザを

認証する場合、Windows ゲストユーザアカウントを有効にすると、信頼できないドメインからロ

グインしたユーザがストレージシステムに接続する可能性があります。これらのユーザは、Guest アカウント専用に作成されたUNIX UID を使用します。Guest としてログインしたユーザは、ホー

ムディレクトリを持ちません。

• ストレージシステムがUNIX パスワードデータベースを使用してユーザを認証する場合、

Windows ゲストユーザアカウントを有効にすると、デフォルトのUNIX アカウントを有効にする場

合と同じ効果があります。ただし、Guest としてログインしたユーザは、ホームディレクトリを持ち

ません。

手順


目的作業

Windows ゲストユ次のコマンドを入力します。


目的作業

ーザーアカウントを

無効にする場合 options cifs.guest_account ""

Windows ゲストユーザーアカウントを

有効にする場合

NIS パスワードデータベースまたは /etc/passwd ファイルに、ゲストアカウントが使

用するユーザーアカウントを作成します。次のコマンドを入力して、UNIX パスワードデータベースで使用するゲストユーザーアカウント名を指定します。 options cifs.guest_account unix_name unix_name は、 UNIX パスワードデータベースでのユーザーアカウントの名前で

す。

SID と名前のマッピングキャッシュの管理

CIFS では、ユーザ認証、クォータ管理、コンソールコマンドの処理、およびさまざまな

RPC 応答を行うときに、頻繁にセキュリティ識別子（SID）をユーザ名やグループ名にマッ

ピングしたり、ユーザ名やグループ名をセキュリティ識別子にマッピングする必要があります。

SID と名前のマッピングキャッシュには、SID を Windows 2000 より前のユーザ名およびグ

ループ名に対してマッピングするエントリが格納されます。


ストレージシステムは、ドメインコントローラに照会して、SID と名前のマッピング情報を

取得します。同じ名前を何度も参照しないように、ドメインコントローラから受け取った SID と名前のマッピング情報がストレージシステム上の SID と名前のマッピングキャッシュに保

存されます。

ストレージシステムではデフォルトで、SID と名前のマッピングキャッシュが有効になりま

す。エントリの有効期間を変更したり、エントリを消去したり、SID と名前のマッピングキャ

ッシュをオンまたはオフにすることによって、キャッシュを手動で制御できます。

キャッシュは、CIFS サービスを終了したり再起動しても維持されますが、リブートやテイク

オーバーおよびギブバックのあとは維持されません。ストレージシステムは、SID と名前の

マッピング情報が必要なとき、まず SID と名前のマッピングキャッシュ内で一致するエント

リを探します。一致するエントリが見つからない場合や、期限切れのエントリが見つかった場

合、ストレージシステムは最新のマッピング情報の存在について適切なドメインコントロー

ラに照会します。ドメインコントローラが使用できない場合、ストレージシステムは期限切

れのマッピングエントリを使用することがあります。

名前の検索に SID と名前のマッピングキャッシュを使用する主な利点は、次のとおりです。

• 認証パフォーマンスが向上します。

• マッピング操作を実行したことにより、ユーザへのコンソールコマンドの応答が速くなります。

次のトピック

SID と名前のマッピングキャッシュの有効化と無効化 SID と名前のマッピングエントリの有効期間の変更 SID と名前のマッピングキャッシュの全体または一部の消去


SIDと名前のマッピングキャッシュの有効化と無効化

SID と名前のマッピングキャッシュを有効または無効にするには、cifs.sidcache.enable オプ

ションをそれぞれ on または off に設定します。

手順：

1. 以下の操作のいずれか一つを実行してください。

SID と名前のマッピングキャッシュの設定操作

有効にする場合以下のコマンドを入力します。 options cifs.sidcache.enable on

無効にする場合以下のコマンドを入力します。 options cifs.sidcache.enable off

SIDと名前のマッピングエントリの有効期間の変更

SID と名前のマッピングエントリの有効期間を変更するには、cifs.sidcache.lifetime オプショ

ンを設定します。

手順：

1. 以下のコマンドを入力します。

options cifs.sidcache.lifetime time

time は、新しいマッピングエントリの期限までの使用時間を分で表した値です。

SIDと名前のマッピングキャッシュの全体または一部の消去

期限から 1 週間を過ぎたエントリは、SID と名前のマッピングキャッシュから定期的に自動消去され

ます。ただし、ユーザがアカウントまたはユーザ名を変更した場合は、SID と名前のマッピングキャッ

シュ内のエントリを手動で消去する必要があります。また、SID と名前のマッピングキャッシュをすべ

て手動で消去して、ドメインコントローラを使用できない場合にストレージシステムが期限切れのエン

トリを使用しないようにすることもできます。

手順：

1. 以下の操作のうちいずれかを行います。

SID と名前のマッピン

グキャッシュエントリ

の消去対象

操作

すべての Windowsドメイン、ユーザー、グ

次のコマンドを入力します。 cifs sidcache clear all


ループ、及び SID

特定のWindows ドメ

イン以下のコマンドを入力してください。 cifs sidcache clear [domain] domain は、消去するキャッシュ入力のWindows ドメインです。ドメインを特定しない場合は、ストーレジシステムのホームドメインのエントリがキャ

ッシュから消去されます。

特定のユーザーまた

はグループ以下のコマンドを入力してください。 cifs sidecache clear user username usernameは、キャッシュから消去する特定の Windows ユーザーまたはグループ

のエントリです。ユーザー名は以下の方法で指定できます。

• domain / username

• username ドメインを使用しないでユーザ名を指定すると、ストレージシステムのホームドメイ

ンがドメインに使用されます。

特定の SID 以下のコマンドを入力します。 cifs sidcache clear sid textualSid textualSid は、キャッシュから消去するテキスト形式の SID です。標準的な「S-1-5…」構文を使用して SID を指定します。

例： cifs sidcache clear sid S-1-5-21-4503-17821-16848-500

LDAP（Lightweight Directory Access Protocol）サービスの使用

Data ONTAP は、NFS と CIFS 間のユーザー認証、ファイルアクセス認証、ユーザー検索,およびマッピングサービスのための LDAP、及び LDAP over Secure Sockets Layer（SSL）をサ

ポートしています。

タスク概要

LDAP サーバーを使用するとユーザー情報を集中的にできるようになります。その結果、ネッ

トワーク上の各ストーレジシステムの構成ファイルを保守する必要がなくなります。ネット

ワーク上にいくつかのストーレジシステムを有する場合は、ユーザー情報を集中的に保守す

ると、ユーザー或いはグループを追加または削除するたびに、各ストーレジシステム上のこ

れらのファイルを更新する必要がなくなります。

ユーザーデータベースを LDAP サーバーに保存する場合、LDAP データベースのユーザー情報

を検索するようストーレジシステムを設定することができます。例えば、コンソールおよび

と rsh、telnet、http、https、ssh の各プロトコルの管理ユーザのログインおよびパスワード情

報を LDAP サーバ上に保存することで、これらの情報の集中管理が可能になります。

Data ONTAP LDAP サポートには、LDAP サーバーの以下の種類が含まれています。

• Netscape

• iPlanet

• OpenLDAP


• Windows Active Directory

• Novell NDS

Data ONTAP は、署名が必要な LDAP サーバーへの接続をサポートします。LDAP 署名のサポ

ートはデフォルトで有効です。

次のトピック

LDAP サービスの設定クライアント認証と許可の管理 LDAP ユーザマッピングサービスの管理ユーザーマッピングのためのベースと範囲の指定 Active Directory LDAP サーバの管理 LDAP スキーマの管理

LDAPサービスの設定

このセクションでは、LDAP データベースに接続するための設定に役立つ情報を提供します。

次のトピック

一般的な検索ベースと範囲の指定ユーザ検索用の検索ベースと範囲値の指定 LDAP サーバーの指定優先 LDAP サーバーの指定 LDAP の有効化と無効化 LDAP トラフィックのための SSL の有効化と無効化 LDAP トラフィックのための SSL 用ルート証明書のインストール /etc/nsswitch.conf ファイルへの Idap エントリの追加管理ユーザー名の指定管理パスワードの指定管理ユーザーの一元管理の有効化 LDAP ポートの指定 LDAP サーバーオプションの優先順位

一般的な検索ベースと範囲の指定

LDAP ベースは、ユーザー情報が保存されている LDAP ツリーの識別名です。LDAP サーバー

に送信された全ての検索要求は、ldap.base.passwd、ldap.base.group、或いは

ldap.base.netgroup のようなより具体的なベースと範囲検索値によって制限されない限り、

ldap.base オプション値によって特定された検索ベースと範囲に制限されます。

手順：

1. 以下のコマンドを入力してください。

options ldap.base name


name は、基本識別名です。名前にスペースが含まれている場合は、これを引用符で囲んでくだ

さい。

例：

options ldap.base “o=exmaplecompany,c=us”

ユーザ検索用の検索ベースと範囲値の指定

必須ではありませんが、LDAP 検索要求専用のベースおよび範囲値を指定して、ユーザの検索

照会を LDAP データベースのユーザアカウントブランチに限定できます。すべての照会の検

索ベースと範囲を制限するとパフォーマンスは著しく向上します。

手順：

1. ldap.base.passwd オプションに指定することにより、LDAP データベースに定義した通りに、ユー

ザーパスワード検索のためのベースおよび範囲検索値を設定します。例：

options ldap.base.passwd “ou=People,dc=companydomain,dc=com”

2. LDAP データベースに定義した通りに、グループ検索のためのベースと範囲検索値

「ldap.base.group」を設定します。例：

options ldap.base.group “ou=Groups,dc=companydomain,dc=com”

3. LDAP データベースに定義されている通りに、ネットグループ検索のためのベースと範囲検索値

「ldap.base.group」を設定してください。例：

options ldap.base.group “ou=Netgroups, dc=companydomain,dc=com”

いったん ldap.base.passwd および ldap.base.group の検索ベースおよび範囲値が指定される

と、パスワードおよびグループ検索については、これらの値が ldap.base に設定された検索ベ

ースおよび範囲値より優先されます。

LDAPサーバーの指定

LDAP 照会のために使用される LDAP サーバを指定するには、ldap.servers オプションを設定

します。

手順：


options ldap.servers “name[name…]”

name は、LDAP サーバーの名前です。引用符で囲まれたスペース区切りリストを使用して、複

数のサーバー名を入力することができます。Data ONTAP は、これらのサーバを指定された順

で接続の確立を試行します。

メモ：Windows LDAP サーバーを IP アドレスではなく、名前として指定し、/etc/hosts ファ

イルに Windows LDAP サーバーの IP アドレスと名前を指定している場合は除き、

Windows LDAP サーバでは SASL を使用しないで単純認証を使用します。/etc/hosts ファイ


ルの編集方法に関しては、「Data ONTAP 7-Mode System Administration Guide」を参照し

てください。

例：

options ldap.servers “server1 server2”

優先LDAPサーバーの指定

優先 LDAP サーバーを指定するために ldap.servers.preferred を設定することができます。こ

れにより、より高速のリンクにある LDAP サーバーを指定することができます。

手順：


options ldap.servers.preferred “name[name…]”

「name」は、優先 LDAP サーバーの名前です。引用符で囲まれたスペース区切りリストを使用し

て複数のサーバー名を入力することができます。

例：

options ldap.servers.preferred “server1 server2”

LDAPの有効化と無効化

ldap.enable オプションをそれぞれ on または off に設定することで、LDAP を有効、または無

効にすることが可能です。

手順：

1. 以下の操作のうちの一つを実行してください。

目的作業

LDAP を有効にする場合以下のコマンドを入力します。 options ldap.enable on

LDAP を無効にする場合以下のコマンドを入力します。 options ldap.enable off

LDAPトラフィックのためのSSLの有効化と無効化

LDAP トラフィックの Secure Sockets Layer（SSL）暗号化を有効または無効にするには、

ldap.ssl.enable オプションをそれぞれ on または off に設定します。

LDAP のための SSL を有効にすることに加え、ルート機関が署名した証明書がストレージシステムにインストールされている必要があります。

メモ：ストーレジシステムとサーバーの証明書は両方とも同一の証明書署名機関から発行さ


れる必要があります。

手順：

1. 以下の操作のうち一つを実行してください。

LDAP のための SSL 設定操作

有効にする場合以下のコマンドを入力します。 options ldap.ssl.enable on

無効にする場合以下のコマンドを入力します。 options ldap.ssl.enable off

LDAPトラフィックのためのSSL用ルート証明書のインストール

LDAP トラフィックの SSL による暗号化に使用されるルート証明書をストレージシステムに

インストールするには、keymgr コマンドを使用します。

手順：

1. 信頼できる署名機関から証明書をストーレジシステムにダウンロードします。ストーレジシステム

上の証明書の保存場所を覚えておきます。


keymgr install root certificate_filename

certificate_filename は、証明書の完全なファイル名です。keymgr コマンドで証明書をインストー

ルしたら、ストーレジシステム上のコピーを削除できます。

例：

keymgr install root /etc/my_cert

メモ：ストーレジシステムとサーバの証明書は、両方とも同一の証明書署名機関から

発行される必要があります。

3. LDAP ポートをポート 636 に設定します。

/etc/nsswitch.conf ファイルへのIdapエントリの追加

/etc/nsswitch.conf ファイルに ldap エントリを追加すると、UNIX クライアント認証に LDAPを使用できるようになります。

手順：

1. 編集のためにストーレジシステム上で/etc/nsswitch.conf ファイルを開きます。

2. passwd、group、及び netgroup 行に以下を入力します。

ldap

オプションで passwd 行に files、nis、またはその両方を追加できますが、ユーザ情報を検索する

ためのプライマリメカニズムとして LDAP を使用する場合、これらは ldap のあとに入力する必要

があります。


例

passwd: ldap files nis


管理ユーザー名の指定

使用環境で匿名認証が機能しない場合は、管理照会で UID および GID の検索に使用する管理

ユーザ名を指定する必要があります。

手順：


options ldap.name name

name は、管理照会に使用する LDAP の識別名です。最良の方法は、これを LDAP データベースへの読み取り専用アクセス権を持つユーザの名前とすることです。名前にスペースが含まれ

ている場合は、これを引用符で囲んでください。

例：

options ldap.name “cn=root,o=examplecompany,c=us”

管理パスワードの指定

管理パスワードを設定するには、ldap.passwd オプションを設定します。

手順：


options ldap.passwd password

password は、管理ユーザーのためのパスワードです。

パスワードは、連続したアスタリスクで表示されます。

管理ユーザーの一元管理の有効化

コンソールおよび rsh、telnet、HTTP、HTTPS の各プロトコルを使用する Data ONTAP 管理

ユーザの一元管理を有効にするには、適切なオプションを設定します。

手順：

1. security.admin.authentication オプションの値には、nsswitch を必ず含めてください。

例えば、次のいずれかのコマンドを入力します。

options security.admin.authentication nsswitch

options security.admin.authentication internal,nsswitch

options security.admin.authentication nsswitch,internal


2. security.admin.nsswitchgroup オプションの値を、管理アクセスが許可されたユーザーを指定し

た nsswitch.conf ファイルのグループ名に設定します。

例：

組織内のエンジニア全員に管理アクセスを許可する場合は、engineers という名前のユーザーグループを作成

し、組織内の全エンジニアをそのグループに追加してから、以下のコマンドを入力します。 options security.admin.nsswitchinggroup engineers

LDAPポートの指定

LDAP サーバが LDAP のデフォルトであるポート 389 以外のポートを使用するようセットア

ップされている場合は、LDAP 照会に使用するポートの指定が必要となることがあります。

手順：


options ldap.port N

N は、LDAP ポート番号です。

LDAPサーバーオプションの優先順位

Data ONTAP では、LDAP サーバーオプション設定に基づいて LDAP サーバーが選択されます。

サーバー指定オプションサーバー選択順序

ldap.preferred.servers このオプションが指定された場合、まずこのオプション値に記

載されたサーバーがリストの順に従い試されます。

ldap.servers ldap.preferred.servers が指定されなかった場合、または指

定されたサーバが利用できなかった場合、このオプション値

に示されたサーバがリストの順序に従い試されます。

ldap.ADdomain ldap.preferred.servers および ldap.servers が指定されなか

った場合または利用できなかった場合、このオプション値に指

定されたサーバが、ドメインコントローラ選択方法を使用して

試されます。

クライアント認証と許可の管理

UNIX または Windows クライアントに関する LDAP 認証を有効にしたり、Windows クライア

ントから UNIX ファイルへのアクセス、および UNIX クライアントから NTFS ファイルまたは

mixed ファイルへのアクセスに関する LDAP 許可を有効にしたりできます。

次のトピック

LDAP ベースの UNIX クライアント認証の有効化 LDAP ベースの Windows クライアント認証の有効化 Windows クライアントからの NFS ファイルアクセスに関する LDAP 認証を有効化


UNIX クライアントからの NTFS または mixed ファイルシステムアクセスに関する LDAP 許可の有

効化

LDAPベースのUNIXクライアント認証の有効化

LDAP ベースの UNIX クライアント認証を有効にするには、/etc/nsswitch.conf ファイルの passwd 行に ldap が入力されていることを確認します。

LDAPベースのWindowsクライアント認証の有効化

LDAP サーバを通して Windows クライアントを認証するには、/etc/nsswitch.conf ファイルの

passwd 行に ldap を追加して、さらに次の手順を実行します。

手順

1. アクセスするストレージシステム上で cifs setup を実行し、ストレージシステム上で CIFS クライ

アントのために使用する認証方法として NIS/LDAP を指定します。

2. Kerberos または他の暗号化認証方法ではなく平文の（暗号化されていない）パスワード認証を

使用するよう、各 Windows クライアントのローカルセキュリティを設定します。

3. Windows クライアントが、LDAP ユーザデータベースで設定された userpassword 属性を持っ


WindowsクライアントからのNFSファイルアクセスに関するLDAP認証を有効化

LDAP 認証を使用するストレージシステム上の UNIX ファイルへの Windows クライアントアクセス

の許可を有効にするには、2 つのタスクを実行します。

手順

1. アクセスするストレージシステム上で、UNIX ファイルにアクセスする必要のあるすべての CIFS ユーザが usermap.cfg ファイルの対応する UNIX ユーザ名にマッピングされていることを確認し

ます。

2. すべての対応する UNIX ユーザー名が、LDAP データベースにエントリを持つことを確認します。

3.

UNIXクライアントからのNTFSまたはmixedファイルシステムアクセスに関するLDAP許可の有効化

LDAP 認証を使用するストレージシステム上の NTFS ファイルまたは mixed ファイルシステムへの

UNIX クライアントアクセスの許可を有効にするには、いくつかのタスクを実行します。

手順

1. NTFS または mixed ファイルシステムにアクセスする必要があるすべての UNIX ユーザーが、

LDAP データベース内のエントリを持っていることを確認します。

2. アクセスするストレージシステム上で、NTFS ファイルまたは mixed ファイルにアクセスする必要

がある全ての UNIX ユーザが usermap.cfg ファイルの対応する CIFS ユーザー名にマップされ



LDAPユーザマッピングサービスの管理

NIS データを使用したり、usermap.cfg ファイルにエントリを追加しなくても、LDAP サービスを使用し

て UNIX と Windows のユーザーアカウントのマッピングを行うことができます。デフォルトでは、両方

向 (UNIX から Windows へのマッピング、および Windows から UNIX へのマッピング)で同じ（1 対 1）ユーザーアカウントの解決プロセスが使用されます。

タスク概要

デフォルトでは、LDAP ベースのユーザマッピングは無効です（Data ONTAP は、/etc/usermap.cfg ファイルからユーザマッピング情報を検索します）。

ファイルベースのユーザマッピングから LDAP へ変換する場合は、usermap.cfg ファイルから（null セッションエントリを除く）マッピングエントリを削除する必要があります。マッピングエントリがそのフ

ァイルに存在すると、そのエントリは LDAP レコードの代わりにユーザマッピングに使用されます。

Data ONTAP で null セッションを設定した場合、必ず usermap.cfg ファイルに null セッションクライ

アントエントリを残してください。

Data ONTAP が LDAP 検索サービスへアクセスできるようにするため、UNIX ユーザアカウント情

報が非 Active Directory LDAP サーバに保存されている場合は、その LDAP サーバを単純認証ま

たは匿名ユーザ検索を許可するよう設定する必要があります。

手順

1. Data ONTAP コマンドラインから、オプション ldap.usermap.attribute.windowsaccoun の値を指

定します。

options ldap.usermap.attribute.windowsaccount account_name

account_name は、 Data ONTAP が Windows アカウント検索に使用するユーザーオブジェクト

の属性です。

2. LDAP スキーマを拡張して、手順 1で入力したユーザオブジェクト属性を含めます。

3. Data ONTAP コマンドラインから、ldap.usermap.attribute.unixaccount オプションに値を指定し

ます。

options ldap.usermap.attribute.unixaccount account_name

account_name は Data ONTAP が UNIX アカウント検索に使用するユーザーオブジェクトの属

性です。

4. LDAP スキーマを拡張して、手順 3で入力した値を含めます。


options ldap.usermap.enable on

LDAP サーバの負荷が大きい場合は、次のセクションで説明するように、ユーザマッピングのた

めの別の検索ベースまたは検索ベースと範囲を設定することによりパフォーマンスを高めること

ができます。


ユーザーマッピングのためのベースと範囲の指定

LDAP オプションを使用すると、検索ベースと範囲を設定して、LDAP データベースの適切な領域に

属性検索を限定するために設定することができます。これらのオプションを設定すると LDAP 検索の

速度が向上します。

手順

1. 検索ベースと範囲を指定する場合は、次の構文を使用します。ベースと範囲値は LDAP のデー

タの構造に対応している必要があります。

options ldap.usermap.base "base[:scope][;base2[:scope2]]"

例このコマンドを入力すると、ユーザマッピングの検索と検索ベースを ou=People,dc=domain0 に設定され、そ

して（指定されていない）検索範囲がデフォルトは SUBTREE に設定します。 options ldap.usermap.base ou=People,dc=domain0” 括弧を使用することにより、指定された検索範囲を（BASE）がou=People,dc=domain0に適用されます。. o ("org")オブジェクトの指定されていない検索範囲は、デフォルトのSUBTREEに設定されます。 options ldap.usermap.base "(ou=People,dc=domain0):BASE;o=org

終了後

検索ベースと範囲の値の詳細については、LDAP のマニュアルを参照してください。

Active Directory LDAP サーバの管理

Data ONTAP では、LDAP 検索サービスのために Active Directory を接続する機能を提供します。

次のトピック

Active Directory LDAP サーバの使用 Active Directory LDAP サーバの要件 Active Directory LDAP 検索サービスの有効化 Active Directory LDAP サーバ接続の監視 Active Directory LDAP サーバ接続のトラブルシューティング Active Directory LDAP サーバ接続のプールと選択について Active Directory サーバでの ldap.servers および ldap.preferred.servers オプションの使用禁止

Active Directory LDAPサーバの使用

LDAP サービスに Active Directory を使用するには、完全修飾 Active Directory ドメインを Data ONTAP の ldap.ADdomain オプションに入力します。

Active Directory を使用して Windows から UNIX へのマッピングが実行されると、Data ONTAP は

次のことを行います。

• ユーザアカウントが、そのアカウントに指定された Active Directory ドメイン内に存在することを確

認します。


• ldap.ADdomain オプションで指定された Active Directory ドメインへの照会を行います。

• UNIX ユーザアカウント情報を戻し、ユーザーアカウントが存在することを確認します。

Active Directory LDAPサーバの要件

Active Directory を LDAP サーバとして使用するには、いくつかの処理を行う必要があります。

Active Directory を LDAP サーバとして使用するために必要な処理は、次のとおりです。

• 有効な CIFS ライセンスを所有します。

• ストレージシステムを Active Directory ドメインに加えます。

• ストレージシステムのドメインと LDAP サーバのドメインが異なる場合、両者の間に双方向の信

頼関係を確立します。

Active Directory LDAP検索サービスの有効化

Active Directory の LDAP 検索サービスを有効にするには、いくつかのタスクを実行します。

手順

1. UNIX ユーザーアカウント情報が Active Directory にない場合、または匿名ユーザ検索を許可

するように設定された LDAP サーバ内にない場合は、ldap.name と ldap.passwd オプションに、

LDAP 検索で使用するためのユーザー名とパスワードをそれぞれ入力します。

options ldap.name user_name

options ldap.passwd password

2. /etc/nsswitch.conf ファイルで、passwd エントリ、group エントリ、またはその両方に ldap を指定

することで、使用する検索サービスとして LDAP を指定します。

3. カスタムスキーマがある場合は、NSSMAP オプションの値を入力します。

4. Data ONTAP コマンドラインから、次のコマンドを入力します。

options ldap.ADdomain fully_qualified_domain_name

例

options ldap.ADdomain group.company.com

メモ：入力するドメインはローカルドメインまたはローカルドメインと信頼関係を共用す

るドメインのどちらかである必要があります。

Active Directory LDAPサーバ接続の監視

Active Directory の LDAP サーバの接続を監視するために、すべてのLDAPサーバタイプのActive Directory LDAP サーバ情報および接続テータスを表示します。

手順



目的操作

Active Directory LDAP サーバ情報を表示する場合

次のコマンドを入力します。 cifs domaininfo 結果：ドメインコントローラ接続およびドメインコントローラ選択優先のリ

ストに従い、Active Directory LDAP サーバーの接続のリストが表示さ

れ、次に LDAP サーバ選択優先のリストが表示されます。

すべての LDAP サーバタイプの接続

状態を表示する場合次のコマンドを入力します。 netstat 結果：Active Directoryおよび非 Active Directory LDAP サーバの両

方の接続状態情報が、ポート３８９(または、ldap.port オプションで割り

当てられた非デフォルト値）に表示されます。

Active Directory LDAPサーバ接続のトラブルシューティング

すべてのドメインコントローラのアドレス検出と接続処理を記録するようにData ONTAPを設定するに

は、cifs.trace_dc_connection オプションをon に設定します。

手順


options cifs.trace_dc_connection on

すべてのドメインコントローラのアドレス検出と接続処理がシステムログに記録されます。

Active Directory LDAPサーバ接続のプールと選択について

Data ONTAPでは、LDAPのパフォーマンスを向上させるためにいくつかの操作を実行します。

操作は、次のとおりです。

• Active Directory LDAP サーバ接続は、ドメインごとにプールされます。

• 現在のLDAPサーバから応答を受信しない場合、次の接続は事前の利用可能な次のLDAPサー

バーに対して行われます。

• Data ONTAPは毎分チェックを行い、より良いLDAPサーバが使用可能になっているかどうかチェ

ックします。

• Data ONTAPは 4 時間ごとに使用可能なActive Directory LDAPサーバを検出し、リストを並べ

替え、次の順序でサーバーをソートします。

• prefdc コマンドで指定された順番に残された優先サーバ

• 応答時間の早い順にソートされた優遇サーバ

• 応答時間の早い順にソートされたその他のActive Directory LDAPサーバ


Active Directoryサーバでのldap.serversおよびldap.preferred.serversオプションの使用禁止

Data ONTAP は ldap.servers と ldap.preferred.servers オプションで指定されたサーバに接続し、

簡単なバインドを使用して認証を試みます。簡単なバインドはActive Directoryサーバとの接続を確

立するのに十分な認証を提供しないため、これらの 2 つのオプションの値内に Active Directory サー

バを指定しないでください。

LDAPスキーマの管理

デフォルトでは、Data ONTAPはNetwork Information Service（NIS）形式のスキーマを指定する

RFC 2307 準拠LDAPサーバをサポートしています。LDAPオプションのデフォルト値をカスタム属性

名に置き換えData ONTAP 設定にカスタム（非RFC 2307 準拠）スキーマを照会するよう設定できま

す。

タスク概要

RFC 2307 準拠したスキーマは、LDAP照会に使用するLDAPサーバ上で拡張する必要があります。

詳細情報については、RFC 2307、またはサードパーティのディレクトリ統合ベンダーのマニュアルを

参照してください。

次のトピック

デフォルトのスキーマについて LDAP スキーマと一致させるためのカスタムスキーマオプションの変更

デフォルトのスキーマについて

デフォルトでは、Data ONTAP のスキーマ変数は、適切なRFC 2307 の値に設定されます。

オプションデフォルト値（RFC 2307 による）

ldap.nssmap.objectClass.posixAccount posixAccount

ldap.nssmap.objectClass.posixGroup posixGroup

ldap.nssmap.attribute.groupname Cn

ldap.nssmap.attribute.netgroupname Cn

ldap.nssmap.attribute.nisNetGroupTri ple

nisNetGroupTriple

ldap.nssmap.attribute.memberUid memberUid

ldap.nssmap.attribute.uid Uid

ldap.nssmap.attribute.uidNumber uidNumber

ldap.nssmap.attribute.gidNumber gidNumber


ldap.nssmap.attribute.userPassword userPassword

ldap.nssmap.attribute.homeDirectory homeDirectory

ldap.nssmap.attribute.loginShell loginShell

ldap.nssmap.attribute.gecos Gecos

LDAPスキーマと一致させるためのカスタムスキーマオプションの変更

lLDAP スキーマと一致するようにData ONTAP を変更するには、該当するldap.nssmap.*オプション

を変更します。

手順


options ldap.nssmap.attribute.gidNumber object

object はGroup ID（GID）番号を含むオブジェクトを指定します。デフォルトはgidNumberです。

例

たとえば、Group ID（GID）番号を含むオブジェクトが「groupid」であるカスタムLDAP スキーマに

ついては、次のコマンドを入力します。 options ldap.nssmap.attribute.gidNumber groupid

fsecurity コマンドによるストレージレベルアクセスガードの有効化

Data ONTAP 7.2.2 以降では、ストレージ管理者は、fsecurity コマンドを使用して、ボリュームとの

qtree上でセキュリティ（権限および監査）を設定することができます。この機能は、ストレージレベルア

クセスガードと呼ばれています。

タスク概要

ストレージレベルのアクセスガードのセキュリティを配置すると、ストレージオブジェクトは、次のように

セキュリティ階層を 3 つまでもつことができます。

• NTFS/UNIX/NFSv4 セキュリティ.ストレージオブジェクトを表すディレクトリやファイル上に存在し

ます。このセキュリティは、クライアントから設定することができるものと同じセキュリティです。

• ストレージレベルアクセスガードのファイルのセキュリティストレージオブジェクト内の全てのファ

イルに適用されます。このセキュリティを適用しても、ディレクトリへのアクセス、ディレクトリの監

査に影響を与えることはありません。

• ストレージレベルアクセスガードディレクトリのセキュリティストレージオブジェクト内の全てのディ

レクトリに適用されます。このセキュリティを適用しても、ファイルへのアクセス、ファイルの監査に

影響を与えることはありません。


メモ：現在、ストレージレベルのアクセスガードではNTFSのアクセス権のみがサポート

されています。 UNIXユーザがストレージレベルのアクセスガードが適用されたqtree またはボリュームに対してセキュリティチェックを行うには、UNIXユーザーは、

Windowsユーザーにマッピングする必要があります。

ストレージレベルのアクセスガードセキュリティは、ファイルやディレクトリに適用されますが、それによ

って継承はされていません。ファイルまたはディレクトリでセキュリティ設定を表示させた場合、ストレ

ージレベルアクセスガードのセキュリティは表示されません。

表示はされませんが、Data ONTAPのファイルまたはディレクトリへのアクセスは、ファイルおよび/またはディレクトリに適用されるネイティブアクセス権とqtreeおよび/またはボリュームに設定されたスト

レージレベルのアクセスガードのアクセス権との組み合わせに基づいて決定されます。両方のセキュ

リティのレベルが評価されて、ファイルまたはディレクトリが持っている有効な権限が識別されます。

次のトピック

fsecurity コマンドについてジョブ定義ファイルの生成と編集ジョブ定義ファイル要素の指定セキュリティジョブの作成とストレージオブジェクトへの適用セキュリティジョブのステータスの確認と取り消しファイルおよびディレクトリのセキュリティ設定の表示ストレージレベルのアクセス保護の削除

fsecurityコマンドについて

fsecurity コマンドを使用して、ストレージ管理者は、リモートクライアントからではなく、ストレージシス

テム上でローカルに管理されているため、パフォーマンスの大幅な低下を経験することなく大きなディ

レクトリにセキュリティ設定できます。加えて、ストレージ管理者は同じコマンドを使用して、多くのファ

イルとディレクトリのセキュリティを一括して設定することができます。

メモ： fsecurityコマンドの一覧を表示するには、ストレージシステムのコマンドラインで

fsecurity helpを入力するか、fsecurity（1）のマニュアルページを参照してください。

ジョブ定義ファイルの生成と編集

ジョブ定義ファイルを生成すると、qtreeまたはボリュームにストレージレベルのアクセスガードのセキ

ュリティを適用したり、ファイルとディレクトリにアクセス権を一括して設定したりできます。

タスク概要

ジョブの定義ファイルは、Discretionary Access Control List（DACL）およびSystem Access Control List（SACL）定義するセキュリティ記述子やパスなどの情報で構成されたUnicodeテキストファイルで

す。

この情報は、Security Descriptor Definition Language（SDDL）を使用して符号化されています。ファ

イルが作成または編集して、ストレージシステムにコピーしたら、fsecurity apply コマンドを使用して、

ファイルのセキュリティの定義の確認と適用を行います。ファイルにコマンドが実行されると、ストレー


ジシステム上のバックグラウンドで実行されるジョブを作成されます。ジョブが完了したら、ストレージ

システムコンソールから結果を表示できます。

ジョブ定義ファイルの名前とストレージシステム上の置き場所に関する要件はありません。これらの例

では、次の名前と場所を使用します。

/vol/vol0/templates/security-base.sec

ジョブ定義ファイルは、ASCII形式またはUnicode（UCS - 2）形式にする必要があります。

ジョブ定義ファイルの作成と更新には、次の 2通りの方法があります。

• seceditユーティリティを使用（NOW サイトで入手可能）

• テキストエディタを使用

次のトピック

secedit ユーティリティを使用したジョブ定義ファイルの管理テキストエディタを使用したジョブ定義ファイルの管理

seceditユーティリティを使用したジョブ定義ファイルの管理

seceditユーティリティを使用してジョブ定義ファイルを生成できます。

手順

1. 次のNOWサイトから、scedit.exe実行ファイルをダウンロードします。

http://now.netapp.com/eservice/toolchest.

2. Secedit_Readme.txt ファイルの指示に従い、ジョブ定義ファイルを生成します。

secedit.exe ユーティリティは、ジョブ定義ファイルの編集と更新にも使用できます。

テキストエディタを使用したジョブ定義ファイルの管理

テキストエディタを使用してジョブ定義ファイルを生成、更新、評価することができます。

手順

1. テキストファイル（例: security-base.sec ）を作成するか、または既存のジョブ定義ファイルを編集

します。

2. 新規のファイルや更新したファイルを、ストレージシステムのディレクトリ（/vol/vol0 /templates/ など）にコピーします。

3. ジョブ定義をジョブに適用する前に、-cオプションを指定してfsecurity apply コマンドを実行しファ

イルの有効性を確認します。

メモ：ジョブ定義ファイルの中に無効な行があると、fsecurity apply コマンドを実行して

もセキュリティジョブは作成されません。

http://now.netapp.com/eservice/toolchest�


ジョブ定義ファイル要素の指定

セキュリティ設定をジョブ定義ファイルに定義する場合、プロパゲーションモードを指定すると、セキュ

リティ設定（権限と監査）を一括して適用することができます。

タスク概要

プロパゲーションモードを指定すると設定を迅速かつ効率的に行えるので、ネットワーク経由で適用

することで生じるパフォーマンスの低下がありません。

使用可能なプロパゲーションモードは、次のとおりです。

• 0 ＝継承可能な権限を全てのサブフォルダとファイルに適用します (Propagate)。

• 1 = このファイルやフォルダの権限の更新を許可しません (Ignore)。このモードは現在使用でき

ません。

• 2 = すべてのサブフォルダとファイルの既存の権限を継承可能な権限で更新します (Replace)。

次に、fsecurityのジョブ定義ファイルの例を示します。

cb56f6f4

1,0,"/vol/vol0/qt1",0,"D:(A;CIOI;0x1f01ff;;;DOMAIN\Administrator)"

1,1,"/vol/vol0/qt2",0,"D:(D;CIOI;0x000002;;;Everyone)"

最初の行の文字列 cb56f6f4 は必須で、常に同じです。次の表は、2 行目の各要素とこれらの要素

によってqtree (/vol/vol0/qt1)に適用されるセキュリティ設定について、次の表で説明します。

要素説明

１ NTFSセキュリティタイプ

０標準セキュリティ。ストレージレベルアクセスガードセキュリティは未設定。

"/vol/vol0/qt1" ターゲットのストレージオブジェクトのパス（このフィールドには、二重引用符が必要）

０プロパゲーションモード（この例の 0 は、"Propagate"の意味）

"D:(A;CIOI; 0x1f01ff;;;DOMAIN Administrator)"

ドメイン管理者にフル制御権を与える DACL の SDDL 記述

（このフィールドには二重引用符は、必要）

このジョブ定義ファイルの形式と構文の詳細については、fsecurity（5）のマニュアルページを参照し

てください。

セキュリティジョブの作成とストレージオブジェクトへの適用

ジョブ定義ファイルを元にセキュリティジョブを作成するには、fsecurity apply コマンドを使用します。

このコマンドは、ストレージレベルアクセスガードを qtreeやボリュームに適用するか、セキュリティ


設定をファイルおよびディレクトリに一括して適用する場合に使用します。このコマンドを使用しても、

qtreeおよびボリュームレベルで監査できるようにSACLを設定することもできます。

タスク概要

次にセキュリティジョブの作成時に使用できるオプションを示します。

• - cオプション -- 内容を実際に適用しないで、ジョブの有効性を確認します。

• - iオプション -- エラーを無視してジョブの処理を続けます。

• - vオプション -- ジョブ内のタスクが生成されるごとに、そのタスクを表示します。

fsecurity apply コマンドおよびコマンドのオプションの詳細については、fsecurity_apply（1）のマニュ

アルページを参照してください。

セキュリティジョブは異なる管理者が同時に実行もできるため、互いに競合することがあります。

手順


fsecurity apply job_definition_file_path

例 fsecurity apply /vol/vol0/templates/security-base.sec セキュリティジョブ 94089 の追加ジョブIDはジョブのステータスの監視や取り消しに使用します。

セキュリティジョブのステータスの確認と取り消し

fsecurity statusコマンドを使用すると、現在実行中のジョブのステータスと過去の 15 のジョブの完了

ステータスを表示できます。

タスク概要

fsecurity cancel コマンドを使用すると、現在実行中のすべてのジョブを停止できます。ジョブIDを指

定した場合は、そのジョブだけが停止します。

メモ：終了したジョブは取り消せません。

コマンドの詳細については、fsecurity_status（1）とfsecurity_cancel（1）のマニュアルページを参照し

てください。

手順


目的操作

ジョブステータスを表示する場合次のコマンドを入力します。 fsecurity status [job_id]


ジョブを取り消す場合次のコマンドを入力します。 fsecurity cancel [job_id] | all 結果：特定のジョブを取り消すには、ジョブ ID を使用します。すべてのジョブ

を取り消すには、オプションの all を使用します。

ファイルおよびディレクトリのセキュリティ設定の表示

fsecurity show コマンドを使用すると、ファイルおよびディレクトリのセキュリティ設定を表示できます。

タスク概要

このコマンドの出力は、ファイルまたはディレクトリ存在するqtreeまたはボリュームのセキュリティ形式

が含まれています。表示される現在のセキュリティ形式がmixed qtree環境によって異なり、ストレー

ジオブジェクトで現在アクティブになっているセキュリティ形式が反映されます。

ファイルまたはディレクトリのパスを指定するときには、ワイルドカードを使用すると、ディレクトリのコ

ンテンツに関するセキュリティ一覧を表示することができます。

このコマンドの詳細については、fsecurity_show（1）のマニュアルページを参照してください。

手順


fsecurity show file_directory_qtree_path [option]

次の例のように（ファイルまたはディレクトリのパスではなく）ファイルまたはディレクトリのinode番号を指定することもできます。

fsecurity show -v volume_name -i inode_number [option]

オプションコマンドの一覧およびコマンド出力の説明については、fsecurity_show（1）マニュアル

ページを参照してください。

ストレージレベルのアクセス保護の削除

fsecurity remove-guardコマンドを使用すると、qtree やボリュームからストレージレベルのアクセス保

護を削除できます。ストレージレベルのアクセス保護が適用されている場合は、qtreeを削除できませ

ん。

詳細は、fsecurity remove-guard（1）のマニュアルページを参照してください。

手順


fsecurity remove-guard volume_qtree_path

メモ：ストレージレベルのアクセス保護を削除しても、qtreeまたはボリューム内のファ

イルやディレクトリ上に存在している標準的なファイルレベルのセキュリティ（NTFSセキュリティなど）は削除されません。


システムアクセスイベントの監査

Data ONTAPでは、Windowsのようにログイン、ログオフ、ファイルアクセスのイベントの監査を行うこ

とができます。ただし、監査を就航にする方法や、監査イベント情報を記録するファイルを管理方法に

は一般的なWindowsの手順とは多少違いがあります。

次のトピック

監査について Data ONTAP で監査できるイベントシステムイベントの監査の設定イベント詳細画面の表示と概要

監査について

Data ONTAP で監査を設定すると、イベントログファイルとすべてのオプションの設定は、リブート後

またはCIFS サービスの終了時や再開時にも維持されます。

Data ONTAPでは次の 2 つの方法で監査を実行できます。

• CIFS監査 -- CIFS プロトコルを使用して、ストレージシステム上のデータにアクセスする

Windows クライアントのアクセスイベントを監査

• NFS 監査 -- NFSプロトコルを使用して、ストレージシステム上のデータにアクセスするUNIXクラ

イアントのアクセスイベントを監査

ストレージシステム上にCIFS 監査と NFS監査の両方を設定できます。監査の種類によって、構成

要件と監査機能に違いがあります。

他のファイルアクセスプロトコルに対する監査は、現在サポートされていません。

Data ONTAPで監査できるイベント

いくつかのカテゴリのイベントに関して監査を有効にできます。

監査できるカテゴリは次のとおりです。

• ログオンおよびログオフイベント（CIFS 監査が有効な場合のみ使用可能）

• ローカルユーザーおよびグループアカウントの管理（CIFS監査が有効な場合のみ使用可能）

• ファイルおよびディレクトリレベルでのファイルアクセスイベント

メモ：個別ファイルおよびディレクトリごとにアクセス監査をアクティベートする必要

があります。

• qtreeまたはボリュームレベルでのファイルアクセスイベント

メモ： qtree またはボリュームレベルでのイベントの監査はストレージレベルアクセス保

護セキュリティを適用した場合のみに有効です。


イベント ID イベント説明カテゴリ

516 AdtEvntDiscard 監査イベントが失われました。監査ログ

517 AdtLogClear 監査ログが消去されました。監査ログ

528 AdtSuccessfulLogin ローカルログインログイン/ログオフ

529 AdtUnknownUser ユーザー名が不明またはパスワードが無

効です。ログイン/ログオフ

530 AdtCantLogonNow アカウントログオンの時間制限です。ログイン/ログオフ

５３１ AdtAccountDisabled アカウントは現在無効に設定されていま

す。ログイン/ログオフ

５３２ AdtUserAccountExpired ユーザーアカウントの有効期限が切れて

います。ログイン/ログオフ

５３３ AdtCantLogonHere ユーザーはこのコンピュータにログインで

きません。ログイン/ログオフ

５３４ AdtLogonTypeRestriced ユーザーは、ログオンを認められていま

せん。ログイン/ログオフ

５３５ AdtPasswordExpired ユーザーパスワードが期限切れです。ログイン/ログオフ

５３６ AdtNetLogonInactive NetLogon コンポーネントがアクティブで

はありません。ログイン/ログオフ

５３７ AdtUnsuccessfulLogion 上記の理由以外でログオンが失敗しまし

た。ログイン/ログオフ

５３８ AdtUserLogoff ローカルまたはネットワークユーザーログ

オフログイン/ログオフ

５３９ AdtLockedOut アカウントのロックアウトログイン/ログオフ

５４０ AdtSuccessfulNetLogon ネットワーク（CIFS)ログオンログイン/ログオフ

５６０ AdtObjOpen オブジェクト（ファイルまたはディレクトリ）

が開いています。ファイルアクセス

５６２ AdtHandleClosed AdtObjOpen になったハンドルが閉じて

います。ファイルアクセス

５６３ AdtObjOpenForDelete 削除用にオブジェクト（ファイルまたはディ

レクトリ）が開いています。ログイン/ログオフ

５６７ AdtObjAccessAttempt オブジェクトアクセス（読み取り、書き込み

など）ファイルアクセス

６１２ AdtPolicyChange 監査ポリシーが変更されました。ポリシー変更


イベント ID イベント説明カテゴリ

６２４ AdtUserCreated ユーザーが作成されました。アカウント管理

６３０ AdtUserDeleted ユーザーが削除されました。アカウント管理

６３５ AdtGroupCreated グループが作成されました。アカウント管理

６３６ AdtLclGrpMemberAdded セキュリティが有効なローカルグループメ

ンバーが追加されました。アカウント管理

６３７ AdtLclGrpMemberRemoved セキュリティが有効されたローカルグルー

プメンバーが削除されました。アカウント管理

６３８ AdtGroupDeleted グループが削除されました。アカウント管理

システムイベントの監査の設定

システムイベントの監査を設定するには、いくつかのタスクを実行する必要があります。

手順

1. 監査対象のイベントを決定します。たとえば、ボリュームまたはqtree上の全てのイベントを監査

したい場合は、fsecurity コマンドを使用してストレージレベルのアクセス保護のセキュリティを適

用します。

2. ファイルやディレクトリのアクセスイベントを監査したい場合は、システムのsystem Access Control List（SACL）を設定します。

3. CIFS 監査および/またはNFS 監査を有効化します。

4. 監査の管理にLive Viewを使用する場合は Live View を有効にします。Live Viewを使用しない

場合は、監査ログの管理方法について十分に理解してから行ってください。

5. イベントビューアを使用して監査イベントを表示します。

次のトピック

SACL の設定 Data ONTAP での CIFS 監査の設定 Data ONTAP での NFS 監査の設定 Live View の設定監査イベントの保存と消去

SACLの設定

System Access Control List（SACL）を使用すると、ファイルおよびディレクトリのアクセスの監査を

有効にできます。

SACL でアクセスを監査する設定には、次の 3 つの方法があります。


• ボリュームまたはqtree内の全てのファイルとディレクトリのアクセスイベントを監査する場合は、

ストレージレベルのアクセス保護のセキュリティを適用することによりSACLを設定することを推奨

します。

• 個々のファイルやディレクトリのアクセスイベントを監査する場合、2 つの方法でSACLを設定する


• Windows Explorer GUIを使用します。

• fsecurity コマンドを使用します。

メモ：選択する監査オプションの数が多すぎるとシステムのパフォーマンスに影響を与え

ることがあるため、監査の必要のあるイベントに限定して選択するようにしてください。

個々のファイルおよびディレクトリに対するアクセス監査を有効化するためには、Windows管理ホスト

上で次の手順を実行します。

手順

1. アクセスの監査を有効にするファイルまたはディレクトリを選択します。

2. ファイルまたはディレクトリを右クリックし、[Property (プロパティ)]を設定します。

3. [Security (セキュリティ)]タブをクリックします。

4. [Advanced (詳細)]をクリックします。

5. [Auditing] タブを選択します。

6. 監査オプションで追加、編集、または削除を行います。

オプションの使用方法の詳細については、Windowsのマニュアルを参照してください。

Data ONTAPでのCIFS監査の設定

CIFS監査を有効化または無効化すると、ポリシーの変更イベントの監査が有効になります。

現時点では、ポリシーの変更イベントを有効にする単独のCIFSのオプションはありません。

次に、CIFS監査の前提条件を示します。

• 監査を有効にする前に、ストレージシステム上でCIFSのライセンスが設定されて有効になってい


• 監査するファイルやディレクトリは、mixed 形式、またはNTFS形式のボリューム、やqtree 内に存

在する必要があります。ストレージレベルアクセス保護が有効になっていないと、UNIXボリューム

またはqtree 内のファイルまたはディレクトリのCIFSイベントを監査することができません。

• 記録するアクセスのイベントを指定する必要があります。

• イベント監査は、デフォルトでは無効になっています。監査対象のイベントを特定するには、個々

のオプションを有効にし、監査を有効にする必要があります

手順



目的操作

ファイルアクセスイベントの

監査を個別にオンまたはオ

フにする場合

次のコマンドを入力します。 options cifs.audit.file_access_events.enable {on | off}

ログオンおよびログオフイベントの監査を個別にオン

またはオフにする場合

次のコマンドを入力します。 options cifs.audit.logon_events.enable {on | off}

ローカルアカウント管理イベ

ントの監査を個別にオンまた

はオフにする場合

次のコマンドを入力します。 options cifs.audit.account_mgmt_events.enable {on | off} メモ：アカウント管理イベントに対する変更を表示するには、MMC イベントビューアを

使用します。

CIFS 監査を開始または停

止する場合次のコマンドを入力します。 cifs audit {start | stop} あるいは、cifs.audit enable オプションを使用して CIFS 監査を開始停止することが

できます。例えば次のコマンドを入力すると cifs audit start コマンドを使用するのと

同じ結果になります。 options cifs.audit.enable {on | off} メモ：CIFS 監査はデフォルトでは無効にされています。

Data ONTAPでのNFS監査の設定

NFS 監査では、ファイルおよびディレクトリに関するアクセスイベントを記録できますが、CIFS 監査

でサポートされるログイン、ログオフなどのイベントは記録できません。監査対象のファイルまたはディ

レクトリは、どのセキュリティ形式（NTFS、UNIX、またはmixed）のボリュームまたはqtree のものでも

かまいません。

• NFS監査を有効にする前に、ストレージシステム上でCIFSのライセンスが設定されて有効になっ

ている必要があります。

• NFS監査を有効にする前に、ストレージシステム上でCIFS監査が有効になっている必要がありま

す。デフォルトでは、監査は無効に設定されています。

• 記録するイベントを識別する必要があります。

次のトピック

NFS 監査イベントの指定フィルタファイルによる NFS 監査イベントの制御 NFS 監査の有効化

NFS監査イベントの指定

NTFS またはmixed セキュリティ形式のqtree またはボリュームにおけるNFS 監査対象イベントを指

定するには、ファイルおよびディレクトリにSACL を設定する必要があります。


手順

1. ログフィルタファイル（通常は、/etc/log/nfs-audit という名前）をストレージシステム上に作成しま

す。このファイルを使用して、監査ログにデフォルトで含まれるファイルイベントを指定します。フィ

ルタファイルは~の状態になっています。

メモ： NFS ログフィルタファイルは、NTFS またはmixed 形式のボリュームまたは

qtree に作成する必要があります。他の場所に作成すると、監査に必要なフィルタファ

イルにSACL を設定できません。

2. cifs.audit.nfs.filter.filename オプションを設定して、フィルタファイルを指定します。

cifs.audit.nfs.filter.filename オプションの詳細については、オプション（1）のマニュアルページを

参照してください。

3. フィルタファイルにSACLを設定します。

NTFS またはmixed セキュリティ形式のqtree に監査イベント用のNFS フィルタファイルを作成でき

ますが、個別のファイルおよびディレクトリに設定されたSACL の方が、フィルタファイルに設定され

たSACL よりも優先されます。

フィルタファイルによるNFS監査イベントの制御

ログフィルタファイルは、ファイルに設定されたSACL を使用してファイル監査イベントを制御します。

フィルタファイルにSACL を設定することは、ストレージシステム上のすべてのファイルとディレクトリ

に同じSACL を設定した場合と同じ効果があります。

メモ: ログフィルタファイルによるSACL は、ストレージシステム上のすべてのファイルやデ

ィレクトリから監査イベントを発生させる可能性があるため、ログフィルタファイルを使用

してNFS 監査を有効にするとシステムのパフォーマンスに影響を与えることがあります。

フィルタファイルによる影響の程度は、対象のファイルが存在するqtree のセキュリティ設定によりま

す。

UNIX セキュリティ形式のファイルに操作が実行されると、フィルタファイルのSACL に応じたイベント

がログされます。

SACL が設定されていないNTFS またはmixed セキュリティ形式のqtree のファイルに操作が実行さ

れると、フィルタファイルのSACL に応じたイベントがログされます。ただし、個別のファイルまたはデ

ィレクトリにSACL が設定されている場合は、これらのSACL の方がフィルタファイルに設定された

SACL よりも優先されます。

NFS監査の有効化

NFS監査を有効にするには、いくつかのタスクを実行します。

手順

1. ストレージシステムの /etc/log ディレクトリに、nfs-audit. という名前のファイルを作成します。


メモ: 手順 1 と 2 は、UNIXのセキュリティ形式のqtreeの監査に必須ですが、NTFSまた

はmixedセキュリティ形式qtreeの監査の場合は任意で実行します。

2. NFSログフィルタファイルを指定するには、次のコマンドを入力します

options cifs.audit.nfs.filter.filename /etc/log/nfs-audit

3. ファイルへのアクセスイベントの監査を有効にするには、次のコマンドを入力します。

options cifs.audit.file_access_events.enable on

メモ：デフォルトでは、ファイルアクセスおよびログオンのイベントの監査はオフに設

定されています。

4. NFS監査を有効にするには、次のコマンドを入力します。

options cifs.audit.nfs.enable on

5. 監査ログの管理設定をします。

6. Windowsの管理ホスト上で、フィルタファイルのSACLを設定します。

手順に記されたオプションの詳細については、options(1)のマニュアルページを参照してください。

Live Viewの設定

Live Viewが有効の場合、Access Logging Facility (ALC) デーモンが 1 分ごとに実行され、メモリ内

の監査イベントの内容をディスク上の内部ログファイル (/etc/log/cifsaudit.alk) にフラッシュします。

ALFのデーモンは、ALFレコードの保存と、ALFレコードからイベントビューアで表示可能なEVTレコー

ドへの変換も行います。この動作は、1 分ごとに、または.alf ファイルがフルの 75%に達したときに行

われます。

EVTレコードは/etc/log ディレクトリ内の次の３つのファイルに格納されます。

• fixedsection

• varsectiona

• varsectio

ALF デーモンはこれらのファイルを使用して、イベントビューアを実行するWindows クライアントから

のイベントログRPC 要求に応えます。Live View が有効な場合、イベントビューアは最新の監査イベ

ントを最大 5,000 レコード表示します。

内部ログファイルから新しいレコードが保存されるたびに、それらのレコードはLive Viewファイルに

書き込まれ、EVT ファイルにもバックアップされます。バックアップファイルは、タイムスタンプがファイ

ル名の一部になって、/etc/log ディレクトリに保存されます。

イベントビューアを使用すると、監査イベントをリアルタイムに表示し、バックアップEVT ファイルを静

的なファイルとして表示できます。

メモ： Data ONTAP 7.2.2 より、cifs.audit.autosave オプションと一緒にLive View を有効にで

きるようになりました。このオプションは、内部監査ファイルのサイズと保存方法の制御に

使用します。


手順：


目的操作

Live View を有効または無

効にする場合次のコマンドを入力します。 options cifs.audit.liveview.enable {on off} Live View を有効にするには onを使用し、無効にするには off を使用します。

メモ：Live View を有効化する前に、ストレージシステム上の監査を有効化する

必要があります。デフォルトでは Live View は無効に設定されています。

現在の ALT および EVT フ

ァイルを消去する場合次のコマンドを入力します。 cifs audit clear 結果：内部 cifsaudit.alf ログファイルと/etc/log ディレクトリ内の現在の EVTログ

ファイルは消去されます。しかし、タイムスタンプが付されたバックアップ EVTファ

イルは、このコマンドの影響をうけません。

監査イベントの保存と消去

自動保存するタイミング、自動保存されるファイルの最大数、およびcifsaudit.alf ファイルの最大サイ

ズを指定できます。cifsaudit.alf ファイルを消去することもできます。

次のトピック

Data ONTAP で監査イベント情報が記録される場所内部および外部のログファイルのサイズと形式 Data ONTAP でのイベントログの更新外部イベントログの場所の指定イベントログへの監査イベントの手動保存自動保存を実行するタイミングの指定自動的に保存されるファイルの最大数の指定 cifsaudit.alf ファイルの最大サイズの指定監査イベントの SNMP トラップ cifsaudit.alf ファイルの消去

Data ONTAPで監査イベント情報が記録される場所

監査イベント情報は、内部的な一時ログファイルである/etc/log/cifsaudit.alf に保存されます。Live View を使用しない場合は、手動で、または自動保存を設定して、このファイルの内容を外部EVT イベントログファイルに定期的に保存する必要があります。デフォルトでは、外部イベントログは

/etc/log/adtlog.evt ファイルですが、別のファイルをイベントログとして指定することもできます。

指定されたファイルがまだ存在していない場合は、ファイルに情報を保存するときに、ファイルが作成

されます。ただし、ファイルを格納するためのディレクトリが存在している必要があります。ディレクトリ

が存在しないと、ファイルを指定したときにエラーメッセージが表示されます。


内部および外部のログファイルのサイズと形式

内部的な一時ログファイルcifsaudit.alf の最大サイズは、524,288 バイト（512 K）～68,719,476,736 バイト（64 GB）の範囲で指定できます。デフォルトのサイズは 524,288 バイ

トです。

圧縮されていた cifsaudit.alf ファイルの内容が外部イベントログファイルに展開され、書式が再設定

されるため、cifsaudit.alf ファイルから生成された外部イベントログ（.evt ファイル）のサイズは大きく

なります。外部イベントログはWindows 形式です。イベントログは、イベントビューアで表示できま

す。cifsaudit.alf ログファイルのフォーマットは独自形式であるため、イベントビューアでは表示でき

ません。

Data ONTAPでのイベントログの更新

次回cifs audit save コマンドを実行するか、自動保存が行われたときに、イベントログが更新されま

す。

監査イベント情報を外部イベントログに保存するには、cifs audit save コマンドを実行するか、イベン

ト情報の自動保存を有効にします。イベントログがクライアントで表示されているときは、イベントログ

は更新されません。ただし、イベントログが開かれている間に収集されたファイルアクセス情報は失

われません。

イベント情報が失われないように、cifs audit save コマンドを頻繁に実行するか、自動保存の頻度を

高く設定することが重要です。イベントの発生率が高い場合は、cifsaudit.alf ファイルが短期間でフル

になり、古いイベントがイベントログに保存される前に上書きされる可能性があります。

外部イベントログの場所の指定

イベントログを異なる場所に指定する場合は、cif.audit.saveas オプションを使用します。

手順

1. 監査イベント情報のログの場所を指定するには、次のコマンドを入力します。

Options cifs.audit.saveas filename

filename はData ONTAP で監査イベント情報が記録されるファイルの完全なパス名です。ファイ

ル拡張子として.evt を使用します。パスにスペースが含まれている場合は、パス名を引用符で囲

んでください。

例 options cifs.audit saveas /etc/log/mylog/.evt options cifs.audit.saveas “/home/my event log/audio.evt”


イベントログへの監査イベントの手動保存

cifs audit save コマンドを使用してイベントログを手動で更新できます。

メモ：cifs audit clear コマンドを実行した後では、手動で監査イベントを保存する必要はあり

ません。その場合はData ONTAP が監査イベントを自動で保存します。

手順

1. 次のコマンドを入力して、イベントログを更新します。

cifs audit save [-f]

イベントログが存在しない場合は、-f オプションを省略します。既存のイベントログを上書きする場

合は、-f オプションを使用します。

イベントログの前回の更新以降に収集されたイベント情報が、イベントログに書き込まれます。

自動保存を実行するタイミングの指定

イベントログへの監査イベントの自動保存は、一定の間隔または一時的な内部ログファイルのサイズ

に基づいて（cidsaudit.alf ファイルの最大サイズに対する割合）、実行されるように指定できます。

サイズしきい値と間隔の両方を指定すると、そのサイズしきい値または時間間隔のいずれかに到達し

たときに、監査イベントがイベントログに保存されます。

内部的な一時ログファイルが自動的に外部イベントファイルに保存されるたびに、イベントファイル

の基本名に拡張文字が付加されます。付加される拡張文字の種類は、次のいずれかを選択できます。

• カウンタ

• タイムスタンプ

これらの拡張文字の１つが指定されないと、タイムスタンプがファイル拡張文字として使用されます。

ただし、「タイムスタンプ」の値は表示されません。

ストレージシステムは 6 週間までイベントファイルを保存します。保存できるイベントファイルの数に

制限を指定できます。

次のトピック

内部的な一時ログファイルサイズに基づいの自動保存の有効化時間間隔に基づいた自動保存の有効化カウンター拡張子の指定タイムスタンプ拡張文字の指定

内部的な一時ログファイルサイズに基づいの自動保存の有効化

内部的な一時ログファイルのサイズに基づいた自動保存を有効にしている場合、サイズしきい値を

指定できます。

内部的な一時ログファイルのデフォルトのサイズしきい値は 75%です。したがって、内部的な一時ロ

グファイルがフルの 75%になると、その内容が自動的に外部イベントファイルに保存されます。しき

い値は、内部的な一時ログファイルのサイズの割合または絶対サイズで指定できます。


次の表に、自動保存する内部的な一時ログファイルのサイズしきい値の指定に使用できる測定単位

と値を示します。

測定単位値

％（cifsaudit.alf.file ファイルの割合）１～１００

ｋ（キロバイト）１～６７１０８８６４

ｍ（メガバイト）１～６５５２６

ｇ（ギガバイト）１～６４

手順

1. 下のいずれかのアクションを実行してください

目的操作

内部的な一時ログファイルの自動保存に

使用するサイズしきい値を指定する場合次のコマンドを入力します。 optioons cifs.audit.autosave.onsize.threshold N はサイズしきい値の値、suffiｘは、測定単位です。

例 options cifs.audit.autosave.onsize.threshold 90%

内部的な一時ログファイルのサイズに基づ

いて自動保存を有効または無効にする場

合

次のコマンドを入力します。 options cifs.audit.autosave.onsize.enable {on off}

時間間隔に基づいた自動保存の有効化

時間間隔に基づいた自動保存を有効にしている場合、時間間隔を指定できます。

次の表に、自動保存の間隔の指定に使用できる測定単位と値を示します。

測定単位値

s (秒) １～６０

m （分）１～６０

h （時間）１～２４

d （日）１～７

手順



目的操作

内部的な一時ログファイルを外部イ

ベントファイルに自動的に保存する

時間間隔を指定する場合

次のコマンドを入力します。 options cigs.audit.autosave.ontime.interval N は、時間間隔の値、suffix は、測定単位です。

例 options cifs.audit.autosave.ontime.interval 1d

時間間隔に基づいて自動保存を有

効または無効にする場合次のコマンドを入力します。 options cifs.audit.autosave.ontime.enable {on | off}

カウンター拡張子の指定

自動ファイル名指定に「カウンタ」を選択すると、拡張文字として数値が付加されます。

自動保存が行われると、古いイベントファイルの名前が変更されて、順番に番号が付きます。最新の

イベントファイルには、番号は付きません。

たとえば、基本ファイル名がeventlog の場合に自動保存が行われると、最新のイベントファイルは

eventlog.evt という名前が付けられ、これより前のeventlog.evt ファイルはeventlog1.evt にコピーさ

れ、eventlog1.evt ファイルはeventlog2.evt にコピーされます。

手順：


options cifs.audit.autosave.file.extension counter

タイムスタンプ拡張文字の指定

自動ファイル名指定にtimestampを選択すると、ファイル名はタイムスタンプ形式になります。

形式は

base_name_of_event_file.YYYYMMDDHHMMDD.evt

です。

パラメータ概要

YYYY ４桁の年

MM 2 桁の月

DD ２桁の日

HH ２桁の時間


パラメータ概要

MM ２桁の分

SS ２桁の秒

手順


Options cifs.audit.autosave.file.extension timestam

自動的に保存されるファイルの最大数の指定

cifs.audit.autosave.file limit オプションを使用すると、自動保存できるイベントファイルの最大数を指

定できます。

手順


options cifs.audit.autosave.file.limit value

value は、０～９９９までの番号です。

メモ：このオプションの値を 1 ～ 999 に設定した場合、ストレージシステム上のファイ

ル数の制限に達すると、最も古いファイルが常に上書きされます。ただし、このオプシ

ョンの値を 0 に設定すると、システムに自動的に保存されるEVT ファイルの数は制限さ

れません。

cifsaudit.alfファイルの最大サイズの指定

cifs.audit.logsize オプションを使用すると、cissaudit.alf ファイルの最大サイズを指定することができ

ます。

手順


options cifs.audit.logsize. Size

size はバイト数です。無効な値を入力すると、使用できる数値の範囲を告げるメッセージが表示

されます。

メモ：cifsaudit.alf ファイルが最大サイズに到達すると、最も古いデータが上書きされます。イ

ベントデータが失われないように、cifsaudit.alf ファイルがフルになる前に保存してくださ

い。デフォルトでは、ファイルが 75%に達すると、警告メッセージが表示されます。さらに、


ファイルがほぼフルになり、データの上書きが始まるときと、データがすでに上書きされた

ときも警告メッセージが送信されます。

監査イベントのSNMPトラップ

Data ONTAP は、SNMP トラップをサポートしており、これによって特定の監査イベント情報に基づい

た規定の動作（通知など）を実行させることができます。

CIFS クライアントが監査イベントのSNMP トラップを受信するように設定する場合は、Data ONTAP のSNMP 機能を使用してクライアントを登録する必要があります。登録されたクライアントには、

SNMP トラップを監視するためのSNMP ソフトウェアが必要です。

次のいずれかのイベントが発生すると、SNMP トラップが発行されます。

• 指定された間隔に到達し、cifsaudit.alf ファイルが保存されたとき

• 指定されたサイズしきい値に到達し、cifsaudit.alf ファイルが保存されたとき

• デフォルトのしきい値 (75 ％)に到達し、cifsaudit.alf ファイルがラップされ、イベントデータの上書

きされる危険性はあるが、cifs.audit.autosave.onsize.enable および

cifs.audit.autosave.ontime.enable オプションがオフになっているために、ファイルが保存され

ないとき

• どの自動保存機能もオンになっていないため、cifsaudit.alf ファイルがラップされ、イベントデータ

が上書きされたとき

cifsaudit.alfファイルの消去

cifs audit clear コマンドを使用すると、内部的なcifsaudit.alf ファイルを消去できます。

手順


cifs audit clear

監査が始まると、内部的な一時ログファイルcifsaudit.alf は消去されます。監査が停止すると、

cifsaudit.alf ファイルは削除されます。外部イベントログはこのコマンドの影響を受けません。

イベント詳細画面の表示と概要

Live View で取得されたリアルタイム監査イベント、ユーザーが保存した外部イベントログ（.evt ファ

イル）、またはLive View により作成されたバックアップログファイルを表示することができます。

タスク概要

次のイベントの詳細表示が使用できます。

• ネットワークログオン

• 失敗したネットワークのログオン


• ネットワークログオフ

• Windows ファイルアクセス

• UNIXファイルアクセス

• 失敗したファイルアクセス

• 失われたレコードイベント

• 監査ログイベントの消去

次のトピック

監査イベントの表示方法 Live View を使用した監査イベントのリアルタイム表示静的なイベントログファイルの表示 Windows ファイルアクセスの詳細表示 UNIX ファイルアクセスの詳細表示失敗したファイルアクセスと失われたレコードのイベントの詳細表示

監査イベントの表示方法

監査イベントは、Windows クライアントでコントロールパネルの管理ツールまたはMMCから、

Microsoft イベントビューアを使用して見ることができます。

監査イベントの表示には 2 つの方法があります。

• リアルタイム表示。Live View 機能が有効な場合は、EVT イベントログファイルが 1 分ごとに自

動的に更新されます。これにより、イベントビューアで最近の 5,000 の監査イベントを常に最新

の状態で見ることができます。

メモ: Live View 機能を使用するには、Windows クライアントがWindows 2000 以上を使用し

ている必要があります。

• 静的表示。EVT イベントログは、手動または自動保存を設定して自分で管理することができます。

自分で管理する場合、ログファイルの管理方法にもよりますが、保存されたログファイルの最新

バージョンがイベントビューアに表示されます。

Live Viewを使用した監査イベントのリアルタイム表示

Windows イベントビューアを使用すると、LiveView で取得された監査イベントをリアルタイムで表示

できます。

監査イベントをリアルタイムで表示する前に、Live View を設定する必要があります。

手順

1. Windows クライアントから、コントロールパネルの管理ツール、またはMMCからEvent Viewerを起動します。

2. [Action(操作)] >[Connect to Another Computer(別のコンピュータへ接続)] を選択します。


3. ダイアログボックスに監査するストレージシステムの名を入力し、[OK]をクリックします。

4. アプリケーションの左側のセキュリティエントリーを選択します。

アプリケーションの右側に、ストレージシステムで取得された最新の監査イベントが表示されます

(最大 5000 イベント）。

静的なイベントログファイルの表示

Windows クライアントを使用すると、保存した外部のイベントログ(.evt ファイル)、またはLive Viewにより作成されたバックアップログファイルを表示することができます。

手順

1. Windows クライアントで、コントロールパネルの管理ツールから、またはMMCからEvent Viewerを起動します。

2. [Log (ログ)] > [Open(開く)] を選択します。

メモ：イベントログを開く場合は、[ログ]メニューの[コンピュータの選択]をポイントし、スト

レージシステム名をダブルクリックしないでください。この方法でイベントログを開くと、

Live View が有効の場合を除いて、Data ONTAP とイベントビューアはRPC コールを使用し

て通信できないため、イベントビューアに「The RPC server is unavailable」というエラーメッセージが表示されます。

3. ストレージシステム上のイベントログを選択します。

Windowsファイルアクセスの詳細表示

Windows ファイルアクセスの詳細表示には、さまざまな種類の情報が表示されます。

次の表に、Windows ファイルアクセスの詳細表示フィールドの説明を示します。

フィールド説明

オブジェクトサーバ監査チェック機能を呼び出すサブシステムのサーバプロセスの名前。

これはセキュリティログなので、通常は SECURITY になります。

オブジェクトの種類アクセスされているオブジェクトの種類

オブジェクト名アクセスされているオブジェクト名（ファイル名など）

オブジェクトハンドル ID 開いているオブジェクトの新しいハンドル識別子

操作 ID 1 回の操作で発生した複数のイベントを関連付ける一意の識別子

プロセス ID オブジェクトにアクセスするクライアントプロセスの識別子

プライマリユーザ名オブジェクトアクセスを要求するユーザのユーザ名。偽装が行われて

いる場合、これは、サーバプロセスへのログオンに使用したユーザ名

になります。

プライマリドメインコンピュータの名前。[プライマリユーザー名]に指定されているユーザ



名が SYSTEM の場合は、SYSTEM になります。コンピュータが

Windows NT Server ドメインのメンバーの場合、プライマリユーザアカウントを含むドメイン名になる場合もあります。

プライマリログオン ID プライマリユーザがログオン時に割り当てられる一意の識別子

クライアントユーザ名ログイン名

クライアントドメインコンピュータの名前、またはクライアントユーザアカウントを含んでい

るドメイン

クライアントログオン ID クライアントユーザのログイン時に割り当てられる一意の識別子

アクセス実行しようとしたオブジェクトのアクセスの種類

権限ユーザの権限。

UNIXファイルアクセスの詳細表示

UNIX ファイルアクセスの詳細表示には、Windows ファイルアクセスの詳細表示と同じ種類の情報

が表示されます。ただし、NFS クライアントからファイルへのアクセスが行われるため、オブジェクト名

ではなくNFS アクセスが表示されます。

さらに、UNIX ファイルアクセスの詳細表示には、監査中のファイルに関する次の情報が表示されま

す。

• ファイルが格納されているボリュームのID

• ファイルが格納されている最新のSnapshot コピーのID

• ファイルのinode

この情報を使用すると、NFS クライアントからfind -inum コマンドを実行してファイルを検索できます。

失敗したファイルアクセスと失われたレコードのイベントの詳細表示

失敗したファイルアクセスの詳細表示には、ファイルのアクセスに失敗した操作についての情報が

表示されます。さらに、Data ONTAP で監査レコードを作成できない場合は、失われたレコードイベントの詳細表示に理由が表示されます。

たとえば、ユーザがファイルにアクセスしようとしたが、アクセス権がないためにファイルアクセス

が失敗した場合などです。詳細表示には、ファイルにアクセスしようとしたユーザのID と、アクセス

が失敗したことが表示されます。

Data ONTAP で監査レコードを作成できない場合は、失われたレコードイベントの詳細表示に次

のような理由が表示されます。

Internal resources allocated for the queueing of audit messages have been exhausted, leading to the loss of


some audits.

Number of audit records discarded: 1

シンボリックリンクへの CIFS アクセスの制御

シンボリックリンクは NFS クライアントが指定する特殊なファイルで、別のファイルまたは

ディレクトリをポイントします。シンボリックリンクは、ある意味では、Windows 環境の

「ショートカット」に似ています。

タスク概要

シンボリックリンクには、次の 2 種類があります。

• 絶対シンボリックリンクは、スラッシュ[/]で始まり、ファイルシステムのルートから導か

れるパスとして扱われます。

• 相対シンボリックリンクは、スラッシュ[/]以外の文字で始まり、シンボリックリンクの親

ディレクトリを基準とした相対的なパスとして扱われます。

CIFS クライアントではシンボリックリンクを作成できませんが、NFS クライアントによっ

て作成されたシンボリックリンクを参照することはできます。

CIFS が次の種類のシンボリックリンクにアクセスできるようにするためには特別の要件があ

ります。

• 絶対シンボリックリンク。絶対シンボリックリンクの送信先は UNIX 実装タイプにより異

なるので、CIFS クライアントは絶対シンボリックリンクを解釈するための情報を追加す


• リンク先が自身と同じストレージシステム上、共有の外にある相対シンボリックリンク。

デフォルトでは、Data ONTAP は、CIFS クライアントが認証されている共有の外部にあ

るシンボリックリンクを CIFS クライアントが参照することを許可していません。


クライアントのシンボリックリンク参照の有効化 CIFS クライアントとシンボリックリンクの連動の指定ファイルへのシンボリックリンクを使用しない理由 Map エントリについて Widelink エントリについてシンボリックリンクに対する共有の境界チェックの無効化絶対シンボリックリンクのリダイレクトストレージシステムによる Map と Widelink エントリの使用方法

クライアントのシンボリックリンク参照の有効化

cifs.symlinks.enable オプションを使用すると、シンボリックリンクへの CIFS アクセスが無

効にされたあとで、それを有効にすることができます。


タスク概要

cifs.symlinks.enable オプションは、デフォルトで有効になっています。

ステップ

1. 次のコマンドを入力して CIFS がシンボリックリンクにアクセスできるようにします。

Options cifs.symlinks.enable on

結果

CIFS クライアントは、同じ共有内にあるリンク先への相対シンボリックリンクに直接参照で

きるようになります。

CIFSクライアントとシンボリックリンクの連動の指定

CIFS クライアントとシンボリックリンクの連動を指定するには、/etc/symlink.translations フ

ァイルに Map エントリを作成するか（絶対シンボリックリンクのみ）、

/etc/symlink.translations ファイルに Widelink エントリを作成するか（絶対シンボリックリン

クのみ）、またはシンボリックリンクの NT 共有境界チェックを無効にします（相対および

絶対シンボリックリンク）。

タスク概要

次の表を参照して、実行するオプションを決定してください。この表は、各オプションについ

て、シンボリックリンクが示すことができるリンク先の種類を示しています。

シンボリックリンクのリンク先

Map エントリ Widelink エントリ共有の境界チェックの無効

化

同じストレージシステム上の同じ共有 ○ ○ ○

同一ストレージシステム上の別の共有 ○ ○

同一ストレージシステムの非共有領域 ○

別のストレージシステムの共有 ○

別の CIFS サーバまたはデスクトップ

PC 上の共有 ○

ファイルへのシンボリックリンクを使用しない理由

ファイルにリンクするシンボリックリンクを CIFS クライアントが参照しないようにしてく

ださい。Data ONTAP によって間違ったファイルが更新される場合があるためです。

間違ったファイルが更新される原因は、多くの CIFS クライアントアプリケーションでは、

一時ファイルに書き込み、元のファイルの名前をバックアップ名に変更し、そのあと、一時フ

ァイルを元のファイル名に変更するという動作を行うためです。

クライアントアプリケーションでこのような処理が実行されるとき、シンボリックリンクに

よって元のファイルが直接ターゲットになっていると、このファイルはシンボリックリンク

と同じディレクトリに格納され、名前を変更されたシンボリックリンクのリンク先は更新さ


れたファイルではなく、元のファイルとなります。

メモ：個々のファイルではなくディレクトリにリンクしているシンボリックリンクを参照し

ている CIFS クライアントはこの問題は発生しません。

Mapエントリについて

Map エントリは、ストレージシステム上の絶対シンボリックリンクのリダイレクトに使用さ

れます。Map エントリは、/etc/symlink.translations ファイルに作成します。Map エントリに

よって、CIFS クライアントは、絶対シンボリックリンクを参照して同じ共有内のリンク先を

ターゲットにすることができます。

メモ： cifs share -nosymlink_strict_security オプションがソース共有に指定されていない場

合、リンクの共有の外にあるリソースへのシンボリックリンクを参照する CIFS クライアン

トユーザは機能しません。

Map エントリには次の必要条件があります。

• 絶対シンボリックリンクを参照するには、リンク先を決定する Map エントリが

/etc/symlink.translations ファイル内に必要です。

• シンボリックリンクのリンク先がリンク自身と同じ共有内にあるか、または-nosymlink_strict_security オプションが指定された共有内にリンクがなければなりません。

Map エントリを使用して絶対シンボリックリンクをリダイレクトすると、シンボリックリン

クとリンク先が同じ共有内にあるため、両方の Windows 共有セキュリティが維持されます。

symlink.translations ファイル内に Map エントリと Widelink エントリの両方がある場合、スト

レージシステムでは最初に一致したエントリが使用されます。

Widelinkエントリについて

Widelink エントリは、ストレージシステム上の絶対シンボリックリンクをリダイレクトする

もう一つの方法です。Widelink エントリは、/etc/symlink.translations ファイルに作成します。

Widelink エントリによって、CIFS クライアントは絶対シンボリックリンクを参照し、同じス

トレージシステム上または外部のリンク先をターゲットにすることができます。Widelink エントリは、共有ごとに使用できます。

Widelink エントリには次の要件があります。

• 絶対シンボリックリンクが含まれている共有は、ワイドシンボリックリンクに対して有

効にする必要があります。 • 絶対シンボリックリンクを参照するには、リンク先を決定する Widelink エントリが

/etc/symlink.translations ファイル内に必要です。 • Widelink エントリのリンク先を次のいずれかにする必要があります。

• シンボリックリンクと同じ共有 • 同じストレージシステム上の別の共有 • 別のストレージシステム上の共有 • 別の CIFS サーバまたはデスクトップ PC 上の共有


• CIFS クライアントは、Microsoft Distributed File System (DFS)用のクライアント側サポー

トが必要です。Windows NT とその後のクライアントがデフォルトで DFS をサポートし

ています。

Widelink エントリを参照するために、CIFS クライアントは、ストレージシステムに対して

DFS 照会の要求と受信を自動的に実行し、ターゲットとなる共有との認証された接続を確立

する必要があります。これによって、シンボリックリンクとリンク先の両方の NT 共有セキ

ュリティが維持されます。接続が確立されると、CIFS クライアントはターゲットの共有また

はサーバに直接新しい要求を出すことができるので、パフォーマンスが向上します。

symlink.translations ファイル内に Map エントリと Widelink エントリの両方がある場合、スト

レージシステムでは最初に一致したエントリが使用されます。

Widelink エントリには次の制約があります。

• ワイドシンボリックリンクのリンク先がファイルであっても、ディレクトリの一覧には

ディレクトリとして表示されます。ファイルを開くシステム API はワイドシンボリックリンクのリンクを正しく参照しますが、一部のアプリケーションでは混乱が発生する場合

があります。この問題を回避するには、ファイルではなくディレクトリを参照するワイドシンボリックリンクを作成します。

• Windows 95、Windows 98、および Windows ME クライアントでは、別のワイドシンボ

リックリンクにリンクするワイドシンボリックリンクを参照できません。 • ワイドシンボリックリンクでは、リンク先の装置の非共有領域にクライアントを誘導でき

ません。

シンボリックリンクに対する共有の境界チェックの無効化

シンボリックリンクのシェア境界チェックを無効にすると、CIFS クライアントは、ストレー

ジシステム上にあるシンボリックリンクを参照できます。この動作は、共有単位で設定され

相対シンボリックリンクと絶対シンボリックリンクの両方に影響を及ぼします。

シンボリックリンクに対する共有の境界チェックを無効にするには、次の要件を満たす必要

があります。

• シンボリックリンクが含まれている共有は、nosymlink_strict_security に設定する必要が

あります。 • 絶対シンボリックリンクを参照するには、リンク先を決定する Map エントリが

/etc/symlink.translations ファイル内に必要です。 • 相対シンボリックリンクおよびマッピングされた絶対シンボリックリンクのリンク先は、

ストレージシステムの任意の共有領域または非共有領域になければなりません。

シンボリックリンクに対する共有の境界チェックを無効にするには、次の制約があります。

• ボリュームを連結するには、相対シンボリックリンクを使用せず、絶対シンボリックリンクを使用します。

• シンボリックリンクは、そのストレージシステム以外のシステムを参照することはできま

せん。


• NT 共有セキュリティはシンボリックリンクに対して維持されます。これは、CIFS クラ

イアントが、シンボリックリンクが含まれている共有に接続できるように認証する必要が

あるためです。 • リンク先が同じ共有内にある場合のみ、そのシンボリックリンクのリンク先に対して NT

共有セキュリティは維持されます。 • リンク先が共有外にある場合、NT 共有セキュリティはシンボリックリンクのリンク先に

対して維持されません。これは、CIFS クライアントが、そのリンク先（CIFS 共有である

か否かは問わない）を認証する必要がないためです。

メモ：シンボリックリンクに対する共有の境界チェックを無効にする場合は、ユーザから

のアクセスを禁止しているストレージシステムのすべての領域の安全を確保してください。

この操作は必ず行ってください。ユーザが、ストレージシステム上の任意のパスに対する

シンボリックリンクを作成できてしまうためです。

絶対シンボリックリンクのリダイレクト

ストレージシステムで絶対シンボリックリンクをリダイレクトするには、

/etc/symlink.translations ファイル内に Map エントリを作成するか、または

/etc/symlink.translations ファイル内に Widelink エントリを作成します。

タスク概要

NFS クライアントは、ファイルシステムがクライアント上にどのようにマウントされているかに基づいて、

絶対シンボリックリンクが示すファイルシステムの位置を解釈します。CIFS クライアントは、NFS クラ

イアントのマウント情報にアクセスできません。

CIFS クライアントがストレージシステム上の絶対シンボリックリンクを参照できるようにするには、絶

対シンボリックリンクをリダイレクトして、CIFS クライアントが、絶対シンボリックリンクによって表され

ているファイルシステムの位置を解釈できるようにする必要があります。/etc/symlink.translations ファイル内にエントリを作成することによって、絶対シンボリックリンクをリダイレクトできます。

/etc/symlink.translations ファイルは、ストレージシステム上で、UNIX サーバの自動マウントテーブ

ルと同じ役割を果たします。


Map エントリの作成

Widelink エントリの作成

Mapエントリの作成

Map エントリを作成するには、/etc/symlink.translations ファイルを編集します。

ステップ

1. 編集するために、/etc/symlink.translations ファイルを開きます。

2. 次の形式を使用して、ファイルに 1 行以上の行を入力します。


Map template result

temoplate は、絶対シンボリックリンクとの照合に使用されます。

result は、一致した絶対シンボリックリンクと置き換わるストレージシステム上のパスで

す。

メモ：ファイルパスにスペースまたはポンド（#）記号を指定する場合、バックスラ

ッシュ（\）エスケープ文字を前に付加する必要があります。

例 Map /u/users/charlie/* /home/charlie/* Map /temp1/* /vol/vol2/util/t/* Map /u/users/bob\ smith/* /home/bob\ smith/*

Widelinkエントリの作成

Widelink エントリを作成するには、/etc/symlink.translations ファイル編集します。

ステップ

1. 編集するために/etc/symlink.translations ファイルを開きます。

2. 次のフォーマットを使ってファイル内に 1 行またはそれ以上の行を入力します。

Widelink template [@qtree] result

template は、UNIX パス名を指定します。

result は、CIFS UNC パス名を指定します。

qtree は、異なる qtree 内の複数のエントリが同一の template 値を有することを許可しま

す。

メモ：マップエントリと違って、バックスラッシュ(∖)エスケープ文字を先頭に付けずにフ

ァイルパ C スにスペースとポンド(#)文字を指定できます。Widelink では、バックスラッ

シュ文字は、Universal Naming Convention（UNC）に従って円記号はファイルパスの標

準文字とされています。

例

次の例では、result に、バックスラッシュを区切り文字とした CIFS パス名の構文を使用しています。また、スペースの埋め込みも可能です。テンプレートパス名の中の

ワイルドカード文字（*）は、バックスラッシュ（\）を含む 0 個以上の任意の文字を

表します。次の result のパス名のワイルドカード文字は、template のパス名の対応部分と一致する文字列を表します。 Widelink /eng/proj/* @/vol/vol2 \\filer\hw\proj\* Widelink /eng/proj/* \\filer\sw\proj\*


ストレージシステムによるMapとWidelinkエントリの使用方法

CIFS クライアントが絶対シンボリックリンクを参照できるようにするために、ストレージシステムは、一致するエントリが検出されるか、または検索が失敗するまで、順番に

/etc/symlink.translations ファイル内にあるエントリを検索します。

ストレージシステムは、最初に一致したエントリを使用して、リンク先へのパスを生成しま

す。このため、最も限定的なエントリを最初に配置して、マッピングエラーの発生を防ぐこ

とが重要です。

この例は、Map エントリの記述方法を示しています。/u/home/*は、/u/*よりも限定的です。

Map /u/home/* /vol/vol2/home/*

Map /u/* /vol/vol0/*

次の例は、Widelink エントリの記述方法を示しています。

Widelink /u/docs/* \\filer\engr\tech pubs\*

Widelink /u/* \\filer\engr\*

CIFS クライアントに対する NFS ディレクトリアクセスの最適化

CIFS クライアントから NFS ディレクトリへのアクセスを最適化するには、CIFS クライアン

トまたは NFS クライアントがディレクトリにアクセスして、Unicode 形式のディレクトリの

みを作成する場合には非 Unicode ディレクトリが Unicode 形式に変換されるように

DataONTAP を設定します。これにより、形式を変換する必要がなくなります。

タスク概要

メモ：ファイルを CIFS クライアントと NFS クライアントで共有する場合は、インストー

ル直後にディレクトリを Unicode 形式で作成するよう Data ONTAP を設定します。こうす

ることにより、すべての新しいディレクトリが Unicode 形式で作成されます。

Data ONTAP をインストールすると、NFS クライアントによって作成されたディレクトリは

非 Unicode 形式になり、CIFS クライアントによって作成されたディレクトリは Unicode 形式

になります。このため、CIFS ディレクトリには NFS クライアントから直接アクセスできま

すが、NFS ディレクトリには CIFS クライアントから直接アクセスできません。NFS ディレ

クトリに CIFS クライアントがアクセスできるようにするには、ストレージシステムがまず

NFS ディレクトリを Unicode 形式に変換する必要があります。これは、ストレージシステム

がアクセス要求を受け取ったときに自動的に（すぐに）実行されます。対象となるデータの量

によっては、Unicode 変換に時間がかかり、ストレージシステムリソースを消費する場合も

あります。


Unicode 形式のディレクトリの作成

Unicode 形式への変換


Unicode形式のディレクトリの作成

vol options コマンドを使用すると、Data ONTAP ですべてのディレクトリを Unicode 形式で

作成できます。

ステップ

1. 次のコマンドを入力して下さい。

vol options volume_name create_ucode on

Unicode形式への変換

デフォルトでは、CIFS クライアントがアクセスを要求したときだけ、ディレクトリの

Unicode 変換が実行されます。各ディレクトリのエントリの数を 50,000 未満に制限すること

により、Unicode 変換に必要な時間を短縮できます。

タスク概要

すでに大きなディレクトリがある場合は、次の手順に説明するように大きなディレクトリを前

もって強制的に Unicode に変換することにより、Unicode 変換のパフォーマンスへの影響を

最小限にすることができます。

大きなディレクトリを強制的に Unicode 形式に変換し、CIFS および NFS クライアントの両

方からアクセスされた時点でディレクトリを Unicode 形式に変換するには、次の手順を実行

します。

ステップ

1. 50,000 を超えるファイルが格納されたディレクトリがある場合は、Windows クライアン

トから変換対象のディレクトリと同じボリュームかつ同じ qtree 内に新しい CIFS ディレ

クトリを作成し、NFS mv コマンドを使用してこれらのファイルを作成したディレクトリ

に移動します。古いディレクトリを削除して、新しいディレクトリに同じ名前を割り当て

ることもできます。


vol options volume_name convert_ucode on

NFS クライアントがファイルにアクセスすると Unicode 変換が実行されます。

メモ：50,000 件以上のファイルを含むディレクトリがある時は、convert_ucode オプ

ションを有効にしないで下さい。

CIFS クライアントで大文字のファイル名が作成されないようにする方法

cifs.save_case オプションを off に設定すると、CIFS クライアントで大文字のファイル名が

作成されないようにすることができます。

タスク概要


以前の 16 ビットの CIFS クライアントでファイルを開いたり保存したりすると、小文字だけ

のファイル名と、大文字と小文字の混在するファイル名が、すべて大文字のファイル名に変更

されます。Data ONTAP で CIFS ファイル名に小文字を使用して保存するように指定すると、

大文字のファイル名には変更されません。

ステップ


options cifs.save_case off

NFS クライアントからの CIFS ファイルへのアクセス

Data ONTAP では、NTFS（Windows NT ファイルシステム）のセキュリティセマンティクス

を利用して、mixed 形式または NTFS 形式の qtree 内にあるファイルへのアクセス権が、NFS クライアント上の UNIX ユーザにあるかどうかが判別されます。

タスク概要

Data ONTAP では、ユーザの UNIX User ID（UID）から変換された CIFS クレデンシャルを使

用して、ファイルに対するユーザのアクセス権の有無が確認されます。CIFS クレデンシャル

は、通常はユーザの Windows ユーザ名であるプライマリ Security Identifier（SID;セキュリテ

ィ ID）と、ユーザがメンバーとなっている Windows グループに対応する 1 つ以上のグループ

SID で構成されています。

Data ONTAP で UNIX UID を CIFS クレデンシャルへ変換するときに要する時間は、数十ミリ

秒から数百ミリ秒です。これは、この変換処理にドメインコントローラへの問い合わせも含

まれるためです。Data ONTAP では UID が CIFS クレデンシャルにマッピングされます。

このマッピングは WAFL®クレデンシャルキャッシュ内に入力されるので、変換によって発

生する照合時間が短縮されます。WAFL クレデンシャルキャッシュを制御することによって、

Data ONTAP で権限の照合に要する時間が大幅に短縮されます。また、WAFL クレデンシャ

ルキャッシュの統計を監視し、現在 WAFL クレデンシャルキャッシュ内にある CIFS クレデ

ンシャルの判別に利用することができます。


WAFL クレデンシャルキャッシュへのマッピングエントリの追加 WAFL クレデンシャルキャッシュからのマッピングエントリの削除マッピングエントリの有効時間の設定 WAFL クレデンシャルキャッシュ統計の監視マッピング不整合への対処 CIFS ログインの追跡ドメインコントローラ接続の追加

WAFLクレデンシャルキャッシュへのマッピングエントリの追加

WAFL クレデンシャルキャッシュには、マッピングエントリをいつでも追加できます。通常


は、ストレージシステムにアクセスすることによってエントリが自動的に作成されるため、

追加する必要はありません。

開始する前に

WAFL 認証情報キャッシュに追加するエントリの名前および IP アドレスを準備しておく必要

があります。

タスク概要

エントリを追加する最適な方法は、起動時にエントリで WAFL クレデンシャルキャッシュを

ロードするスクリプトを使用することです。これによって、ファイルへのアクセス中にエント

リが作成されるのを待機する必要がなくなり、エントリは、WAFL クレデンシャルキャッシ

ュ内にすぐに追加されます。

メモ：キャッシュは、10,000 エントリに制限されます。この制限を超える場合は、古いエン

トリから削除されます。

ステップ


wcc -a -u uname -i ipaddress

uname は、ユーザの UNIX 名を指定します。

Ipaddress はユーザが接続しているホストの IP アドレスを指定します。

WAFLクレデンシャルキャッシュからのマッピングエントリの削除

WAFL クレデンシャルキャッシュからエントリをいつでも削除できます。セキュリティ変更

を行ったあとでエントリを削除して、ただちにセキュリティ変更を反映させたい場合があるか

もしれません。

開始する前に

WAFL クレデンシャルキャッシュから削除するエントリの名前を準備しておく必要がありま

す。さらに選択を絞り込むには、オプションで IP アドレスを指定できます。

タスク概要

ユーザの権限を変更したとき、セキュリティ変更はただちに反映されない場合もあります。た

とえば、グループからユーザを削除したが、そのユーザのマッピングがすでに WAFL クレデ

ンシャルキャッシュに存在する場合、WAFL クレデンシャルキャッシュが自動的にタイムア

ウトになるまで、そのユーザはファイルへのグループアクセス権を持ち続けます。デフォル

トのクレデンシャルキャッシュタイムアウト時間は 20 分です。

ステップ


Wcc – x name


Name には、次のいずれかを指定します。-s に続けて、CIFS クレデンシャル内で検出さ

れた Windows ユーザ名またはグループ名、あるいは、-u に続けて CIFS クレデンシャル

内で検出された UNIX 名が続きます。

メモ：nameがグループ名の場合、この手順でそのグループの全てのメンバーが

WAFL クレデンシャルキャッシュから削除されます。

-i を追加し、その後にユーザが接続しているホストの IP アドレスを続けることによってユ

ーザ指定を更に狭めることができます。名前を指定しない場合、全てのエントリが削除さ

れます。

例 wcc -x -u jdoe -i 10.100.4.41

マッピングエントリの有効時間の設定

Data ONTAP が更新を行ったあとに CIFS クレデンシャルが WAFL クレデンシャルキャッシ

ュ内に存在している時間を長くすることによって、パフォーマンスを向上させることができま

す。これは、Data ONTAP で CIFS クレデンシャルを作成してファイルへのアクセス権を照合

するための時間を確保する必要がないためです。

タスク概要

CIFS クレデンシャルが WAFL クレデンシャルキャッシュ内に存在する時間を延長すること

の欠点は、ユーザのアクセス権を変更しても、Data ONTAP が WAFL クレデンシャルキャッ

シュを更新するまで変更が有効にならないことです。このため、アクセスの拒否を設定したば

かりのファイルへのアクセス権をユーザが一時的に持ってしまう可能性があります。

この欠点によって問題が発生しなければ、クレデンシャルエントリが有効になる時間を長く

することができます。アクセス権の更新をすぐに反映させる必要があり、パフォーマンスが遅

くても問題にならない場合は、デフォルトよりも小さい値を使用できます。

ステップ


options wafl.wcc_minutes_valid n

n は、各エントリを有効にする時間(分)です。指定できる範囲は１～20,160 で、デフォル

ト値は 20 です。

WAFLクレデンシャルキャッシュ統計の監視

WAFL クレデンシャルキャッシュ統計を監視すると、現在キャッシュされているエントリ、

および UNIX UID/CIFS 間のクレデンシャルマッピングを表示できます。これらの情報は、

WAFL クレデンシャルキャッシュにあるエントリや、エントリの一覧で示されるユーザのア

クセス権について知る必要がある場合に利用できます。

ステップ



wcc –d uname

uname は、ユーザの UNIX 名です。WAFL クレデンシャルキャッシュの全てのクレデンシ

ャルエントリを一覧表示する時は、uname を省略します。コマンド行に-v を追加するこ

とによって、更に詳細な情報を得ることができます。コマンド当たり-v オプションを 3 つ

まで(-vvv)使用でき、各インスタンスは、詳細レベルの増加を示します。

例

次に、-d オプションを使用した統計出力を示します。 wcc –d tday (UID 10350) from 10.121.4.41 => NT-DOMAIN\tday* Total WCC entries: 3; oldest is 127 sec. Total Administrator-privileged entries: 1 * indicates members of "BUILTIN\Administrators" group

次に、-v オプションを 2 つ使用した統計出力例を示します。 wcc –dvv jdoe (UID 1321) from 10.121.4.41 => NT-DOMAIN\jdoe *************** UNIX uid = 1321 NT membership NT-DOMAIN\jdoe NT-DOMAIN\Domain Users NT-DOMAIN\SU Users NT-DOMAIN\Installers NT-DOMAIN\tglob NT-DOMAIN\Engineering BUILTIN\Users User is also a member of Everyone, Network Users, Authenticated Users *************** tday (UID 10350) from 10.121.4.41 => NT-DOMAIN\tday* ************** UNIX uid = 10350 NT membership NT-DOMAIN\tday NT-DOMAIN\Domain Users NT-DOMAIN\Domain Admins NT-DOMAIN\SU Users NT-DOMAIN\Installers BUILTIN\Users BUILTIN\Administrators User is also a member of Everyone, Network Users, Authenticated Users ***************


bday (UID 1219) from 10.121.4.41 => NT-DOMAIN\bday *************** UNIX uid = 1219 NT membership NT-DOMAIN\bday NT-DOMAIN\Domain Users NT-DOMAIN\Installers NT-DOMAIN\SU Users BUILTIN\Users User is also a member of Everyone, Network Users, Authenticated Users *************** Total WCC entries: 3; oldest is 156 sec. Total Administrator-privileged entries: 1 * indicates members of "BUILTIN\Administrators" group

マッピング不整合への対処

マッピングの不整合に対処するには、いくつかのタスクを実行します。

タスク概要

ユーザがアクセス可能であるはずのファイルにアクセスできない場合、次のような理由が考え

られます。

• アクセス権を最近付与したが、WAFL クレデンシャルキャッシュに新しいマッピングエントリがない場合。最近付与された権限と WAFL クレデンシャルキャッシュ間のマッピ

ングの不整合は、CIFS クレデンシャルマッピングを比較して判別します。マッピングの

結果は、ユーザの UNIX 名または Windows 名のどちらについても表示できます。 • NFS クライアントが CIFS クレデンシャルを取得できなかった場合。NFS クライアント

がストレージシステムへの CIFS のログインを実行できるかどうかは、CIFS ログインを

追跡することによって判別できます。 • NFS クライアントによっては、NFS 属性キャッシュがタイムアウトしてからでないと

CIFS クレデンシャルの変更が有効にならない場合があります。

ステップ

1. 次のコマンドを入力して UNIX 名の現在の CIFS クレデンシャルマッピングを表示します。

wcc –s uname

uname は、Windows ユーザ名です。-i を追加し、続けてユーザが使用しているホストの

IP アドレスを指定すると、ユーザをさらに絞り込むことができます。さらに詳細な情報を

表示するには、コマンドラインに-v を追加します。１つのコマンドには、-v オプションの

インスタンスを３つまで指定でき(-vvv)、各インスタンスが詳細レベルの増加を示します。

2. CIFS クレデンシャル情報を記録します。

3. 次のコマンドを入力して、接続されているすべてのユーザの情報を表示します。

cifs sessions –s


出力結果からこのユーザの情報を検索します。

4. ２つの CIFS クレデンシャルマッピングを比較します。

5. CIFS クレデンシャルマッピングが異なる場合は、次のコマンドを入力してクライアントの接続を解

除します。

cifs terminate workstation

結果

クライアントを再接続すると、CIFS クレデンシャルマッピングは正しいものになります。

CIFSログインの追跡

CIFS ログインを追跡するには、NFS クライアントによる CIFS クレデンシャル取得の試行を

監視します。

タスク概要

すべての CIFS ログインが報告されるため、CIFS ログイン追跡は慎重に使用してください。

継続的に使用するとコンソールおよびログメッセージが膨大な量になり、システムのパフォ

ーマンスに影響を及ぼすことがあります。cifs.trace_login オプションは、診断のときだけオン

にしてください。それ以外の用途のときにはオフにしておくことを推奨します（デフォルトで

はオフになっています）。

ステップ


options cifs.trace_login {on | off}

CIFS ログインの追跡を有効にする場合は on を指定し、無効にする場合は off を指定してくださ

い。

ドメインコントローラ接続の追加

Data ONTAP が数分ごとにドメインコントローラ接続の改善を試行する際にメッセージをコ

ンソールに送信するように、Data ONTAP を設定できます。

タスク概要

追跡機能は、コンソールおよびシステムログに頻繁にメッセージを送信するため、このオプ

ションは継続的に有効にしないでください。

ステップ


options cifs.trace_dc_connection {on | off}

デフォルは、off です。


UNIX の「実行」権限がない CIFS クライアントへの.dll および.exe ファイルの暗黙的な実行

権限の付与

cifs.grant_implicit_exe_perm オプションを on に設定すると、UNIX 実行可能ビットが設定さ

れていない CIFS クライアントに、.dll および.exe ファイルの実行を許可することができます。

ステップ


options cifs.grant_implicit_exe_perm on

結果

UNIX の「読み取り」権限のみが設定された実行可能ファイルを、CIFS クライアントから実

行した場合は、実行権限が黙示的に付与されます。


FTP を使用したファイルアクセス

Internet File Transfer Protocol (FTP) サーバを有効にして、Windows および UNIX FTP クライ

アントがストレージシステムのファイルへアクセスできるように設定できます。

FTP の管理

FTP を有効化または無効化する、構成する、およびそれに関連した統計を見ることで管理で

きます。


FTP サーバの有効化と無効化 TFTP サーバの有効化と無効化 FTP ファイルロッキングの有効化と無効化 FTP 認証形式の指定 FTP トラバースチェックのバイパスの有効化と無効化 FTP アクセスの制限 FTP ログファイルの管理 FTP サーバで生成された SNMP トラップの表示 FTP の統計の表示 FTP の統計のリセット FTP 接続の最大数の指定 TFTP 接続の最大数の指定 FTP 接続しきい値の設定 FTP 処理用の TCP ウィンドウサイズの指定 FTP アイドルタイムアウト値の指定匿名 FTP アクセスの管理

FTPサーバの有効化と無効化

FTP サーバを有効にするには、ftpd.enable オプションを on に設定します。FTP サーバを無

効にするには、ftpd.enable オプションを off に設定します。デフォルトでは、このオプション

は off になっています。

手順


目的操作

FTP サーバを有効にする場合

次のコマンドを入力します: options ftpd.enable on FTP サーバは標準 FTP ポート 21 で FTP 要求のリスニングを開始します。

FTP サーバを無効にする場合

次のコマンドを入力します。 options ftpd.enable off


TFTPサーバの有効化と無効化

tftpd.enable オプションを変更して TFTP サーバを有効化または無効化できます。

手順

1. 次のアクションの 1 つを実行します:

目的操作

TFTP サーバを有効にする場合

次のコマンドを入力します。 options tftpd.enable on tftpd.enable オプションはオンで TFTP サーバは標準の FTP ポート 69 で

TFTP 要求のリスニングを開始します。

TFTP サーバを無効にする場合

つぎのコマンドを入力します。 options tftpd.enable off

このオプションはデフォルトで off です。

FTPファイルロッキングの有効化と無効化

FTP サーバが転送中にファイルの変更を防止するために、FTP ファイルロッキングを有効化

できます。そうでなければ、ファイルロッキングを無効にできます。デフォルトではファイル

ロッキングは無効化されています。

手順

1. 次のアクションのうち 1 つを実行します。

目的操作.

削除と名前変更を有効化する

場合次のコマンドを入力します。 options ftpd.locking delete

削除、名前変更、書き込みを有

効化する場合次のコマンドを入力します。 options ftpd.locking write

無効化次のコマンを入力します。 options ftpd.locking none

FTP認証形式の指定

UNIX、Windows、また両方の認証スタイルを構成するには、ftpd.auth_style オプションを unix, ntlm, or mixed へそれぞれ設定できます。デフォルトでは、このオプションは mixed に

なっています。

タスク概要

UNIX の認証形式を指定すると、FTP サーバは /etc/ passwd ファイルまたは Network Information Service (NIS) サーバを使ってユーザを認証します。


NTLM 認証形式を指定するとき、FTP サーバは Windows ドメインコントローラーを使用して

ユーザを認証します。NTLM の認証形式は UNIX の認証スタイルよりも安全です、なぜならば

暗号化されたユーザ名とパスワードを使うからです。

mixed の認証形式を指定すると、FTP サーバは UNIX の認証スタイルをバックスラッシュ(\)文字を含む名前のユーザへ使用し、NTLM 認証スタイルを他の全てのユーザへ使用します。

手順


options ftpd.auth_style style

style は unix, ntlm, または mixed です。

2. 手順 1 で ntlm を指定したら、/etc/cifs_homedir.cfg ファイルの中で CIFS のホームディレ

クトリを指定して次のコマンドを入力します。

cifs homedir load

ユーザのホームディレクトリは、/etc/cifs_homedir.cfg で指定されたパスとそのユーザの

ユーザ ID を組み合わせたものです。/etc/cifs_homedir.cfg で指定されたパスでは大文字と

小文字が区別されますが、ユーザ ID では区別されません。

例

たとえば、パスが\home でユーザ名が JOHN の場合、ユーザのホームディレクトリは

\home\john になります。

終了後

ftpd.auth_style オプションが unix に設定されていて、NIS が有効になっている（nis.enable オプションが on になっている）場合は、/etc/nsswitch ファイルに適切な passwd エントリを追

加する必要があります。

• /etc/passwdファイルのみを使っているユーザを認証するには、次のエントリを追加しま

す。

passwd: files

• NIS のみを使っているユーザを認証するには、次のエントリを追加します。

passwd: nis

• /etc/nsswitch ファイルと NIS の両方を使用してユーザを認証するには、次のエントリを追

加します。

passwd: files nis

NTLM認証形式の制限

NTLM 認証形式にはいくつか制限があります。


これらの制限には次のものが含まれます:

• NTLMv2 は、ストレージシステムに存在しないドメインコントローラベースのサービス

に依存します。そのため、ワークグループモードで動作するストレージシステムへの接

続に使用できるのは NTLMv1 およびそれ以前のバージョンのみとなります。 • NTLM 認証を使用するワークグループストレージシステムの Windows クライアントでは、

「LAN マネージャ認証レベル」を「NTLMv2 のみ」以外のレベルに設定する必要がありま

す。このオプションを設定すると、「LMCompatibilitylevel」のレジストリ値が 0、1、ま

たは 2 に変更されます。これは、ワークグループ環境のストレージシステムでサポート

される唯一の NTLM 設定です。 • Active Directory 環境のドメインベースのクライアントは、（要求がストレージシステム

からドメインコントローラへ渡されるため）NTLMv2 を使用して認証することができま

すが、ドメインコントローラはローカルストレージシステムアカウントの接続情報を使

用することができません。このため、ローカルストレージシステムアカウントは、この

ような環境でストレージシステムに接続しようとしても認証に失敗します。

FTP トラバースチェックのバイパスの有効化と無効化

FTP トラバースチェックのバイパスを有効または無効にするには、

ftpd.bypass_traverse_checking オプションをそれぞれ on または off に設定します。デフォル

トでは、このオプションは off になっています。

タスク概要

ftpd.bypass_traverse_checking option が off になっている場合に、ユーザが FTP プロトコル

を使用してファイルにアクセスしようとすると、このファイルのパスに含まれるすべてのディ

レクトリに対してトラバース（実行）権限があるかチェックされます。いずれかの中間ディレ

クトリに「X」（トラバース権限）がない場合は、このファイルへのアクセスが拒否されます。

ftpd.bypass_traverse_checking オプションが on になっている場合に、ユーザがファイルにア

クセスしようとすると、中間ディレクトリのトラバース権限がチェックされないで、ファイル

へのアクセスの可否が判別されます。

手順

1. 次のいずれかを実行します。

FTP トラバースチェックのバイパスの設定操作

有効にする場合次のコマンドを入力します。 options ftpd.bypass_traverse_checking on

無効にする場合

次のコマンドを入力します。 options ftpd.bypass_traverse_checking off

FTPアクセスの制限

FTP アクセスを制限するには、FTP アクセスを有効または無効にしたり、ユーザのホームディレクトリおよびユーザ名を指定したりします。



特定の FTP ユーザのブロック FTP ユーザのアクセス先を特定のディレクトリに限定 FTP ユーザのアクセス先をホームディレクトリまたはデフォルトディレクトリに限定

特定のFTPユーザのブロック

特定の FTP ユーザに対してストレージシステムへアクセスを禁止するには/etc/ftpusers ファ

イルに該当するユーザを追加します。

手順

1. NFS または CIFS クライアントからストレージシステムのデフォルトボリューム（デフォ

ルトでは/vol/vol0）にある /etc ディレクトリへアクセスします。

2. /etc/ftpusers ファイルをテキストエディターで開きます（もしファイルが存在しなければ

新規に作ります）。

3. アクセスを拒否するユーザのユーザ名（1 行に 1 つ）を追加します。

NTLM 認証の場合は、次のいずれかの形式でユーザ名を指定してください:

• Domain\username • Username@domain

メモ：上記のフォーマットで、正確なドメイン名を指定してください。;正確でなければ、

FTP サーバはユーザへアクセスを拒否できません。たとえば、ドメインの名に".com"というサフィックスが含まれている場合は、このサフィックスを名前に含めてください。

4. /etc/ftpusers ファイルを保存します。

FTPユーザのアクセス先を特定のディレクトリに限定

FTP ユーザを指定のディレクトリへ制限するには、ftpd.dir.restriction オプションを on に設定

できます; そうしないのであれば、FTP ユーザがシステム全体に渡ってアクセスを許される

ように、ftpd.dir.restriction オプションは OFF に設定できます。デフォルトではこのオプショ

ンは ON です。

手順

1. 次の 1 つのアクションを実行してください。

目的操作

FTP ユーザのアクセス先をホームディレクトリま

たはデフォルトディレクトリに限定する場合次のコマンドを入力します。 options ftpd.dir.restriction on

FTP ユーザがストレージシステム全体にアクセ

スできるようにする場合次のコマンドを入力します。 options ftpd.dir.restriction off

ftpd.dir.restriction オプションが on に設定されている場合に、ftpd.dir.override オプションを使


用すると、FTP ユーザがアクセスできるディレクトリをホームディレクトリまたはデフォル

トディレクトリの中から指定できます。

FTPユーザのアクセス先をホームディレクトリまたはデフォルトディレクトリに限定

FTP ユーザをデフォルトディレクトリに限定するには ftpd.dir.override オプションを設定する

ことができます。FTP ユーザをホームディレクトリに限定するために ftpd.dir.override オプシ

ョンをクリアします。デフォルトでは、このオプションはクリアされています。

ftpd.dir.override オプションを設定する前に ftpd.dir.restriction オプションを on に設定する必要

があります。

手順


目的操作

FTP ユーザのアクセス先をホームディレクトリに

限定する場合次のコマンドを入力します。 options ftpd.dir.override ""

FTP ユーザのアクセス先をデフォルトディレクトリ

に限定する場合次のコマンドを入力します。 options ftpd.dir.override directory directory は FTPユーザを制限したい先のデフォルトディレクトリの

名です。

FTP ユーザが手順 1 で作成されたディレクトリへの読み取りアクセスがあることを確認します。

詳細は Data ONTAP Storage Management Guide を参照してください。

FTPログファイルの管理

FTP ログファイルを管理するには、FTP ログファイルを表示して、FTP ログファイルの最

大数や、現在の FTP ログファイルの最大サイズを指定します。


FTP サーバでのログファイルの管理方法 /etc/log/ftp.xfer ログファイルの形式 /etc/log/ftp.cmd ログファイルの形式 FTP ログファイルの表示 FTP ログファイルの最大数の指定 FTP サーバでのログファイルの管理方法

FTPサーバでのログファイルの管理方法

Data ONTAP では、すべての FTP サーバ要求が/etc/log/ftp.cmd ファイルに記録され、すべて

のファイル転送が/etc/log/ftp.xfer ファイルに記録されます。

データは FTP ログファイル（/etc/log/ftp.cmd または/etc/log/ftp.xfer ファイル）に書き込まれ、

FTP ログファイルが最大サイズに達すると、Data ONTAP で次のタスクが実行されます。

1. FTP ログファイルの総数が FTP ログファイルの最大数と等しい場合は、最も古い FTP


ログファイルが削除されます。

2. 古い FTP ログファイルのサフィックスが増加します。

3. 現在の FTP ログファイルには.1 というサフィックスが追加されて、古い FTP ログファ

イルになります。

4. 新しい FTP ログファイルが作成されます。

例ログファイルの最大数が 6 の場合に、/etc/log/ftp.xfer ログファイルが最大サイズに達すると、次のタスクが実行されます。 1. /etc/log/ftp.xfer.5 ファイルが存在する場合は、削除されます。

2. /etc/log/ftp.xfer.4 ファイルの名前が /etc/log/ftp.xfer.5 に、 /etc/log/ftp.xfer.3 ファイルの名前が

/etc/log/ftp.xfer.4 に変更されます（以下同様）。

3. etc/log/ftp.xfer ファイルの名前が/etc/log/ftp.xfer.1 に変更されます。

4. 新しい/etc/log/ftp.xfer ログファイルが作成されます。

/etc/log/ftp.xferログファイルの形式

etc/log/ftp.xfer ファイルには、FTP サーバによって転送されるすべてのファイルの情報が格納

されます。

次の表に、/etc/log/ftp.xfer ファイルのフィールドの説明を示します。

フィールド解説

timestamp ログレコードのタイムスタンプ

xferTime ファイル転送の時間 (秒)

clientIP FTP クライアントの IP アドレス

XferCount 転送済みファイルのバイトカウント

filename 転送済みファイルのファイル名

xferType “a” (ascii), “e” (ebcdic), または “b” (バイナリ)が可能です。

xferDirection “o” (アウトバウンド) または r “i” (インバウンド)が可能です。

accessType “a” (匿名), “r” (実ユーザ), または “g” (ゲスト)が可能です。

/etc/log/ftp.cmdログファイルの形式

etc/log/ftp.cmd ファイルには、FTP サーバで受信されたすべてのコマンドの情報が格納されま

す。

次の表に、/etc/log/ftp.cmd ファイルのフィールドの説明を示します。



timestamp ログレコードのタイムスタンプ

serialNo FTP 接続のシリアル番号

command FTP コマンド

FTPログファイルの表示

FTP ログファイルを見るには、テキストエディターかビューアーで開きます。

FTP サーバは 2 つのログファイルを維持します。

• /etc/log/ftp.cmd ファイルには、FTP サーバで受信されたすべてのコマンドの情報が格納さ

れます。

• /etc/log/ftp.xfer ファイルには、FTP サーバによって転送されるすべてのファイルの情報が

格納されます。

手順

1. NFS または CIFS クライアントから、ストレージシステムのデフォルトボリューム（デ

フォルトは/vol/vol0）の/etc/log ディレクトリにアクセスします。

2. テキストエディタまたはビューアでログファイルを開きます

FTPログファイルの最大数の指定

ftpd.log.nfiles オプションを FTP ログファイルの最大数を指定するように設定できます。デフ

ォルトでは、FTP ログファイルの最大数は 6 です。

手順


opitions ftpd.log.nfiles n

n はログファイルの最大数です。くわしくは na_options(1) マニュアルページを参照して

ください。

現在のFTPログファイルの最大サイズの指定

現在の FTP ログファイル（/etc/log/ftp.cmd および/etc/log/ftp.xfer ログファイル）の最大サイ

ズを指定するには、ftpd.log.filesize オプションを設定します。デフォルトでは、現在の FTP ログファイルの最大サイズは 512 KB です。

手順


options ftpd.log.filesize filesize

filesize は、整数の値で、あとに K または k（KB）あるいは G または g（GB）が付加され

ます。詳細については na_options(1) マニュアルページを参照ください。


例以下のコマンドは現在の FTP ログファイルの最大サイズを 1 GB に設定するには、次のコマン

ドを入力します。 options ftpd.log.filesize 1G

FTPサーバで生成されたSNMPトラップの表示

FTP サーバで生成された SNMP トラップを見るには、ストレージシステムの SNMP を開始し

て構成でき、UNIX クライアントで SNMP トラップを表示します。


FTP サーバで生成された SNMP トラップストレージシステムでの SNMP の開始と設定 UNIX クライアントでの SNMP トラップの表示

FTPサーバで生成されたSNMPトラップ

FTP サーバでは SNMP トラップが生成されます。

以下のイベントが発生すると、FTP サーバで SNMP トラップが生成されます。:

• 同時接続数が ftpd.max_connections_threshold に達した場合

• 同時接続数が ftpd.max_connections のに達した場合

• エラーのためデーモン処理が停止した場合

SNMP の詳細については、 Data ONTAP 7-Mode Network Management Guide を参照してく

ださい。

ストレージシステムでのSNMPの開始と設定

ストレージシステムの SNMP を開始するには snmp コマンドを使用します。

手順


snmp init 1


snmp traphost add hostname

hostname は FTP サーバで生成された SNMP トラップを受信する UNIX クライアントのホ

スト名です。

手順 2 で指定した UNIX クライアント上で SNMP トラップを有効にする必要があります。


UNIXクライアントでのSNMPトラップの表示

UNIX クライアントで SNMP トラップを表示するには、snmptrapd -p コマンドを入力できま

す。

UNIX クライアントで SNMP トラップを表示する前に、ストレージシステムで SNMP を開始

および設定する必要があります。

手順


snmptrapd -P

FTPの統計の表示

FTP の統計を表示するには、ftp stat のコマンドを入力します。

手順


ftp stat -p native

このコマンドを使って SFTP-のみ, explicit-FTPS-のみ, implicit-FTPS-のみ,IPv4-のみ, また

は IPv6-のみの統計を表示することもできます。詳細は na_ftp(1) マニュアルページを参照

してください。

結果

ftp stat コマンドを使用すると、次の統計が表示されます。

• 現在の FTP 接続数

• 同時 FTP 接続の最大数

• FTP 統計がリセットされてからの FTP 接続の合計数

FTPの統計のリセット

FTP の統計をリセットするには、ftp stat -z コマンドを入力します。

手順


ftp stat -z

FTP接続の最大数の指定

FTP サーバが許可される FTP 接続の最大数を指定するには、ftpd.max_connections オプショ

ンを使用します。デフォルトでは、FTP 接続の最大数は 500 です。

手順



options ftpd.max_connections n

n は、FTP サーバが許可される FTP 接続の最大数です。

ftpd.max_connections を現在の FTP 接続数より少ない値に設定した場合、接続数が新し

い最大値未満になるまで、新規接続は FTP サーバによって拒否されます。既存の FTP 接

続は中断されません。

HA の構成で、ストレージシステムがテイクオーバモードになっている場合は、FTP 接続

の最大数は自動的に 2倍になります。

TFTP接続の最大数の指定

TFTP が許可する TFTP 接続の最大数を指定するには、tftpd.max_connections オプションを使

うことができます。TFTP 接続のデフォルト数は 8です。サポートされる接続の最大数は 32です。

手順


options tftpd.max_connections n

n は TFTP サーバが許可す TFTP 接続の最大数です。tftpd.max_connections オプションを

TFTP 接続の現在の数より少ない値に設定したら、TFTP サーバは数字が新しい最大数以

下へ落ちるまでは新しい接続を拒絶します。TFTP サーバは既存の TFTP 接続を中断させ

ません。

HA の構成できでは、TFTP 接続の最大数はストレージシステムが引き継ぎモードになっ

たら自動的に倍になります。

FTP接続しきい値の設定

FTP 接続数が FTP 接続の最大数にどの程度近づいた場合に、FTP サーバがシステムログに

エントリを追加し、（オプションとして）SNMP トラップを開始するのかを指定するには、

ftpd.max_connections_threshold オプションを設定します。デフォルトでは、このオプション

は 0（オフ）です。

手順


options ftpd.max_connections_threshold n

n は ftpd.max_connections の値に対する割合（0～99）です。

FTP処理用のTCPウィンドウサイズの指定

FTP 処理用の TCP ウィンドウサイズを指定するには、ftpd.tcp_window_size オプションを使

うことができます。デフォルトでは、FTP 操作のための TCP ウィンドウサイズは 28,960 で

す。

手順を始める前に


FTP 処理用の TCP ウィンドウサイズは、ネットワーク設定で必要な場合にだけ変更してくだ

さい。変更すると、FTP のパフォーマンスに大きな影響が及びます。

手順


options ftpd.tcp_window_size n

n は、FTP 処理用の TCP のウィンドウサイズです。

FTPアイドルタイムアウト値の指定

FTP アイドルタイムアウト値（FTP サーバによって終了されるまで、FTP 接続がアイドル状

態を継続できる期間）を指定するには、ftpd.idle_timeout オプションを設定します。デフォル

トでは、FTP アイドルタイムアウト値は 900 秒です。

手順


options ftpd.idle_timeout n s | m | h

n は新しいタイムアウト値です。文字 s、m、または h を付加して、n の単位をそれぞれ

秒、分、または時間に指定します。

匿名FTPアクセスの管理

匿名 FTP アクセスを管理するには、匿名 FTP アクセスを有効または無効にしたり、匿名ユー

ザのホームディレクトリおよびユーザ名を指定したりします。


匿名 FTP アクセスの有効化と無効化匿名 FTP ユーザのユーザ名の指定匿名 FTP ユーザのホームディレクトリの指定

匿名FTPアクセスの有効化と無効化

匿名 FTP アクセスを有効または無効にするには、ftpd.anonymous.enable オプションをそれぞ

れ on または off にそれぞれ設定します。デフォルトでは、このオプションは off になっていま

す。

手順


目的操作

匿名 FTP アクセスを有効にする場合

次のコマンドを入力します。 options ftpd.anonymous.enable on


目的操作

匿名 FTP アクセスを無効にする場合

次のコマンドを入力します。 options ftpd.anonymous.enable off

匿名 FTP アクセスを有効にする場合は、次のタスクを実行する必要があります。

• 匿名 FTP ユーザのユーザ名を指定します。

• 匿名 FTP ユーザのホームディレクトリを指定します。

匿名FTPユーザのユーザ名の指定

匿名 FTP ユーザのユーザ名を指定するには、 ftpd.anonymous.name オプションを設定できま

す。デフォルトでは、匿名 FTP ユーザのユーザ名は"anonymous."です。

FTP 認証形式が unix の場合、/etc/passwd ファイルで ftp ユーザに対してして指定されたユー

ザ名は無視され、このオプションで指定されたユーザ名が使用されます。

手順


options ftpd.anonymous.name username

username は匿名ユーザの名前です。

匿名FTPユーザのホームディレクトリの指定

匿名 FTP ユーザのホームディレクトリ（つまり匿名 FTP ユーザがアクセスする唯一のディレ

クトリ）を指定するには、 ftpd.anonymous.home_dir オプションを使用します。

FTP 認証形式が unix の場合、/etc/passwd ファイルで ftp ユーザに対して指定されたユーザ名

は無視され、このオプションで指定されたユーザ名が使用されます。

手順

1. 匿名 FTP ユーザのためにホームディレクトリを作成します。


options ftpd.anonymous.home_dir homedir

homedir は、匿名 FTP ユーザのホームディレクトリの名前です。

匿名 FTP ユーザが手順 1 で作ったディレクトリへ読み取りアクセス権があることを確かめて

ください。詳細は、 Data ONTAP 7-Mode Storage Management Manual を参照してください。

メモ： NTLM 認証形式の場合、FTP サーバによって認証された匿名の FTP ユーザには、

null ユーザと同じアクセス権が設定されます。


HTTP を使用したファイルアクセス

HTTP クライアント(Web ブラウザ）がストレージシステムのファイルにアクセスできるよう

にするには、Data ONTAP ビルドイン HyperText Transfer Protocol (HTTP) サーバを有効化し

て構成できます。または、サードパーティの HTTP サーバを購入してストレージシステムへ

接続します。


Data ONTA のビルドイン HTTP サーバの管理

サードパーティ製 HTTP サーバの購入とストレージシステムへの接続

Data ONTA のビルドイン HTTP サーバの管理

Data ONTAP ビルドイン HTTP サーバを管理するにはいくつかのタスクを実行します。


Data ONTAP のビルドイン HTTP サーバの有効化と無効化 HTTP トラバースチェックのバイパスの有効化と無効化 Data ONTAP のビルドイン HTTP サーバのルートディレクトリの指定 Data ONTAP のビルドイン HTTP サーバのログファイルの最大サイズの指定 Data ONTAP のビルドイン HTTP サーバのテスト Data ONTAP のビルドイン HTTP サーバでの MIME コンテンツタイプとファイル名拡張子のマッピ

ング方法の指定 Data ONTAP のビルドイン HTTP サーバでの HTTP 要求の変換方法の指定 MIME コンテンツタイプの値の設定 Data ONTAP のビルドイン HTTP サーバのセキュリティーの維持 Data ONTAP ビルドイン HTTP サーバの統計の表示 Data ONTAP のビルドイン HTTP サーバの統計のリセット Data ONTAP のビルドイン HTTP サーバの接続情報の表示

Data ONTAPのビルドインHTTPサーバの有効化と無効化

Data ONTAP のビルドイン HTTP サーバを有効または無効にするには、httpd.enable オプショ

ンを on または off に設定できます。デフォルトでは、このオプションは off です。

手順

1. 次のアクションの 1 つを実行します。

HTTP の設定操作


次のコマンドを入力します: options httpd.enable on

無効にする場合次のコマンドを入力します:

HTTP の設定操作

options httpd.enable off

実行後の作業

HTTP のライセンスを購入したユーザは、Web ブラウザから HTTP サーバのルートディレク

トリの全てのファイルへアクセスできます。;HTTP ライセンスを購入していないユーザは、

Web ブラウザからマニュアルページと FilerView のみにアクセスできます。

HTTPトラバースチェックのバイパスの有効化と無効化

httpd.bypass_traverse_checking オプションをそれぞれ on または off に設定することで HTTPトラバースチェックのバイパスを有効化または無効化できます。デフォルトではこのオプショ

ンは off に設定されています。

タスク概要

httpd.bypass_traverse_checking option が off になっている場合に、ユーザが HTTP プロトコ

ルを使用してファイルにアクセスしようとすると、このファイルのパスに含まれるすべてのデ

ィレクトリに対してトラバース（実行）権限があるかチェックされます。いずれかの中間ディ

レクトリに「X」（トラバース権限）がない場合は、このファイルへのアクセスが拒否されま

す。http.bypass_traverse_checking オプションが on になっている場合に、ユーザがファイル

にアクセスしようとすると、中間ディレクトリのトラバース権限がチェックされないで、ファ

イルへのアクセスの可否が判別されます。

手順


HTTP トラバースチェックのバイパス設定操作


次のコマンドを入力します。 options httpd.bypass_traverse_checking on


次のコマンドを入力します。 options httpd.bypass_traverse_checking off

Data ONTAPのビルドインHTTPサーバのルートディレクトリの指定

Data ONTAP のビルトイン HTTP サーバのルートディレクトリ（HTTP クライアントからア

クセスできるすべてのファイルが格納されたディレクトリ）を指定するには、httpd.rootdir オプションを設定します。

手順


options httpd.rootdir directory


directory は HTTP サーバのルートディレクトリへの完全パスです。

例 HTTP サーバのルートディレクトリを/vol0/home/users/pages に設定するには、次のコマンドを

入力します。 options httpd.rootdir /vol0/home/users/pages

Data ONTAPのビルドインHTTPサーバのログファイルの最大サイズの指定

Data ONTAP のビルトイン HTTP サーバのログファイル（/etc/log/httpd.log）の最大サイズを

指定するには、httpd.log.max_file_size オプションを設定します。このオプションは ftp.cmd, ftp.xfer, and httpd.log ファイルを含めた/etc/lofiles ディレクトリの HTTP と FTP ログインファ

イルの最大のログファイルサイズを指定します。デフォルトではこのオプションは 512 キロ

バイトです。

手順


options ftpd.log.filesize bytes

bytes は HTTP サーバのログファイルの最大サイズです。

Data ONTAPのビルドインHTTPサーバのテスト

Data ONTAP のビルトイン HTTP サーバが機能しているか確認するには、HTTP サーバのル

ートディレクトリに HTML ファイルをコピーして、そのファイルに Web ブラウザからアク

セスします。Web ブラウザから HTTP サーバのルートディレクトリ（または HTTP サーバの

ルートディレクトリのサブディレクトリ）に直接アクセスすることもできます。

手順

1. HTTP サーバのルートディレクトリに HTML ファイルをコピーします。

2. 別のストレージシステムで動作している Web ブラウザから、HTTP サーバのルートディ

レクトリにコピーされたファイルにアクセスします。.

URL は、 http://www.hostname.com/myfile.html です。hostname は、ストレージシス

テムのホスト名、myfile.html は HTTP サーバのルートディレクトリへコピーしたファイル

の名前です。ファイルの内容が表示されます。

3. 別のクライアントで動作している実行されている Web ブラウザーから直接 HTTP サーバ

のルートディレクトリ（または HTTP サーバのルートディレクトリのサブディレクトリ）

へアクセスします。

URL http://www.hostname.com です。hostname は、ストレージシステムのホスト名で

す。HTTP サーバは指定されたディレクトリ内の以下のファイルを次の順番で検索しま

す。:

a. index.html

b. default.htm

c. index.htm

d. default.html

どのファイルも存在しない場合は、ストレージシステムはそのディレクトリの一覧を自動

的に HTML 形式で生成するか（httpd.autoindex.enable オプションが on の場合）、また

はエラーコード「403」（禁止）を返します（httpd.autoindex.enable オプションが off の場合）。httpd.autoindex.enable オプションの詳細については、na_options(1)のマニュア


Data ONTAPのビルドインHTTPサーバでのMIMEコンテンツタイプとファイル名拡張子のマッピング方法

の指定

Data ONTAP のビルトイン HTTP サーバでの Multipurpose Internet Mail Extensions（MIME）コンテンツタイプとファイル名拡張子のマッピング方法を指定するには、

/etc/httpd.mimetypes ファイルを作成または編集します。/etc/httpd.mimetypes ファイルが見つ

からない場合、HTTP サーバでは/etc/httpd.mimetypes.sample ファイル内のマッピングが使用

されます。詳細については、na_httpd.mimetypes(5)のマニュアルページを参照してください。

タスク概要

Web ブラウザでは、MIME コンテンツタイプに従ってファイルを解釈します。たとえば、フ

ァイルの MIME コンテンツタイプがイメージタイプの場合、Web ブラウザは画像プログラ

ムを使用して、ファイルをイメージとしてレンダリングします。

メモ： MIME について詳しくは RFC 1521 を参照してください。

手順

1. /etc/httpd.mimetypes ファイルのエントリ形式は次のとおりです。入力項目は次の形式で

す:

# An optional comment.

suffixContent-Type

suffix は、MIME コンテンツタイプをマッピングするファイル名の拡張子です。

Content-Type は、MIME コンテンツタイプです。MIME コンテンツタイプの値の最初のフ

ィールドは、ファイルに含まれている一般的なデータのタイプについて記述しており、2 番目のフィールドはデータのサブタイプについて記述しています。このデータのサブタイ

プは、データが保存される特定の形式を示しています。

ポンド記号（#）のあとのテキストは、コメントです。ファイル名のサフィックスでは大

文字と小文字は区別されません。

例 /image/pict MIME コンテンツタイプとファイル名拡張子が.pct および.pict であるファイルをマッ

ピングするには、/etc/httpd.mimetypes ファイルに次のエントリを追加します。 # My clients’ browsers can now use # PICT graphics files.


pct image/pict pict image/pict

このエントリが適切に設定されている場合は、Web ブラウザによって画像プログラムがヘルパ

ーアプリケーションとして開始され、.pct および.pict ファイルを画像ファイルとして表示できるよ


Data ONTAPのビルドインHTTPサーバでのHTTP要求の変換方法の指定

Data ONTAP のビルトイン HTTP サーバでの HTTP 要求への応答方法を指定するには、

/etc/httpd.translations 構成ファイルに map、redirect、pass、または fail 変換ルールを追加し

ます。


Data ONTAP のビルドイン HTTP サーバでの交換ファイルの動作マッピングルールの追加リダイレクトルールの追加許可ルールの追加拒否ルールの追加

Data ONTAPのビルドインHTTPサーバでの交換ファイルの動作

Data ONTAP ビルドイン HTTP サーバでは、/etc/httpd.translations のファイルに記述されたル

ールが、記述されている順序で処理され、URL がテンプレートと一致した場合にそのルール

が適用されます。最初に一致したあとは、HTTP サーバは残りのルールの処理は中止されます。

/etc/httpd.translations ファイルに追加されたマップ、リダイレクト、およびパスルールの

template および result フィールドでは、ワイルドカード文字としてアスタリスク（*）を使用

できます。

template フィールド内のワイルドカード文字は、スラッシュ（/）を含むゼロ文字以上の文字

と一致します。

result フィールド内のワイルドカード文字は、template フィールドの一致部分から展開された

文字列を表します。ワイルドカードを template フィールドで使用している場合のみ、resultフィールドにワイルドカード文字を使用できます。

複数のワイルドカード文字を使用する場合の対応は、result フィールド内の最初のワイルドカ

ードが template フィールド内の最初のワイルドカード、result フィールド内の 2 番目のワイ

ルドカードが template フィールド内の 2 番目のワイルドカード、となります。

星印(*)をテンプレートの中でのワイルドカードとして使い、マップの結果の欄、転送とパス

する規則を /etc/httpd.translations へ追加します。

マッピングルールの追加

HTTP サーバが URL を別の場所にマッピングするように指定するには、/etc/httpd.translations

ファイルにマッピングルールを追加します。

手順

1. /etc/httpd.translations ファイルをテキストエディターで開きます。

2. 以下のエントリを追加します。

map template result

template は別の場所にマッピングする URL のコンポーネントです（/image-bin/graphics/

など）。result は、新しい場所です。


例 /image-bin コンポーネントを含む URL を/usr/local/http/images ディレクトリにマッピングするに

は、/etc/httpd.translations ファイルに次のマッピングルールを追加します。 map /image-bin/* /usr/local/http/images/*

リダイレクトルールの追加

リダイレクトルールを /etc/httpd.translations ファイルへ追加して HTTP サーバが特定のコン

ポーネントを含む URL を新しい場所にリダイレクトします。

手順

1. /etc/httpd.translations ファイルをテキストエディタで開きます。

2. 次の入力項目を追加します。

redirect template result

template はリダイレクトする URL のコンポーネント、result は新しい場所です。

メモ: リダイレクトルールの result フィールドは、http://およびホスト名で始まる完全な

URL で指定する必要があります。


例 Common Gateway Interface（CGI ）要求を HTTP サーバ cgi-host にリダイレクトするには、e /etc/httpd.translations ファイルに次のエントリを追加します。 redirect /cgi-bin/* http://cgi-host/*

許可ルールの追加

HTTP サーバが特定のルールをそのまま処理し、それ以外のルールを無視するように指定する

には、/etc/httpd.translations ファイルに許可エントリを追加します。

手順




pass template [result]

template は、URL のコンポーネントです。

result は、HTTP サーバが URL をリダイレクトするあて先(オプション)です。


例 /image-bin を含む URL に対する要求をそのまま処理するには、/etc/httpd.translations ファイ

ルに許可エントリを追加します。 pass /image-bin/*

拒否ルールの追加

HTTP サーバが特定のコンポーネントを含む URL へのアクセスを拒否するように指定するに

は、/etc/httpd.translations ファイルに拒否ルールを追加します。

手順



fail template

template は HTTP サーバがアクセスを拒否する URL のコンポーネントです。


例 /usr/forbidden ディレクトリへのアクセスを拒否するには、/etc/httpd.translations ファイルに次

のエントリを追加します。 fail /usr/forbidden/*

MIMEコンテンツタイプの値の設定

クライアントから get 要求への応答があるたびに適切な MIME コンテンツタイプの値を送信するよう

にストレージシステムを設定するには、/etc/httpd.mimetypes ファイル内の情報に応じ

て、.gif、.html、.mpg などのファイル名のサフィックスをマッピングします。

タスク概要

ファイルの Multipurpose Internet Mail Extensions（MIME）コンテンツタイプの値によって、クライア

ント上のブラウザにファイルの解釈方法が通知されます。たとえば、MIME コンテンツタイプの値が

そのファイルが画像ファイルであることを示しているとき、クライアントが正しく設定されていれば、ブ

ラウザは画像プログラムを使用して画像をレンダリングできます。

MIME の詳細については、RFC 1521 を参照してください。

手順

1. /etc/httpd.mimetypes ファイルへの入力を編集します。

エントリは次の形式に従っています。

# An optional comment.

suffixContent-Type

#記号が先頭についている行はコメントです。ファイル名のサフィックスでは大文字と小

文字が区別されません。

例 # My clients’ browsers can now use # PICT graphics files. pct image/pict pict image/pict

サンプルのエントリでは、ファイル名が.pct または.pict で終わるファイルが、image/pict の MIME コンテンツタイプの値にマッピングされます。コンテンツタイプの値の最初のフィールドは、ファイル

に含まれている一般的なデータのタイプについて記述しており、2 番目のフィールドはデータのサ

ブタイプについて記述しています。このデータのサブタイプは、データが保存される特定の形式を

示しています。クライアント上のブラウザで画像プログラムをヘルパーアプリケーションとして開始

するように設定されている場合は、file.pict という名前のファイルがクライアント上で画像ファ

イルとして表示されます。

Data ONTAPのビルドインHTTPサーバのセキュリティーの維持

Data ONTAP のビルトインHTTP サーバのセキュリティを維持するには、HTTP オプションを使用し

てアクセスを制限し、HTTP 仮想ファイアウォールを使用し、ユーザ認証によってWeb ページを保護

し、HTTP TRACE メソッドのサポートを無効にします。


HTTP オプションを使用したアクセス制限 HTTP 仮想ファイアウォールの使用 Web のページの保護 HTTP 仮想ホスティングの設定

HTTPオプションを使用したアクセス制限

HTTP オプションでは、指定のホストからと指定のインターフェースからの HTTP サービスへのアクセ

スが制限されます。

次のオプションを使用して HTTP アクセスを制限できます。

• httpd.access—HTTP サービスへのアクセスを制限する。


• httpd.admin.access—HTTP（FilerView）経由でのストレージシステム管理へのアクセスを制限

する。

1 つ以上のホストであるいはネットワークのインターフェースでアクセスを制限する。詳しくは

options(1)マニュアルページを参照してください。

メモ：httpd.admin.access オプションが設定されていれば、 HTTP 管理については the trusted.hosts オプションは無視されます。

• httpd.method.trace.enable—HTTP TRACE メソッドのサポートを有効化または無効化します。

デフォルトでは、このオプションは Off です。HTTP TRACE 方式を使用すると、HTTP クライアン

トはデバッグ目的で要求チェーンの相手側が受信している内容を知ることができます。（詳細につ

いては RFC2616 を参照）。ただし、攻撃者が HTTP TRACE 方式とブラウザのクロスとメイン脆

弱性を利用して、サードパーティのドメインの重要なヘッダー情報を読み取る可能性があります。

詳しくは、http://www.cert.org/ にある United States Computer Emergency Readiness Team Vulnerability Notes Database の Vulnerability Note 867593 を参照してください。

• httpd.admin.top-page.authentication—重要な FilerView 管理 Web ページでユーザ認証を要

求するかどうかを指定します。デフォルトではこのオプションは on です。

例次の例では、ホスト Host1 のみがインターフェース e3 を経由してストレージシステム Filer1 上の

HTTPD サービスへのアクセスを許可されます: Filer1> options httpd.access host=Host1 AND if=e3

次の例ではホスト Host1 が、ストレージシステム Filer1 への FilerView アクセスを拒否されます。 Filer1> options httpd.admin.access host!=Host1

HTTP仮想ファイアウォールの使用

HTTP の仮想なファイアウォールは、HTTP 要求を受信するサブネットのインターフェースからの

HTTP アクセスを制限することによって、ストレージシステムへセキュリティーを実現します。

サブネットインターフェイスを信頼されないものとしてマークすることによって、HTTP アクセスを制限

します。信頼されないサブネットインターフェイスでは、ストレージシステムへの読み取り専用の

HTTP アクセスのみ行うことができます。デフォルトでは、サブネットインターフェイスは信頼されてい

ます。

次のすべての条件が当てはまる場合は、サブネットインターフェイスを信頼されないものとしてマーク

します。

• HTTP 要求のために、そのインターフェースが提供される場合 • HTTP 以外のプロトコルによる要求を許可しない場合 • そのインターフェース経由でのストレージシステムへのアクセスを読み取り専用のアクセ

スに制限する場合

手順


ifconfig interface_name [trusted | untrusted]

interface_name は信頼性の有無を設定する特定のインターフェースです。

untrusted を使用すると HTTP アクセスが制限され、trusted を使用すると完全な HTTP アクセス

が許可されます。

例この例では、f0 のインターフェースが信頼されていないものとしてマークされます。 ifconfig f0 untrusted

Webのページの保護

HTTP アクセスを制限できることから、許可されていないユーザからのアクセスを制限することで

Web ページを保護できます。この方法では、指定したユーザまたはグループのみがその Web ペー

ジを含むディレクトリにアクセスできます。

Data ONTAP には、HTTP アクセスの認証を行う次の 2 つの方法があります。

• Basic • NTLM

使用する認証方法は、/etc/httpd.access ファイルで指定します。1 つのストレージシステム上に両方

の認証方法を存在させることもできますが、HTTP サブツリーの 1 つのディレクトリに指定できる認証

方法は 1 つだけです。


ベーシック認証 NTLM 認証 /etc/httpd.access ファイルの編集 httpd.passwd ファイルの作成と編集 httpd.group ファイルの作成と編集

ベーシック認証

HTTP サービスの認証を設定するには、/etc/httpd.access、/etc/httpd.passwd、および

/etc/httpd.group の 3 つの構成ファイルを使用します。

/etc/httpd.access ファイルには、認証方法、アクセスを制限するディレクトリ、これらのディレクトリへ

のアクセスが認証されているユーザおよびグループのリストが含まれています。

/etc/httpd.passwd ファイルには、/etc/httpd.access ファイルで指定されたユーザが

/etc/httpd.access ファイルで指定されたディレクトリへのアクセスを取得するために使用するパスワ

ードが、暗号化形式で含まれています。/etc/httpd.passwd ファイルの形式は、/etc/passwd ファイル

で使用される形式と同じです。

/etc/httpd.group ファイルには、/etc/httpd.access ファイルに指定されているディレクトリにアクセスす

ることを許可されたグループおよび各グループのメンバーのユーザ ID が含まれています。

/etc/httpd.group ファイルの形式は、/etc/group ファイルで使用される形式と同じです。


NTLM認証

ディレクトリについては、ベーシック認証の代わりに Windows ドメイン認証を使用できます。Data ONTAP では、ドメインコントローラ（DC）を使用して、Web ページを含むディレクトリへのユーザのア

クセスを認証します。

ドメインコントローラによるユーザ認証を行うディレクトリを、/etc/httpd.access ファイルで指定する必


NTLM 認証が設定されているディレクトリにアクセスするユーザは、ユーザ名を使用してドメインを指

定する必要があります。ドメインが指定されていない場合、ストレージシステムのドメインがデフォルト

としてみなされます。ユーザは次の 2 つの形式のいずれかでドメインを指定できます。

• user_name@domain_name • domain_name\user_name

メモ：HTTP アクセスのために NTLM 認証を使用するには、ストレージシステムで CIFSが実行されている必要があります。

/etc/http.passwd ファイルと/etc/http.group ファイルで情報を管理する必要がないため、ユーザ管理

を一元化できます。また、ブラウザとして Internet Explorer（IE）を使用する場合は、ユーザ名および

パスワードが平文で送信されないため、NTLM 認証はより安全なユーザ認証方法となります。

メモ：Netscape browser 系はユーザ名とパスワードを平文で送信するため、NTLM に対し

セキュリティー上の利点がありません。

/etc/httpd.accessファイルの編集

/etc/httpd.access ファイルには、各ディレクトリへのアクセスおよびディレクトリの見かけを制御するオ

プションが含まれています。

ストレージシステムでは、次のオプションがサポートされています。

Directory---保護するディレクトリを指定します。ディレクトリオプションには他のすべて

のオプションが含まれます。 • AuthName—ユーザがディレクトリにアクセスしようとする場合に、ブラウザのパスワー

ドダイアログボックス内でディレクトリ名の代わりに表示されるディレクトリのエイリ

アスを指定します。 • require user—ディレクトリにアクセスできるユーザを指定します。 • require group—ディレクトリにアクセスできるグループを指定します。

メモ: オプション require user および require group は、ベーシック認証の場合のみ必要です。

/etc/httpd.access ファイル内の各ディレクトリのオプション情報は、次の形式で指定します。

<Directory directory>

option ...

</Directory>

directory は、許可されたアクセスを可能にする特定のディレクトリツリー名です。

手順

1. /etc/httpd.access ファイルを開いて編集します。

2. 次の行で保護するディレクトリツリーを指定します:

<Directory directory>

directory は保護するディレクトリツリーです。

3. /etc/httpd.passwd および /etc/httpd.group ファイルを使用してベーシック認証を設定して

いる場合は、次の行でディレクトリのエイリアスを指定します。

AuthName title_phrase

title_phrase は、そのディレクトリにアクセスしようとした場合に、ブラウザのパスワードダイアロ

グボックス内にディレクトリ名の代わりに表示される、ユーザ指定の任意の文字列です。この名

前にはスペースを含めることができます。例：

AuthName Secured Area

4. NTLM 認証を設定している場合は、正確に次のように指定します。

AuthName Windows(tm) Authentication

5. 次の行で、ディレクトリにアクセスできるユーザを指定します。

require user user_id[, user_id, ...]

user_id はディレクトリにアクセスできる各ユーザのユーザ ID です。

6. 次の行で、ディレクトリへアクセスできるグループ指定します。

require group group_id[, group_id, ...

group_id は、ディレクトリへアクセスできる各グループの特定のグループ ID です。

7. 次の行を入力して、そのディレクトリのオプションまたはオプションの一覧を終了します。

</Directory>


例次の例では、/etc/httpd.access ファイル内の複数の Directory オプションを使用して、ベーシック認証または

NTLM 認証のいずれかをストレージシステム上で指定する方法を示します。 <Directory /vol/vol0/web1> AuthName Windows(tm) Authentication </Directory> <Directory /vol/vol0/web2> AuthName Web2 directory require user test1 require group testg1 </Directory> <Directory /vol/vol0/web3> AuthName Windows(tm) Authentication </Directory> <Directory /vol/vol0/web4> AuthName Web4 directory


require user test2 </Directory> この例では、web1 および web3 で NTLM 認証を使用し、web2 および web4 でベーシック認証を使用していま

す。web2 へのアクセスは、ユーザ test1 およびグループ testg1 のメンバーに限定され、web4 へのアクセスはユ

ーザ test2 に限定されます。

httpd.passwdファイルの作成と編集

/etc/httpd.passwd ファイルには、/etc/httpd.access ファイルに記述されているユーザの暗号化され

たパスワードが含まれています。このファイルは、ベーシック認証を使用してユーザを認証する場合に

のみ必要です。

ユーザ認証にユーザ名およびパスワードを使用する HTTP サーバがある場合は、そこからユーザ

ID および暗号化されたパスワードをコピーします。/etc/httpd.passwd ファイルを編集して、アクセス

を許可しないユーザを削除する必要があります。

HTTP サーバが使用できない場合は、UNIX サーバから既存の/etc/passwd ファイルをコピーし、

/etc/httpd.passwd ファイルとしてストレージシステムに保存します。

手順

1. /etc/httpd.passwd ファイルを開きます。

2. /etc/httpd.access ファイルに指定されている、ディレクトリへのアクセスを許可しないユ

ーザの ID および暗号化されたパスワードを削除します。

3. 編集内容を保存します。

httpd.groupファイルの作成と編集

/etc/httpd.group ファイルには、グループ名、およびこれらのグループに属しているユーザ名が含ま

れています。このファイルは、ベーシック認証を使用してユーザを認証する場合にのみ必要です。

ユーザのグループを認証する HTTP サーバがある場合は、グループ名およびユーザ ID をその

HTTP サーバからコピーします。/etc/httpd.group ファイルを編集して、アクセスを許可しないグルー

プを削除する必要があります。

HTTP サーバが使用できない場合は、UNIX サーバから既存の/etc/group ファイルをコピーし、 /etc/httpd.group ファイルとしてストレージシステムに保存します。

手順

1. /etc/httpd.group ファイルで, 次の行を編集します。

group_id:user_id [, user_id, ...]

同様の一覧を持っているサーバから一覧がコピーされます。

2. グループまたはユーザを、追加または削除します。グループとユーザの情報の一覧が、次

の形式で表示されます。

group_id: user_id[user_id ...]

group_id はグループ名、user_id はグループに属している各ユーザの名前です。


HTTP仮想ホスティングの設定

Data ONTAP 7.3 以降のリリース版では、物理インターフェースへエイリアス IP アドレスを加えること

で HTTP 仮想ホスティングを設定できます。 Data ONTAP はこの目的のために vh インターフェース

は使いません。

手順

1. 次のコマンドを入力して HTTP を有効にします。

options httpd.enable on

2. 次のコマンドを入力することで、HTTP 仮想ホスティングに使う予定の物理インターフェ

ースへ 1 つ以上のエイリアス IP アドレスを追加します。

ifconfig physical_interface_name [IP_address_family] alias IP_address

例

192.225.37.102 のエイリアス IP アドレス ( IPv6 アドレス)を e0a 物理インターフェースへ

加えるには次のコマンドを入力します:

ifconfig e0a alias 192.225.37.102

詳しくは、na_ifconfig(1)マニュアルページを参照。

3. 手順 2 で指定したエイリアス IP アドレスを HTTP ルートディレクトリの 1 つ以上のサブ

ディレクトリへマップする/etc/httpd.hostprefixes ファイルへ入力を追加します。

HTTP のルートディレクトリを決めるためには、httpd.rootdir オプションの値を調べます。

例

fd20:81be:b255:4136::a48:8a5f のエイリアス IP アドレスをサブディレクトリ /httpdir1 へ

マップするには、次の入力を /etc/httpd.hostprefixes ファイルへ加えます。

/httpdir1 192.225.37.102

4. 手順 2 と手順 3でそれぞれ作ってマップしたエイリアス IP アドレスへ接続するために

HTTP クライアントを使うことで HTTP 仮想ホスティングを試します。

Data ONTAPビルドインHTTPサーバの統計の表示

httpstat コマンドを使用すると、Data ONTAP ビルドイン HTTP サーバの動作について 5 種類の統

計を表示できます。

タスク概要

5 種類の統計は、次のとおりです。

• 要求


• 詳細 • エラー • サービス • タイムアウト

手順


httpstat [-dersta]

- d -- 詳細統計値の表示

- e -- エラー統計値の表示

- r -- 要求統計の表示

- s -- サービス統計の表示

- t -- タイムアウト統計の表示

- a – すべての HTTP の統計の表示

引数を使用しない場合は、httpstat によって HTTP 要求統計が表示されます。

httpstat コマンドの詳細については、httpstat(1)のマニュアルページを参照してください。


要求統計

詳細統計

エラー統計

サービス統計

タイムアウト統計

要求統計

要求の統計値を指定すると、次の統計が表示されます。

統計値のラベル説明

Accept ストレージシステムによって許可された新しい接続の数

Reuse 既存の接続で受信された新しい要求の数

Response 送信された返答の数

InBytes すべての受信要求で受信されたバイト数

OutBytes 送信されたバイト数のうち、すべてのHTTP ヘッダーを含み、サーブレットによって生成されたデ

ータを含まないバイト数

詳細統計

詳細統計を指定すると、次の統計が表示されます。


Get 受信されたファイルへの要求数

Head 受信されたファイル情報の要求数

Redirect 別のファイルへリダイレクトされた要求の数

NotMod 要求されたファイルが変更されていないことがクライアント（ブラウザ）に通知された回数

Post 受信された POST 要求の数

Put 受信された PUT 要求の数

Servlet 受信されたサーブレット要求の数

エラー統計

エラー統計を指定すると、次の統計が表示されます。


Errors 返された HTTPプロトコルのエラー返答の数

BadReq 受信された認識されない要求の数

LogDiscard ログがいっぱいになったために破棄されたログエントリの数

UnAuth 許可情報の不足のために拒否された要求の数

RcvErr 入力ソケット上のエラーにより中止された要求の数

サービス統計

サービス統計を指定すると、次の統計が表示されます。


Open 現在開かれている接続数

Peak これまでに成功した最大の接続数

Waits 許可されたが、接続処理を待機している現在の接続数

タイムアウト統計

タイムアウト統計を指定すると、次の統計が表示されます。


Pending

ネットワーク接続の開始後、ストレージシステムにデータが送信される前に再要求された接続処理の数



Active

ネットワーク接続が開始され、要求の一部が送信されたあと、完全な要求を受信

する前に再要求された接続処理の数

Idle

完全な要求が受信されたあと、開いている接続が別の要求を受信できるようにな

る前に再要求された接続の数

Data ONTAPのビルドインHTTPサーバの統計のリセット

Data ONTAP のビルトイン HTTP サーバの統計をリセットするには、httpstat -z コマンドを使用しま

す。

手順


httpstat -z[derta]

- zd -- 詳細統計の表示

- ze -- エラー統計の表示

- zr -- 要求統計の表示

- zt -- タイムアウト統計の表示

- za -- サービスの統計を除くすべての HTTP 統計の表示

メモ：サービス統計はリセットできません。

httpstat コマンドの詳細は httpstat(1) マニュアルページを参照してください。

Data ONTAPのビルドインHTTPサーバの接続情報の表示

Data ONTAP のビルトイン HTTP サーバによって確立された接続ごとに、/etc/log/httpd.log ファイルに格納されたさまざまな種類の情報を表示することができます。

手順

1. MFS または CIFS クライアントから、ストレージシステムのデフォルトボリューム（デ

フォルトでは/vol/vol0)の/etc/log ディレクトリへアクセスします。

2. テキストビューアまたはテキストエディタを使用して、httpd.log ファイルを開いて表示

します。

3. ログファイルを閉じて表示を終了します。

結果

Data ONTAP は次のタイプの情報を表示します:

• HTTP クライアントの IP アドレス

• 要求を行う許可ユーザの名前。ページが保護されていれば Data ONTAP は /etc/httpd.passwd ファイルから取得した許可された名前の一覧が示されます。ページが保

護されていない場合は、名前の代わりにダッシュ記号が示されます。 • 接続の時間--- dd/mm/yy:hh:mm:ss の形式の Greenwich Mean Time（GMT) • 接続ホストからの要求行。たとえば、 get /my_company.html などです。 • サーバによって返されるステータスコード。HTTP1.0 仕様によって定義されています。 • ストレージシステムから返答で送信された合計バイト数。MIME ヘッダーは含まれません。

例 192.9.77.2 - - [26/Aug/2003:16:45:50] "GET /top.html" 200 1189 192.9.77.2 - - [26/Aug/2003:16:45:50] "GET /header.html" 200 531 192.7.15.6 - - [26/Aug/2003:16:45:51] "GET /logo.gif" 200 1763 198.9.200.2 - - [26/Aug/2003:16:45:57] "GET /task/top.html" 200 334 192.9.20.5 authuser [26/Aug/2003:16:45:57] "GET /task/head.html" 200 519

/etc/log/httpd.logファイル形式の変更

/etc/log/httpd.log ファイルのデフォルト形式は、アクセスされた HTTP クライアントの IP アドレスとア

クセスやＨＴＴＰパスを示しますが、アクセスされた仮想ホストは示しません。/etc/log/httpd.log ファイ

ルの形式を変更して、HTTP メッセージを仮想ホストごとに区別するには、httpd.log.format オプション

を設定します。

手順


options httpd.log.format alt1

ログ形式の設定を復元するには、このオプションを alt1 からデフォルト値 common へ変更します。

サードパーティ製 HTTP サーバの購入とストレージシステムへの接続

Data ONTAP のビルトイン HTTP サーバの制限を回避するには、サードパーティ製 HTTP サーバを

購入して、ストレージシステムに接続します。

タスク概要

Data ONTAP ビルドイン HTTP サーバは、次の制限があります。

• セキュア HTTP（HTTPS)をサポートしない • 複数の HTTP ルートディレクトリをサポートしない • スクリプトをサポートしない（HTTP がサポートしているのはファイル処理のみ） • 多数の小さなファイルに多数のファイル処理を行う場合、スケーラビリティおよびパフォ

ーマンスの問題が生じる

手順


1. サードパーティ製の HTTP サーバを購入します。

2. サードパーティ製の HTTP サーバを NFS プロトコルを使用してストレージシステムへ接

続します。

詳細については、サードパーティ製ＨＴＴＰサーバに付属のマニュアルを参照してください。


WebDAV を使用したファイルアクセス

Web-based Distributed Authoring and Versioning（WebDAV）との相互接続が可能なコラボレーテ

ィブアプリケーションをユーザが使用できるようにするには、WebDAV プロトコルを既存の HTTP サービスに追加します。または、サードパーティ製 WebDAV サーバを購入して、ストレージシステムに

接続します。

メモ: HTTP 用のライセンスを購入している場合のみ、ストレージシステムの WebDAV プロ

トコルを拡張 HTTP として使用できます。Data ONTAP の将来のバージョンでは、WebDAV を HTTP とともに使用するには WebDAV ライセンスキーの使用が必要になる場合がありま

す。


WebDAV の概要 Data ONTAP ビルドイン WebDAV サーバの管理サードパーティ製 WebDAV サーバの購入とストレージストレージシステムへの接続

WebDAV の概要

WebDAV プロトコルは、ユーザのニーズをサポートしながら、分散 Web オーサリングツールの広範

な相互運用を可能にする HTTP 拡張を定義します。WebDAV を使用することにより、HTTP ディレク

トリを作成できます。

WebDAV プロトコルは、広範なコラボレーティブアプリケーションによりリモートソフトウェア開発チー

ムをサポートします。WebDAV は HTTP の能力を強化し、広範なストレージレポジトリの標準アクセ

スレイヤとして機能します。HTTP は読み取りアクセス権を付与し、WebDAV は書き込みアクセス権

を付与します。

WebDAV プロトコルの主要機能を次に示します。

• ロッキング。長期の排他的な共有書き込みロックにより、最初に変更をマージすることな

く複数の共同作業者が同じリソースに書き込むのを防ぎます。ネットワーク接続を任意に

切断できるインターネット規模でのコラボレーションを堅固なものにするため、スケーラ

ビリティを達成するため、そして各オープン接続がサーバリソースを消費するため、

DAV ロックの期間は、個々のネットワーク接続から独立しています。 • プロパティ。XML プロパティは、Web リソース上の著者のリストなど任意のメタデータ

のストレージを提供します。プロパティは DAV プロトコルを使用して効率的に、設定、

削除、および検索を行うことができます。DAV Searching and Locating（DASL）プロト

コルは、XML プロパティの値に基づき Web リソースの検索を行うことができます。 • 名前空間の操作。Web の進化に伴いリソースをコピーまたは移動させる必要がでてくる

可能性があるため、DAV はコピーおよび移動操作をサポートします。コレクション（フ

ァイルシステムディレクトリに似たもの）を作成して、一覧表示することができます。

WebDAV を使用したファイルアクセス| 327

• HTTP 機能のサポート。 Data ONTAP WebDAV の実装は、リダイレクト規則、認証、ア

クセス制限のような HTTP 構成設定をサポートします。WebDAV を使用するには、HTTPサービスを有効化して設定する必要があります。

• CIFS 機能のサポート。有効な CIFS および HTTP ライセンスを持っており、WebDAV を有効化している場合には、Data ONTAP WebDAV 実装は CIFS ホームディレクトリをサ

ポートします。

Data ONTAP ビルドイン WebDAV サーバの管理

Data ONTAP'ビルドイン WebDAV サーバには WebDAV のプロトコルを有効化または無効化して

WebDAV のクライアントからホームディレクトリを参照します。


Data ONTAP ビルドイン WebDAV サーバの有効化と無効化

WebDAV クライアントからのホームディレクトリの参照

Data ONTAPビルドインWebDAVサーバの有効化と無効化

Data ONTAP ビルドイン WebDAV サーバを有効化または無効化するには webdav.enable オプショ

ンを on または off にそれぞれ設定します。デフォルトではこのオプションは OFF です。

始める前に

Data ONTAP ビルドイン WebDAV サーバを有効化できる前に Data ONTAP ビルドイン HTTP サー

バを有効化してください。Data ONTAP ビルドイン WebDAV サーバは、リダイレクト規則、認証、およ

びアクセス制限のような HTTP コンフィグレーション設定をサポートします。

さらに、Data ONTAP ビルドイン WebDAV サーバは有効な CIFS を持ち CIFS のディレクトリを有効

化してコンフィグしていれば CIFS のホームディレクトリをサポートします。

手順


WebDAV の設定操作

有効にする場合次のコマンドを入力します。 options webdav.enable on


次のコマンドを入力します。 options webdav.enable off

WebDAVクライアントからのホームディレクトリの参照

ホームディレクトリを参照するように WebDAV クライアントを設定するには、WebDAV クライアントの

ナビゲーションフィールドに入力する URL に、チルダ（~）文字を付加します。

手順

1. WebDAV クライアントのナビゲーションフィールド（またはデフォルトのディレクトリ）


で次のシンタックスを持つ URL を入力します。

http://host[:port]/~

host は、ホスト名またはストレージシステムの IP アドレスです。

port は、ストレージシステムにアクセスしたいときに通るポートです。ティルダ(~)文字はユーザの

ホームディレクトリを指定します。

有効な WebDAV のホームディレクトリ URL の例 http://eng_filer.lab.company.com/~ http://10.120.83.104:80/~

サードパーティ製 WebDAV サーバの購入とストレージストレージシステムへの接続

Data ONTAP のビルトイン WebDAV サーバの制限を回避するには、サードパーティ製 WebDAV サ

ーバを購入して、ストレージシステムに接続します。

タスク概要

Data ONTAP ビルドイン WebDAV サーバには、次の制限があります。

• 2 バイトの Unicode 文字のみが含まれるプロパティ値をサポートします。2 バイトを超え

る Unicode の文字は正しく記録されません。 • 主要 WebDAV プロトコルのみをサポートします。副次的な WebDAV プロトコルはサポー

トされません。 • 仮想 IP アドレスのホームディレクトリ機能はサポートしません。仮想 IP アドレスをホス

トとして指定する URL は参照されません。

手順

1. サードパーティ製の WebDAV サーバを購入します。

2. サードパーティ製の WebDAV サーバを NFS プロトコルを介してストレージシステムに接続します。

詳細については、サードパーティ製 WebDAV サーバに付属のマニュアルを参照してください。

システムメモリによる CIFS のリソース制限値| 329

システムメモリによる CIFS のリソース制限値

ストレージシステムモデルによる CIFS リソース制限値は、システムメモリに基づいた上限値のことで

す。ただし、これらは理論上の値です。実際の上限は理論値より低い値となり、ご使用の環境におけるシ

ステム構成に応じて異なります。

メモ: 次の表の数値は、ご使用のシステムのストレージリソースの適正化には使用しないでくだ

さい。ご使用のストレージシステムでこれらのカテゴリの十分なリソースを取得できない場合

は、テクニカルサポートにお問い合わせください。

ストレージシステムが CIFS リソースに最大の値を割り当てる場合、システムメモリを 6 GB を超えて使

用することはありません。たとえば、32 GB のメモリを搭載したストレージシステムは、8 GB のメモリを

搭載したストレージシステムと比べてはるかに高いパフォーマンスを示しますが、両者の CIFS リソース

の制限値は同じになります。この方法で CIFS リソースの制限値を計算することで、システムメモリをス

トレージ容量と他のシステムリソースの調整に使用することができます。

ストレージシステム上のすべての vFiler ユニットは、同じ有限な CIFS リソースプールを使用します。

その結果、ストレージシステム上のすべての vFiler ユニットによって消費されるリソースの合計が、

システムのリソースの制限値を超えることはありません。


FAS 60xx シリーズストレージシステムの制限 FAS 30xx および 31xx シリーズストレージシステムの制限 FAS 2040 シリーズストレージシステムの制限

FAS 60xx シリーズストレージシステムの制限

次の表に、FAS60xx シリーズのストレージシステムのアクセス制限を示します。

ストレージシステムメモリに

よる CIFS の制限 16 GB FAS6030 32 GB FAS6040 32 GB FAS6070 64 GB FAS6080

接続の最大数 96,000 96,000 96,000 96,000

共有の最大数 192,000 192,000 192,000 192,000

開いたファイルの最大数 1,920,000 1,920,000 1,920,000 1,920,000

ロックされるファイルの最大

数 2,116,608 2,116,608 2,116,608 2,116,608

ロックの最大数 4,233,216 4,233,216 4,233,216 4,233,216

FAS 30xx および 31xx シリーズストレージシステムの制限

次の表に、30xx および 31xx ストレージシステムのためのアクセス制限を示します。


ストレージシステムメモリに

よる CIFS の制限 16 GB FAS6030 32 GB FAS6040 32 GB FAS6070 64 GB FAS6080

接続の最大数 64,000 96,000 96,000 96,000

共有の最大数 128,000 192,000 192,000 192,000

開いたファイルの最大数 1,280,000 1,920,000 1,920,000 1,920,000

ロックされたファイルの最大

数 1,411,072 2,116,608 2,116,608 2,116,608

ロックの最大数 2,822,144 4,233,216 4,233,216 4,233,216

FAS 2040 シリーズストレージシステムの制限

ストレージシステムの接続、共有、共有接続、オープンファイル、ロックされたファイル、ロックには最

大数に制限があります。

ストレージシステムメモリによる CIFS の制限 4 GB FAS2040

接続の最大数 41,200

共有の最大数 82,400

開いたファイルの最大数 824,000

ロックされたファイルの最大数 910,016

ロックの最大数 1,820,032

イベントログとオーディットポリシーマッピング | 331

イベントログと監査ポリシーのマッピング

一部のイベントログポリシーおよび監査グループポリシーは、Data ONTAP システムと Windows システムでは異なる方法で適用されます。

ストレージシステム上で Group Policy Object（GPO;グループポリシーオブジェクト）のサポートが

有効になっていると、Data ONTAP ではすべての関連する GPO を処理して適用します。関連するグ

ループポリシー設定のほとんどは、Data ONTAP および Windows システムを実行中のストレージシステムに同じ方法で適用されます。

ただし、イベントログおよび監査（ローカルポリシー）の 2 種類のポリシーは、基盤となるロギングお

よび監査のテクノロジが異なるため、ストレージシステムに異なる方法で適用されます。イベントログ

GPO および監査 GPO は、対応する Data ONTAP オプションをマッピングして設定することで、スト

レージシステムに適用されます。オプションのマッピングの効果はイベントログ設定および監査ポリ

シー設定とほぼ同等ですが、まったく同じではありません。

次の表に、対応する GPO の適用時に有効となる Data ONTAP のオプションを示します。オプション

の詳細については、options(1)のマニュアルページを参照してください。

次のトピック

イベントログのマッピング値監査のマッピング値

イベントログのマッピング値

次の表で、左側の列は適用されるイベントログポリシー（必要に応じて設定と例）を、右側の列はその際

に有効となるData ONTAP のオプションを示しています。

ポリシー名設定 Data ONTAP オプション

最大セキュリティログサイズ

適用外 cifs.audit.logsize

セキュリティログの保存

方法指定した日数を過ぎたら上書

きする cifs.audit.autosave.file.extension timestamp cifs.audit.autosave.file.limit 0 cifs.audit.autosave.onsize.threshold 100 cifs.audit.autosave.onsize.enable on cifs.audit.autosave.ontime.interval 7d cifs.audit.autosave.ontime.enable on cifs.audit.saveas /etc/log/adtlog.evt cifs.audit.enable on


方法必要に応じてイベントの上書き

をする cifs.audit.autosave.file.extension timestamp cifs.audit.autosave.file.limit 1 cifs.audit.autosave.onsize.threshold 100 cifs.audit.autosave.onsize.enable on cifs.audit.autosave.ontime.enable off

332 | Data ONTAP 8.0 7 モードファイルアクセスとプロトコルマネージメントマニュアル


cifs.audit.saveas /etc/log/adtlog.evt cifs.audit.enable on


方法イベントを上書きしない（手動

でログを消去） cifs.audit.autosave.file.extension timestamp cifs.audit.autosave.file.limit 0 cifs.audit.autosave.onsize.threshold 100 cifs.audit.autosave.onsize.enable on cifs.audit.autosave.ontime.enable off cifs.audit.saveas /etc/log/adtlog.evt cifs.audit.enable on

監査のマッピング値

次の表で、左側の列は適用される監査ポリシー（必要に応じて設定と例）を、右側の列はその際に有効と

なるData ONTAP のオプションを示します。


監査アカウントのログオンイベ

ント

監査ログオンイベント

両方のポリシーとも定義されていますが

監査試行はどちらも設定しません。 cifs.audit.logon_events.enable off

監査アカウントのログオンイベ

ント

監査ログオンイベント

両方のポリシーとも定義されています。

成功と失敗のいずれか、またはその両

方に対する監査を有効にします。

cifs.audit.enable on cifs.audit.logon_events.enable on

監査ディレクトリサービスアク

セス

監査オブジェクトアクセス

両方のポリシーとも定義されていますが

どちらも監査の実行を有効にしません。 cifs.audit.file_access_events.enable off

監査ディレクトリサービスアク

セス

監査オブジェクトアクセス

両方のポリシーとも定義されています。

成功と失敗のいずれか、またはその両

方に対する監査を有効にします。

cifs.audit.enable on cifs.audit.file_access_events.enable on

その他の監査ポリシーと

設定マッピングは行われません。

用語集| 334

用語集

ACL Access Control List（アクセス制御リスト）の略。各シェアにユーザーかグループ

のアクセス権を含むリスト。

アダプタカード拡張スロットに差し込む SCSI カード、ネットワークカード、ホットスワップアダプタカー

ド、シリアルアダプタカード、または VGAのアダプタ。

アドレス解決 LAN またはWAN 送信先のアドレスに対応するメディアアクセス制御(MAC)アドレスを

定める為の手順。

アドミニストレーションホストストレージシステムの管理用システムセットアップ中に指定されるクライアント。セット

アッププログラムは自動的にストレージシステムを構成して、このクライアントからの telnet と rsh 接続を受け入れ、/と/homeディレクトリをマウントするためのクライアント

に許可を与え、このクライアントを自動サポートメールメッセージを送るためのメールホストとして使用します。常時セットアッププログラムの実行後、ストレージシステムを

他のクライアントと機能できるように構成できます。これはアドミニストレーションホスト

と機能するのと同様です。

エージェントステータスおよび診断情報を集めて、それを NMS に転送する Data ONTAPプロセ

ス。

アプライアンスよく定義された機能を行い、取付け作動し易い装置。

ATM Asynchronous Transfer Mode（非同期転送モード）の略。セルスイッチングと

多重化機能を結合して、信頼のある効率的なネットワークサービスを提供するネットワ

ークテクノロジー。ATMはワークステーションおよびルーターおよびネットワーク等の

デバイス間のインターフェースとして機能します。

認証 /etc/passwdファイルを使用してストレージシステム自体によってストレージシステム

のドメイン用のドメインコントローラにより実行されるセキュリティステップ。

自動サポートストレージシステムに潜在的な問題があるとき、カスタマサイトからテクニカルサポ

ートまたは他の指定メール受信者にメールメッセージを送信するストレージシステム

のデーモン。

big-endian 最も有意なビットまたはバイトが最初に来るストレージと伝送用バイナリデータフォーマ

ット。

CIFS Common Internet File System の略。PC ネットワーク用プロトコル。

クライアントストレージシステムにあるファイルを共有するコンピュータ。

クラスタインターコネクト HA 構成内の 2 つのストレージシステムを繋ぎ合わせ、両方のシステムともに稼働し

ているときにハートビートとWAFL ログ情報が伝送されるケーブルとアダプタ

クラスタ監視 HA 構成のストレージシステム関係を cf コマンドにより管理するソフトウェア。


コミュニティストレージシステムエージェントと通信するために SNMP マネージャーがパスワード

として使用する名前

コンソールストレージシステムのシリアルポートに接続されている端末であり、ストレージシステ

ム操作の監視と管理に使用する。

copy-on-write 余分なディスク領域を消費せずに Snapshot コピーを作成するテクニック。

衰退モード RAID アレイからディスクが欠落していたり NVRAMカードのバッテリー残が僅かなと

きのストレージシステムの作動モード

ディスク ID 番号ディスクを起動時に診断する際ディスクごとにストレージシステムにより割当てられた

番号。

ディスクシェルフディスクドライブを格納しストレージシステムに接続されたシェルフ。

エミュレートストレージシステ

ム承継ストレージシステムによりホストされている障害のあるストレージシステムのソフ

トウェアコピー。エミュレートされたストレージシステムはユーザーと管理者

には障害のあるストレージシステムの機能するバージョンのように見えます。例え

ば、障害のあるストレージシステムと同じ名前を持ちます。

イーサネットアダプタイーサネット用インターフェースカード

拡張カードストレージシステム拡張スロットにプラグインする SCSI カード、 NVRAMカード、ネッ

トワークカード、ホットスワップカード、またはコンソールカード。

拡張スロット拡張カードを差し込むためのシステムボード上のスロット。

障害のあるストレージシステ

ム作動停止した物理ストレージシステム。ギブバックが成功するまでは障害のあるスト

レージシステムにとどまります。

FDDI アダプタ Fiber Distributed Data Interface（FDDI）インターフェースカード。

FDDI ファイバ光ファイバケーブルをサポートする FDDI アダプタ

FDDI-TP ツイストペアケーブルをサポートする FDDI アダプタ

FPolicy ファイルタイプ等のファイルプロパティに基づいてアクセスパミッションを制御する機能

を提供する Data ONTAP 独自のファイルポリシー機能です。

GID グループ ID.

ギブバック仮想ストレージシステムから障害のあるストレージシステムへアイデンティティーが戻

ること。これにより正常作動状態に戻ります。テークオーバーの逆を意味します。

グループストレージシステムの /etc/group ファイルで定義されたユーザーのグループ

HA 構成一つのシステムが他方のシステムが作動していないことを検出でき、実際に作動して

いない場合は障害のあるシステムにあるデータを処理できるストレージシステムペ

ア。DataONTAP ドキュメンテーションとその他情報源では、高可用性（HA)構成はとき

としてクラスタまたは HA ペアとも呼ばれます。

用語集| 336

ハートビートシステムが作動中であることを示す、1 つのストレージシステムから他方へ送られる

反復する信号。ハートビート情報はディスクに保存もされます。

ホットスペアディスク障害のあるディスクの替わりに使用できるストレージシステムにインストールされたディスク。ディスク障害前には、ホットスペアディスクは RAID ディスクアレイには含ま

れていません。

ホットスワップストレージシステムの作動中にディスクを追加、取外す、または、交換すること。

ホットスワップアダプタファイルシステムの動作中断を最小限できるハードディスクの追加や取外しを可能に

する拡張カード

inode ストレージシステムと UNIX フィあるシステムにあるファイルについての情報を格納し

ているデータ構造。

中断スイッチデバッグのために使用される、一部のストレージシステムフロントパネルにあるスイ

ッチ。

LAN エミュレーション(LANE) ATM をネットワークトポロジ基盤として使用するエミュレート化 LAN を作成するアーキ

テクチャ、プロトコル、及びサービス。 LANE は ATMが接続されたエンドシステムが

他の LAN ベースシステムと交信できるようにする。

ローカルストレージシステムユーザーがログイン中のストレージシステム

マジックディレクトリ名前によりアクセス可能なディレクトリである一方、ディレクトリリストには現れないディ

レクトリです。 Snapshot コピーディレクトリはマウントポイントまたはシェアのルートに

あるディレクトリを除いては、マジックディレクトリです。

メールボックスディスクシステムの HA 構成ステート情報を格納するために使用されたストレージシステムご

とに所有されたディスクのセットの一種。仮にそのストレージシステムが動作停止する

と、承継システムが仮想ストレージシステムを構築するためメールボックスディスクの

情報を使用します。メールボックスディスクはファイルシステムディスクとしても使用

されます。

メールホスト特定のストレージシステムイベントが発生すると自動的にメールをテクニカルサポー

トに送信することをになうクライアントホスト。

メンテナンスモードシステム起動ディスクからストレージシステムを起動する際のオプション。メンテナン

スモードはトラブルシューティング用ハードウェアと構成用に

特殊なコマンドを提供しています。

MIB Management Information Base（情報管理データベース）の略。エージェント

が NMS に転送する情報を記述する ASCII ファイル。

MIME Multipurpose Internet Mail Extensions の略。インターネットメッセージの本文フォー

マットを指定して記述するための仕組みを定義した仕様。MIME Content-Type ヘッダ

を含んでいる HTTP 応答信号は HTPクライアントが受信データに最適なアプリ

ケーションを起動できるようにしています。

MultiStore オプションのストレージシステムソフトウェア製品。1つのストレージシステムのスト

レージとネットワークリソースをパーティションできます。このためネットワークでは複


数のストレージシステムとして現れます。

NDMP ネットワーク Network Data Management Protocol の略。ストレージシステムがバックアップ

アプリケーションと通信できるようにするプロトコルです。複数のテープバックアップデ

バイスの自働機能を制御する能力を提供します。

ネットワークアダプタイーサネット、FDDI、または非同期伝送モード（ATM) アダプタ。

ネットワークマネージメントステーション NMS を参照してください。

NMS Network Management Station（ネットワーク管理ステーション）の略。A host on a ネットワーク上のホストで他メーカー製ネットワーク管理用アプリケーション

(SNMP manager)を使用してストレージシステムについてステータスと診断情報を処

理しています。

ノーマルモード HA 構成でテークオーバーが行われない場合のストレージシステムのステート。

ゼロユーザーアプリケーションがリモートデータへのアクセスに使用するWindows NT マシンアカウ

ント。

NVRAM キャッシュストレージシステムにある不揮発性 RAM。入ってくる書き込みデータと NFS 要求の

ロギングに使用されます。システム性能を改善してストレージシステム障害または停電時にデータ損失を防止します。

NVRAMカードストレージシステムの NVRAM キャッシュを格納するアダプタカード

NVRAM ミラーパートナーストレージシステムに保存されたストレージシステム NVRAM(Nonvolatile Random Access Memory) の内容の、同期的に交信

された内容のコピー。

パニックストレージシステムを停止させるような重大なエラー状態。Windows システム環境に

おけるソフトウェアクラッシュに同じです。

パリティーディスクパリティー情報が RAID-4 ディスクドライブアレイ用に保存されているディスク。障害のあるディスクブロックまたは障害のあるディスクにあるデータ復元に使用します。

パートナーローカルストレージシステムの観点から見た、HA 構成にある他のストレージシステ

ム

パートナーモードテークオーバー時に仮想ストレージシステムによるコマンドラインインターフェースを

通して通信を行うための方法。

PCI Peripheral Component Interconnect の略。最近のストレージシステムモデル

で使用されてきたバスアーキテクチャ。

pcnfsd PC がストレージシステムファイルシステムをマウントすることを許可するストレージシステムデーモン。これに対応する PC クライアントソフトウ

ェアは PC-NFS と呼ばれます。

PDC Primary Domain Controller（プライマリドメインコントローラ）の略。ドメイン用

プライマリ認証サーバにネゴシエートの結果なったまたはそう割当てられたドメ

用語集| 338

インコントローラ。

POST Power-on Self-Test（パワーオンセルフテスト）の略。電源の投入後ストレージシステ

ムが実行するテスト。

PVC Permanent Virtual Circuit（相手固定接続）の略。通常手動セットアップにより事

前に定義された静的ルートとのリンク。

q ツリー特別な属性をもつ仮想サブボリュームとなるボリュームの root の特別サブディレクト

リ。

RAID Redundant Array of Independent Disks の略。アレイにある全てのディスクの

内容基づいてパリティー情報を計算することにより、ディスク障害から保護するテクニッ

ク。ストレージシステムでは RAID レベル 4を使用します。すべてのパリティ情報を 1台のディスクに格納します。

RAID ディスクのスクラブシステムが RAID グループにあるディスクを 1つずつ読みとり他のるプロセスディスク

溶液にデータを再書き込みすることによりメディアのエラーを固定化しようとする。

SCSI アダプタ SCSI ディスクドライブとテープドライブをサポートする拡張カード

SCSI アドレスディスクのフルアドレス。ディスクの SCSI アダプタ番号とディスクの SCSI ID から構

成されます。例えば、 9a.1

SCSI ID SCSI チェーン (0 から 6)にあるディスクドライブの数

シリアルアダプタ一部のストレージシステム機種で端末をコンソールとして接続するための拡張カード

シリアルコンソールストレージシステムのシリアルポートに接続された ASCII または ANSI 端末。ストレ

ージシステム操作の監視と管理に使用されます。

シェアネットワークユーザーが利用でき CIFS クライアントの文字にマップ可能なストレージシステムエのディレクトリまたはディレクトリ構造

SID セキュリティ ID

Snapshot コピーファイルシステム全体の読取専用オンラインコピー。ファイルの内容を複製せずにフ

ァイルを削除または変更してしまう事故から防御します。

Snapshot コピーはユーザーがシステム使用中にファイルをリストアしてストレージシステムをテープにバックアップすることを可能にします。

SVC Switched Virtual Circuit（相手選択接続）の略。シグナリングにより確立した接

続。ユーザーはコールが開始されるとエンドポイントを定義します。

システム回路基板ストレージシステムの CPU、拡張バススロット、システムメモリーを含む PCB.

テークオーバー HA 構成されたテークオーバーストレージシステムによる障害のあるストレージシス

テムのアイデンティティーのエミュレーション。ギブバックの逆。

テークオーバーストレージシステム

他のストレージシステムが機能停止した後も作動し続け、障害のあるストレージシス

テムディスクシェルフとネットワーク接続へのアクセスを管理する仮想ストレージシス


テムをホストするストレージシステム。

テークオーバーストレージシステム

それ自身のアイデンティティーを維持し、仮想ストレージシステムは障害のあるストレ

ージシステムのアイデンティティーを維持します。

テークオーバーモードストレージシステムがパートナーをテークオーバーした一方、ストレージシステムと相

互作用するために使用する方法。コンソールプロンプトはストレージシステムがテー

クオーバーモードにあるときはいつかを示します。

トラップ SNMP エージェントから SNMP マネージャーに送信された要求されていない非同期メ

ッセージ。ストレージシステムでイベントが発生したことを伝えます。

ツリークォータ quota qtree コマンドにより作成されたディレクトリによるディスク使用度を制限するディスククォータの一種。所与の UID または GID によりファイル

によるディスク使用度を制限するユーザーとグループクォータとは異なります。

UID ユーザー ID。

Unicode 16 ビット文字セット規格。非営利目的コンソーシアム Unicode Inc.により設計され維

持されています。

VCI Virtual Channel Identifier（仮想チャネル識別子）。セルが移動する仮想チャネルを識

別する ATMセルヘッダ内の 16 ビットのフィールドにより定義された固有な数字タグ。

vFiler ユニット MultiStore を使用して作成する仮想ストレージシステム。ストレージと 1 つのストレ

ージシステムのストレージとネットワークリソースを区画化することができます。このた

めネットワークでは複数のストレージシステムに見えます。

VGA アダプタコンソールとして VGA 端末を接続するための拡張カード。

ボリュームファイルシステムの一種。

VPI Virtual Path Identifier（仮想パス識別子）。セルのルーティングが行われるべき仮想

パスを示す ATM セルヘッダの 8 ビットフィールド

WAFL Write Anywhere File Layout の略。 WAFL ファイルシステムは書込み性能を最適化

するために Data ONTAP を実行するストレージシステムのためデザインされました。

WINS Windows Internet Name Serviceの略。

ワークグループ閲覧と共有用にグループ化されたWindows NT または Windows for Workgroupを

実行するコンピュータの集合。

索引| 340

索引 /etc/ad directory 122

/etc/cifs_nbalias.cfg

NetBIOSエイリアスの作成 135

/etc/exports

編集 22

/etc/httpd.access

編集 324

/etc/httpd.groupcreating and editing 326

/etc/httpd.passwd

作成と編集 326

/etc/httpd.translation

失敗ルールの追加 319

/etc/httpd.translations

マップルールの追加 318

合格ルールの追加 319

リダイレクトルールの追加 318

定義 317

/etc/log/ftp.cmd

ログファイルフォーマット 306

/etc/log/ftp.xfer

ログファイルフォーマット 306

/etc/log/httpd.log

フォーマットの変更 331

/etc/nsswitch.conf

LDAPエントリの追加 250

LDAPクライアント認証 253

/etc/symlink.translations

マップエントリの作成 287

ワイドリンクエントリの作成 288

マップエントリ 285

絶対シンボリックリンクへのリダイレクト 287

マップ及びワイドリンクエントリの使用 289

ワイドリンクエントリ 285

/etc/usermap.cfg

方向 235

拡大するセキュリティ 239

ドメイン名の解釈 236

IP 修飾子 234

ユーザー名のマップ 238

Windowsアカウントをroot にマップする 239

NFS アクセスの制限 239

サンプルエントリ 237

エントリの特定 233

UNIX名 236

Windows名 235

A

アクセス

FTP、制限 303

許可や拒否の理由 149

アクセスキャッシュ

エントリの追加 29

説明 28

性能の最適化 30

エントリの削除 29

タイムアウト値の設定 31

統計の表示 30

アクセス制御

トラブルシューティング 146

アクセス制御リスト (ACL)

NFSv4 、NTFS 間の互換性 48

ファイルレベル、表示と変更 97

管理 90

NFSv4 47

NFSv4、有効化の利点 48

NFSv4、有効化/無効化 48

NFSv4、管理 46

NFSv4、設定と変更 49


NFSv4、表示 49

共有レベル、MMCからユーザーやグループを

追加する 91

共有レベル、CLIから変更する 95

共有レベル、定義 90

共有レベル、表示と変更 91

共有レベル、MMCから表示及び変更する 93

共有レベル、CLIを使ってユーザーやグループ

を削除する 96

共有レベル、MMCを使ってユーザーやグルー

プを削除する 91

ユーザーやグループの削除 95

共有レベル、グループ IDの特定 99

アクセスベースの列挙

定義 88

有効化/無効化 88

Windowsクライアントから実行するコマンド 89

アカウント

ローカルユーザー、追加、表示、削除 111

ユーザー、制限 110

機械、データアクセスの禁止 134

機械、Kerberos環境でのアクセスに使う 134

ACL 許可

NFSv3/v4 クライアント、表示 96

ACL （アクセス制御リスト）

NFSv4、NTFS 間での互換性 48

ファイルレベル、表示と変更 97

管理 90

NFSv4 47

NFSv4、有効化の利点 48


NFSv4、管理 46

NFSv4、設定と変更 49

NFSv4、viewing 49

共有レベル、MMCからのユーザーやグループ

の追加 91

共有レベル、CLIから変更する 95

共有レベル、定義 90

共有レベル、表示と変更 91

共有レベル、MMCから表示及び変更する 93

共有レベル、CLIを使ってユーザーやグループ

を削除する 96

共有レベル、MMCを使ってユーザーやグルー

プを削除する 95

共有レベル、グループIDの特定 99

Active Directory

LDAP 探索サービス、有効化 256

LDAP サーバ、接続プーリングと選択 258

LDAP サーバ、管理 255

LDAP サーバ、接続の監視 257

LDAP サーバ、要件 256

LDAP サーバ、接続のトラブルシューティング 257

LDAP サーバ、使用 256

簡易バインド 258

追加

HTTP 失敗ルール 319

HTTP マップルール 318

HTTP 合格ルール 319

HTTP リダイレクトルール 318

WAFL資格キャッシュにエントリをマップする 292

エイリアス

NetBIOS、作成 135

NetBIOS、CLIから作成する 135

NetBIOS、/etc/cifs_nbalias.cfg 内で作成する 135

NetBIOS、表示 136

監査ポリシー

マッピング 341

マッピング値 342

監査

CIFS、構成 269

索引| 342

イベントの消去 273

内部監査ログファイルの消去 279

自動保存の構成 275

ログファイルサイズによる自動保存の構成 275

定義 265

イベントの表示 279, 280

時間間隔による自動保存を有効化する 276

イベントログの保管場所 273

失敗したアクセス試行 282

失われたイベント記録 282

NFS、構成 270

NFS、イベントをフィルターファイルで制御する 271

NFS、有効化 271

NFS、イベントの特定 270

イベントの保存 273

手動でのイベントの保存 274

イベントのためのSNMPトラップ 279

ログカウンター拡張子の特定 277

ログタイムスタンプ拡張子の特定 277

最大自動保存ファイルの特定 278

内部監査ログファイルの最大サイズの特定 278

UNIX ファイルアクセス詳細 282

イベントログのアップデート 273

イベントを調べる 280

静的イベントログの表示 281

Windows ファイルアクセス詳細 281

認証

FTP、特定する 301

HTTP 322

Kerberos 127

クライアントの管理 253

方式、表示 110

NTLM、制限 302

UNIX 126

UNIX クライアント、LDAPのための有効化 253

Windows クライアント、LDAPのための有効化 253

Windows ワークグループ 126

承認

クライアントの管理 253

B

境界のチェック

共有からシンボリックリンクを有効化/無効化す

る 84

ブラウジング


C

キャッシュ


クライアント側プロパティの設定 88

文字のマッピング

ボリュームから消去する 229

文字の制限

ファイル名 229

文字の変換

ファイル名のために有効化する 228

CIFS

監査、構成 269

クライアントイベント 170

クライアント、NFSディレクトリアクセスの最適化 289

構成 62

シャットダウンメッセージの構成 143

再構成の際に考慮すること 68

シンボリックリンクへのアクセスの制御 283

無効化 142

クライアントがシンボリックリンクを継承できるよ

うにする 284

ファイルロック 230

ファイル名 225

NFSとのファイル共有 225

ファイル、NFS クライアントからのアクセス 291


クライアントに許可を与え .dll 及び.exe ファイル

を実行する 297

同時スクリーニングの制限 167

監視されるイベント 160

アクティビティの監視 137

クライアントが大文字のファイル名を作成するの

を禁止する 291

読み込み限定ビット 230

再構成 69

リソースの制限 140

システムメモリによるリソース制限 337–339

サービスの再開 143

セットアップ 63

クライアントとがシンボリックリンクと対話する方

法を特定する 284

サーバが切断された要求をスクリーンするのを

停止する 166

ログインのトレース 296

CLI

fpolicy ext 200–203

クライアント

MMCを使った切断 141

認証と承認の管理 253

Windows、サポートされた 62

構成

HTTP MIME タイプ 316

作成

CLIからの CIFS 共有 79

ホームディレクトリパス内のディレクトリ 106

マップエントリ 287

Widelink エントリ 288

資格キャッシュ

WAFL、マッピングエントリの追加 292

WAFL、マッピングエントリの削除 292

WAFL、統計の監視 294

資格

UNIX、CIFS クライアントの管理 231

UNIX、CIFS ユーザーの取得獲得 232

UNIX、CIFS ユーザーの特定 233

D

消去

ファイルを読み込み限定ビットセットで 231

prefdc リストからサーバを 130

CLIから共有を 90

説明

表示と変更 144

ディレクトリ

Unicode フォーマットへの変換 290

Unicodeフォーマットでの作成 290

セキュリティ設定の表示 264

FTP、ユーザーの制限 304

ユーザーとの一致 101

新しく作成されたディレクトリの許可の特定 85

ディレクトリアクセス

NFS、CIFSクライアントの最適化 289

ディレクトリ作成操作

FPolicyを構成して監視する 186、187

ディレクトリ作成要求の監視

定義 186

ディレクトリ作成要求

FPolicyを登録して監視する 187

ディレクトリ削除操作

FPolicyを構成して監視する 184

ディレクトリ削除要求の監視

定義 183

ディレクトリ削除要求


ディレクトリイベント 171

ディレクトリ操作 171

ディレクトリ名変更操作


索引| 344

ディレクトリ名変更要求の監視

定義 185

ディレクトリ名変更要求


無効化

CIFS 142

フェンス 26

FPolicy 162

FTPサーバ 299

NFSv3 42

NFSv4 46

SMB 2.0 73

SMB 2.0 クライアント 77

SMB 2.0 永続ハンドル 74

LDAP のためのSSL 249

TFTPサーバ 300

切断

MMCを使うクライアント 141

CLIからのユーザー 141

表示

ファイルシステムパスのためのエクスポートオプ

ション 27

ファイルシステムパス 27

Group Policy Objects (GPO) 120

HTTP 統計 327

NFS 統計 42

フィルタートレースの許可 148

優先ドメインコントローラーと LDAP サーバ

131

ドメインコントローラー

接続のトレース 296

Windows、サポートされた 62

ドメイン

変更 64

優先コントローラーの表示 131

ドメインで接続を再確立する 132

コントローラーの選択 128

優先コントローラーの特定 130

コントローラー接続のトラブルシューティング

131

コントローラー検出プロセスを理解する 129

ドットファイル

CIFSクライアント上での表示 227

永続ハンドル

SMB 2.0、タイムアウト 74

SMB v2.0、有効化/無効化 74

E

有効化

フェンス 26

ファイル名の文字変換 228

FPolicy 162

FTPサーバ 299

NFSv3 42

NFSv4 46

SMB 2.0 73

SMB 2.0 クライアント 77

SMB 2.0 永続ハンドル 74

LDAP のためのSSL 249

TFTPサーバ 300

強制

SMB 2.0 の署名 76

列挙

アクセスベース、定義 88

アクセスベース、有効化/無効化 88

アクセスベース、Windowsクライアントからのコ

マンドの実行 89

エラーメッセージ

FPolicy 215

イベントログ

外部、場所の特定 274

イベントログ

マッピング 341


マッピング値 341

アップデート 273

イベント

監査、保存と消去 273

監査可能 266

CIFSをとおして監視される 160

NFSを通して監視される 161

監査イベントログに手動で保存する 274

NFS 及びCIFSクライアントのためにスクリーン

される 170

システムアクセス、監査 265

システム、監査の構成 267

エクスポートオプション

ファイルシステムパスの表示 27

エクスポート

ファイルシステムパス 23、24

拡張子

除外リストに追加する 201

対象リストに追加する 200

対象または除外リストに追加する 200

表示 199

除外リストの表示 200

対象リストの表示 199

除外リストからの削除 202

対象リストからの削除 201

対象または除外リストからの削除 201

対象リストの再設定 203

対象または除外リストの再設定 203

除外リストの再設定 203

ワイルドカードでのスクリーニング 199

除外リストの設定 203

対象リストの設定 202

対象または除外リストの設定または置換 202

F

フェンス


ファイル終了の操作


ファイル終了要求の監視

定義 174

ファイル終了要求

監視のためにFPolicyを登録する 175

ファイル作成操作

FPolicyを構成して監視する 173, 174

ファイル作成要求


ファイル削除操作


ファイル削除要求の監視

定義 177

ファイル削除要求


ファイルイベント 171

ファイルリンク操作


ファイルリンク要求


ファイルロック

説明 230

ファイル探索操作


ファイル探索要求の監視

定義 187

ファイル探索要求


ファイル管理

Windows管理ツールを使う 145

ファイル名

大文字と小文字の区別 226

文字の制限 229

索引| 346

作成 227

小文字での作成 226

文字変換の有効化 228

NFS及びCIFSのための 225

長さ 226

CIFSクライアントが大文字で作成するのを禁止

する 291

有効な文字 226

ファイルを開く操作


ファイルを開く要求の監視

定義 171

ファイルを開く要求


ファイル操作 171

ファイルポリシー

作成 163

破棄 66

無効化 166

情報の表示 165

有効化 164

ファイル読み込み操作



ファイル読み込み要求の監視

定義 180

ファイル名変更操作


ファイル名変更要求の監視

定義 176

ファイル名変更要求


ファイル要求の監視

定義 173

ファイルスクリーニング

サーバ接続の無効化 204

サーバ情報の表示 204

特定 164

ファイルスクリーニングサーバ

管理 204

ファイル共有

NFSとCIFS間での 225

ファイル symlink 操作


ファイル symlink 要求


ファイルシステム制御

SMB v2.0 72

ファイルSystem ID (FSID) 43

ファイルシステムパス

表示 27

エクスポートオプションの表示 27

フェンスの有効化/無効化 26

エクスポート 23、24

エクスポート又はアンエクスポート 21

同期 26

アンエクスポート 24、25

ファイル書き込み操作


ファイル書き込み要求の監視

定義 178

ファイル書き込み要求


ファイル

FTP を使うアクセス 299

HTTPを使うアクセス 313

WebDAVを使うアクセス 333

監査、アクセス詳細 281、282

シンボリックリンクの回避 285

セキュリティ設定の表示 264


失敗したアクセス処理 282

失われたイベント記録 282

新しく作成されたファイルのための許可を特定

する 85

フィルターファイル

NFS 監査イベントの制御 271

ファイアウォール

バーチャル HTTP、使用 322

フォースグループオプション

定義 80

FPolicy

これについて 150

操作を追加して監視する 206

セカンダリサーバの割り当て 205

CLI コマンド 208

ストレージ環境で通信する 155

定義 150


エラーメッセージ 215

FAQ 210

FAQ、アクセス 212

FAQ、ファイルスクリーニング 213、214

FAQ、一般的な質問 210–212

FAQ、パフォーマンス 212、213

FAQ、サーバ 215

概要 150

制限 156

スクリーンされたCIFS要求数の制限 167

操作の監視 206、208

登録してファイル作成要求を監視する 174

監視する操作の削除 207

セカンダリサーバの削除 206

セカンダリサーバ、定義 205

セットアップ 162

使用 151、162

警告メッセージ 219

フローチャートの実行 153

FAQ

FPolicy 210

FPolicyサーバ 215

FPolicy、アクセス 212

FPolicy、ファイルスクリーニング 213、214

FPolicy、一般 210–212

FPolicy、パフォーマンス 212, 213

fsecurity

セキュリティジョブの作成と適用 263

定義 260

Storage-Level Access Guardの有効化 260

FSID (ファイル System ID) 43

FTP

ファイルへのアクセス 299

匿名でのアクセス、有効化/無効化 311

認証スタイル、特定 301

ブロックするユーザー 303

走査チェックのバイパス、有効化/無効化

302

ファイルロック、有効化/無効化 300

管理 299

匿名でのアクセスを管理する 311

管理ログファイル 305

再設定統計 309

アクセスの制限 303

ユーザーの制限 304

サーバ、有効化/無効化 299

接続しきい値の設定 310

生成されるSNMPトラップ 308

匿名ユーザー名の特定 312

匿名ユーザーのためのホームディレクトリの特

定 312

アイドルタイムアウトの特定 311

特定接続の最大数 309

索引| 348

ログファイルの最大数の特定 307

ログファイルの最大サイズの特定 307

TCP ウィンドウサイズの特定 310

ログファイルの表示 306

SNMPトラップの表示 307

統計の表示 309

G

get属性演算


get属性要求の監視

定義 188

get属性要求


GID

UNIX ユーザー名のマッピング 240

用語 345

GPO (Group Policy Object)

適用 114

ファイルシステムセキュリティの作成 116

表示 120

サポートの有効化/無効化 115

管理 116

使用のための要件 115

アップデートの問題のトラブルシューティング

121

アップデート設定s 120

Group Policy Object (GPO)

適用 114

作成ファイルシステムセキュリティ 116

表示 120

サポートの有効化/無効化 115

イベントログと監査ポリシーのマッピング 341

管理 116

使用のための要件 115

アップデートの問題のトラブルシューティング

121

アップデートの設定 120

グループ

ローカル、MMC から追加する 112

ローカル、MMC からユーザーを追加する 112

ローカル、追加、表示、CLIからの削除

111

ローカル、管理 111

ローカル、MMCを使った削除 113

ローカル、SnapMirrorで実行する 113

H

ホームディレクトリ

CIFS、共有エイリアスを使ったアクセス 108

ディレクトリの作成 105、106

拡張子使用時のサブディレクトリの作成 106

定義 101

無効化 109

パスの表示 104

ほかのユーザーからのアクセスを有効化する 107

管理 100

名前付けのスタイルの特定 104

パスの特定 103

UNCを使った特定、syntax 107

WebDAV、アクセスする 335

HTTP

失敗ルールの追加 319

マップルールの追加 318

合格ルールの追加 319

リダイレクトルールの追加 318

認証 322

ベーシック認証 323

ビルトインサーバ、有効化/無効化 313

ビルトインサーバ、管理 313

走査チェックのバイパス、有効化/無効化 314

/etc/log/httpd.log フォーマットの変更 331

MIMEタイプの構成 316


要求の構成 317

バーチャルホスティングの構成 327

/etc/httpd.groupの作成と編集 326

/etc/httpd.passwdの作成と編集 326

詳細な統計 329

統計の表示 327

/etc/httpd.accessの編集 324

エラー統計 329

ファイルアクセス 313

セキュリティの維持 321

NTLM 認証 323

統計の要求 328

統計の再設定 330

アクセスの制限 321

サービス統計 329

ログファイルの最大サイズの特定 315

特定 root ディレクトリ 315

サーバのテスト 315

タイムアウト統計 330

ファイルの変換 317

バーチャルファイアウォールを使用する 322

サードパーティのサーバを使用する 332

接続情報の表示 330

I

アイドル

セッション、タイムアウトする 138

アイドルタイムアウト

FTP、特定 311

J

ジョブ定義ファイル

Storage-Level Access Guardのための生成と

編集 261

シークレットユーティリティでの管理 261

テキストエディタでの管理 262

要素の特定 262

K

Kerberos

認証 127

NFSのための構成 32、33、35

有効化 31

NFSのための有効化 38

v5 セキュリティサービスをサポートするNFS クライアント 40

パッシブ再生攻撃の禁止 128

アクセスのためのマシンアカウントを使う 134

keytab ファイル

生成 36

キーワード

スクリーニング操作 223

L

LDAP

Active Directory 探索サービス, 有効化 256

Active Directory サーバ、接続プーリングと選

択 258

Active Directory サーバ、管理 255

Active Directory サーバ、接続の監視

257

Active Directory サーバ、要件 256

Active Directory サーバ、トラブルシューティン

グ

接続 257

Active directory サーバ、使用 256

/etc/nsswitch.conf にエントリを追加する 250

構成 246

既定のスキーマ 259

優先サーバの表示 131

Windows クライアントからのNFS ファイルアク

セスの有効化 253

NTFS 又は混合ファイルの承認の有効化

UNIX クライアントからのシステムアクセス 254


有効化/無効化 SSL 249

索引| 350

有効化 UNIX クライアント認証 253

有効化 Windows クライアント認証 253

SSL root証明書のインストール 250

スキーマの管理 258

ユーザーのマッピング 254

スキーマオプションの変更 259

サーバの選択 128

サーバ選択順序 252

管理パスワードの設定 251

簡易バインド 258

管理ユーザー名の特定 251

ベース及びスコープ値の特定 47

ポートの特定の 252

優先サーバの特定 130, 248

ベース及びスコープの検索の特定 247

サーバの特定 248

ユーザーマッピング, ベース及びスコープ値の

特定

255

使用 245

制限

CIFS リソース 140

ローカルユーザーアカウント 110

リンク操作


リンク要求

監視 181

Live View

構成 272

監査イベントの表示 280

イベントの表示 279

イベントの表示 280

猶予期間のロック

NFSv4、特定 54

リース期間のロック

NFSv4、特定 54

ログ

場所を特定する外部イベント 274

ログファイル

FTP, 管理 305

FTP,最大数の特定 307

FTP, 最大サイズの特定 307

FTP, 表示 306

HTTP,最大サイズの特定 315

サイズとフォーマット 273

ログイン

CIFS, トレース 296

M

マシンアカウント

データアクセスの禁止 134

Kerberos環境でのアクセスのための使用 134

マップキャッシュ

SID-to-name, 消去 244

SID-to-name, 有効化/無効化 244

SID-to-name, 管理 243

マップエントリ

作成 287

定義 285

使用 289

マッピング

不整合の管理 295

ユーザー LDAPのある 254

エントリのマッピング

WAFL 資格キャッシュへの追加 292

有効時間の構成 293

WAFL 資格キャッシュからの削除 292

SID-to-name,ライフタイムの変更 244

メッセージ

ユーザーへの送信 143

MIMEタイプ


構成 320

HTTP, 構成 316

MMC

ユーザーまたはグループの共有レベルへの追

加、 ACL 91

追加ユーザー to ローカルグループ 112

ストレージシステムへの接続 61

共有の削除 89

クライアントの切断 141

共有プロパティの表示と変更 81

表示と変更共有レベル、 ACL 93

ローカルグループ削除 113

共有レベルからユーザーやグループを削除する、 ACLs

95

running the Share a Folder wizard 79

monitor list

操作追加 206

操作削除 207

監視

WAFL 資格キャッシュ統計 294

マウントサービス統計

表示 41

mountd 要求

トレース 41

マウンティングの問題 40

マウントポイント

NFSv4 pseudo-fs に影響される

複数サーバ構成

定義 155

マルチプロトコルl

変更,影響 67

N

サーバデータベースの名前をつける

キャッシュのフラッシュ 55

名前付けのスタイルs

ドメイン 105

non-ドメイン 106

ホームディレクトリの特定 104

ネイティブファイルのブロック

構成 158

定義 157

使用 158

NetBIOS

作成エイリアス 135

CLIからのエイリアス作成 135

/etc/cifs_nbalias.cfg 内でエイリアス作成 135

エイリアスの表示 136

TCPを通した, 無効化 136

NFS

監査, 構成 270

監査, 有効化 271

v4 ACLs有効化の利点 48

クライアントイベント 170

Kerberos v5 セキュリティサービスをサポートす

るクライアント 40

クライアント, CIFS ファイルへのアクセス 291

v4 とNTFS ACL間での互換性 48

構成 Kerberos 32、33、35

監査イベントの制御 271

オープンな委任統計の表示, v4 52, 53

統計の表示 42

Kerberosの有効化 31、38

v3 の有効化/無効化 42

v4 の有効化/無効化 46

v4 ACLsの有効化/無効化 48

v4 読み込みオープン委任の有効化/無効化 51

Windows クライアントからのファイルアクセス, LDAPの有効化

承認 253

ファイルロック 230

索引| 352

ファイル名 225

CIFSとのファイル共有 225

v4 サポートの制限 44

v4 ACLの管理 46

監視されるイベント 161

CIFSクライアントのためのディレクトリアクセス

の最適化 289

マウントポイントに影響するpseudo-fs 45

読み込み限定bits 230

ユーザーアクセスの制限 239

設定と変更、v4 ACL 49

監査イベントの特定 270

v4 のためのユーザー ID ドメインの特定 46

v4 クライアントのサポート 43

v3/v4 クライアント, 表示 Windows ACL

アクセス許可 96

v4 ACLs 47

v4、ファイル削除の決定 48

v4、オープン委任統計の表示 52, 53

v4、有効化/無効化 read オープン委任 50

v4、オープン委任の管理 50

v4、オープン委任 50

v4、猶予期間のロックの特定 54

v4、リース期間のロックの特定 54

v4 ACLの表示 49

NFS クライアント

フェンスの有効化/無効化 26

NTFS

ACL, NFSv4 との互換性 48

NTLM

認証、制限 of 302

NTLM 認証

HTTP 323

null セッション

アクセスの提供 133

非Kerberos 環境でのアクセスのための使用

132

null ユーザー

許可する共有へのアクセス 133

O

ONTAPI 150

オープン委任統計

表示、NFSv4 52、53

NFSv4、表示 52、53

オープン委任

NFSv4 50

NFSv4、管理 50

操作

監視リストへの追加 206

監視リストからの削除 207

監視される操作リストの設定または置換 208

oplocks

変更 delay time for sending breaks 124


qtree上の有効化/無効化 124

クライアントパフォーマンの改善 122

書き込みキャッシュデータ損失の考慮 123

最適化

アクセスキャッシュのパフォーマンス 30

組織的ユニット (OU)

関係 115

OU (組織的ユニット)

関係 115

P

パスワード

管理、 LDAPの設定 251

変更 144

パス名

構成要件 122

PC-NFS

作成ユーザーエントリ 57


for ファイルとディレクトリのためのumaskの定

義 58

クライアントのサポート 56

pcnfsd デーモン


説明 56

パフォーマンス

クライアント、oplocks で改善する 122

アクセスキャッシュの最適化 30

アクセス許可

フィルタートレースの追加 146

フィルタートレースの表示 148

フィルタートレースの削除 147

新しく作成されたファイルとディレクトリののため

の特定 85

ports

LDAPのための特定 252

principals

作成 36

protocol modes

変更 66

pseudo-fs

NFSv4、マウントポイントに影響する 45

Q

qtrees

oplocksの有効化/無効化 124

queries

統、保存と再利用 140

R

読み込みオープン委任


読み込み限定 bits

ファイルの削除 231

説明 230

Remote Procedure Call (RPC) 150

削除

アクセスキャッシュからのエントリ 29

Storage-Level Access Guards 265

再設定

HTTP 統計 330

リソース制限

CIFS、システムメモリによる 337–339

リソース

CIFS、制限 140

制限

ディレクトに対するFTP ユーザー304

制限

認証ベースの 19

ファイルベースの 19

root ディレクトリ

WebNFSのための有効化 60

HTTP、特定 315

WebNFSのための設定 59

WebNFSのための名前の特定 59

RPC (Remote Procedure Call) 150

S

SACL (System アクセス制御リスト)

設定 268

スクリーニング

拡張子による、定義 197

ボリュームによる、定義 191

ワイルドカードの使用 192, 199

スクリーニング操作

キーワード 223

スクリーニングタイムアウト

設定 169

scripts

startup, shutdown 122

シークレットユーティリティ

ジョブ定義ファイルの管理 261

セカンダリサーバ

索引| 354

割り当て 205

定義 205

削除 206

セキュリティ

HTTP、維持 321

ユーザーアクセスを増やす 239

セキュリティジョブ

ストレージオブジェクトへの適用 263

キャンセル 264

状態のチェック 264

ジョブ定義ファイルからの作成 263

セキュリティレベル

最小レベルの設定 127

セキュリティ設定

ファイルとディレクトリの表示 264

サーバスクリーニング

切断されたCIFS 要求のための停止 166

サーバタイムアウト

設定 168

サーバ

接続プーリングと選択 258

prefdcリストからの削除 130

LDAP、順序の選択 252

セッション

情報の表示 138

アイドル, タイムアウトする 138

属性設定の操作


属性設定要求の監視

定義 190

属性設定要求


共有境界のチェック

シンボリックリンクの無効化 286

共有

CLI からのプロパティ変更 83

作成 78

CLIからの作成 79

Windows クライアント上のMMCからの作成

79

削除 89

CLIからの削除 90

MMCからの削除 89

プロパティの表示と変更 81

MMCからのプロパティの表示と変更 81

CLIからのプロパティ表示の 82

名前付け規則 79

シャットダウンメッセージ

CIFSのための構成 143

SID-to-name マップキャッシュ

消去 244


管理 243

SID-to-name マッピングエントリ

変更ライフタイムの 244

簡易バインド

Active Directory、LDAP 258

SMB

構成 70

署名 74

通信に影響を与えるポリシーの署名 75

署名, パフォーマンスインパクト 76

v1.0 のサポート 70

v2.0 のサポート 71

v1.0、署名の強制 76

v2.0、有効化/無効化するクライアント 77

v2.0、永続ハンドルのタイムアウト 74

v2.0、永続ハンドル、有効化と無効化 74

v2.0、有効化/無効化 73

v2.0、署名の強制 76


v2.0、ファイルシステム制御 72

v2.0、コンテキスト作成のサポート 72

v2.0、有効化するとき 73

SMB 名前付けされたパイプ

有効化/無効化複数のオープンインスタンス 169

SnapMirror

ローカルグループで実行する 113

SNMP

構成 308

FTP、生成されるトラップ 308

FTP、トラップの表示 307

開始する 308

監査イベントのためのトラップ 279

UNIX クライアント上のトラップの表示 308

特定

FTP 認証スタイル 301

FTP アイドルタイムアウト 311

匿名 FTP ユーザーのホームディレクトリ 312

ホームディレクトリパス 103

HTTP サーバ root ディレクトリ 315

LDAP 管理パスワード 251

LDAP 管理ユーザー名 251

LDAP 検索ベース及びスコープ 247

LDAP サーバポート 252

自動保存ファイルの最大数 278

FTP ログファイルの最大数 307

cifsaudit.alf ファイルの最大サイズ 278

FTP ログファイルの最大サイズ 307

HTTP ログファイルの最大サイズ 315

優先ドメインコントローラーと LDAP サーバ

130

優先 LDAP サーバ 248

SSL

LDAPの有効化/無効化 249

LDAP のためのroot証明書のインストール 250

統計

FTP、再設定 309

FTP、表示 309

HTTP、表示 327

WAFL 資格キャッシュの監視 294

NFS、表示 42

クエリの保存と再利用 140

トラッキング 138

表示 139

アクセスキャッシュの表示 30

Storage-Level Access Guard

有効化 260

ジョブ定義ファイルの生成と編集 261

Storage-Level Access Guards

削除 265

シンボリックリンク

絶対、制限 287

回避 285

CIFS アクセスの制御 283

共有境界チェックの無効化 286

継承するCIFSクライアントの有効化 284

境界チェックの有効化/無効化 84

CIFSクライアントが対話する方法の特定 284

wide、有効化/無効化 84, 108

ホームディレクトリで 102

symlink 操作


symlink 要求の監視

定義 182

symlink 要求


同期


System アクセス制御リスト (SACL)

設定 268

索引| 356

システムアクセスイベント

監査 265

システムイベントの監査

構成 267

T

TCP ウィンドウサイズ

FTP、特定 310

TFTP

サーバ、有効化/無効化 300

接続の最大数の特定 310

タイムアウト

SMB 2.0 永続ハンドルタイムアウト 74

タイムアウト値

アクセスキャッシュのための設定 31

タイムアウトする

アイドルセッション 138

フィルタートレース

アクセス許可のための追加 146

アクセス許可のための表示 148

許可のための削除 147

トラップ

SNMP、監査イベントのための 279

U

UID

UNIX ユーザー名のマッピング 240

umask

PC-NFS ユーザーのファイルとディレクトリのた

めの定義 58

説明 57

アンエクスポート


Unicode

ディレクトリの変換 290

フォーマットされた、ディレクトリの作成 290

UNIX

認証 126

資格、CIFSクライアントのための管理 231

資格、CIFS ユーザーのための維持 232

資格、CIFS ユーザーのための特定 233

NTFS 又は混合ファイルシステムアクセスのた

めのLDAP 承認の有効化 254

既定ユーザーアカウントの有効化/無効化 241

ファイルアクセス詳細 282

LDAPベースのクライアント認証、有効化 253

ユーザー名をUIDとGIDにマッピングする 240

SNMPトラップの表示 308

ユーザーアカウント名

Windows、特定 67

ユーザーアカウント

有効化/無効化 Windows guest 242

UNIX、有効化/無効化 241

ユーザー ID ドメイン

NFSv4 のための特定 46

ユーザーマッピング

LDAP、特定ベース及びスコープ値 255

ユーザー名

管理、LDAPのための特定 251

マッピング 238

WindowsとUNIX間での変換 233

UNIX、UIDと GIDへのマッピング 240

ユーザー

管理、集中管理の有効化 251

CLIからの切断 141

FTP、ブロック 303

FTP、制限 304

ローカルアカウントの制限 110

ローカル、アカウントの追加、表示、削除

111

ローカル、管理 109

null、共有への許可するアクセス 133

制限 304


メッセージの送信 143

特定 137

V

バーチャルホスティング

構成 327

ウイルススキャン


ボリューム

除外リストに追加する 194

対象リストに追加する 194

対象または除外リストに追加する 194

文字マッピングの消去 229

表示 193

除外リストからの削除 195

対象リストからの削除 195

対象または除外リストからの削除 195

除外リストの再設定 197

再設定対象リスト 197

ワイルドカードでのスクリーニング 192

設定除外リスト 196

設定対象リスト 196

対象または除外リストに特定または置換 197

W

WAFL

資格キャッシュ、マッピングエントリへの追加 292

資格キャッシュ、マッピングエントリの削除

292

資格キャッシュ、統計の監視 294

警告メッセージ

FPolicy 219

WebDAV

ホームディレクトリへのアクセス 335


説明 333

ファイルアクセス 333

管理 334

サードパーティのサーバの使用 335

WebNFS


root ディレクトリの有効化 60

root ディレクトリの設定 59

root ディレクトリ名の特定 59

クライアントのサポート 58

widelink エントリ

作成 288

定義 285

使用 289

wildcards

スクリーニングのための使用 192, 199

Windows

NFS ファイルアクセスのための LDAP 承認の

有効化 253

ゲストユーザーアカウントの有効化/無効化 242

ファイルアクセス詳細 281

LDAPベースのクライアント認証, 有効化 253

ユーザーアカウント名の特定 67

サポートされるクライアント 62

サポートされるドメインコントローラー 62

workgroup 認証 126

WINS サーバ

特定 64

書き込みキャッシュ

使用 oplocks使用時のデータロス検討事項 123

書き込みオープン委任

有効化/無効化、NFSv4 51

索引| 358

ServerView with Data ONTAP-v

File Access and Protocols Management Guide

CA92276-8997-01

発行日 2011年6月

発行責任富士通株式会社

●本書の内容は、改善のため事前連絡なしに変更することがあります。

●本書に記載されたデータの使用に起因する、第三者の特許権およびその他

の権利の侵害については、当社はその責を負いません。

●無断転載を禁じます。

Documents

ServerView with Data ONTAP-vTM - Fujitsu Japanjp.fujitsu.com/platform/server/primergy/manual/pdf/bx920...目次 | 5 qtreeでのoplockの有効化と無効化 122 oplockブレークを送信するための遅延時間の変更