Data ONTAP 8.1 7-Modeファイルアクセスおよびプロトコル

Data ONTAP 8.1 7-Mode ファイルアクセスおよび
プロトコル管理ガイド
ネットアップ株式会社
http://www.netapp.com/jp/
部品番号: 215-09289_A0
作成日: 2012年5月
目次 | 3
目次
ファイルアクセス管理とは .......................................................................... 14
Data ONTAP でサポートされるファイルプロトコル ................................................ 14
Data ONTAP によるファイルアクセスの制御方法 ................................................. 14
認証ベースの制限 ........................................................................................ 14
ファイルベースの制限 .................................................................................. 14
NFS を使用したファイルアクセス ............................................................... 16
NFS ライセンスの設定 ............................................................................................. 16
ファイルシステムパスのエクスポートまたはエクスポート解除 ............................. 16
/etc/exports ファイルの編集 .......................................................................... 17
exportfs コマンドの使用 ................................................................................ 18
ファイルシステムパスに対する NFS クライアントのフェンシングの有効化と無
効化 ..................................................................................................................... 21
エクスポートされたファイルシステムパスに対応した実際のファイルシステム
パスの表示 ......................................................................................................... 22
ファイルシステムパスのエクスポートオプションの表示 ........................................ 22
アクセスキャッシュの仕組み ................................................................................... 23
アクセスキャッシュへのエントリの追加 ...................................................... 24
アクセスキャッシュのエントリの削除 .......................................................... 24
アクセスキャッシュの統計の表示 ............................................................... 25
アクセスキャッシュのパフォーマンスの最適化 .......................................... 25
アクセスキャッシュタイムアウト値の設定 .................................................. 26
NFS の Kerberos v5 セキュリティサービスの有効化 ............................................. 27
NFS で Active Directory ベースの KDC を使用するための Kerberos
v5 セキュリティサービスの設定 ............................................................ 28
NFS で UNIX ベースの KDC を使用するための Kerberos v5 セキュリ
ティサービスの設定 ............................................................................... 31
Kerberos v5 セキュリティサービスをサポートする NFS クライアント ......... 36
マウント問題のデバッグ ........................................................................................... 36
マウントサービス統計の表示 ...................................................................... 36
マウント要求のトレース ................................................................................ 37
ハードマウントの使用 .................................................................................. 37
4 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
NFS 統計の表示 ....................................................................................................... 38
非予約ポートからの NFS 要求の制御 .................................................................... 38
NFSv2 の有効化と無効化 ....................................................................................... 39
NFSv3 の有効化と無効化 ....................................................................................... 39
VMware vStorage over NFS のサポート .................................................................. 39
VMware vStorage over NFS の有効化と無効化 ......................................... 40
NFSv3 と NFSv4 のファイルシステム ID 処理の違い ............................................ 41
NFSv4 クライアントのサポート ................................................................................. 41
NFSv4 の Data ONTAP サポートについて ................................................. 41
NFSv4 の Data ONTAP サポートの制限 .................................................... 42
NFSv4 における pseudo-fs のマウントポイントへの影響 ............................ 43
NFSv4 の有効化と無効化 ........................................................................... 44
NFSv4 のユーザ ID ドメインの指定 ............................................................ 44
NFSv4 ACL の管理 ...................................................................................... 44
NFSv4 ファイル委譲の管理 ......................................................................... 48
NFSv4 ファイルおよびレコードロックの設定 .............................................. 51
ネームサーバデータベースキャッシュの仕組み ...................................... 53
ネームサーバデータベースキャッシュのフラッシュ ................................. 53
文字列としての NFSv4 ユーザおよびグループ ID の許可または拒否 .... 54
PC-NFS クライアントのサポート ............................................................................... 55
pcnfsd デーモンの仕組み ............................................................................ 55
pcnfsd デーモンの有効化と無効化 ............................................................. 55
ストレージシステムのローカルファイルでの PC-NFS ユーザエントリ
の作成 ..................................................................................................... 56
NFS ファイルのアクセス権と umask ............................................................ 56
PC-NFS ユーザが作成したファイルとディレクトリの umask の定義 .......... 57
WebNFS クライアントのサポート ............................................................................. 57
WebNFS プロトコルの有効化と無効化 ....................................................... 57
WebNFS ルートディレクトリの設定 ............................................................. 58
IPv6 経由の NFS ...................................................................................................... 59
IPv6 経由の NFS の有効化と無効化 .......................................................... 59
IPv6 アドレスのテキスト表示 ....................................................................... 59
CIFS を使用したファイルアクセス ............................................................. 60
サポートされない Windows の機能 ......................................................................... 60
目次 | 5
CIFS ライセンスの設定 ............................................................................................ 60
MMC とストレージシステムの接続 ........................................................................ 61
ストレージシステムでの CIFS の設定 .................................................................... 61
サポート対象の CIFS クライアントおよびドメインコントローラ .................. 61
cifs setup コマンドの機能 .............................................................................. 62
CIFS サーバ名の要件 .................................................................................. 62
システムの初期設定 .................................................................................... 62
WINS サーバの指定 .................................................................................... 62
ストレージシステムのドメインの変更 .......................................................... 63
プロトコルモードの変更 ............................................................................... 64
Windows ユーザアカウント名の指定 ......................................................... 66
CIFS 設定時の考慮事項 ............................................................................. 67
ストレージシステムでの CIFS の再設定 .................................................... 68
ストレージシステムでの SMB の設定 .................................................................... 69
SMB 1.0 プロトコルのサポート .................................................................... 69
SMB 2.0 プロトコルのサポート .................................................................... 69
SMB 2.1 プロトコルのサポート .................................................................... 69
SMB 2.0 プロトコルおよび SMB 2.1 プロトコルを有効にする状況 ............ 70
SMB 2.x の有効化と無効化 ........................................................................ 70
SMB 2.x と永続性ハンドル .......................................................................... 71
永続性ハンドルのステータスの監視 ........................................................... 71
SMB 署名のサポート ................................................................................... 72
共有の管理 ............................................................................................................... 76
共有を作成する際の考慮事項 .................................................................... 76
共有の命名規則 ........................................................................................... 77
Windows クライアントの MMC を使用した CIFS 共有の作成 ................... 77
Data ONTAP コマンドラインを使用した CIFS 共有の作成 ........................ 78
共有のプロパティの表示と変更 ................................................................... 79
共有の削除 ................................................................................................... 87
ACL の管理 .............................................................................................................. 88
共有レベルの ACL について ....................................................................... 88
ACL の継承の仕組み .................................................................................. 88
共有レベルの ACL の表示と変更 ............................................................... 89
ファイルレベルの ACL の表示と変更 ......................................................... 95
6 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
共有レベルの ACL とグループ ID の動作方法の指定 ............................. 97
ホームディレクトリの管理 ........................................................................................ 98
ストレージシステム上のホームディレクトリについて ................................ 99
Data ONTAP でのユーザとディレクトリの照合方法 ................................... 99
ホームディレクトリでのシンボリックリンクの機能 .................................... 100
ホームディレクトリパスの指定 ................................................................. 101
ホームディレクトリパスのリストの表示 .................................................... 102
ホームディレクトリの名前形式の指定 ...................................................... 102
ホームディレクトリパスでのディレクトリの作成（ドメインの名前形式） . . 103
ホームディレクトリパスでのディレクトリの作成（ドメイン以外の名前形
式） ......................................................................................................... 104
ホームディレクトリパス拡張機能を使用する場合のホームディレクト
リでのサブディレクトリの作成 .............................................................. 104
UNC 名を使用してホームディレクトリを指定するための構文 ................ 105
他のユーザのホームディレクトリへのアクセス許可 ................................ 105
共有のエイリアスを使用した CIFS ホームディレクトリへのアクセス ...... 106
共有からのワイドリンクの有効化と無効化 ............................................... 106
ホームディレクトリの無効化 ...................................................................... 107
BranchCache を使用したブランチオフィスでの CIFS 共有のコンテンツのキャ
ッシュ ................................................................................................................. 107
サポートされる BranchCache のキャッシュモード ..................................... 108
BranchCache の用語 .................................................................................. 109
Data ONTAP が BranchCache を実装する仕組み .................................... 110
BranchCache クライアントがキャッシュコンテンツを取得する仕組み ..... 111
サポートされる BranchCache ネットワークプロトコル ............................... 112
BranchCache を実装するための要件 ........................................................ 112
BranchCache の設定 .................................................................................. 113
CIFS 共有での BranchCache キャッシュの有効化 ................................... 114
Data ONTAP が BranchCache ハッシュを管理する仕組み ...................... 116
BranchCache ハッシュ統計情報の表示 ..................................................... 117
BranchCache サーバのシークレットキーの変更 ...................................... 119
ストレージシステムで BranchCache を無効にした場合の動作 ............... 120
ストレージシステムでの BranchCache の無効化 ..................................... 120
既存の CIFS 共有での BranchCache の無効化 ....................................... 120
目次 | 7
ローカルユーザとグループの管理 ....................................................................... 121
ローカルユーザの管理 .............................................................................. 121
ローカルグループの管理 .......................................................................... 123
グループポリシーオブジェクトの適用 .................................................................. 125
ストレージシステムで GPO を使用するための要件 ................................ 126
別の OU へのストレージシステムの関連付け ......................................... 126
ストレージシステム上での GPO サポートの有効化と無効化 ................. 127
ストレージシステム上での GPO の管理 ................................................... 127
oplock および oplock リースによるクライアントパフォーマンスの向上 ............... 134
oplock を使用するときの書き込みキャッシュデータ消失に関する考慮
事項 ....................................................................................................... 134
oplock リースによるロック強化の仕組み .................................................. 134
ストレージシステムでの oplock および oplock リースの有効化と無効
化 ........................................................................................................... 135
qtree での oplock および oplock リースの有効化と無効化 ...................... 136
oplock リースのステータスの監視 ............................................................. 136
oplock break を送信するための遅延時間の変更 ..................................... 137
認証とネットワークサービスの管理 ...................................................................... 138
認証問題について ...................................................................................... 138
ストレージシステムの最小セキュリティレベルの設定 ............................ 139
Kerberos のパッシブリプレイアタックの防御 ........................................... 140
ドメインコントローラと LDAP サーバの選択 ............................................ 141
非 Kerberos 環境でストレージにアクセスするための null セッションの
使用 ....................................................................................................... 145
ストレージシステムの NetBIOS エイリアスの作成 .................................. 148
NetBIOS over TCP の無効化 ..................................................................... 149
CIFS アクティビティの監視 ..................................................................................... 150
ユーザを指定するさまざまな方法 ............................................................. 150
セッション情報の要約の表示 ..................................................................... 150
アイドルセッションのタイムアウト .............................................................. 151
統計の追跡 ................................................................................................. 151
特定の統計の表示 ..................................................................................... 152
統計クエリの保存と再使用 ........................................................................ 152
CIFS リソースの制限 .................................................................................. 153
8 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
CIFS サービスの管理 ............................................................................................. 153
MMC を使用したクライアントの切断 ......................................................... 153
コマンドラインによる選択したユーザの切断 ............................................. 154
ストレージシステム全体での CIFS サービスの無効化 ........................... 154
CIFS シャットダウンメッセージを受信するユーザの指定 ........................ 155
CIFS サービスの再開 ................................................................................. 156
ストレージシステム上のユーザへのメッセージ送信 ................................ 156
ストレージシステムの説明の表示と変更 ................................................. 157
ストレージシステムのコンピュータアカウントパスワードの変更 ........... 157
Windows 管理ツールを使用したファイル管理について ........................... 159
アクセス制御問題のトラブルシューティング ......................................................... 160
パーミッショントレーシングフィルタの追加 .............................................. 160
パーミッショントレーシングフィルタの削除 .............................................. 161
パーミッショントレーシングフィルタの表示 .............................................. 162
Data ONTAP でアクセスが許可または拒否される理由の確認 ............... 162
FPolicy の使用 ....................................................................................................... 164
FPolicy の概要 ........................................................................................... 164
Data ONTAP 内での FPolicy の使用 ........................................................ 170
ネイティブファイルブロッキングの使用方法 ............................................ 171
FPolicy との連携 ........................................................................................ 175
FAQ、エラーメッセージ、警告メッセージ、およびキーワード .................. 223
IPv6 を使用した CIFS のサポート ......................................................................... 239
IPv6 経由の CIFS の有効化と無効化 ....................................................... 240
IPv4 または IPv6 CIFS セッションの表示 .................................................. 240
IPv4 または IPv6 CIFS セッションの累計の表示 ...................................... 243
NFS と CIFS 間でのファイルの共有 ........................................................ 244
NFS と CIFS のファイルの命名規則について ...................................................... 244
ファイル名の長さ ........................................................................................ 244
ファイル名に使用できる文字 ..................................................................... 244
ファイル名での大文字と小文字の区別 ..................................................... 244
小文字のファイル名の作成 ....................................................................... 245
Data ONTAP でのファイル名の作成方法 ................................................. 245
CIFS クライアント上でのドットファイル表示の制御 .................................. 246
UNIX と Windows 間におけるファイル名の文字変換の有効化 ......................... 246
目次 | 9
文字の制限事項 ......................................................................................... 247
ボリュームからの文字マッピングの削除 ............................................................... 248
プロトコル間のファイルロックについて ................................................................. 248
ロックの解除 ........................................................................................................... 249
ファイル指定によるロックの解除 ............................................................... 249
ホスト指定によるロックの解除 ................................................................... 250
ロック所有者の指定によるロックの解除 ................................................... 252
プロトコル指定に基づくロックの解除 ......................................................... 252
IP ネットワークファミリ指定による NLM ロックの解除 ............................ 253
読み取り専用ビットについて .................................................................................. 253
読み取り専用ビットが設定されたファイルの削除 ..................................... 254
CIFS クライアントの UNIX クレデンシャルの管理 ............................................... 255
CIFS ユーザによる UNIX クレデンシャルの取得方法 ............................ 255
特定の CIFS ユーザだけが UNIX クレデンシャルを受信できるように
設定する方法 ........................................................................................ 256
SID と名前のマッピングキャッシュの管理 ........................................................... 267
SID と名前のマッピングキャッシュの有効化と無効化 ............................ 268
SID と名前のマッピングエントリの有効期間の変更 ................................ 268
SID と名前のマッピングキャッシュの全体または一部の消去 ................ 268
LDAP サービスの使用 ........................................................................................... 270
LDAP サービスの設定 ............................................................................... 270
クライアント認証と許可の管理 .................................................................. 276
LDAP ユーザマッピングサービスの管理 ................................................ 277
ユーザマッピングのためのベースと範囲の指定 ..................................... 278
Active Directory LDAP サーバの管理 ...................................................... 279
LDAP スキーマの管理 ............................................................................... 281
fsecurity コマンドによるストレージレベルのアクセス保護の有効化 .................... 282
fsecurity コマンドについて .......................................................................... 283
ジョブ定義ファイルの生成と編集 ............................................................... 283
ジョブ定義ファイル要素の指定 .................................................................. 285
セキュリティジョブの作成とストレージオブジェクトへの適用 .................. 286
セキュリティジョブのステータスの確認と取り消し .................................... 286
ファイルおよびディレクトリのセキュリティ設定の表示 .............................. 287
ストレージレベルのアクセス保護の削除 ................................................... 287
10 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
システムアクセスイベントの監査 ......................................................................... 288
監査について .............................................................................................. 288
Data ONTAP で監査できるイベント ........................................................... 288
システムイベント監査の設定 .................................................................... 290
イベントの詳細画面の表示と概要 ............................................................. 303
シンボリックリンクへの CIFS アクセスの制御 ...................................................... 306
CIFS クライアントのシンボリックリンク参照の有効化 ............................. 307
CIFS クライアントとシンボリックリンクの連動の指定 .............................. 307
ファイルへのシンボリックリンクを使用しない理由 ................................... 308
Map エントリについて ................................................................................. 308
Widelink エントリについて ......................................................................... 309
シンボリックリンクに対する共有の境界チェックの無効化 ...................... 310
絶対シンボリックリンクのリダイレクト ....................................................... 311
ストレージシステムによる Map および Widelink エントリの使用方法 .... 312
CIFS クライアントに対する NFS ディレクトリアクセスの最適化 .......................... 313
Unicode 形式での新規ディレクトリの作成 ................................................ 313
Unicode 形式への既存のディレクトリの変換 ............................................ 314
CIFS クライアントで大文字のファイル名が作成されないようにする方法 ........... 315
NFS クライアントからの CIFS ファイルへのアクセス ............................................ 316
WAFL クレデンシャルキャッシュへのマッピングエントリの追加 ........... 316
WAFL クレデンシャルキャッシュからのマッピングエントリの削除 ........ 317
マッピングエントリの有効時間の設定 ...................................................... 317
WAFL クレデンシャルキャッシュ統計の監視 .......................................... 318
マッピングの不整合への対処 .................................................................... 320
CIFS ログインの追跡 ................................................................................. 321
ドメインコントローラ接続の追跡 ................................................................ 321
UNIX の「実行」権限がない CIFS クライアントへの.dll および.exe ファイルの
実行権限の付与 ............................................................................................... 322
Windows アプリケーションによるファイル編集が UNIX アクセス権に及ぼす
影響 ................................................................................................................... 322
FTP を使用したファイルアクセス ............................................................. 324
FTP の管理 ............................................................................................................. 324
FTP サーバの有効化と無効化 .................................................................. 324
TFTP サーバの有効化と無効化 ................................................................ 324
目次 | 11
FTP ファイルロックの有効化と無効化 ...................................................... 325
FTP 認証形式の指定 ................................................................................. 325
FTP トラバースチェックのバイパスの有効化と無効化 ............................ 327
FTP アクセスの制限 ................................................................................... 327
FTP ログファイルの管理 ........................................................................... 329
FTP サーバで生成される SNMP トラップの表示 ...................................... 332
FTP 統計の表示 ......................................................................................... 333
FTP 統計のリセット ..................................................................................... 333
FTP 接続の最大数の指定 ......................................................................... 333
TFTP 接続の最大数の指定 ....................................................................... 334
FTP 接続しきい値の設定 ........................................................................... 334
FTP 処理用の TCP ウィンドウサイズの指定 ........................................... 334
FTP アイドルタイムアウト値の指定 .......................................................... 335
匿名 FTP アクセスの管理 .......................................................................... 335
Secure File Transfer Protocol（SFTP）の管理 ......................................................... 337
SFTP について ............................................................................................ 337
SFTP の Data ONTAP サポートの制限 ..................................................... 337
SFTP の有効化と無効化 ............................................................................ 337
SFTP ファイルロックの有効化と無効化 .................................................... 338
SFTP 認証形式 ........................................................................................... 338
SFTP 認証形式の指定 ............................................................................... 339
SFTP トラバースチェックのバイパスの有効化と無効化 .......................... 339
SFTP ユーザホームディレクトリの制限の有効化と無効化 .................... 340
ユーザホームディレクトリの SFTP 優先パスの指定 .............................. 340
UNIX アクセス権の上書きの有効化と無効化 ......................................... 341
SFTP ログファイルの管理 ......................................................................... 341
SFTP 統計の表示 ....................................................................................... 342
SFTP 統計のリセット ................................................................................... 343
SFTP 接続の最大数の指定 ....................................................................... 343
SFTP アイドルタイムアウト値の指定 ........................................................ 343
FTP over SSL（FTPS）の管理 ................................................................................. 344
暗黙的 FTPS と明示的 FTPS の違い ........................................................ 344
明示的 FTPS の有効化と無効化 ............................................................... 345
12 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
セキュアモードでの明示的 FTPS データ接続のオープンの許可と禁
止 ........................................................................................................... 345
暗黙的 FTPS の有効化と無効化 ............................................................... 346
IPv6 経由の FTP の管理 ....................................................................................... 347
IPv6 経由の FTP の有効化と無効化 ........................................................ 347
IPv6 経由の FTP の統計の表示 ............................................................... 347
HTTP を使用したファイルアクセス ......................................................... 348
Data ONTAP HTTP サーバの管理 ....................................................................... 348
Data ONTAP HTTP サーバの有効化と無効化 ........................................ 348
HTTP トラバースチェックのバイパスの有効化と無効化 ......................... 348
Data ONTAP HTTP サーバのルートディレクトリの指定 ......................... 349
Data ONTAP HTTP サーバのログファイルの最大サイズの指定 .......... 349
Data ONTAP HTTP サーバのテスト ......................................................... 350
Data ONTAP HTTP サーバでの MIME コンテンツタイプとファイル名
拡張子のマッピング方法の指定 .......................................................... 350
Data ONTAP HTTP サーバでの HTTP 要求の変換方法の指定 ............ 352
MIME コンテンツタイプの値の設定 .......................................................... 354
Data ONTAP HTTP サーバのセキュリティの維持 ................................... 355
HTTP サーバの統計の表示 ...................................................................... 362
Data ONTAP HTTP サーバの統計のリセット ........................................... 364
HTTP サーバの接続情報の表示 .............................................................. 365
サードパーティ製 HTTP サーバの購入とストレージシステムへの接続 ............. 366
IPv6 経由の HTTP / HTTPS のサポート ............................................................... 367
IPv6 経由の HTTP / HTTPS の有効化と無効化 ...................................... 367
IPv4 または IPv6 経由の HTTP 接続の一覧表示 ................................... 368
WebDAV を使用したファイルアクセス .................................................... 370
WebDAV の概要 .................................................................................................... 370
Data ONTAP WebDAV サーバの管理 ................................................................. 371
Data ONTAP WebDAV サーバの有効化と無効化 .................................. 371
WebDAV クライアントからのホームディレクトリの参照 .......................... 371
サードパーティ製 WebDAV サーバの購入とストレージシステムへの接続 ...... 372
イベントログと監査ポリシーのマッピング ................................................ 373
イベントログのマッピング値 .................................................................................. 373
監査のマッピング値 ................................................................................................ 374
目次 | 13
用語集 ........................................................................................................ 376
著作権に関する情報 ................................................................................. 385
商標に関する情報 ..................................................................................... 386
ご意見をお寄せください ............................................................................ 387
索引 ............................................................................................................ 388
14 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ファイルアクセス管理とは
Data ONTAP を使用すると、さまざまなプロトコルのファイルアクセスを管理できます。
Data ONTAP でサポートされるファイルプロトコル
Data ONTAP は NFS、CIFS、FTP、HTTP、および WebDAV プロトコルを使用したファイルアクセ
スをサポートしています。
Data ONTAP によるファイルアクセスの制御方法
Data ONTAP では、指定された認証ベースおよびファイルベースの制限に従って、ファイルアクセ
スが制御されます。
ファイルアクセス制御を適切に管理するため、Data ONTAP は、NIS、LDAP、および Active
Directory サーバなどの外部サービスと通信します。 CIFS または NFS を使用するストレージシス
テムのファイルアクセスを設定するには、Data ONTAP の導入環境に応じて、サービスを適切に
設定する必要があります。
認証ベースの制限
認証ベースの制限を使用すると、ストレージシステムに接続できるクライアントマシンおよびユー
ザを指定できます。
Data ONTAP は、UNIX サーバおよび Windows サーバの両方からの Kerberos 認証をサポートし
ます。
ファイルベースの制限
ファイルベースの制限を使用すると、ファイルごとにアクセス可能なユーザを指定できます。
ユーザがファイルを作成すると、Data ONTAP では、そのファイルに関するアクセス許可のリストが
生成されます。このアクセス許可リストの形式はプロトコルにより異なりますが、読み取り / 書き込
み権限などの代表的な権限は必ず含まれます。
あるユーザがファイルにアクセスしようとすると、Data ONTAP は許可リストを使用してアクセスを
許可するかどうかを決定します。アクセスは、ユーザが実行している操作（読み取り / 書き込みな
ど）および以下の要素に基づいて、許可または拒否されます。
•
•
•
•
ユーザアカウント
ユーザグループまたはネットグループ
クライアントプロトコル
クライアント IP アドレス
ファイルアクセス管理とは | 15
•
ファイル形式
Data ONTAP は検証プロセス中に、Lightweight Directory Access Protocol（LDAP）、Network
Information Service（NIS）、Domain Name Service（DNS）、またはローカルストレージシステム情
報など、指定された検索サービスを使用して、ホスト名を IP アドレスにマッピングします。
16 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
NFS を使用したファイルアクセス
ストレージシステム上のファイルシステムパスをエクスポートおよびエクスポート解除できます。エ
クスポートすると PC-NFS や WebNFS クライアントなどの NFS クライアントによるマウントが可能
になり、エクスポート解除するとマウントできなくなります。
NFS ライセンスの設定
NFS 機能をセットアップして使用できるようにするには、ストレージシステムに NFS ライセンスをイ
ンストールしておく必要があります。ストレージシステムのライセンスは、license コマンドを使用
して設定できます。
開始する前に
有効な NFS ライセンスを営業またはサポート担当者から入手しておきます。
手順
1. 次のコマンドを入力して、ストレージシステムで現在ライセンスされている機能を表示します。
license
2. 次のいずれかを実行します。
NFS 機能に対する表示
操作
ライセンスコードが表示される
NFS のライセンスは取得済みのため、対処する必要はありません。
次のように表示される
次のコマンドを入力して NFS ライセンスをインストールします。
license add license_code
not licensed
ファイルシステムパスのエクスポートまたはエクスポート解除
ファイルシステムパスをエクスポートまたはエクスポート解除して、これらのパスを NFS クライアン
トで有効または無効にするには、/etc/exports ファイルを編集するか、exportfs コマンドを実
行します。
開始する前に
（sec=krb*エクスポートオプションを使用して）セキュアな NFS アクセスをサポートするには、最初
に Kerberos v5 セキュリティサービスを有効にする必要があります。
NFS を使用したファイルアクセス | 17
タスク概要
複数のエクスポートエントリに永久的な変更を一度に行う必要がある場合は、/etc/exports ファ
イルを直接に編集する方法が最も簡単です。ただし、エクスポートエントリを 1 つ変更する必要
がある場合や、一時的に変更する必要がある場合は、通常、exportfs コマンドを実行する方法
が最も簡単です。
/etc/exports ファイルの編集
NFS が起動した際に Data ONTAP が自動的にエクスポートするファイルシステムパスを指定する
には、/etc/exports ファイルを編集します。詳細については、na_exports(5)のマニュアルページ
を参照してください。
開始する前に
nfs.export.auto-update オプションが on（デフォルト値）の場合、Data ONTAP は、ボリューム
の作成、名前変更、あるいは削除の際に/etc/exports ファイルを自動的に更新します。詳細に
ついては、na_options(1)のマニュアルページを参照してください。
注: /etc/exports ファイルの最大行数は 10,240 です。これには、コメント行も含まれます。各
export エントリの最大文字数は、行末文字を含めて 4,096 です。
タスク概要
export エントリの構文は次のとおりです。
path -option[, option...]
path はファイルシステムパス（たとえば、ボリューム、ディレクトリ、またはファイルへのパス）、
option は次の情報を指定するエクスポートオプションです。
•
•
•
•
•
どの NFS クライアントがどのアクセス権限（読み取り専用、読み取り/書き込み、およびルート）
を保持しているか。
ファイルシステムパスにアクセスするすべての匿名ユーザまたはルート NFS クライアントユー
ザのユーザ ID（または名前）。
NFS クライアントユーザが、ファイルシステムパスにアクセスする際に setuid および setgid の
実行ファイルを作成し、mknod コマンドを使用できるかどうか。
ファイルシステムパスにアクセスするために NFS クライアントがサポートする必要があるセキ
ュリティの種類。
エクスポートされたファイルシステムパスに対応する実際のファイルシステムパス。
手順
1. ストレージシステムに対するルートアクセス権を持つ NFS クライアント上で、/etc/exports
ファイルをテキストエディタで開きます。
2. 変更を行います。
18 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
3. ファイルを保存します。
終了後の操作
テキストエディタを使用して/etc/exports ファイルを変更した場合は、/etc/exports ファイル
内のすべてのファイルシステムパスをエクスポートするか、または現在エクスポートされているファ
イルシステムパスと/etc/exports ファイルで指定されたファイルシステムパスを同期するまで、
変更は有効になりません。
注:
-b、-p、または-z オプションを指定して exportfs コマンドを実行した場合も、/etc/exports
ファイルは変更されます。
exportfs コマンドの使用
ファイルシステムパスのエクスポートまたはエクスポート解除をコマンドラインから実行するには、
exportfs コマンドを実行します。詳細については、na_exporfs(1)のマニュアルページを参照して
ください。
ファイルシステムパスのエクスポート
ファイルシステムパスは、対応するエントリを/etc/exports ファイルに追加するかどうかに関係
なく、エクスポートできます。また、/etc/exports ファイルに指定されたすべてのファイルシステ
ムパスをエクスポートすることもできます。
ファイルシステムパスのエクスポートおよび/etc/exports ファイルへの対応するエントリの追加
ファイルシステムパスをエクスポートして、対応するエクスポートエントリを/etc/exports ファイ
ルに追加するには、exportfs -p コマンドを使用します。
手順
1. 次のコマンドを入力します。
exportfs -p [options] path
options には、エクスポートオプションをカンマで区切って指定します。詳細については、
na_exports(5)のマニュアルページを参照してください。
path はファイルシステムパス（たとえば、ボリューム、ディレクトリ、またはファイルへのパス）
です。
注: エクスポートオプションを指定しないと、エクスポートされるファイルシステムパスには自
動的に rw および sec=sys エクスポートオプションが適用されます。
NFS を使用したファイルアクセス | 19
対応するエントリを/etc/exports ファイルに追加しない場合のファイルシステムパスのエクスポート
対応する export エントリを/etc/exports ファイルに追加しないでファイルシステムパスをエクス
ポートするには、exportfs -io コマンドを入力します。
手順
1. 次のコマンドを入力します。
exportfs -io [options] path
options には、エクスポートオプションをカンマで区切って指定します。詳細については、
na_exports(5)のマニュアルページを参照してください。
path はファイルシステムパス（たとえば、ボリューム、ディレクトリ、またはファイルへのパス）
です。
注: エクスポートオプションを指定しない場合、/etc/exports ファイルでファイルシステム
パスに指定されているエクスポートオプションがあれば、そのオプションが使用されます。
/etc/exports ファイルに指定されたすべてのファイルシステムパスのエクスポート
exportfs -a コマンドを使用すると、/etc/exports ファイルに指定されたすべてのファイルシス
テムパスをエクスポートできます。
手順
1. 次のコマンドを入力します。
exportfs -a
ファイルシステムパスのエクスポート解除
特定のファイルシステムパスをエクスポート解除し、オプションで対応するエントリを/etc/
exports ファイルから削除できます。また、対応するエントリを/etc/exports ファイルから削除
せずに、すべてのファイルシステムパスをエクスポート解除することもできます。
特定のファイルシステムパスのエクスポート解除
対応するエントリを/etc/exports ファイルから削除せずに、特定のファイルシステムパスをエク
スポート解除するには、exportfs -u コマンドを使用します。 exportfs -z コマンドを使用する
と、/etc/exports ファイルから特定のファイルシステムパスをエクスポート解除して、対応するエ
ントリを削除できます。
手順
1. 次のいずれかを実行します。
20 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
特定のファイルシステムパスをエクスポート解除する場合の条操作
件
/etc/exports ファイルから対応するエントリを削除しない場次のコマンドを入力します。
合
exportfs -u path
path は、ファイルシステムパスです。
/etc/exports ファイルから対応するエントリを削除する場
合
次のコマンドを入力します。
exportfs -z path
path は、ファイルシステムパスです。
すべてのファイルシステムパスのエクスポート解除
exportfs -ua コマンドを使用すると、対応するエントリを/etc/exports ファイルから削除せず
に、すべてのファイルシステムパスをエクスポート解除することができます。
開始する前に
注: このコマンドを実行すると、ファイルシステムパスがすべてアンマウントされ、すべての NFS
クライアントがストレージシステムから切断されます。
手順
1. 次のコマンドを入力します。
exportfs -ua
-u は、ファイルシステムパスのエクスポート解除を指定します。
-a は、すべてのファイルシステムパスを指定します。
現在エクスポートされているファイルシステムパスと/etc/exports ファイルで指定されたファイルシステ
ムパスの同期
/etc/exports ファイルに指定したすべてのファイルシステムパスをエクスポートし、/etc/
exports ファイルに指定されていないすべてのファイルシステムパスをエクスポート解除するに
は、exportfs -r コマンドを使用します。
手順
1. 次のコマンドを入力します。
exportfs -r
NFS を使用したファイルアクセス | 21
ファイルシステムパスに対する NFS クライアントのフェンシングの有
効化と無効化
フェンシングを使用すると、複数のファイルシステムパスへの読み取り専用アクセスまたは読み取
り/書き込みアクセスを、複数の NFS クライアントに一時的または永続的に付与できます。
タスク概要
フェンシングを有効または無効にすると、指定した NFS クライアントが新しいアクセスリストの先頭
（rw=または ro=）に移動されます。このようにリスト内の順序が変わることで、元のエクスポート
ルールが変更される可能性があります。
手順
1. 次のコマンドを入力します。
exportfs -b enable | disable save | nosave allhosts |
clientid[:clientid...] allpaths | path[:path...]
目的
操作
フェンシングを有効にする
enable オプションを指定します。
フェンシングを無効にする
disable オプションを指定します。
/etc/exports ファイルを更新する場合
save オプションを指定します。
/etc/exports ファイルの更新を禁止する場合
nosave オプションを指定します。
すべての NFS クライアントを対象にする場合
allhosts オプションを指定します。
エクスポートされたすべてのファイルシステムパスを
対象にする場合
allpaths オプションを指定します。
特定の NFS クライアントセットを対象にする場合
NFS クライアントの識別子をコロンで区切って指
定します。
特定のファイルシステムパスを対象にする場合
ファイルシステムパスをコロンで区切って指定
します。
フェンシングが有効または無効になる前に、キュー内のすべての NFS 要求が処理され、すべ
てのファイル書き込みが完了します。
22 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
エクスポートされたファイルシステムパスに対応した実際のファイル
システムパスの表示
エクスポートされたファイルシステムパスに対応した実際のファイルシステムパスを表示するに
は、exportfs -s コマンドを使用します。
タスク概要
ファイルシステムの実際のパスは、-actual オプションを使用してファイルシステムパスをエクス
ポートする場合を除いて、エクスポートされるパスと同じです。詳細については、na_exports(5)のマ
ニュアルページを参照してください。
手順
1. 次のコマンドを入力します。
exportfs -s path
path には、エクスポートされたファイルシステムパスを指定します。
ファイルシステムパスのエクスポートオプションの表示
エクスポート問題のデバッグに役立つファイルシステムパスのエクスポートオプションを表示する
には、exportfs -q コマンドを使用します。
手順
1. 次のコマンドを入力します。
exportfs -q path
path にはファイルシステムパスを指定します。
タスクの結果
指定したパスのエクスポートオプションが表示されます。
注: 各オプションのルール識別子も表示されますが、診断コマンドを使用しないかぎり、ルール
識別子は必要ありません。詳細については、テクニカルサポートにお問い合わせください。
NFS を使用したファイルアクセス | 23
アクセスキャッシュの仕組み
Data ONTAP のアクセスキャッシュは、ファイルシステムパスに NFS クライアントアクセスを許可
または拒否する際の、DNS リバースルックアップの実行回数やネットグループの解析回数を削減
します。その結果、DNS ルックアップに使用される時間が減ってパフォーマンスが向上します。
NFS クライアントがファイルシステムパスにアクセスしようとするたびに、Data ONTAP はそのアク
セスを許可するかどうかを判別する必要があります。最も単純なケース（たとえば、ファイルシステ
ムパスが ro または rw オプションのみを使用してエクスポートされる場合）を除き、Data ONTAP
は次の情報に対応するアクセスキャッシュ内の値に基づいて許可または拒否を実行します。
•
•
ファイルシステムパス
NFS クライアントの IP アドレス、アクセスタイプ、およびセキュリティタイプ
Data ONTAP がこの特定の NFS クライアントとファイルシステムパスの組み合わせに対して以前
にアクセスの判別をしていない場合や exportfs -c コマンドを使用してアクセスキャッシュエント
リを作成していなかった場合、該当する値はアクセスキャッシュエントリに存在しない場合があり
ます。この場合、Data ONTAP は次の情報を比較して、その結果に基づいてアクセスの許可また
は拒否を実行します。
•
•
NFS クライアントの IP アドレス（または必要に応じてホスト名）、アクセスタイプ、およびセキュ
リティタイプ
ファイルシステムパスのエクスポートルール
その後、比較結果はアクセスキャッシュに格納されます。
DNS リバースルックアップを実行したりネットグループを解析したりする回数を減らすため、比較
処理は 3 段階に分けて行われます。 NFS クライアントにファイルシステムパスへのアクセス権が
あるかどうかの判別に必要な場合にのみ、次の段階の比較が行われます。
第 1 段階では、NFS クライアントの IP アドレスと IP アドレスのみ（単一 IP アドレス、サブネット、お
よび Data ONTAP によりすでにホスト名から名前解決された IP アドレスを含む）で構成されるすべ
てのエクスポートルールとを比較します。
第 2 段階では、NFS クライアントの IP アドレスで DNS リバースルックアップを実行してから、NFS
クライアントのホスト名とサブドメインおよび Data ONTAP が名前解決していないホスト名で構成さ
れるすべてのエクスポートルールとを比較します。
第 3 段階では、ネットグループを解析します。
リブート後およびテイクオーバーまたはギブバック後もアクセスキャッシュ内の情報を使用できるよ
うに、エントリキャッシュが 15 分ごとにディスクにバックアップされます。
24 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
アクセスキャッシュへのエントリの追加
NFS クライアントがファイルシステムパスへの特定のアクセス権を持っているかどうかを調べるに
は（また同時に、対応するエントリをアクセスキャッシュに追加するには）、exportfs -c コマンド
を使用します。
手順
1. NFS クライアントのアクセスを確認し、アクセスキャッシュにエントリを追加するには、次のコマ
ンドを入力します。
exportfs -c clientaddr[:clientaddr...] path [accesstype] [securitytype]
clientaddr には NFS クライアントの IP アドレスを指定します。
path にはファイルシステムパスを指定します。
accesstype には次のいずれかのアクセスタイプのオプションを指定します。
•
•
•
ro—読み取り専用アクセス
rw—読み取り / 書き込みアクセス
root—ルートアクセス
アクセスの種類を指定しないと、NFS クライアントがファイルシステムパスのマウントを実行で
きるかどうかだけが確認されます。
securitytype には次のいずれかのセキュリティオプションを指定します。
•
•
•
•
•
sys—UNIX 形式のセキュリティ
none—セキュリティなし
krb5—Kerberos Version 5 認証
krb5i—Kerberos Version 5 統合サービス
krb5p—Kerberos Version 5 プライバシサービス
セキュリティタイプを指定しないと、NFS クライアントのセキュリティタイプは sys であるとみな
されます。
アクセスキャッシュのエントリの削除
ファイルシステムパスのエクスポートを解除するか、またはエントリがタイムアウトすると、アクセス
キャッシュのエントリが自動的に削除されます。アクセスキャッシュからエントリを手動で削除する
には、exportfs -f コマンドを使用します。
タスク概要
手順
1. 次のいずれかを実行します。
NFS を使用したファイルアクセス | 25
目的
入力するコマンド
アクセスキャッシュからすべてのエントリを削除する
exportfs -f
アクセスキャッシュから特定のファイルシステムパスのすべ exportfs -f path
てのエントリを削除する
アクセスキャッシュから特定のクライアントのすべてのエント exportfs -f -n
リを削除する
clientIP_or_hostname
アクセスキャッシュから特定のクライアントの特定のファイル exportfs -f -n
システムパスのすべてのエントリを削除する
clientIP_or_hostname path
あるクライアントのリバースルックアップ DNS エントリが変更されたためにアクセスキャッシュ
をフラッシュする場合、-n パラメータを使用して、リバースルックアップ DNS キャッシュもフラッ
シュする必要があります。これにより、古いリバースルックアップ DNS キャッシュエントリによ
る問題を防止できます。
注: exportfs -f コマンドを実行できるのは 60 秒に 1 回です。
詳細については、na_exporfs(1)のマニュアルページを参照してください。
アクセスキャッシュの統計の表示
アクセスキャッシュの統計を表示するには、nfsstat -d コマンドを入力します。これにより、アク
セスキャッシュ統計、接続、要求、およびその他のトラブルシューティング用の詳細情報が表示さ
れます。
手順
1. アクセスキャッシュの統計を表示するには、次のコマンドを入力します。
nfsstat -d
アクセスキャッシュの統計の詳細については、na_nfsstat(1)のマニュアルページを参照してくだ
さい。
アクセスキャッシュのパフォーマンスの最適化
アクセスキャッシュのパフォーマンスを最適化するには、同じエクスポートルールをできるだけ再
利用する必要があります。
タスク概要
Data ONTAP では、同じルールを指定するすべてのエクスポートエントリに対して、1 つのアクセス
キャッシュエントリが保持されます。
手順
1. できるだけ同じエクスポートファイルを再利用してください。
26 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
例
ro,rw=@group1 ルールは次の両方の export エントリ内にありますが、このルールに対して
保持されるアクセスキャッシュエントリは 1 つです。
/vol/a -sec=sys,ro,sec=sys,rw=@group1,sec=krb5,rw=@group2
/vol/b -sec=sys,ro,sec=sys,rw=@group1
アクセスキャッシュタイムアウト値の設定
複数のオプションを設定して、アクセスキャッシュタイムアウトの動作をカスタマイズすることがで
きます。格納される情報の保持期間を指定して、アクセスキャッシュのパフォーマンスを調整でき
ます。
手順
1. Data ONTAP がアクセスキャッシュ内にエントリを保持する期間を指定するには、次のコマンド
を入力します。
options nfs.export.harvest.timeout integer
integer には、エクスポートアクセスキャッシュ内のエントリに対するアイドル期限（秒）を設定
します。デフォルト値は 3600 秒（1 時間）です。最小値は 60 秒です。最大値は 604800 秒で
す（7 日間）。
2. Data ONTAP がアクセスを拒否されたアクセスキャッシュエントリを更新するまでの期間を指
定するには、次のコマンドを入力します。
options nfs.export.neg.timeout integer
integer には、タイムアウト（秒）を指定します。デフォルト値は 1800 秒（30 分）です。最小値
は 60 秒です。最大値は 604800 秒です（7 日間）。
3. Data ONTAP がアクセスを許可されたアクセスキャッシュエントリを更新するまでの期間を指
定するには、次のコマンドを入力します。
options nfs.export.pos.timeout integer
integer には、エクスポートアクセスキャッシュ内のエントリに対するアイドル期限（秒）を設定
します。このオプションのデフォルト値は 36000 秒（10 時間）です。最小値は 60 秒です。最大
値は 604800 秒です（7 日間）。詳細については、na_options(1)のマニュアルページを参照して
ください。
NFS を使用したファイルアクセス | 27
NFS の Kerberos v5 セキュリティサービスの有効化
NFS で Kerberos v5 セキュリティサービスを有効にするには、nfs setup コマンドを使用します。
タスク概要
Data ONTAP は、Kerberos v5 認証プロトコルを使用してセキュリティで保護された NFS アクセスを
提供し、制御されたドメイン内でのデータのセキュリティとユーザの識別情報のセキュリティを確保
します。
Data ONTAP による NFS 向けの Kerberos v5 の実装では、次の表に示すように、Active Directory
ベースと UNIX ベースの 2 種類の Kerberos Key Distribution Center（KDC;キー配布センター）が
サポートされています。
KDC の種類
説明
Active Directory ベー
ス
NFS の Kerberos 領域は、Active Directory ベースの KDC です。
Microsoft Active Directory 認証（Kerberos ベース）で CIFS を設定する
必要があります。その結果、NFS は CIFS ドメインコントローラを KDC
として使用するようになります。
UNIX ベース
NFS の Kerberos 領域は、MID または Heimdal KDC です。
複数領域
NFS では UNIX ベース KDC を、CIFS では Active Directory ベース
KDC を使用します。 Data ONTAP 7.3.1 以降のリリースで使用できま
す。
注: Kerberos の複数領域構成をサポートするために、Data ONTAP は 2 組のプリンシパルファ
イルと keytab ファイルを使用します。 Active Directory ベース KDC の場合、プリンシパルファイ
ルと keytab ファイルは、Data ONTAP 7.3.1 より前のリリースと同様、それぞれ/etc/
krb5auto.conf および/etc/krb5.keytab です。一方、UNIX ベースの KDC の場合、プリン
シパルファイルと keytab ファイルはそれぞれ /etc/krb5.conf と/etc/UNIX_krb5.keytab
です。 Data ONTAP 7.3.1 以降では、UNIX ベースの KDC の keytab ファイルは/etc/
krb5.keytab から/etc/UNIX_krb5.keytab に変更されています。
しかし、UNIX ベース KDC を NFS で使用するように設定された Data ONTAP 7.3.1 より前のリ
リースからアップグレードする場合、古い keytab ファイル/etc/krb5.keytab が引き続き使用
されます。 UNIX ベースの KDC で新しい keytab ファイル/etc/UNIX_krb5.keytab の使用が
必要になるのは、これらのリリースからのアップグレード後に CIFS を再設定する場合や、CIFS
に Active Directory ベース KDC を設定したあと初めて NFS を設定する場合のみです。
28 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
NFS で Active Directory ベースの KDC を使用するための Kerberos v5 セキュリテ
ィサービスの設定
cifs setup コマンドの実行前または実行後に NFS で Active Directory ベースの KDC を使用す
るように Kerberos v5 セキュリティサービスを設定できます。セキュリティサービスのセットアップ
手順では、ストレージシステムを nfs/hostname.domain@REALM というサービスプリンシパルとし
て Active Directory ベースの KDC に追加します。
CIFS 設定前に NFS で Active Directory ベース KDC を使用するための Kerberos v5 セキュリティ
サービスの設定
cifs setup を実行して CIFS 設定していない場合は、設定していれば CIFS 設定から取り込まれ
る構成情報を入力する必要があります。
開始する前に
Active Directory ベースのドメインネームサービスを使用するようストレージシステムを設定し、
Active Directory サーバだけが表示されるように/etc/resolv.conf ファイルを変更する必要が
あります。
たとえば、Active Directory サーバが 172.16.1.180 および 172.16.1.181 の Kerberos 領域について
は、次の Active Directory サーバエントリだけが含まれるように/etc/resolv.conf を変更しま
す。
nameserver 172.16.1.180
nameserver 172.16.1.181
同じ領域の他の Active Directory サーバをすべて削除します。
タスク概要
すでに nfs setup を使用して構成情報を入力している場合は、表示されるプロンプトは次の手順
に示されるものと異なっているかもしれません。
手順
1. 次のコマンドを入力します。
nfs setup
次のメッセージが表示されます。
Enable Kerberos for NFS?
2. y と入力して続行します。
KDC の種類を指定するよう指示されます。
NFS を使用したファイルアクセス | 29
The filer supports these types of Kerberos Key Distribution Centers
(KDCs):
1 - UNIX KDC
2 - Microsoft Active Directory KDC
Enter the type of your KDC (1-2):
3. 次のように入力します。2
ストレージシステム名を指定するよう指示されます。
The default name of this filer will be 'SERVER'
Do you want to modify this name? [no]:
4. ストレージシステム名を入力するには yes を、デフォルトのストレージシステム名「SERVER」
を使用する場合は Enter キーを押します。
ストレージシステムの Active Directory サーバのドメイン名を指定するよう指示されます。
Enter the Windows Domain for the filer []:
5. Active Directory サーバのドメイン名を入力します。
入力したドメイン名は Kerberos 領域名としても使用されます。
ローカル管理者アカウントを設定するよう指示されます。
6. ローカル管理者アカウント情報を入力します。
注: この手順は、Active Directory KDC の Kerberos 設定には影響がありません。
7. ローカル管理者アカウント情報を入力したあとで、表示されるメッセージを確認します。
次の例に示すようなメッセージが表示されるはずです。
ADKDC.LAB.DOCEXAMPLE.COM is a Windows 2000(tm) domain.
このメッセージは、ストレージシステムが Active Directory サーバを検出したこと、そしてストレ
ージシステムがこのサーバは KDC サーバとして機能できると判断したことを確認するもので
す。
このようなメッセージが表示されない場合は、Active Directory サーバに問題があるか、ストレ
ージシステムの DNS サーバが Active Directory サーバでない可能性があります。ネットワー
ク構成をチェックして、nfs setup を再び実行します。
8. 次のようなメッセージが表示された場合は、Active Directory ドメイン管理者の名前とパスワー
ド情報を入力します。
In order to create this filer's domain account, you must supply the
name and password of an administrator account with sufficient
privilege to add the filer to the ADKDC.LAB.DOCEXAMPLE.COM domain.
30 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
Please enter the Windows 2000 user
[[email protected]] Password for Administrator:
パスワードが正しく、指定されたアカウントにストレージシステムドメイン内の適切な権限があ
る場合は、次の種類のメッセージが表示されます。
CIFS - Logged in as [email protected].
Welcome to the ADKDC (ADKDC.LAB.DOCEXAMPLE.COM) Windows 2000(tm)
domain.
Kerberos now enabled for NFS.
NFS setup complete.
タスクの結果
NFS 設定が終了すると出力テキストに次のメッセージが表示されます。このメッセージはインスト
ールプロセスの誤認であり、無視してかまいません。
CIFS is not licensed.
(Use the "license" command to license it.)
CIFS 設定後に NFS で Active Directory ベース KDC を使用するための Kerberos v5 セキュリティ
サービスの設定
すでに cifs setup が実行されており、CIFS で Active Directory を使用するよう Data ONTAP が
設定されている場合、nfs setup では CIFS に指定した設定情報の一部を自動的に使用します。
タスク概要
注: すでに nfs setup を使用して設定情報を入力している場合、表示されるプロンプトは次の
手順に示されるものと異なる可能性があります。
手順
1. 次のコマンドを入力します。
nfs setup
nfs setup から次のメッセージが表示されます。
Enable Kerberos for NFS?
2. y を入力して、作業を続行します。
KDC の種類を指定するよう指示されます。
The filer supports these types of Kerberos Key Distribution Centers
(KDCs):
1 - UNIX KDC
NFS を使用したファイルアクセス | 31
2 - Microsoft Active Directory KDC
Enter the type of your KDC (1-2):
3. 2 を入力します。
次のメッセージが表示されます。
Kerberos now enabled for NFS.
NFS setup complete.
タスクの結果
この操作により Data ONTAP で NFS 経由の Active Directory ベースの KDC Kerberos が設定さ
れました。
NFS で UNIX ベースの KDC を使用するための Kerberos v5 セキュリティサービス
の設定
NFS で UNIX ベース KDC を使用できるように Kerberos v5 セキュリティサービスを設定するに
は、プリンシパル（領域ユーザ ID）を作成して、ストレージシステムの keytab（キーテーブルファイ
ル）を生成し、UNIX ベース KDC を使用するように Data ONTAP を設定します。
開始する前に
次の要件が満たされていることを確認します。
•
•
ルートおよび 1 つ以上のルートでないクライアントのクライアントプリンシパルで、NFS クライア
ントおよび UNIX ベースの KDC が設定されていること
NFS アクセスがクライアントと既存のネットワークサーバで確認されていること
セキュア NFS の設定と使用の前に、ストレージシステム上で DNS を有効にしてください。ホスト
コンポーネントが完全修飾ドメイン名（Fully Qualified Domain）になっておらず、DNS が有効になっ
ていない場合、あとで DNS を有効にできるよう NFS サーバプリンシパル名をすべて変更する必
要があります。
注: UNIX ベース KDC を使用して CIFS クライアントを認証することはできません（所有者による
制限のため、CIFS クライアントをサポートする UNIX ベースの Kerberos 実装はありません）。
ただし、Kerberos の複数領域機能を備えた Data ONTAP 7.3.1 以降のリリースでは、CIFS クラ
イアントの認証に Microsoft Active Directory ベースの KDC を使用するように CIFS を設定する
と同時に、NFS クライアントの認証に UNIX ベースの KDC を使用するように NFS を設定するこ
とができます。
タスク概要
次の手順では、ストレージシステムを nfs/hostname.domain@REALM というサービスプリンシパ
ルとして標準 UNIX ベースの KDC に追加する例を使用して説明します。
32 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
プリンシパルの作成と keytab ファイルの生成
プリンシパルを作成し、keytab ファイルを生成するには、kadmin コマンドを使用します。
開始する前に
バージョンに関係なく Kerberos が現在ストレージシステム上で有効になっている場合は、まず
nfs setup を実行してこれを無効にする必要があります。 Kerberos が有効になっている場合は、
次のプロンプトが表示されます。
Disable Kerberos for NFS?
y または n のどちらを入力した場合も、NFS の設定作業は終了します。Kerberos を無効にする選
択をした場合、終了する前に、過去に設定された現在の Kerberos 実装が無効になります。 UNIX
ベースの Kerberos については、nfs.kerberos.file_keytab.enable オプションが off に設定
されます。
手順
1. UNIX ベースの Kerberos v5 サービスをサポートする UNIX または Linux 上では、kadmin コ
マンドまたは kadmin.local コマンドを入力します（KDC にログインしている場合）。
2. kadmin または kadmn.local のコマンドラインで、次のコマンドを入力します。
ank -randkey nfs/hostname.domain
hostname はサーバプリンシパルのホスト名、domain は NFS サーバプリンシパルのドメイン
です。
NFS サーバにプリンシパルが作成されます。たとえば、nfs/
[email protected]_COMPANY.COM の場合、領域は
@LAB.MY_COMPANY.COM です。
KDC ソフトウェアが、Data ONTAP ではサポートされないデフォルト暗号化タイプ（des3*または
aes128*暗号化タイプなど）を使用してプリンシパルを作成している場合は、-e パラメータを指
定して ank コマンドを呼び出し、des-cbc-md5:normal などの Data ONTAP でサポートされる暗
号化タイプを指定する必要があります。次に、des-cbc-md5 暗号化タイプを使用し、プリンシパ
ルを作成するコマンドの例を示します。
kadmin: ank -e des-cbc-md5:normal -randkey nfs/server.lab.my_company.com
詳細については、KDC ソフトウェアのマニュアルを参照してください。
3. kadmin または kadmn.local のコマンドラインで、次のコマンドを入力します。
xst -k/tmp/filer.UNIX_krb5.conf nfs/hostname.domain
hostname はサーバプリンシパルのホスト名、domain はステップ 2 で作成したサーバプリン
シパルのドメインです。たとえば、次のように入力します。
kadmin: xst -k/tmp/filer.UNIX_krb5.conf nfs/server.lab.my_company.com
NFS を使用したファイルアクセス | 33
サーバプリンシパルの nfs/[email protected]_COMPANY.COM に
keytab が作成されます。 KVNO 3 暗号化タイプ DES-CBC-CRC が keytab の WRFILE:/tmp/
filer.UNIX_krb5.conf に追加されます。
KDC ソフトウェアが、Data ONTAP ではサポートされないデフォルト暗号化タイプ（des3*または
aes128*暗号化タイプなど）を使用して keytab を作成している場合は、-e パラメータを指定して
xst コマンドを呼び出し、des-cbc-md5:normal などの Data ONTAP でサポートされる暗号化タ
イプを指定する必要があります。たとえば、次のコマンドは des-cbc-md5 暗号化タイプを使用し
て keytab を作成します。
xst -k /tmp/filer.keytab -e des-cbc-md5:normal nfs/
filer.lab.mycompany.com
詳細については、KDC ソフトウェアのマニュアルを参照してください。
4. NFS サーバで、次のコマンドを入力します。
cp /tmp/filer.UNIX_krb5.keytab /net/filer/vol/vol0/etc/
krb5.UNIX_krb5.keytab
keytab がストレージシステムにコピーされます。
注目: Keytab をストレージシステムにコピーしたあとで、ボリュームから/etc サブディレクトリ
をエクスポートしないでください。 /etc サブディレクトリをエクスポートすると、クライアントが
キー情報を読み取ってストレージシステムになりすます可能性があります。
5. krb5.conf ファイルをストレージシステムにコピーするには、次のいずれかの手順を実行しま
す。MIT KDC ソフトウェアを実行している UNIX クライアントでは、次のコマンドを入力します。
cp /etc/krb5.conf /net/filer/vol/vol0/etc/krb5.conf
SEAM を実行している Solaris クライアントでは、次のコマンドを入力します。
cp /etc/krb5/krb5.conf /net/filer/vol/vol0/etc/krb5.conf
NFS の Kerberos v5 セキュリティサービスの有効化
NFS で Kerberos v5 セキュリティサービスを有効にするには、nfs setup コマンドを使用します。
開始する前に
nfs setup コマンドを使用すると、サーバプリンシパルと keytab ファイルを作成する前にストレー
ジシステムで UNIX ベース KDC を設定できます。ただし、サーバプリンシパルと keytab ファイル
を作成しないと Kerberos を使用することはできません。
手順
1. 次のコマンドを入力します。
nfs setup
nfs setup から次のメッセージが表示されます。
34 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
Enable Kerberos for NFS?
2. y を入力して、作業を続行します。
KDC の種類を指定するよう指示されます。
The filer supports these types of Kerberos Key Distribution Centers
(KDCs):
1 - UNIX KDC
2 - Microsoft Active Directory KDC
Enter the type of your KDC (1-2):
3. 1 を入力します。
サーバプリンシパルファイルおよび keytab ファイルをまだ設定していない場合、次のいずれか
の警告が表示されますが、設定プロセスは続行します。
nfs setup を新規インストール後に実行した場合は、次の警告メッセージが表示されます。
There is no /etc/krb5.conf file yet. You will need to establish one.
Unix KDC uses the keytab file /etc/UNIX_krb5.keytab. There is no /etc/
UNIX_krb5.keytab file yet. You will need to establish one.
nfs setup を cifs setup の実行後（かつ Active Directory ベース KDC を使用するように
CIFS を設定していた場合）に実行すると、次の警告メッセージが表示されます。
There is no /etc/krb5.conf file yet. You will need to establish one.
You have an existing keytab file /etc/krb5.keytab. Your new keytab
file for Unix KDC would be /etc/UNIX_krb5.keytab.
NOTE: If CIFS Active Directory based authentication has been
configured on this filer at any point in the past, the /etc/
krb5.keytab might belong to CIFS. Do you want to rename your existing
keytab file /etc/krb5.keytab to the new keytab file /etc/
UNIX_krb5.keytab.
(Yes/No)? n
Unix KDC uses the keytab file /etc/UNIX_krb5.keytab. There is no /etc/
UNIX_krb5.keytab file yet. You will need to establish one.
Data ONTAP を Data ONTAP 7.3.1 より前のリリースからのアップグレード後に初めて nfs
setup を実行すると、次の警告メッセージが表示されます。
Your new keytab file for Unix KDC would be /etc/UNIX_krb5.keytab.
NOTE: If CIFS Active Directory based authentication has been
configured on this filer at any point in the past, the /etc/
krb5.keytab might belong to CIFS. Do you want to rename your existing
keytab file /etc/krb5.keytab to the new keytab file /etc/
NFS を使用したファイルアクセス | 35
UNIX_krb5.keytab. (Yes/No)? y
/etc/krb5.keytab renamed to /etc/UNIX_krb5.keytab
最後の 2 つのプロンプトのどちらかに No（n）を返すと、nfs setup は keytab ファイルの名前
を変更せずに処理を続行します。
Kerberos 領域名を入力するように指示されます。
Enter the Kerberos realm name.
4. UNIX ベース KDC の領域名を入力します。
領域名は、NFS サーバの Kerberos プリンシパル名の領域に関連する部分（NFS サーバプリ
ンシパルに指定された名前）です。たとえば、MY_COMPANY.COM などです。入力した領域
名は、nfs.kerberos.realm オプションの値を変更することにより、あとで確認または変更で
きます。
options nfs.kerberos.realm realm_name
注: Data ONTAP は、UNIX ベースの KDC の小文字の領域名をサポートしますが、Active
Directory KDC の小文字の領域名はサポートしません。
例
次のコマンドを入力して、Kerberos 領域名 LAB.MY_COMPANY.COM を指定します。
options nfs.kerberos.realm LAB.MY_COMPANY.COM
ホストインスタンスを入力するように指示されます。
Enter the host instance of the NFS server principal name [default:
server.lab.my_company.com]:
5. ホストインスタンスを入力します。
DNS が有効である場合、これを使用してホストの完全修飾ドメイン（Fully Qualified Domain）を
入力したことを確認します。部分名を入力した場合、ホストが DNS に入力されていれば、欠落
したドメイン情報がエントリに追加されます。
入力したホストインスタンスは nfs.kerberos.principal オプションで確認できます。
options nfs.kerberos.principal
nfs setup スクリプトは、ホストインスタンスと領域名のエントリを使用して Kerberos プリンシ
パルを識別します。このプリンシパルは、次に示すように nfs setup エントリから派生したも
のです。
nfs/value from nfs.kerberos.principal@value from nfs.kerberos.realm
36 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ホストインスタンスを入力し、nfs setup を終了すると、生成したキーテーブルファイルを使
用するようストレージシステムが設定されます。 nfs setup を再び実行することにより、あとで
設定を変更できます。
デフォルトの keytab ファイルの指定
/etc/krb5.conf ファイルを編集してデフォルトの keytab ファイルを編集する場合、Kerberos 認
証が失敗しないように正しい構文を使用する必要があります。
NFS 用 Kerberos V5 で UNIX ベースの KDC を使用している場合、必要に応じてプリンシパルフ
ァイル/etc/krb5.conf を編集して、デフォルトの keytab ファイルを参照するようにします。デフォ
ルトの keytab ファイルを指定するには、プリンシパルファイル/etc/krb5.conf の
[libdefaults]セクションに次の行を追加します。
default_keytab_name = FILE:/etc/UNIX_krb5.keytab
FILE:を keytab ファイルへのパスに必ず追加してください。 NFS の Kerberos Realm が Active
Directory ベースの KDC の場合は、メモリから keytab ファイルが読み取られます。一方、NFS の
Kerberos Realm が UNIX ベースの KDC の場合は、認証時に keytab ファイルを読み取る必要が
あります。 FILE:パラメータを省略したり MEMORY:を指定したりすると、Kerberos 認証が失敗する
ことがあります。
Kerberos v5 セキュリティサービスをサポートする NFS クライアント
NFS クライアントで Kerberos v5 セキュリティサービスを使用する前に、NFS クライアントが
RFC1964 および RFC2203 をサポートしているか確認する必要があります。
詳細については、Interoperability Matrix を参照してください。
マウント問題のデバッグ
マウント問題をデバッグするには、マウントサービス統計を表示し、mountd 要求をトレースしま
す。
マウントサービス統計の表示
マウントサービスの統計を表示するには、nfsstat -d コマンドを入力します。
手順
1. 次のコマンドを入力します。
nfsstat -d
タスクの結果
Data ONTAP は、次のマウントサービス統計を表示します。
NFS を使用したファイルアクセス | 37
v2 mount (requested, granted, denied, resolving)
v2 unmount (requested, granted, denied)
v2 unmount all (requested, granted, denied)
v3 mount (requested, granted, denied, resolving)
v3 unmount (requested, granted, denied)
v3 unmount all (requested, granted, denied)
mount service requests (curr, total, max, redriven)
詳細については、na_nfsstat(1)のマニュアルページを参照してください。
マウント要求のトレース
mountd 要求をトレースするには、/etc/syslog.conf ファイルに*.debug エントリを追加し、
nfs.mountd.trace オプションを on に設定します。
タスク概要
DOS 攻撃によって syslog が膨大な回数アクセスされる可能性があるため、このオプションはデバ
ッグセッション時のみ有効にしてください。
デフォルトでは、nfs.mountd.trace オプションは off になっています。
手順
1. /etc/syslog.conf ファイルを編集し、*.debug エントリを追加します。
syslog.conf ファイルにエントリを追加する方法については、na_syslog.conf(5)のマニュアル
ページを参照してください。
2. nfs.mountd.trace オプションを有効にするには、次のコマンドを入力します
options nfs.mountd.trace on
nfs.mountd.trace オプションの詳細については、na_options(1)のマニュアルページを参照し
てください。
ハードマウントの使用
マウントの問題をトラブルシューティングする場合、正しい種類のマウントを使用していることを確
認します。 NFS は 2 つのマウントタイプをサポートしています。ソフトマウントとハードマウントで
す。信頼性を向上させるために、ハードマウントのみを使用してください。
ソフトマウントは使用しないでください（特に、NFS タイムアウトが頻繁に発生する場合）。タイムア
ウトによって競合状態が発生し、データが破損する可能性があります。
38 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
NFS 統計の表示
パフォーマンスの監視と問題の診断用に、ストレージシステムの NFS 統計を表示することができ
ます。
手順
1. NFS 統計を表示するには、次のコマンドを入力します。
nfsstat
nfsstat コマンドを使用すると、すべてのクライアントの NFS 統計を表示できます。
nfs.per_client_stats.enable オプションが on の場合に、 nfsstat -h または nfsstat
-l コマンドを使用すると、クライアント単位で NFS 統計を表示できます。
NFS 統計を表示するだけでなく、 nfsstat コマンドを使用して NFS 統計をリセットすることもで
きます。
詳細については、na_nfsstat(1)のマニュアルページおよび次のトピックを参照してください。
•
•
マウントサービス統計の表示
NFSv4 のファイル委譲統計の表示
非予約ポートからの NFS 要求の制御
nfs.mount_rootonly オプションを有効にすると、非予約ポートからの NFS マウント要求を拒否
することができます。非予約ポートからのすべての NFS 要求を拒否するには、
nfs.nfs_rootonly オプションを有効にします。
タスク概要
デフォルトでは、オプション nfs.mount_rootonly は on になっています。
デフォルトでは、オプション nfs.nfs_rootonly は off になっています。
これらのオプションは、NULL プロシージャには適用されません。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
非予約ポートからの NFS マウント要求を許可する
options nfs.mount_rootonly off
非予約ポートからの NFS マウント要求を拒否する
options nfs.mount_rootonly on
NFS を使用したファイルアクセス | 39
目的
入力するコマンド
非予約ポートからのすべての NFS 要求を許可する
options nfs.nfs_rootonly off
非予約ポートからのすべての NFS 要求を拒否する
options nfs.nfs_rootonly on
NFSv2 の有効化と無効化
NFSv2 を有効または無効にするには、nfs.v2.enable オプションを変更します。有効にすると、
クライアントからのファイルアクセスに NFSv2 プロトコルを使用できるようになります。デフォルト
では、NFSv2 は有効になっています。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
NFSv2 を有効化する
options nfs.v2.enable on
NFSv2 を無効化する
options nfs.v2.enable off
NFSv3 の有効化と無効化
NFSv3 を有効または無効にするには、nfs.v3.enable オプションを変更します。これにより、
NFSv3 プロトコルを使用してクライアントがファイルにアクセスできるかどうかを指定できます。デ
フォルトでは、NFSv3 が有効です。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
NFSv3 を有効にする
options nfs.v3.enable on
NFSv3 を無効にする
options nfs.v3.enable off
VMware vStorage over NFS のサポート
Data ONTAP は、NFS 環境で特定の VMware vStorage API for Array Integration（VAAI）機能を
サポートしています。
サポートされている機能は次のとおりです。
40 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
コピーオフロ ESXi ホストで、仮想マシンや仮想マシンディスク（VMDK）のコピーを、ホストを介
ード
さずにソースとデスティネーションのデータストア間で直接行うことができます。こ
れにより、ESXi ホストの CPU サイクルやネットワーク帯域幅を節約できます。ソ
ースボリュームがスパースボリュームの場合、コピーオフロードでスペース効率
が保持されます。
スペースリスペースをリザーブして VMDK ファイル用のストレージスペースを確保します。
ザベーション
VMware vStorage over NFS を使用する場合は、次の制限事項に注意してください。
•
•
•
FlexCache では vStorage はサポートされません。
vFiler ユニット間およびストレージシステム間では、コピーオフロードはサポートされません。
次の場合にコピーオフロード処理が失敗することがあります。
•
•
•
ソースまたはデスティネーションのボリュームで wafliron を実行しているとき（ボリュームが
一時的にオフラインになるため）。
ソースボリュームまたはデスティネーションボリュームを移動しているとき。
テイクオーバーまたはギブバック処理を実行しているとき。
VMware vStorage over NFS の有効化と無効化
VMware vStorage over NFS のサポートを有効または無効にするには nfs.vstorage.enable オ
プションを使用します。デフォルトでは、VMware vStorage over NFS のサポートは無効になってい
ます。
開始する前に
ストレージシステムで NFSv3 および NFSv4 が有効になっている必要があります。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
VMware vStorage のサポートを有効にする
options nfs.vstorage.enable on
VMware vStorage のサポートを無効にする
options nfs.vstorage.enable off
終了後の操作
この機能を使用する前に、VMware VAAI の NFS プラグインをインストールする必要があります。
詳細については、『Installing the NetApp NFS Plug-in for VMware VAAI』を参照してください。
NFS を使用したファイルアクセス | 41
NFSv3 と NFSv4 のファイルシステム ID 処理の違い
.snapshot サブディレクトリとファイルに対して、NFSv3 および NFSv4 のアクティブファイルシス
テムと同じファイルシステム ID（FSID）を返すか、異なる FSID を返すかを設定できます。
エクスポートされたパスをマウントし、.snapshot ディレクトリとサブディレクトリのディレクトリ一覧
を取得すると、返されるファイルとディレクトリの属性には FSID が含まれます。 .snapshot サブ
ディレクトリの FSID は、アクティブファイルシステムの FSID と同じです。 .snapshot サブディレク
トリの FSID は、次の 2 つのオプションの設定によって異なります。
状況または条件
結果
次のオプションを有効にする。
NFSv3 要求に対して、.snapshot ディレクト
リ内のディレクトリおよびファイルに対して返さ
れる FSID は、アクティブファイルシステムの
FSID と同じです。
nfs.v3.snapshot.active.fsid.enable
次のオプションを無効にする。
nfs.v3.snapshot.active.fsid.enable
次のオプションを有効にする。
nfs.v4.snapshot.active.fsid.enable
次のオプションを無効にする。
nfs.v4.snapshot.active.fsid.enable
NFSv3 要求に対して、.snapshot ディレクト
リ内のディレクトリおよびファイルに対して返さ
れる FSID は、アクティブファイルシステムの
FSID と異なります。
NFSv4 要求に対して、.snapshot ディレクト
リ内のディレクトリおよびファイルに対して返さ
れる FSID は、アクティブファイルシステムの
FSID と同じです。
NFSv4 要求に対して、.snapshot ディレクト
リ内のディレクトリおよびファイルに対して返さ
れる FSID は、アクティブファイルシステムの
FSID と異なります。
NFSv4 クライアントのサポート
NFSv4 クライアントのサポートには、NFSv4 プロトコルの有効化または無効化、NFSv4 ユーザ ID
ドメインの指定、NFSv4 ACLS とファイル委譲の管理、およびファイルおよびレコードのロック設定
が含まれます。
NFSv4 の Data ONTAP サポートについて
Data ONTAP は、SPKM3 および LIPKEY のセキュリティ機能を除く、NFSv4 の必須機能をすべて
サポートしています。
次の機能が含まれます。
42 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
COMPOUND クライアントは 1 回の Remote Procedure Call（RPC;リモートプロシージャコール）
要求で複数のファイル操作を要求できます。
ファイル委譲
サーバは一部の種類のクライアントにファイル制御を委任して読み取り / 書き込
みアクセスを許可できます。
Pseudo-fs
NFSv4 サーバでストレージシステムのマウントポイントの決定に使用します。
NFSv4 にはマウントプロトコルはありません。
ロック
リースベースです。 NFSv4 には独立した Network Lock Manager（NLM;ネットワ
ークロックマネージャ）または Network Status Monitor（NSM;ネットワークステー
タスモニタ）プロトコルはありません。
名前付き属性 Windows NT ストリームと似ています。
Data ONTAP は NFSv4.1 プロトコルもサポートしています。
NFSv4 および NFSv4.1 プロトコルの詳細については、NFSv4 RFC 3050 および NFSv4.1 RFC
5661 を参照してください。
NFSv4 の Data ONTAP サポートの制限
NFSv4 の Data ONTAP サポートにはいくつかの制限があることに注意してください。
•
•
•
•
•
•
•
SPKM3 および LIPKEY セキュリティ機能はサポートされていません。
委譲機能はすべてのクライアントタイプによってサポートされているわけではありません。
LANG 設定が UTF8 以外のボリュームでは、ASCII 以外の文字を使用した名前は、ストレージ
システムで拒否されます。
すべてのファイルハンドルは永続的です。サーバは揮発性のファイルハンドルを配布しませ
ん。
移行、リファーラル、およびレプリケーションはサポートされません。
NFSv4 クライアントは、読み取り専用負荷共有ミラーでサポートされていません。
Data ONTAP は、NFSv4 クライアントを直接読み取りおよび書き込みアクセスの負荷共有ミラ
ーのソースにルーティングします。
次の属性を除くすべての推奨属性がサポートされています。
•
•
•
•
•
•
•
•
•
archive
hidden
homogeneous
mimetype
quota_avail_hard
quota_avail_soft
quota_used
SystemSystem
time_backup
NFS を使用したファイルアクセス | 43
注: Data ONTAP は quota* 属性をサポートしませんが、RQUOTA 側のバンドプロトコルを
通してユーザおよびグループクォータをサポートします。
NFSv4 における pseudo-fs のマウントポイントへの影響
NFSv4 は、マウントポイントを決定するときのストレージシステムへのエントリポイントとして
pseudo-fs（ファイルシステム）を使用します。 pseudo-fs では、セキュリティ上の理由から、使用でき
るポートは複数ではなく 1 つです。すべての NFSv4 サーバでは pseudo-fs の使用をサポートしま
す。
NFSv4 で pseudo-fs を使用したことで、NFSv3 および NFSv4 間のマウントポイントで矛盾が発生
する場合があります。
次に示す例では、以下のようなボリュームを使用します。
•
•
•
/vol/vol0（ルート）
/vol/vol1
/vol/home
例1
NFSv3 で/vol/vol0 からの絶対パスを使用しないで filer:/をマウントする場合、マウントポイ
ントは filer:/vol/vol0 です。つまり、NFSv3 ではパスが/vol で始まらない場合、Data
ONTAP はパスの先頭に/vol/vol0 を補完します。
NFSv4 で/vol/vol0 からの絶対パスを使用しないで filer:/をマウントする場合は、/vol/
vol0 ではなく pseudo-fs のルートをマウントします。 Data ONTAP はパスの先頭に/vol/vol0 を
補完しません。
したがって、NFSv3 を使用して filer:/を/n/filer にマウントしている場合、NFSv4 を使用して
同じマウントを実行すると別のファイルシステムをマウントします。
例2
Data ONTAP での NFSv4 pseudo-fs の実装では、ノード名に続く「/」および「/vol」は常に必要で、
pseudo-fs に対する参照の共通のプレフィックスを形成します。「/vol」以外で始まる参照は無効で
す。
この例には、/vol/vol0/home ディレクトリがあります。 NFSv3 で filer:/home/users をマウン
トすると、/home はディレクトリ/vol/vol0/home であると判断されます。 NFSv4 で filer:/
home/users にマウントすると、/home はボリューム/vol/vol0/home ではなく、pseudo-fs ツリー
の不正なパスであると解釈されます。
44 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
NFSv4 の有効化と無効化
NFSv4 を有効または無効にするには、nfs.v4.enable オプションを変更します。これにより、
NFSv4 プロトコルを使用してクライアントがファイルにアクセスできるかどうかを指定できます。デ
フォルトでは NFSv4 は無効になっています。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
NFSv4 を有効にする
options nfs.v4.enable on
NFSv4 を無効にする
options nfs.v4.enable off
NFSv4 のユーザ ID ドメインの指定
ユーザ ID ドメインを指定するには、nfs.v4.id_domain オプションを設定します。
タスク概要
NFSv4 ユーザ ID のマッピングにデフォルトで使用されるドメインは、NIS ドメインが設定されてい
る場合は NIS ドメインになります。 NIS ドメインが設定されていない場合は DNS ドメインが使用さ
れます。たとえば、複数のユーザ ID ドメインがあると、ユーザ ID ドメインの設定が必要になる場
合があります。
手順
1. 次のコマンドを入力します。
options nfs.v4.id_domain domain
NFSv4 ACL の管理
NFSv4 Access Control List（ACL;アクセス制御リスト）を有効化、無効化、設定、変更、および表示
できます。
NFSv4 ACL の仕組み
NFSv4 ACL を使用しているクライアントは、システム上のファイルとディレクトリに ACL を設定し、
その ACL を表示することができます。 ACL が設定されているディレクトリ内にファイルやサブディ
レクトリを新しく作成すると、新しいファイルやサブディレクトリには、その ACL 内の ACE のうち、
該当する継承フラグが指定された ACL エントリ（ACE）がすべて継承されます。
アクセスチェックでは、CIFS ユーザが UNIX ユーザにマッピングされ、マッピングされた UNIX ユ
ーザとそのユーザのグループメンバーシップが ACL に照らしてチェックされます。
NFS を使用したファイルアクセス | 45
ファイルやディレクトリに ACL が設定されている場合、ファイルやディレクトリのアクセスに使用さ
れているプロトコルの種類（NFSv2、NFSv3、NFSv4、または CIFS）にかかわらず、またシステムで
NFSv4 が有効でなくなったあとも、その ACL を使用してアクセスが制御されます。
親ディレクトリの NFSv4 ACL の ACE に正しい継承フラグが設定されていれば、ファイルやディレ
クトリは該当する ACE を継承します（必要な変更が加えられる可能性があります）。
注: ACE の最大数は 400 です。
ファイルやディレクトリが NFSv4 要求によって作成される場合、作成されるファイルやディレクトリ
の ACL は、ファイル作成要求に ACL が含まれているか、または標準の UNIX ファイルアクセス
権限のみが含まれているか、および親ディレクトリに ACL が設定されているかどうかによって異な
ります。
•
•
要求に ACL が含まれる場合は、その ACL が使用されます。
要求に標準 UNIX ファイルアクセス権限のみが含まれ、親ディレクトリに ACL がある場合、親
ディレクトリの ACL の ACE に適切な継承フラグのタグが付けられていれば、それらの ACE が
新しいファイルやディレクトリに継承されます。
注: 親の ACL は、nfs.v4.acl.enable が off の場合でも継承されます。
•
•
要求に標準の UNIX ファイルアクセス権限のみが含まれ、親ディレクトリに ACL がない場合
は、クライアントのファイルモードを使用して標準の UNIX ファイルアクセス権限が設定されま
す。
要求に標準 UNIX ファイルアクセス権限のみが含まれ、親ディレクトリに継承できない ACL
がある場合は、要求で渡されたモードビットに基づいてデフォルトの ACL が設定されます。
qtree のセキュリティセマンティクスは、そのセキュリティ形式と ACL（NFSv4 または NTFS）で決ま
ります。
UNIX セキュリティ形式の qtree：
•
•
•
NFSv4 ACL とモードビットが有効です。
NTFS ACL は有効ではありません。
Windows クライアントは属性を設定できません。
NTFS セキュリティ形式の qtree：
•
•
•
NFSv4 ACL は有効ではありません。
NTFS ACL とモードビットが有効です。
UNIX クライアントは属性を設定できません。
mixed セキュリティ形式の qtree：
•
•
•
NFSv4 ACL とモードビットが有効です。
NTFS ACL は有効です。
Windows クライアントと UNIX クライアントの両方に属性を設定できます。
46 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
注: qtree 内のファイルおよびディレクトリには、NFSv4 ACL または NTFS ACL のいずれかを設
定できますが、両方は設定できません。 Data ONTAP は、必要に応じて一方の形式をもう一方
に再マッピングします。
NFSv4 ACL を有効化する利点
NFSv4 ACL を有効化すると多くの利点を得られます。
以下に、その利点を示します。
•
•
•
•
ファイルやディレクトリへのユーザアクセスのより詳細な制御
NFS セキュリティの向上
CIFS との相互運用性の向上
ユーザあたりの最大 NFS グループ数（16）の解除
NFSv4 ACL と Windows（NTFS）ACL の互換性
NFSv4 ACL は Windows のファイルレベルの ACL（NTFS ACL）とは異なりますが、Data ONTAP
では、Windows プラットフォームでの表示のために、NFSv4 ACL を Windows ACL にマッピングで
きます。
Windows ACL が設定されたファイルに対して NFS クライアント側に表示される権限は「表示」権
限で、ファイルアクセスチェックに使用される権限は Windows ACL の権限です。
注: Data ONTAP は POSIX ACL をサポートしていません。
Data ONTAP での NFSv4 ACL を使用したファイル削除の可否の判別方法
ファイルを削除できるかどうかを判別するために、Data ONTAP は、そのファイルの DELETE ビッ
トと、ファイルが含まれるディレクトリの DELETE_CHILD ビットの組み合わせを使用します。詳細
については、NFS 4.1 RFC 5661 を参照してください。
NFSv4 ACL の有効化と無効化
NFSv4 ACL を有効または無効にするには、nfs.v4.acl.enable オプションを変更します。この
オプションはデフォルトでは無効です。
タスク概要
nfs.v4.acl.enable オプションは、NFSv4 ACL の設定と表示を制御しますが、アクセスチェック
での NFSv4 ACL の適用は制御しません。詳細については、na_options(1)のマニュアルページを
参照してください。
手順
1. 次のいずれかを実行します。
NFS を使用したファイルアクセス | 47
目的
操作
NFSv4 ACL を有効にする
次のコマンドを入力します。
options nfs.v4.acl.enable on
NFSv4 ACL を無効にする
次のコマンドを入力します。
options nfs.v4.acl.enable off
NFSv4 ACL の設定と変更
NFSv4 ACL を設定または変更するには、setacl コマンドを使用します。
開始する前に
NFSv4 および NFSv4 ACL を有効にする必要があります。この 2 つを有効にしたら、NFSv4 を使
用するクライアントから ACL を設定または変更できます。
手順
1. 次のコマンドを入力します。
setfacl -m user:nfsuser:rwx a
NFSv4 ACL の表示
NFSv4 ACL を表示するには、getfacl コマンドを使用します。
手順
1. 次のコマンドを入力します。
getfacl filename
ファイル foo の NFSv4 ACL の表示
ss> getfacl foo
# file: foo
# owner: nfs4user
# group: engr
# group: engr
user::rwuser:nfs4user:rwx #effective:rwx
group::r-- #effective:r-mask:rwx
other:r--
同じファイルへ ls -l コマンドを実行すると次のように表示されます。
48 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
-rw-r--r--+ 1 nfs4user 0 May 27 17:43 foo
この出力の+は、ACL がファイル上に設定されたことを Solaris クライアントが認識したことを
示します。
NFSv4 ファイル委譲の管理
NFSv4 ファイル委譲を有効または無効にしたり、NFSv4 ファイル委譲統計を取得したりできます。
NFSv4 ファイル委譲の仕組み
Data ONTAP は RFC 3530 に従って、読み取りファイル委譲と書き込みファイル委譲をサポートし
ます。
RFC 3530 で指定されているとおり、NFSv4 クライアントがファイルを開くとき、Data ONTAP はオー
プン要求や書き込み要求のそれ以降の処理を、開いているクライアントに委譲することができま
す。ファイル委譲には、読み取り委譲と書き込み委譲の 2 種類があります。読み取りファイル委
譲の場合、クライアントは、他のファイルへの読み取りアクセスを禁止しない、読み取りのためのフ
ァイルオープン要求を処理できます。書き込みファイル委譲の場合、クライアントはすべてのオー
プン要求を処理できます。
便宜的ロック（oplock）が有効であるかどうかに関係なく、委譲はすべての形式の qtree 内のファイ
ルに対して機能します。
ファイル操作のクライアントへの委譲は、リースが期限切れになったとき、またはストレージシステ
ムが他のクライアントから次の要求を受け取ったときにリコールすることができます。
•
•
•
•
ファイルへの書き込み、書き込みのためのファイルオープン、または「読み取り拒否」のための
ファイルオープン
ファイル属性の変更
ファイルの名前変更
ファイルの削除
リースが期限切れになると、委譲状態は取り消され、関連するすべての状態は「soft」（ソフト）とマ
ークされます。つまり、委譲を保持していたクライアントがリースを更新する前に、ストレージシステ
ムが他のクライアントからこのファイルに対して競合するロック要求を受け取った場合、この競合す
るロックは許可されます。競合するロックがなく、委譲を保持しているクライアントがリース期限を
更新した場合、ソフトロックはハードロックに変更され、アクセスが競合しても削除されることはあ
りません。ただし、リース期限が更新されても委譲は再び認められません。
サーバがリブートされると、委任状態は失われます。クライアントは、委譲要求プロセスをすべて
再実行しなくても、再接続時に委譲状態を再要求することができます。読み取り委譲を保持してい
るクライアントがリブートされると、すべての委譲状態情報が再接続時にストレージシステムのキ
ャッシュからフラッシュされます。クライアントは委譲要求を発行して新しい委譲を確立する必要が
あります。
NFS を使用したファイルアクセス | 49
NFSv4 読み取りファイル委譲の有効化と無効化
NFSv4 読み取りファイル委譲を有効または無効にするには、nfs.v4.read_delegation オプシ
ョンを変更します。デフォルトでは、このオプションは無効です。読み取りファイル委譲を有効にす
ると、ファイルのオープンとクローズに伴うメッセージのオーバーヘッドを大幅に軽減できます。
タスク概要
読み取りファイル委譲を有効にした場合の欠点は、サーバのリブートまたはリスタート後、クライア
ントのリブートまたはリスタート後、あるいはネットワークを分割したあとに、サーバおよびそのクラ
イアントが委譲をリカバリする必要があることです。
手順
1. 次のいずれかを実行します。
目的
操作
読み取りファイル委譲を有効にする
次のコマンドを入力します。
options nfs.v4.read_delegation on
読み取りファイル委譲を無効にする
次のコマンドを入力します。
options nfs.v4.read_delegation off
タスクの結果
ファイル委譲オプションへの変更はすぐに反映されます。 NFS のリブートやリスタートは必要あり
ません。
NFSv4 書き込みファイル委譲の有効化と無効化
書き込みファイル委譲を有効または無効にするには、nfs.v4.write_delegation オプションを
変更します。デフォルトでは、このオプションは無効です。書き込みみファイル委譲を有効にする
と、ファイルのオープンとクローズだけでなく、ファイルおよびレコードのロックに関連するメッセージ
のオーバーヘッドを大幅に軽減できます。
タスク概要
書き込みファイル委譲を有効にした場合の欠点は、サーバのリブートまたはリスタート後、クライア
ントのリブートまたはリスタート後、あるいはネットワークを分割したあとに、サーバおよびそのクラ
イアントが委譲をリカバリするための追加タスクを実行する必要があることです。
手順
1. 次のいずれかを実行します。
50 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
目的
操作
書き込みファイル委譲を有効にする
次のコマンドを入力します。
options nfs.v4.write_delegation on
書き込みファイル委譲を無効にする
次のコマンドを入力します。
options nfs.v4.write_delegation off
タスクの結果
ファイル委譲オプションへの変更はすぐに反映されます。 NFS のリブートやリスタートは必要あり
ません。
NFSv4 のオープン委譲統計の表示
NFSv4 のオープン委譲要求に関する情報を表示するには、nfsstat コマンドを使用します。
手順
1. オープン委譲情報を表示するには、nfsstat コマンドを使用します。
タスクの結果
nfsstat コマンドによって返される結果には、許可されたオープン委譲要求だけでなく、エラーが
原因で拒否された要求も含まれます。
終了後の操作
ストレージシステムで拒否されたオープン委譲要求の情報については、システムログファイルを
参照してください。
すべてのクライアントの NFSv4 オープン委譲統計の表示
すべてのクライアントの NFSv4 オープン委譲情報を表示するには、nfsstat -l コマンドを入力し
ます。
手順
1. 次のコマンドを入力します。
nfsstat -l count
タスクの結果
クライアントごとに個々の NFSv4 オープン委譲統計が指定した数（count）まで返されます。数を指
定しない場合、ストレージシステムにより、各クライアントが実行した NFS 操作の総数のうち最初
の 256 個のクライアントの統計が返されます。
NFS を使用したファイルアクセス | 51
特定のクライアントの NFSv4 オープン委譲統計の表示
特定のクライアントの NFSv4 オープン委譲情報を表示するには、nfsstat -h コマンドを使用しま
す。
手順
1. 次のコマンドを入力します。
nfsstat -h hostname or ip_address
タスクの結果
特定のクライアントの個々の NFSv4 オープン委譲統計が返されます。
vFiler ユニットの NFSv4 オープン委譲統計の表示
vFiler ユニットの NFSv4 オープン委譲統計を表示するには、vFiler ユニットのコンテキストで
nfsstat -d コマンドを実行します。
手順
1. 次のコマンドを入力します。
vfiler run filername nfsstat -d
ストレージシステムの NFSv4 オープン委譲統計の表示
ストレージシステムの NFSv4 オープン委譲情報を表示するには、nfsstat -d コマンドを入力し
ます。
手順
1. 次のコマンドを入力します。
nfsstat -d
タスクの結果
現在の NFSv4 オープン委譲とリコールされた NFSv4 オープン委譲を含めて、ストレージシステム
で処理された NFSv4 オープン委譲の総数が返されます。ストレージシステムで処理された現在
の NFSv4 オープン委譲のみを表示するには、lock status コマンドを使用します。
NFSv4 ファイルおよびレコードロックの設定
NFSv4 のファイルおよびレコードロックを設定するには、ロックリース期間および猶予期間を指定
します。
52 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
NFSv4 ファイルおよびレコードロックについて
NFSv4 クライアントの場合、Data ONTAP は NFSv4 のファイルロックメカニズムをサポートしてい
るため、すべてのファイルのロック状態がリースベースモデルで保持されます。
Data ONTAP は、RFC 3530 に従って、ある NFS クライアントで保持されているすべての状態に対
してリース期間を 1 つ定義します。この定義された期間内にクライアントがリースを更新しない場
合は、クライアントのリースに関連付けられたすべての状態がサーバによって解放される可能性が
あります。クライアントはファイルの読み取りなどの操作を実行して、リースを明示的または暗黙的
に更新できます。
Data ONTAP は猶予期間も定義します。猶予期間とは、サーバリカバリ中にクライアントが自身の
ロック状態を再要求する、特別な処理期間のことです。
用語
定義（RFC 3530 を参照）
リース
Data ONTAP がクライアントを解除不能なロック状態に設定する期間。
猶予期間
サーバリカバリ中にクライアントが自身のロック状態を Data ONTAP に
再要求する期間。
ロック
他に特に記載がないかぎり、レコード（バイト範囲）ロックとファイル（共
有）ロックの両方を表します。
Data ONTAP では、非アクティブ / アクティブ構成の場合は最大 64K のファイルロック状態が保持
され、アクティブ / アクティブ構成の場合は最大 32K のファイルロック状態が保持されます。 1 つ
のクライアントでは、これらの状態のうち最大 16 K のファイルロック状態が保持されます。
NFSv4 ロックリース期間の指定
NFSv4 ロックリース期間（Data ONTAP がクライアントに解除不能なロックを付与する期間）を指定
するには、nfs.v4.lease_seconds オプションを変更します。
タスク概要
デフォルトでは、このオプションは 30 に設定されています。このオプションの最小値は 10 です。こ
のオプションの最大値はロック猶予期間の値です。ロック猶予期間は locking.lease_seconds
オプションで設定できます。
RFC 3530 で指定されているように、「サーバリカバリが短時間で完了する場合は、短いリース期
間」が望ましく、「多数のクライアントを処理するインターネットサーバの場合は、長いリース期間」
が適しています。
手順
1. 次のコマンドを入力します。
options nfs.v4.lease_seconds number_of_seconds
NFS を使用したファイルアクセス | 53
NFSv4 ロック猶予期間の指定
NFSv4 ロック猶予期間（サーバリカバリ中に、クライアントがロック状態になるように Data ONTAP
に再要求する期間）を指定するには、locking.grace_lease_seconds オプションを変更しま
す。このオプションはロックリース期間と猶予期間両方を指定することに注意してください。
タスク概要
デフォルトでは、このオプションは 45 に設定されています。
手順
1. 次のコマンドを入力します。
options locking.grace_lease_seconds number_of_seconds
ネームサーバデータベースキャッシュの仕組み
パフォーマンスを最適化するために、Name Server Database Cache（NSDB;ネームサーバデータ
ベースキャッシュ）に外部ネームサーバの検索結果が格納されます。
ストレージシステムへの認証に Kerberos と NFSv4 または RPCSEC_GSS を使用する環境では、
ユーザ / グループ識別子が文字列名として使用されます。これらの文字列名は、UID / GID の形
式の適切な UNIX クレデンシャルに変換される必要があります。この変換では外部ネームサー
バ検索を使用します。
外部ネームサーバの検索要求にかかる時間を短縮するために、Data ONTAP は、過去の外部ネ
ームサーバ検索結果を NSDB に格納します。外部ネームサーバの検索要求が過去の要求と一
致した場合、Data ONTAP は NSDB からすぐに情報を取得でき、外部ネームサーバと通信する必
要はありません。これにより時間が短縮されます。
ネームサービスでユーザクレデンシャル情報を変更した場合、すぐに反映されないことがありま
す。この状況は、NSDB が変更前にユーザ情報をキャッシュしていて、キャッシュされたエントリの
有効期限がまだ切れていない場合に発生します。 NSDB キャッシュをフラッシュすると、古い情報
が削除されます。
ネームサーバデータベースキャッシュのフラッシュ
ネームサーバデータベース（NSDB）キャッシュから、特定のエントリまたはすべてのエントリをクリ
アするには、nfs nsdb flush コマンドを使用します。これにより、変更を加えたあとに古くなった
情報がキャッシュから削除されます。
手順
1. 次のいずれかを実行します。
54 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
目的
入力するコマンド
すべてのエントリをフラッシュする
nfs nsdb flush -a
ユーザ名で指定したエントリをフラッシュする nfs nsdb flush U username1[,username2,...]
ユーザ ID で指定したエントリをフラッシュす
る
nfs nsdb flush -u userID1[,userID2,...]
グループ名で指定したエントリをフラッシュす nfs nsdb flush る
G groupname1[,groupname2,...]
グループ ID で指定したエントリをフラッシュ
する
nfs nsdb flush g groupID1[,groupID2,...]
文字列としての NFSv4 ユーザおよびグループ ID の許可または拒否
Data ONTAP では、デフォルトで、NFSv4 クライアントが文字列でユーザおよびグループ ID を指
定できます。この動作を無効にするには、nfs.v4.id.allow_numerics オプションを変更しま
す。
タスク概要
NFSv4 では、NFSv2 および v3 で使用される 32 ビットの数値ではなく、文字列としてユーザおよび
グループを指定します。 NFSv4 クライアントがユーザまたはグループ ID を文字列として渡した場
合、デフォルトでは、Data ONTAP はその文字列を受け取って格納用に数値 ID に変換します。こ
の動作は、認証タイプが AUTH_SYS の場合にのみ発生します。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
NFSv4 クライアントでユーザおよびグループ ID を文字
列として指定できるようにする
options
nfs.v4.id.allow_numerics on
NFSv4 クライアントがユーザおよびグループ ID を文字
列として指定できないようにする
options
nfs.v4.id.allow_numerics off
NFS を使用したファイルアクセス | 55
PC-NFS クライアントのサポート
PC-NFS クライアントをサポートするには、pcnfsd デーモンを有効にし、ストレージシステムのロー
カルファイルに PC-NFS ユーザエントリを作成し、PC-NFS ユーザがストレージシステムに作成す
るファイルおよびディレクトリの umask を定義します。
pcnfsd デーモンの仕組み
Data ONTAP の pcnfsd デーモンは、PC-NFS バージョン 1 または 2 を使用してクライアントに認証
サービスを提供します。認証された PC-NFS ユーザは、NFS ユーザと同様にストレージシステム
のファイルシステムパスをマウントできます。 pcnfsd デーモンは、プリンターサービスをサポートし
ていません。
pcnfsd デーモンが認証要求を受信すると、ローカルファイルまたは NIS マップを使用してユーザ
のパスワードが確認されます。使用するローカルファイルは/etc/shadow ファイルまたは/etc/
passwd ファイルです。使用する NIS マップは、passwd.adjunct または passwd.byname です。シャ
ドウソースが使用できる場合には、これが使用されます。シャドウソースには、パスワードデータ
ベースの代わりに暗号化ユーザ情報が含まれます。
PC-NFS バージョン 1 およびバージョン 2 のユーザを認証するために、pcnfsd デーモンがローカル
ファイルまたは NIS マップを使用する方法を次に示します。
シャドウソースを使用できる場合、Data ONTAP は/etc/shadow ファイルまたは
passwd.adjunct NIS マップを使用してユーザのパスワードを照合します。
シャドウソースを使用できない場合、Data ONTAP は/etc/passwd ファイルまたは
passwd.byname NIS マップを使用して、ユーザの UID、プライマリ GID（グループ ID）、およびパ
スワードを照合します。
pcnfsd デーモンは、PC-NFS バージョン 2 の認証要求を受信すると、/etc/group ファイルまたは
group.byname NIS マップを検索してユーザが属するすべてのグループを特定します。
pcnfsd デーモンの有効化と無効化
pcnfsd デーモンを有効または無効にするには、pcnfsd.enable オプションをそれぞれ on または
off に設定します。
開始する前に
pcnfsd デーモンを有効にする前に、ストレージシステムで NFS を有効にする必要があります。
タスク概要
PC-NFS ユーザがストレージシステムのファイルシステムパスをマウントするときに、ストレージシ
ステムに PC-NFS ユーザの認証を行わせる場合は、pcnfsd デーモンを有効にする必要がありま
す。他のコンピュータを使用してユーザを認証する場合は、pcnfsd デーモンを有効にする必要は
56 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ありません。他のコンピュータで認証されたユーザは、ストレージシステムで認証されたユーザと
同様に、ストレージシステムのファイルシステムパスにアクセスできます。
手順
1. 次のいずれかを実行します。
目的
操作
pcnfsd デーモンを有効にする
次のコマンドを入力します。
options pcnfsd.enable on
pcnfsd デーモンを無効にする
次のコマンドを入力します。
options pcnfsd.enable off
ストレージシステムのローカルファイルでの PC-NFS ユーザエントリの作成
ストレージシステムのローカルファイルに PC-NFS ユーザエントリを作成するには、すべての PCNFS ユーザを適切に認証する UNIX ホストから、/etc/passwd、/etc/shadow、および/etc/
group ファイルをストレージシステムにコピーします。
タスク概要
ローカルファイルを使用して PC-NFS ユーザを認証し、グループメンバーシップを判別する場合
は、ストレージシステムのローカルファイルに PC-NFS ユーザエントリを作成する必要がありま
す。
手順
1. すべての PC-NFS ユーザを適切に認証する UNIX ホストから、/etc/passwd、/etc/
shadow、および/etc/group ファイルをストレージシステムにコピーします。
NFS ファイルのアクセス権と umask
ファイルとディレクトリの umask を定義する前に、umask がファイルのアクセス権決定にどのように
使用されるかを理解しておく必要があります。
各ファイルのアクセス権は、3 個の 8 進数の値によって定義され、それぞれ所有者、グループ、そ
の他に適用されます。 PC-NFS クライアントが新しいファイルを作成すると、Data ONTAP では 666
から umask（ユーザが定義する 3 個の 8 進数の値）が減算され、減算後の 8 進数がファイルのア
クセス権として使用されます。
デフォルトでは、umask は 022 で、アクセス権に実際に適用される 8 進数の数字が 644 となりま
す。結果、ファイルの所有者にはファイルの読み取りと書き込みが、グループおよびその他のユー
ザにはファイルの読み取りが許可されます。
次の表で、umask の各値について説明します。
NFS を使用したファイルアクセス | 57
umask の値
説明
0
読み取りおよび書き込み権限
2
書き込み権限
4
読み取り専用権限
6
アクセス権なし
PC-NFS ユーザが作成したファイルとディレクトリの umask の定義
通常の NFS ユーザとは異なり、PC-NFS ユーザは、UNIX の umask コマンドを実行して、デフォル
トのファイルのアクセス権を決めるファイルモード生成マスク（umask）を設定できません。ただし、
pcnfsd.umask オプションを設定してすべての PC-NFS ユーザに umask を定義することができま
す。
手順
1. 次のコマンドを入力します。
options pcnfsd.umask umask
umask は 3 桁の 8 進数です。
WebNFS クライアントのサポート
WebNFS クライアントをサポートするには、WebNFS プロトコルを有効にして、オプションで
WebNFS ルートディレクトリを設定します。
タスク概要
WebNFS プロトコルが有効な場合、WebNFS クライアントユーザは nfs://で始まる URL を指定し
て、ストレージシステムからファイルを転送することができます。
WebNFS プロトコルの有効化と無効化
WebNFS プロトコルを有効または無効にするには、nfs.webnfs.enable オプションをそれぞれ
on または off に設定します。
手順
1. 次のいずれかを実行します。
Web NFS プロトコルの設定
操作
有効にする
次のコマンドを入力します。
options nfs.webnfs.enable on
58 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
Web NFS プロトコルの設定
操作
無効にする
次のコマンドを入力します。
options nfs.webnfs.enable off
WebNFS ルートディレクトリの設定
WebNFS ルートディレクトリを設定するには、ルートディレクトリの名前を指定してから、そのルー
トディレクトリを有効にします。
タスク概要
WebNFS 検索のルートディレクトリを設定する場合、WebNFS ユーザは絶対パス名でなく、ルート
ディレクトリに対する相対パス名のみを指定できます。たとえば、WebNFS のルートディレクトリ
が/vol/vol1/web である場合は、URL として「nfs://specs」と指定することにより、WebNFS ユ
ーザは/vol/vol1/web/specs ファイルにアクセスできます。
WebNFS ルートディレクトリの名前の指定
WebNFS ルートディレクトリの名前を指定するには、nfs.webnfs.rootdir オプションを設定しま
す。
手順
1. 次のコマンドを入力します。
options nfs.webnfs.rootdir directory
directory にはルートディレクトリの完全パスを指定します。
WebNFS ルートディレクトリの有効化
WebNFS ルートディレクトリを有効にするには、nfs.webnfs.rootdir.set オプションを on に設
定します。
開始する前に
WebNFS ルートディレクトリを有効に前に、ディレクトリの名前を指定する必要があります。
手順
1. 次のコマンドを入力します。
options nfs.webnfs.rootdir.set on
NFS を使用したファイルアクセス | 59
IPv6 経由の NFS
Data ONTAP 7.3.1 以降、NFS クライアントはストレージシステムから IPv6 ネットワーク経由でファ
イルにアクセスできるようになりました。
IPv6 経由の NFS の有効化と無効化
IPv6 経由の NFS を有効または無効にするには、nfs.ipv6.enable オプションを on または off
に設定します
開始する前に
ip.v6.enable オプションを on に設定して、ストレージシステム上で IPv6 を有効にする必要があ
ります。ストレージシステムでの IPv6 の有効化の詳細については、『Data ONTAP 7-Mode ネット
ワーク管理ガイド』を参照してください。
タスク概要
IPv6 経由の NFS を有効にした状態で ip.v6.enable オプションを off にしてストレージシステ
ムの IPv6 を無効にすると、IPv6 経由の NFS は自動的に無効になります。
手順
1. 次のいずれかを実行します。
IPv6 経由の NFS の設定
入力するコマンド
有効にする
options nfs.ipv6.enable on
無効にする
options nfs.ipv6.enable off
2. 次のコマンドを入力して、NFS をリスタートします。
nfs off
nfs on
IPv6 アドレスのテキスト表示
RFC 3513 によると、テキスト文字列として推奨される IPv6 アドレスの形式は x:x:x:x:x:x:x:x です。
x は、16 ビットごとの 16 進数値であり、8 個でアドレスを構成しています。
例
FEDC:BA98:7654:3210:FEDC:BA98:7654:3210
1080:0:0:0:8:800:200C:417A
詳細については、Web で RFC 3513 を参照してください。
60 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
CIFS を使用したファイルアクセス
CIFS サーバを有効にして、CIFS クライアントがストレージシステムのファイルにアクセスできるよ
うに設定することができます。
サポートされない Windows の機能
ネットワークで CIFS を使用する場合は、一部の Windows の機能が Data ONTAP ではサポートさ
れないことに注意する必要があります。
Data ONTAP では、次の Windows の機能はサポートされません。
•
•
•
•
•
•
•
•
•
•
Encrypted File System（EFS;暗号化ファイルシステム）
変更ジャーナルでの NT File System（NTFS）イベントのロギング
Microsoft File Replication Service（FRS;ファイルレプリケーションサービス）
Microsoft Windows インデックスサービス
Hierarchical Storage Management（HSM;階層型ストレージ管理）経由のリモートストレージ
ユーザーマネージャまたは Microsoft マネージャコンソールからのローカルユーザアカウント
の作成
Windows クライアントからのクォータ管理
Windows のクォータのセマンティクス
LMHOSTS ファイル
NTFS のネイティブ圧縮
CIFS ライセンスの設定
CIFS 機能を設定して使用できるようにするには、ストレージシステムに CIFS ライセンスをインスト
ールする必要があります。ストレージシステムのライセンスは、license コマンドを使用して設定
できます。
開始する前に
営業またはサポート担当者から、有効な CIFS ライセンスを入手しておく必要があります。
手順
1. 次のコマンドを入力して、ストレージシステムで現在ライセンスされている機能を表示します。
license
2. 次のいずれかを実行します。
CIFS を使用したファイルアクセス | 61
CIFS 機能の状態
操作
ライセンスコードが表示される
CIFS のライセンスは取得済みのため、対処する必要はありません。
次のように表示される
次のコマンドを入力して CIFS ライセンスをインストールします。
license add license_code
not licensed
MMC とストレージシステムの接続
CIFS の管理タスクには、MMC を使用して実行できるものがあります。それらのタスクを実行する
前に、MMC とストレージシステムを接続する必要があります。 MMC メニューコマンドを使用し
て、MMC とストレージシステムを接続できます。
手順
1. Windows サーバで MMC を開くには、エクスプローラでローカルコンピュータのアイコンを右ク
リックし、[管理]を選択します。
2. 左側のパネルで、[コンピュータの管理]を選択します。
3. [操作] > [別のコンピュータへ接続]を選択します。
[コンピュータの選択]ダイアログボックスが表示されます。
4. ストレージシステムの名前を入力するか、[参照]をクリックしてストレージシステムを指定しま
す。
5. [OK]をクリックします。
ストレージシステムでの CIFS の設定
cifs setup コマンドを使用すると、ストレージシステムで CIFS を設定できます。ストレージシス
テムを初めてセットアップしている場合は、『Data ONTAP ソフトウェアセットアップガイド』を参照し
てください。
サポート対象の CIFS クライアントおよびドメインコントローラ
ストレージシステムで CIFS を使用する前に、Data ONTAP がサポートする CIFS クライアントおよ
びドメインコントローラを把握しておく必要があります。
Data ONTAP がサポートする CIFS クライアントおよびドメインコントローラの最新情報について
は、Interoperability Matrix（support.netapp.com/NOW/products/interoperability）を参照してくださ
い。
62 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
cifs setup コマンドの機能
CIFS の初期設定以外に、cifs setup コマンドは次の複数のタスクを実行します。
cifs setup コマンドでは、次のタスクを実行できます。
•
•
•
CIFS クライアントからアクセスできる CIFS サーバの作成および名前設定
CIFS サーバのドメインまたはワークグループへの追加、またはドメインやワークグループ間で
の移動
ローカル CIFS ユーザおよびグループのデフォルトセットの作成
CIFS サーバ名の要件
cifs setup コマンドを実行すると、デフォルトでは、ストレージシステムのホスト名が CIFS サー
バ名として割り当てられます。このデフォルトの名前をそのまま使用することも、別の名前を指定
することもできます。別の CIFS サーバ名を指定する場合は、Microsoft Active Directory の命名
規則に従う必要があります。
ストレージシステムの CIFS サーバ名は、Microsoft Active Directory の命名規則に従う必要があ
るため、15 文字以内でなければなりません。ストレージシステムのホスト名が 15 文字を超える場
合は、CIFS サーバ名として別の名前を入力する必要があります。 CIFS のセットアップ時に CIFS
サーバ名を指定する場合は、15 文字以内の名前を指定しないと CIFS セットアップを続行できま
せん。
CIFS サーバ名が規則に準拠していることを確認するために、Microsoft Active Directory のその他
の命名規則については、Microsoft 技術情報 909264（support.microsoft.com/kb/909264）を参照し
てください。
システムの初期設定
有効な CIFS ライセンスが存在する場合は、ストレージシステムの初期セットアップ中に cifs
setup コマンドが自動的に呼び出されます。 cifs setup コマンドにより、認証の種類、使用する
検索サービスなどの情報の入力が求められます。
cifs setup を実行する際に必要な情報など、CIFS の初期設定における cifs setup コマンド
の使用の詳細については、『Data ONTAP ソフトウェアセットアップガイド』を参照してください。
WINS サーバの指定
WINS サーバを指定するには、無停止型の cifs.wins_servers オプションを使用するか、また
は CIFS サービスの停止を要求する cifs setup コマンドを使用します。
タスク概要
WINS サーバリストは追加式ではありません。3 番目の WINS サーバを追加する際は、必ず 3 つ
の IP アドレスすべてをカンマで区切って入力してください。そうしないと、既存の 2 つの WINS サ
ーバが追加するサーバで置き換えられてしまいます。
CIFS を使用したファイルアクセス | 63
手順
1. 次のいずれかを実行します。
目的
操作
cifs.wins_servers オプション次のコマンドを入力します。
を使用して WINS サーバを指定する options cifs.wins_servers servers
servers は、WINS サーバのカンマ区切りリストです。
cifs.wins_servers オプションの詳細については、
options(1)のマニュアルページを参照してください。
cifs setup コマンドを使用して
WINS サーバを指定する
次のコマンドを入力します。
cifs setup
IPv4 WINS サーバの入力を求められたら、4 つまで指定します。
cifs setup コマンドの詳細については、cifs(1)のマニュアル
ページを参照してください。
ストレージシステムのドメインの変更
ストレージシステムをすでに Windows ドメイン認証用に設定しており、ストレージシステムを別の
ドメインに移動する場合は、cifs setup コマンドを再度実行する必要があります。
開始する前に
ドメインに Windows サーバを追加する権限を持つ管理用アカウントが必要です。
タスク概要
ストレージシステムのドメインを変更すると、BUILTIN\Administrators グループのメンバーシップ
が更新され、新しいドメインが有効になります。この変更によって、新しいドメインが古いドメインか
ら信頼されていないドメインであった場合でも、新しいドメインの管理者グループがストレージシス
テムを管理できるようになります。
注: 新しいドメインまたはワークグループに CIFS サーバを追加するまでは、Ctrl+C を押して、
cifs restart コマンドを入力することにより、CIFS 設定プロセスをキャンセルし、以前の設定
に戻せます。
手順
1. CIFS が現在実行中の場合は、次のコマンドを入力します。
cifs terminate
2. 次のコマンドを入力します。
cifs setup
次のプロンプトが表示されます。
64 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
Do you want to delete the existing filer account information? [no]
3. プロンプトで「yes」と入力して既存のアカウント情報を削除します。
注: DNS サーバのエントリプロンプトを表示するには、既存のアカウント情報を削除する必
要があります。
アカウント情報を削除すると、ストレージシステムの名前を変更できます。
The default name of this filer will be 'system1'.
Do you want to modify this name? [no]:
4. 現在のストレージシステム名を維持する場合は、Enter キーを押します。現在のストレージシ
ステム名を変更する場合は、「yes」と入力して、新しいストレージシステム名を入力します。
認証方法のリストが表示されます。
Data ONTAP CIFS services support four styles of user authentication.
Choose the one from the list below that best suits your situation.
(1) Active Directory domain authentication (Active Directory domains
only)
(2) Windows NT 4 domain authentication (Windows NT or Active
Directory domains)
(3) Windows Workgroup authentication using the filer's local user
accounts
(4) /etc/passwd and/or NIS/LDAP authentication
Selection (1-4)? [1]:
5. デフォルトのドメイン認証方法（Active Directory）を受け入れる場合は、Enter キーを押します。
または、新しい認証方法を選択します。
6. cifs setup の残りのプロンプトに応答します。デフォルト値を受け入れる場合は、Enter キー
を押します。
終了時、cifs setup ユーティリティは CIFS を起動します。
7. 次のコマンドを入力して変更を確認します。
cifs domaininfo
ストレージシステムのドメイン情報が表示されます。
プロトコルモードの変更
有効な CIFS ライセンスおよび有効な NFS ライセンスを保持している場合は、プロトコル設定を
unix（デフォルト）から ntfs または mixed（マルチプロトコル）モードに変更できます。
タスク概要
NFS、CIFS、またはその両方のクライアントからストレージシステム上のファイルにアクセスできる
かどうかは、プロトコルモードによって決まります。
CIFS を使用したファイルアクセス | 65
プロトコルモードを設定するには、cifs setup ユーティリティを実行するか、または
wafl.default_security_style オプションを設定します。
cifs setup を使用してマルチプロトコルモードに変更した場合、NFS クライアントがファイルを利
用できるようにはなりません。 cifs setup を使用してマルチプロトコルモードに変更したあとに
NFS クライアントがファイルを利用できるようにするには、ルートボリュームの qtree セキュリティ形
式を unix に変更し、chmod コマンドを使用して必要な UNIX クライアントアクセスを許可します。
注: Data ONTAP がユーザの UNIX ユーザ ID と CIFS クレデンシャルを正しくマッピングし、ユ
ーザがファイルにアクセスできることを（CIFS クレデンシャルによって）確認した場合、NFS クラ
イアントは Windows ACL が設定されたファイルにアクセスすることもできます。たとえば、
UNIX root ユーザと BUILTIN\Administrators グループ内のユーザが正しくマッピングされてい
る場合、UNIX root ユーザはセキュリティ形式に関係なく、Windows ユーザがアクセスできるフ
ァイルにアクセスできます。
手順
1. 次のいずれかを実行します。
目的
操作
cifs setup ユーティリティを使用してプロトコル次のコマンドを入力します。
モードを変更する
cifs terminate
cifs setup
プロンプトに従って、プロトコルモードを変更しま
す。
wafl.default_security_style オプション次のコマンドを入力します。
を設定してプロトコルモードを変更する
options wafl.default_security_style
{unix | ntfs | mixed}
NTFS 専用ストレージシステムをマルチプロトコルストレージシステムに変更することによる影響
NTFS 専用ストレージシステムをマルチプロトコルストレージシステムに変更すると、さまざまな影
響があります。
次のような影響が生じます。
•
•
ボリュームを作成すると、そのデフォルトのセキュリティは unix になります。
wafl.default_security_style オプションが unix に設定されます。
既存の ACL および現在のすべてのボリュームおよび qtree のセキュリティ形式は変更されませ
ん。
注: ストレージシステムをマルチプロトコルに変更したあとも、ルートボリュームのセキュリティ形
式は ntfs のままなので、UNIX から root としてルートボリュームにアクセスしようとすると、拒
否される場合があります。ただし、ルートボリュームの ACL によって、ルートにマッピングされ
66 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
る Windows ユーザにフルコントロールが許可される場合は、アクセスが可能です。
cifs.nfs_root_ignore_acl オプションを on に設定して、アクセスすることもできます。
マルチプロトコルストレージシステムを NTFS 専用ストレージシステムに変更する影響
マルチプロトコルストレージシステムを NTFS 専用ストレージシステムに変更すると、さまざまな
影響があります。
次のような影響が生じます。
•
•
•
•
•
•
•
ストレージシステムのルートディレクトリ（/etc）と、/etc ディレクトリのファイルに既存の ACL
がある場合、ACL は影響を受けません。
ACL が存在しない場合は、BUILTIN\Administrators グループがフルコントロールを持つよう
に ACL が作成されます。/etc/http ディレクトリ下はすべて「Everyone Read」に割り当てられ
ます。
その他のファイルおよびディレクトリの ACL は影響を受けません。
読み取り専用ボリュームを除き、すべてのボリュームのセキュリティ形式が、ntfs に変更され
ます。
/etc ディレクトリが qtree の場合、そのセキュリティ形式は ntfs に変更されます。
他のすべての qtree のセキュリティ形式は影響を受けません。
ボリュームまたは qtree を作成する場合、そのデフォルトのセキュリティ形式は ntfs になりま
す。
wafl.default_security_style オプションが ntfs に設定されます。
Windows ユーザアカウント名の指定
一部の Data ONTAP コマンドおよび構成ファイルでは、Windows ユーザアカウント名を指定でき
ます。
タスク概要
Windows ユーザアカウント名は次の場所で指定できます。
•
•
•
Windows ユーザに関する情報を表示する場合、cifs sessions コマンドの引数として
Windows 名を UNIX 名にマッピングする場合、/etc/usermap.cfg ファイル内
Windows ユーザのクォータを設定する場合、/etc/quotas ファイル内
構成ファイルにバックスラッシュ（\）を使用して UNIX ユーザ名を指定すると、Data ONTAP では
Windows ユーザアカウント名として扱われます。たとえば、/etc/quotas ファイル内に corp\john
などの UNIX 名を指定すると、Windows ユーザアカウント名として解釈されます。
注: user@domain 形式を使用して Windows ユーザアカウント名を指定できるコマンドは、
cifs setup コマンドだけです。また、特定の構成ファイルに固有な Windows ユーザアカウン
ト名を指定する場合のルールもあります。これらのルールの詳細については、それぞれの構成
ファイルに関連するセクションを参照してください。
CIFS を使用したファイルアクセス | 67
手順
1. 次のいずれかを実行します。
目的
操作
Windows 2000 より前
の形式で Windows 名
を指定する
ドメイン名にバックスラッシュおよびユーザ名を追加します（corp\john_smith な
ど）。
Windows 2000 のユー
ザ名を Windows 2000
より前の形式で指定す
る場合
ドメイン名の NETBIOS 形式を使用し、ユーザ名が 20 文字以下になるようにし
ます。たとえば、[email protected]_company.com が Windows 2000
ユーザの場合、Data ONTAP コマンドおよび構成ファイル内では、このユーザ
を engineering\john_smith として参照できます。
ローカルユーザアカウ Windows 2000 より前の形式で、ドメイン名の代わりにストレージシステム名を
入力します（filer1\john_smith など）。
ントを指定する場合
CIFS 設定時の考慮事項
ストレージシステムで CIFS の再設定を行う前に、前提条件やその他の重要な情報を理解してお
く必要があります。
CIFS を再設定する前に、ご使用の設定に適した準備作業をすべて完了しておいてください。
•
•
•
•
ストレージシステムを再設定するときに、ストレージシステムのドメインを Windows NT ドメイン
から別のドメインに変更する場合、ストレージシステムがストレージシステムをインストールす
るドメインのプライマリドメインコントローラと通信できる必要があります。
ストレージシステムのインストールにはバックアップドメインコントローラを使用できません。
ストレージシステムの名前を変更する場合、ドメインコントローラ上に新しいコンピュータアカ
ウントを作成します
（Windows 2000 よりあとの Windows バージョンの場合のみ必要）。
CIFS サーバ名は、Microsoft Active Directory の命名規則に従っている必要があります。
ストレージコントローラのホスト名が Microsoft Active Directory の命名規則に従っていない場
合は、セットアップ時に別の CIFS サーバ名を入力できます。 Active Directory の命名規則の
詳細については、Microsoft 技術情報 909264 を参照してください。
ストレージシステムおよび同じドメイン内のドメインコントローラは、同じタイムソースと同期し
ている必要があります。
ストレージシステムの時間とドメインコントローラの時間が同期していないと、エラーメッセージ
が表示されます。
時刻同期サービスの設定の詳細については、『Data ONTAP 7-Mode システムアドミニストレ
ーションガイド』。
NFS の UNIX ベース KDC を cifs setup コマンドで再設定すると、UNIX の keytab ファイルの
名前に UNIX という文字列が追加されます。 UNIX ベース KDC 用の keytab ファイルの名前を変
更するには、CIFS の再設定中に次のメッセージプロンプトが表示されたときに「yes」と入力しま
す。
68 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
*** Setup has detected that this filer is configured to support
Kerberos *** authentication with NFS clients using a non-Active
Directory KDC. If *** you choose option 1 below, to allow NFS to
use the non-Active *** Directory KDC, your existing keytab file
'/etc/krb5.keytab' will be *** renamed to '/etc/UNIX_krb5.keytab'.
NFS will be using the new keytab *** file '/etc/UNIX_krb5.keytab'.
Do you want to continue. (Yes/No)?
「yes」と入力すると、UNIX ベース KDC 用の keytab ファイルの名前が変更され「no」を入力する
か Enter キーを押すと、CIFS の再設定処理は終了します。この名前変更は Kerberos の複数領域
設定で必要です。
関連情報
Microsoft 技術情報 909264：support.microsoft.com/kb/909264
ストレージシステムでの CIFS の再設定
初期設定後に CIFS を再設定するには、cifs setup ユーティリティを再実行します。
タスク概要
cifs setup を実行することで変更できる CIFS 設定は次のとおりです。
•
•
•
•
•
WINS サーバのアドレス
ストレージシステムがマルチプロトコルであるか、または NTFS 専用であるか
ストレージシステムが Windows ドメイン認証、Windows ワークグループ認証、UNIX パスワー
ド認証のどの認証方法を使用するか
ストレージシステムが属しているドメインまたはワークグループ
ストレージシステム名
注: 進行中の cifs setup ユーティリティを終了する必要がある場合は、Ctrl+C を押します。次
に、cifs restart コマンドを入力し、古い設定情報を使用して CIFS をリスタートします。
手順
1. 次のコマンドを入力します。
cifs terminate
ストレージシステムへの CIFS サービスが停止します。
2. 次のコマンドを入力します。
cifs setup
cifs setup プログラムが実行され、CIFS の再設定を求める一連のメッセージが表示されま
す。
CIFS を使用したファイルアクセス | 69
ストレージシステムでの SMB の設定
Data ONTAP は、CIFS プロトコルに加えて、Server Message Block（SMB）1.0 プロトコル、SMB 2.0
プロトコル、および SMB 2.1 プロトコルをサポートしています。
SMB 1.0 プロトコルのサポート
Data ONTAP は、セキュリティ、ファイル、およびディスク管理機能により CIFS を拡張する SMB
1.0 プロトコルをサポートします。
SMB 2.0 プロトコルのサポート
Data ONTAP では、SMB 1.0 プロトコルに加えて、いくつかの機能が拡張された SMB 2.0 プロトコ
ルもサポートしています。
SMB 2.0 プロトコルは、SMB 1.0 プロトコルのメジャーリビジョンで、使用するパケット形式がまっ
たく異なります。
注: Data ONTAP では、SMB 2.0 プロトコルのオプションの機能であるシンボリックリンクはサポ
ートしていません。
ストレージシステムで SMB 2.0 プロトコルが無効になっている場合、SMB 2.0 クライアントとストレ
ージシステムの間の通信は SMB 1.0 プロトコルにフォールバックされます（SMB 2.0 クライアント
のネゴシエート要求に SMB 1.0 のダイアレクトが含まれている場合）。
詳細については、SMB 2.0 プロトコルの仕様を参照してください。
SMB 2.1 プロトコルのサポート
Data ONTAP 8.1 リリースファミリーの 8.1.1 以降のリリースでは、SMB 2.0 に加え、SMB 2.1 もサ
ポートされます。ここでは、サポートされる SMB 2.1 の拡張機能を示します。
SMB 2.1 は、SMB 2.0 プロトコルのマイナーリビジョンです。 Data ONTAP 8.1.1 以降で実装され
ている SMB 2.1 の拡張機能を次に示します。
•
•
oplock リース
Data ONTAP は、SMB 2.1 の oplock リースを使用します。oplock リースは、従来の oplock よ
りも優れた新しい oplock モデルです。
BranchCache で使用されるコンテンツハッシュの取得
BranchCache が有効なストレージシステムでは、コンテンツハッシュを使用して、キャッシュさ
れたコンテンツに関する情報をクライアントに提供します。
Data ONTAP では、SMB 2.1 の次の拡張機能はサポートされません。
•
•
•
永続性ハンドル
Large MTU
ライトスルー
70 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
SMB 2.0 を有効にすると、SMB 2.0 と SMB 2.1 の両方が有効になります。 Data ONTAP では、
SMB 2.1 対応のクライアントからのネゴシエート要求で SMB 2.1 のダイアレクトが要求された場合
に SMB 2.1 が使用されます。それ以外の場合は SMB 2.0 が使用されます。ストレージシステム
で SMB 2.0 が無効になっている場合、SMB 2.0 クライアントとストレージシステムの間の通信は
SMB 1.0 にフォールバックされます（SMB 2.0 クライアントのネゴシエート要求に SMB 1.0 のダイア
レクトが含まれている場合）。
詳細については、SMB 2.1 の仕様を参照してください。
SMB 2.0 プロトコルおよび SMB 2.1 プロトコルを有効にする状況
SMB 2.0 プロトコルと SMB 2.1 プロトコルではファイル転送やプロセス間通信の機能がいくつか強
化されており、状況によっては、元の SMB 1.0 プロトコルではなくこれらを使用した方が適している
場合があります。
SMB 2.0 プロトコルの仕様によれば、次の要件が含まれる状況が該当すると考えられます。
•
•
•
•
•
同時に開くファイル数、共有数、ユーザセッション数のスケーラビリティを向上させる必要があ
る
サーバに対して未処理にできる要求数を Quality of Service（QoS;サービス品質）として保証す
る必要がある
HMAC-SHA256 ハッシュアルゴリズムを使用してデータの整合性を保護する必要がある
異機種混在の複数のネットワーク全体でスループットを向上させる必要がある
ネットワーク接続の断続的な切断に永続性ハンドルを使用して適切に対処する必要がある
SMB 2.0 の機能強化に加え、SMB 2.1 ではさらに次の点が強化されています。
•
•
oplock リースによるロックの強化
BranchCache のサポート（ブランチオフィスでクライアント側キャッシュを使用することで、WAN
帯域幅を最適化し、ファイルアクセスパフォーマンスを向上させる）
詳細については、SMB 2.0 プロトコルおよび SMB 2.1 プロトコルの仕様を参照してください。
SMB 2.x の有効化と無効化
SMB 2.x を有効または無効にするには、options コマンドの cifs.smb2.enable オプションを使
用します。このオプションを使用すると、インストールされている Data ONTAP のバージョンで使用
できる SMB 2.x のすべてのリビジョンが有効または無効になります。デフォルトでは、このオプショ
ンは on に設定されています。
手順
1. 該当する処理を実行します。
SMB 2.x の設定
入力するコマンド
有効にする
options cifs.smb2.enable on
CIFS を使用したファイルアクセス | 71
SMB 2.x の設定
入力するコマンド
無効にする
options cifs.smb2.enable off
要求元クライアントとストレージコントローラによるプロトコルバージョンのネゴシエーションは、
それぞれでサポートされているプロトコルバージョン、およびプロトコルのネゴシエーション時に
クライアントが指定するバージョンに基づいて行われます。
注: BranchCache を使用する際は SMB 2.1 を有効にする必要があるため、ブランチオフィス
の Windows クライアントで BranchCache を使用してコンテンツをキャッシュする場合は、この
オプションを有効にする必要があります。 SMB 2.x を無効にすると、BranchCache の機能も
無効になります。
SMB 2.x と永続性ハンドル
永続性ハンドルを使用すると、SMB 2.0 クライアントでファイルを開き、一時的に接続が失われた
場合にも処理を続けることができます。
永続性ハンドルとは、ネットワークの短時間の停止時に、ファイルを開いた状態のまま維持するハ
ンドルです。クライアントは、接続がリストアされた時点で再接続できます。
永続性ハンドルに関する情報を表示するには、lock status コマンドを使用します。
注: Data ONTAP 8.1 リリースファミリーの 8.1.1 以降のリリースでは、永続性ハンドルは常に有
効になっています。
詳細については、SMB 2.x プロトコルの仕様を参照してください。
永続性ハンドルのステータスの監視
Data ONTAP 8.1 リリースファミリーの 8.1.1 以降のリリースでは、lock status コマンドを使用し
て永続性ハンドルに関する情報を監視および表示できます。
タスク概要
lock status コマンドを実行すると、永続性ハンドルに関する次の情報が表示されます。
•
新しい durable_state フィールドに、ロックの現在の永続状態が表示されます。
durable_state フィールドに表示される永続性ハンドルの状態は次のとおりです。
•
•
DH_GRANTED
DH_NONE
注: このフィールドは、ロックリースが存在する場合は空になります。
•
oplock リースが存在する場合は、oplock フィールドに oplock リースと永続性ハンドルの情報
が表示されます。
oplock フィールドに表示される次の 2 つの oplock リースの値は、oplock リースで永続性ハン
ドルを使用していることを示します（H で表されます）。
72 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
•
•
Lease-RWH
Lease-RH
手順
1. 永続性ハンドルの情報を表示するには、lock status コマンドを使用します。
durable_state フィールドに永続性ハンドルの情報が表示されます。oplock リースが存在す
る場合は、oplock フィールドに永続性ハンドルの情報が表示されます。
例
次に、oplock リースによるロックの永続性ハンドルに関する情報など、CIFS の永続性ハンド
ルのロックに関する情報を表示するコマンドの例を示します。
lock status -p cifs
CIFS path=\(/vol/vol1/) host=10.0.0.2(WIN1) owner=administrator
state=GRANTED mode=Read-denyN
oplock=None durable_state=DH_NONE fsid=0x1eea09f9 fileid=0x00000040
CIFS path=\sample.txt(/vol/vol1/sample.txt) host=10.0.0.2(WIN1)
owner=administrator state=GRANTED
mode=RdWr-denyN oplock=None durable_state=DH_GRANTED
fsid=0x1eea09f9 fileid=0x00000060
CIFS path= host=10.0.0.2(WIN1) owner= state=GRANTED mode=None-denyN
oplock=Lease-None
durable_state= sid=0x1eea09f9 fileid=0x00000060
SMB 署名のサポート
Data ONTAP は、クライアントからの要求時に（SMB 1.0 プロトコル経由および SMB 2.x プロトコル
経由の）SMB 署名をサポートします。 SMB 署名は、リプレイアタック（別名「中間者攻撃」）を防止
することで、ストレージシステムとクライアント間のネットワークトラフィックが危険にさらされること
のないようにします。
SMB 署名がストレージシステムで有効になっている場合は、Microsoft Network のサーバポリシ
ー「デジタル署名通信（クライアントが同意した場合）」と同じです。パフォーマンス上の理由から、
デフォルトではストレージシステムで SMB 署名は無効になっています。
クライアントの SMB 署名ポリシーがストレージシステムとの通信に及ぼす影響
クライアントとストレージシステム間の通信のデジタル署名を制御する、Windows クライアント上の
SMB 署名ポリシーには、「通常」と「サーバが同意した場合」の 2 つがあります。
クライアント SMB ポリシーは、Microsoft 管理コンソール（MMC）を使用したセキュリティ設定で制
御されます。クライアントの SMB 署名とセキュリティ問題の詳細については、Microsoft Windows
のマニュアルを参照してください。
CIFS を使用したファイルアクセス | 73
ここでは、Microsoft Network クライアントの 2 つの署名ポリシーについて説明します。
•
「デジタル署名通信（サーバが同意した場合）」
この設定はクライアントの SMB 署名機能を有効にするかどうかを制御します。デフォルトでは
有効になっています。この設定がクライアント上で無効な場合は、ストレージシステム上の
SMB 署名設定にかかわらず、クライアントは SMB 署名なしでストレージシステムと正常に通
信します。この設定がクライアント上で有効な場合は、クライアントとストレージシステム間の
通信は次のようになります。
ストレージシステム上で SMB 署名が有効な場合、クライアントとストレージシステム間の
すべての通信で SMB 署名が使用されます。
• ストレージシステム上で SMB 署名が有効でない場合、通信は SMB 署名なしで正常に行
われます。
「デジタル署名通信（通常）」
この設定は、クライアントがサーバとの通信に SMB 署名を必要とするかどうかを制御します。
デフォルトでは無効になっています。この設定がクライアント上で無効である場合、SMB 署名
の動作は、「デジタル署名通信（サーバが同意した場合）」のポリシー設定とストレージシステ
ム上の設定に基づきます。この設定がクライアント上で有効な場合は、クライアントとストレー
ジシステム間の通信は次のようになります。
•
•
•
•
ストレージシステム上で SMB 署名が有効な場合、クライアントとストレージシステム間の
すべての通信で SMB 署名が使用されます。
SMB 署名がストレージシステム上で有効でない場合、クライアントはストレージシステムと
の通信を拒否します。
注: ご使用の環境に、SMB 署名を必要とするように設定された Windows クライアントが含ま
れる場合、ストレージシステム上の SMB 署名を有効にする必要があります。有効にしない
と、ストレージシステムはこれらのシステムにデータを提供できません。
SMB 署名のパフォーマンスへの影響
SMB 署名が有効な場合、Windows クライアントとのすべての CIFS 通信でパフォーマンスに重大
な影響が生じます。クライアントとサーバ（Data ONTAP を実行中のストレージシステム）両方に影
響があります。
パフォーマンスの低下は、CPU 使用率の増加としてクライアントとサーバの両方に表れます。ネッ
トワークのトラフィック量は変わりません。
ネットワークとストレージシステムの実装方法に応じて SMB 署名のパフォーマンスへの影響には
幅があるため、影響の程度はご使用のネットワーク環境でのテストによってのみ検証可能です。
ほとんどの Windows クライアントは、サーバで SMB 署名が有効になっている場合は、SMB 署名
をデフォルトでネゴシエートします。 Windows クライアントの一部で SMB 保護が必要で、SMB 署
名がパフォーマンスの問題を引き起こしている場合は、リプレイアタックからの保護を必要としない
Windows クライアントに対して SMB 署名を無効にすることができます。 Windows クライアントでの
SMB 署名の無効化については、Microsoft Windows のマニュアルを参照してください。
74 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
SMB 署名の有効化
Data ONTAP は、クライアントから要求された場合に Server Message Block（SMB;サーバメッセー
ジブロック）署名をサポートします。 SMB 署名はストレージシステムで有効にすることができま
す。デフォルトでは、SMB 署名は無効になっています。
タスク概要
SMB 署名は、すべての SMB メッセージに有効な署名を含めることで、ストレージシステムとクラ
イアント間のネットワークトラフィックが危険にさらされることのないようにします。 SMB 署名がスト
レージシステムで有効な場合は、 Microsoft Network のサーバポリシー「デジタル署名通信（クラ
イアントが同意した場合）」と同じです。
このオプションを有効にした場合のストレージシステムの動作は次のようになります。
•
•
•
クライアントから SMB 署名が要求された場合、クライアントとストレージシステムの間の通信
で SMB 署名が使用されます。
SMB 署名がクライアントで有効になっていない場合やクライアントから SMB 署名が要求され
ない場合は、通信は SMB 署名なしで正常に実行されます。
cifs.smb2.signing.required オプションも on に設定されている場合、SMB 2.x 対応クライ
アントから SMB 署名を要求すると、ストレージシステムで SMB 2.x と署名が使用されます。ク
ライアントで署名を使用した SMB 2.x セッションを確立できない場合、署名の有無やストレージ
システムでクライアント要求が使用されているかどうかに関係なく、クライアントは SMB セッショ
ンにフォールバックされます。
注: SMB 署名を有効にする前に、既存のすべての CIFS 接続を終了するために、cifs
terminate コマンドを使用して CIFS サービスを終了する必要があります。 CIFS サービスは、
SMB 署名を有効にしたあとに再開できます。
手順
1. cifs terminate コマンドを使用して CIFS サービスを終了します。
詳細については、cifs terminate のマニュアルページを参照してください。
2. 次のコマンドを入力します。
options cifs.signing.enable on
3. cifs restart コマンドを使用して CIFS サービスを再開します。
タスクの結果
クライアントから要求された場合、新しいすべての接続で SMB 署名が使用されます。
SMB 2.x メッセージへのクライアントによる署名の強制
SMB 署名を必須にすると、Data ONTAP は有効な署名のある SMB 2.x メッセージのみを受け入
れます。 SMB 2.x メッセージへのクライアントによる署名を強制するには、
CIFS を使用したファイルアクセス | 75
cifs.smb2.signing.required オプションを有効にします。デフォルトでは、このオプションは
off に設定されています。
タスク概要
cifs.smb2.signing.required オプションがストレージシステムで有効な場合は、 Microsoft
Network のサーバポリシー「デジタル署名通信（通常）」と同じです。このオプションを有効にした
場合、SMB 2.x 対応のクライアントと通信する際のストレージシステムの動作は次のようになりま
す。
•
•
クライアントから SMB 2.x 署名が要求された場合、クライアントとストレージシステムの間の通
信で SMB 2.x 署名が使用されます。
SMB 2.x 署名がクライアントで有効になっていない場合やクライアントから SMB 2.x 署名が要
求されない場合は、cifs.signing.enable オプションが on と off のどちらに設定されてい
るかによって次の動作が異なります。
•
off に設定されている場合は、SMB 2.x 要求が必須であるため、ストレージシステムでクラ
•
イアントとの通信が拒否されます。
on に設定されている場合は、署名の有無やクライアント要求の内容に関係なく、クライアン
トは SMB セッションにフォールバックされます。
注: SMB 署名を有効にする前に、既存のすべての CIFS 接続を終了するために、cifs
terminate コマンドを使用して CIFS サービスを終了する必要があります。 CIFS サービスは、
SMB 署名を有効にしたあとに再開できます。
手順
1. cifs terminate コマンドを使用して CIFS サービスを終了します。
詳細については、cifs terminate のマニュアルページを参照してください。
2. 次のいずれかを実行します。
SMB 2.x メッセージへのクライアントによる署名入力するコマンド
Data ONTAP で強制する場合
options cifs.smb2.signing.required on
Data ONTAP で強制しない場合
options cifs.smb2.signing.required
off
3. cifs restart コマンドを使用して CIFS サービスを再開します。
76 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
共有の管理
管理者は、ストレージシステム上のユーザとディレクトリを共有できます（「共有」を作成できま
す）。
共有を作成する際の考慮事項
CIFS 共有とはボリューム内に指定されたアクセスポイントで、CIFS クライアントがファイルサーバ
上のファイルを表示、参照、操作することを可能にします。 CIFS 共有を作成するときは、一定のガ
イドラインを考慮する必要があります。
共有を作成する際に必要な情報
共有を作成する場合、次の情報をすべて指定する必要があります。
•
•
CIFS 共有へのボリューム内の完全なパス
共有に接続するときにユーザが入力する共有の名前
共有を作成する場合、共有の説明を任意で指定できます。共有の説明は、ネットワーク上の共有
を参照する際に、[コメント]フィールドに表示されます。
Data ONTAP コマンドラインから共有を作成する場合は、複数の共有プロパティも指定できます。
これらのプロパティは、共有の作成後に随時変更できます。次の共有プロパティを指定できます。
•
•
•
•
•
•
•
•
•
共有内にあるファイルのグループメンバーシップ
共有の umask 値
共有内にある同じストレージシステム上の任意のデスティネーションへのシンボリックリンク
を、CIFS クライアントが参照できるかどうか
ワイドリンクをサポートするかどうか
共有が参照可能かどうか
共有内のファイルが開かれたときのウィルススキャンを無効にするかどうか
Windows クライアントによる共有内のファイルキャッシュを無効にするかどうか
Windows クライアントによる共有内の文書とプログラムの自動キャッシュをサポートするかどう
か
Windows の Access-Based Enumeration（ABE）を使用した共有リソースの表示の制御を可能に
するかどうか
共有の ACL とプロパティの変更
CIFS 共有を作成すると、フルコントロール権限が設定された ACL がデフォルトとして作成されま
す。 CIFS 共有のアクセス制御リストを管理するには、cifs access コマンドファミリーを使用しま
す。
共有を作成したあと、以下の共有プロパティを指定できます。
CIFS を使用したファイルアクセス | 77
•
共有に同時にアクセスできるユーザの最大数
注: ユーザ数を指定しないと、ストレージシステムのメモリがなくなった場合にのみ、以降の
ユーザがブロックされます。
•
共有レベルの ACL
共有コメントがバックスラッシュで終わる場合の問題からの回復
CIFS 共有を作成するときは、コメントの末尾をバックスラッシュ（\）にしないようにしてください。バッ
クスラッシュにすると、ストレージシステムのリブート後や CIFS の再開後に、その CIFS 共有が表
示されないことがあります。この問題が発生した場合は、いくつかの手順を実行して CIFS 共有を
元に戻す必要があります。
タスク概要
この問題が発生しないようにするには、CIFS 共有のコメントの末尾をバックスラッシュにしないよう
にしてください。この問題が原因で表示されなくなった CIFS 共有を元に戻すには、次の手順を実
行します。
手順
1. /etc/cifsconfig_share.cfg ファイルを開きます。
2. 表示されなくなった CIFS 共有を作成したときのコマンドを特定します。
3. 末尾のバックスラッシュを削除するか、バックスラッシュの後ろにスペースなどの文字を追加し
て、もう一度コマンドを実行します。
共有の命名規則
Data ONTAP の共有の命名規則は Windows の命名規則と同じです。共有を作成するときは、
Data ONTAP の共有の命名規則に注意してください。
たとえば、$記号で終わる共有名は非表示の共有です。また、ADMIN$や IPC$などの特定の共有
名は予約されています。
共有名の大文字と小文字は区別されません。
Windows クライアントの MMC を使用した CIFS 共有の作成
Windows クライアントの MMC を使用して CIFS 共有を作成するには、MMC とストレージシステ
ムを接続して、フォルダ共有ウィザードを実行します。
フォルダ共有ウィザードを使用したフォルダの共有
フォルダ共有ウィザードは、MMC を使用して実行できます。
手順
1. MMC をストレージシステムに接続します。
78 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
2. 左側のペインで[コンピュータの管理]が選択されていない場合は、選択します。
3. [システムツール] > [共有フォルダ] > [共有] > [操作]をクリックします。
Windows のバージョンによっては、これらのメニュー項目の語句は多少異なるかもしれませ
ん。
4. [新しい共有]をダブルクリックします。
5. フォルダ共有ウィザードの指示に従います。
Data ONTAP コマンドラインを使用した CIFS 共有の作成
Data ONTAP コマンドラインを使用して CIFS 共有を作成するには、cifs shares -add コマンド
を使用します。
手順
1. CIFS 共有を作成するには、次のコマンドを入力します。
cifs shares -add shareName path
shareName には、新しい CIFS 共有の名前を指定します。
path には、共有のパスを指定します。パスの区切り文字には、スラッシュまたはバックスラッ
シュを使用できますが、Data ONTAP では、どちらもスラッシュとして表示されます。
詳細については、na_cifs_shares(1)のマニュアルページを参照してください。
例
Web でアクセス可能な共有（webpages 共有）を、最大ユーザ数が 100 の/vol/vol1/
companyinfo ディレクトリに作成し、CIFS ユーザがこのディレクトリ内に作成したすべての
ファイルをすべてのユーザが所有するように設定するコマンドの例を次に示します。
cifs shares -add webpages /vol/vol1/companyinfo -comment "Product
Information" -forcegroup webgroup1 -maxusers 100
forcegroup オプションについて
Data ONTAP コマンドラインから共有を作成する場合は、forcegroup オプションを使用して、その
共有内の CIFS ユーザが作成するすべてのファイルが同じグループ（forcegroup）に属するように
指定できます。このグループは、UNIX グループデータベース内ですでに定義されている必要が
あります。
フォースグループの指定は、共有が UNIX qtree またはミックス qtree 内にある場合にのみ効果が
あります。 NTFS qtree 内の共有に含まれているファイルへのアクセスは、GID ではなく Windows
アクセス権によって判別されるため、このような共有にフォースグループを使用する必要はありま
せん。
共有にフォースグループが指定されている場合は、共有は次のようになります。
CIFS を使用したファイルアクセス | 79
•
•
この共有にアクセスするフォースグループ内の CIFS ユーザは、フォースグループの GID に一
時的に変更されます。
この GID を使用すると、フォースグループを含んだ共有内のファイルにアクセスできます。通
常、このファイルには、プライマリ GID または UID ではアクセスできません。
CIFS ユーザが作成した共有内にあるすべてのファイルは、
ファイル所有者のプライマリ GID に関係なく、同じフォースグループに属します。
CIFS ユーザが、NFS ユーザによって作成されたファイルにアクセスしようとすると、各ユーザのプ
ライマリ GID によって、アクセス権があるかどうかが判断されます。
フォースグループは、NFS ユーザがこの共有内のファイルにアクセスする方法に影響を与えませ
ん。 NFS ユーザが作成したファイルは、ファイル所有者から GID を取得します。アクセス権の決
定はファイルにアクセスしようとしている NFS ユーザの UID およびプライマリ GID に基づきます。
フォースグループを使用すると、さまざまなグループに属する CIFS ユーザがそのファイルにアクセ
スできるようになります。たとえば、会社の Web ページを保存する共有を作成し、Engineering グ
ループと Marketing グループのユーザに書き込みアクセス権を付与する必要がある場合、共有を
作成して、「webgroup1」というフォースグループに書き込みアクセス権を与えます。フォースグルー
プが含まれているので、CIFS ユーザがこの共有内に作成したすべてのファイルは、web グループ
によって所有されます。さらに、ユーザが共有にアクセスするときは、web グループの GID が自動
的に割り当てられます。その結果、すべてのユーザは、この共有に書き込めるようになりますが、
Engineering グループと Marketing グループのアクセス権を管理する必要はありません。
共有のプロパティの表示と変更
MMC または Data ONTAP コマンドラインを使用して、共有プロパティを表示したり、変更したりで
きます。
タスク概要
次の共有プロパティを変更できます。
•
•
•
•
共有の説明
共有に同時にアクセスできるユーザの最大数
共有レベルの権限
Access-Based Enumeration（ABE）を有効にするか無効にするか
Windows クライアントの MMC を使用した共有プロパティの表示と変更
Windows クライアントの MMC を使用して、共有プロパティを表示したり、変更したりできます。
手順
1. MMC をストレージシステムに接続します。
2. 左側のペインで[コンピュータの管理]が選択されていない場合は、選択します。
3. [システムツール] > [共有フォルダ]を選択します。
80 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
4. [共有]をダブルクリックします。
5. 右側のパネルで、共有を右クリックします。
6. [プロパティ]を選択します。
選択した共有のプロパティは、次の例に示すように表示されます。
7. [共有]タブを選択します。
共有の ACL が表示されます。
8. 追加グループまたはユーザを含むように共有の ACL を変更するには、[グループ名またはユ
ーザー名]ボックスでグループまたはユーザを選択します。
9. [group または user name のアクセス許可]ボックスで、アクセス権を変更します。
CIFS を使用したファイルアクセス | 81
Data ONTAP コマンドラインを使用した共有のプロパティの表示
Data ONTAP コマンドラインを使用して共有のプロパティを表示するには、cifs shares コマンド
を使用します。
手順
1. 次のコマンドを入力します。
cifs shares sharename
sharename には、共有の名前を 1 つ指定します。 sharename を指定しない場合、すべての共
有のプロパティが表示されます。
タスクの結果
共有名、共有されているディレクトリのパス名、共有の説明、および共有レベルの ACL が表示さ
れます。
Data ONTAP コマンドラインを使用した共有のプロパティの変更
Data ONTAP コマンドラインを使用して共有のプロパティを変更するには、cifs shares コマンド
を使用します。
手順
1. 次のコマンドを入力します。
cifs shares -change sharename {-browse | -nobrowse} {-comment desc | nocomment} {-maxusers userlimit | -nomaxusers} {-forcegroup groupname |
-noforcegroup} {-widelink | -nowidelink} {-symlink_strict_security | nosymlink_strict_security} {-vscan | -novscan} {-vscanread | novscanread} {-umask mask | -noumask {-no_caching | -manual_caching | auto_document_caching | -auto_program_caching}
詳細については、na_cifs_shares(1)のマニュアルページを参照してください。
注: sharename で疑問符とアスタリスク文字をワイルドカードに使用すると、複数の共有のプ
ロパティを同時に変更できます。たとえば、クライアントが任意の共有内で開いたすべてのフ
ァイルのウィルススキャンを無効にするには、次のコマンドを入力します。
cifs shares -change * -novscan
-nocomment、-nomaxusers、-noforcegroup、-noumask を指定すると、説明、ユーザの
最大数、フォースグループ、umask 値がそれぞれ削除されます。
82 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
共有からのシンボリックリンクに対する境界チェックの有効化と無効化
ある共有からのシンボリックリンクに対する境界チェックを無効にすると、CIFS クライアントは、そ
の共有内のシンボリックリンクを同じストレージシステム上にある任意の場所までたどることがで
きるようになります。
タスク概要
デフォルトでは、ユーザが共有外からファイルにアクセスするのを防ぐため、シンボリックリンクに
対する境界チェックは有効になっています。
境界チェックが無効になっている場合、ストレージシステムはシンボリックリンクが含まれる共有
の共有権限だけを確認します。
手順
1. 次のいずれかを実行します。
共有からのシンボリックリ操作
ンクに対する境界チェック
の設定
無効にする
Data ONTAP コマンドラインで、次のコマンドを入力します。
cifs shares -change sharename nosymlink_strict_security
有効にする
Data ONTAP コマンドラインで、次のコマンドを入力します。
cifs shares -change sharename symlink_strict_security
共有からのワイドリンクの有効化と無効化
CIFS クライアントが、共有やストレージシステムの外部にある絶対シンボリックリンクをたどれる
ように、共有からのワイドリンクを有効にすることができます。この機能はデフォルトで無効になっ
ています。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
共有からのワイドリンクを有効にする
cifs shares -change sharename -widelink
共有からのワイドリンクを無効にする
cifs shares -change sharename -nowidelink
共有を作成するときに-widelink オプションを指定して、共有からのワイドリンクを有効にする
こともできます。
CIFS を使用したファイルアクセス | 83
終了後の操作
共有からのワイドリンクを有効にしたら、/etc/symlink.translations ファイルに widelink エン
トリを作成して、ストレージシステムが各ワイドリンクのリンク先を決定する方法を指定する必要が
あります。
共有内に新規作成されたファイルおよびディレクトリの権限の指定
共有内に新規作成された、mixed または UNIX qtree セキュリティ形式のファイルおよびディレクト
リの権限を指定するには、共有の umask オプションを設定します。
タスク概要
共有の umask オプションは 8 進数（8 進法）値として指定する必要があります。デフォルトの
umask 値は 0 です。
注: 共有の umask オプションの値は NFS に影響を与えません。
手順
1. 次のいずれかを実行します。
権限を指定する対象
操作
新規作成されたファイル
およびディレクトリ
Data ONTAP コマンドラインから次のコマンドを入力します。
cifs shares -change sharename -umask mask
mask は、新規作成されたファイルおよびディレクトリのデフォルトの権限を
指定する 8 進数の値です。または、共有の作成時に umask オプションを設
定します。
新規作成されたファイル Data ONTAP コマンドラインから次のコマンドを入力します。
（共有の umask オプショ
cifs shares -change sharename -file_umask mask
ンの値を無視する場合）
mask は、新規作成されたファイルのデフォルトの権限を指定する 8 進数の
値であり、共有オプションの umask 値は無視されます。または、共有の作
成時に file_mask オプションを設定します。
新規作成されたディレク Data ONTAP コマンドラインから次のコマンドを入力します。
トリ（共有の umask オプ
cifs shares -change sharename -dir_umask mask
ションの値を無視する場
mask は、新規作成されたディレクトリのデフォルトの権限を指定する 8 進数
合）
の値であり、共有オプションの umask 値は無視されます。または、共有の
作成時に dir_mask オプションを設定します。
例
共有内でファイルが作成されたときに「group」権限および「other」権限の書き込みアクセスを
無効にするには、次のコマンドを入力します。
84 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
dir_umask 022
参照の有効化と無効化
参照を有効または無効にすると、特定の共有の表示をユーザに対して許可したり、禁止したりでき
ます。
開始する前に
参照を有効にする共有ごとに、-browse オプションを有効にする必要があります。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
特定の共有に関する参照を有効にする
cifs shares -change sharename
（cifs.enable_share_browsing オプションが on の ‑browse
場合は、影響がない）
特定の共有に関する参照を無効にする
注: Windows 7 クライアントでは遅延が発生することが
あります。
cifs shares -change sharename
‑nobrowse
すべての共有に関する参照を有効にする
options
cifs.enable_share_browsing on
すべての共有に関する参照を無効にする
options
cifs.enable_share_browsing
off
注: cifs.enable_share_browsing オプションを on に設定してすべての参照を無効にし
た場合、任意の共有に関する参照を個別に有効にすることはできません。
詳細については、na_options(1)のマニュアルページを参照してください。
ウィルススキャンの有効化と無効化
1 つ以上の共有に関してウィルススキャンを有効または無効にすると、セキュリティまたはパフォ
ーマンスをそれぞれ向上させることができます。
タスク概要
デフォルトでは、クライアントで開かれたすべてのファイルに対してウィルスがスキャンされます。
手順
1. 次のいずれかを実行します。
CIFS を使用したファイルアクセス | 85
目的
入力するコマンド
クライアントで開かれたすべてのファイルのウィル
ススキャンを有効にする
cifs shares change sharename ‑vscan
クライアントで開かれたすべてのファイルのウィル
ススキャンを無効にする
cifs shares change sharename ‑novscan
クライアントで開かれた読み取り専用ファイルのウ
ィルススキャンを有効にする
cifs shares change sharename ‑vscanread
クライアントで開かれた読み取り専用ファイルのウ
ィルススキャンを無効にする
cifs shares
‑change sharename ‑novscanread
-nvscan または-nvscanread オプションを指定して共有を作成する場合、共有のウィルスス
キャンも無効にすることができます。
CIFS 共有に対するウィルススキャンの指定の詳細については、『Data ONTAP Data Protection
Online Backup and Recovery Guide for 7-Mode』を参照してください。
キャッシュの有効化と無効化
キャッシュを有効または無効にすると、共有のファイルのキャッシュをクライアントに対して許可した
り、禁止したりできます。
タスク概要
キャッシュするファイルをクライアントで手動で選択する必要があるかどうかを指定できます。手動
で選択する必要がない場合は、クライアント設定に従って、プログラム、ユーザファイル、または両
方を自動的にキャッシュするかどうかを指定できます。デフォルトでは、キャッシュするファイルをク
ライアントで手動で選択する必要があります。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
キャッシュを無効にする
cifs shares -change sharename -nocaching
手動キャッシュを有効にする
cifs shares -change sharename manual_caching
ドキュメントの自動キャッシュを有効にする cifs shares -change sharename auto_document_caching
プログラムの自動キャッシュを有効にする cifs shares -change sharename auto_program_caching
86 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
共有を作成するときにデフォルトのキャッシュオプション（-manual_caching）を変更するに
は、-nocaching、-auto_document_caching、または-auto_program_caching オプションを
指定します。
共有のクライアント側キャッシュプロパティの設定
Windows 2000、XP、および 2003 クライアントでコンピュータ管理アプリケーションを使用して、共
有のクライアント側キャッシュのプロパティを設定することができます。詳細については、Microsoft
Windows のオンラインヘルプシステムを参照してください。
ABE について
Access-Based Enumeration（ABE）が CIFS 共有で有効になっていると、共有フォルダまたはその下
のファイルに（個人またはグループの権限制限により）アクセスする権限がないユーザの環境に
は、その共有リソースは表示されません。
標準的な共有のプロパティを使用すると、ユーザ（個人またはグループ）を指定して共有リソース
の表示や変更を許可することができます。ただし、この方法では、アクセス権のないユーザに対し
て共有フォルダやファイルを表示可能するかどうかをを制御することができません。この状態だ
と、共有フォルダ名またはファイル名に、顧客名や開発中の製品などの重要な情報が記述されて
いる場合に問題になることがあります。
ABE を使用すると、共有プロパティを拡張して共有リソースの一覧を含めることができます。この
ため、ABE を使用して、ユーザのアクセス権に基づいて共有リソースの表示をフィルタリングする
ことができます。職場の重要な情報を保護することに加え、ABE を使用すると大きなディレクトリ
構造の表示を簡略化できるので、ディレクトリ全体にアクセスする必要のないユーザにはメリットで
す。
ABE の有効化と無効化
Access-Based Eenumeration（ABE）を有効または無効にすると、ユーザがアクセス権のない共有リ
ソースを表示することを許可または禁止できます。
タスク概要
デフォルトでは、ABE は無効です。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
ABE を有効にする
cifs shares -change sharename -accessbasedenum
ABE を無効にする
cifs shares -change sharename -noaccessbasedenum
共有を作成するときに-accessbasedenum オプションを指定して、ABE を有効にすることもで
きます。
CIFS を使用したファイルアクセス | 87
Windows クライアントからの ABE コマンドの実行
Windows クライアントから Access-Based Enumeration（ABE）コマンドを実行するには、abecmd コ
マンドを使用して共有用 ABE を有効または無効にします。
開始する前に
Data ONTAP で ABE を有効にする必要があります。
手順
1. ABE をサポートしている Windows クライアントで次のコマンドを入力します。
abecmd [/enable | /disable] [/server filername] {/all | ShareName}
abecmd コマンドの詳細については、Windows クライアントのマニュアルを参照してください。
共有の削除
MMC または Data ONTAP コマンドラインを使用して、共有を削除できます。
MMC を使用した共有の削除
MMC を使用して共有を削除できます。
手順
1. MMC をストレージシステムに接続します。
2. 左側のペインで[コンピュータの管理]が選択されていない場合は、選択します。
3. [システムツール] > [共有フォルダ]を選択します。
4. [共有]をダブルクリックします。
5. 右側のパネルで、共有を右クリックしてから、[共有の停止]を選択します。
6. 確認ボックスで、[はい]を選択します。
タスクの結果
MMC によって共有が削除されます。
Data ONTAP コマンドラインを使用した共有の削除
Data ONTAP コマンドラインを使用して共有を削除するには、cifs shares コマンドを使用しま
す。
手順
1. 次のコマンドを入力します。
88 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
cifs shares -delete [-f] sharename
-f オプションを指定すると、共有上のすべてのファイルが強制的に閉じられます。確認のプロ
ンプトは表示されません。このオプションは、スクリプトでコマンドを使用する場合に便利です。
sharename には、削除する共有の名前を指定します。
ACL の管理
MMC またはコマンドラインを使用して、共有レベル ACL を表示したり、変更したりできます。ファ
イルレベルの ACL を変更するには、コマンドラインを使用する必要があります。
共有レベルの ACL について
CIFS ユーザが共有にアクセスするたびに、共有レベルの Access Control List（ACL;アクセス制御
リスト）が確認され、共有を含んでいる qtree のセキュリティ形式に関係なく、アクセスを許可するか
どうかが判断されます。
共有レベルの ACL は、Access Control Entry（ACE;アクセス制御エントリ）のリストで構成されま
す。各 ACE には、ユーザまたはグループの名前と、ユーザまたはグループの共有へのアクセス
権を指定する一連の権限が含まれています。
共有レベルの ACL は共有内のファイルへのアクセスを制限するもので、ファイルレベルの ACL
を超える権限を付与することはありません。
ACL の継承の仕組み
Access Control List（ACL;アクセス制御リスト）と Access Control Entry（ACE;アクセス制御エントリ）
について、その継承の仕組みを理解し、変更に対処することが重要です。
ACE には、ファイルシステム階層の下位レベルにあるオブジェクトの継承方法を示す詳細情報が
含まれています。たとえば、あるフォルダ（親フォルダ）のサブフォルダであるフォルダにファイルが
含まれているとします。親フォルダには、下位のオブジェクトに自動的に継承される ACL が含ま
れていることがあります。
継承は、新しいオブジェクトを作成するときにのみ実施されます。たとえば、あるフォルダ内にファ
イルを作成する場合、そのファイルがフォルダから ACE を継承するのは作成時のみです。あとで
ファイルの権限を変更しても、フォルダからファイルへもう一度継承が自動的に実施されることはあ
りません。ただし、フォルダの権限を変更した場合に、その設定が継承対象としてマークされてい
れば、作成時にそのフォルダから設定を継承したファイルにも変更が適用されます。
ACE の設定はフォルダからフォルダ内のオブジェクトに継承できるため、システムは、ACL 内の
ACE のうちどれが継承されてどれが継承されないかを追跡する必要があります。継承した ACE
をオブジェクトで変更した場合、変更した ACE と継承した ACE の両方がオブジェクトに保持されま
す。
NFSv4 の場合は、この動作が少し異なり、変更できるのは継承したのではない ACE のみです。
継承したのではないエントリは「明示的エントリ」と呼ばれます。継承したエントリを変更するには、
CIFS を使用したファイルアクセス | 89
親レベルのエントリ（継承元のエントリ）を変更するか、オブジェクトの ACL を削除して（つまり継承
を解除して）、継承したエントリを明示的なエントリで置き換えます。
ストレージシステムでローカルに権限を編集する場合は、fsecurity コマンドを使用して共有内
のフォルダの NTFS 権限を変更できます。 fsecurity コマンドを使用して NTFS 権限を変更する
と、ACL の継承に関する問題を回避することができます。
共有レベルの ACL の表示と変更
共有レベルの ACL を変更すると、共有に設定するアクセス権を強化したり、軽減したりできます。
タスク概要
共有を作成すると、共有レベルの ACL のデフォルトでは、Everyone という名前の標準グループに
読み取りアクセス権が与えられます。 ACL に読み取りアクセス権が設定されているため、ドメイン
内およびすべての信頼できるドメイン内のすべてのユーザに共有への読み取り専用アクセス権が
与えられます。
共有レベルの ACL を変更するには、Windows クライアントの MMC または Data ONTAP コマンド
ラインを使用します。
MMC を使用する場合は、次に示すガイドラインに注意してください。
•
•
•
Windows アクセス権だけを指定できます。
指定したユーザ名およびグループ名は Windows 名である必要があります。
共有レベルの ACL には UNIX 形式のアクセス権を与えないでください。
Data ONTAP コマンドラインを使用する場合は、次に示すガイドラインに注意してください。
•
•
•
Windows アクセス権または UNIX 形式のアクセス権を指定できます。
ユーザ名およびグループ名には、Windows 名または UNIX 名を使用できます。
ストレージシステムが/etc/passwd ファイルで認証される場合、ACL 内のユーザ名またはグ
ループ名は UNIX 名とみなされます。
ストレージシステムがドメインコントローラで認証される場合、名前は最初 Windows 名とみな
されます。ただし、ドメインコントローラで名前が見つからない場合、UNIX 名のデータベース内
で名前が検索されます。
Windows クライアントの MMC を使用した共有レベル ACL へのユーザまたはグループの追加
Windows クライアントの MMC を使用して、ACL にユーザまたはグループを追加できます。
手順
1. MMC をストレージシステムに接続します。
2. 左側のペインで[コンピュータの管理]が選択されていない場合は、選択します。
3. [システムツール] > [共有フォルダ]を選択します。
4. [共有]をダブルクリックします。
90 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
5. 右側のパネルで、共有を右クリックします。
6. [プロパティ]を選択します。
7. [共有]タブを選択します。
共有の ACL が表示されます。
8. [追加]をクリックします。
9. [ユーザー、コンピュータ、またはグループの選択]ウィンドウで、[選択するオブジェクト名を入力
してください]ボックスにユーザの名前を入力します。
10. [OK]をクリックします。
CIFS を使用したファイルアクセス | 91
タスクの結果
これで、ACL に新しいユーザまたはグループが追加されます。
Windows クライアントの MMC を使用した共有レベル ACL の表示と変更
Windows クライアントの MMC を使用して共有レベル ACL を表示したり、変更したりできます。
手順
1. MMC をストレージシステムに接続します。
2. 左側のペインで[コンピュータの管理]が選択されていない場合は、選択します。
3. [システムツール] > [共有フォルダ]を選択します。
4. [共有]をダブルクリックします。
5. 右側のパネルで、共有を右クリックします。
6. [プロパティ]を選択します。
7. [共有]タブを選択します。
共有の ACL が表示されます。
8. 特定のグループまたはユーザに関する ACL を変更するには、[グループ名またはユーザー名]
ボックスでグループまたはユーザを選択し、[group または user name のアクセス許可]ボック
スで権限を変更します。
92 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
Windows クライアントの MMC を使用した共有レベル ACL からのユーザまたはグループの削除
Windows クライアントの MMC を使用して、共有レベル ACL からユーザまたはグループを削除で
きます。
手順
1. MMC をストレージシステムに接続します。
2. 左側のペインで[コンピュータの管理]が選択されていない場合は、選択します。
3. [システムツール] > [共有フォルダ]を選択します。
4. [共有]をダブルクリックします。
CIFS を使用したファイルアクセス | 93
5. 右側のパネルで、共有を右クリックします。
6. [プロパティ]を選択します。
7. [共有]タブを選択します。
共有の ACL が表示されます。
8. ユーザまたはグループを選択します。
9. [削除]をクリックします。
タスクの結果
これで、ACL からユーザまたはグループが削除されました。
Data ONTAP コマンドラインを使用した共有レベルの ACL の変更
Data ONTAP コマンドラインを使用して共有レベル ACL を変更するには、cifs access コマンド
を使用します。
手順
1. 次のコマンドを入力します。
cifs access share [-g] user rights
share は共有の名前です（*および? ワイルドカードを使用できます）。
user はユーザまたはグループの名前です（UNIX または Windows）。
user がローカルグループの場合、ドメイン名としてストレージシステム名を指定します（toaster
\writers など）。
rights はアクセス権です。 Windows ユーザの場合は No Access、Read、Change、Full
Control のアクセス権の中から 1 つを指定します。 UNIX ユーザの場合は、r（読み取り）、w
（書き込み）、x（実行）のアクセス権の中から 1 つを指定します。
user が UNIX グループの名前であることを指定するには、-g オプションを指定します。
例
次に、releases という共有上の Windows ユーザ ENGINEERING\mary に Windows の読み
取りアクセス権を設定する例を示します。
cifs access releases ENGINEERING\mary Read
次に、accounting という共有上のユーザ john に UNIX の読み取りおよび実行アクセス権を
設定する例を示します。
toaster> cifs access accounting john rx
次に、sysadmins という共有上の UNIX グループ Wheel にフルアクセス権を設定する例を
示します。
94 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
toaster> cifs access sysadmins -g wheel Full Control
Data ONTAP コマンドラインを使用した共有レベル ACL からのユーザまたはグループの削除
Data ONTAP コマンドラインを使用して、ACL からユーザまたはグループを削除することができま
す。
手順
1. 次のコマンドを入力します。
cifs access -delete share [-g] user
share は共有の名前です（*および? ワイルドカードを使用できます）。
user はユーザまたはグループの名前です（UNIX または Windows）。
user がローカルグループの場合、ドメイン名としてストレージシステム名を指定します（toaster
\writers など）。
-g オプションを使用して、user が UNIX グループの名前である（user は UNIX ユーザ、
Windows ユーザ、または Windows グループのいずれでもない）ことを指定します。
例
次に、releases という共有からユーザ ENGINEERING\mary の ACL エントリを削除する例を
示します。
cifs access -delete releases ENGINEERING\mary
NFSv3 および NFSv4 クライアントに表示される Windows ACL 権限の基準（最小アクセス権または
最大アクセス権）の指定
NFSv3 および NFSv4 クライアントで、ACL によって付与された最小アクセス権を基にした
Windows ACL 権限（UNIX または NFSv4 ACL 権限ではありません）が表示されるように指定す
るには、nfs.ntacl_display_permissive_perms オプションを on に設定します。それ以外の
場合は、このオプションを off に設定します。デフォルトでは、このオプションは off になっていま
す。
タスク概要
7.2.1 より前の Data ONTAP バージョンでは、NFSv3 および NFSv4 クライアントに表示されるファ
イルに関する権限は、Windows ACL によって付与された最大アクセス権に基づいていました。た
だし、Data ONTAP 7.2.1 以降、NFSv3 および NFSv4 クライアントに表示されるファイルに関する
権限は、Windows ACL によってすべてのユーザに付与される最小アクセス権に基づくよう変更さ
れました。
CIFS を使用したファイルアクセス | 95
手順
1. 次のコマンドを入力します。
options nfs.ntacl_display_permissive_perms {on | off}
ファイルレベルの ACL の表示と変更
ファイルレベルの ACL を変更すると、特定のユーザおよびグループにそのファイルへのアクセス
権を設定するかどうかを制御できます。
タスク概要
ファイルおよびディレクトリの権限の設定は、ファイルレベルの ACL に保存されます。これらの
ACL は、Windows 2000 NTFS セキュリティモデルに準拠しています。 NTFS 形式のセキュリティ
が設定されたファイルの場合、CIFS ユーザは、PC を使用してファイルレベルの ACL を設定し、表
示できます。 NTFS 形式の qtree 内にあるすべてのファイルと mixed 形式の qtree 内にある一部
のファイルは、NTFS 形式のセキュリティを備えています。
File Allocation Table（FAT）ファイルシステム内のファイルには ACL を使用しません。UNIX アク
セス権を使用します。 CIFS クライアントから見た場合、ACL のないファイルでは、ファイルの[プロ
パティ]ウィンドウの[セキュリティ]タブは表示されません。
次の表に示すように、ある特定のリソースのファイルシステム（FAT または NTFS）は、ストレージ
システムの認証方法とそのリソースの qtree 形式によって異なります。
qtree 形式と認証方法
ファイルシステム
UNIX 形式の qtree ですべての認証方法
FAT
mixed または NFTS 形式の qtree で/etc/passwd 認証
FAT
mixed または NFTS 形式の qtree でドメインまたはワークグループ認証
NTFS
手順
1. Windows デスクトップで、ファイルを右クリックし、ポップアップメニューの[プロパティ]をクリック
します。
注: NT4 クライアントでは、ワイドリンクをサポートしている共有内にあるファイルを右クリック
し、[プロパティ]をクリックしても、[セキュリティ]タブは表示されません。 cacls などのセキュリ
ティツールを使用して、セキュリティを設定できます。あるいは、Windows 2000 クライアント
からファイルにアクセスするか、ワイドリンクをサポートしていない共有を使用してファイルに
アクセスできます。ワイドリンクをサポートしている共有と、サポートしていない共有の 2 つの
異なる共有を同じディレクトリに置き、セキュリティの設定時は、ワイドリンクをサポートしてい
ない共有を使用できます。
2. [セキュリティ]タブをクリックします。
注: 認証方法および qtree 形式によっては、[セキュリティ]タブは表示されません。
96 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
3. [グループ名またはユーザー名]ボックスから表示する権限のユーザまたはグループを選択しま
す。
選択したグループまたはユーザの権限は、[user または group のアクセス許可]ボックスに表
示されます。
4. ファイルにユーザまたはグループを追加するには、[追加]をクリックし、[ユーザー、コンピュー
タ、またはグループの選択]ウィンドウで、[選択するオブジェクト名を入力してください]ボックス
にユーザまたはグループの名前を入力します。
CIFS を使用したファイルアクセス | 97
ユーザまたはグループは ACL へ追加されます。
共有レベルの ACL とグループ ID の動作方法の指定
共有に UNIX 形式のセキュリティが設定されたファイルが含まれており、共有レベルの ACL を使
用して UNIX グループによるアクセスを管理する場合は、グループ ID に基づいてファイルへのア
クセスをユーザに許可するかどうかを決める必要があります。
タスク概要
specs という共有が UNIX 形式の qtree 内にあり、engineering と marketing の 2 つの UNIX グル
ープに共有へのフルアクセス権を与える必要がある場合、共有レベルでこれらのグループに rwx
権限を与えます。
この共有内に engineering グループが所有する draft というファイルがあり、次の権限が設定され
ているとします。
draft rwxr-x---
engineering のメンバーが draft ファイルへアクセスしようとした場合、共有レベルの ACL はこのユ
ーザに specs 共有への無制限のアクセス権を与え、draft ファイルへのアクセスは engineering グ
ループに割り当てられたアクセス権（この例では r-x）によって決まります。
ただし、UNIX 形式のファイル権限では engineering のメンバー以外にはファイルへのアクセスが
許可されていないため、marketing グループのメンバーが draft ファイルにアクセスしようとするとア
クセスは拒否されます。。 marketing グループが draft ファイルを読み取れるようにするには、ファ
イルレベルの権限を次の設定に変更する必要があります。
98 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
draft rwxr-xr-x
この権限の欠点は、marketing グループだけでなくすべての UNIX ユーザがファイルを読み取れ
るようになるため、セキュリティ上の問題が生じることです。
この問題を解決するには、アクセスを許可するときに GID を無視するように Data ONTAP を設定
します。
アクセスを許可する際にユーザの GID を無視するように Data ONTAP を設定すると、ファイル所
有者以外のすべてのユーザが、ファイルを所有する UNIX グループのメンバーとみなされます。
前述の例では、engineering グループに適用される権限は、ファイルにアクセスしようとする
marketing グループのメンバーにも適用されます。つまり、engineering グループのメンバーと
marketing グループのメンバーの両方に、draft ファイルへの r-x 権限が適用されます。
デフォルトでは、Data ONTAP はアクセスを許可する前にユーザの GID を確認します。このデフォ
ルトの設定は、次の条件のいずれかが当てはまる場合に役立ちます。
•
•
UNIX 形式のセキュリティを備えたファイルが共有に含まれていない場合
UNIX グループのアクセス管理に共有レベルの ACL を使用していない場合
手順
1. 次のいずれかを実行します。
ユーザアクセス権を許可する際の動作
操作
ユーザの GID を無視する
次のコマンドを入力します。
options cifs.perm_check_use_gid off
ユーザの GID を確認する
次のコマンドを入力します。
options cifs.perm_check_use_gid on
ホームディレクトリの管理
ストレージシステム上にユーザのホームディレクトリを作成し、各ユーザにホームディレクトリ共
有を自動的に割り当てるよう Data ONTAP を設定できます。
タスク概要
CIFS クライアントからは、ホームディレクトリはユーザが接続できる他の共有と同じように機能しま
す。
各ユーザは自分のホームディレクトリだけに接続できます。他のユーザのホームディレクトリには
接続できません。
CIFS を使用したファイルアクセス | 99
ストレージシステム上のホームディレクトリについて
Data ONTAP では、ホームディレクトリ名をユーザ名にマッピングし、指定されたホームディレクト
リを検索し、標準共有の場合とはやや異なる方法でホームディレクトリを処理します。
Data ONTAP では、名前が一致するユーザに共有が割り当てられます。一致させるユーザ名に
は、Windows ユーザ名、ドメイン名付きの Windows ユーザ名、または UNIX ユーザ名のいずれ
かを使用できます。ホームディレクトリ名の大文字と小文字は区別されません。
Data ONTAP では、ユーザ名と一致するディレクトリを検索するとき、指定したパスだけが検索され
ます。これらのパスをホームディレクトリパスといいます。ホームディレクトリパスは、異なるボリ
ュームに存在できます。
ホームディレクトリとその他の共有には次のような違いがあります。
•
•
•
ホームディレクトリの共有レベルの ACL およびコメントは変更できません。
cifs shares コマンドを実行しても、ホームディレクトリは表示されません。
Universal Naming Convention（UNC）を使用してホームディレクトリを指定する形式は、他の共
有を指定する形式と異なる場合があります。
ホームディレクトリパスとして/vol/vol1/enghome および/vol/vol2/mktghome を指定すると、
これらのパスでユーザのホームディレクトリが検索されます。/vol/vol1/enghome パスに jdoe
のディレクトリを作成し、/vol/vol2/mktghome パスに jsmith のディレクトリを作成した場合、両方
のユーザにホームディレクトリが割り当てられます。jdoe のホームディレクトリは/vol/vol1/
enghome/jdoe ディレクトリに対応し、jsmith のホームディレクトリは/vol/vol2/mktghome/
jsmith ディレクトリに対応します。
Data ONTAP でのユーザとディレクトリの照合方法
ホームディレクトリの名前形式を指定すると、Data ONTAP でユーザとホームディレクトリを照合
する方法が決まります。
次に、選択できる名前形式と、各形式の情報を示します。
•
•
•
Windows 名
Data ONTAP はユーザの Windows 名と一致するディレクトリを検索します。
非表示名
名前形式が非表示の場合、ユーザはドル記号を付加した Windows ユーザ名（name$）を使用
してホームディレクトリに接続します。その結果、Windows ユーザ名（name）と一致するディレク
トリが検索されます。
Windows ドメイン名付き Windows 名
異なるドメインに属しているユーザのユーザ名が同じ場合、ドメイン名を使用して区別する必要
があります。
この名前形式では、Data ONTAP はホームディレクトリパス内でドメイン名と一致するディレク
トリを検索します。次に、見つかったドメインディレクトリ内でユーザ名と一致するホームディレ
クトリを検索します。
100 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
•
例：engineering\jdoe 用のディレクトリと marketing\jdoe 用のディレクトリを作成する場合は、
engineering と marketing の 2 つのディレクトリをホームディレクトリパスに作成します。ディレ
クトリ名はドメイン名（engineering、marketing）と同じにします。このドメインディレクトリにユー
ザのホームディレクトリをそれぞれ作成します。
マッピングされた UNIX 名
名前形式が UNIX 方式の場合、ユーザのマッピングされた UNIX 名と一致するディレクトリが
検索されます。
例：John Doe の Windows 名 jdoe が UNIX 名 johndoe にマッピングされる場合、（jdoe ではな
く）johndoe というディレクトリがホームディレクトリパスで検索され、ホームディレクトリとして
John Doe に割り当てられます。
ホームディレクトリの名前形式を指定しない場合は、ディレクトリの照合にユーザの Windows 名
が使用されます。これは、バージョン 6.0 より前の Data ONTAP で使用されていた形式と同じで
す。
ホームディレクトリでのシンボリックリンクの機能
シンボリックリンクの機能は、ホームディレクトリの名前形式によって異なります。
名前形式を指定しないと、ホームディレクトリパスの外部にあるディレクトリを指すシンボリックリ
ンクをたどって、ホームディレクトリが検索されます。
例：ホームディレクトリパスが/vol/vol0/eng_homes であると仮定します。 jdoe のホームディレ
クトリを特定するため、Data ONTAP は/vol/vol0/eng_homes/jdoe を検索します。このパス
は、/vol/vol1/homes/jdoe などのホームディレクトリパスの外部にあるディレクトリを指すシン
ボリックリンクである場合があります。
ホームディレクトリの名前形式を指定すると、デフォルトでは、シンボリックリンクは、ホームディレ
クトリパスのディレクトリを指す場合にのみ機能します。
例：ホームディレクトリパスが/vol/vol0/eng_homes であり、Windows 名前形式を使用すると
仮定します。 jdoe のホームディレクトリを特定するため、Data ONTAP は/vol/vol0/
eng_homes/jdoe を検索します。パスがシンボリックリンクである場合は、シンボリックリンクのタ
ーゲットがホームディレクトリパス内にある場合のみ、ユーザはホームディレクトリにアクセスでき
ます。たとえば、シンボリックリンクが/vol/vol0/eng_homes/john ディレクトリを指す場合はシ
ンボリックリンクが機能しますが、/vol/vol1/homes/john ディレクトリを指す場合は機能しませ
ん。
注: デフォルトのストレージシステム設定を変更して、ホームディレクトリパスの外部にあるリン
ク先を指すシンボリックリンクを CIFS クライアントが参照できるようすることができます。
現在、Data ONTAP では異なるボリューム内にホームディレクトリを作成できるようになったため、
ホームディレクトリ名としてシンボリックリンクを使用する必要はありません。ただし、下位互換性
を維持するために、引き続きシンボリックリンクをホームディレクトリ名として使用できます。
CIFS を使用したファイルアクセス | 101
ホームディレクトリパスの指定
Data ONTAP では、ユーザ名と一致するディレクトリに指定した順に、ホームディレクトリパスを検
索します。 /etc/cifs_homedir.cfg ファイルを編集することにより、ホームディレクトリパスを
指定できます。
タスク概要
複数のホームディレクトリパスを指定できます。一致するディレクトリが見つかれば、検索は停止
します。
ユーザがホームディレクトリの最上位レベルにアクセスできないようにするには、ホームディレクト
リパスに拡張子を追加します。拡張子は、ユーザがホームディレクトリにアクセスすると自動的に
開かれるサブディレクトリを示します。
cifs_homedir.cfg ファイル内のエントリを変更することにより、ホームディレクトリパスをいつで
も変更できます。ただし、ユーザがホームディレクトリパス内にあるファイルを開いているときに、
リストからパスを削除しようとすると、変更の確認を求める警告メッセージが表示されます。ファイ
ルが開いた状態でディレクトリパスを変更すると、ホームディレクトリへの接続が切断されます。
デフォルトの cifs_homedir.cfg ファイルがない場合は、CIFS の開始時に/etc ディレクトリにこ
のファイルが作成されます。このファイルの変更内容は、CIFS の開始時に自動的に処理されま
す。 cifs homedir load コマンドを使用して、このファイルの変更内容を処理することもできます。
手順
1. ホームディレクトリパスとして使用するディレクトリを作成します。
たとえば、/vol/vol0 ボリューム内に、enghome というディレクトリを作成します。
2. 編集する/etc/cifs_homedir.cfg ファイルを開きます。
3. /etc/cifs_homedir.cfg ファイルに、手順 1 で作成したホームディレクトリパス名のエントリ
を 1 行に 1 つずつ入力し、Data ONTAP がユーザホームディレクトリを検索するパスとして指
定します。
注: パス名は 1,000 個まで入力できます。
4. 次のコマンドを入力して、エントリを処理します。
cifs homedir load [-f]
-f オプションを指定すると、新しいパスが強制的に使用されます。
102 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ホームディレクトリパスのリストの表示
cifs homedir コマンドを使用すると、現在のディレクトリパスのリストを表示できます。
手順
1. 次のコマンドを入力します。
cifs homedir
注: ホームディレクトリに非表示の名前形式を使用している場合、ホームディレクトリパスの
リストを表示すると、ドル記号が自動的にホームディレクトリ名に付加されます（name$な
ど）。
タスクの結果
ホームディレクトリに非表示の名前形式を使用していると、ホームディレクトリは次の場合に表示
されません。
•
•
DOS で、net view \\filer コマンドを使用する場合
Windows で、エクスプローラアプリケーションを使用してストレージシステムにアクセスし、ホ
ームディレクトリフォルダを表示する場合
ホームディレクトリの名前形式の指定
ホームディレクトリに使用する名前形式を指定するには、cifs.home_dir_namestyle オプショ
ンを使用します。
手順
1. 次のコマンドを入力します。
options cifs.home_dir_namestyle {ntname | hidden | domain | mapped | ""}
Windows ユーザ名と同じホームディレクトリ名を使用する場合は、ntname を使用します。
ドル記号を付加した Windows ユーザ名を使用して、Windows ユーザ名と同じ名前のホーム
ディレクトリの検索を実行したい場合は、hidden を使用します。
Windows ユーザ名とともにドメイン名を使用してホームディレクトリを検索する場合は、domain
を使用します。
usermap.cfg ファイルで指定した UNIX ユーザ名と同じホームディレクトリ名を使用する場合
は、mapped を使用します。
名前形式を指定せずに、ホームディレクトリとユーザを照合する場合は、""を使用します。この
場合、ホームディレクトリパスの外部にあるディレクトリを指すシンボリックリンクに従って、ホ
ームディレクトリが検索されます。
デフォルトでは、cifs.home_dir_namestyle オプションは""に設定されています。
CIFS を使用したファイルアクセス | 103
ホームディレクトリパスでのディレクトリの作成（ドメインの名前形式）
cifs.home_dir_namestyle オプションが domain の場合は、/etc/cifs_homedir.cfg を編
集し、ホームディレクトリを作成して権限を設定することにより、ホームディレクトリを作成できま
す。
手順
1. /etc/cifs_homedir.cfg ファイルを開き、ホームディレクトリを作成するパスを追加します。
各ユーザの所属する NetBIOS ドメインの名前の付いたフォルダ内に、ホームディレクトリを作
成します。たとえば、/vol/vol1/homedir というパスを/etc/cifs_homedir.cfg ファイル
に追加します。
2. /etc/cifs_homedir.cfg ファイルに追加したディレクトリ内に、各ドメインのディレクトリを作
成します。
たとえば、HQ および UK の 2 つのドメインがある場合は、/vol/vol1/homedir/hq/ディレク
トリおよび/vol/vol1/homedir/uk/ディレクトリを作成します。
3. 手順 2 で作成した各ドメインディレクトリに、そのドメイン内のユーザが使用するホームディレ
クトリを作成します。
たとえば、2 人ともユーザ名が jsmith で、HQ ドメインと UK ドメインに属している場合
は、/vol/vol1/homedir/HQ/jsmith ホームディレクトリと/vol/vol1/homedir/UK/
jsmith ホームディレクトリを作成します。
4. 各ユーザをそれぞれのホームディレクトリの所有者に設定します。
たとえば、HQ\jsmith を/vol/vol1/homedir/HQ/jsmith ホームディレクトリの所有者に設定
し、UK\jsmith を/vol/vol1/homedir/UK/jsmith ホームディレクトリの所有者に設定しま
す。
HQ\jsmith という名前のユーザは、/vol/vol1/homedir/HQ/jsmith ホームディレクトリに対
応する jsmith という共有に接続できます。 UK\jsmith という名前のユーザは、/vol/vol1/
homedir/UK/jsmith ホームディレクトリに対応する jsmith という共有に接続できます。
5. 新しい CIFS の homedir 設定をストレージシステムにロードします。
たとえば、次のコマンドを入力します。
cifs homedir load -f
6. 次のコマンドを入力して、CIFS homedir のドメイン名の形式が有効であることを確認します。
cifs homedir showuser user_name
たとえば、次のいずれかのコマンドを入力します。
cifs homedir showuser hq/jsmith
cifs homedir showuser uk/jsmith
104 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ホームディレクトリパスでのディレクトリの作成（ドメイン以外の名前形式）
cifs.home_dir_namestyle オプションが domain でない場合は、ディレクトリを作成して、ユー
ザをその所有者に設定することにより、ホームディレクトリを作成できます。
手順
1. 指定したホームディレクトリパスにホームディレクトリを作成します。
例
たとえば、jsmith と jdoe という 2 人のユーザがいる場合は、/vol/vol0/enghome/jsmith ホ
ームディレクトリと/vol/vol1/mktghome/jdoe ホームディレクトリを作成します。
ユーザはユーザ名と同名の共有に接続し、その共有をホームディレクトリとして使用できます。
2. 各ユーザをそれぞれのホームディレクトリの所有者に設定します。
例
たとえば、jsmith を/vol/vol0/enghome/jsmith ホームディレクトリの所有者に設定し、jdoe
を/vol/vol1/mktghome/jdoe ホームディレクトリの所有者に設定します。
注: 名前形式が非表示の場合は、ユーザ名の後ろにドル記号を付けて入力しないと（例：
name$）、ホームディレクトリに接続できません。
engineering\jsmith という名前のユーザは、/vol/vol0/enghome/engineering/jsmith ホ
ームディレクトリに対応する jsmith という共有に接続できます。
marketing\jdoe という名前のユーザは、/vol/vol1/mktghome/marketing/jdoe ホームディ
レクトリに対応する jdoe という共有に接続できます。
ホームディレクトリパス拡張機能を使用する場合のホームディレクトリでのサブディレ
クトリの作成
ホームディレクトリパス拡張子を使用する場合、ユーザがアクセスできるサブディレクトリをそれぞ
れのホームディレクトリ内に作成できます。
手順
1. 拡張子付きホームディレクトリパス内にある各ホームディレクトリに、ユーザがアクセスできる
サブディレクトリを作成します。
たとえば、/etc/cifs_homedir.cfg ファイルに/vol/vol0/enghome/%u%/data パスが含ま
れる場合、data というサブディレクトリを各ホームディレクトリ内に作成します。
ユーザは、ユーザ名と同名の共有に接続できます。共有に読み書きするとき、ユーザは data
サブディレクトリにアクセスすることになります。
CIFS を使用したファイルアクセス | 105
UNC 名を使用してホームディレクトリを指定するための構文
UNC を使用してホームディレクトリを指定する方法は、cifs.home_dir_namestyle オプション
で指定するホームディレクトリの名前形式によって異なります。
以下の表は、それぞれの名前形式の値に対応する UNC 名とその例を示しています。
cifs.home_dir_namestyle の値
UNC 名
ntname または""
\\filer\Windows_NT_name
例：\\toaster\jdoe
hidden
\\filer\Windows_NT_name$
例：\\toaster\jdoe$
domain
\\filer\~domain~Windows_NT_name
例：\\toaster\~engineering~jdoe
mapped
\\filer\~mapped_name
例：\\toaster\~jdoe
cifs.home_dir_namestyle を domain に設定したにもかかわらず、アクセス要求の UNC 名で
ドメイン名を指定しなかった場合、Data ONTAP は、要求の送信元のドメインをドメインとみなしま
す。アクセス要求でドメイン名を省略する場合には、ユーザ名の前のチルダ（~）も省略できます。
例
jdoe というユーザが engineering ドメインに属している PC から engineering\jdoe としてログイ
ンしているとします。このユーザが、marketing ドメインにある自分のユーザ名を使用して自
分のホームディレクトリにアクセスしようとする場合、次のコマンドのどちらかを使用してアク
セスを要求できます。
net use * \\toaster\~jdoe /user:marketing\jdoe
net use * \\toaster\jdoe /user:marketing\jdoe
他のユーザのホームディレクトリへのアクセス許可
ユーザが接続できるのは自分のホームディレクトリだけですが、管理者は他のユーザのホームデ
ィレクトリへのアクセスを許可できます。
手順
1. 次のいずれかのパス名に対応する共有を作成します。
•
cifs.home_dir_name_style が domain でない場合は、ホームディレクトリパス
106 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
•
cifs.home_dir_name_style が domain の場合は、ホームディレクトリパス内のドメイン
ディレクトリ
例：/vol/vol0/enghome がホームディレクトリパスの場合は、次のコマンドを使用します。
cifs shares -add eng_dirs /vol/vol0/enghome -comment "readable
engineering home directories"
2. 他のユーザのホームディレクトリに対する適切なアクセス権を、各ユーザに割り当てます。
例：次のように eng_dirs 共有の読み取り専用の権限を engineering グループに割り当てま
す。
cifs access eng_dirs engineering full
engineering グループのメンバーは、eng_dirs 共有内にあるすべてのホームディレクトリに対
する読み取り専用の権限を持ちます。
共有のエイリアスを使用した CIFS ホームディレクトリへのアクセス
CIFS ホームディレクトリのどの名前形式でも、cifs.homedir またはチルダ（~）のいずれかの共有
のエイリアスを使用すると、各自の CIFS ホームディレクトリに接続できます。
タスク概要
各自の CIFS ホームディレクトリに接続すると、スクリプトの作成時に役立ちます。
手順
1. cifs.homedir またはチルダ（~）のいずれかの共有のエイリアスを使用して各自の CIFS ホーム
ディレクトリにアクセスします。
例
net use * \\toaster\cifs.homedir
net use * \\toaster\~
共有からのワイドリンクの有効化と無効化
CIFS クライアントが、共有やストレージシステムの外部にある絶対シンボリックリンクをたどれる
ように、共有からのワイドリンクを有効にすることができます。この機能はデフォルトで無効になっ
ています。
手順
1. 次のいずれかを実行します。
CIFS を使用したファイルアクセス | 107
目的
入力するコマンド
共有からのワイドリンクを有効にする
cifs shares -change sharename -widelink
共有からのワイドリンクを無効にする
cifs shares -change sharename -nowidelink
共有を作成するときに-widelink オプションを指定して、共有からのワイドリンクを有効にする
こともできます。
終了後の操作
共有からのワイドリンクを有効にしたら、/etc/symlink.translations ファイルに widelink エン
トリを作成して、ストレージシステムが各ワイドリンクのリンク先を決定する方法を指定する必要が
あります。
ホームディレクトリの無効化
ホームディレクトリの割り当てを停止するには、/etc/cifs_homedir.cfg ファイルを削除しま
す。 cif sshares -delete コマンドを使用して、ホームディレクトリを削除することはできませ
ん。
手順
1. ストレージシステム上の/etc/cifs_homedir.cfg ファイルを削除します。
BranchCache を使用したブランチオフィスでの CIFS 共有のコンテ
ンツのキャッシュ
BranchCache は、要求元のクライアントのローカルコンピュータにコンテンツをキャッシュできるよう
にするために Microsoft が開発した機能です。 Data ONTAP に BranchCache を実装すると、Data
ONTAP ストレージシステムに格納されたコンテンツに CIFS を使用してブランチオフィスのユーザ
がアクセスする際に、広域ネットワーク（WAN）の使用量を抑え、アクセス応答時間を短縮すること
ができます。
BranchCache を設定すると、Windows BranchCache クライアントはまずストレージシステムのコン
テンツを取得し、次に取得したコンテンツをブランチオフィスのコンピュータにキャッシュします。ブ
ランチオフィスの別の BranchCache 対応クライアントが同じコンテンツを要求すると、ストレージシ
ステムは最初に要求元ユーザの認証と許可を実行します。次に、キャッシュされたコンテンツが最
新のものであるかどうかが確認され、最新のものである場合はそのコンテンツに関するメタデータ
がクライアントに送信されます。クライアントは、そのメタデータを使用して、ローカルのキャッシュ
から直接コンテンツを取得します。
108 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
サポートされる BranchCache のキャッシュモード
Microsoft BranchCache は、ホスト型キャッシュモードと分散キャッシュモードのどちらかで設定で
きます。どちらのモードも Data ONTAP BranchCache でサポートされています。 BranchCache を設
定するときは、それぞれのモードの利点を考慮するようにしてください。
BranchCache 構成に含まれるブランチオフィスの Microsoft Windows クライアントについて、動作
モードを設定することができます。動作モードは次のいずれかになります。
ホスト型
キャッシュされたコンテンツがブランチオフィスの 1 台のサーバに格納されます。ク
キャッシュライアントは、キャッシュされたコンテンツをホスト型キャッシュサーバから取得しま
モード
す。クライアントが要求したコンテンツがキャッシュされていない場合は、WAN を使
用してストレージシステムからコンテンツを取得し、そのコンテンツをキャッシュする
ようにホスト型キャッシュサーバに通知します。その後、ホスト型キャッシュサーバ
は、他のクライアントが同じコンテンツを要求した場合にキャッシュされているコンテ
ンツから取得できるように、ホストされているキャッシュにそのコンテンツを転送しま
す。
分散キャ
ッシュモ
ード
ピアツーピアモードを使用して、コンテンツが複数のクライアントにキャッシュされま
す。ブランチオフィスのローカルクライアントにコンテンツのコピーが保持され、認証
および許可されている他のクライアントが同じデータを要求した場合にこのコピーを
利用できます。これは、オフラインファイルと呼ばれるローカルキャッシュの方法と
は異なります。オフラインファイルでは、キャッシュされたファイルが格納されている
クライアントしかそのファイルを利用できません。
このモードは、1 つのサブネットでのみ機能します。また、クライアントが停止してい
るなど、何らかの理由でネットワークから利用できない状態の場合は、他のクライア
ントがキャッシュされたコンテンツを要求しても取得できません。
BranchCache のモードを選択する際に重要になるいくつかの利点を次にまとめます。
•
ホスト型キャッシュモードの利点：
キャッシュの可用性が高まる
最初にデータを要求したクライアントがオフラインの場合でもコンテンツを利用できます。
• キャッシュされたコンテンツへのアクセスが複数の LAN でサポートされる
分散キャッシュが 1 つのサブネットに制限されるのに対し、ホスト型キャッシュは複数のサ
ブネットで機能します。
分散キャッシュモードの利点：
•
•
•
•
個別のキャッシュサーバが不要である
コンテンツはすべてローカルクライアントにキャッシュされます。
設定や保守が容易である
CIFS を使用したファイルアクセス | 109
BranchCache の用語
Data ONTAP BranchCache の機能について理解し、BranchCache を実装すべきかどうかを判断す
るために、BranchCache のいくつかの基本的な用語を覚えておく必要があります。
ブロック
セグメントの構成要素で、コンテンツを一定のサイズに分割したもの。各セグメントは
同じサイズ（64KB）の 1 つ以上のブロックに分割されます。ただし、最後のブロックは
例外で、通常は他のブロックよりも小さくすることができます。ブロックはすべて特定
のセグメントに属し、セグメント内では、連番のインデックスで識別されます。
ブロック
範囲
セグメント内の連続する一連のブロック。ブロック範囲は 1 組の整数で表されます。最
初の数値は範囲内の最初のブロックのインデックスで、2 つ目の数値は範囲内に含
まれる連続するブロックの数です。
ブロック
ハッシュ
セグメント内のコンテンツブロックのハッシュ。ブロック ID とも呼ばれます。
クライア
ント
特定のコンテンツにアクセスするピア。分散キャッシュモードでは、キャッシュされた
コンテンツをブランチオフィスの他のピアに提供する役割も担います。
コンテン
ツ
アプリケーションがアクセスするファイル。キャッシュされたコンテンツは、セグメント単
位で識別され、ブロック単位でダウンロードされます。各コンテンツアイテムは、順番
どおりにに並べられた 1 つ以上のセグメントで構成されます。各セグメントのサイズ
は同じ（32MB）ですが、コンテンツアイテムのサイズがセグメントのサイズの倍数に
ならない場合、最後のセグメントのサイズはそれよりも小さくなる場合があります。
コンテン
ツサー
バ
コンテンツのハッシュまたは実際のコンテンツ（コンテンツがキャッシュされていない場
合）を取得するためにピアが接続するストレージシステム。
ホスト型
キャッシ
ュ
ピアによって追加されたブロックで構成される集中管理されたキャッシュ。ホスト型キ
ャッシュモードで使用できます。
ピア
コンテンツのキャッシュと取得のシステムに参加するノード。ピアは、コンテンツにア
クセスするほか、分散キャッシュモードの場合は、他のピア用にキャッシュしたコンテ
ンツを提供する役割も担います。
セグメン
ト
コンテンツを分割したもの。各セグメントのサイズは同じ（現在のバージョンでは
32MB）ですが、コンテンツのサイズがセグメントの標準サイズの倍数にならない場
合、最後のセグメントはそれよりも小さくなる場合があります。
データのセグメント内のすべてのブロックのコンテンツブロックハッシュのハッシュ。
セグメン
トハッシ
ュ
セグメン
ト ID
コンテンツ固有のラベルまたは公開識別子を表すハッシュ。他のピアやホスト型キャ
ッシュからコンテンツを検索する際に使用されます。この識別子は、ブロードキャスト
110 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
メッセージで公開されます。この識別子を知っていても、実際のコンテンツへのアクセ
スが許可されるわけではありません。
セグメン
トシーク
レット
認証および許可されたクライアントに、他のコンテンツ情報と一緒に送信されるコンテ
ンツ固有のハッシュ。データのセグメントハッシュとサーバシークレットを連結してハ
ッシュすることで生成されます。
サーバ
シークレ
ット
サーバに格納されている任意の長さのバイナリ文字列の SHA-256 ハッシュ。サーバ
シークレットは、 cifs branchcache set key コマンドを使用して作成します。
Data ONTAP が BranchCache を実装する仕組み
共有で BranchCache を設定して有効にしたあと、ブランチオフィスの BranchCache 対応クライアン
トが初めてストレージシステムからコンテンツを取得すると、取得したコンテンツがブランチオフィ
スでキャッシュされます。別のクライアントで同じコンテンツが必要な場合、有効なハッシュがあれ
ば、キャッシュから直接コンテンツをダウンロードできます。
Data ONTAP では、キャッシュを行うためにファイルの内容をセグメントと呼ばれる小さい単位に分
割し、セグメントをさらにブロックに分割します。 BranchCache 環境では、ファイルではなく、このセ
グメントとブロック単位で、データの格納や取得を行います。
Data ONTAP では、ブロックとセグメントのハッシュをそれぞれ計算します。検出はセグメントハッ
シュ単位で行われ、ダウンロードはブロックハッシュ単位で行われます。たとえば、キャッシュされ
たコンテンツをクライアントが取得するときは、ブロック単位で取得します。ブロックハッシュとセグ
メントハッシュは、キャッシュされたコンテンツを要求した BranchCache 対応クライアントに送信さ
れるコンテンツメタデータの主な構成要素です。
クライアントからストレージシステムに、ブランチオフィスでキャッシュされているコンテンツに関す
るメタデータの要求が送信されると、Data ONTAP では、BranchCache を使用しない場合とまったく
同じ方法で要求元の認証と許可を行い、コンテンツに関するメタデータ（ハッシュ）をクライアントに
送信します。 Data ONTAP は必ずクライアントにコンテンツメタデータ送信するため、クライアント
は常に最新のコンテンツのハッシュを受け取ります。コンテンツがキャッシュされていない場合や、
キャッシュされたデータが最新のデータでない場合は、Data ONTAP はクライアントにコンテンツを
送信し、データの送信時にハッシュを計算します。その後、以降のクライアント要求のためにハッ
シュ情報を格納します。
クライアントが複数のブロックまたは複数のセグメントで構成されるコンテンツを要求する場合は、
クライアント側でブロックやセグメントの取得と連結を行って元のコンテンツを再構築する必要があ
ります。
CIFS を使用したファイルアクセス | 111
BranchCache クライアントがキャッシュコンテンツを取得する仕組み
キャッシュされたコンテンツのメタデータをストレージシステムから取得したあと、クライアントがキ
ャッシュされたコンテンツを取得する方法は、ブランチオフィスで分散キャッシュモードとホスト型キ
ャッシュモードのどちらが設定されているかによって異なります。
分散キャッシュモード
ブランチオフィスでまだコンテンツがキャッシュされていない場合、ストレージシステムで次の処理
が行われます。
1. クライアントを認証および許可します。
2. 要求されたコンテンツのハッシュを計算します。
3. コンテンツとメタデータをクライアントに送信します。
クライアントは、そのデータをローカルにキャッシュし、他のピアで使用できるようにします。
4. 別のクライアントが同じコンテンツを要求した場合、ストレージシステムで次の処理が行われま
す。
a. クライアントを認証および許可します。
b. 要求されたコンテンツのハッシュがまだ有効であるかどうかを確認します。
c. ハッシュがまだ有効な場合、2 番目のクライアントにメタデータを送信します。
2 番目のクライアントはメタデータを受け取ったあと、次の処理を行います。
1. メタデータの情報を使用してローカルネットワークにマルチキャストメッセージを送信し、キャッ
シュされたデータの場所に関する情報を要求します。
2. キャッシュされたデータを格納しているクライアントが要求に応答し、要求されたコンテンツを暗
号化して 2 番目のクライアントに送信します。
3. 2 番目のクライアントは、ストレージシステムから受け取ったメタデータの情報を使用してデー
タを復号化し、受け取ったデータが変更されておらず有効であることを確認します。
ホスト型キャッシュモード
ブランチオフィスでまだコンテンツがキャッシュされていない場合、ストレージシステムで次の処理
が行われます。
1. クライアントを認証および許可します。
2. 要求されたコンテンツのハッシュを計算します。
3. コンテンツとメタデータをクライアントに送信します。
クライアントは、このコンテンツをローカルにキャッシュしません。対象となるブランチオフィス
のクライアントには、ホスト型キャッシュサーバの完全修飾ドメイン名が設定されます。クライ
アントは、この情報を使用してキャッシュサーバに接続し、コンテンツの識別子をキャッシュサ
ーバに提供します。キャッシュサーバは、それらの識別子を使用してこのデータがまだキャッ
112 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
シュされていないことを確認してから、提供されたコンテンツブロックを提供元のピアから直接
受け取ります。
4. 別のクライアントが同じコンテンツを要求した場合、ストレージシステムで次の処理が行われま
す。
a. クライアントを認証および許可します。
b. 要求されたコンテンツのハッシュがまだ有効であるかどうかを確認します。
c. ハッシュがまだ有効な場合、2 番目のクライアントにメタデータを送信します。
2 番目のクライアントはメタデータを受け取ったあと、次の処理を行います。
1. 2 番目のクライアントには、ホスト型キャッシュサーバのアドレスが設定されます。そのサーバ
に対して、要求されたセグメントのブロック範囲を直接照会します。
2. ホスト型キャッシュサーバは、データを暗号化して 2 番目のクライアントに返します。
3. 2 番目のクライアントは、ストレージシステムから受け取ったメタデータの情報を使用してデー
タを復号化し、受け取ったデータが変更されておらず有効であることを確認します。
サポートされる BranchCache ネットワークプロトコル
Data ONTAP BranchCache を実装するときは、ネットワークプロトコルの要件に注意してください。
Data ONTAP BranchCache 機能は、SMB 2.1 以降を使用して、IPv4 および IPv6 のネットワークで
実装できます。
BranchCache の実装に含まれるすべてのストレージシステムとブランチオフィスのマシンで、SMB
2.1 以降のプロトコルを有効にする必要があります。 SMB 2.1 では、プロトコルの機能拡張により、
クライアントを BranchCache 環境に含めることができます。 SMB 2.1 は、BranchCache をサポート
する SMB の最小バージョンです。
注: Microsoft BranchCache 機能ではファイルアクセスプロトコルとして HTTP / HTTPS と SMB
2.1 以降のプロトコルの両方がサポートされますが、Data ONTAP BranchCache では SMB 2.1
のみがサポートされます。
BranchCache を実装するための要件
ストレージシステムやブランチオフィスのシステムで BranchCache を設定するには、いくつかの要
件を満たす必要があります。
BranchCache を設定するには、ストレージシステムや対象となるブランチオフィスのクライアント
で、SMB 2.1 以降と BranchCache の機能をサポートしている必要があります。さらに、ホスト型キ
ャッシュモードを設定する場合は、サポートされるホストをキャッシュサーバに使用する必要があ
ります。
•
•
•
コンテンツサーバ：Data ONTAP 8.1.1 以降（7-Mode）を実行しているストレージシステム
キャッシュサーバ：Windows Server 2008 R2
ピア：Windows 7 Enterprise、Windows 7 Ultimate、または Windows Server 2008 R2
CIFS を使用したファイルアクセス | 113
Data ONTAP がサポートする CIFS クライアントおよびサーバに関する最新情報については、
Interoperability Matrix を参照してください。
BranchCache の設定
ストレージシステムで BranchCache を設定するには、Data ONTAP コマンドを使用します。
BranchCache を実装するには、コンテンツをキャッシュするブランチオフィスでクライアントおよびキ
ャッシュサーバ（オプション）の設定も行う必要があります。その後、BranchCache キャッシュサー
ビスの対象となる CIFS 共有で BranchCache を有効にする必要があります。
ストレージシステムでの BranchCache の設定
ブランチオフィスにある BranchCache 対応 Windows クライアントに BranchCache サービスを提供
するようにストレージシステムを設定することができます。
開始する前に
ストレージシステムで BranchCache を設定するには、次の要件を満たしている必要があります。
•
•
•
Data ONTAP 8.1.1 7-Mode 以降がインストールされている必要があります。
CIFS のライセンスが設定されている必要があります。
IPv4 または IPv6 のネットワーク接続が設定されている必要があります。
手順
1. SMB 2.1 を有効にします。
options cifs.smb2.enable on
このコマンドを実行すると、SMB 2.0 と SMB 2.1 の両方が有効になります。
2. BranchCache を有効にします。
options cifs.smb2_1.branch_cache.enable on
3. オプション：未使用の BranchCache ハッシュをストレージシステムのメモリに保持する時間（秒）
を設定します。
options cifs.smb2_1.branch_cache.hash_time_out time
time に指定できる値の範囲は 0～4000000 です。このオプションを設定しなかった場合、ハッ
シュがメモリに保持されるデフォルトの時間は 3600 秒です。この手順の最後に示した例で
は、7200 に設定されています。
4. ストレージシステムでハッシュの生成に使用するパスフレーズを設定します。スペースを含め
る場合は、文字列を引用符で囲みます。
cifs branchcache set key "your_pass_phrase"
パスフレーズは、ストレージシステムで BranchCache のコンテンツハッシュを生成するときに
使用する文字列です。パスフレーズは BranchCache の設定後に再設定できます。パスフレー
ズの値を変更すると、キャッシュされている既存のコンテンツはすべて古いデータとみなされま
114 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
す。古いデータとみなされると、コンテンツはコンテンツサーバから取得され、新しいハッシュ
が生成されてストレージシステムに格納されます。
options cifs.smb2.enable on
options cifs.smb2_1.branch_cache.enable on
options cifs.smb2_1.branch_cache.hash_time_out 7200
cifs branchcache set key "your_pass_phrase"
終了後の操作
この手順を完了したら、キャッシュサービスの対象となる共有で BranchCache を有効にします。
ブランチオフィスでの BranchCache の設定に関する情報の参照先
BranchCache は、ストレージシステムで設定するだけでなく、ブランチオフィスのクライアントコン
ピュータおよびキャッシュサーバ（オプション）にもインストールして設定する必要があります。
BranchCache 機能を使用するようにブランチオフィスのクライアントおよびキャッシュサーバ（オプ
ション）を設定する方法については、Microsoft の BranchCache の Web サイト
（technet.microsoft.com/EN-US/NETWORK/DD425028）を参照してください。
CIFS 共有での BranchCache キャッシュの有効化
ストレージシステムとブランチオフィスで BranchCache を設定したら、ブランチオフィスのクライア
ントによるコンテンツのキャッシュを許可する各 CIFS 共有で BranchCache を有効にすることができ
ます。
BranchCache キャッシュは、共有ごとに有効にします。 CIFS 共有で BranchCache を有効にするに
は、cifs shares -add コマンドまたは cifs shares -change コマンドを使用します。既存の
CIFS 共有でキャッシュを有効にすると、その共有で BranchCache を有効にした時点で、Data
ONTAP によるハッシュの計算と要求元クライアントへのメタデータの送信が開始されます。
注: その後 CIFS 共有に対する BranchCache を無効にすると、Data ONTAP による要求元クライ
アントへのメタデータの送信が中止されます。データが必要なクライアントは、コンテンツサーバ
（ストレージシステム）から直接データを取得します。
共有で BranchCache を有効にする際の考慮事項
CIFS 共有で BranchCache を有効にするときは、一定の制限事項やサポートに関する考慮事項に
注意する必要があります。
BranchCache の制限を次に示します。
•
BranchCache でサポートされる最大ファイルサイズは 160MB です。
ファイルサイズがこれよりも大きい場合、クライアントはストレージシステムからコンテンツを取
得します。
CIFS を使用したファイルアクセス | 115
•
BranchCache クライアントが Snapshot コピー内のファイルのハッシュを要求しても、ハッシュ情
報はクライアントに返されません。
クライアントはコンテンツをストレージシステムから取得する必要があります。
BranchCache 対応の CIFS 共有は、次の設定ではサポートされません。
•
•
•
ボリュームまたは qtree の SnapMirror デスティネーションに CIFS 共有を作成する場合
ボリュームまたは qtree の SnapMirror デスティネーションの既存の CIFS 共有を変更する場合
ボリュームまたは qtree の解除された SnapMirror デスティネーションに BranchCache が有効な
CIFS 共有があり、SnapMirror ソースと再同期される場合
注: ボリュームまたは qtree の SnapMirror デスティネーションが解除されている間は、
BranchCache が有効な CIFS 共有がサポートされます。
•
•
Data ONTAP BranchCache の機能が無効になっている場合
Data ONTAP SMB 2.1 の機能が options cifs.smb2.enable off コマンドで無効にされて
いる場合
BranchCache が有効な CIFS 共有の作成
CIFS 共有を作成するときに BranchCache を有効にすることができます。
タスク概要
-branchcache オプションは、複数あるクライアント側キャッシュオプションの 1 つです。共有の
BranchCache を有効にすると、手動によるクライアント側キャッシュも有効になります。 CIFS 共有
の BranchCache を有効にした場合、-auto_document_caching オプション
や‑auto_program_caching オプションを使用してローカルのクライアント側キャッシュを有効にす
ることはできません。
手順
1. BranchCache が有効な CIFS 共有を作成するには、次のコマンドを入力します。
cifs shares -add share_name path -branchcache
share_name には、新しい CIFS 共有の名前を指定します。
path には、共有のパスを指定します。パスの区切り文字には、スラッシュまたはバックスラッ
シュを使用できますが、Data ONTAP では、どちらもスラッシュとして表示されます。
詳細については、na_cifs_shares(1)のマニュアルページを参照してください。
例
次に、BranchCache を有効にして projects という名前の CIFS 共有を/vol/vol1/projects
ディレクトリに作成するコマンドの例を示します。
cifs shares -add projects /vol/vol1/projects -branchcache
116 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
BranchCache を有効にするための既存の CIFS 共有の変更
既存の CIFS 共有を変更して BranchCache を有効にすることができます。 BranchCache キャッシュ
は、Data ONTAP の CIFS 共有で有効にできるクライアント側キャッシュオプションの 1 つです。共
有の変更時に指定できるクライアント側キャッシュオプションは 1 つだけです。そのため、共有プ
ロパティの-branchcache オプションを指定した場合、他のクライアント側キャッシュオプションは
指定できません。
タスク概要
CIFS 共有で有効にできるクライアント側キャッシュオプションは 1 つだけであるため、branchcache クライアント側キャッシュオプションを指定すると、CIFS 共有の作成時に指定したク
ライアント側キャッシュオプションが置き換えられます。また、既存の CIFS 共有で BranchCache
を有効にした場合、-auto_document_caching オプションや-auto_program_caching オプショ
ンを使用してローカルのクライアント側キャッシュを有効にすることはできません。共有で
BranchCache を有効にすると、手動によるクライアント側キャッシュも自動的に有効になります。
手順
1. 既存の CIFS 共有で BranchCache を有効にするには、次のコマンドを入力します。
cifs shares -change share_name -branchcache
share_name には、新しい CIFS 共有の名前を指定します。
詳細については、na_cifs_shares(1)のマニュアルページを参照してください。
例
次に、「projects」という名前の既存の CIFS 共有で BranchCache を有効にするコマンドの例
を示します。
cifs shares -change projects -branchcache
Data ONTAP が BranchCache ハッシュを管理する仕組み
共有で BranchCache を有効にするかどうかを判断するときは、ハッシュキャッシュの有効期間、ひ
いてはキャッシュされたコンテンツが有効な期間について理解する必要があります。どのような場
合にハッシュが無効になるかについて理解することも、この判断に役立ちます。
Data ONTAP は、BranchCache ハッシュを管理して、無効なハッシュや古いハッシュが使用されな
いようにする必要があります。有効でないハッシュや古いハッシュが見つかると、そのハッシュは
無効化され、次回のコンテンツの要求時に新しいハッシュが計算されます（BranchCache が有効な
場合）。
BranchCache 対応クライアントが、ブランチオフィスでキャッシュされているコンテンツに関するメタ
データ（ハッシュ）の要求をストレージシステムに送信すると、Data ONTAP は次の処理を実行しま
す。
CIFS を使用したファイルアクセス | 117
1. 要求されたコンテンツのハッシュが有効であり、古いデータでないことを確認します。
たとえば、ハッシュの生成後にコンテンツが変更された場合など、いくつかの理由で無効または
古いハッシュとみなされることがあります。
2. 無効または古いハッシュとみなすと、Data ONTAP は要求元クライアントにエラーメッセージを
返すとともに、新しいハッシュを生成してハッシュキャッシュに格納します。
3. 要求元クライアントは、今度はコンテンツを直接取得する要求（データの要求）をストレージシ
ステムに送信します。
4. Data ONTAP は、ストレージシステムから直接取得したコンテンツと新たに計算したメタデータ
をクライアントに送信します。
5. ブランチオフィスで、キャッシュされていた古いデータが新しいデータとメタデータに置き換えら
れます。
6. BranchCache 対応クライアントが次に同じコンテンツのメタデータの要求を送信すると、ストレー
ジシステムは要求元の BranchCache 対応クライアントに新しいメタデータを提供します。
7. BranchCache 対応クライアントは、新しくキャッシュされたコンテンツをローカルキャッシュから
取得します。
注: BranchCache に対応していないクライアントは、ストレージシステムにメタデータの要求を送
信しません。代わりに、実際のコンテンツの要求を送信します。
Data ONTAP は、以下の場合にハッシュを無効にします。
•
•
•
•
•
•
•
•
BranchCache ハッシュのタイムアウト期間が経過し、ハッシュがキャッシュからフラッシュされた
場合。
このパラメータは調整可能で、ビジネス要件に合わせて変更することができます。
CIFS または NFS 経由のアクセスでファイルが変更された場合。
ハッシュの対象となったファイルが削除された場合。
この場合、ハッシュはタイムアウト期間が経過した時点で無効になります。
BranchCache 対応の共有を含むボリュームがオフラインになった場合。
ハッシュの対象となったファイルが snap restore コマンドを使用してリストアされた場合。
BranchCache 対応の CIFS 共有を含むボリュームが snap restore コマンドを使用してリスト
アされた場合。
BranchCache 対応の CIFS 共有を含むボリュームが Volume SnapMirror デスティネーションに
なった場合。
サーバシークレットキーが変更された場合。
BranchCache ハッシュ統計情報の表示
cifs branchcache hash stat コマンドを使用すると、BranchCache ハッシュに関する統計を表
示できます。
オプションを指定せずに cifs branchcache hash stat コマンドを使用すると、5 分間隔でのフ
ラッシュされたハッシュ数と、ハッシュが要求されたファイルサイズのリストを示すレポートが表示さ
れます。
118 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ファイルサイズ別のハッシュ統計情報の表示
ハッシュが要求されたファイルの数をサイズ別に表示するレポートを生成することができます。こ
のレポートを使用して、サイズの小さいファイルに BranchCache を使用するようにクライアント側の
設定を調整する必要があるかどうかを判断できます。
タスク概要
ファイルのサイズは次のように分類されます。
•
•
•
•
•
•
•
10KB 未満
11KB～100KB
101KB～250KB
251KB～1MB
1.1MB～10MB
11MB～100MB
100MB 超
手順
1. ハッシュが要求されたファイルの数をサイズ別に表示するレポートを生成するには、次のコマン
ドを使用します。
cifs branchcache hash stat -size
例
cifs branchcache hash stat -size
Number of
Number of
for = 7
Number of
for = 120
Number of
= 9
Number of
= 1245
Number of
for = 9
Number of
files (size <= 10KB) for which hashes were asked for = 5
files (10KB < size <= 100KB) for which hashes were asked
files (100KB < size <= 250k) for which hashes were asked
files (250KB < size <= 1MB) for which hashes were asked for
files (1MB < size <= 10MB) for which hashes were asked for
files (10MB < size <= 100MB) for which hashes were asked
files (size > 100MB) for which hashes were asked for = 27
CIFS を使用したファイルアクセス | 119
フラッシュされたハッシュ数の表示
フラッシュされた BranchCache ハッシュ数を 5 分間隔で表示するレポートを生成することができま
す。この情報は、ハッシュのタイムアウト値を増やすべきかどうかの判断に役立ちます。
手順
1. フラッシュされたハッシュ数についてのレポートを表示するには、次のコマンドを使用します。
cifs branchcache hash stat -flush
レポートの結果から、ハッシュが頻繁にフラッシュされていることがわかった場合は、
cifs.smb2_1.branch_cache.hash_time_out オプションを使用してタイムアウト値を増や
すことができます。
例
cifs branchcache hash stat -flush
Number
Number
Number
Number
Number
of
of
of
of
of
hashes
hashes
hashes
hashes
hashes
flushed
flushed
flushed
flushed
flushed
in
in
in
in
in
duration
duration
duration
duration
duration
of
of
of
of
of
600 seconds = 5
900 seconds = 8
1200 seconds = 11
1500 seconds = 14
more than 1800 seconds = 22
BranchCache サーバのシークレットキーの変更
BranchCache サーバのシークレットキーを変更するには、cifs branchcache set key コマンド
を再実行します。
タスク概要
パスフレーズの値を変更すると、キャッシュされている既存のコンテンツはすべて古いデータとみ
なされます。古いデータとみなされると、コンテンツはストレージシステムから取得され、新しいハ
ッシュが生成されてストレージシステムに格納されます。
手順
1. サーバシークレットキーを変更するには、次のコマンドを使用します。
cifs branchcache set key pass-phrase
pass_phrase には、サーバシークレットキーとして使用するテキスト文字列を指定します。パ
スフレーズにスペースを含める場合は、パスフレーズを引用符で囲みます。
例
次に、スペースを含む新しいパスフレーズをサーバシークレットキーとして設定する例を示しま
す。
120 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
cifs branchcache set key "my new secret server key phrase"
ストレージシステムで BranchCache を無効にした場合の動作
BranchCache を設定したあとに、ブランチオフィスのクライアントがキャッシュされたコンテンツを使
用できないようにするには、ストレージシステムでキャッシュを無効にします。 BranchCache を無効
にするときは、それを実行した場合の動作について理解しておく必要があります。
BranchCache を無効にすると、Data ONTAP によるハッシュの計算や要求元クライアントへのメタ
データの送信が行われなくなります。以降、ブランチオフィスの BranchCache 対応クライアントが
アクセスしようとするコンテンツのメタデータ情報を要求した場合、エラーが返されます。その場
合、クライアントでもう一度要求を送信して、実際のコンテンツを要求する必要があります。これに
対して、ストレージシステムに格納されている実際のコンテンツが送信されます。
ストレージシステムでの BranchCache の無効化
ストレージシステムで BranchCache を無効にするには、BranchCache 機能を無効にするか、SMB
2.1 を無効にします。
タスク概要
ストレージシステムで SMB 2.1 以降が有効になっていないと BranchCache は使用できないため、
SMB 2.1 を無効にすると BranchCache 機能も無効になります。
手順
1. 該当するコマンドを実行します。
目的
入力するコマンド
BranchCache を無効にし、SMB 2.x は有 options cifs.smb2_1.branch_cache.enable
効なままにする
off
BranchCache と SMB 2.x を無効にする
options cifs.smb2.enable off
既存の CIFS 共有での BranchCache の無効化
既存の CIFS 共有で BranchCache を無効にする場合は、cifs shares -change コマンドを使用
してクライアント側キャッシュオプションを変更します。 BranchCache キャッシュを無効にするには、
クライアント側キャッシュオプションを-no_caching または-manual_caching に変更します。
手順
1. 既存の CIFS 共有で BranchCache を無効にするには、次のコマンドを入力します。
cifs shares -change share_name [-no_caching | -manual_caching]
share_name には、CIFS 共有の名前を指定します。
詳細については、na_cifs_shares(1)のマニュアルページを参照してください。
CIFS を使用したファイルアクセス | 121
例
次に、projects という名前の既存の CIFS 共有で BranchCache を無効にするコマンドの例を示
します。
cifs shares -change projects -no_caching
ローカルユーザとグループの管理
このセクションでは、ストレージシステム上でのローカルユーザとグループの作成と管理について
説明します。
ローカルユーザの管理
ローカルユーザは、ユーザおよびグループのリストで指定できます。たとえば、ファイルレベルの
ACL と共有レベルの ACL にローカルユーザを指定できます。また、ローカルユーザをローカル
グループに追加することもできます。
ローカルユーザアカウントの作成が必要な場合
ストレージシステム上にローカルユーザを作成する理由はいくつかあります。
システム構成が次の条件を満たす場合は、ローカルユーザアカウントを 1 つ以上作成する必要
があります。
•
•
セットアップ中に、ストレージシステムを Windows ワークグループのメンバーに設定した場合。
この場合、ストレージシステムは、ローカルユーザアカウントの情報を使用して、ユーザを認
証する必要があります。
ストレージシステムがドメインのメンバーの場合。
•
•
ローカルユーザアカウントを使用することで、信頼できないドメインからストレージシステム
に接続しようとするユーザをストレージシステムが認証できます。
ドメインコントローラが停止しているか、またはネットワークの問題によってストレージシス
テムがドメインコントローラに接続できない場合でも、ローカルユーザはストレージシステ
ムにアクセスできます。
たとえば、ストレージシステムがドメインコントローラに接続できない場合でも、ローカルユ
ーザアカウントを使用してストレージシステムにアクセスできるように、BUILTIN
\Administrator アカウントを定義できます。
注: ストレージシステムの設定時に、ストレージシステムが UNIX モードを使用してユーザを認
証するように設定した場合は、ローカルユーザアカウントを作成しないでください。 UNIX モー
ドでは、ストレージシステムは常に UNIX パスワードデータベースを使用してユーザを認証しま
す。
122 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ストレージシステムの認証方法の表示
ストレージシステムの認証方法を表示して、ローカルユーザおよびグループを作成する必要があ
るかどうかを判別するには、cifs sessions コマンドを入力します。
手順
1. 次のコマンドを入力します。
cifs sessions
詳細については、na_cifs_sessions(1)のマニュアルページを参照してください。
ローカルユーザアカウントの制限
ローカルユーザアカウントには次の制限があります。
•
•
•
ユーザーマネージャを使用して、ストレージシステム上のローカルユーザアカウントを管理す
ることはできません。
Windows NT 4.0 のユーザーマネージャは、ローカルユーザアカウントを表示するときのみ使
用できます。
ただし、Windows 2000 のユーザーマネージャを使用すると、[ユーザー]メニューからローカル
ユーザを表示することはできません。 [グループ]メニューからローカルユーザを表示する必要
があります。
作成できるローカルユーザアカウントは最高で 96 個です。
ローカルユーザアカウントの追加、表示、および削除
ローカルユーザアカウントを追加、表示、および削除するには、useradmin コマンドを使用しま
す。
タスク概要
ストレージシステム上で管理ユーザの作成、表示、および削除を行う場合にも、useradmin コマ
ンドを使用します（このコマンドと domainuser サブコマンドを使用すると、ローカルでないユーザ
を管理することもできます）。useradmin コマンドの使用方法の詳細については、『システムアドミニ
ストレーションガイド』のストレージシステム管理の概要の章にある、ローカルユーザアカウント
の管理に関するセクションを参照してください。
注: Data ONTAP では、useradmin コマンドで作成されたユーザアカウントのリストが 1 つ保持さ
れます。ローカルユーザアカウントと管理ユーザアカウントでは、同じタイプの情報を保持して
います。適切な Admin Role のあるローカルユーザアカウントを持つ CIFS ユーザは、ストレー
ジシステムへのログインに Windows の RPC コールを使用できます。詳細については、『Data
ONTAP システムアドミニストレーションガイド』の管理者アクセスの制御に関する章を参照して
ください。
CIFS を使用したファイルアクセス | 123
ローカルグループの管理
ローカルグループを管理して、ユーザがアクセスできるリソースを制御できます。
タスク概要
ローカルグループは、信頼できるドメインのユーザまたはグローバルグループで構成されます。
ローカルグループのメンバーはファイルおよびリソースにアクセスできます。
特定のビルトインローカルグループのメンバーシップには、ストレージシステムで特別な権限が
与えられます。たとえば、BUILTIN\Power User のメンバーは共有を操作できますが、それ以外の
管理権限はありません。
CIFS クライアントには、次のいずれかの形式でローカルグループの名前が表示されます。
•
•
FILERNAME\localgroup
BUILTIN\localgroup
Data ONTAP コマンドラインを使用したローカルグループの追加、表示、および削除
Data ONTAP コマンドラインを使用してローカルグループを追加、表示、および削除するには、
useradmin コマンドを使用します。
タスク概要
詳細については、『Data ONTAP システムアドミニストレーションガイド』を参照してください。
Windows クライアントの MMC を使用したローカルグループの追加
Windows クライアントの MMC を使用して、ローカルグループを追加できます。
手順
1. MMC をストレージシステムに接続します。
2. 左側のペインで[コンピュータの管理]が選択されていない場合は、選択します。
3. [システムツール] > [ローカルユーザーとグループ]を選択します。
4. [グループ]を右クリックします。
5. [新しいグループ]を選択します。
6. [新しいグループ]ボックスに、グループの名前および説明を入力します。
7. [作成]をクリックします。
タスクの結果
新しいグループがストレージシステム上に作成されます。
124 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
Windows クライアントの MMC を使用したローカルグループへのユーザの追加
Windows クライアントの MMC を使用して、ローカルグループにユーザを追加できます。
手順
1. MMC をストレージシステムに接続します。
2. 左側のペインで[コンピュータの管理]が選択されていない場合は、選択します。
3. [システムツール] > [ローカルユーザーとグループ]を選択します。
4. [グループ]をダブルクリックします。
5. 右側のパネルで、ユーザを追加するグループを右クリックします。
6. [グループに追加]を選択します。
[プロパティ]ボックスが表示されます。
7. [プロパティ]ボックスで[追加]をクリックします。
8. [ユーザー、コンピュータ、またはグループの選択]ウィンドウで、[選択するオブジェクト名を入力
してください]ボックスにユーザの名前を入力します。
9. [OK]をクリックします。
タスクの結果
グループにユーザが追加されます。
CIFS を使用したファイルアクセス | 125
Windows クライアントの MMC を使用したローカルグループの削除
Windows クライアントの MMC を使用して、ローカルグループを削除することができます。
手順
1. MMC をストレージシステムに接続します。
2. 左側のペインで[コンピュータの管理]が選択されていない場合は、選択します。
3. [システムツール] > [ローカルユーザーとグループ] > [グループ]を選択します。
4. 右側のペインで、削除するローカルグループを右クリックします。
5. [削除]を選択します。
6. [OK]をクリックします。
タスクの結果
MMC によってローカルグループが削除されます。
SnapMirror によるローカルグループの処理
ミラーは読み取り専用ボリュームで、ACL や権限を変更できないため、SnapMirror で複製される
ファイルの ACL ではローカルグループを使用しないでください。
SnapMirror 機能を使用してボリュームを他のストレージシステムにコピーする場合、そのボリュー
ムにローカルグループの ACL が設定されていてもその ACL はミラーには適用されません。これ
は、そのグループがソースのソースストレージシステムに対してローカルであるためです。
SnapMirror によって複製されるファイルの ACL でローカルグループを使用する場合は、
MultiStore 製品を使用します。 MultiStore 製品の詳細については、『MultiStore 管理ガイド』を参
照してください。
グループポリシーオブジェクトの適用
ストレージシステムは、Group Policy Object（GPO;グループポリシーオブジェクト）をサポートして
います。GPO は、Active Directory 環境のコンピュータに適用される一連のルール（グループポリ
シー属性）です。
タスク概要
Data ONTAP は、ストレージシステムで CIFS および GPO が有効になっている場合、Active
Directory サーバに LDAP クエリを送信して GPO 情報を要求します。 Active Directory サーバは、
ストレージシステムに適用できる GPO 定義がある場合、次の項目を含む GPO の情報を返しま
す。
•
GPO 名
126 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
•
•
•
現在の GPO バージョン
GPO 定義の場所
GPO ポリシーセットの Universally Unique Identifier（UUID）一覧
注: Windows の GPO の詳細については、Microsoft の Web サイトを参照してください。
すべての GPO をストレージシステムに適用できるわけではありませんが、ストレージシステムは
関連する GPO を認識して処理することができます。
現在ストレージシステムでサポートされている GPO は次のとおりです。
•
•
•
•
•
•
•
スタートアップおよびシャットダウンスクリプト
コンピュータのグループポリシーの更新間隔（ランダムオフセットを含む）
ファイルシステムのセキュリティポリシー
制限されたグループのセキュリティポリシー
イベントログ
監査
所有権の取得
注: イベントログおよび監査ポリシーの設定は、ストレージシステムと Windows システムで適用
方法に違いがあります。また、Windows のビルトイン管理者アカウントを含まない「所有権の取
得」ユーザリストまたはグループリストを定義すると、これらの管理者は「所有権の取得」権限を
失います。
ストレージシステムで GPO を使用するための要件
ストレージシステムで GPO を使用するには、いくつかの要件を満たしている必要があります。
次の要件が満たされていることを確認します。
•
•
•
•
•
ストレージシステム上で CIFS のライセンスが付与され、有効になっている
CIFS が設定されている
ストレージシステムが Windows ドメイン（バージョン 2000 以降）に参加している
Windows Active Directory サーバ上の GPO 設定には、ストレージシステムと Organizational
Unit（OU;組織単位）の関連付けがされている
ストレージシステム上で GPO のサポートが有効になっている
別の OU へのストレージシステムの関連付け
cifs setup プロセスでは、別の OU を指定しないかぎり、セットアップ時にデフォルトの OU であ
る CN=Computers が使用されます。この OU は、セットアップ後に別の OU に変更することができ
ます。
手順
1. Windows サーバ上で、[Active Directory ユーザーとコンピュータ]ツリーを開きます。
CIFS を使用したファイルアクセス | 127
2. ストレージシステムの Active Directory オブジェクトを探します。
3. 該当オブジェクトを右クリックし、[移動]を選択します。
4. ストレージシステムに関連付ける OU を選択します。
タスクの結果
ストレージシステムオブジェクトが選択した OU に移動します。
ストレージシステム上での GPO サポートの有効化と無効化
ストレージシステム上で GPO のサポートを有効または無効にするには、cifs.gpo.enable オプ
ションを設定します。
手順
1. 次のいずれかを実行します。
目的
操作
GPO を有効にする
次のコマンドを入力します。
options cifs.gpo.enable on
GPO を無効にする
次のコマンドを入力します。
options cifs.gpo.enable off
ストレージシステム上での GPO の管理
Group Policy Object（GPO;グループポリシーオブジェクト）の作成、表示、更新、およびトラブルシ
ューティングをストレージシステム上で行えます。
ファイルシステムのセキュリティ GPO の作成
GPO ファイルシステムのセキュリティの設定は、Data ONTAP のファイルシステムオブジェクト（デ
ィレクトリまたはファイル）に直接設定できます。
タスク概要
GPO ファイルシステムのセキュリティ設定はディレクトリ階層で共有されます。つまり、GPO のセキ
ュリティ設定をディレクトリ上で行うと、そのセキュリティ設定は該当するディレクトリ内のオブジェク
トに適用されます。
注: これらのファイルシステムのセキュリティ設定は、mixed 形式または NTFS 形式のボリュー
ム、または qtree 内にのみ適用できます。これらのセキュリティ設定を UNIX 形式のボリューム
や qtree 内のファイルまたはディレクトリに適用することはできません。
ファイルシステムのセキュリティ ACL が伝播されるのは、約 280 のディレクトリ階層レベルまで
です。
128 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
手順
1. Windows サーバ上で、[Active Directory ユーザーとコンピュータ]ツリーを開きます。
2. ストレージシステムを含む OU を右クリックします。
3. [グループポリシー]タブを選択し、[新規]を選択します。
4. 新しい GPO の名前を入力します。
5. 新しい GPO を強調表示し、[編集]を選択します。
グループポリシーオブジェクトエディタが開きます。
6. [コンピュータの構成] > [Windows の設定] > [セキュリティの設定]をダブルクリックします。
7. [ファイルシステム]を右クリックし、[ファイルの追加]を選択します。
[ファイルまたはフォルダを追加します]ボックスが開きます。
注: ローカルサーバのドライブを検索するオプションは選択しないでください。
8. [フォルダ]フィールドに GPO の適用先のストレージシステムパスを入力し、[OK]をクリックしま
す。
[データベースセキュリティ]ウィンドウが開きます。
9. [データベースセキュリティ]ウィンドウで必要な許可を選択し、[OK]をクリックします。
CIFS を使用したファイルアクセス | 129
[オブジェクトの追加]ウィンドウが開きます。
10. [オブジェクトの追加]ウィンドウで必要な ACL の継承を選択し、[OK]をクリックします。
130 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
グループポリシーエディタに新しいオブジェクト名が表示されます。
11. グループポリシーエディタと[組織単位のプロパティ]ダイアログボックスを閉じます。
CIFS を使用したファイルアクセス | 131
12. ストレージシステム上で、次のコマンドを入力して新しい GPO を取得し、適用します。
cifs gpupdate
cifs gpupdate コマンドで明示的に新しい GPO を適用しない場合、新しい GPO が適用され
るのは、ストレージシステムが次回 Active Directory サーバを照会したときになります（つまり
90 分以内）。
現在の GPO とその結果の表示
cifs gpresult コマンドを使用すると、ストレージシステムに現在適用されている GPO とその結
果を表示できます。
タスク概要
cifs gpresult コマンドは、Windows 2000/XP の gpresult.exe /force コマンドの出力結果
を模しています。
注: cifs gpresult コマンドの出力には、使用しているストレージシステムおよび現在の Data
ONTAP リリースに関連するグループポリシー設定のみが表示されます。
手順
1. 次のコマンドを入力します。
cifs gpresult [-r] [-d] [-v]
-r を指定すると、ストレージシステムへの現在の GPO の適用結果が表示されます。
-v を指定すると、適用できる GPO に関する情報および適用の結果などの詳細が表示されま
す。
-d を指定すると、cifs gpresult -v コマンドの出力が/etc/ad/gpresult_timestamp フ
ァイルにダンプされます。
どのオプションも指定しないと、ストレージシステムに現在適用できる GPO に関する情報（名
前、バージョン、場所など）が表示されます。
GPO 設定の更新
Data ONTAP では、90 分ごとに GPO の変更が取得および適用され、16 時間ごとにセキュリティ設
定が更新されます。ただし、cifs gpupdate コマンドを入力して、強制的に更新することもできま
す。
タスク概要
ストレージシステム上のグループポリシーの設定は次の 3 つの方法で更新できます。
•
すべての GPO を 90 分に 1 回確認。
デフォルトでは、Data ONTAP は GPO の変更がないかどうかを Active Directory に照会しま
す。 Active Directory に記録されている GPO のバージョン番号がストレージシステム上の
132 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
•
GPO のバージョン番号より大きい場合、Data ONTAP は新しい GPO を取得して適用します。
バージョン番号が同じ場合、ストレージシステム上の GPO は更新されません。
セキュリティ設定の GPO を 16 時間に 1 回更新。
Data ONTAP は、変更の有無にかかわらず、16 時間に 1 回セキュリティ設定の GPO を取得し
て適用します。
注: デフォルト値の 16 時間は、現在の Data ONTAP バージョンでは変更できません。これ
は Windows クライアントのデフォルト設定です。
•
Data ONTAP コマンドを使用してオンデマンドですべての GPO を更新。
このコマンドは、Windows 2000 / XP の gpupdate.exe /force コマンドの出力結果を模して
います。
手順
1. グループポリシーの設定を手動で更新するには、次のコマンドを入力します。
cifs gpupdate
GPO の更新に関する問題のトラブルシューティング
cifs gpupdate コマンドを実行した場合などに、Data ONTAP のコンソールに、GPO 設定が正常
に適用されたことを示すメッセージが表示されないときは、cifs.gpo.trace.enable オプション
を使用して、ストレージシステムの GPO 接続に関する診断情報を確認する必要があります。
タスク概要
更新されたポリシー設定がストレージシステムの GPO に適用されると、ストレージシステムコン
ソール上に次のようなメッセージが 1 つまたは両方表示されます。
CIFS GPO System: GPO processing is successfully completed.
CIFS GPO System: GPO Security processing is completed.
手順
1. 次のコマンドを入力して、GPO トレースを有効にします。
options cifs.gpo.trace.enable on
2. 次のコマンドを入力して、GPO 設定を更新します。
cifs gpupdate
次の例に示すような、GPO に関する Active Directory 情報が含まれたメッセージが表示されま
す。
CIFS GPO Trace: Site DN: cn=Default-First-Site-Name,
CIFS を使用したファイルアクセス | 133
cn=sites,CN=Configuration,DC=cifs,DC=lab,DC=company, DC=com.
CIFS GPO Trace: Domain DN: dc=CIFS,dc=LAB,dc=COMPANY, dc=COM.
CIFS GPO Trace: Filer DN: cn=user1,ou=gpo_ou,dc=cifs,
dc=lab,dc=company,dc=com.
CIFS GPO Trace: Processing GPO[0]: T_sub.
CIFS: Warning for server \\LAB-A0: Connection terminated.
GPO トレースのメッセージは、GPO トレース機能がオフになるまでコンソールとメッセージログ
に出力されます。
3. 次のコマンドを入力して、GPO トレースを無効にします。
options cifs.gpo.trace.enable off
ストレージシステムのスタートアップとシャットダウンスクリプトについて
GPO がストレージシステム上で有効になっていて、Active Directory ドメインで指定されている場
合、CIFS を起動またはシャットダウンするたびに、スタートアップおよびシャットダウンスクリプトが
実行されます。
ストレージシステムはドメインコントローラの sysvol ディレクトリからスクリプトを取得し、ローカル
の/etc/ad ディレクトリに保存します。
注: ストレージシステムは、スタートアップおよびシャットダウンスクリプトの更新を定期的に取得
しますが、スタートアップスクリプトが適用されるのは CIFS が次回に起動されたときです。
/etc/ad ディレクトリについて
cifs.gpo.enable オプションを使用してストレージシステム上で初めて GPO サポートを有効に
すると、/etc/ad ディレクトリが作成されます。
このディレクトリは、次のファイルのリポジトリとして使用されます。
•
•
ドメインコントローラから取得した GPO のスタートアップおよびシャットダウンスクリプト
cifs gpresult -d コマンドの出力
Data ONTAP のパス名の設定要件
対象となるファイル名またはディレクトリ名の形式は、Data ONTAP が認識できる、絶対パス名ま
たは相対パス名形式である必要があります。
ここでは、パス名形式の詳細を示します。
•
•
絶対パス名 – 例：/vol/vol0/home
絶対パス名を指定すると、指定されたファイルまたはディレクトリ内のファイルにファイルシステ
ムのセキュリティ設定が適用されます。この例では、ストレージシステムのルートボリューム
内の/home ディレクトリに設定が適用されます。
相対パス名 – 例：/home
相対パス名（/vol で始まらないパス名）を指定すると、指定された要素が含まれるすべてのフ
ァイルまたはディレクトリにファイルシステムのセキュリティ設定を適用します。この方法は、シ
ングルストレージシステム内で並列に位置する複数のターゲットに設定を適用する場合に便
134 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
利です。この例では、設定は/home ディレクトリを持つすべての vFiler ユニットに適用されま
す。
oplock および oplock リースによるクライアントパフォーマンスの向
上
oplock（便宜的ロック）および oplock リースを使用すると、特定のファイル共有シナリオにおいて、
CIFS クライアントが先読み、あと書き、およびロック情報をクライアント側でキャッシュできるように
なります。これによりクライアントは、目的のファイルへのアクセス要求をサーバに定期的に通知し
なくても、ファイルの読み書きを実行できます。この処理によって、ネットワークトラフィックが軽減
し、パフォーマンスが向上します。
oplock リースは oplock を強化したもので、SMB 2.1 以降のプロトコルで使用できます。 oplock リ
ースでは、クライアントが自らのファイルオープン呼び出しを複数回重複して、キャッシュ状態を取
得して保持できます。
oplock を使用するときの書き込みキャッシュデータ消失に関する考慮事項
状況によっては、あるプロセスがファイルに対して排他的な oplock を保持している場合に、別のプ
ロセスがそのファイルを開こうとすると、最初のプロセスは、キャッシュされたデータを無効にし、書
き込みとロックをフラッシュする必要があります。クライアントは oplock を放棄し、ファイルにアクセ
スする必要があります。このフラッシュ時にネットワーク障害が発生すると、キャッシュされた書き
込みデータが失われることがあります。
データ損失の可能性：データの書き込みがキャッシュされるアプリケーションでは、次の場合にそ
のデータを失う可能性があります。
•
•
•
ファイルに対して排他的な oplock を使用している場合
その oplock を破棄するか、ファイルを閉じるように指示された場合
書き込みキャッシュをフラッシュするプロセスで、ネットワークまたはターゲットシステムにエラ
ーが発生した場合
エラー処理および書き込みの完了：キャッシュ自体にはエラー処理機能がありません。アプリケー
ションがエラー処理を行います。アプリケーションがキャッシュへの書き込みを行うと、書き込みは
必ず完了します。またキャッシュがネットワークを介してターゲットシステムに書き込みを行う場
合、書き込みは正常に終了することを前提とする必要があります。このような前提でないと、後続
のプロセスでデータが失われるからです。
oplock リースによるロック強化の仕組み
Data ONTAP では、oplock リースを使用して不要な oplock break を防止します。 oplock リースは
従来の便宜的ロックを強化したもので、SMB 2.1 で利用できます。oplock リースのモデルは、従来
CIFS を使用したファイルアクセス | 135
の oplock で使用されていたファイルハンドルではなく、リースキーと呼ばれるキーに基づいてい
ます。
oplock リースを使用すると、ファイルオープン呼び出しを複数回行っているクライアントが、各呼び
出し間でクライアントのキャッシュ状態を取得して保持できます。クライアントはリースキーを生成
し、これを使用して複数のハンドルをまとめて同じファイルにリンクします。 Data ONTAP は、クライ
アントの GUID とリースキーを組み合わせたクライアント ID を使用して状態を追跡します。リース
キーが同じハンドルの操作は oplock 状態に影響しません。
リース状態は、同じクライアントが以降のファイルオープン呼び出しを行う際にアップグレードした
り、別のクライアントからファイルオープン呼び出しが行われた場合に Data ONTAP がダウングレ
ードしたりできます。クライアントとストレージシステムが SMB 2.1 ダイアレクトを使用して通信して
いる場合、従来の oplock ではなく、oplock リースが使用されます。
詳細については、SMB 2.1 プロトコルの仕様を参照してください。
ストレージシステムでの oplock および oplock リースの有効化と無効化
ストレージシステムで oplock および oplock リースを有効または無効にすることができます。
oplock を使用すると、クライアントによりファイルがロックされて情報がローカルにキャッシュされ、
他のユーザによってファイルが変更されなくなります。これにより、さまざまなファイル操作のパフ
ォーマンスが向上します。
タスク概要
ストレージシステムではデフォルトで CIFS oplock および oplock リースが有効になっています。ほ
とんどの場合は有効なままでかまいませんが、次のような状況では無効にすることもあります。
•
•
•
oplock を無効にするようにマニュアルで推奨されているデータベースアプリケーションを使用し
ている場合
CIFS クライアントが信頼性の低いネットワーク上にある場合
重要なデータを処理中で、わずかなデータ損失も許容できない場合
CIFS oplock および oplock リースを有効にしても、クライアントの個々の設定は変更されません。
CIFS oplock および oplock リースを無効にすると、ストレージシステムとの間のすべての oplock
が無効になります。 Windows レジストリ設定を使用して、個々のクライアントで CIFS oplock を有
効または無効にできます。
手順
1. 該当する処理を実行します。
目的
入力するコマンド
ストレージシステムで oplock および oplock リースを有効
にする
options cifs.oplocks.enable on
136 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
目的
入力するコマンド
ストレージシステムで oplock および oplock リースを無効
にする
options cifs.oplocks.enable
off
cifs.oplocks.enable オプションを on に設定すると、qtree ごとの oplock 設定が有効になり
ます。このオプションがオンでない場合は、qtree ごとの oplock 設定に関係なく、すべての
qtree の oplock が無効になります。
qtree での oplock および oplock リースの有効化と無効化
ストレージシステムレベルで oplock および oplock リースを有効にすると、個々の qtree の oplock
および oplock リースを有効または無効にできます。
手順
1. 該当する処理を実行します。
目的
操作
qtree で oplock および oplock リースを有効化する
次のコマンドを入力します。
qtree oplocks qtree_name enable
qtree で oplock および oplock リースを無効化する
次のコマンドを入力します。
qtree oplocks qtree_name disable
cifs.oplocks.enable オプションを on に設定すると、qtree に対する qtree oplocks コマ
ンドがすぐに有効になります。 cifs.oplocks.enable オプションを off に設定した場合、
qtree oplocks コマンドを有効にするには、このオプションを on に変更する必要があります。
oplock リースのステータスの監視
Data ONTAP 8.1 リリースファミリーの 8.1.1 以降のリリースでは、oplock リースに関する情報を監
視および表示できます。
タスク概要
oplock リースが存在する場合、lock status コマンドの出力の oplock フィールドに oplock リー
スの情報が表示されます。そのロックで永続性ハンドルが使用されている場合は、oplock フィー
ルドに永続性ハンドルの情報も表示されます。
oplock フィールドに表示される oplock リースの値を次に示します。
•
Lease-RWH
•
Lease-RW
Read-Write-Batch ロックの oplock リースです。
Read-Write ロックの oplock リースです。
CIFS を使用したファイルアクセス | 137
•
Lease-RH
Read-Batch ロックの oplock リースです。
•
Lease-R
Read ロックの oplock リースです。
•
Lease-None
ロックリースがない oplock リースです。
注: ロックリースで永続性ハンドルが使用されるのは、oplock フィールドの値が Lease-RWH ま
たは Lease-RH の場合です。
手順
1. oplock リースの情報を表示するには、lock status コマンドを使用します。
例
次に、ロックリースに関する情報など、CIFS プロトコルのロックに関する情報を表示するコマ
ンドの例を示します。
lock status -p cifs
CIFS path= host=10.0.0.2(WIN1) owner= state=GRANTED mode=None-denyN
oplock=Lease-None
durable_state= sid=0x1eea09f9 fileid=0x00000060
oplock break を送信するための遅延時間の変更
ファイルの oplock を所有しているクライアントがファイルオープン要求を送信した場合、そのクライ
アントはストレージシステムが oplock break を要求した場合に発生する「競合状態」に対して一時
的に脆弱になります。この状況を防ぐため、ストレージシステムは cifs.oplocks.opendelta
オプションによって指定された遅延時間の値（ミリ秒）に従って oplock break 送信を遅延させます。
タスク概要
デフォルトの遅延時間は 0 ミリ秒です。最新のサービスパックが適用されていない Microsoft
Windows NT 4.0 や Microsoft Windows NT 3.5.1 など、古い Windows クライアントをストレージシ
ステムでサポートしなければならない場合は、マイクロソフトサポート技術情報の記事 163525 に
記されているパフォーマンスの問題を回避するためにこのデフォルト値を保持する必要がありま
す。
古いバージョンの Windows が動作しているクライアントがない場合は、遅延時間を別の値（8 な
ど）に設定できます。この場合、ストレージシステムは、ファイルオープン要求を受信するか、要
求に応答したあと、8 ミリ秒経過してからそのクライアントに oplock break を送信します。
cifs stat コマンドを実行し、出力の OpLkBkNoBreakAck フィールドにゼロ以外の値が表示され
る場合は、遅延時間を延長するほうがいいかもしれません。
138 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
次の例のような syslog メッセージが表示された場合も、oplock break を送信するための遅延時間
の延長を検討する状況です。
Mon Jan 21 15:18:38 PST [CIFSAdmin:warning]: oplock break timed out to
station JOHN-PC for file \\FILER\share\subdir\file.txt
手順
1. 次のコマンドを入力します。
options cifs.oplocks.opendelta time
time は、遅延時間（ミリ秒）です。
cifs.oplocks.opendelta オプションを設定すると、ファイルを開いたばかりのクライアントへ
の oplock break 要求の送信が延期されます。この数値を 35 より大きい値に設定する場合は、
テクニカルサポートに問い合わせてください。
認証とネットワークサービスの管理
このセクションでは、旧バージョンの NetBIOS プロトコルの管理手順とストレージシステムの認証
について説明します。
認証問題について
ストレージシステムでは、UNIX 認証、Windows ワークグループ認証、および Kerberos 認証の 3
種類の認証をサポートしています。
UNIX 認証について
認証は、/etc/passwd ファイルのエントリ、NIS/LDAP ベース認証、またはその両方を使用して
UNIX モードで実行されます。
UNIX 認証の使用
•
•
•
パスワードは「クリアテキスト」（暗号化されていない文）で送信されます。
認証されたユーザには、一意でセキュアなユーザ ID（SID）のないクレデンシャルが付与されま
す。
ストレージシステムは、ユーザパスワードの「ハッシュ」（アルゴリズム変形）に対して受信した
パスワードを確認します。
パスワードはストレージシステムには保存されません。
UNIX クライアントの認証を行うため、次の項目を設定する必要があります。
•
•
•
クライアント情報をストレージシステムの/etc/passwd ファイルに保存する。
クライアント情報を NIS か LDAP、またはその両方に入力する。
クリアテキストのパスワードを許可するよう Windows クライアントレジストリを変更する。
CIFS を使用したファイルアクセス | 139
UNIX 認証は暗号化されていないパスワードを送信するため、Windows クライアントはレジストリ
編集を行い暗号化することなくパスワードを送信できるようにする必要があります。クリアテキスト
のパスワードをストレージシステムに送信するよう正しく設定されていないクライアントは、アクセ
スが拒否され、次のようなエラーメッセージが表示されます。
System error 1240 has occurred.
The account is not authorized to login from this station.
クライアントが UNIX 認証を使用できるようクリアテキストのパスワードを有効にする方法につい
ては、Microsoft のサポートを参照してください。
Windows ワークグループ認証について
ワークグループ認証を行うとローカル Windows クライアントアクセスが可能になります。
ワークグループ認証の特徴は、次のとおりです。
•
•
•
ドメインコントローラには依存しません。
ストレージシステムアクセスを 96 個のローカルクライアントに制限します。
ストレージシステムの useradmin コマンドを使用して管理されます。
Kerberos 認証について
Kerberos 認証が有効な場合、クライアントはストレージシステムに接続すると、最高のセキュリティ
レベルをネゴシエートします。しかし、クライアントが Kerberos 認証を使用できない場合は、
Microsoft NTLM または NTLM V2 を使用してストレージシステムでの認証が行われます。
注: 拡張セキュリティ機能は、Windows Active Directory ドメインのメンバーであるクライアントだ
けが利用できます。
ストレージシステムの最小セキュリティレベルの設定
ストレージシステムの最小セキュリティレベル（ストレージシステムによって許可されるクライアン
トからのセキュリティトークンの最低レベル）を設定するには、cifs.LMCompatibilityLevel オ
プションを設定します。デフォルトでは、このオプションは 1 に設定されています。
手順
1. 次のコマンドを入力します。
options cifs.LMCompatibilityLevel minimum_level
minimum_level は、ストレージシステムによって許可されるクライアントからのセキュリティト
ークンの最低レベルを表します（次の表を参照）。
140 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
値
説明
1（デフォルト）
ストレージシステムにより、LM、NTLM、および NTLMv2 セッションセキ
ュリティが許可されます。また、NTLMv2 および Kerberos 認証も許可され
ます。
2
ストレージシステムにより、NTLM および NTLMv2 セッションセキュリテ
ィが許可されます。また、NTLMv2 および Kerberos 認証も許可されます。
LM 認証は拒否されます。
3
ストレージシステムにより、NTLMv2 セッションセキュリティが許可されま
す。また、NTLMv2 および Kerberos 認証も許可されます。 LM および
NTLM 認証は拒否されます。
4
ストレージシステムにより、NTLMv2 および Kerberos 認証が許可されま
す。 LM、NTLM、および NTLMv2 セッションセキュリティは拒否されま
す。
5
ストレージシステムにより、Kerberos 認証のみが許可されます。
Kerberos のパッシブリプレイアタックの防御
Kerberos 再生キャッシュは、ストレージシステムにユーザ認証コードを短期間保存し、認証コード
が後続の Kerberos チケットで再使用されないようにすることで、パッシブリプレイアタックを防ぎま
す。
タスク概要
Kerberos 認証コードの保存と比較によって、ストレージシステムでの一部の作業のパフォーマンス
にかなりの負荷がかかる場合があります。この理由から、kerberos.replay_cache.enable オ
プションはデフォルトで off に設定されています。
手順
1. 次のいずれかを実行します。
目的
操作
Kerberos 再生キャッシュを有効にする
次のコマンドを入力します。
option kerberos.replay_cache.enable on
Kerberos 再生キャッシュを無効にする
次のコマンドを入力します。
option kerberos.replay_cache.enable off
CIFS を使用したファイルアクセス | 141
ドメインコントローラと LDAP サーバの選択
起動時、および以下に記載するタイミングで、ストレージシステムが Windows ドメインコントローラ
を検索します。このセクションでは、ストレージシステムがドメインコントローラを検索および選択
するタイミングとその方法について説明します。
タスク概要
ストレージシステムは、次のいずれかに該当する場合にドメインコントローラを検索します。
•
•
•
ストレージシステムが起動またリブートされてたとき
cifs resetdc コマンドが実行されたとき
最後の検索から 4 時間が経過したとき
注: Active Directory LDAP サーバも同じタイミングで検索されます。
ドメインコントローラの検出処理について
ドメイン環境で CIFS を実行すると、ストレージシステムは Internet Control Message Protocol
（ICMP）パケットを 4 時間ごとに送信することで、ドメイン環境のすべてのドメインコントローラを再
検出しようとします。これにより、現行のドメインコントローラが現在もアクセス可能であることを確
認でき、パケットの応答時間を利用して使用可能なドメインコントローラの優先順位付けができま
す。
ストレージシステムは、接続レートの高いドメインコントローラへのアクセスを失い、低速レートの
バックアップドメインコントローラを使用することになった場合、接続レートの高い接続が見つかる
まで 2 分ごとにドメインコントローラの検出処理を実行します。該当する接続が検出されると、そ
の新しいドメインコントローラに接続して、元の 4 時間ごとの検出パケットの送信に戻ります。
次の表に、ドメインコントローラの検出処理および優先グループを示します。ストレージシステム
は上位の優先グループのすべてのドメインコントローラへの接続に失敗したときだけ、優先順位
が下位のグループに進みます。
注: Active Directory 環境については、サイトメンバーシップは、（使用できる優先ドメインコント
ローラがない場合）ストレージシステムがドメインコントローラの選択時に使用する基準の 1 つ
です。そのため、（ストレージシステムと同じサイトに含まれるストレージシステムのサブネット
情報を使用して）サイトとサービスを適切に設定することが重要です。
ドメインコントローラカテゴリ
優先グループ：ドメインコントローラが選択され
る順番
優先：prefdc リストのコントローラ
グループ 1：優先ドメインコントローラは、コント
ローラが prefdc リストに表示される順
142 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ドメインコントローラカテゴリ
優先グループ：ドメインコントローラが選択され
る順番
優遇：ストレージシステムと同じ Active
Directory サイトメンバーシップを共有するコン
トローラ
（Windows NT 環境のストレージシステムでは
このカテゴリは空です）
グループ 2：ping されてから 1 秒以内に応答し
たドメインコントローラ。応答時間の速い順
その他：サイトメンバーシップを共有しないコン
トローラ
グループ 3：1 秒以内に応答のなかったドメイン
コントローラ、ただしストレージシステムと同じ
サブネットを共有
グループ 4：ping されてから 1 秒以内に応答し
なかったすべての非ローカルドメインコントロ
ーラ
グループ 5：ping されてから 1 秒以内に応答し
たドメインコントローラ。応答時間の速い順
グループ 6：1 秒以内に応答のなかったドメイン
コントローラ、ただしストレージシステムと同じ
サブネットを共有
グループ 7：ping されてから 1 秒以内に応答し
なかったすべての非ローカルドメインコントロ
ーラ
注: サイトメンバーシップは Active Directory ドメイン固有のものであるため、Windows NT4 ドメ
インにも、ストレージシステムが NT4 サーバとして設定されている mixed モードドメインにも「優
遇」カテゴリはありません。これらの環境では、検出で見つかったすべてのドメインコントローラ
は、「その他」のカテゴリに割り当てられます。
Windows Server 2008 R2 ドメインコントローラでの認証方法
CIFS ドメインに Windows Server 2008 R2 ドメインコントローラがある場合、認証を正常に行うに
は、特定の手順に従う必要があります。
タスク概要
Data ONTAP では、書き込み可能なドメインコントローラまたは読み取り専用のドメインコントロー
ラのどちらかで、ストレージシステムのパスワードをレプリケートするように設定する必要がありま
す。
手順
1. 次のいずれかを実行します。
CIFS を使用したファイルアクセス | 143
目的
操作
ストレージシステムで cifs prefdc add コマンドを使用して、ストレージシステムの優先ドメイン
書き込み可能なドメイコントローラのリストに書き込み可能なドメインコントローラを追加します。
ンコントローラを使用
する
読み取り専用のドメイ読み取り専用のドメインコントローラによるストレージシステムのパスワードの
ンコントローラを使用レプリケートを許可するように、書き込み可能なドメインコントローラを設定しま
して認証する
す。
詳細については、technet.microsoft.com で、Windows Server 2008 のパスワード
レプリケーションポリシーの管理に関する記事を参照してください。
優先ドメインコントローラと LDAP サーバのリストの指定
優先ドメインコントローラと LDAP サーバのリストを指定するには、cifs prefdc add コマンドを
使用します。
手順
1. 次のコマンドを入力します。
cifs prefdc add domain address [address ...]
domain には、ドメインコントローラまたは LDAP サーバを指定するドメインを指定します。
address には、ドメインコントローラまたは LDAP サーバの IP アドレスを指定します。
例
次に、lab ドメインに対して 2 つの優先ドメインコントローラを指定するコマンドの例を示しま
す。
cifs prefdc add lab 10.10.10.10 10.10.10.11
注: ストレージシステムに強制的に優先ドメインコントローラまたは LDAP サーバの改訂
リストを使用させるには、cifs resetdc コマンドを使用します。
優先ドメインコントローラリストからのサーバの削除
cifs prefdc delete コマンドを使用すると、優先ドメインコントローラリストからエントリを削除
できます。このコマンドは、たとえば、オンラインでなくなったサーバやドメインコントローラとして使
用しなくなったサーバをリストから削除する場合に使用します。
手順
1. 次のコマンドを入力します。
cifs prefdc delete domain
144 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
domain は、優先ドメインコントローラまたは LDAP サーバが配置されているドメインです。
2. 次のコマンドを入力します。
cifs resetdc [domain]
domain は、手順 1 で指定したドメインです。
prefdc リストからドメインを削除したら、必ず cifs resetdc コマンドを実行してストレージシ
ステムの使用可能なドメインコントローラ情報を更新する必要があります。優先ドメインコント
ローラリストが更新されても、ストレージシステムはネットワークサービスからドメインコントロ
ーラの検出情報を更新しません。ドメインコントローラ情報をリセットできなかった場合、ストレ
ージシステムが使用できないドメインコントローラ（または LDAP サーバ）と接続を確立しようと
して接続エラーが発生する可能性があります。
注: ストレージシステムでは、再起動時に自動的にはドメインコントローラの検出が実行され
ません。そのため、ストレージシステムを再起動しても、使用できるドメインコントローラと
LDAP サーバのリストは更新されません。
タスクの結果
ストレージシステムは、改訂された prefdc リストに指定された順番でドメインコントローラの切断
と検索を実行します。
例
優先ドメインコントローラのリストからサーバ lab を削除するコマンドを次に示します。
vs1::> cifs prefdc delete lab
優先ドメインコントローラと LDAP サーバのリストの表示
優先ドメインコントローラと LDAP サーバのリストを表示するには、cifs prefdc print コマンド
を使用します。
手順
1. 次のコマンドを入力します。
cifs prefdc print [domain]
domain は、ドメインコントローラを表示するドメインです。ドメインが指定されないと、このコマ
ンドはすべてのドメインの優先ドメインコントローラを表示します。
例
次に、lab ドメインの優先コントローラと LDAP サーバを表示するコマンドの例を示します。
CIFS を使用したファイルアクセス | 145
cifs prefdc print lab
ストレージシステムとドメインとの接続の再確立
cifs resetdc コマンドを使用すると、ストレージシステムとドメインとの接続を再確立できます。
タスク概要
次の手順では、現在のドメインコントローラからストレージシステムを切断して、ストレージシステ
ムと優先ドメインコントローラとの接続を確立します。また、ドメインコントローラを強制的に検出し
て、使用可能なドメインコントローラの一覧を更新します。
注: この手順は、LDAP 接続も再確立し、LDAP サーバ検出も実行します。
手順
1. 次のコマンドを入力します。
cifs resetdc [domain]
domain は、ストレージシステムを切断するドメインです。省略すると、ストレージシステムはス
トレージシステムがインストールされているドメインから切断されます。
例
lab ドメインのドメインコントローラからストレージシステムを切断するコマンドを次に示しま
す。
cifs resetdc lab
非 Kerberos 環境でストレージにアクセスするための null セッションの使用
null セッションアクセスは、ローカルシステムで稼働しているクライアントベースのサービスにスト
レージシステムデータなどのネットワークリソースへのアクセスを提供します。 null セッションは、
クライアント処理が「システム」アカウントを使用してネットワークリソースにアクセスする場合に発
生します。 null セッション設定は非 Kerberos 認証に固有です。
ストレージシステムによる null セッションアクセスの実現方法
null セッション共有には認証が必要ないため、null セッションアクセスが必要なクライアントはその
IP アドレスがストレージシステムにマッピングされている必要があります。
デフォルトでは、マッピングされていない null セッションクライアントは、共有の列挙など一部の
Data ONTAP システムサービスにはアクセスできますが、ストレージシステムデータへのアクセ
スは制限されます。
注: Data ONTAP は、cifs.restrict_anonymous オプションによって Windows のレジストリ設
定値 RestrictAnonymous をサポートしています。これにより、マッピングされていない null ユー
146 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ザが表示またはアクセスできるシステムリソースの範囲を制御できます。たとえば、共有の一
覧や IPC$共有（非表示の名前付きパイプ共有）へのアクセスを無効にできます。詳細について
は、options(1)のマニュアルページを参照してください。
別の設定がされていなければ、null セッションを介してストレージシステムアクセスを要求するロ
ーカル処理を実行しているクライアントは、「everyone」などの非制限グループのみのメンバーとな
ります。null セッションアクセスを一部のストレージシステムリソースに制限するため、すべての
null セッションクライアントが属するグループを作成できます。このグループを作成すると、ストレ
ージシステムアクセスを制限して、null セッションクライアントだけに適用されるストレージシステ
ムリソース権限を設定することができます。
Data ONTAP では、/etc/usermap.cfg ファイルに、null ユーザセッションを使用したストレージ
システムリソースへのアクセスを許可するクライアントの IP アドレスを指定できます。 null ユーザ
用のグループを作成したら、null セッションだけに適用されるストレージシステムリソースのアクセ
ス制限およびリソース権限を指定できます。
マッピングされた IP アドレスからストレージシステムにアクセスするすべての null ユーザには、マ
ッピングされたユーザ権限が付与されます。 null ユーザにマッピングされたストレージシステムへ
の不正なアクセスを防止するため、適切な予防措置を検討してください。最大限に保護するため
には、ストレージシステムおよび null ユーザによるストレージシステムアクセスが必要なすべて
のクライアントを別のネットワークに置いて、IP アドレスの「なりすまし」を防ぎます。
null ユーザに対するファイルシステム共有へのアクセス権の付与
null セッションクライアントによるストレージシステムリソースへのアクセスを許可するには、null
セッションクライアントに使用するグループを割り当てて null セッションクライアントの IP アドレス
を記録し、ストレージシステム上の、null セッションを使用したデータアクセスを許可するクライア
ントリストにその IP アドレスを追加します。
手順
1. /etc/usermap.cfg ファイルを開きます。
2. 次の形式を使用して null ユーザごとにエントリを追加します。
IPqual:"" => unixacct
IPqual には、IP アドレス（ホスト名または数値ドット形式）またはサブネット（IP アドレス+ネット
ワークマスク）を指定します。""には、null ユーザを指定します。=>には、マッピング方向を指
定します。unixacct は、マッピングされた null ユーザに設定された UNIX アカウント（/etc/
passwd または NIS 内）です。
3. null セッションクライアント用に使用するグループ名に
cifs.mapped_null_user_extra_group オプションを設定します。
4. null セッションクライアントに適切なアクセスを許可する権限を設定します。
CIFS を使用したファイルアクセス | 147
例
10.10.20.19:"" => exchuser
192.168.78.0/255.255.255.0:"" => iisuser
IP アドレス 10.10.20.19 のクライアントは、ストレージシステムへの null セッションアクセス
が許可されます。 null ユーザアカウントは、exchuser という UNIX アカウントへマッピングさ
れ、このアカウントは/etc/passwd または NIS データベースに存在する必要があります。
また、192.168.78.0 クラス C サブネットから接続を確立しようとするクライアントは、null セッ
ションアクセスが許可され、UNIX アカウント iisuser にマッピングされます。このほかの null
ユーザによるストレージシステムへの接続は許可されません。
Kerberos 環境のストレージにアクセスするためのマシンアカウントの使用
マシンアカウントには、ユーザアカウントと同じ Kerberos 認証が適用されるため、ストレージシス
テム上でマッピングする必要がありません。
タスク概要
Kerberos を使用して認証された場合、「システム」アカウントを使用してローカル処理を実行するク
ライアントは、リモートリソースにアクセスする際にこれらの処理をマシンアカウントに割り当てま
す。マシンアカウントにはドメインコントローラに登録されたコンピュータ名が割り当てられ、末尾
にドル記号（$）が付けられます。
マシンアカウントによるデータアクセスを防ぐ方法
デフォルトでは、マシンアカウントは（他の認証ユーザと同様に）データ共有に常にアクセスできま
す。ただし、セキュリティ上の理由から、Kerberos 対応クライアント上で実行されるサービスが
CIFS を使用してデータにアクセスするのを防止したい場合があります。
タスク概要
注: マシンアカウントによるデータ共有へのアクセスを無効にすると、オフラインフォルダやプロ
ファイルのローミングなど多くのサービスが機能しなくなります。マシンアカウントのアクセスを
無効にする前に、ストレージシステムで必要なサービスをよく確認してください。
手順
1. 次のコマンドを入力します。
cifs access -delete share_name -m
注: IPC$共有（非表示の名前付きパイプ共有）へのアクセスは変更できず、常に許可されま
す。
詳細については、cifs_access(1)のマニュアルページを参照してください。
148 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ストレージシステムの NetBIOS エイリアスの作成
NetBIOS エイリアスを作成するには、cifs.netbios_aliases オプションを設定するか、また
は/etc/cifs_nbalias.cfg ファイルを編集します。
タスク概要
NetBIOS エイリアスは、ストレージシステムの別名です。リスト内のどの名前を使用してもストレ
ージシステムに接続できます。
cifs.netbios_aliases オプションを使用すると、カンマで区切られた NetBIOS エイリアスのリ
ストを作成できます。リストには、カンマを含めて 255 文字まで入力できます。 /etc/
cifs_nbalias.cfg ファイルには最大 200 個のエントリを入力できます。
コマンドラインを使用した NetBIOS エイリアスの作成
コマンドラインを使用して NetBIOS エイリアスを作成するには、cifs.netbios_aliases オプショ
ンを使用します。
手順
1. 次のコマンドを入力します。
options cifs.netbios_aliases name,...
カンマを含めて 255 文字まで入力できます。
例
options cifs.netbios_aliases alias1,alias2,alias3
2. 次のコマンドを入力して、エントリを処理します。
cifs nbalias load
/etc/cifs_nbalias.cfg ファイルでの NetBIOS エイリアスの作成
/etc/cifs_nbalias.cfg ファイル内に NetBIOS エイリアスを作成できます。
タスク概要
デフォルトの cifs_nbalias.cfg ファイルがない場合は、CIFS の開始時に/etc ディレクトリにこ
のファイルが作成されます。このファイルの変更内容は、CIFS の開始時に自動的に処理されま
す。コマンド cifs nbalias load を使用して、このファイルの変更内容を処理することもできます。
手順
1. 編集する/etc/cifs_nbalias.cfg ファイルを開きます。
2. /etc/cifs_nbalias.cfg ファイルに、NetBIOS エイリアスのエントリを 1 行に 1 つずつ入力
します。
CIFS を使用したファイルアクセス | 149
注: ASCII 文字または Unicode 文字を使用して、ファイルに NetBIOS エイリアスを 200 個ま
で入力できます。
3. 次のコマンドを入力して、エントリを処理します。
cifs nbalias load
NetBIOS エイリアスのリストの表示
NetBIOS エイリアスのリストを表示するには、cifs nbalias コマンドを入力します。
手順
1. 次のコマンドを入力します。
cifs nbalias
NetBIOS over TCP の無効化
NetBIOS over TCP が Windows 2000 ネットワークで無効になっている場合、
cifs.netbios_over_tcp.enable オプションを使用してストレージシステムの NetBIOS over
TCP を無効にできます。
タスク概要
NetBIOS over TCP は、Windows 2000 より前の CIFS サービスに使用されていた標準プロトコルで
す。デフォルトでは、このプロトコルを使用するオプション（cifs.netbios_over_tcp.enable）は
ストレージシステムで有効になっています。このオプションは、Windows 2000 の[TCP/IP 詳細設
定]タブにある[NetBIOS over TCP を有効にする]と同等の機能があります。
ストレージシステムで NetBIOS over TCP のステータスを検証するには、nbtstat(1)のマニュアルペ
ージの説明に従って nbtstat コマンドを使用します。
NetBIOS over TCP を無効にするためには、すべてのストレージシステムクライアントが Windows
2000 以降を実行している必要があります。 NetBIOS over TCP を無効にすると、Windows 2000 以
降のドメインコントローラとウィルススキャンしか使用できなくなります。
注: NetBIOS over TCP を無効にすると、クライアントは shutdown メッセージや vscan 警告などの
Data ONTAP 通知メッセージを受信しなくなります。
手順
1. NetBIOS over TCP を無効にするには、次のコマンドを入力します。
options cifs.netbios_over_tcp.enable off
150 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
CIFS アクティビティの監視
このセクションでは、CIFS セッションのアクティビティの監視とストレージシステムの統計収集につ
いて説明します。
タスク概要
次の種類のセッション情報を表示できます。
•
•
セッション情報の要約。ストレージシステムの情報と、接続中の各ユーザが開いている共有お
よびファイルの数が表示されます。
接続中の 1 人のユーザまたはすべてのユーザに関する共有およびファイルの情報。次の内容
が表示されます。
•
•
•
接続中の特定のユーザまたはすべてのユーザが開いている共有の名前
開いているファイルのアクセスレベル
接続中の特定のユーザまたはすべてのユーザに関するセキュリティ情報。UNIX UID と、
ユーザが属している UNIX グループおよび Windows グループのリストが表示されます。
注: セッション情報に表示される、開いている共有の数には、非表示の IPC$共有が含まれます。
ユーザを指定するさまざまな方法
接続中のユーザに関するセッション情報を表示する場合は、ユーザ名またはワークステーションの
IP アドレスでユーザを指定します。さらに、ユーザが Windows 2000 より前のクライアントからスト
レージシステムに接続している場合は、ワークステーション名を指定できます。
クライアントが、認証されていない「null」セッションで接続することがあります。このようなセッション
は、共有を列挙するためにクライアントが使用する場合があります。クライアントがストレージシス
テムに接続しているセッションが null セッションのみの場合、次のステータスメッセージが表示さ
れます。
User (or PC) not logged in
セッション情報の要約の表示
cifs sessions コマンドを使用すると、セッション情報の要約を表示できます。
手順
1. 次のコマンドを入力します。
cifs sessions
CIFS を使用したファイルアクセス | 151
アイドルセッションのタイムアウト
セッションがアイドルになってから切断されるまでの時間（秒）を指定できます。
タスク概要
ユーザがストレージシステム上でファイルを開いていない場合、そのセッションはアイドルとみなさ
れます。デフォルトでは、アイドル状態になってから 30 秒経過したセッションは切断されます。
切断されたアイドルセッションは、次回クライアントがストレージシステムにアクセスしたときに自
動的に再接続されます。
手順
1. 次のコマンドを入力します。
options cifs.idle_timeout time
time には、切断するまでのアイドル時間（秒）を指定します。
このオプションの新しい値は、すぐに有効になります。
統計の追跡
stats コマンドを使用して、システム統計を表示してパフォーマンスを追跡できます。
タスク概要
stats コマンドは、CIFS 関連の統計に限定されません。統計データを出力する stats コマンドに
は、stats show（リアルタイム統計データ）と stats stop（一定時間内での統計の追跡）の 2 つ
があります。 cifs stats コマンドも引き続き使用できます。
stats コマンドで表示される統計はカウンタで累算されます。特定のカウンタを参照するには、次
のように複数の要素からなる階層的な名前を使用します。
object_name:instance_name:counter_name たとえば、次のようなカウンタ名が考えられます。
system:system:cifs_ops stats list コマンドを使用して、ストレージシステムで使用可能な
object_names、instance_names、および counter_names を特定できます。
stats show コマンドの出力は、コマンド実行時のストレージシステムに関するデータを提供しま
す。一定の期間の統計を追跡するには、stats start コマンドを使用して追跡する期間の開始
時点を指定し、stats stop コマンドで統計データ収集期間の終了時点を指定します。 Data
ONTAP は、stats stop コマンドが入力された時点で収集データを出力します。
stats start と stats stop コマンドでは、異なる統計を並行して追跡できます。そのために
は、インスタンス（-i）引数を stats start と stats stop コマンドに入力します。
使用法と構文の詳細については、stats(1)のマニュアルページを参照してください。
152 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
手順
1. 次のコマンドを入力して、stats コマンドで追跡されるオブジェクトのリストを表示します。
stats list objects
stats show object_name コマンドを使用して表示可能なオブジェクトのリストが返されま
す。
2. 次のコマンドを入力して、統計インスタンスの一覧を表示します。
stats list instances
stats show コマンドを使用して表示可能なインスタンスのリストが返されます。これらのイン
スタンスを使用して stats show コマンドの出力を絞り込むことができます。
3. 次のコマンドを入力して、統計カウンタの一覧を表示します。
stats list counters
stats show コマンドを使用して表示可能なカウンタのリストが返されます。
4. すべてのカウンタ、インスタンス、またはオブジェクトの説明を表示するには、次のコマンドを入
力します。
stats explain counters
stats show コマンドの出力の絞り込みに使用できるすべてのカウンタ、インスタンス、および
オブジェクトの説明が返されます。
特定の統計の表示
個々の統計を追跡するために監視するオブジェクト、インスタンス、およびカウンタがわかっている
場合、コマンドラインの引数としてそれらを使用し、stats show コマンドの出力を絞り込むことが
できます。
タスク概要
詳細については、stats(1)のマニュアルページを参照してください。
手順
1. 次のコマンドを入力します。
stats show [[object_name][:instance_name][:counter_name]]
Data ONTAP は、要求された特定の統計を返します。
統計クエリの保存と再使用
頻繁に実行する「事前設定された」統計クエリを保存して再使用することができます。事前設定さ
れたクエリは、次の場所と名前形式で、XML ファイルに保存されます。/etc/stats/preset/
CIFS を使用したファイルアクセス | 153
preset_name.xml クエリの保存と再使用方法の詳細については、stats_preset(5)のマニュアルペ
ージを参照してください。
CIFS リソースの制限
一部の CIFS リソースへのアクセスは、ストレージシステムのメモリおよび CIFS サービスに使用
可能な最大メモリ量によって制限されます。
該当するリソースは、次のとおりです。
•
•
•
•
•
•
接続
共有
共有接続
開いているファイル
ロックされたファイル
ロック
注: ご使用のストレージシステムでこれらのカテゴリの十分なリソースを取得できない場合は、テ
クニカルサポートにお問い合わせください。
CIFS サービスの管理
このセクションでは、ストレージシステム上の CIFS サービスの管理について説明します。
MMC を使用したクライアントの切断
MMC を使用してクライアントを切断できます。
手順
1. MMC をストレージシステムに接続します。
2. 左側のペインで[コンピュータの管理]が選択されていない場合は、選択します。
3. [システムツール] > [共有フォルダ] > [セッション]をダブルクリックします。
4. 次のいずれかを実行します。
目的
操作
特定のクライアントを切断する
a. クライアントの名前を右クリックします。
b. [セッションを閉じる]を選択します。
c. [OK]をクリックします。
154 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
目的
操作
すべてのクライアントを切断する
a. [セッション]を右クリックします。
b. [セッションをすべて切断]を選択します。
c. [はい]をクリックします。
コマンドラインによる選択したユーザの切断
cifs terminate コマンドを使用すると、選択したユーザをコマンドラインから切断できます。
手順
1. 接続中のクライアントの一覧を表示するには、次のコマンドを入力します。
cifs sessions *
2. クライアントを切断するには、次のコマンドを入力します。
cifs terminate client_name_or_IP_address [-t time]
client_name_or_IP_address には、ストレージシステムから切断するワークステーションの
名前または IP アドレスを指定します。
time には、クライアントがストレージシステムから切断されるまでの待機時間（分）を指定しま
す。 0 を指定すると、クライアントがすぐに切断されます。
注: time を指定しない場合に、クライアントで開いているファイルが検出されると、クライアント
を切断するまでの待機時間（分）の入力を求めるメッセージが表示されます。
例
次のコマンドは、クライアントがすぐに切断されることをユーザに知らせるメッセージを
jsmith-pc というワークステーションに送信します。コマンドを入力してから 5 分後に、jsmithpc がストレージシステムから切断されます。
cifs terminate jsmith-pc -t 5
ストレージシステム全体での CIFS サービスの無効化
CIFS サービスの無効化の設定は、リブート後は維持されません。 CIFS サービスを無効にしたあ
とでストレージシステムをリブートすると、CIFS サービスが自動的に再開されます。
手順
1. CIFS サービスを無効にするには、次のコマンドを入力します。
cifs terminate [-t time]
time は、ストレージシステムがすべてのクライアントを切断し、CIFS サービスを終了するまで
の待機時間（分）です。 0 を入力すると、コマンドはすぐに有効になります。
CIFS を使用したファイルアクセス | 155
注: 引数を指定しないで cifs terminate コマンドを入力した場合に、クライアントで開いて
いるファイルが検出されると、クライアントを切断するまでの待機時間（分）の入力を求めるメ
ッセージが表示されます。
2. 次のいずれかを実行します。
CIFS サービスの設定
操作
ストレージシステムのリブート時に自動的に再開する
何も実行しません。
ストレージシステムのリブート時に自動的に再開しない /etc/cifsconfig.cfg ファイルの名前を
変更します。
タスクの結果
クライアントがすぐに切断されることをユーザに知らせるメッセージが、接続中のすべてのクライア
ントに送信されます。指定した時間が経過すると、ストレージシステムですべてのクライアントが
切断され、CIFS サービスの提供が中止されます。
ストレージシステム全体で CIFS サービスを無効にすると、ほとんどの cifs コマンドは使用できな
くなります。 CIFS が無効な状態で使用できる cifs コマンドは次のとおりです。
•
•
•
•
cifs prefdc
cifs restart
cifs setup
cifs testdc
CIFS シャットダウンメッセージを受信するユーザの指定
cifs terminate コマンドを実行すると、Data ONTAP のデフォルトでは、CIFS サービスが切断される
ことをユーザに知らせるメッセージが接続中のすべてのクライアントに送信されます。デフォルトの
設定を変更して、これらのメッセージを送信しないようにしたり、ファイルを開いている接続中のクラ
イアントだけに送信したりできます。
手順
1. 次のコマンドを入力します。
options cifs.shutdown_msg_level {0 | 1 | 2}
CIFS シャットダウンメッセージを送信しない場合は、0 を指定します。
ファイルを開いている接続中のクライアントだけにメッセージを送信する場合は、1 を指定しま
す。
接続中のすべてのクライアントにメッセージを送信する場合は、2 を指定します。これがデフォ
ルトの設定です。
156 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
CIFS サービスの再開
CIFS サービスを再開するには、cifs restart コマンドを入力します。
手順
1. 次のコマンドを入力します。
cifs restart
タスクの結果
ストレージシステムはドメインコントローラに接続し、CIFS サービスを再開します。
ストレージシステム上のユーザへのメッセージ送信
重要なイベントを知らせる場合、ストレージシステム上のすべてのユーザにメッセージを送信でき
ます。このメッセージは、ユーザのコンピュータの警告ボックスに表示されます。
タスク概要
cifs terminate コマンドを入力すると、接続中のユーザにメッセージが自動的に送信されます。
ただし、すべてのファイルを閉じるようにユーザに指示する場合など、CIFS サービスを停止しない
でメッセージを送信するには、サーバーマネージャまたは Data ONTAP コマンドラインを使用して
メッセージを送信します。
一部のクライアントはブロードキャストメッセージを受信しない可能性があります。次の制限と前
提条件がこの機能に適用されます。
•
•
•
Windows 95 および Windows for Workgroups のクライアントは、WinPopup プログラムを設定
する必要があります。
Windows 2003 および Windows XP Service Pack 2 のクライアントは、Messenger サービスを有
効にする必要があります。
デフォルトでは無効になっています。
ユーザへのメッセージは、NetBIOS over TCP を使用して接続された Windows クライアントだけ
が見ることができます。
注: ネットワーク構成も、どのクライアントがブロードキャストメッセージを受信するかに影響を与
える可能性があります。
手順
1. 次のいずれかを実行します。
CIFS を使用したファイルアクセス | 157
目的
入力するコマンド
ストレージシステムに接続中のすべての CIFS ユーザにメッセージを
送信する
cifs broadcast *
"message"
ストレージシステムに接続中の特定の CIFS ユーザにメッセージを送
信する
cifs broadcast
client_name "message"
特定のボリュームに接続中のすべての CIFS ユーザにメッセージを送 cifs broadcast -v
信する
volume "message"
ストレージシステムの説明の表示と変更
わかりやすい説明を追加すると、ネットワーク上のほかのコンピュータとストレージシステムを区別
できます。
タスク概要
ストレージシステムの説明は、ネットワークを参照する際に[コメント]フィールドに表示されます。ス
トレージシステムを最初に使用するときは、ストレージシステムの説明はありません。説明は、48
文字まで入力できます。
手順
1. 次のコマンドを入力して、現在の説明を表示します。
cifs comment
2. 次のコマンドを入力して、説明を変更します。
cifs comment "description"
ストレージシステムのコンピュータアカウントパスワードの変更
ストレージシステムのコンピュータアカウントパスワードは、手動で変更できるほか、自動的に更
新するようにストレージシステムのオプションで設定することもできます。
ストレージシステムのコンピュータアカウントパスワードの手動変更
ストレージシステムの Active Directory のコンピュータアカウントパスワードを手動で変更するこ
とができます。 cifs changefilerpwd コマンドは、ストレージシステムのドメインアカウントパス
ワードをただちに変更します。
タスク概要
注: 複数のドメインコントローラがある Active Directory ドメインの場合、パスワードの変更後、
新しいパスワードがドメインコントローラに伝わるまでの短時間、CIFS 接続が抑制されることが
あります。
158 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
手順
1. 次のコマンドを入力します。
cifs changefilerpwd
次のメッセージが表示されます。
password change scheduled.
パスワードは通常 1 分以内に変更されます。
ストレージシステムのコンピュータアカウントパスワードの自動変更の設定
Windows Active Directory のコンピュータアカウントパスワードをスケジュールに従って自動的に
変更するように設定することができます。
開始する前に
ストレージシステムに CIFS がライセンスされていて、設定されている必要があります。また、スト
レージシステムが Active Directory ドメインに参加している必要があります。
タスク概要
コンピュータアカウントパスワードの自動変更を設定するオプションは 3 つあります。
•
•
•
cifs.W2K_password_change オプションを on に設定すると、
cifs.W2K_password_change_interval オプションで定義した間隔でストレージシステムの
ドメインパスワードが変更されます。
期間の単位は週です。パスワードの変更は、cifs.W2K_password_change_within オプシ
ョンで指定した期間内にランダムに行われます。このオプションのデフォルト値は off です。
cifs.W2K_password_change_interval オプションは、ドメインコンピュータアカウントパス
ワードの変更をトリガーする間隔（週）を指定します。
デフォルト値は 4w で、有効な範囲は 1w～8w です。パスワードの変更は、設定した期間が経
過した次の日曜日の午前 1 時頃に実行されます。このオプションの値は、
cifs.W2K_password_change オプションを off に設定している場合は有効になりません。
cifs.W2K_password_change_within オプションでは、ドメインコンピュータアカウントパス
ワードの変更を試行する期間を設定します。
デフォルト値は 1h で、有効な範囲は 1h～6h です。試行が行われるのは、W2K パスワード変
更間隔で設定した期間が経過したあとです。午前 1 時から
cifs.W2K_password_change_within オプションで設定した時間が経過するまでの間に、パ
スワードの変更がランダムな間隔で実行されます。
手順
1. コンピュータアカウントパスワードの自動変更を有効にします。
cifs.W2K_password_change on
CIFS を使用したファイルアクセス | 159
2. cifs.W2K_password_change_interval オプションを設定します。
cifs.W2K_password_change_interval interval
3. cifs.W2K_password_change_within オプションを設定します。
cifs.W2K_password_change_within hours_within
例
次の例では、ドメインコンピュータアカウントパスワードの自動変更を 2 週間に一度、3 時
間以内に実行するようにストレージシステムを設定しています。
system1>options cifs.W2K_password_change on
system1>options cifs.W2K_password_change_interval 2w
system1>options cifs.W2K_password_change_within 3h
Windows 管理ツールを使用したファイル管理について
Windows 管理ツールを使用することで、一部の CIFS ファイルアクセス管理タスクを行うことがで
きます。
次の Windows 管理ツールは、Data ONTAP と互換性があります。
•
•
•
•
コンピュータの管理 MMC スナップイン（ユーザおよびグループの管理用）
Microsoft Active Directory ユーザ MMC スナップイン
Microsoft イベントビューア
Microsoft パフォーマンスモニタ
上記の Microsoft 管理ツールを使用してストレージシステムを管理する手順は、Windows サーバ
を管理する手順とほとんど同じです。この章で説明する手順は、Windows サーバとは異なる Data
ONTAP 管理タスクの情報です。
Windows サーバ管理ツールに入力するテキストと異なり、Data ONTAP コマンドラインは大文字と
小文字を区別します。たとえば、Windows でボリューム名を指定するときには、小文字または大
文字のどちらでも入力できます。 Windows ツールでは、TEST という名前の qtree と同じレベルで
Test という名前の qtree は作成できません。Windows ツールはこれらの名前を区別しないためで
す。 Data ONTAP コマンドラインからなら、これら 2 つの qtree を作成して区別することができま
す。
NT ユーザマネージャを使用してストレージシステムを設定する場合、次の制限が NT ユーザマ
ネージャに適用されます。
•
•
ストレージシステムではローカルユーザがサポートされますが、ローカルユーザアカウントの
作成や削除には、[ユーザー]メニューの[新しいユーザー]を使用できません。
[原則]メニューは無効になりますが、ポリシーによっては、オプションまたはグループメンバー
シップを使用して制御できます。
160 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
Data ONTAP に該当する機能がないため、次の NT サーバマネージャ機能はサポートされていま
せん。
•
•
サービスの停止と開始
警告の受信者の指定
アクセス制御問題のトラブルシューティング
アクセス制御問題のトラブルシューティングを行うには（つまり、ストレージシステム上のファイルへ
のアクセスが、本来あるべき設定と異なり、クライアントまたはユーザに対して許可または禁止され
ている理由を判別するには）、sectrace コマンドを使用します。
パーミッショントレーシングフィルタの追加
パーミッショントレーシングフィルタを追加すると、クライアントまたはユーザがストレージシステム
の処理を実行できる理由、またはできない理由に関する情報を Data ONTAP がシステムログに
記録するようになります。
タスク概要
パーミッショントレーシングフィルタを追加すると、ストレージシステムのパフォーマンスが若干低
下するため、デバッグ目的以外でパーミッショントレーシングフィルタを追加しないでください。デ
バッグが完了したら、パーミッショントレーシングフィルタをすべて削除する必要があります。さら
に、コンソールに大量の EMS メッセージが送信されないように、できるだけ具体的なフィルタリング
基準を指定する必要があります。
次の制限に注意してください。
•
•
パーミッショントレーシングフィルタは vFiler ごとに 10 個まで追加できます。
CIFS 要求に関するパーミッショントレーシングフィルタだけを追加できます。
手順
1. 次のコマンドを入力します。
sectrace add [-ip ip_address] [-ntuser nt_username] [-unixuser
unix_username] [-path path_prefix] [-a]
ip_address には、アクセスを試みているクライアントの IP アドレスを指定します。
nt_username には、アクセスを試みているユーザの Windows NT ユーザ名を指定します。
unix_username には、アクセスを試みているユーザの UNIX ユーザ名を指定します。 NT ユ
ーザ名を指定する場合は、UNIX ユーザ名を指定できません。
path_prefix には、アクセスをトレースするファイルのパス名の接頭辞を指定します。たとえ
ば、/vol/vol0/home/ディレクトリ内にある、名前が「file」で始まるすべてのファイル（/vol/
CIFS を使用したファイルアクセス | 161
vol0/home/file100 や/vol/vol0/home/file200 など）へのアクセスをトレースするに
は、/vol/vol0/home/file を指定します。
-a は、拒否される要求だけでなく、許可される要求もストレージシステムがトレースするように
指定します。
例
次のコマンドを実行すると、IP アドレスが 192.168.10.23 のクライアントから送信されるアクセ
ス要求のうち、Data ONTAP で拒否されたアクセス要求をすべてトレースするパーミッション
トレーシングフィルタが追加されます。
sectrace add -ip 192.168.10.23
次のコマンドを実行すると、UNIX ユーザ foo からパス/vol/vol0/home4 に送信されるア
クセス要求のうち、Data ONTAP で許可または拒否されたアクセス要求をすべてトレースす
るパーミッショントレーシングフィルタが追加されます。
sectrace add -unixuser foo -path /vol/vol0/home4 -a
パーミッショントレーシングフィルタの削除
パーミッショントレーシングフィルタを追加すると、システムパフォーマンスが若干低下するため、
アクセスエラーのデバッグを完了したら削除する必要があります。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
すべてのパーミッショントレーシン sectrace delete all
グフィルタを削除する
特定のパーミッショントレーシング sectrace delete index
フィルタを削除する
パーミッショントレーシングフィルタを追加すると、1～10 のインデッ
クスが割り当てられます。 index には、削除するパーミッショント
レーシングフィルタのインデックスを指定します。
例
次に、インデックスが 1 のパーミッショントレーシングフィルタを削除するコマンドの例を示し
ます。
sectrace delete 1
162 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
パーミッショントレーシングフィルタの表示
ストレージシステムまたは vFiler のパーミッショントレーシングフィルタを表示するには、
sectrace show コマンドを使用します。
手順
1. 次のコマンドを入力します。
sectrace show [index]
パーミッショントレーシングフィルタを追加すると、1～10 のインデックスが割り当てられます。
index には、表示するパーミッショントレーシングフィルタのインデックスを指定します。インデ
ックスを指定しないと、すべてのパーミッショントレーシングフィルタが表示されます。
例
次に、ストレージシステムのすべてのパーミッショントレーシングフィルタを表示するコマン
ドの例を示します。
sectrace show
すべてのパーミッショントレーシングフィルタが次のように表示されます。
Sectrace filter: 1
Hits: 5
Path: /vol/vol1/unix1/file1.txt
NT User: CIFS-DOM\harry
Trace DENY and ALLOW events
Sectrace filter: 2
Hits: 7
IP Addr: 10.30.43.42
Path: /vol/vol1/mixed1/dir1/file1.txt
NT User: CIFS-DOM\chris
Trace DENY and ALLOW events
Sectrace filter: 3
Hits: 1
Path: /vol/vol1/mixed1/file2.txt
NT User: CIFS-DOM\chris
Trace DENY events
Data ONTAP でアクセスが許可または拒否される理由の確認
パーミッショントレーシングフィルタの基準が満たされると、コンソールに EMS メッセージが表示さ
れます。 Data ONTAP で特定のクライアントまたはユーザへのアクセスが許可または拒否された
理由の詳細を取得するには、sectrace print-status コマンドを使用します。
手順
1. 次のコマンドを入力します。
CIFS を使用したファイルアクセス | 163
sectrace print-status status_code
status_code は、ストレージシステムで許可または拒否されている要求に関するストレージ
システムログ内の「Status:」タグ値です。
例
パーミッショントレーシングフィルタを追加した結果、コンソールに次の EMS メッセージが表
示されたとします。
Thu Dec 20 13:06:58 GMT [sectrace.filter.allowed:info]: [sectrace
index: 1] Access allowed because 'Read Control, Read Attributes,
Read EA, Read' permission (0x20089) is granted on file or directory
(Access allowed by unix permissions for group) - Status:
1:6047397839364:0:0 - 10.73.9.89 - NT user name: CIFS-DOM\harry UNIX user name: harry(4096) - Qtree security style is MIXED and
unix permissions are set on file/directory - Path: /vol/vol1/mixed1/
file1.txt
Data ONTAP で特定のユーザに特定のファイルへのアクセスが許可される理由の詳細を取
得するには、次のコマンドを入力します。
sectrace print-status 1:6047397839364:0:0
注: sectrace print-status コマンドを呼び出す場合は、対応するエラーメッセージの
「Status:」行のステータスコードを指定する必要があります。
これに対し、次のような詳細が返されます。
secAccess allowed because 'Traverse' permission is granted on
requested path.
- Access allowed by unix permissions for others.
- Access allowed because requested permission is granted on file or
directory.
- Access allowed by share-level ACL.
164 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
- Access allowed by unix permissions for group.
trace print-status 1:6047397839364:0:0
FPolicy の使用
FPolicy を使用すると、ストレージシステムに接続されたパートナーアプリケーションからファイル
アクセス権限を監視したり、設定したりできます。
FPolicy の概要
ここでは、FPolicy のシステムアーキテクチャ、FPolicy の仕組み、FPolicy の一般的な使用事例、
さまざまな FPolicy アプリケーション、および FPolicy の制限について説明します。
FPolicy
FPolicy は、ストレージシステムに接続されたパートナーアプリケーションからファイルアクセス権
限を監視および設定する機能を備えた、Data ONTAP のインフラコンポーネントです。
クライアントがストレージシステムからファイルにアクセスするたびに、FPolicy の設定に基づい
て、パートナーアプリケーションにファイルアクセス情報が通知されます。パートナーはこの情報
を使用して、ストレージシステムに作成されたファイル、あるいはアクセスされているファイルに制
限を設定できます。
FPolicy を使用すると、ファイル形式に従ってファイル操作権限を指定するファイルポリシーを作成
できます。たとえば、JPEG や.mp3 ファイルなど特定のファイル形式について、ストレージシステ
ムへの保存を制限できます。
Data ONTAP 6.4 に最初に導入された FPolicy では、CIFS プロトコルのみがサポートされていまし
た。 NFS プロトコルのサポートは、Data ONTAP 7.0 で追加されました。ただし、NFS 固有のイベ
ントを処理する場合も、FPolicy には CIFS のライセンスが付与されている必要があります。
FPolicy は、ファイルを作成する、開く、名前を変更する、削除するといった、個々のクライアントシ
ステムからの操作の要求をストレージシステムがどのように処理するかを決定します。ストレージ
システムは、ポリシー名や該当するポリシーがアクティブかどうかなど、FPolicy の一連のプロパテ
ィを維持します。ストレージシステムコンソールコマンドを使用して、FPolicy のこれらのプロパテ
ィを設定できます。
FPolicy インターフェイスは Data ONTAP API（別名 ONTAPI）です。この API は、Distributed
Computing Environment（DCE;分散コンピューティング環境）上で動作し、Remote Procedure Calls
（RPC;リモートプロシージャコール）を使用します。これらのツールを使用することにより、外部ア
プリケーションは FPolicy サーバとして登録できます。
プログラマは FPolicy インターフェイスを使用して、別のプラットフォームで実行中の外部アプリケ
ーションから、ストレージシステムまたは NearStore システムに高度なファイルスクリーニング機能
を実装できます。
CIFS を使用したファイルアクセス | 165
FPolicy インターフェイスを利用するアプリケーションは、次の処理を実行できます。
•
•
•
1 つ以上のストレージシステムに 1 つ以上の FPolicy を登録する
ファイルを開く、作成する、名前を変更するなど、ファイル操作に関する通知を受信する
通知を受信した任意のファイルへのアクセスをブロックする
FPolicy では次のプロトコルがサポートされています。
•
•
CIFS
NFS（バージョン 2、バージョン 3、バージョン 4）
FPolicy サーバでは次のフィルタを使用できます。
•
•
•
•
•
プロトコル
ボリューム名
ファイル拡張子
オフラインビット
操作
Data ONTAP のファイルスクリーニングは、次の 2 つの方法で有効にできます。
•
外部ファイルスクリーニングソフトウェアの使用
ファイルスクリーニングソフトウェアは、ファイルスクリーニングサーバとして機能するクライア
ント上で実行されます。ファイルスクリーニングソフトウェアを使用すると、ファイルの内容の
制御とフィルタリングが柔軟に行えます。
注: 最適なパフォーマンスを得るために、FPolicy サーバをストレージシステムと同一のサブ
ネットに設定することを推奨します。
•
ネイティブファイルブロッキングの使用
ファイルスクリーニングソフトウェアはストレージシステム上でネイティブに実行されます。ネ
イティブファイルブロッキングは、制限されたファイルタイプを単純に拒否する機能を備えてい
ます。
FPolicy の仕組み
NFS および CIFS により、クライアントからアクセスされたときに通知を送信するように FPolicy サ
ーバを設定するには、FPolicy サーバを事前にストレージシステムに登録する必要があります。
FPolicy サーバをストレージシステムに登録したあとに、クライアントがファイルへのアクセスを求
める要求を行うと、ストレージシステムは FPolicy サーバに、登録されている通知用イベントを通
知します。クライアント要求を受信したストレージシステムは、通知の一部として、クライアントアク
セスに関する情報を FPolicy に送信します。 FPolicy サーバに送信される情報には、ファイル名、
パス名、クライアント情報、プロトコル情報、クライアントから要求された操作などがあります。受信
された情報および FPolicy サーバの構成に基づいて、FPolicy サーバはクライアントの要求に応答
します。 FPolicy サーバは、クライアントからの要求を許可するかどうかかを、ストレージシステム
に送信します。
166 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ファイルポリシーを使用すると、ファイルまたはディレクトリ操作を指定して、これらに制限を設ける
ことができます。 Data ONTAP は、（開く、書き込む、作成する、名前を変更するなどの）ファイルま
たはディレクトリ操作要求を受信すると、ファイルポリシーをチェックしてからその操作を許可しま
す。
ポリシーでファイルの拡張子に基づいたスクリーニングが指定されている場合、ファイルスクリー
ニングはファイルスクリーニングサーバ上またはストレージシステム上で実行されます。次に、こ
れらのファイルスクリーニングの方法について説明します。
•
•
ファイルスクリーニングサーバ上で実行する場合（外部スクリーニングソフトウェアを使用）：
ファイルをスクリーニングするファイルスクリーニングサーバに通知が送信されます。ファイル
スクリーニングサーバはルールを適用して、要求されたファイル操作をストレージシステムが
許可すべきかどうかを判断します。ファイルスクリーニングサーバは、要求されたファイル操
作を許可または拒否する応答をストレージシステムに送信します。
ストレージシステム上で実行する場合（ネイティブファイルブロッキングを使用）：
要求は拒否され、ファイル操作がブロックされます。
関連コンセプト
ネイティブファイルブロッキング（170 ページ）
FPolicy 作業フローチャート
フローチャートに、FPolicy の使用モデルの概要を示します。
CIFS を使用したファイルアクセス | 167
168 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ストレージ環境の FPolicy
クライアントがファイルを要求すると、要求はプロトコルスタックに送信されます。 FPolicy 機能が
有効な場合、プロトコルスタックは CIFS 要求と NFS 要求を識別し、FPolicy スクリーニング用にマ
ーキングします。
要求は WAFL モジュールに送信されます。 WAFL モジュールはストレージシステムから FPolicy
サーバに要求をリダイレクトします。 WAFL モジュールはファイル要求を FPolicy エンジンに送信
します。
FPolicy エンジンは FPolicy インフラ、ONTAPI、および RPC で構成されています。要求は RPC コ
ールとして、FPolicy サーバに送信されます。 FPolicy サーバから応答が返されると、FPolicy エン
ジンはクライアントの要求に応答します。この応答は WAFL モジュールに転送され、さらにプロト
コルスタックに転送されて、クライアントに送信されます。
このファイルへのアクセスが許可されている場合は、クライアントにファイルが提供されます。ファ
イルへのアクセスが禁止されている場合は、適切な応答がクライアントに送信されます。 CIFS クラ
イアントでは、ファイルアクセスが禁止されている場合、STATUS_ACCESS_DENIED というエラーメ
ッセージが表示されます。
システムアーキテクチャ図に、システムアーキテクチャ全体の概要、および Data ONTAP の各レ
イヤに含まれる FPolicy インフラを示します。
CIFS を使用したファイルアクセス | 169
複数サーバ構成機能
FPolicy では、1 つのポリシーに登録されている複数のサーバ間のロードシェアリングをサポートし
ています。 FPolicy を使用すると、1 つのポリシーに対して複数のサーバを登録できます。これら
のサーバはプライマリサーバまたはセカンダリサーバとして登録できます。
複数の FPolicy サーバがストレージシステム上の同じポリシーに登録されている場合、そのポリシ
ーに関するすべての FPolicy 通知は FPolicy サーバ間でロードシェアリングが行われます。スト
レージシステムは、未処理の要求が最も少ない FPolicy サーバに連続する通知を送信すること
で、ロードシェアリングを行います。ただし、FPolicy ではセカンダリサーバよりもプライマリサー
バが優先されます。あるポリシーにプライマリサーバとセカンダリサーバが混在する形で登録さ
れている場合、FPolicy 通知はプライマリサーバ間で分配（共有）されます。
使用できるプライマリサーバがない場合、通知はセカンダリサーバ間で共有されます。プライマリ
サーバが使用可能な場合は、ストレージシステムはセカンダリサーバでなく、プライマリサーバに
要求を送信します。
いずれかの FPolicy サーバで未処理の要求数が上限（50）に達すると、FPolicy は通知を他のアク
ティブなサーバにリダイレクトします。登録されたすべてのサーバで未処理の要求数が上限に達
すると、すべての通知がスロットルキューに格納されます。
サーバ構成は機能の種類によって異なります。たとえば、パススルーリード、ファイルサイズ、所
有者といった機能はサーバベースの機能です。これらの機能は特定のサーバで有効にする必要
があります。ただし、許可変更通知、inode からファイルへのパス、オフラインビットなどの機能
は、ポリシー全体に関する機能です。特定のポリシーでこれらの機能が有効な場合は、このポリ
シーを使用するすべての FPolicy サーバに対して機能が更新されます。
FPolicy の制限
FPolicy の制限はプロトコルに関する制限、スクリーニングに関する制限、および一般的な制限に
分類されます。
次に、FPolicy のプロトコルに関する制限を示します。
•
•
•
FPolicy がサポートしているのは、CIFS プロトコルと NFS プロトコルのみです。
ただし、FPolicy は、ロックと委譲に関連する NFSv4 操作、セッション関連操作
（SMB_COM_SESSION_SETUP_ANDX）、ファイルシステム動作に関連しない操作（印刷関連
操作）など、CIFS プロトコルと NFS プロトコルに関する一部の操作を監視しません。
FPolicy は、FTP、HTTP、WebDAV、FileIO など、その他のプロトコルはサポートしていませ
ん。
CIFS 操作と NFS 操作を同じポリシーで個別に設定することはできません。
次に、FPolicy のスクリーニングに関する制限を示します。
•
ファイルスクリーニングはボリューム全体に設定する必要があります。
個々の qtree およびディレクトリをスクリーニングすることはできません。
170 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
•
•
•
•
FPolicy は、代替データストリームでの CIFS 操作のスクリーニングをサポートしています。
しかし、代替データストリーム上での NFS 操作のスクリーニングはサポートしません。
複数のサーバを登録した場合、接続されているすべてのサーバのポリシーは、最後に登録し
たサーバの設定に基づいて変更されます。
同じ IP アドレスにある複数の FPolicy サーバのインスタンスを同じポリシーに登録することは
できません。
FPolicy が CIFS システムリソースを使い切った場合、FPolicy エンジンによる CIFS スクリーニ
ングは停止します。
Data ONTAP 内での FPolicy の使用
ストレージシステムでのネイティブファイルブロッキングには、FPolicy を使用できます。
ネイティブファイルブロッキング
ネイティブファイルブロッキングを使用すると、監視リストに記述されたファイルまたはディレクトリ
操作をすべて拒否できます。
サーバベースファイルスクリーニングでサポートされているフィルタとプロトコルのセットが、ネイテ
ィブファイルブロッキングでもサポートされます。ネイティブファイルブロッキングポリシーと
FPolicy サーバベースファイルスクリーニングの両方を同時に複数のポリシーに設定できます。
次の図に、ネイティブファイルブロッキングが有効な場合のクライアント要求の処理方法を示しま
す。数字は要求フローの順番です。
CIFS クライアントまたは NFS クライアントが要求を送信すると、ネイティブブロッキングが有効な
場合、ストレージシステムでファイルがスクリーニングされます。要求とスクリーニング要件が一致
した場合、要求は拒否されます。
ネイティブファイルブロッキングは、次の操作に対して実行できます。
CIFS を使用したファイルアクセス | 171
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
ファイルを開く
ファイルの作成
ファイルの名前変更
ファイルを閉じる
ファイルの削除
ファイルの読み取り
ファイルの書き込み
ディレクトリの削除
ディレクトリの名前変更
ディレクトリの作成
属性の取得（NFS のみ）
属性の設定
ハードリンクの作成（NFS のみ）
シンボリックリンクの作成（NFS のみ）
検索（NFS のみ）
許可変更通知（CIFS のみ）
•
•
•
•
所有者の変更
グループの変更
システム ACL（SACL）の変更
随意 ACL（DACL）の変更
関連コンセプト
ネイティブファイルブロッキングの使用方法（171 ページ）
関連参照情報
CIFS を通して監視されるイベント（174 ページ）
NFS を通して監視されるイベント（174 ページ）
ネイティブファイルブロッキングの使用方法
ネイティブファイルブロッキングを使用するには、まず FPolicy を作成してから、特定の処理に対
して通知するように FPolicy を設定します。ネイティブファイルブロッキング機能は、Data ONTAP
ではデフォルトで有効になっています。
ネイティブファイルブロッキングを使用すると、ファイルスクリーニングセクションに指定されたフ
ァイル操作をすべて拒否できます。また、特定の拡張子を持つファイルへのアクセスをブロックで
きます。
たとえば、.mp3 拡張子を含むファイルをブロックするには、拡張子が.mp3 のファイルをターゲットと
する特定の処理に対する通知を送信するようにポリシーを設定します。このポリシーは、.mp3 ファ
イルに関する要求を拒否するように設定されます。拡張子が.mp3 のファイルをクライアントが要求
172 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
すると、ストレージシステムはネイティブファイルブロッキング設定に基づいてこのファイルへのア
クセスを拒否します。
ネイティブファイルブロッキングとサーバベースファイルスクリーニングアプリケーションは同時
に設定できます。
注: ネイティブファイルブロッキング機能では、ファイルの内容でなく、拡張子のみに基づいてフ
ァイルがスクリーニングされます。
ネイティブファイルブロッキングの設定
ネイティブファイルブロッキングを設定するには、ポリシーを作成してから、ブロックするファイル拡
張子のリストを設定します。
開始する前に
CIFS プロトコルにライセンスを付与して、設定する必要があります。
手順
1. 次の CLI コマンドを使用して、ファイルポリシーを作成します。
fpolicy create PolicyName Policytype
例
mp3blocker という名前のスクリーニングポリシーを作成するには、次のコマンドを入力します。
fpolicy create mp3blocker screen
FPolicy は、screen ポリシータイプを使用して、指定されたポリシー名でポリシーを作成しま
す。
2. 次のコマンドを使用して、.mp3 拡張子を監視するポリシーを設定します。
fpolicy extensions include set PolicyName ext-list
例
.mp3 拡張子を監視するポリシーを設定するには、次のコマンドを入力します。
fpolicy extensions include set mp3blocker mp3
3. 次のコマンドを使用して、ポリシーによって監視する操作とプロトコルを設定します。
fpolicy monitor {add|remove|set} PolicyName [-p protocols] [-f] op-spec
PolicyName は、操作を追加するポリシーの名前です。
protocols は、監視を有効にする一連のプロトコルです。 CIFS 要求を監視するには cifs
を、NFS 要求を監視するには nfs を、両方を監視するには cifs,nfs を使用します。
-f オプションを指定すると、ポリシーを実行するサーバがない場合も、ポリシーは強制的に有
効になります。
CIFS を使用したファイルアクセス | 173
op-spec は、追加する操作のリストです。
例
ポリシー mp3blocker に CIFS および NFS 操作で監視される操作リストを設定するには、次の
コマンドを入力します。
fpolicy monitor set mp3blocker -p cifs,nfs create,rename
create オプションを指定して、.mp3 ファイルの作成を防ぎます。さらに、.mp3 ファイルが異な
る拡張子でストレージシステム上にコピーされたり、名前を変更されたりしないように、rename
オプションも指定します。
この CLI コマンドを使用すると、監視対象となる特定の操作が設定されます。
4. 次のコマンド構文を使用して、required オプションを on に設定します。
fpolicy options PolicyName required on
例
mp3blocker ポリシーのスクリーニングを必須にする場合は、次のコマンドを入力します。
fpolicy options mp3blocker required on
この CLI コマンドを使用すると、ファイルにアクセスする前に、ファイルスクリーニングが必ず
実行されます。
5. 次の CLI コマンドを使用して、FPolicy 機能を有効にします。
fpolicy enable PolicyName [-f]
例
FPolicy mp3blocker を有効にするには、次のコマンドを入力します。
fpolicy enable mp3blocker
この CLI コマンドを使用すると、ファイルポリシーが有効になります。
タスクの結果
上記手順の終了後に、クライアントがブロックされたファイルを使用して操作を実行しようとしても、
操作に失敗し、STATUS_ACCESS_DENIED エラーコードが送信されます。
関連コンセプト
FPolicy を使用して操作を監視する方法（219 ページ）
関連タスク
ファイルポリシーの作成（176 ページ）
必須ファイルスクリーニングの指定（177 ページ）
174 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
FPolicy 機能の有効化と無効化（175 ページ）
CIFS を通して監視されるイベント
FPolicy では多数の CIFS イベントを監視できます。
次の表に、FPolicy で監視できる CIFS 操作、および FPolicy による各操作の処理方法の概要を示
します。
イベント
説明
ファイルを開く
ファイルを開くときに送信される通知
ファイルの作成
ファイルを作成するときに送信される通知
ファイルの名前変更
ファイルの名前を変更するときに送信される通知
ファイルを閉じる
ファイルを閉じるときに送信される通知
ファイルの削除
ファイルを削除するときに送信される通知
ファイルの読み取り
ファイルを読み取るときに送信される通知
ファイルの書き込み
ファイルを変更するときに送信される通知
ディレクトリの削除
ディレクトリを削除するときに送信される通知
ディレクトリの名前変更ディレクトリの名前を変更するときに送信される通知
ディレクトリの作成
ディレクトリを作成するときに送信される通知
属性の設定
属性情報を設定するときに送信される通知
NFS を通して監視されるイベント
FPolicy では多数の NFS イベントを監視できます。
次の表に、FPolicy で監視できる NFS 操作、および各操作の概要を示します。
イベント
説明
ファイルを開く
ファイルを開くときに送信される通知
ファイルの作成
ファイルを作成するときに送信される通知
ファイルの名前変更
ファイルの名前を変更するときに送信される通知
ファイルを閉じる
ファイルを閉じるときに送信される通知
ファイルの削除
ファイルを削除するときに送信される通知
ファイルの読み取り
ファイルを読み取るときに送信される通知
ファイルの書き込み
ファイルを変更するときに送信される通知
CIFS を使用したファイルアクセス | 175
イベント
説明
ディレクトリの削除
ディレクトリを削除するときに送信される通知
ディレクトリの名前変更ディレクトリの名前を変更するときに送信される通知
ディレクトリの作成
ディレクトリを作成するときに送信される通知
属性の設定
属性情報を設定するときに送信される通知
属性の取得
属性情報を要求するときに送信される通知
ハードリンクの作成
ハードリンクを作成するときに送信される通知
シンボリックリンクの作
成
シンボリックリンクを作成するときに送信される通知
検索
NFS 検索が発生したときに送信される通知
FPolicy との連携
CLI コマンドを使用すると、FPolicy の作成、有効化、設定を行ったり、操作を監視したり、ボリュー
ムおよび拡張子に基づいてファイルをスクリーニングしたりすることができます。
FPolicy の設定方法
FPolicy を設定するには、単純な CLI コマンドを使用します。
FPolicy を設定する際の推奨事項の詳細については、テクニカルレポート TR 3640 を参照してくだ
さい。
関連情報
テクニカルレポート：『FPolicy Safeguards in Data ONTAP』 – media.netapp.com/documents/
tr-3640.pdf
FPolicy 機能の有効化と無効化
CIFS プロトコルにライセンスが付与されていて、設定されている場合、FPolicy はデフォルトで有効
になります。 FPolicy 機能を手動で有効または無効にするには、fpolicy.enable オプションを設
定します。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
FPolicy を有効にする
options fpolicy.enable on
FPolicy を無効にする
options fpolicy.enable off
176 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
FPolicy の機能を無効にした場合は、個々のポリシーの有効または無効の設定よりも優先さ
れ、すべてのポリシーが無効になります。
ファイルポリシーの作成
ファイルポリシーを設定するには、まずファイルポリシーを作成する必要があります。ファイルポ
リシーを作成するには、create コマンドを使用します。
タスク概要
通知に関するポリシーを設定するには、ファイルポリシーを作成します。特定のファイル操作要求
またはネイティブファイルブロッキングが発生した場合に、FPolicy サーバに通知を送信するよう
に、ファイルポリシーを設定できます。
create コマンドを実行すると、一意のポリシー名を持つ新しいファイルポリシーが作成されます。
新しいファイルポリシーが作成されたら、オプションを設定し、特定の拡張子に対してスクリーニン
グする要求を決定できます。
手順
1. ファイルポリシーを作成するには、次のコマンドを入力します。
fpolicy create PolicyName policytype
PolicyName は、作成するファイルポリシーの名前です。ポリシー名は 80 文字以内の一意の
文字列である必要があります。ファイルポリシー名には UNICODE を使用できます。ポリシー
名でサポートされる ASCII 特殊文字は、下線（_）およびハイフン（-）のみです。新しいポリシー
名でほとんどの特殊文字を使用できないことに加え、既存のポリシー名に"."（ドット）が含まれ
ていた場合、ドット以降の文字が削除されて名前が短縮されます。このファイルポリシーに設
定されていたすべてのオプションは、アップグレード後に失われます。
policytype は、このファイルポリシーが属するポリシーグループです。現在、FPolicy でサ
ポートされているポリシーの種類は screen だけです。
例
fpolicy create policy1 screen
タスクの結果
指定されたポリシー名 policy1、ポリシータイプの種類 screen を使用して、ファイルポリシーが
作成されます。
注: vFiler ユニットごとに、一度に最大 20 個のファイルポリシーを作成して使用できます。
終了後の操作
ファイルポリシーを機能させるには、作成されたファイルポリシーを有効にします。
CIFS を使用したファイルアクセス | 177
関連タスク
FPolicy 機能の有効化と無効化（175 ページ）
ファイルポリシーの有効化
通知ポリシーを設定するには、作成したファイルポリシーを有効にしておく必要があります。ファイ
ルポリシーを有効にするには、enable コマンドを使用します。
手順
1. ファイルポリシーを有効にするには、次のコマンドを入力します。
fpolicy enable PolicyName
PolicyName は、有効化するポリシーの名前です。
例
fpolicy enable policy1
タスクの結果
指定したファイルポリシーが有効になります。
注: ファイルポリシーをアクティブにするには、fpolicy.enable オプションを on に設定してくだ
さい。
必須ファイルスクリーニングの指定
required オプションは、ファイルスクリーニングが必須かどうかを決定します。
タスク概要
required オプションが on に設定されている場合、ファイルスクリーニングは必須になります。
FPolicy サーバを使用できない場合は、スクリーニングを実行できないため、クライアント要求は拒
否されます。ネイティブファイルブロッキングを有効にする場合も、このオプションを使用します。
required オプションが off に設定されている場合、ファイルスクリーニングは必須ではありませ
ん。 FPolicy サーバが接続されていない場合、スクリーニングしなくても、操作は許可されます。
手順
1. ファイルスクリーニングを必須にするには、次のコマンドを入力します。
fpolicy options PolicyName required on
PolicyName は、required オプションを設定するポリシーの名前です。
178 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
タスクの結果
このオプションは、デフォルトでは off に設定されます。使用できるファイルスクリーニングサー
バがない場合に、ポリシーの required オプションをオンにすると、ネイティブファイルブロッキン
グ機能によって、このポリシーで指定されたファイルへのアクセスがブロックされます。
注: ファイルスクリーニングを必須にしない場合は、同じコマンドを off に設定します。
関連コンセプト
ネイティブファイルブロッキング（170 ページ）
ファイルポリシー情報の表示
特定のファイルポリシーの重要情報を表示するには、fpolicy show コマンドを使用します。
手順
1. 次のコマンドを入力します。
fpolicy show PolicyName
PolicyName は、情報を表示するファイルポリシーの名前です。
タスクの結果
show コマンドを実行すると、特定のファイルポリシーに関する次の情報が表示されます。
•
•
•
•
•
•
•
•
ファイルポリシーのステータス
監視対象操作のリスト
スクリーニング対象ボリュームのリスト
スクリーニング対象拡張子のリスト
サーバの合計接続時間
スクリーニングされた要求数
拒否された要求数
ローカルにブロックされた要求数
すべてのファイルポリシーの情報の表示
すべてのファイルポリシーの重要情報を表示するには、fpolicy コマンドを使用します。
手順
1. 次のコマンドを入力します。
fpolicy
CIFS を使用したファイルアクセス | 179
タスクの結果
fpolicy コマンドを実行すると、既存のすべてのファイルポリシーに関する次の情報が表示され
ます。
•
•
•
•
•
•
•
•
•
登録された FPolicy サーバのリスト
すべてのファイルポリシーのステータス
各ファイルポリシーで監視される操作のリスト
各ファイルポリシーでスクリーニングされるボリュームのリスト
各ファイルポリシーでスクリーニングされる拡張子のリスト
サーバの合計接続時間
各ファイルポリシーでスクリーニングされた要求数
各ファイルポリシーで拒否された要求数
ローカルにブロックされた要求数
ファイルポリシーの無効化
あるファイルポリシーを無効にすると、そのファイルポリシーに指定された操作は監視されませ
ん。また、FPolicy サーバがストレージサーバに登録されている場合でも、この FPolicy サーバに
ファイル要求通知は送信されません。
手順
1. ファイルポリシーを無効にするには、次のコマンドを入力します。
fpolicy disable PolicyName
例
fpolicy disable policy1
ファイルポリシーの削除
ファイルポリシーを削除すると、接続先のストレージシステムから既存のファイルポリシーが即座
に削除されます。
タスク概要
特定のファイルポリシーを削除するには、destroy コマンドを使用します。ファイルポリシーは無
効にしてから削除する必要があります。ファイルポリシーに FPolicy サーバが関連付けられてい
る場合は、その FPolicy サーバが登録解除されます。
手順
1. ファイルポリシーを削除して、ファイルポリシーのリストから消去するには、次のコマンドを入力
します。
fpolicy destroy PolicyName
180 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
例
fpolicy destroy policy1
PolicyName は、削除するファイルポリシーの名前です。
タスクの結果
このコマンドを入力すると、ファイルポリシーのリストから、指定したファイルポリシーが削除されま
す。
切断された CIFS 要求に関するサーバスクリーニングの停止
セッションが切断された CIFS 要求のサーバスクリーニングを停止するには、
cifs_disconnect_check オプションを有効にします。
タスク概要
不要な要求を除外し、FPolicy サーバの負荷を軽減できます。
手順
1. この機能をファイルポリシーごとに有効にするには、次のコマンドを入力します。
fpolicy options PolicyName cifs_disconnect_check on
PolicyName は、チェックを有効にするファイルポリシーの名前です。
タスクの結果
注: デフォルトでは、このオプションは off に設定されています。
例
ファイルポリシー p1 に対して cifs_disconnect_check を有効にするには、次のコマンド
を使用します。
CIFS を使用したファイルアクセス | 181
filer> fpolicy options p1 cifs_disconnect_check
fpolicy options p1 cifs_disconnect_check: off
filer> fpolicy options p1 cifs_disconnect_check on
サーバタイムアウトの設定
FPolicy サーバが要求に応答するまでのシステム待機時間の上限を設定できます。この上限はフ
ァイルポリシーごとに個別に設定できます。これにより、FPolicy サーバは効率化されます。
手順
1. ファイルポリシーごとにタイムアウト値を設定するには、次のコマンドを入力します。
fpolicy options PolicyName serverprogress_timeout timeout-in-secs
PolicyName は、FPolicy サーバのタイムアウトを設定するファイルポリシーの名前です。
timeout-in-secs は、タイムアウト値（秒）です。
指定できる最小タイムアウト値はゼロ、最大タイムアウト値は 4294967 秒です。タイムアウト値
にゼロを設定すると、serverprogress_timeout オプションが無効になります。
注: デフォルトでは、このオプションは無効で、タイムアウト値は設定されていません。
タスクの結果
タイムアウト値を設定すると、設定したタイムアウト値までに FPolicy サーバが応答しないと、サー
バは切断されます。
例
ファイルポリシー p1 のタイムアウト値を設定するには、次のコマンドを入力します。
filer> fpolicy options p1 serverprogress_timeout
fpolicy options p1 serverprogress_timeout: 0 secs (disabled)
filer> fpolicy options p1 serverprogress_timeout 600
filer> fpolicy options fp1 serverprogress_timeout 4294967
要求スクリーニングタイムアウトの設定
FPolicy サーバが要求をスクリーニングするまでのシステムの待機時間に上限を設定できます。こ
の上限はポリシーごとに個別に設定できます。これにより、FPolicy サーバのパフォーマンスは改
善します。
手順
1. ファイルポリシーごとにタイムアウト値を設定にするには、次のコマンドを入力します。
182 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
fpolicy options PolicyName reqcancel_timeout timeout-in-secs
PolicyName は、スクリーニングタイムアウトを設定するファイルポリシーの名前です。
timeout-in-secs は、タイムアウト値（秒）です。
タスクの結果
タイムアウト値が設定されている場合は、設定されたタイムアウト値までにスクリーン要求が完了
しないと、スクリーン要求はキャンセルされます。
例
ファイルポリシー p1 のタイムアウト値を設定するには、次のコマンドを入力します。
filer> fpolicy options p1 reqcancel_timeout
fpolicy options p1 reqcancel_timeout: 0 secs (disabled)
filer> fpolicy options p1 reqcancel_timeout 60
SMB 名前付きパイプの複数オープンインスタンスの有効化と無効化
FPolicy サーバ上で SMB 名前付きパイプの複数のオープンインスタンスを有効にするには、
fpolicy.multiple_pipes オプションを使用します。
タスク概要
このオプションを有効にすると、FPolicy エンジンは SMB 名前付きパイプのインスタンスを 1 台の
FPolicy サーバに対して最大 10 個まで同時に開くことができます。このオプションを無効にする
と、1 台の FPolicy サーバに対して開かれる SMB 名前付きパイプのインスタンスは 1 つだけにな
ります。
手順
1. FPolicy サーバ上で SMB 名前付きパイプの複数のオープンインスタンスを有効または無効に
するには、次のコマンドを入力します。
options fpolicy.multiple_pipes {on|off}
デフォルトでは、このオプションは on に設定されています。
NFS クライアントと CIFS クライアントでスクリーニングされるイベント
FPolicy サーバは、NFS および CIFS クライアントから着信したファイル要求に関する多数の操作
またはイベントをスクリーニングできます。
次の表に、ネイティブファイルブロッキングとサーバベーススクリーニングに関する、NFS および
CIFS でスクリーニングされるイベントを示します。
CIFS を使用したファイルアクセス | 183
イベント
プロトコル
説明
ファイルを開く
CIFS と NFS（v4）
ファイルを開くときに送信される通知
ファイルの作成
CIFS と NFS
ファイルを作成するときに送信される通知
ファイルの名前変
更
CIFS と NFS
ファイルの名前を変更するときに送信される通知
ファイルを閉じる
CIFS と NFS（v4）
ファイルを閉じるときに送信される通知
ファイルの削除
CIFS と NFS
ファイルを削除するときに送信される通知
ファイルの読み取
り
CIFS と NFS
ファイルを読み取るときに送信される通知
ファイルの書き込
み
CIFS と NFS
ファイルに書き込むときに送信される通知
ディレクトリの削除 CIFS と NFS
ディレクトリを削除するときに送信される通知
ディレクトリの名前 CIFS と NFS
変更
ディレクトリの名前を変更するときに送信される通
知
ディレクトリの作成 CIFS と NFS
ディレクトリを作成するときに送信される通知
属性の取得
NFS
属性情報要求に関して送信される通知
属性の設定
CIFS と NFS
属性情報設定に関して送信される通知
ハードリンクの作
成
NFS
ハードリンクを作成するときに送信される通知
シンボリックリンク
の作成
NFS
シンボリックリンクを作成するときに送信される通
知
検索
NFS
NFS 検索が発生したときに送信される通知
注: CIFS の属性の設定イベントはさまざまな機能を実行できますが、FPolicy で監視されるの
は、セキュリティ記述子情報を変更する属性設定操作のみです。セキュリティ記述子情報には
所有者、グループ、随意 Access Control List（DACL）、およびシステム Access Control List
（SACL）情報などが含まれています。
FPolicy を使用すると、ファイルシステム関連の NFS 操作および CIFS 操作のほとんどのイベント
に対応できます。 FPolicy で監視されない操作の一部を、次に示します。
•
•
•
NFS（v2、v3、v4）：ACCESS、COMMIT、FSINFO、FSTAT、PATHCONF、ROOT、
READLINK、READDIR、READDIRPLUS、STATFS、MKNOD
NFSv4：ロックと委譲に関連する操作
CIFS：
184 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
•
•
•
•
SMB_COM_TREE_CONNECT や SMB_COM_TREE_DISCONNECT などのツリー操作
SMB_COM_SESSION_SETUP_ANDX などのセッション関連操作
ロック関連操作
印刷関連操作など、ファイルシステム動作に関連しない操作
ファイルまたはディレクトリイベント
さまざまなファイルおよびディレクトリ操作がスクリーニングされます。操作要求があると、ポリシー
設定に基づいて FPolicy サーバに通知が送信されます。
ファイルオープン要求の監視
ファイルオープン操作が行われると、FPolicy サーバはストレージシステムから通知を受信しま
す。
ファイルオープン要求が CIFS または NFSv4 クライアントからストレージシステムに送信される
と、ストレージシステムはそのファイルに関連するすべてのチェックを実行します。関連するチェッ
ク処理には、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセ
スしているかどうかのチェックが含まれます。ファイル拡張子がファイルポリシーの対象拡張子リス
トに含まれている場合、ファイルがチェックに合格すると、要求が FPolicy サーバに転送されます。
FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイルオープン要求を許可または
ブロックします。
ストレージシステムがリブートした場合、NFSv4 クライアントはシャットダウン前に開いていたファイ
ルのファイルハンドラを再要求できます。ストレージシステムが再び機能するようになったあと
で、FPolicy サーバが NFS クライアントより先にストレージシステムに接続した場合、ストレージシ
ステムはファイル再要求をオープン要求として FPolicy サーバに転送します。
FPolicy サーバが NFS クライアントのあとにストレージシステムに接続した場合、ストレージシス
テムはオープン再要求をオープン要求として FPolicy サーバに転送しません。この場合、NFS クラ
イアントは NFSv4 再要求操作を使用して、ファイルハンドルを取得します。
NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上で
no_i2p オプションを off に設定します。この設定により、ボリュームで inode / パス間のファイル
名変換が有効になります。
古いリリースの FPolicy では、NFSv4 プロトコルおよび no_i2p オプションはサポートされません。
注: Data ONTAP 7.3 リリース以降、FPolicy ではボリューム上で NFSv4 プロトコルおよび
no_i2p オプションをサポートしています。
NFSv4 環境で Data ONTAP ベースの FPolicy アプリケーションが動作している場合に、NFSv4 を
サポートするには、FPolicy アプリケーションをアップグレードする必要があります。
NFSv4 をサポートすることで、ファイルの OPEN および CLOSE イベントのサポートが追加されま
す。したがって、古いリリースの FPolicy をベースとするアプリケーションでこれらのファイル操作を
行うと、FPolicy アプリケーションでは UNKNOWN イベントエラーとして認識されることがありま
す。
CIFS を使用したファイルアクセス | 185
FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイル
オープン操作を追加する必要があります。ファイルオープン操作を監視するには、CLI または
ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
CLI を使用したファイルオープン操作を監視する FPolicy の設定
fpolicy monitor add コマンドを使用して、ファイルオープン操作を監視するようにファイルポ
リシーを設定できます。この CLI コマンドは、CIFS および NFS 要求の監視対象イベントリストに
ファイルオープン操作を追加します。
手順
1. ファイルオープン操作を監視するには、次の CLI コマンドを入力します。
fpolicy monitor add PolicyName open
ONTAPI を使用したファイルオープン操作を監視する FPolicy の設定
ONTAPI コールを使用して、ファイルオープン操作を監視するようにファイルポリシーを設定でき
ます。
手順
1. ファイルオープン操作の監視オプションを設定するには、次の ONTAPI コールを使用します。
fpolicy-operations-list-set
monitored-operations 入力名フィールドの monitored-operation-info[]には、file-open 操作を指
定する必要があります。 monitored-protocols には、監視する特定のプロトコルを指定する必要
があります。ファイルオープン操作の場合は、NFS と CIFS の両方の要求を監視できます。
ファイルオープン要求を監視するための FPolicy の登録
ファイルオープン操作を監視するには、FPolicy サーバを登録するときにファイルオープン操作を
登録します。
手順
1. ファイルオープン操作のスクリーニングを有効にするには、ストレージシステムに FPolicy サ
ーバを登録するときに、FP_registration()コールの OpsToScreen ビットマスクに次のビット
を設定します。
FS_OP_OPEN 0x0001
タスクの結果
登録が完了すると、FPolicy サーバはすべてのファイルオープン要求を監視します。
186 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ファイル作成要求の監視
ファイル作成操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。
ファイル作成要求が CIFS または NFS クライアントからストレージシステムに送信されると、ストレ
ージシステムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理に
は、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしてい
るかどうかのチェックが含まれます。ファイル拡張子が FPolicy の対象拡張子リストに含まれている
場合、ファイルがチェックに合格すると、要求が FPolicy サーバに転送されます。 FPolicy サーバ
はこの要求を受信し、ポリシー設定に基づいてファイル作成要求を許可またはブロックします。
FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイル
作成操作を追加する必要があります。ファイル作成操作を監視するには、CLI または ONTAPI を
使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
CLI を使用したファイル作成操作を監視する FPolicy の設定
ファイル作成操作を監視するようにファイルポリシーを設定するには、fpolicy monitor add コ
マンドを使用します。
タスク概要
この CLI コマンドを使用すると、CIFS および NFS 要求の監視対象イベントリストにファイル作成
操作が追加されます。
手順
1. ファイル作成操作を監視するには、次の CLI コマンドを使用します。
fpolicy monitor add PolicyName create
ONTAPI を使用したファイル作成操作を監視する FPolicy の設定
ONTAPI コールを使用して、ファイル作成操作を監視するようにファイルポリシーを設定できま
す。
手順
1. ファイル作成操作の監視オプションを設定するには、fpolicy-operations-list-set
ONTAPI コールを使用します。
monitored-operations 入力名フィールドの monitored-operation-info[]には、file-create 操作を指
定する必要があります。 monitored-protocols には、監視する特定のプロトコルを指定する必要
があります。ファイル作成操作の場合は、NFS と CIFS の両方の要求を監視できます。
CIFS を使用したファイルアクセス | 187
ファイル作成要求を監視するための FPolicy の登録
ファイル作成操作を監視するには、FPolicy サーバを登録するときにファイル作成操作を登録しま
す。
手順
1. ファイル作成操作のスクリーニングを有効にするには、ストレージシステムに FPolicy サーバ
を登録するときに、FP_registration()コールの OpsToScreen ビットマスクに次のビットを設
定します。
FS_OP_CREATE 0x0002
タスクの結果
登録が完了すると、FPolicy サーバはすべてのファイル作成要求を監視します。
ファイルクローズ要求の監視
ファイルクローズ操作が行われると、FPolicy サーバはストレージシステムから通知を受信しま
す。
ファイルクローズ要求が CIFS または NFSv4 クライアントからストレージシステムに送信される
と、ストレージシステムはそのファイルに関連するすべてのチェックを実行します。関連するチェッ
ク処理には、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセ
スしているかどうかのチェックが含まれます。ファイルがチェックに合格すると、要求が FPolicy サ
ーバに転送されます。ファイルがクローズされると、ストレージシステムは FPolicy サーバにその
ことを通知します。
FPolicy サーバはファイルクローズ操作をブロックすることはできません。
FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイル
クローズ操作を追加する必要があります。ファイルクローズ操作を監視するには、CLI または
ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
NFSv4 のオープンダウングレード操作もクローズ操作とみなされ、この操作が実行された場合は
通知が送信されます。
NFSv4 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上で
no_i2p オプションを off に設定します。これにより、ボリュームで inode / パス間のファイル名変
換が有効になります。
注: Data ONTAP 7.3 リリース以降、FPolicy では NFSv4 プロトコルがサポートされています。
188 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
CLI を使用したファイルクローズ操作を監視する FPolicy の設定
fpolicy monitor add CLI コマンドを使用すると、ファイルクローズ操作を監視するようにファイ
ルポリシーを設定できます。
タスク概要
この CLI コマンドは、CIFS および NFS 要求の監視対象イベントリストにファイルクローズ操作を
追加します。
手順
1. ファイルクローズ操作を監視するには、次の CLI コマンドを使用します。
fpolicy monitor add PolicyName close
ONTAPI を使用したファイルクローズ操作を監視する FPolicy の設定
ONTAPI コールを使用して、ファイルクローズ操作を監視するようにファイルポリシーを設定でき
ます。
手順
1. ファイルクローズ操作の監視オプションを設定するには、次の ONTAPI コールを使用します。
fpolicy-operations-list-set
monitored-operations 入力名フィールドの monitored-operation-info[]には、file-close 操作を指
定する必要があります。 monitored-protocols には、監視する特定のプロトコルを指定する必要
があります。ファイルクローズ操作の場合は、NFS と CIFS の両方の要求を監視できます。
ファイルクローズ要求を監視するための FPolicy の登録
ファイルクローズ操作を監視するには、FPolicy サーバを登録するときにファイルクローズ操作を
登録します。
手順
1. ファイルクローズ操作のスクリーニングを有効にするには、ストレージシステムに FPolicy サー
バを登録するときに、FP_registration()コールの OpsToScreen ビットマスクに次のビットを
設定します。
FS_OP_CLOSE 0x0008
タスクの結果
登録が完了すると、FPolicy サーバはすべてのファイルクローズ要求を監視します。
CIFS を使用したファイルアクセス | 189
ファイル名変更要求の監視
ファイル名変更操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。
ファイル名変更要求が CIFS または NFS クライアントからストレージシステムに送信されると、スト
レージシステムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理
には、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスして
いるかどうかのチェックが含まれます。ファイル拡張子が FPolicy の対象拡張子リストに含まれて
いる場合、ファイルがチェックに合格すると、要求が FPolicy サーバに転送されます。
名前変更要求が FPolicy サーバに送信されるのは、古い拡張子または新しい拡張子が対象拡張
子リストに記述されている場合のみです。つまり、ファイル名が test.txt から test.mp3 に変更
される場合は、一方の拡張子、または両方の拡張子（.txt または.mp3）が対象拡張子リストに記
述されている必要があります。
FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル名変更要求を許可またはブ
ロックします。
FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイル
名変更操作を追加する必要があります。ファイル名変更操作を監視するには、CLI または
ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
CLI を使用したファイル名変更操作を監視する FPolicy の設定
ファイル名変更操作を監視するには、fpolicy monitor add CLI コマンドを使用します。
タスク概要
この CLI コマンドを使用すると、CIFS および NFS 要求の監視対象イベントリストにファイル名変
更操作が追加されます。
手順
1. ファイル名変更操作を監視するには、次の CLI コマンドを使用します。
fpolicy monitor add PolicyName rename
ONTAPI を使用したファイル名変更操作を監視する FPolicy の設定
fpolicy-operations-list-set ONTAPI コールを使用して、ファイル名変更操作を監視するようにファイ
ルポリシーを設定できます。
手順
1. ファイル名変更操作の監視オプションを設定するには、fpolicy-operations-list-set
ONTAPI コールを使用します。
monitored-operations 入力名フィールドの monitored-operation-info[]には、filerename 操作を指定する必要があります。 monitored-protocols には、監視する特定のプロトコ
190 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ルを指定する必要があります。ファイル作成操作の場合は、NFS と CIFS の両方の要求を監
視できます。
ファイル名変更要求を監視するための FPolicy の登録
ファイル名変更操作を監視するには、FPolicy サーバを登録するときにファイル名変更操作を登録
します。
手順
1. ファイル名変更操作のスクリーニングを有効にするには、ストレージシステムに FPolicy サー
バを登録するときに、FP_registration()コールの OpsToScreen ビットマスクに次のビットを
設定します。
FS_OP_RENAME 0x0004
タスクの結果
登録が完了すると、FPolicy サーバはすべてのファイル名変更要求を監視します。
ファイル削除要求の監視
ファイル削除操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。
ファイル削除要求が CIFS または NFS クライアントからストレージシステムに送信されると、ストレ
ージシステムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理に
は、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしてい
るかどうかのチェックが含まれます。チェックが完了し、ファイルがチェックに合格すると、要求通知
が FPolicy サーバに送信されます。 FPolicy サーバはこの要求を受信し、ポリシー設定に基づい
てファイル削除要求を許可またはブロックします。
FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイル
削除操作を追加する必要があります。ファイル削除操作を監視するには、CLI または ONTAPI を
使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上で
no_i2p オプションを off に設定します。これにより、ボリュームで inode / パス間のファイル名変換
が有効になります。
CLI を使用したファイル削除操作を監視する FPolicy の設定
ファイル削除操作を監視するには、fpolicy monitor CLI コマンドを使用します。
タスク概要
この CLI コマンドは、CIFS および NFS 要求の監視対象イベントリストにファイル削除操作を追加
します。
手順
1. ファイル削除操作を監視するには、次の CLI コマンドを使用します。
CIFS を使用したファイルアクセス | 191
fpolicy monitor add PolicyName delete
ONTAPI を使用したファイル削除操作を監視する FPolicy の設定
ファイル削除操作を監視するには、fpolicy-operations-list-set ONTAPI コールを使用します。
手順
1. ファイル削除操作の監視を設定するには、fpolicy-operations-list-setONTAPI コール
を使用します。
monitored-operations 入力名フィールドの monitored-operation-info[]には、file-delete 操作を指
定する必要があります。 monitored-protocols には、監視する特定のプロトコルを指定する必要
があります。ファイル削除操作の場合は、NFS と CIFS の両方の要求を監視できます。
ファイル削除要求を監視するための FPolicy の登録
ファイル削除操作を監視するには、FPolicy サーバを登録するときにファイル削除操作を登録しま
す。
手順
1. ファイル削除操作のスクリーニングを有効にするには、ストレージシステムに FPolicy サーバ
を登録する場合に、FP_registration()コールの OpsToScreen ビットマスクに次のビットを設
定します。
FS_OP_DELETE 0x0010
タスクの結果
登録が完了すると、FPolicy サーバはすべてのファイル削除要求を監視します。
ファイル書き込み要求の監視
ファイル書き込み操作が行われると、FPolicy サーバはストレージシステムから通知を受信しま
す。
ファイル書き込み要求が CIFS または NFS クライアントからストレージシステムに送信されると、
ストレージシステムはそのファイルに関連するすべてのチェックを実行します。関連するチェック
処理には、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセス
しているかどうかのチェックが含まれます。ファイル拡張子が FPolicy の対象拡張子リストに含まれ
ている場合、ファイルがチェックに合格すると、要求が FPolicy サーバに転送されます。
FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル書き込み要求を許可または
ブロックします。
FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイル
書き込み操作を追加する必要があります。ファイル書き込み操作を監視するには、CLI または
ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
192 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上で
no_i2p オプションを off に設定します。この設定により、ボリュームで inode / パス間のファイル名
変換が有効になります。
CLI を使用したファイル書き込み操作を監視する FPolicy の設定
fpolicy monitor CLI コマンドを使用して、ファイル書き込み操作を監視できます。
タスク概要
この CLI コマンドは、CIFS および NFS 要求の監視対象イベントリストにファイル書き込み操作を
追加します。
手順
1. ファイル書き込み操作を監視するには、次の CLI コマンドを使用します。
fpolicy monitor add PolicyName write
ONTAPI を使用したファイル書き込み操作を監視する FPolicy の設定
fpolicy-operations-list-set ONTAPI コールを使用して、ファイル書き込み操作を監視するようにファ
イルポリシーを設定できます。
手順
1. ファイル書き込み操作を監視するには、 fpolicy-operations-list-set ONTAPI コールを
使用します。
monitored-operations 入力名フィールドの monitored-operation-info[]には、write 操作を指定す
る必要があります。 monitored-protocols には、監視する特定のプロトコルを指定する必要があ
ります。ファイル書き込み操作の場合は、NFS と CIFS の両方の要求を監視できます。
ファイル書き込み要求を監視するための FPolicy の登録
ファイル書き込み操作を監視するには、FPolicy サーバを登録するときにファイル書き込み操作を
登録します。
手順
1. ファイル書き込み操作のスクリーニングを有効にするには、ストレージシステムに FPolicy サー
バを登録するときに、FP_registration()コールの OpsToScreen ビットマスクに次のビットを
設定します。
FS_OP_WRITE 0x4000
タスクの結果
登録が完了すると、FPolicy サーバはすべてのファイル書き込み要求を監視します。
CIFS を使用したファイルアクセス | 193
ファイル読み取り要求の監視
ファイル読み取り操作が行われると、FPolicy サーバはストレージシステムから通知を受信しま
す。
ファイル読み取り要求が CIFS または NFS クライアントからストレージシステムに送信されると、ス
トレージシステムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処
理には、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスし
ているかどうかのチェックが含まれます。ファイル拡張子が FPolicy の対象拡張子リストに含まれて
いる場合、ファイルがチェックに合格すると、要求が FPolicy サーバに転送されます。
FPolicy サーバはこの要求を受信し、ポリシー設定に基づいてファイル読み取り要求を許可または
ブロックします。
FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイル
読み取り操作を追加する必要があります。ファイル読み取り操作を監視するには、CLI または
ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上で
no_i2p オプションを off に設定します。これにより、ボリュームで inode / パス間のファイル名変
換が有効になります。
CLI を使用したファイル読み取り操作を監視する FPolicy の設定
ファイル読み取り操作を監視するには、fpolicy monitor CLI コマンドを使用します。
タスク概要
この CLI コマンドは、CIFS および NFS 要求の監視対象イベントリストにファイル読み取り操作を
追加します。
手順
1. ファイル読み取り操作を監視するには、次の CLI コマンドを使用します。
fpolicy monitor add PolicyName read
ONTAPI を使用したファイル読み取り操作を監視する FPolicy の設定
ファイル読み取り操作を監視するには、fpolicy-operations-list-set ONTAPI コールを使
用します。
手順
1. ファイル読み取り操作の監視オプションを設定するには、fpolicy-operations-list-set
ONTAPI コールを使用します。
monitored-operations 入力名フィールドの monitored-operation-info[]には、read 操作を指定す
る必要があります。 monitored-protocols には、監視する特定のプロトコルを指定する必要があ
ります。ファイル読み取り操作の場合は、NFS と CIFS の両方の要求を監視できます。
194 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ファイル読み取り要求を監視するための FPolicy の登録
ファイル読み取り操作を監視するには、FPolicy サーバを登録するときにファイル読み取り操作を
登録します。
手順
1. ファイル読み取り操作のスクリーニングを有効にするには、ストレージシステムに FPolicy サー
バを登録するときに、FP_registration()コールの OpsToScreen ビットマスクに次のビットを
設定します。
FS_OP_READ 0x2000
タスクの結果
登録が完了すると、FPolicy サーバはすべてのファイル読み取り要求を監視します。
ハードリンク要求の監視（NFS のみ）
ファイルのハードリンク操作が行われると、FPolicy サーバはストレージシステムから通知を受信し
ます。
ファイルのハードリンク要求が NFS クライアントからストレージシステムに送信されると、ストレー
ジシステムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理に
は、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしてい
るかどうかのチェックが含まれます。ファイル拡張子が FPolicy の対象拡張子リストに含まれている
場合、ファイルがチェックに合格すると、要求が FPolicy サーバに転送されます。 FPolicy サーバ
はこの要求を受信し、ポリシー設定に基づいてファイルのハードリンク要求を許可またはブロックし
ます。
FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイル
のハードリンク操作を追加する必要があります。ファイルのハードリンク操作を監視するには、CLI
または ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできま
す。
CLI を使用したファイルのハードリンク操作を監視する FPolicy の設定
fpolicy monitor CLI コマンドを使用して、ファイルのハードリンク操作を監視するようにファイ
ルポリシーを設定できます。
手順
1. ファイルのハードリンク操作を監視するには、次の CLI コマンドを使用します。
fpolicy monitor add PolicyName link
タスクの結果
この CLI コマンドを使用すると、NFS 要求の監視対象イベントリストにファイルのハードリンク操作
を追加できます。
CIFS を使用したファイルアクセス | 195
ONTAPI を使用したファイルのハードリンク操作を監視する FPolicy の設定
ファイルのハードリンク操作を監視するには、fpolicy-operations-list-set ONTAPI コール
を使用します。
手順
1. ファイルのハードリンク操作の監視オプションを設定するには、fpolicy-operations-listset ONTAPI コールを使用します。
monitored-operations 入力名フィールドの monitored-operation-info[]には、link 操作を指定する
必要があります。 monitored-protocols には、監視する特定のプロトコルを指定する必要があり
ます。ファイルのハードリンク操作の場合は、NFS 要求のみを監視できます。
ファイルのハードリンク要求を監視するための FPolicy の登録
ファイルのハードリンク操作を監視するには、FPolicy サーバを登録するときにファイルのハードリ
ンク操作を登録します。
手順
1. ファイルのハードリンク操作のスクリーニングを有効にするには、ストレージシステムに
FPolicy サーバを登録するときに、FP_registration()コールの OpsToScreen ビットマスクに
次のビットを設定します。
FS_OP_LINK 0x0400
タスクの結果
登録が完了すると、FPolicy サーバはすべてのファイルのハードリンク要求を監視します。
シンボリックリンク要求の監視（NFS のみ）
ファイルのシンボリックリンク操作が行われると、FPolicy サーバはストレージシステムから通知を
受信します。
ファイルシンボリックリンク要求が NFS クライアントからストレージシステムに送信されると、ストレ
ージシステムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理に
は、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしてい
るかどうかのチェックが含まれます。ファイル拡張子が FPolicy の対象拡張子リストに含まれている
場合、ファイルがチェックに合格すると、要求が FPolicy サーバに転送されます。 FPolicy サーバ
はこの要求を受信し、ポリシー設定に基づいてファイルのシンボリックリンク要求を許可またはブロ
ックします。
FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイル
のシンボリックリンク操作を追加する必要があります。ファイルのシンボリックリンク操作を監視す
るには、CLI または ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定する
こともできます。
196 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上で
no_i2p オプションを off に設定します。これにより、ボリュームで inode / パス間のファイル名変換
が有効になります。
CLI を使用したファイルのシンボリックリンク操作を監視する FPolicy の設定
CLI コマンドを使用すると、ファイルのシンボリックリンク操作を監視するようにファイルポリシーを
設定できます。
タスク概要
この CLI コマンドは、NFS 要求の監視対象イベントリストにファイルのシンボリックリンク操作を追
加します。
手順
1. ファイルのシンボリックリンク操作を監視するには、次の CLI コマンドを使用します。
fpolicy mon[itor] add PolicyName symlink
ONTAPI を使用したファイルのシンボリックリンク操作を監視する FPolicy の設定
ONTAPI を使用すると、ファイルのシンボリックリンク操作を監視するようにファイルポリシーを設
定できます。
手順
1. ファイルのシンボリックリンク操作の監視オプションを設定するには、fpolicy-operationslist-set ONTAPI コールを使用します。
monitored-operations 入力名フィールドの monitored-operation-info[]には、symlink 操作を指定
する必要があります。 monitored-protocols には、監視する特定のプロトコルを指定する必要が
あります。ファイルのシンボリックリンク操作の場合は、NFS と CIFS の両方の要求を監視でき
ます。
ファイルのシンボリックリンク要求を監視するための FPolicy の登録
ファイルのシンボリックリンク操作を監視するには、FPolicy サーバを登録するときにファイルのシ
ンボリックリンク操作を登録します。
手順
1. ファイルのシンボリックリンク操作のスクリーニングを有効にするには、ストレージシステムに
FPolicy サーバを登録するときに、FP_registration()コールの OpsToScreen ビットマスクに
次のビットを設定します。
FS_OP_SYMLINK 0x0800
タスクの結果
登録が完了すると、FPolicy サーバはすべてのファイルのシンボリックリンク要求を監視します。
CIFS を使用したファイルアクセス | 197
ディレクトリ削除要求の監視
ディレクトリ削除操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。
RMDIR 操作を使用して CIFS クライアントから、または UNLINK 操作を使用して NFS クライアン
トから、ディレクトリ削除要求がストレージシステムに送信されると、ストレージシステムはそのディ
レクトリに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェック、ディ
レクトリの可用性チェック、およびディレクトリに別のクライアントがアクセスしているかどうかのチェ
ックが含まれます。ディレクトリがチェックに合格すると、要求は FPolicy サーバに転送されます。
ファイルポリシーで required オプションが on に設定されている場合に、ディレクトリ削除操作が
要求されると、要求は拒否されます。
FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにディレク
トリ削除操作を追加する必要があります。ディレクトリ削除操作を監視するには、CLI または
ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
CLI を使用したディレクトリ削除操作を監視する FPolicy の設定
CLI コマンドを使用すると、ディレクトリ削除操作を監視するようにファイルポリシーを設定できま
す。
タスク概要
この CLI コマンドを使用すると、CIFS および NFS 要求の監視対象イベントリストにディレクトリ削
除操作を追加できます。
手順
1. ディレクトリ削除操作を監視するには、次の CLI コマンドを使用します。
fpolicy mon[itor] add PolicyName delete_dir
ONTAPI を使用したディレクトリ削除操作を監視する FPolicy の設定
ONTAPI コールを使用して、ディレクトリ削除操作を監視するようにファイルポリシーを設定できま
す。
手順
1. ディレクトリ削除操作の監視オプションを設定するには、fpolicy-operations-list-set
ONTAPI コールを使用します。
monitored-operations 入力名フィールドの monitored-operation-info[]には、directory-delete 操作
を指定する必要があります。 monitored-protocols には、監視する特定のプロトコルを指定する
必要があります。ディレクトリ削除操作の場合は、NFS と CIFS の両方の要求を監視できま
す。
198 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ディレクトリ削除要求を監視するための FPolicy の登録
ディレクトリ削除操作を監視するには、FPolicy サーバを登録するときにディレクトリ削除操作を登
録します。
手順
1. ディレクトリ削除操作のスクリーニングを有効にするには、ストレージシステムに FPolicy サー
バを登録するときに、FP_registration()コールの OpsToScreen ビットマスクに次のビットを
設定します。
FS_OP_DELETE_DIR 0x0020
タスクの結果
登録が完了すると、FPolicy サーバはすべてのディレクトリ削除要求を監視します。
ディレクトリ名変更要求の監視
ディレクトリ名変更操作が行われると、FPolicy サーバはストレージシステムから通知を受信しま
す。
ディレクトリ名変更要求が CIFS または NFS クライアントからストレージシステムに送信されると、
ストレージシステムはそのディレクトリに関連するすべてのチェックを実行します。関連するチェッ
ク処理には、権限チェック、ディレクトリの可用性チェック、およびディレクトリに別のクライアントが
アクセスしているかどうかのチェックが含まれます。ディレクトリがチェックに合格すると、要求は
FPolicy サーバに転送されます。ファイルポリシーで required オプションが on に設定されてい
る場合にディレクトリ名変更操作が要求されると、要求は拒否されます。
FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにディレク
トリ名変更操作を追加する必要があります。ディレクトリ名変更操作を監視するには、CLI または
ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
CLI を使用したディレクトリ名変更操作を監視する FPolicy の設定
CLI コマンドを使用すると、ディレクトリ名変更操作を監視するようにファイルポリシーを設定でき
ます。
タスク概要
この CLI コマンドは、CIFS および NFS 要求の監視対象イベントリストにディレクトリ名変更操作を
追加します。
手順
1. ディレクトリ名変更操作を監視するには、次の CLI コマンドを使用します。
fpolicy mon[itor] add PolicyName rename_dir
CIFS を使用したファイルアクセス | 199
ONTAPI を使用したディレクトリ名変更操作を監視する FPolicy の設定
ONTAPI コールを使用して、ディレクトリ名変更操作を監視するようにファイルポリシーを設定でき
ます。
手順
1. ディレクトリ名変更操作の監視オプションを設定するには、fpolicy-operations-list-set
ONTAPI コールを使用します。
monitored-operations 入力名フィールドの monitored-operation-info[]には、directory-rename 操
作を指定する必要があります。 monitored-protocols には、監視する特定のプロトコルを指定す
る必要があります。ディレクトリ名変更操作の場合は、NFS と CIFS の両方の要求を監視でき
ます。
ディレクトリ名変更要求を監視するための FPolicy の登録
ディレクトリ名変更操作を監視するには、FPolicy サーバを登録するときにディレクトリ名変更操作
を登録します。
手順
1. ディレクトリ名変更操作のスクリーニングを有効にするには、ストレージシステムに FPolicy サ
ーバを登録するときに、FP_registration()コールの OpsToScreen ビットマスクに次のビット
を設定します。
FS_OP_RENAME_DIR 0x0040
タスクの結果
登録が完了すると、FPolicy サーバはすべてのディレクトリ名変更要求を監視します。
ディレクトリ作成要求の監視
ディレクトリ作成操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。
ディレクトリ作成要求が CIFS または NFS クライアントからストレージシステムに送信されると、ス
トレージシステムはそのディレクトリに関連するすべてのチェックを実行します。関連するチェック
処理には、権限チェック、ディレクトリの可用性チェック、およびディレクトリに別のクライアントがア
クセスしているかどうかのチェックが含まれます。ディレクトリがチェックに合格すると、要求は
FPolicy サーバに転送されます。ファイルポリシーで required オプションが on に設定されてい
る場合に、ディレクトリ作成操作が要求されると、要求は拒否されます。
FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにディレク
トリ作成操作を追加する必要があります。ディレクトリ作成操作を監視するには、CLI または
ONTAPI を使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
200 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
CLI を使用したディレクトリ作成操作を監視する FPolicy の設定
CLI コマンドを使用すると、ディレクトリ作成操作を監視するようにファイルポリシーを設定できま
す。
タスク概要
この CLI コマンドを使用すると、CIFS および NFS 要求の監視対象イベントリストにディレクトリ作
成操作を追加できます。
手順
1. ディレクトリ作成操作を監視するには、次のコマンドを使用します。
fpolicy mon[itor] add PolicyName create_dir
ONTAPI を使用したディレクトリ作成操作を監視する FPolicy の設定
ONTAPI コールを使用して、ディレクトリ作成操作を監視するようにファイルポリシーを設定できま
す。
手順
1. ディレクトリ作成操作の監視オプションを設定するには、fpolicy-operations-list-set
ONTAPI コールを使用します。
monitored-operations 入力名フィールドの monitored-operation-info[]には、directory-create 操作
を指定する必要があります。 monitored-protocols には、監視する特定のプロトコルを指定する
必要があります。ディレクトリ作成操作の場合は、NFS と CIFS の両方の要求を監視できま
す。
ディレクトリ作成要求を監視するための FPolicy の登録
ディレクトリ作成操作を監視するには、FPolicy サーバを登録するときにディレクトリ作成操作を登
録します。
手順
1. ディレクトリ作成操作のスクリーニングを有効にするには、ストレージシステムに FPolicy サー
バを登録するときに、FP_registration()コールの OpsToScreen ビットマスクに次のビットを
設定します。
FS_OP_CREATE_DIR 0x0080
タスクの結果
登録が完了すると、FPolicy サーバはすべてのディレクトリ作成要求を監視します。
CIFS を使用したファイルアクセス | 201
ファイル検索要求の監視（NFS のみ）
ファイル検索操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。
ファイル検索要求が NFS または NFS クライアントからストレージシステムに送信されると、ストレ
ージシステムはそのファイルに関連するすべてのチェックを実行します。関連するチェック処理に
は、権限チェック、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしてい
るかどうかのチェックが含まれます。ファイル拡張子が FPolicy の対象拡張子リストに含まれている
場合、ファイルがチェックに合格すると、要求が FPolicy サーバに転送されます。 FPolicy サーバ
はこの要求を受信し、ポリシー設定に基づいてファイル検索要求を許可またはブロックします。
FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストにファイル
検索操作を追加する必要があります。ファイル検索操作を監視するには、CLI または ONTAPI を
使用します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
CLI を使用したファイル検索操作を監視する FPolicy の設定
CLI コマンドを使用すると、ファイル検索操作を監視するようにファイルポリシーを設定できます。
手順
1. ファイル検索操作を監視するには、次の CLI コマンドを使用します。
fpolicy mon[itor] add PolicyName lookup
ONTAPI を使用したファイル検索操作を監視する FPolicy の設定
ONTAPI コールを使用して、ファイル検索操作を監視するようにファイルポリシーを設定できま
す。
手順
1. ファイル検索操作の監視オプションを設定するには、fpolicy-operations-list-set
ONTAPI コールを使用します。
monitored-operations 入力名フィールドの monitored-operation-info[]には、lookup 操作を指定
する必要があります。 monitored-protocols には、監視する特定のプロトコルを指定する必要が
あります。ファイル検索操作の場合は、NFS 要求のみを監視できます。
ファイル検索要求を監視するための FPolicy の登録
ファイル検索操作を監視するには、FPolicy サーバを登録するときにファイル検索操作を登録しま
す。
手順
1. ファイル検索操作のスクリーニングを有効にするには、ストレージシステムに FPolicy サーバ
を登録するときに、FP_registration()コールの OpsToScreen ビットマスクに次のビットを設
定します。
FS_OP_LOOKUP 0x1000
202 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
タスクの結果
登録が完了すると、FPolicy サーバはすべてのファイル検索要求を監視します。
属性取得要求の監視（NFS のみ）
属性取得操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。
属性取得要求が NFS クライアントからストレージシステムに送信されると、ストレージシステムは
そのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェッ
ク、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチ
ェックが含まれます。ファイル拡張子が FPolicy の対象拡張子リストに含まれている場合、ファイル
がチェックに合格すると、要求が FPolicy サーバに転送されます。
FPolicy サーバはこの要求を受信し、ポリシー設定に基づいて属性取得要求を許可またはブロック
します。
FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストに属性取
得操作を追加する必要があります。属性取得操作を監視するには、CLI または ONTAPI を使用
します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上で
no_i2p オプションを off に設定します。これにより、ボリュームで inode / パス間のファイル名変換
が有効になります。
CLI を使用した属性取得操作を監視する FPolicy の設定
CLI コマンドを使用して、属性取得操作を監視するようにファイルポリシーを設定できます。
タスク概要
この CLI コマンドは、NFS 要求の監視対象イベントリストに属性取得操作を追加します。
手順
1. 属性取得操作を監視するには、次の CLI コマンドを使用します。
fpolicy mon[itor] add PolicyName getattr
ONTAPI を使用した属性取得操作を監視する FPolicy の設定
ONTAPI コールを使用して、属性取得操作を監視するようにファイルポリシーを設定できます。
手順
1. 属性取得操作の監視オプションを設定するには、fpolicy-operations-list-set ONTAPI
コールを使用します。
monitored-operations 入力名フィールドの monitored-operation-info[]には、属性取得操作を指
定する必要があります。 monitored-protocols には、監視する特定のプロトコルを指定する必要
があります。属性取得操作の場合は、NFS の要求のみを監視できます。
CIFS を使用したファイルアクセス | 203
属性取得要求を監視するための FPolicy の登録
属性取得操作を監視するには、FPolicy サーバを登録するときに属性取得操作を登録します。
手順
1. 属性取得操作のスクリーニングを有効にするには、ストレージシステムに FPolicy サーバを登
録するときに、FP_registration()コールの OpsToScreen ビットマスクに次のビットを設定し
ます。
FS_OP_GETATTR 0x0100
タスクの結果
登録が完了すると、FPolicy サーバはすべての属性取得要求を監視します。
属性設定要求の監視
属性設定操作が行われると、FPolicy サーバはストレージシステムから通知を受信します。
属性設定要求が NFS クライアントからストレージシステムに送信されると、ストレージシステムは
そのファイルに関連するすべてのチェックを実行します。関連するチェック処理には、権限チェッ
ク、ファイルの可用性チェック、およびファイルに別のクライアントがアクセスしているかどうかのチ
ェックが含まれます。ファイル拡張子が FPolicy の対象拡張子リストに含まれている場合、ファイル
がチェックに合格すると、要求が FPolicy サーバに転送されます。 FPolicy サーバはこの要求を受
信し、ポリシー設定に基づいて属性設定要求を許可またはブロックします。
属性設定要求が NT_TRANSACT_SET_SECURITY_DESC 操作を使用して CIFS クライアントからスト
レージシステムに送信された場合、CIFS クライアントによってセキュリティ記述子が変更されてい
れば、ストレージシステムは属性設定通知を送信します。セキュリティ記述子情報には所有者、
グループ、随意 Access Control List（DACL）、およびシステム Access Control List（SACL）情報な
どが含まれています。 Windows ベースの CIFS クライアントが
NT_TRANSACT_SET_SECURITY_DESC 操作をストレージシステムに送信した場合、セキュリティ記
述子情報が変更されていなければ、要求は FPolicy サーバに転送されません。
FPolicy サーバがストレージシステムから通知を受信するには、監視対象の操作リストに属性設
定操作を追加する必要があります。属性設定操作を監視するには、CLI または ONTAPI を使用
します。ビットマスクを使用して、FPolicy サーバから設定することもできます。
NFS 操作に対してファイル拡張子ベースのスクリーニングを有効にするには、ボリューム上で
no_i2p オプションを off に設定します。これにより、ボリュームで inode / パス間のファイル名変
換が有効になります。
CLI を使用した属性設定操作を監視する FPolicy の設定
CLI コマンドを使用すると、属性設定操作を監視するようにファイルポリシーを設定できます。
タスク概要
この CLI コマンドは、NFS 要求の監視対象イベントリストに属性設定操作を追加します。
204 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
手順
1. 属性設定操作を監視するには、次の CLI コマンドを使用します。
fpolicy mon[itor] add PolicyName setattr
ONTAPI を使用した属性設定操作を監視する FPolicy の設定
ONTAPI コールを使用して、属性設定操作を監視するようにファイルポリシーを設定できます。
手順
1. 属性設定操作の監視オプションを設定するには、fpolicy-operations-list-set ONTAPI
コールを使用します。
monitored-operations 入力名フィールドの monitored-operation-info[]には、属性設定操作を指
定する必要があります。 monitored-protocols には、監視する特定のプロトコルを指定する必要
があります。属性設定操作の場合は、NFS の要求のみを監視できます。
属性設定要求を監視するための FPolicy の登録
属性設定操作を監視するには、FPolicy サーバを登録するときにビットマスクを使用します。
手順
1. 属性設定操作のスクリーニングを有効にするには、ストレージシステムに FPolicy サーバを登
録するときに、FP_registration()コールの OpsToScreen ビットマスクに次のビットを設定し
ます。
FS_OP_SETATTR 0x0200
タスクの結果
登録が完了すると、FPolicy サーバはすべての属性設定要求を監視します。
ボリュームによるスクリーニング
FPolicy を使用すると、スクリーニングが必要なボリュームを含めるか、または除外することによ
り、ポリシーを特定のボリュームリストに制限することができます。
対象リストを使用すると、指定されたボリュームリストに対応する通知を要求できます。除外リスト
を使用すると、指定されたボリュームリストを除くすべてのボリュームに対応する通知を要求でき
ます。
注: 対象リストと除外リストが両方とも設定されている場合、対象リストは無視されます。
ポリシーごとに異なる対象ボリュームや除外ボリュームを設定できます。
ファイルポリシーのデフォルトのボリュームリストは、次のとおりです。
•
•
すべてのボリュームは対象リストにリスト表示されます。
除外リストに表示されるボリュームはありません。
CIFS を使用したファイルアクセス | 205
除外リストおよび対象リストには、次の操作を実行できます。
•
•
•
•
•
•
ボリュームリストをデフォルトリストにリセットまたはリストアする
対象リストまたは除外リストに含まれるボリュームを表示する
対象リストまたは除外リストにボリュームを追加する
対象リストまたは除外リストからボリュームを削除する
新しいボリュームリストを使用して既存リストを設定または置き換えたりする
ワイルドカード文字を使用して、ファイルポリシーのボリュームリストを表示する
コマンドラインから、対象ボリュームまたは除外ボリュームのリストを表示したり、変更したりできま
す。
ファイルのボリュームリストをリセットまたは表示するコマンドの構文は、次のとおりです。
fpolicy vol[ume] {inc[lude]|exc[lude]} {reset|show} PolicyName
ファイルのボリュームを処理するコマンドの構文は、次のとおりです。
fpolicy vol[ume] {inc[lude]|exc[lude]} {add| remove|set|eval} PolicyName
vol-spec
include は、対象リストを変更する場合に使用します。
exclude は、除外リストを変更する場合に使用します。
reset は、ファイルのボリュームリストをデフォルトリストにリストアする場合に使用します。
show は、入力された除外または対象リストを表示する場合に使用します。
add は、除外または対象リストにボリュームを追加する場合に使用します。
remove は、除外または対象リストからボリュームを削除する場合に使用します。
set は、既存リストを新しいボリュームリストで置き換える場合に使用します。
eval は、ワイルドカード文字を使用して、ファイルポリシーのボリュームリストを表示する場合に
使用します。
PolicyName は、ファイルポリシーの名前です。
vol-spec は、変更するボリュームリストの名前です。
ボリュームによるスクリーニングに使用するワイルドカードの情報
疑問符（?）またはアスタリスク（*）ワイルドカード文字を使用して、ボリュームを指定できます。
疑問符（?）は、1 つの文字を表します。たとえば、vol1、vol2、vol23、voll4 が含まれているボ
リュームリストで vol?を入力すると、vol1 と vol2 が一致します。
アスタリスク（*）は、指定された文字列を含む任意の文字数の文字列を表します。ファイルスクリ
ーニングから除外するボリュームのリストに*test*を入力すると、test_vol や vol_test など、
この文字列を含むすべてのボリュームが除外されます。
206 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ボリュームリストの表示方法
ファイルポリシーに関する指定の対象ボリュームリストまたは除外ボリュームリストを表示するに
は、show または eval コマンドを使用します。
show コマンドを使用したボリュームの表示
指定されたボリュームのリストを表示するには、show コマンドを使用します。
タスク概要
fpolicy volume コマンドの show サブコマンドを使用すると、コマンドラインで入力して指定した
ボリュームのリストが表示されます。ワイルドカード文字を使用して一連のボリュームを指定して、
show コマンドを実行すると、入力したワイルドカード文字が表示されます。たとえば、vol*が表示
されます。
手順
1. ファイルポリシーに指定された除外ボリュームのリストを表示するには、次のコマンドを入力し
ます。
fpolicy vol[ume] exc[lude] show PolicyName
タスクの結果
このコマンドを入力すると、Data ONTAP は、指定したファイルの除外リストのエントリのリストを表
示します。この表示には、ボリューム名と一連のボリュームを記述したワイルドカード文字（vol*な
ど）が含まれることがあります。
注: ファイルスクリーニングの対象となるファイルリストからボリュームを表示するには、
exclude（exc）オプションでなく、include（inc）オプションを使用します。
eval コマンドを使用したボリュームの表示
指定されたボリュームのリストを表示するには、eval コマンドを使用します。
タスク概要
fpolicy volume コマンドの eval サブコマンドを使用すると、入力したリストに含まれたワイルド
カード文字が評価されたあと、指定されたボリュームが表示されます。たとえば、リストに vol*が
含まれている場合、eval サブコマンドを使用すると、文字列 vol を含んだすべてのボリューム
（vol1、vol22、vol_sales など）が表示されます。
手順
1. ワイルドカード文字を評価して、ファイルポリシーの除外ボリュームのリストを表示するには、
次のコマンドを入力します。
fpolicy vol[ume] exc[lude] eval PolicyName
CIFS を使用したファイルアクセス | 207
タスクの結果
このコマンドを入力すると、Data ONTAP はワイルドカード文字を評価して、指定されたファイルの
除外リストのボリュームのリストを表示します。たとえば、vol*を入力した場合は、文字列 vol を含
むすべてのボリューム（vol1、vol22、vol_sales など）が表示されます。
注: eval コマンドを使用して、ファイルスクリーニングの対象となるファイルリストを表示するに
は、exclude（exc）オプションでなく include（inc）オプションを使用します。
リストへのボリュームの追加方法
対象ボリュームリストまたは除外ボリュームリストにボリュームを追加することができます。
対象リストへのボリュームの追加
対象ボリュームリストにボリュームを追加するには、fpolicy volume include add CLI コマン
ドを使用します。
手順
1. ファイルポリシーのスクリーニング対象ボリュームリストにボリュームを追加するには、次のコ
マンドを入力します。
fpolicy volume include add PolicyName vol-spec
タスクの結果
対象リストに追加されたボリュームのファイルは、そのポリシーが有効になっている場合に必ずフ
ァイルスクリーニングサーバによってスクリーニングされます。
例
スクリーニング対象ボリュームリストに vol1、vol2、vol3 を含めるには、次のコマンドを入
力します。
fpolicy vol inc add imagescreen vol1,vol2,vol3
リストに追加されたボリューム vol1、vol2、および vol3 内では、ポリシー imagescreen
によってスクリーニングが実行されます。
除外リストへのボリュームの追加
除外ボリュームリストにボリュームを追加するには、fpolicy volume exclude add CLI コマン
ドを使用します。
手順
1. ファイルポリシーでスクリーニングされるボリュームの除外リストにボリュームを追加するには、
次のコマンドを入力します。
fpolicy volume exclude add PolicyName vol-spec
208 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
タスクの結果
そのポリシーが有効になると、（別の有効なファイルスクリーニングポリシーで逆の設定がされて
いないかぎり）除外リストに追加したボリュームのファイルは、ファイルスクリーニングサーバによ
ってスクリーニングされません。
例
スクリーニングされるボリュームリストから vol4、vol5、vol6 を除外するには、次のコマン
ドを入力します。
fpolicy vol exc add default vol4,vol5,vol6
これらのボリュームを除外リストに追加すると、変更されたデフォルトポリシーはボリューム
vol4、vol5、vol6 でファイルスクリーニングを実行しなくなります。
リストからのボリュームの削除方法
対象ボリュームリストまたは除外ボリュームリストからボリュームを削除できます。
対象リストからのボリュームの削除
対象ボリュームリストからボリュームを削除するには、fpolicy volume include remove CLI
コマンドを使用します。
手順
1. ファイルスクリーニングポリシーの対象ボリュームリストからボリュームを削除するには、次の
コマンドを入力します。
fpolicy volume include remove PolicyName vol-spec
例
fpolicy volume include remove default vol4
ボリューム vol4 内のファイルは、スクリーニングされません。
除外リストからのボリュームの削除
除外ボリュームリストからボリュームを削除するには、fpolicy volume exclude remove CLI
コマンドを使用します。
手順
1. ファイルスクリーニングポリシーの除外ボリュームリストからボリュームを削除するには、次の
コマンドを入力します。
fpolicy vol[ume] exc[lude] remove PolicyName vol-spec
CIFS を使用したファイルアクセス | 209
例
fpolicy volume exclude remove default vol4
対象リストで指定されたボリュームがない場合、ボリューム vol4 内のファイルはスクリーニン
グされません（たとえば、対象リストでボリューム vol1 が指定されている場合は、リストから
vol4 を削除したあとも、ボリューム vol4 はスクリーニングされません）。
ボリュームリストの指定または置き換え方法
対象リストおよび除外リストを指定または置き換えます。
対象ボリュームリストの設定
対象ボリュームリストを設定するには、fpolicy volume include set CLI コマンドを使用しま
す。
手順
1. ファイルポリシーの対象ボリュームリスト全体を設定または置き換えるには、次のコマンドを入
力します。
fpolicy volume include set PolicyName vol-spec
このコマンドを使用して入力した新しいボリュームリストが、対象ボリュームの既存のリストに
置き換わります。その結果、新しいボリュームだけがスクリーニングの対象となります。
タスクの結果
注: 対象リスト内にボリュームが含まれないようにするには、次のように set オプションを使用し
ます。
fpolicy vol inc set PolicyName ""
ただし、このコマンドはポリシーを無効にした場合と同じ結果になります。
除外ボリュームリストの設定
除外ボリュームリストを設定するには、fpolicy volume exclude set CLI コマンドを使用しま
す。
手順
1. ファイルポリシーの除外ボリュームリスト全体を設定または置き換えるには、次のコマンドを入
力します。
fpolicy volume exclude set PolicyName vol-spec
このコマンドを使用して入力した新しいボリュームリストが、除外するボリュームの既存のリスト
に置き換わります。その結果、新しいボリュームだけがスクリーニングから除外されます。
210 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
リスト内のボリュームのリセット方法
対象または除外ボリュームリスト内のボリュームを指定または置き換えることができます。
対象ボリュームリストのリセット
対象ボリュームリストをリセットするには、fpolicy volume include reset CLI コマンドを使用
します。
手順
1. ファイルポリシー用の除外または対象リスト内のすべてのエントリをデフォルト値にリセットする
には、次のコマンドを入力します。
fpolicy volume include reset PolicyName
対象リスト内のすべてのエントリがリセットされます。つまり、対象リスト内のすべてのボリュー
ムが削除されることになります。
除外ボリュームリストのリセット
除外ボリュームリストをリセットするには、CLI コマンドを使用します。
手順
1. ファイルポリシーの除外リスト内のすべてのエントリをデフォルト値にリセットするには、次のコ
マンドを入力します。
fpolicy vol[ume] exc[lude] reset PolicyName
タスクの結果
除外リスト内のすべてのボリュームが削除されます。
拡張子によるスクリーニング
FPolicy を使用すると、スクリーニングする必要がある拡張子を含めるか、または除外することによ
り、ポリシーを特定のファイル拡張子リストに制限できます。
対象リストを使用すると、指定されたファイル拡張子に対応する通知を要求できます。
対象リストと除外リストを両方指定できます。除外リスト内の拡張子が最初にチェックされます。要
求されたファイルの拡張子が除外リストに含まれていない場合は、対象リストがチェックされます。
ファイル拡張子が対象リストに記述されている場合は、ファイルがスクリーニングされます。ファイ
ル拡張子が対象リストに記述されていない場合は、スクリーニングは行われないで、要求が許可さ
れます。
注: スクリーニングに使用できるファイル名拡張子の最大長は、260 文字です。
拡張子によるスクリーニングの基準となるのは、ファイル名の最後のピリオド（.）のあとの文字列
のみです。たとえば、ファイル file1.txt.name.jpg のファイルアクセス通知が有効になるの
は、ファイルポリシーに.jpg 拡張子が設定されている場合のみです。
CIFS を使用したファイルアクセス | 211
拡張子によるスクリーニング機能は、ポリシーベースとなります。したがって、ポリシーごとに異な
る拡張子を指定できます。
ファイルポリシーのデフォルトの拡張子リストは、次のようになります。
•
•
すべてのファイル拡張子は対象リストにリスト表示されます。
除外リストに表示されるファイル拡張子はありません。
除外リストおよび対象リストには、次の操作を実行できます。
•
•
•
•
•
•
拡張子リストをデフォルトリストにリセットまたはリストアする
新しい拡張子リストを使用して既存リストを設定したり、置き換えたりする
対象リストまたは除外リストに拡張子を追加する
対象リストまたは除外リストから拡張子を削除する
対象リストまたは除外リストに含まれる拡張子を表示する
ワイルドカード文字を使用して、ファイルポリシーの拡張子リストを表示する
コマンドラインから、対象または除外拡張子リストを表示したり、変更したりできます。
ファイル拡張子リストをリセットまたは表示するコマンドの構文は、次のとおりです。
fpolicy extensions { include | exclude } { reset | show } PolicyName
ファイル拡張子リストを処理するコマンドの構文は、次のとおりです。
fpolicy extensions { include | exclude } { set | add | remove } PolicyName
ext-list
include は、対象リストを変更する場合に使用します。
exclude は、除外リストを変更する場合に使用します。
reset は、ファイル拡張子リストをデフォルトリストにリストアする場合に使用します。
show は、入力された除外または対象リストを表示する場合に使用します。
set は、既存リストを新しい拡張子リストで置き換える場合に使用します。
add は、除外または対象リストに拡張子を追加する場合に使用します。
remove は、除外または対象リストから拡張子を削除する場合に使用します。
PolicyName は、ファイルポリシーの名前です。
ext-list は、変更する拡張子リストです。
注: 拡張子ベースのスクリーニングは、ディレクトリ作成、ディレクトリ削除、ディレクトリ名変更な
ど、ディレクトリ操作に対しては実行されません。
拡張子によるスクリーニングでのワイルドカードの使用
ファイル拡張子を指定する場合は、疑問符（?）ワイルドカードを使用できます。
疑問符（?）ワイルドカード文字が文字列の先頭に使用されている場合は、単一の文字を表します。
文字列の末尾に使用されている場合は、任意の個数の文字列を表します。
212 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
例：
•
•
•
ファイルスクリーニングの対象となるファイル拡張子リストに「?s」と入力すると、s で終わる 2
文字のファイル拡張子がすべて対象となります（as や js 拡張子など）。
ファイルスクリーニングの対象となるファイル拡張子リストに「??m」と入力すると、m で終わる 3
文字のファイル拡張子がすべて対象となります（htm や vtm 拡張子など）。
ファイルスクリーニングの対象となるファイル拡張子リストに「j?」と入力すると、j で始まるファ
イル拡張子がすべて対象となります（js、jpg、jpe 拡張子など）。
拡張子リストの表示方法
対象および除外拡張子リストを表示するには、fpolicy extensions CLI コマンドを使用します。
対象リスト内の拡張子リストの表示
対象拡張子リストに含まれる拡張子リストを表示するには、fpolicy extensions include
show CLI コマンドを使用します。
手順
1. ファイルポリシーの対象となるファイル拡張子のリストを表示するには、次のコマンドを入力し
ます。
fpolicy extensions include show PolicyName
タスクの結果
このコマンドを入力すると、Data ONTAP は指定したファイルの対象リストに含まれる拡張子リスト
を表示します。
除外リスト内の拡張子リストの表示
除外拡張子リストに含まれる拡張子リストを表示するには、fpolicy extensions exclude
show CLI コマンドを使用します。
手順
1. ファイルポリシーで除外されるファイル拡張子のリストを表示するには、次のコマンドを入力し
ます。
fpolicy extensions exclude show PolicyName
タスクの結果
このコマンドを入力すると、Data ONTAP は、指定したファイルの除外リストの拡張子のリストを表
示します。
CIFS を使用したファイルアクセス | 213
リストへの拡張子の追加方法
対象および除外拡張子リストに拡張子を追加するには、fpolicy extensions CLI コマンドを使
用します。
対象リストへの拡張子の追加
対象拡張子リストに拡張子を追加するには、fpolicy extensions include CLI コマンドを使
用します。
手順
1. ファイルポリシーでスクリーニングされるファイル拡張子のリストにファイル拡張子を追加する
には、次のコマンドを入力します。
fpolicy extensions include add PolicyName ext-list
例
fpolicy ext inc add imagescreen jpg,gif,bmp
リストに拡張子が追加されたあとに、ポリシー imagescreen が有効になると、ファイル拡張子
が.jpg、.gif、または.bmp のすべてのファイルがスクリーニングされます。
タスクの結果
対象リストに追加されたファイル拡張子は、そのポリシーが有効になっている場合に必ずファイル
スクリーニングサーバによってスクリーニングされます。
除外リストへの拡張子の追加
除外拡張子リストに拡張子を追加するには、fpolicy extensions exclude CLI コマンドを使
用します。
手順
1. ファイルポリシーで、ファイルスクリーニングから除外するファイル拡張子のリストにファイル拡
張子を追加するには、次のコマンドを入力します。
fpolicy extensions exclude add PolicyName ext-list
例
fpolicy ext exc add default txt,log,hlp
リストに拡張子が追加されて、変更されたポリシーが有効になると、.txt、.log、および.hlp
ファイルはファイルスクリーニングサーバによるスクリーニングの対象ではなくなります。
214 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
タスクの結果
そのポリシーが有効になると、（別の有効なファイルスクリーニングポリシーで逆の設定がされて
いないかぎり）除外リストに追加したファイル拡張子は、ファイルスクリーニングサーバによってス
クリーニングされません。
リストからの拡張子の削除方法
対象および除外拡張子リストから拡張子を削除するには、fpolicy extensions CLI コマンドを
使用します。
対象リストからの拡張子の削除
対象拡張子リストから拡張子を削除するには、fpolicy extensions include remove CLI コ
マンドを使用します。
手順
1. ファイルポリシーの対象拡張子リストからファイル拡張子を削除するには、次のコマンドを入力
します。
fpolicy extensions include remove PolicyName ext-list
例
fpolicy ext inc remove default wav
.wav 拡張子が付いたファイルはスクリーニングされません。
タスクの結果
このコマンドを実行すると、現在のファイル拡張子リスト内のエントリが削除されます。
除外リストからの拡張子の削除
除外拡張子リストから拡張子を削除するには、fpolicy extensions exclude remove CLI コ
マンドを使用します。
手順
1. ファイルスクリーニングポリシーの除外拡張子リストからファイル拡張子を削除するには、次
のコマンドを入力します。
fpolicy extensions exclude remove PolicyName ext-list
例
fpolicy ext exc remove default wav
.wav 拡張子が付いたファイルがスクリーニングされます。
CIFS を使用したファイルアクセス | 215
タスクの結果
このコマンドを実行すると、現在のファイル拡張子リスト内のエントリが削除されます。
拡張子リストの設定または置き換え方法
対象および除外拡張子リストを設定または置き換えるには、fpolicy extensions CLI コマンド
を使用します。
対象拡張子リストの設定
対象拡張子リストを設定するには、fpolicy extensions include set CLI コマンドを使用しま
す。
手順
1. FPolicy の対象リスト全体を置き換えるには、次のコマンドを入力します。
fpolicy extensions include set PolicyName ext-list
タスクの結果
このコマンドを入力すると、このコマンドで指定された新しい拡張子リストによって既存の対象拡張
子リストが置き換えられて、新しい拡張子だけがスクリーニングの対象となります。
注: set オプションを使用すると、ファイル拡張子をスクリーニングしないように対象リストを設定
することもできます。たとえば、次のように入力します。
fpolicy ext inc set PolicyName ""
このコマンドを使用すると、ファイルはスクリーニングされなくなります。
除外拡張子リストの設定
除外拡張子リストを設定するには、fpolicy extensions exclude set CLI コマンドを使用しま
す。
手順
1. FPolicy の除外リスト全体を置き換えるには、次のコマンドを入力します。
fpolicy extensions exclude set PolicyName ext-list
タスクの結果
このコマンドを入力すると、このコマンドで指定された新しい拡張子リストによって既存の対象拡張
子リストが置き換えられて、新しい拡張子だけがスクリーニングから除外されます。
216 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
リスト内の拡張子のリセット方法
対象および除外拡張子リストをリセットするには、fpolicy extensions CLI コマンドを使用しま
す。
対象拡張子リストのリセット
対象拡張子リストをリセットするには、fpolicy extensions include reset CLI コマンドを使
用します。
手順
1. FPolicy の対象リスト内のすべてのエントリをデフォルト値にリセットするには、次のコマンドを
入力します。
fpolicy extensions include reset PolicyName
タスクの結果
このコマンドを使用すると、対象拡張子リスト内のファイル拡張子がデフォルト値にリストアされま
す。
除外拡張子リストのリセット
除外拡張子リストをリセットするには、fpolicy extensions exclude reset CLI コマンドを使
用します。
手順
1. FPolicy の除外リスト内のすべてのエントリをデフォルト値にリセットするには、次のコマンドを
入力します。
fpolicy extensions exclude reset PolicyName
タスクの結果
このコマンドを使用すると、除外拡張子リスト内のファイル拡張子がデフォルト値にリストアされま
す。
CIFS を使用したファイルアクセス | 217
ファイルスクリーニングサーバの管理方法
ファイルスクリーニングサーバに関する重要な情報を表示するには、CLI コマンドを使用します。
また、セカンダリサーバリストにサーバを割り当てたり、セカンダリサーバリストからサーバを削
除したりすることができます。
ファイルスクリーニングサーバ情報の表示
ファイルスクリーニングサーバに関する重要な情報を表示するには、fpolicy servers show
CLI コマンドを使用します。表示される情報は、登録されたサーバのリスト、接続されたサーバの
リスト、有効な機能などです。
タスク概要
コマンドを実行すると、特定の FPolicy に関する次の情報が表示されます。
•
•
•
•
•
•
登録された FPolicy サーバのリスト
接続された FPolicy サーバのリスト
サーバの合計接続時間
Data ONTAP 7.3 でサポートされている、サーバで有効な機能のリスト
プライマリサーバのステータス
セカンダリサーバのステータス
手順
1. ファイルスクリーニングサーバのステータスを表示するには、次のコマンドを入力します。
fpolicy servers show PolicyName
タスクの結果
このコマンドを入力すると、Data ONTAP は指定したポリシーのファイルスクリーニングサーバの
ステータスを戻します。
接続の無効化
サーバの接続が無効な場合、FPolicy サーバとストレージシステム間の接続は終了します。
手順
1. ファイルスクリーニングサーバとの接続を無効にするには、次のコマンドを入力します。
fpolicy servers stop PolicyName server-IP-address
PolicyName は、接続を無効にするポリシーの名前です。
server-IP-address は、ストレージシステムに対して無効にする FPolicy サーバの IP アドレ
スのリストです。
218 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
タスクの結果
サーバの接続が無効になります。
セカンダリサーバ
FPolicy サーバはプライマリサーバまたはセカンダリサーバとして使用できます。セカンダリサー
バとして特定の FPolicy サーバまたは FPolicy サーバのリストを指定するには、fpolicy
options コマンドを使用します。
使用可能なプライマリサーバがない場合にかぎり、ストレージシステムはセカンダリサーバを使
用してファイルポリシーを適用します。つまり、FPolicy サーバがセカンダリサーバとして指定され
ていても、プライマリサーバが使用可能である場合は使用されません。すべてのプライマリサー
バが使用できない場合、ストレージシステムはプライマリサーバが再び使用できるようになるま
で、接続されているセカンダリサーバを使用します。
セカンダリとして分類されない FPolicy サーバはプライマリサーバとみなされます。
セカンダリサーバリストの割り当て
セカンダリサーバとして特定の FPolicy サーバを割り当てたり、指定したりするには、fpolicy
options secondary_servers CLI コマンドを使用します。
手順
1. プライマリファイルスクリーニングサーバが使用できないときに使用するセカンダリサーバの
リストを指定するには、次のコマンドを入力します。
fpolicy options PolicyName secondary_servers [server_list]
PolicyName は、セカンダリサーバで使用するポリシーの名前です。
server_list は、セカンダリサーバとして指定する FPolicy サーバの IP アドレスのリストで
す。複数の IP アドレスを区切る場合は、カンマ（,）を使用します。このフィールドで指定された
IP アドレスに接続されているサーバは、ストレージシステムによってセカンダリサーバとして分
類されます。
タスクの結果
このコマンドを入力すると、指定されたサーバが指定された FPolicy のセカンダリサーバとして指
定されます。
注: IP アドレスのカンマ区切りリストを指定すると、すべての既存リストが新しいリストで置き換え
られます。したがって、既存のセカンダリサーバを保持するには、新しいリストにその IP アドレ
スを追加する必要があります。
CIFS を使用したファイルアクセス | 219
すべてのセカンダリサーバの削除
すべてのセカンダリサーバをプライマリサーバに変換するには、fpolicy options CLI コマンド
を使用します。
手順
1. すべてのセカンダリサーバをプライマリサーバに変換するには、次のコマンドを入力します。
fpolicy options PolicyName secondary_servers ""
PolicyName は、セカンダリサーバで使用するポリシーの名前です。
タスクの結果
このコマンドを実行すると、セカンダリ FPolicy サーバとして割り当てられていたすべての FPolicy
サーバがプライマリ FPolicy サーバになります。
FPolicy を使用して操作を監視する方法
FPolicy を使用してファイル操作を監視できます。ファイル操作の監視の管理作業には、監視対象
の操作リストの追加、削除、設定があります。
監視リストへの操作の追加
FPolicy でネイティブファイルブロッキングを実行するには、最初に、ネイティブブロッキングが必
要な操作を監視する必要があります。そのためには、監視対象リストに目的の操作を追加しま
す。
手順
1. FPolicy でスクリーニングされる監視対象リストに操作を追加するには、次のコマンドを入力し
ます。
fpolicy mon[itor] add PolicyName [-p {cifs|nfs|cifs,nfs} ] [-f] op-spec
PolicyName は、操作を追加するポリシーの名前です。
-p {cifs|nfs|cifs,nfs}で、監視を有効にするプロトコルを指定します。 CIFS 要求を監視す
るには cifs を、NFS 要求を監視するには nfs を、両方を監視するには cifs,nfs を使用しま
す。 monitor コマンドでプロトコル情報が指定されなかった場合は、CIFS と NFS の両方のプロ
トコルに関する通知が送信されます。 CIFS 操作に対して特定の操作が設定されている場合
に、あとで NFS 操作に対してこの操作を設定すると、両方のプロトコルからの要求についてこ
の操作が監視されます。ただし、一方のプロトコルからこの操作を削除すると、操作に関する
監視は両方のプロトコルで停止します。特定の操作が CIFS にのみ設定されていて、NFS に
設定されていない場合、この操作は両方のプロトコルで監視されます。この操作を NFS の監
視対象操作リストから削除すると、CIFS でもこの操作の監視は停止します。
-f オプションを指定すると、ポリシーを実行するために使用できるサービスがない場合も、ポリ
シーは強制的に有効になります。
220 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
op-spec は、追加する操作のリストです。すべての操作にまとめて監視オプションを設定する
こともできます。その場合は、操作リストの代わりに all オプションを使用します。
タスクの結果
監視対象操作リストに、指定された操作が追加されます。
例
次に、監視対象操作リストに読み取り、書き込み、および検索操作を追加するコマンドの例
を示します。
fpolicy mon add p1 read,write,lookup
ポリシー p1 を有効にすると、読み取り、書き込み、検索操作に加えて、すでに設定されてい
るその他のすべての操作が監視されます。
監視リストからの操作の削除
リストから操作を削除するには、fpolicy monitor remove CLI コマンドを使用します。監視対
象操作リストから操作を削除すると、その操作は FPolicy で監視されなくなります。
手順
1. FPolicy でスクリーニングされる監視対象リストから操作を削除するには、次のコマンドを入力
します。
fpolicy mon[itor] remove PolicyName [-p {cifs|nfs|cifs,nfs} ] [-f] opspec
タスクの結果
監視対象操作リストから、指定された操作が削除されます。
例
読み取りおよび属性設定操作の監視を停止して、監視対象操作リストからこれらの操作を
削除するには、次のコマンドを入力します。
fpolicy mon remove p1 read,setattr
ポリシー p1 を有効にすると、読み取りおよび属性設定操作の監視が停止し、監視対象操作
リストからこれらの 2 つの操作が削除されます。
CIFS を使用したファイルアクセス | 221
監視対象操作リストの設定または置き換え
監視対象操作リストを置き換えるには、fpolicy monitor set CLI コマンドを使用します。
手順
1. 監視対象操作リストを置き換えるには、次のコマンドを入力します。
fpolicy mon[itor] set PolicyName [-p {cifs|nfs|cifs,nfs } ] [-f] op-spec
タスクの結果
監視対象操作リストは、新しい一連の操作で置き換えられます。
例
監視対象操作リストを設定または置き換えたりするには、次のコマンドを入力します。
fpolicy mon set p1 read,setattr
ポリシー p1 を有効にすると、読み取りおよび属性設定操作のみが監視されます。既存の
監視対象リストはすべて、このリストで置き換えられます。
さまざまな CLI コマンド
次の表に、FPolicy CLI コマンドを示します。
入力名
説明
fpolicy help [cmd]
CLI ヘルプを表示します。
fpolicy create PolicyName PolicyType
ファイルポリシーを作成します。
fpolicy destroy PolicyName
ファイルポリシーを削除します。
fpolicy enable PolicyName [-f]
ファイルポリシーを有効にします。
fpolicy disable PolicyName
ファイルポリシーを無効にします。
fpolicy show PolicyName
ファイルポリシーを表示します。
fpolicy servers show PolicyName
FPolicy サーバのステータス情報を表示しま
す。
fpolicy servers stop PolicyName IPaddress
FPolicy サーバの接続を無効にします。
fpolicy
options PolicyName required {on|off}
ファイルポリシーの required オプションをオン
またはオフにします。
222 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
入力名
説明
fpolicy
options PolicyName secondary_servers [
IP-address [,IP-address ]*]
FPolicy サーバのオプションを設定します。
fpolicy extension {exclude|include}
show PolicyName
対象リストまたは除外リストに含まれる拡張子
を表示します。
fpolicy extension {exclude|include}
reset PolicyName
対象リストまたは除外リストに含まれる拡張子
をリセットします。
fpolicy extension {exclude|include}
add PolicyName ext-list
対象リストまたは除外リストに拡張子を追加し
ます。
fpolicy extension {exclude|include}
remove PolicyName ext-list
対象リストまたは除外リストから拡張子を削除
します。
fpolicy extension {exclude|include}
set PolicyName ext-list
対象リストまたは除外リストのすべての拡張子
を設定または置き換えます。
fpolicy volume {include|exclude}
show PolicyName
対象リストまたは除外リストに含まれるボリュー
ムを表示します。
fpolicy volume {include|exclude}
reset PolicyName
対象リストまたは除外リストに含まれるボリュー
ムをリセットします。
fpolicy volume {include|exclude}
add PolicyName vol_spec
対象リストまたは除外リストにボリュームを追
加します。
fpolicy volume {include|exclude}
remove PolicyName vol_spec
対象リストまたは除外リストからボリュームを削
除します。
fpolicy volume {include|exclude}
set PolicyName vol_spec
対象リストまたは除外リストのすべてのボリュ
ームを設定または置き換えます。
fpolicy volume {include|exclude}
eval PolicyName vol_spec
ワイルドカード文字で指定されたボリュームを
評価して、対象リストまたは除外リストに含まれ
るボリュームを表示します。
fpolicy monitor add PolicyName [-p
{nfs|cifs|cifs,nfs}] [-f] op_spec
[,op_spec]
監視対象操作リストに操作を追加します。
fpolicy monitor remove PolicyName [-p
{nfs|cifs|cifs,nfs}] [-f] op_spec
[,op_spec]
監視対象ファイルリストからファイルを削除しま
す。
CIFS を使用したファイルアクセス | 223
入力名
説明
fpolicy monitor set PolicyName [-p
{nfs|cifs|cifs,nfs}] [-f] op_spec
[,op_spec]
監視対象ファイルリストを設定または置き換え
ます。
FAQ、エラーメッセージ、警告メッセージ、およびキーワード
ここでは、FAQ（よくある質問）、エラーメッセージ、および警告メッセージについて説明します。
FAQ（よくある質問）
このセクションには、一般的な FAQ や、アクセス権と権限などの具体的な項目に関する FAQ を掲
載します。
一般的な FAQ
現在、アクティブなファイルポリシーの総数に制限はあるか
あります。現在、アクティブなファイルポリシーの総数は、vFiler ユニットごとに最大で 20 です。
2 つのポリシーを作成した場合、要求は順番に処理されるのか、それとも並列に処理されるのか
2 つのポリシーを作成した場合、要求は順番に処理されます。
一方が優先されるようにポリシーに優先順位を付けることはできるか
既存の FPolicy では、ポリシーの順位付けはサポートされていません。
複数の FPolicy サーバに対応する複数のポリシーを作成できるか
はい。複数のポリシーを作成し、FPolicy サーバごとに異なるポリシーを使用することができます。
たとえば、FLM と NTP にそれぞれ対応した 2 つのポリシーを作成し、2 つの FPolicy サーバがこ
れら 2 つのポリシーを参照するように設定できます。
通知を送信する順番は、fpolicy コマンドでポリシーが指定されている順番と同じです。この順番
は、ストレージシステムにポリシーが作成される順番と逆です。たとえば、ポリシー p1 を作成し、
そのあとでポリシー p2 を作成した場合、通知は p2 に送信され、そのあとで p1 に送信されます。
「複数のファイルポリシー」と「複数のサーバ」の違いを認識することが重要です。
次のような問題が発生することがあります。
•
現在、FPolicy エンジンでは複数のポリシーの要求が（並列でなく）順番に送信されるため、パ
フォーマンスの低下量が 2 倍になることがあります。
224 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
FPolicy をストレージシステムで機能させるために必要なライセンスは何か
FPolicy を機能させるには、ストレージシステムに CIFS のライセンスを付与し、CIFS を設定する
必要があります。
NFS 専用ストレージシステムの場合も、CIFS のライセンスと設定が必要なのはなぜか
FPolicy サーバは多くの機能を実行しますが、CIFS セキュリティを使用して認証を受けることによ
り、ストレージシステム上で Backup-Operator（以上の）権限を確保します。したがって、NFS 専用
の環境であっても、CIFS のライセンスが付与されている必要があります。同様に、ファイルポリシ
ーを NFS ファイルに適用するには、NFS のライセンスが付与され、NFS が稼働している必要もあ
ります。
FPolicy に制限はあるか
あります。次に、FPolicy の制限事項を示します。
•
•
•
FPolicy がサポートしているのは、CIFS プロトコルと NFS プロトコルのみです。
ただし、FPolicy は、ロックと委譲に関連する NFSv4 操作、セッション関連操作
（SMB_COM_SESSION_SETUP_ANDX）、ファイルシステム動作に関連しない操作（印刷関連
操作）など、CIFS および NFS プロトコルに関する一部の操作を監視しません。
FPolicy は、FTP、HTTP、WebDAV、FileIO など、その他のプロトコルはサポートしていませ
ん。
CIFS 操作と NFS 操作を同じポリシーで個別に設定することはできません。
次に、FPolicy のスクリーニングに関する制限を示します。
•
•
•
•
•
ファイルスクリーニングはボリューム全体に設定する必要があります。
個々の qtree およびディレクトリをスクリーニングすることはできません。
FPolicy は、代替データストリーム上での CIFS 操作のスクリーニングをサポートします。
しかし、代替データストリーム上での NFS 操作のスクリーニングはサポートしません。
複数のサーバを登録した場合、接続されているすべてのサーバのポリシーは、最後に登録し
たサーバの設定に基づいて変更されます。
同じ IP アドレスの FPolicy サーバの複数インスタンスを同じポリシーに登録することはできま
せん。
FPolicy が CIFS システムリソースを使い切った場合、FPolicy エンジンによる CIFS スクリーニ
ングは停止します。
FPolicy はウィルススキャン（vscan）の影響を受けるか
FPolicy は vscan 処理から独立して実行されます。 FPolicy はウィルススキャン処理の前に発生す
るため、スタブファイルをただスキャンする代わりに、スタブファイル（シンボリックリンクなど）で指
定されたパスを経由して実際のファイルをロードすることができます。vscan 処理はファイルポリシ
ーから独立しているため、 vscan はファイルポリシーによってブロックされたファイルを開いてスキ
ャンできます。したがって、FPolicy と vscan には依存関係がありません。
CIFS を使用したファイルアクセス | 225
FPolicy 設定はどこに保存されるか
FPolicy 設定はレジストリに保存されます。
読み取り権限を使用してアクセスされた移行済みファイルをユーザが変更しようとした場合、どうな
るか
FPolicy サーバは次の処理を実行する必要があります。
CIFS および NFS バージョン 4 では、書き込み（または読み書き）アクセスモードでファイルオープ
ン要求が行われた場合、ファイルを開くときにファイルをリコールすることができます。また、書き
込み要求が行われたときに、ファイルをリコールすることもできます。ただし、この場合は、書き込
み処理を監視するサーバが登録されている必要があります。
NFSv2 および NFSv3 バージョンにはオープンコールがないため、読み取り処理および書き込み
処理を監視するための HSM サーバを登録する必要があります。 HSM サーバは、書き込み要求
を受信した場合、ファイルをリコールします。読み取り処理の場合、HSM サーバはパススルーリ
ードまたはライトのいずれかを使用できます。
アクセス権と権限に関する FAQ
ストレージシステムに接続し、FPolicy イベントをリスニングする FPolicy サーバとして登録する
アカウントに最低限必要なアクセス権は何か
FPolicy サーバをストレージシステムに登録するためには、少なくともバックアップ権限が必要で
す。
ストレージシステムに接続し、qtree ACL をスキャンするアカウントに最低限必要なアクセス権は
何か
ACL をスキャンする権限は、標準 Windows 方式を使用する CIFS ログインに付与されています。
Backup Operators または Administrators グループのメンバーアカウントを使用してストレージシス
テムに接続しているユーザは、FILE_FLAG_BACKUP_SEMANTICS オープンモードを使用でき
ます。このモードでは、セキュリティに関係なくすべてのファイルにアクセスできます。
パフォーマンスに関する FAQ
FPolicy のパフォーマンスに影響する要因は何か
次に、FPolicy のパフォーマンスに影響する要因の一部を示します。
•
•
•
•
•
監視対象の操作数（読み取る、開く、閉じるなど）
登録された FPolicy サーバ数（ロードシェアリング）
同じ操作をスクリーニングするポリシーの数
ストレージシステムと FPolicy サーバ間のネットワーク帯域幅（スクリーニング要求の応答時
間）
FPolicy サーバの応答時間
226 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
FPolicy トラフィックを CIFS トラフィックと NFS トラフィックに分離する方法はあるか
ストレージシステムで実行される FPolicy コマンドの出力には、そのファイルポリシーでスクリーニ
ングされた要求の総数を示すカウンタが含まれています。ただし、現在は CIFS トラフィックと NFS
トラフィックを区別する方法はありません。
FPolicy スクリーニングの対象となるすべてのクライアント要求によって、余分な CIFS 要求が生成
され、内部的な FPolicy 通信が発生します。これは、CIFS と NFS の両方のクライアントの要求に
当てはまります。現在、この余分なトラフィックを測定する方法はありません。
リコールの前に FPolicy を有効にした場合は、パフォーマンスに影響があるのか
リコールの前に FPolicy を有効にした場合は、パフォーマンスに影響があります。パフォーマンス
への影響は主に、FPolicy の設定方法によって決まります。したがって、リコールの前に FPolicy
を有効にしないことを推奨します。
ストレージシステムにパフォーマンスレベルが異なる 2 つの FPolicy サーバが登録されている
場合、高速サーバのパフォーマンスは低速サーバのパフォーマンスから影響を受けるのか
はい、低速サーバのパフォーマンスは高速サーバのパフォーマンスに影響を及ぼします。したが
って、ストレージシステムに接続する場合は、同じ性能のサーバを使用することを推奨します。
FPolicy が有効な場合、CPU に追加される負荷を判別する測定基準はあるのか
ありません。このようなデータは、現在 FPolicy では使用できません。
ファイルスクリーニングに関する FAQ
ファイルスクリーニングの仕組みは
ファイルスクリーニングポリシーは、何らかの制限が必要なファイルやディレクトリを指定する場合
に使用します。 Data ONTAP は、（開く、書き込む、作成する、名前を変更するなどの）ファイル操
作要求を受信すると、ファイルスクリーニングポリシーをチェックしてからその操作を許可します。
ポリシーで拡張子に基づいたファイルのスクリーニングが指定されている場合は、ファイルをスクリ
ーニングするファイルスクリーニングサーバにファイル名が送信されます。ファイルスクリーニン
グサーバは、ポリシーをファイル名に適用して、ストレージシステムが要求されたファイル操作を
許可するかどうかを判別します。ファイルスクリーニングサーバは、要求されたファイル操作を許
可または拒否する応答をストレージシステムに送信します。
ファイルスクリーニングの使用中にシステムのパフォーマンスは低下するか
低下します。ファイルスクリーニングの使用中にシステムのパフォーマンスは低下します。
CIFS を使用したファイルアクセス | 227
ファイルスクリーニングオプションの設定にデフォルトオプションを使用できるか
すべてのファイルポリシーに対応するマスター設定のオプション、fpolicy.enable があります。
このオプションはデフォルトで on になっています。新しい FPolicy が個別に作成される場合、この
オプションはデフォルトで off になります。そのため、システム管理者はポリシーを完全に設定し
てから、アクティブにすることができます。実際にスクリーニングが行われるかどうかは、サポート
対象の外部ファイルスクリーニングサーバが動作していて、ストレージシステムからアクセスでき
るかどうかによって決まります。 FPolicy を使用するには、外部ファイルスクリーニングサーバが
必要であることに注意してください。
スクリーニングポリシーを作成してもスクリーニングサーバがない場合はどうなるか
使用できるファイルスクリーニングサーバがない場合は、ポリシーを有効にしても、何も起こりま
せん。ただし、このポリシーの fpolicy option required をオンにした場合は、このポリシーで
指定されたファイルへのアクセスが拒否されます。ポリシーに関する「required」の設定は、デフォ
ルトでオフに設定されています。
ファイルスクリーニングサーバのステータスの表示方法は
ファイルスクリーニングサーバのステータスを表示するには、次のコマンドを実行します。
fpolicy servers show PolicyName
Data ONTAP によって、指定したポリシーのファイルスクリーニングサーバのステータスが返され
ます。
セカンダリスクリーニングサーバを指定できるのか。指定できるとしたらその方法は
指定できます。プライマリファイルスクリーニングサーバが使用できないときに使用するセカンダ
リサーバのリストを指定できます。次のコマンドを使用します。
fpolicy options PolicyName secondary_servers [ server_list ]
ストレージシステムに接続された FPolicy サーバのうち、セカンダリサーバリストに IP アドレスが
ないものは、すべてプライマリサーバになります。ストレージシステムでセカンダリサーバが使用
されるのは、すべてのプライマリサーバが使用できないときだけです。
ファイルスクリーニングサーバとの接続を無効にする方法は
ファイルスクリーニングサーバとの接続を無効にするには、次のコマンドを実行します。
fpolicy servers stop PolicyName server-IP-address
FPolicy ファイルスクリーニングの適用はボリューム単位か、それとも qtree 単位か
FPolicy ファイルスクリーニングはボリューム単位で適用されます。qtree 単位では適用されませ
ん。
228 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
FPolicy サーバに関する FAQ
プライマリサーバとセカンダリサーバの違いは何か
プライマリサーバは、クライアント要求をスクリーニングするアクティブサーバです。セカンダリサ
ーバは、フェールセーフモード用に登録されています。プライマリサーバがすべて停止した場合
は、すべてのセカンダリサーバがスクリーニング要求を開始します。
セカンダリサーバの登録方法は
サーバをセカンダリサーバとして登録するには、セカンダリサーバの一覧にサーバの IP を追加し
ます。
そのサーバが接続されると、セカンダリとして扱われます。
FPolicy に関するエラーメッセージ
FPolicy で問題が発生した場合、エラーメッセージが表示されることがあります。
fpolicy.fscreen.server.connectError severity="ERR"
エラー fpolicy.fscreen.server.connectError severity="ERR"
メッセ
ージ
原因
FPolicy サーバとの通信を試行中に、ストレージシステムにエラーが発生した場合に表
示されます。通信に障害があると、ストレージシステムはこのサーバとの接続を切断し
ます。
エラーの原因には、ネットワーク問題、FPolicy サーバ上のセキュリティ設定によるストレ
ージシステムへのアクセス拒否、または FPolicy サーバ上のハードウェア / ソフトウェア
問題などがあります。ストレージシステムのメモリ不足によって、ストレージシステムが
操作を実行するために必要なリソースを取得できない場合も、この問題が発生すること
があります。
推奨さエラーコードを調べて、問題の原因を特定できるかどうかを確認します。
れる対
FPolicy サーバのイベントログを調べて、ストレージシステムから切断されているかどう
処方
か、およびその理由を調べます。
法
ストレージシステムの syslog で、手がかりとなるエラーメッセージを調べます。ネットワ
ーク問題や、FPolicy サーバのハードウェア問題など、特定された問題を解決します。
FPolicy サーバに最近ソフトウェアパッチが適用され、これにより、セキュリティ設定が変
更されていないかどうかを確認します。
CIFS を使用したファイルアクセス | 229
fpolicy.fscreen.server.closeError severity="ERR"
エラー fpolicy.fscreen.server.closeError severity="ERR"
メッセ
ージ
原因
FPolicy サーバとの通信を停止しようとしているときに、ストレージシステムにエラーが発
生した場合に表示されます。エラーの原因には、ネットワーク問題、または FPolicy サー
バのハードウェア / ソフトウェア問題などがあります。
推奨さエラーコードを調べて、問題の原因を特定できるかを確認します。 FPolicy サーバのイ
れる
ベントログを調べて、ストレージシステムから切断されているかどうか、およびその理由
対処を調べます。ネットワーク問題や、FPolicy サーバのハードウェア問題など、特定された
方法
問題を解決します。
このエラーは、実際はエラーではないことがあります。以前にサーバとの通信を試みた
ときにエラーが発生したため、サーバとの通信が終了した可能性があります。接続を切
断しているときに発生したエラーが原因で、そのあともエラー状態が継続することがあり
ます。
fpolicy.fscreen.server.requestError severity="ERR"
fpolicy.fscreen.server.requestError severity="ERR"
エラ
ーメ
ッセー
ジ
原因
FPolicy（ファイルポリシー）サーバに通知要求を送信しようとしているときに、ストレージ
システムにエラーが発生した場合に表示されます。エラーの原因には、ネットワーク問
題、または FPolicy サーバのハードウェア / ソフトウェア問題などがあります。
ポリシーに複数のサーバが設定されている場合は、このポリシーの別のサーバに対して
この通知が再送信されます。それ以外の場合は、required オプションに関するポリシー
の設定に基づいた処理が実行されます。 required 設定がオンの場合、要求は拒否され
ます。 required 設定がオフの場合は、クライアント要求の処理は許可されます。
推奨エラーコードを調べて、問題の原因を特定できるかを確認します。 FPolicy サーバのイベ
されるントログを調べて、ストレージシステムから切断されているかどうか、およびその理由を
対処調べます。ネットワーク問題や、FPolicy サーバのハードウェア問題など、特定された問
方法
題を解決します。
230 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
fpolicy.fscreen.server.requestRejected severity="ERR"
エラー fpolicy.fscreen.server.requestRejected severity="ERR"
メッセ
ージ
原因
ストレージシステムから FPolicy サーバへの通知要求が FPolicy サーバで拒否された場
合に表示されます。エラーの原因には、FPolicy サーバのソフトウェア問題などがありま
す。
推奨エラーコードを調べて、問題の原因を特定できるかどうかを確認します。 FPolicy サーバ
されるのイベントログを調べて、問題の原因となるエラーが発生しているかどうかを確認しま
対処す。 FPolicy サーバで内部エラーが検出されている場合や、これ以上要求を受信できな
方法
い場合があります。
fpolicy.fscreen.server.pingRejected severity="ERR"
fpolicy.fscreen.server.pingRejected severity="ERR"
エラ
ーメ
ッセー
ジ
原因
FPolicy サーバの接続がアイドル状態にある場合、ストレージシステムは FPolicy サー
バのステータスを取得するためのステータス要求を送信します。このエラーは、ストレー
ジシステムから FPolicy サーバへのステータス要求でエラーが取得された場合に発生し
ます。また、ストレージシステムが FPolicy サーバと通信できない場合、ストレージシス
テムの要求に対してサーバがエラーを戻した場合も、このエラーが発生することがありま
す。エラーの原因には、ネットワーク問題、または FPolicy サーバのハードウェア / ソフト
ウェア問題などがあります。この要求が失敗した場合は、サーバとの接続が切断されま
す。
推奨
され
る対
処方
法
エラーコードを調べて、問題の原因を特定できるかを確認します。 FPolicy サーバのイベ
ントログを調べて、ストレージシステムから切断されているかどうか、およびその理由を
調べます。ネットワーク問題や、FPolicy サーバのハードウェア問題など、特定された問
題を解決します。
fpolicy.fscreen.server.completionUnexpectedState severity="ERR"
エラー
メッセ
ージ
fpolicy.fscreen.server.completionUnexpectedState severity="ERR"
CIFS を使用したファイルアクセス | 231
原因
FPolicy サーバによってスクリーニング要求が実行され、完了メッセージが戻された場合
に表示されます。ただし、この要求に対応する内部ストレージシステム状態は有効で
はありません。この完了メッセージは、ストレージシステムで無視されます。
推奨さなし
れる対
処方法
fpolicy.fscreen.server.requestStatusError severity="ERR"
エラ fpolicy.fscreen.server.requestStatusError severity="ERR"
ーメ
ッセ
ージ
原因 FPolicy サーバによってスクリーニング要求が受信されたが、要求の完了が報告されてい
ない場合に表示されます。ストレージステムは、完了していない要求のステータスをチェ
ックします。ストレージステムが要求を送信できない場合、またはサーバで要求がサポー
トされない場合は、このエラーが発生します。エラーの原因には、ネットワーク問題、また
は切断されている FPolicy サーバのハードウェア / ソフトウェア問題により、サーバとスト
レージシステム間の接続が切断されていることなどがあります。
推奨
され
る対
処方
法
エラーコードを調べて、問題の原因を特定できるかを確認します。 FPolicy サーバのイベ
ントログを調べて、ストレージシステムから切断されているかどうか、およびその理由を調
べます。ネットワーク問題や、サーバのハードウェア問題など、特定された問題を解決し
ます。
fpolicy.fscreen.server.connecting.internalError severity="ERR"
エラー fpolicy.fscreen.server.connecting.internalError severity="ERR"
メッセ
ージ
原因
ファイルポリシーサーバがストレージシステムに登録されていて、ストレージシステム
の FPolicy サーバとして機能している場合に表示されます。ストレージシステムは、
FPolicy サーバの関連情報を保持するために必要なメモリを取得できませんでした。
推奨さテクニカルサポートにお問い合わせください。
れる
対処
方法
232 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
fpolicy.fscreen.server.connecting.privError severity="ERR"
エラ
ーメ
ッセ
ージ
fpolicy.fscreen.server.connecting.privError severity="ERR"
原因
FPolicy サーバがストレージシステムに登録して、ストレージシステムの FPolicy サーバ
として機能すること申請した場合に表示されます。サーバは、FPolicy サーバとして機能
するために必要な権限を持たないユーザとして接続されています。サーバをストレージ
システムに接続する際に名前を使用するユーザには、ストレージシステムの BackupOperator グループのメンバー以上の権限が必要です。この登録を行おうとしても、拒否さ
れます。
推奨
され
る対
処方
法
サーバとストレージシステムとの接続に使用されているユーザ名を確認するには、
cifs.trace_login オプションを有効にします。この問題が解決したら、忘れずにこのオプショ
ンをオフに戻してください。トレーシングによって、ストレージシステムのパフォーマンスが
低下することがあります。 FPolicy サーバでファイルポリシーサービスを実行する際に使
用されるユーザ名を確認します。このユーザが属しているグループを判別するには、wcc
コマンドを使用します。このユーザを適切なグループに追加するか、または FPolicy サー
バのプロパティを変更して、サーバが別のユーザ名で実行されるようにしてください。
fpolicy.fscreen.cfg.pCreateErr severity="ERR"
fpolicy.fscreen.cfg.pCreateErr severity="ERR"
エラー
メッセー
ジ
原因
レジストリに保存されたファイルスクリーニング設定情報をストレージシステムが処理
する場合に表示されます。ストレージシステムが新しいポリシーを作成して初期化しよ
うとしましたが、初期化できませんでした。このエラーは、ストレージシステムのレジス
トリの一貫性に問題があることを示すもので、発生してはならないエラーです。このポ
リシーに関連した情報は破棄されます。
推奨さ
れる対
処方法
ポリシーは fpolicy destroy コマンドを使用して削除できます。そのあと、fpolicy create
を使用してポリシーを再作成し、必要に応じてポリシーを設定します。
fpolicy.fscreen.request.pathError severity="ERR"
エラーメ
ッセージ
fpolicy.fscreen.request.pathError severity="ERR"
CIFS を使用したファイルアクセス | 233
原因
ストレージシステムがファイルへのアクセスに使用する fscreen サーバのパスを構築
しようとして、エラーが発生した場合に表示されます。原因としては、パスが長すぎ
る、あるいは Unicode 変換の問題などが考えられます。ユーザはファイルへのアク
セスに、shareName\directories\fileName のようなパスを使用します。ストレージシス
テムは、自身のルートからサーバまでの絶対パスを構築します。ontap_admin$\vol
\volName\sharePath\directories\FileName。通常、これはストレージシステムの内部エ
ラー（バグ）です。
推奨されなし
る対処方
法
fpolicy.fscreen.server.requestTO severity="ERR"
エラー fpolicy.fscreen.server.requestTO severity="ERR"
メッセ
ージ
原因
サーバによってファイルスクリーニング通知が受信されたが、要求の完了が報告されて
いない場合に表示されます。ストレージシステムにより、タイムアウトが終了したあとで
完了していない要求のステータスがチェックされます。受信されたにもかかわらず完了し
ていない要求は、そのすべての情報がサーバで受け入れられていなければ、タイムアウ
トしたとみなされます。この場合は通常、サーバに問題があります。
推奨
される
対処
方法
サーバのイベントログを調べて、問題がないか確認します。サーバソフトウェアベンダ
ーに問い合わせて、そのベンダーの製品が要求ステータスの照会をサポートしているか
どうか確認します。ストレージシステムによってタイムアウトされるのは、サーバで受信
済みの要求のみです。サーバがまだ処理していると主張している要求は、タイムアウト
されません。サーバに要求ステータスメッセージを送信して、タイムアウトした可能性の
ある要求のステータスを調べます。
fpolicy.server.fqdn.unavail severity="ERR"
エラーメ
ッセージ
fpolicy.server.fqdn.unavail severity="ERR"
原因
FPolicy サーバの IP アドレスに関する DNS リバースルックアップに失敗し、ストレー
ジシステムが FPolicy サーバの Fully Qualified Domain Name（FQDN;完全修飾ドメ
イン名）を判別できない場合に表示されます。 FPolicy サーバが Microsoft Windows
Server 2008 以降で実行されている場合、ストレージシステムは、FPolicy サーバに
対して自身を認証するために FPolicy サーバ FQDN を必要とします。
234 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
推奨され
る対処方
法
DNS サーバの DNS リバースルックアップの設定を確認します。
FPolicy に関する警告メッセージ
FPolicy で問題が発生した場合に表示される警告メッセージについて理解しておく必要がありま
す。
fpolicy.fscreen.server.connectedNone severity="WARNING"
エラー fpolicy.fscreen.server.connectedNone severity="WARNING"
メッセ
ージ
原因
ストレージシステムに接続されている FPolicy サーバがない場合に表示されます。ポリ
シーが必須の場合、さまざまなファイル操作やディレクトリ操作がストレージシステムで
拒否されるため、重大な影響を及ぼすことがあります。また、ポリシーが必須でない場合
も、サーバで承認されていないさまざまなファイル操作やディレクトリ操作がストレージシ
ステムで許可されるため、重大な影響を及ぼすことがあります。
推奨 FPolicy サーバのイベントログを調べて、ストレージシステムから切断されている理由を
される確認します。ストレージシステムの syslog で、手がかりとなるエラーメッセージを調べま
対処す。ネットワーク問題や、FPolicy サーバのハードウェア問題など、特定された問題を解
方法
決します。
fpolicy.fscreen.server.completionRequestLost severity="WARNING"
fpolicy.fscreen.server.completionRequestLost severity="WARNING"
エラ
ーメ
ッセー
ジ
原因
この警告は、FPolicy（ファイルポリシー）サーバがスクリーニング要求を完了し、完了を
返した場合に、完了したと報告されている要求をストレージシステムが特定できないとき
に表示されます。
この警告は、FPolicy サーバとストレージシステムが同期していないことを示しています。
原因は、タイミングの問題です。たとえば、ストレージシステムでファイルスクリーニング
が無効になり、完了を待機していたすべての要求が処理の続行を許可されたすぐあとに
完了が着信することがあります。また、スクリーニング要求を受信する前に、FPolicy サ
ーバが完了を返した可能性もあります。要求がタイムアウトしたため、ストレージシステ
ムが要求のステータスを要求している場合もあります。 FPolicy サーバが要求を特定で
きなかった場合、ストレージシステムは要求の続行を許可します。その後 FPolicy サー
バが要求を完了しても、その要求は特定されません。
CIFS を使用したファイルアクセス | 235
推奨この問題が繰り返し発生する場合は、回線トレースを使用して診断すると便利です。回
される線トレースは、pktt コマンドを使用して行うことができます。
対処
方法
fpolicy.fscreen.server.completionInconsistent severity="WARNING"
エラ
ーメ
ッセ
ージ
fpolicy.fscreen.server.completionInconsistent severity="WARNING"
原因
この警告は、FPolicy（ファイルポリシー）サーバによってスクリーニング要求が実行され、
スクリーニングの完了メッセージが返されたときに表示されます。ただし、接続メッセージ
内のファイルパスは、ストレージシステムによるスクリーニング要求の対象となったファイ
ルパスと一致しません。
ストレージシステムは、スクリーニング要求を送信する場合、FPolicy サーバにファイル
パスと要求 ID を渡します。 FPolicy サーバからストレージシステムに有効な要求 ID を
含むスクリーニング完了メッセージが送信されましたが、この中のファイルパスが、スクリ
ーニング要求でストレージシステムから渡されたファイルパスと一致していません。
この問題は、FPolicy サーバやストレージシステムのソフトウェア障害である可能性があ
ります。また、FPolicy サーバが複数のストレージシステムを処理している場合は、要求
が完了したにもかかわらず、間違ったストレージシステムに完了通知が送信されることが
あります。このような場合、ストレージシステムの要求 ID は有効ですが、ファイルパスは
この要求 ID に対応していません。
推奨
され
る対
処方
法
この問題が繰り返し発生する場合は、回線トレースを使用して診断すると便利です。回線
トレースは、pktt コマンドを使用して行うことができます。
fpolicy.fscreen.server.connecting.badOperationList severity="WARNING"
エラ
ーメ
ッセ
ージ
fpolicy.fscreen.server.connecting.badOperationList
severity="WARNING"
原因この警告は、FPolicy サーバが通知の受け取りを希望する操作のリストをストレージシス
テムに提供するときに表示されます。操作の例は、ファイルやディレクトリの名前変更、フ
ァイルの作成、ファイルを開く、ファイルを閉じるなどです。この操作リストは、サーバを登
録するとき、またはサーバを登録したあとで、ストレージシステムに提供できます。この警
236 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
告の原因は、FPolicy サーバから提供された操作リストに、ストレージシステムが通知し
ない操作が含まれていることです。ストレージシステムはサーバが提供したリストを無視
します。
推奨ストレージシステムとファイルポリシーソフトウェアのバージョンを調べて、相互に互換性
されがあることを確認します。
る対
処方
法
fpolicy.fscreen.server.connecting.badParameter severity="WARNING"
エラ fpolicy.fscreen.server.connecting.badParameter severity="WARNING"
ーメ
ッセ
ージ
原因 FPolicy サーバがストレージシステムに登録されていて、ストレージシステムのファイル
ポリシーサーバとして機能している場合に表示されます。サーバから提供されたパラメー
タが、ストレージシステムで認識可能な値に設定されていません。サーバから提供される
パラメータは、ストレージシステムで無視されます。
推奨ストレージシステムとファイルポリシーソフトウェアのバージョンを調べて、相互に互換性
されがあることを確認します。無効なパラメータは無視され、サーバはストレージシステムへ
る対の登録を許可されます。
処方
法
fpolicy.srv.conn.badOptParam severity="WARNING"
エラー fpolicy.srv.conn.badOptParam severity="WARNING"
メッセー
ジ
原因
このメッセージは、ストレージシステムのファイルポリシーサーバとして利用できるよう
に、FPolicy サーバがストレージシステムに登録されときに表示されます。ただし、
FPolicy サーバから提供されたオプションパラメータがシステムで認識可能な値に設定
されていないか、オプションパラメータの形式が間違っています。ストレージシステム
は、無効なパラメータを無視して FPolicy サーバの登録を許可します。
推奨さ
れる対
処方法
ストレージシステムとファイルポリシーソフトウェアのバージョンを調べて、相互に互換
性があることを確認します。
CIFS を使用したファイルアクセス | 237
fpolicy.fscreen.cfg.pCreateInfo severity="WARNING"
エラー fpolicy.fscreen.cfg.pCreateInfo severity="WARNING"
メッセー
ジ
原因
レジストリに保存されたファイルスクリーニング設定情報をストレージシステムが処理
するときに表示されます。ストレージシステムが新しいポリシーを作成して初期化しよ
うとしたときに、問題が発生しました。この警告は、ストレージシステムのレジストリの
一貫性に問題があることを示すもので、発生してはならないエラーです。
推奨さ
れる対
処方法
fpolicy destroy コマンドを使用してポリシーを削除できます。そのあと、fpolicy
create コマンドを使用してポリシーを再作成し、必要に応じてポリシーを設定します。
fpolicy.fscreen.server.droppedConn severity="WARNING"
エラー fpolicy.fscreen.server.droppedConn severity="WARNING"
メッセ
ージ
原因
ファイルポリシー（fscreen）サーバとの接続が失われた場合に表示されます。接続は、
サーバがストレージシステムとの接続を自主的に切断すると失われます。接続が失わ
れるその他の理由として、ネットワークエラー、ストレージシステムの CIFS サービスの
終了、サーバのハードウェア / ソフトウェア障害などが考えられます。
推奨さサーバがまだ機能しているか調べます。ストレージシステムとサーバ間のネットワーク
れる
接続を調べます。サーバのイベントログを調べて、切断の原因となるエラーがあるか確
対処認します。ストレージシステムで CIFS が実行されていることを確認します。
方法
fpolicy.fscreen.vol.i2p.off severity="WARNING"
エラー fpolicy.fscreen.vol.i2p.off severity="WARNING"
メッセ
ージ
原因
FPolicy サーバがファイルポリシーを実行するシステムに登録されていて、NFS 要求に
対するファイルポリシー通知のためには inode/パス名変換が必要であるにもかかわら
ず、ファイルポリシーで監視されるボリュームで inode / パス名変換が無効になってい
る場合に表示されます。ボリュームで inode / パス名変換が無効な場合、FPolicy は
NFS 要求に対応するファイルパスを生成できません。
238 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
推奨さ次のコマンドを入力して、no_i2p オプションを無効にします。
れる対
処方法 vol options volumeName no_i2p off
このコマンドを実行すると、ボリュームのファイルに対して inode / パス名変換が有効に
なります。ターゲットボリュームで無停止ボリューム移動を実行中にこの処理を実行す
ると、処理が失敗する可能性があります。
fpolicy.fscreen.server.unexpectedFileDataResponse severity="WARNING"
エラ fpolicy.fscreen.server.unexpectedFileDataResponse severity="WARNING"
ーメ
ッセ
ージ
原因 FPolicy サーバが Read Redirect（RRD）要求に関するファイルデータをシステムに送信し
たにもかかわらず、システムが送信されたファイルデータに対応する要求を特定できない
場合に表示されます。この警告は、FPolicy サーバとシステムが同期していないことを示
しています。
原因は、タイミングの問題です。たとえば、システムでファイルスクリーニングが無効にな
り、完了を待機していたすべての要求が処理の続行を許可されたすぐあとにファイルデー
タが着信することがあります。また、スクリーニング要求を受信する前に FPolicy サーバが
ファイルデータを返したり、要求がタイムアウトしたため、システムが要求のステータスを
要求している場合もあります。 FPolicy サーバが要求を特定できなかった場合、システム
は要求の続行を許可します。その後 FPolicy サーバがこの要求に関するファイルデータ
を送信しても、その要求はシステムで特定されません。
推奨この問題が繰り返し発生する場合は、パケットトレースを使用して診断すると便利です。
されパケットトレースは、pktt コマンドを使用して行うことができます。
る対
処方
法
スクリーニング操作で使用するキーワード
すべての操作を 3 つの方法で監視できます。監視を設定するには、FPolicy サーバの登録中にビ
ットマスクを使用するか、ONTAPI コールを使用するか、あるいは CLI を使用します。
さまざまなキーワードを使用して、FPolicy でサポートされる各種操作を監視できます。次の表に、
3 つの設定方法それぞれについて、各操作に対応するキーワードを示します。
操作名
ファイルを開く
CLI のキーワー ONTAPI のキー
ド
ワード
open
file-open
登録時のキーワード
ビット
値
FS_OP_OPEN
0x0001
CIFS を使用したファイルアクセス | 239
操作名
CLI のキーワー ONTAPI のキー
ド
ワード
登録時のキーワード
ビット
値
ファイルの作成
create
file-create
FS_OP_CREATE
0x0002
ファイルを閉じる
close
file-close
FS_OP_CLOSE
0x0008
ファイルの名前変更
rename
file-rename
FS_OP_RENAME
0x0004
ファイルの削除
delete
file-delete
FS_OP_DELETE
0x0010
ファイルの書き込み
write
file-write
FS_OP_WRITE
0x4000
ファイルの読み取り
read
file-read
FS_OP_READ
0x2000
ファイルのハードリン link
ク
link
FS_OP_LINK
0x0400
ファイルのシンボリッ symlink
クリンク
symlink
FS_OP_SYMLINK
0x0800
ディレクトリの削除
directory-delete
FS_OP_DELETE_D 0x0020
IR
ディレクトリの名前変 rename_dir
更
directory-rename
FS_OP_RENAME_
DIR
0x0040
ディレクトリの作成
create_dir
directory-create
FS_OP_CREATE_
DIR
0x0080
ファイルの検索
lookup
lookup
FS_OP_LOOKUP
0x1000
属性の取得
属性の取得
属性の取得
FS_OP_GETATTR
0x0100
属性の設定
属性の設定
属性の設定
FS_OP_SETATTR
0x0200
delete_dir
IPv6 を使用した CIFS のサポート
Data ONTAP 7.3.1 以降では、CIFS クライアントに対して、ストレージシステムのファイルへの
IPv6 を使用したアクセスを許可できます。
Data ONTAP では、デュアルスタックメカニズムを使用して IPv4 から IPv6 への切り替えを行いま
す。そのため、CIFS クライアントは、次の 3 種類のモードでストレージシステムのファイルにアク
セスできます。
•
•
•
IPv4 専用モード
IPv6 専用モード
IPv6 / IPv4 モード
240 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
デュアルスタックメカニズムの詳細については、『Data ONTAP 7-Mode ネットワーク管理ガイド』を
参照してください。
ストレージシステムで IPv6 経由の CIFS サービスを提供する場合、データの送受信はポート 445
のみで行われます。
注: IPv6 を使用した CIFS サービスでは、TCP を介した NetBIOS（NBT）はサポートされません。
IPv6 経由の CIFS の有効化と無効化
IPv6 経由の CIFS を有効または無効にするには、cifs.ipv6.enable オプションを on または
off に設定します。
開始する前に
ip.v6.enable オプションを on に設定して、ストレージシステム上で IPv6 を有効にする必要があ
ります。ストレージシステムでの IPv6 の有効化の詳細については、『Data ONTAP 7-Mode ネット
ワーク管理ガイド』を参照してください。
タスク概要
•
•
IPv6 経由の CIFS を有効にしたあとに、ip.v6.enable オプションを off に設定してストレー
ジシステムで IPv6 を無効にすると、IPv6 経由の CIFS は自動的に無効になります。
IPv6 グローバルオプションを再開したあとに IPv6 経由の CIFS を再開する必要はありませ
ん。
IPv6 経由の CIFS がストレージシステムで有効になっていれば、IPv6 グローバルオプションを
無効化して再度有効化したあとに、IPv6 アドレスをリスンする CIFS IPv6 ソケットが自動的に作
成されます。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
IPv6 経由の CIFS を有 options cifs.ipv6.enable on
効にする
IPv6 経由の CIFS を無 options cifs.ipv6.enable off
効にする
注: IPv6 経由の CIFS を無効にすると、IPv6 で新しい CIFS セッションが許
可されなくなりますが、既存の IPv6 CIFS セッションは引き続き IPv6 で動作
します。
IPv4 または IPv6 CIFS セッションの表示
cifs sessions コマンドを使用すると、ストレージシステムで実行されている IPv4 および IPv6
の CIFS セッションの一覧を表示できます。また、cifs sessions コマンドで-i オプションを使用
CIFS を使用したファイルアクセス | 241
すると、IPv4 または IPv6 のどちらかを指定して、一方でのみ実行されている CIFS セッションを表
示することもできます。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
すべての cifs sessions
CIFS セ
ッションを例：
表示する
cifs sessions
Server Registers as 'MACHINE1' in Windows 2000 domain
'IPV6LH1'
Root volume language is not set. Use vol lang.
Selected domain controller \\WIN2K8-204-121 for
authentication
====================================================
PC IP(PC Name) (user) #shares #files
10.73.9.35(machine5-lxp) (ipv6lh1\administrator - root)
1 0
fd20:81be:b255:4204:fd3d:e44:9ab1:6ae5(VISTA204-123)
(ipv6lh1\administrator - root)
242 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
目的
入力するコマンド
IPv4 経
cifs sessions -i ipv4
由で実行
されてい例：
る CIFS
セッショ
cifs sessions -i ipv4
ンを表示
Server Registers as 'MACHINE1' in Windows 2000 domain
する
'IPV6LH1'
Root volume language is not set. Use vol lang.
Selected domain controller \\WIN2K8-204-121 for
authentication
====================================================
PC IP(PC Name) (user) #shares #files
10.73.9.35(machine5-lxp) (ipv6lh1\administrator - root)
1 0
IPv6 経
cifs sessions -i ipv6
由で実行
されてい例：
る CIFS
セッショ
cifs sessions -i ipv6
ンを表示
Server Registers as 'MACHINE1' in Windows 2000 domain
する
'IPV6LH1'
Root volume language is not set. Use vol lang.
Selected domain controller \\WIN2K8-204-121 for
authentication
====================================================
PC IP(PC Name) (user) #shares #files
fd20:81be:b255:4204:fd3d:e44:9ab1:6ae5(VISTA204-123)
(ipv6lh1\administrator - root)
1 0
CIFS を使用したファイルアクセス | 243
IPv4 または IPv6 CIFS セッションの累計の表示
cifs sessions コマンドで-t オプションを使用すると、IPv4 または IPv6 で実行している CIFS セ
ッションの累計を表示できます。
手順
1. 次のコマンドを入力します。
cifs sessions -t
例
次の出力は、IPv4 で実行している CIFS セッションの累計が 2 つで、IPv6 で実行している
CIFS セッションの累計が 1 つであることを示しています。
cifs sessions -t
Using domain authentication. Domain type is Windows 2000.
Root volume language is not set. Use vol lang.
Number of WINS servers: 0
Total CIFS sessions: 2
CIFS open shares: 2
CIFS open files: 0
CIFS locks: 0
CIFS credentials: 2
CIFS sessions using security signatures: 0
IPv4 CIFS sessions: 1
IPv6 CIFS sessions: 1
Cumulative IPv4 CIFS sessions: 2
Cumulative IPv6 CIFS sessions: 1
244 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
NFS と CIFS 間でのファイルの共有
NFS と CIFS クライアント間で簡単にファイル共有できるように、Data ONTAP を構成できます。
NFS と CIFS のファイルの命名規則について
ファイルの命名規則は、ネットワーククライアントのオペレーティングシステムとそのファイル共有
のプロトコルによって異なります。
オペレーティングシステムとそのファイル共有のプロトコルの種類によって、次の要素が決定しま
す。
•
•
•
ファイル名の長さ
ファイル名に使用できる文字
ファイル名での大文字と小文字の区別
ファイル名の長さ
Data ONTAP がサポートするファイル名の長さは、PC の長いファイル名形式をサポートする CIFS
クライアントと、8.3 形式をサポートする CIFS クライアントで異なります。
Data ONTAP では、次の長さのファイル名をサポートしています。
•
•
NFS クライアントおよび CIFS クライアントが、PC で使用される長いファイル名をサポートする
場合、最大 255 文字
CIFS クライアントが、MS-DOS や Windows 3.x クライアントなどの 8.3 形式をサポートしている
場合は、最大 8 文字のファイル名と最大 3 文字のファイル拡張子
ファイル名に使用できる文字
異なるオペレーティングシステム上のクライアント間でファイルを共有する場合は、どちらのオペレ
ーティングシステムでも有効な文字を使用します。
たとえば、UNIX を使用してファイルを作成する場合は、ファイル名にはコロン（:）を使用しないでく
ださい。コロンは、MS-DOS ファイル名では無効な文字となります。文字の制約はオペレーティン
グシステムごとに異なります。使用できない文字の詳細については、クライアントのオペレーティン
グシステムのマニュアルを参照してください。
ファイル名での大文字と小文字の区別
ファイル名について、NFS クライアントでは大文字と小文字が区別されますが、CIFS クライアント
では大文字と小文字が区別されず、同じ文字として扱われます。
たとえば、CIFS クライアントが Spec.txt という名前のファイルを作成すると、この名前は CIFS ク
ライアントと NFS クライアントの双方で Spec.txt と表示されます。ただし、CIFS クライアントがあ
NFS と CIFS 間でのファイルの共有 | 245
とで spec.txt というファイルを作成しようとしても、CIFS クライアントに同じ名前がすでに存在し
ているため、その名前は許可されません。 NFS ユーザがあとで spec.txt という名前のファイル
を作成すると、この名前は NFS クライアントと CIFS クライアントで次のように表示されます。
•
•
NFS クライアントでは、ファイル名の大文字と小文字が区別されるため、作成したとおりに両方
のファイル名 Spec.txt および spec.txt が表示されます。
CIFS クライアントでは、Spec.txt および Spec~1.txt と表示されます。
Data ONTAP によって、2 つのファイル名を区別するために、Spec~1.txt というファイル名が
作成されます。
小文字のファイル名の作成
cifs.save_case オプションを off に設定すると、入力された名前の大文字と小文字の区別が無
視され、強制的に小文字のテキストに変換されます。
タスク概要
このオプションを off に設定すると、16 ビットのアプリケーションと一部の UNIX ツール間の互換
性が高まります。ただし、デフォルトでは、このオプションは on に設定されています。
手順
1. 次のコマンドを入力します。
options cifs.save_case off
Data ONTAP でのファイル名の作成方法
Data ONTAP では、CIFS クライアントからアクセスされるすべてのディレクトリ内にあるファイルに
対して、2 つのファイル名が作成され、保持されます。元の長いファイル名と 8.3 形式のファイル名
です。
ファイル名制限は名前が 8 文字で拡張子が 3 文字ですが、どちらかがこの制限を超えた場合、
8.3 形式ファイル名が次のように生成されます。
•
•
•
ファイル名が 6 文字を越える場合は、元の名前が 6 文字に短縮されます。
切り捨て後に一意でなくなったファイル名にはチルダ（~）と 1～5 の数字が追加されます。
同様の名前が 6 つ以上存在するため数字が足りなくなった場合には、元のファイル名とは無
関係の一意のファイル名が作成されます。
ファイルの拡張子が 3 文字に短縮されます。
たとえば、NFS クライアントが specifications.html という名前のファイルを作成すると、Data
ONTAP によって specif~1.htm という 8.3 形式のファイル名が作成されます。この名前がすで
に存在している場合は、ファイル名の最後の番号が別の番号になります。たとえば、NFS クライア
ントが specifications_new.html という別の名前のファイルを作成すると、
specifications_new.html の 8.3 形式の名前は specif~2.htm になります。
246 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
CIFS クライアント上でのドットファイル表示の制御
UNIX ベースシステムでは通常、ドットファイルは表示されません。Windows クライアントシステ
ムでドットファイルを非表示にする必要がある場合は、cifs.show_dotfiles オプションを off に
設定します。
タスク概要
Windows のフォルダオプションの隠しファイルの表示/非表示設定に関係なく、CIFS クライアント
システム上ではデフォルトでドットファイルが表示されます。
手順
1. 次のコマンドを入力して、cifs.show_dotfiles オプションを off に設定します。
options cifs.show_dotfiles off
このシステムのドットファイルは、Windows クライアントのユーザが[フォルダオプション]、[表
示]タブで[隠しファイルおよび隠しフォルダを表示しない]を選択すると、表示されなくなります
（Windows エクスプローラで、[フォルダオプション]を表示するには、[ツール] > [フォルダオプ
ション]の順に選択します）。
UNIX と Windows 間におけるファイル名の文字変換の有効化
それぞれのオペレーティングシステム（Windows および UNIX）上に、両方のオペレーティングシ
ステムで有効でない文字を含む古いファイル名がある場合は、charmap コマンドを使用すること
で、そのままでは CIFS で有効でない NFS 形式の名前のファイルにも、CIFS クライアントからアク
セスできます。
タスク概要
NFS クライアントで作成されたファイルに CIFS クライアントがアクセスすると、ストレージシステム
はそのファイル名を調べ、ファイル名が有効な CIFS ファイル名でない場合は（たとえば、コロン「:」
が含まれている場合）、各ファイルに対して維持されている 8.3 形式のファイル名を返します。ただ
し、これにより、長いファイル名に重要な情報をエンコードしているアプリケーションでは問題が発
生します。
したがって、異なるオペレーティングシステムを使用するクライアント間でファイルを共有する場合
は、両方のオペレーティングシステムで有効な文字をファイル名に使用するようにしてください。
これとは別に、それぞれのオペレーティングシステム（Windows および UNIX）上に、両方のオペ
レーティングシステムで有効でない文字を含む古いファイル名がある場合は、無効な NFS の文字
を、CIFS と特定の Windows アプリケーションの両方で有効な Unicode 文字に変換するマップを定
義できます。
詳細については、na_charmap(1)のマニュアルページを参照してください。
NFS と CIFS 間でのファイルの共有 | 247
注: この機能は CATIAR MCAD および Mathematica アプリケーションをサポートしていますが、
同じ要件のほかのアプリケーションでも使用できます。
手順
1. 次のコマンドを入力します。
charmap [volname [mapspec]]
volname には、ストレージシステム上のボリューム名を指定します。 volname に値を指定しな
いと、すべてのボリュームのマッピングが表示されます。
mapspec は次の形式で指定します。
hh:hhhh[,hh:hhhh]...
各 hh は 16 進値を表します。コロンで区切られた各 hh ペアの最初の値は、変換したい NFS
文字の 16 進値です。各 hh ペアの 2 番目の値は、CIFS が使用する Unicode 値です。
mapspec に値を指定しないと、マッピング済みの場合は現在のマッピングが表示されます。
例
次のコマンドは、CATIA アプリケーションで使用される文字をマッピングします。
charmap desvol 3e:ff76,3c:ff77,2a:ff78,3a:ff79,22:ff7a
このコマンドでは、ある複数の文字（>、<、*、:、"、?、\、および|を、通常はファイル名に正
規の文字として使用されない日本語の Unicode 文字にマッピングします。このマッピング
は、ボリューム名「desvol」に適用されます。
文字の制限事項
無効な文字を表す Unicode 文字が、通常はファイル名に使用されないようにしてください。これら
の文字が使用されていた場合、不要なマッピングが発生します。
たとえば、コロン（:）をハイフン（-）にマッピングしようとした場合に、ファイル名に正しく使用されてい
るハイフン（-）が存在すると、Windows クライアントが「a-b」という名前のファイルにアクセスする要
求を行ったときに、「a:b」という NFS 名にマッピングされてしまいます（望ましい結果ではありませ
ん）。
再マッピングを行う場合は、次の NFS 文字のリストを参照してください。
•
•
•
•
•
•
•
22 =二重引用符（"）
2a =アスタリスク（*）
3a =コロン（:）
3c =小なり（<）
3e =大なり（>）
3f =疑問符（?）
5c =バックスラッシュ（\）
248 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
•
•
7c =パイプ（|）
b1 =（±）
また、CIFS クライアントからファイルまたはディレクトリを作成あるいはその名前を変更する場合
に、ファイル名に Unicode 文字の 0x0080 が含まれていると、エラーメッセージが表示されます。
ストレージシステムでは、Unicode 文字の 0x0080 はサポートされません。
ボリュームからの文字マッピングの削除
不要になった文字マッピングをボリュームから削除するには charmap コマンドを使用します。この
コマンドは、ストレージシステムから文字マッピングを使用するアプリケーションを削除するときな
どに使用すると便利です。
手順
1. 文字マッピングを削除するには、次のコマンドを入力します。
charmap volname ""
volname には、ストレージシステム上のボリューム名を指定します。
プロトコル間のファイルロックについて
ファイルロックとは、あるユーザがすでに開いているファイルに別のユーザがアクセスすることを防
ぐ機能で、クライアントアプリケーションで使用されます。 Data ONTAP でファイルをロックする方
法は、クライアントのプロトコルによって異なります。
クライアントが NFS クライアントである場合、ロックは任意に設定します。クライアントが CIFS クラ
イアントである場合、ロックは必須となります。
NFS ファイルと CIFS ファイルのロックの違いのため、CIFS アプリケーションで開いているファイル
に NFS クライアントからアクセスすると、エラーになる場合があります。
NFS クライアントが CIFS アプリケーションによってロックされたファイルにアクセスすると、次のい
ずれかの状態になります。
•
•
•
mixed 形式または NTFS 形式の qtree では、rm、rmdir、mv などのファイル操作を行うと、NFS
アプリケーションがエラーになる場合があります。
NFS の読み取りと書き込みの処理は、CIFS の読み取り拒否および書き込み拒否のオープン
モードによってそれぞれ拒否されます。
また、ファイルの書き込み対象となる範囲が、排他的な CIFS バイトロックでロックされている場
合も、NFS の書き込みの処理はエラーになります。
NFS と CIFS 間でのファイルの共有 | 249
ロックの解除
ファイルのロックを解除するには、lock break コマンドを使用します。これにより、ファイルロック
が原因でクライアントがファイルにアクセスできないという問題を修正することができます。
ロックは、複数のプロセスが同じファイルを同時に変更できなくする一方で、共同で機能しているプ
ロセス同士が共有ファイルへのアクセスを同期できるようにします。 Data ONTAP は、マルチプロト
コル環境のロックを管理します。
状況によっては、ロックの手動解除が必要になることがあります。たとえば、アプリケーションのデ
バッグ中にロックの解除が必要になるケースなどです。 lock break コマンドは、CIFS、NFSv4、
NLM（NFSv2 および NFSv3 で使用）、FLEXCACHE のロックを管理します。
lock break コマンドには、どのロックを解除するかを選択するフィルタとして機能するサブコマン
ドが 5 つあります。そのうちの 3 つには、解除するロックをさらに細かく指定するためのパラメータ
をオプションで指定でき、選択したロックのみを解除し、その他のロックは解除せずにそのままにす
ることができます。サブコマンドを指定せずに lock break コマンドを使用することはできません。
現在有効なロックの情報を llock status コマンドで表示して、解除するロックを判断できます。
詳細については、lock コマンドのマニュアルページを参照してください。
注: CIFS クライアントで現在開いているファイルに対して lock break コマンドを実行した場合、
そのあとにそれらのファイルを変更するには、ファイルを閉じて開き直す必要があります。これ
は、ロックを解除するとファイルハンドルが無効になるためです。ファイルを開き直すと、CIFS
クライアントに新しい有効なファイルハンドルが渡されます。
ファイル指定によるロックの解除
ファイルを指定してロックを解除するには、lock break コマンドを使用します。
手順
1. ファイルを指定してロックを解除するには、次のコマンドを入力します。
lock break -f file [-o owner -h host] [-p protocol]
•
-f file オプションでは、ロックを解除するファイルを指定します。
file には完全パス名を指定します。例：/vol/vol1/file1
注: lock break コマンドで-f file オプションを使用して NFSv4 のロックを解除できま
すが、推奨されません。NFSv4 のロックを解除すると、クライアントに予想外の影響をも
たらす可能性があります。ファイル名にプロトコルを含めると、 NFSv4 のロックが解除さ
れるのを防ぐことができます。
•
-o owner オプションは CIFS、NLM、および NFSv4 プロトコルにのみ関連しています。
250 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
NLM ロックおよび NFSv4 ロックに関しては、-o owner オプションを指定する場合は-h
host オプションも指定する必要があります。 owner に何を指定するかはプロトコルによっ
て異なります。
•
•
•
CIFS：[domain\]user
NLM：プロセス ID
NFSv4：UID
-h host オプションで、ロックを解除するホストを指定します。
CIFS、NFSv4、および NLM プロトコルのロックのみ、このオプションでロックを解除できま
す。 host に何を指定するかはプロトコルによって異なります。
•
CIFS：NetBIOS 名または Fully Qualified Domain Name（FQDN;完全修飾ドメイン名）を
指定できます。
• NFSv4：IP アドレスを指定する必要があります。
• NLM：ホスト名（FQDN、ホスト名のエイリアスなど）または IP アドレスを指定できます。
lock コマンドでは、ホスト名は IP アドレスに解決されません。機能的にみると、ホスト
名によるロックのフィルタリングは、対応する IP アドレスによるロックのフィルタリングと
同じではありません。ロックを host でフィルタリングする場合は、host の値を lock
status -h コマンドの出力から取得する必要があります。取得した host の値はそのま
ま使用してください。正確な値を使用しないと、ロックが誤って削除される可能性があり
ます。
指定したファイルのすべてのロックを解除したり、-p protocol オプションを使用して、指定
したプロトコルのロックのみを解除することができます。
protocol では大文字と小文字は区別されません。次のいずれかの値を指定します。
•
•
•
•
•
•
cifs
nfsv4
nlm
flexcache
例
次に、/vol/vol1/Mydocument.doc ファイルの CIFS ロックを解除する例を示します。
lock break -f "/vol/vol1/Mydocument.doc" -p cifs
ホスト指定によるロックの解除
ホストを指定してロックを解除するには、lock break コマンドを使用します。
手順
1. ホストを指定してロックを解除するには、次のコマンドを入力します。
NFS と CIFS 間でのファイルの共有 | 251
lock break -h host [-o owner] [-f file] [-p protocol]
•
-h host オプションで、ロックを解除するホストを指定します。
CIFS、NFSv4、および NLM プロトコルのロックのみ、このオプションでロックを解除できま
す。 host に何を指定するかはプロトコルによって異なります。
CIFS：NetBIOS 名または IP アドレスを指定できます。
NFSv4：IP アドレスを指定する必要があります。
NLM：ホスト名（FQDN、ホスト名のエイリアスなど）または IP アドレスを指定できます。
lock コマンドでは、ホスト名は IP アドレスに解決されません。機能的にみると、ホスト
名によるロックのフィルタリングは、対応する IP アドレスによるロックのフィルタリングと
同じではありません。ロックを host でフィルタリングする場合は、host の値を lock
status -h コマンドの出力から取得する必要があります。取得した host の値はそのま
ま使用してください。正確な値を使用しないと、ロックが誤って削除される可能性があり
ます。
-o owner オプションは次のプロトコルにのみ関連しています。
•
•
•
•
•
•
•
CIFS
NLM
NFSv4
owner に何を指定するかはプロトコルによって異なります。
•
•
•
•
•
CIFS：[domain\]user
NLM：プロセス ID
NFSv4：UID
指定したホストのすべてのロックを解除したり、-f file オプションを使用して、ファイル指
定によるロックのみを解除することができます。
file には完全パス名を指定します。例：/vol/vol1/file1
指定したホストのすべてのロックを解除したり、-p protocol オプションを使用して、指定し
たプロトコルのロックのみを解除することができます。
protocol では大文字と小文字は区別されません。次のいずれかの値を指定します。
•
•
•
•
cifs
nfsv4
nlm
flexcache
例
次に、host1 というホストのすべての CIFS ロックを解除する例を示します。
252 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
lock break -h host1 -p cifs
ロック所有者の指定によるロックの解除
ロック所有者を指定してロックを解除するには、lock break コマンドを使用します。
手順
1. ロック所有者を指定してロックを解除するには、次のコマンドを入力します。
lock break -o owner [-f file] [-p protocol]
指定した所有者のロックの解除は、CIFS プロトコルに対してのみ有効です。
このオプションの有効な値は、[domain\]user の形式で指定します。
指定した所有者のすべてのロックを解除するか、または-f file オプションを使用して、指
定したファイルのロックのみを解除することができます。
file には完全パス名を指定します。例：/vol/vol1/file1
指定した所有者のすべてのロックを解除するか、または-p protocol オプションを使用し
て、指定したプロトコルのロックのみを解除することができます。
サポートされているプロトコルは CIFS だけです。
•
•
•
例
次に、所有者 MYDOMAIN\user1 のすべての CIFS ロックを解除する例を示します。
lock break -o MYDOMAIN\user1
プロトコル指定に基づくロックの解除
指定したプロトコルに基づいてロックを解除するには、lock break コマンドを使用します。 CIFS、
NFSv4、NLM、および FLEXCACHE の各プロトコルのロックを解除できます。
手順
1. 特定のプロトコルのロックを解除するには、次のコマンドを入力します。
lock break -p protocol
プロトコルのロックを解除すると、そのプロトコルに関するすべてのロックが解除されます。
protocol 値では大文字と小文字が区別されません。cifs、nfsv4、nlm または flexcache
のいずれかの値を指定します。
NFS と CIFS 間でのファイルの共有 | 253
例
次に、すべての NFSv4 ロックを解除する例を示します。
lock break -p nfsv4
IP ネットワークファミリ指定による NLM ロックの解除
IP ネットワークファミリを指定して NLM ロックを解除するには、lock break コマンドを使用しま
す。 IPv4 ネットワークファミリまたは IPv6 ネットワークファミリのロックを解除することができます。
手順
1. IP ネットワークファミリを指定してロックを解除するには、次のコマンドを入力します。
lock break -net network
-net network オプションは、指定したネットワークファミリのすべてのロックを解除します。
network 値では大文字と小文字は区別されず、IPv4 または IPv6 のいずれかの値を指定で
きます。このオプションは、NLM プロトコルに対してのみ有効です。
例
次に、すべての NLM IPv4 ロックを解除する例を示します。
lock break -net IPv4
読み取り専用ビットについて
読み取り専用ビットは、ファイルが書き込み可能（無効）なのか読み取り専用（有効）なのかを示す
ために、ファイルごとに設定される 2 進数の数値です（0 または 1）。
ファイルごとの読み取り専用ビットを設定できるのは、MS-DOS および Windows を使用する CIFS
クライアントです。 NFS クライアントは、ファイルごとの読み取り専用ビットを設定しません。NFS ク
ライアントは、ファイルごとの読み取り専用ビットを使用するプロトコル操作を行わないためです。
MS-DOS または Windows を使用する CIFS クライアントがファイルを作成すると、そのファイルに
読み取り専用ビットが設定されます。ファイルが NFS クライアントと CIFS クライアント間で共有さ
れている場合も、読み取り専用ビットを設定できます。ソフトウェアの中には、NFS クライアントと
CIFS クライアントが使用するときに、読み取り専用ビットが有効になっている必要があるものもあ
ります。
254 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
NFS クライアントと CIFS クライアント間で共有されるファイルに対して、適切な読み取り権限およ
び書き込み権限を保持するために、読み取り専用ビットが次の規則に従って処理されます。
•
•
•
•
•
•
NFS は、読み取り専用ビットが有効になっているファイルはすべて、書き込み権限ビットが無効
になっているファイルとして扱います。
NFS クライアントがすべての書き込み権限ビットを無効にしたときに、これらのうち少なくとも 1
つが以前有効であったら、そのファイルの読み取り専用ビットは有効になります。
NFS クライアントがすべての書き込み権限ビットを有効にすると、そのファイルの読み取り専用
ビットは無効になります。
あるファイルの読み取り専用ビットが有効になっているときに、NFS クライアントがそのファイル
の権限を調べようとすると、そのファイルの権限ビットは NFS クライアントには送信されず、代
わりに書き込み権限ビットがマスクされた権限ビットが NFS クライアントに送信されます。
ファイルの読み取り専用ビットが有効になっているときに、CIFS クライアントがこの読み取り専
用ビットを無効にすると、そのファイルに対する所有者の書き込み権限ビットが有効になりま
す。
読み取り専用ビットが有効になっているファイルに書き込めるのは、ルートのみです。
注: ファイル権限の変更は、CIFS クライアントではすぐに反映されますが、NFS クライアントが属
性のキャッシュを有効にしている場合は NFS クライアントではすぐに反映されないことがありま
す。
読み取り専用ビットが設定されたファイルの削除
読み取り専用ビットが有効であるときに UNIX 削除セマンティクスを使用したファイル削除を許可
するには、cifs.perm_check_ro_del_ok を設定します。これはデフォルトで無効になっていま
す。
タスク概要
Windows では、読み取り専用ビットが有効になっているファイルを削除できません。マルチプロト
コルソース制御アプリケーションの中には UNIX の削除セマンティクスを必要とするものもありま
す。読み取り専用ビットが有効であると、これらのアプリケーション用のファイルも削除できません。
手順
1. 読み取り専用ビットが有効であるときに UNIX 削除セマンティクスを使用したファイル削除を許
可するには、次のコマンドを入力します。
options cifs.perm_check_ro_del_ok on
NFS と CIFS 間でのファイルの共有 | 255
CIFS クライアントの UNIX クレデンシャルの管理
CIFS クライアントのユーザは、ストレージシステムへの接続時に CIFS クレデンシャルを受信しま
す。ユーザが Data ONTAP で制御されるリソースにアクセスするためには、UNIX クレデンシャル
も 1 つ以上必要です。
CIFS ユーザによる UNIX クレデンシャルの取得方法
UNIX クレデンシャルは、UNIX 形式の UID（ユーザ ID）と GID（グループ ID）から構成されてい
ます。
Data ONTAP では、以下の目的で UNIX クレデンシャルを使用します。
•
•
UNIX 形式のセキュリティが設定されたファイルにユーザがアクセスしようとするときに、Data
ONTAP は UID とユーザの GID を使用してユーザのアクセス権を確認します。
CIFS ユーザを含むグループに対してグループクォータを使用する場合、CIFS ユーザは UNIX
クレデンシャルを取得している必要があります。
グループクォータの詳細については、『Data ONTAP 7-Mode ストレージ管理ガイド』を参照し
てください。
CIFS ユーザがストレージシステムに接続しようとすると、Data ONTAP によって、CIFS ユーザの
UID、プライマリ GID、およびすべてのセカンダリグループ GID が確認されます。 CIFS ユーザの
UID を特定できず、デフォルトの UNIX ユーザが定義されていない場合、そのユーザのアクセス
は拒否されます。
UNIX のユーザおよびグループ情報を取得するときに、Data ONTAP は/etc/nsswitch.conf フ
ァイルを使用して、使用するネームサービスとその使用順序を決定します。 Data ONTAP は、
UNIX ユーザおよびグループデータベース用のファイル（passwd）、NIS、および LDAP ネームサ
ービスをサポートしています。 Data ONTAP では、UNIX のパスワードおよびグループデータベー
ス（/etc/passwd ファイルおよび/etc/group ファイル、NIS マップ、または LDAP ディレクトリス
トア）を検索してユーザのユーザおよびグループ情報を取得し、それによって UNIX クレデンシャ
ルを取得します。設定されたデータベースには、ストレージシステムにアクセス可能なすべてのユ
ーザのアカウント情報が含まれています。
UNIX ユーザ名が有効であることが判明すると、UID と GID（プライマリとセカンダリ両方）がディレ
クトリストアから取得され、CIFS クレデンシャルに含められます。
注: NIS マップを使用している場合、エントリが 1 行あたり 1,024 文字を超えないようにしてくださ
い。
Data ONTAP で CIFS ユーザの UID と GID を取得するには、まず UNIX 形式のユーザ名を確認
する必要があります。この確認には、ユーザマッピングが使用されます。ユーザの Windows 名
は UNIX 名と同じでなくてもかまいません。 /etc/usermap.cfg ファイルに情報を入力して、各
Windows 名が UNIX 名にどのようにマッピングされるかを指定できます。デフォルトマッピングを
受け入れる場合は、この情報を入力する必要はありません。デフォルトでは、UID の検索時に
256 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
Windows 名が UNIX 名として使用されます（検索前に Windows 名の大文字は小文字に変換さ
れます）。
UNIX パスワードデータベースのユーザ名が Windows 名と同じ場合は、/etc/usermap.cfg フ
ァイルにマッピング情報を入力する必要はありません。ユーザ名が UNIX パスワードデータベー
スで見つからないときに wafl.default_unix_user オプションが設定されている場合は、そのオ
プションに指定されているデフォルトのログイン名が使用されます。 wafl.default_unix_user
オプションの設定に関する詳細については、options(1)のマニュアルページを参照してください。
Data ONTAP は、次の方法でユーザの GID を取得します。
•
•
UNIX パスワードデータベースからユーザのプライマリ GID を取得します。
UNIX パスワードデータベースの各アカウントには、そのユーザのプライマリ GID が含まれて
います。
ユーザのプライマリ GID 以外の GID は、グループデータベース（NIS グループマップ、LDAP
データストア、または/etc/group ファイル）から取得します。
グループデータベースでは、さまざまなグループのメンバーシップを定義します。
CIFS セッション情報を表示すると、接続中の CIFS ユーザの UNIX クレデンシャルを確認できま
す。
特定の CIFS ユーザだけが UNIX クレデンシャルを受信できるように設定する方法
UNIX クレデンシャルを受信する CIFS ユーザを設定するには、/etc/usermap.cfg ファイルを編
集し、UNIX グループおよびユーザを作成して、Windows ゲストユーザアカウントを有効にしま
す。
手順
1. 一部の Windows 名が UNIX 名と異なる場合、または一部の CIFS ユーザにストレージシステ
ムへのアクセスを禁止する場合は、/etc/usermap.cfg ファイルを編集します。
2. UNIX グループデータベース内にグループを作成します。
3. UNIX 名がマッピングされている各 CIFS ユーザに対して、UNIX パスワードデータベースにユ
ーザアカウントを入力します。
4. Administrator アカウントの名前を変更する場合は、1 人以上の CIFS ユーザを必ず UNIX ル
ートアカウントにマッピングします。
5. UNIX パスワードデータベース内にエントリが保持されていない CIFS ユーザにストレージシ
ステムへのアクセスを許可する場合は、UNIX パスワードデータベースにデフォルトのユーザ
アカウントを作成し、wafl.default_unix_user オプションをそのユーザに設定します。
6. 認証されていないユーザにストレージシステムへのアクセスを許可する場合は、Windows ゲ
ストユーザアカウントを有効にします。
NFS と CIFS 間でのファイルの共有 | 257
/etc/usermap.cfg ファイルのエントリの指定
Data ONTAP では、/etc/usermap.cfg ファイルを使用してユーザ名をマッピングします。最も単
純な形式では、/etc/usermap.cfg ファイルの各エントリに Windows 名と UNIX 名のペアが含ま
れています。 Data ONTAP では、Windows 名を UNIX 名に変換したり、UNIX 名を Windows 名
に変換したりできます。
タスク概要
CIFS の開始時に/etc/usermap.cfg ファイルが見つからない場合は、デフォルトのファイルが作
成されます。デフォルトのファイルには、セキュリティの向上に役立つコメントアウトされたサンプル
のマップエントリが含まれています。
Data ONTAP は、CIFS ユーザからの接続要求を受信すると、/etc/usermap.cfg ファイルを検
索し、エントリがユーザの Windows ドメイン名およびユーザ名と一致するかどうかを確認します。
エントリが見つかった場合は、エントリに指定されている UNIX 名を使用して、UNIX パスワード
データベースから UID と GID を検索します。 UNIX 名が null 文字列の場合、CIFS ユーザへのア
クセスが拒否されます。
エントリが見つからない場合は、Windows 名が小文字に変換され、UNIX 名は Windows 名と同じ
とみなされます。この UNIX 名を使用して、UNIX パスワードデータベースから UID と GID が検
索されます。
ファイルは順次スキャンされ、最初に一致したエントリがマッピングに使用されます。
/etc/usermap.cfg ファイルの記述方法については、『Data ONTAP ストレージ管理ガイド』
の/etc ディレクトリの内容に関する情報を参照してください。
手順
1. 各エントリは次の形式で指定します。
[IP_qualifier:] Windows_name [direction] [IP_qualifier:] UNIX_name
終了後の操作
ファイルにコメントを入れる場合は、コメント行の先頭に#を付けます。先頭に#を付けたコメント文
はエントリの末尾に指定することもできます。空白の行は無視されます。
IP_qualifier フィールドについて
IP_qualifier フィールドは、照合の対象を絞り込むことによりユーザ名を修飾する IP アドレスです。
IP 修飾子には、次のいずれかを指定できます。
•
ビット表記の IP アドレス。
サブネットマスク内のビット数を付けて、サブネットを指定できます。たとえば、192.4.1.0/24 は
192.4.1.0 クラス C サブネットを表します。
258 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
•
•
名前。
Data ONTAP では、最初に、名前はホスト名であるとみなされます。ホスト名データベース内に
一致するホスト名がない場合は、名前はネットワーク名とみなされます。
サブネットアドレス。
ネットワーク名、または IP アドレスとサブネットマスク（corpnet/255.255.255.0 など）を指定でき
ます。
注: Data ONTAP では、照合のときにのみ IP 修飾子を使用します。マップエントリのマッピング
先に IP 修飾子が使用されている場合、ログイン要求はその IP 修飾子からのものとはみなされ
ません。
Windows_name フィールドについて
Windows_name フィールドは、Windows ドメイン名（オプション）と Windows ユーザ名で構成されて
います。
マップエントリのマッピング元では、ドメインは、ユーザが属しているドメインを示します。マップエ
ントリのマッピング先では、ドメインは、マッピングされた UNIX エントリに使用されるドメインを示し
ます。エントリ内のアカウント名がローカルユーザアカウントの場合、Windows ドメイン名はストレ
ージシステム名になります。
Windows_name フィールドにドメイン名を指定しないと、ストレージシステムがインストールされて
いるドメインが使用されます。ストレージシステムがローカルユーザアカウントを使用して認証す
る場合、ドメイン名はストレージシステム名になります。
ワイルドカードとして次のようにアスタリスク（*）を使用できます。
•
•
すべてのドメイン内の指定された名前が、指定された UNIX 名にマッピングされるようにするに
は、アスタリスクをマッピング元で使用する。
指定された UNIX 名が、すべての信頼できるドメインにある Windows 名にマッピングされるよ
うにするには、アスタリスクをマッピング先で使用する。
どの信頼できるドメインがマッピングに使用されるかは、一致する Windows 名が最初に見つか
った場所によって決まります。 cifs.search_domains オプションで指定した信頼できるドメインだ
けが、指定された順に検索されます。このオプションを設定していないと、すべての信頼できる
ドメインが、順不同で検索されます。
ユーザ名にスペースやポンド記号を入れる場合は、名前を二重引用符で囲みます。たとえば、
"bob smith"や"eng#lab"\"#joe"のように入力します。
注: \は引用符で囲まないでください。
Windows 名にアスタリスク（*）を使用できます。アスタリスクの使用方法の詳細については、ユー
ザ名のワイルドカード文字に関するガイドライン（254 ページ）を参照してください。
マップエントリのマッピング先にユーザ名がない場合、または空白（""と指定）になっている場合、
一致する UNIX 名によるアクセスが拒否されます。ユーザ名に空白のエントリを使用すると、一部
またはすべての UNIX ユーザに対してアクセスが拒否されます。これらのエントリを IP_qualifier
とともに使用すると、特定のホストまたはサブネットを除くすべての UNIX ユーザを除外できます。
NFS と CIFS 間でのファイルの共有 | 259
direction フィールドについて
direction フィールドはマッピングの方向を指定します。
direction フィールドには次の表のいずれかの値を入力できます。
direction フィールドの値
意味
==
双方向のマッピングを行います。エントリは Windows から
UNIX に、および UNIX から Windows にマッピングされま
す。
direction フィールドを指定しない場合は、==が適用されま
す。
<=
エントリは UNIX から Windows にマッピングされます。
=>
エントリは Windows から UNIX にマッピングされます。
UNIX_name フィールドについて
UNIX_name フィールドは UNIX パスワードデータベース内の UNIX 名です。
マップエントリのマッピング先で、UNIX_name フィールドが空または空白の場合（""と指定されて
いる場合）、指定されたマッピング元の名前ではログインできません。 Windows ユーザは、たとえ
ネットワークの参照中にそのストレージシステムを見ることができても、ログインすることはできま
せん。
UNIX 名にアスタリスク（*）を使用できます。アスタリスクはワイルドカード文字とみなされます。こ
れは、すべてのユーザを表します。 Windows 名または UNIX 名でアスタリスクを使用する場合
は、次のガイドラインに注意してください。
•
•
•
マッピング元でアスタリスクを使用する場合は、すべてのユーザが、マッピング先の指定された
名前にマッピングされます。
マッピング先でアスタリスクが指定されているが、マッピング元では指定されていない場合、マ
ッピングは行われません。
Data ONTAP では、明示的に指定された名前からアスタリスクで指定された名前へのマッピン
グは行われません。
マッピング元とマッピング先の両方でアスタリスクが指定されている場合は、対応する名前がマ
ッピングされます。
Data ONTAP による/etc/usermap.cfg 内のドメイン名の解釈
/etc/usermap.cfg ファイル内のドットを含んだドメイン名に関する Data ONTAP の解釈方法は、
ストレージシステムが Windows NT ドメイン内にあるか、または Windows Active Directory ドメイ
ン内にあるかによって異なります。
ストレージシステムが Windows NT のドメイン内にインストールされている場合、ドメイン名フィー
ルドの長さが、ドメイン名の解釈に影響を与えます。
260 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ストレージシステムが Windows Active Directory のドメイン内にインストールされている場合、ドメ
イン名は Windows サーバでの解釈と同様に解釈されます。
ストレージシステムが Windows NT のドメイン内にある場合、domain\user という形式でドットが
含まれているドメイン名は、次の規則に従って解釈されます。
•
domain が 15 文字以内の場合、ドットが含まれている文字列全体が NetBIOS 形式のドメイン
名として認識されます。
たとえば、次の名前では my_company.com が NetBIOS 形式のドメイン名です。
my_company.com\john_smith
•
domain が 16 文字以上の場合、ドットは区切り文字として扱われ、最初のドットより前の文字
列が NetBIOS 形式のドメイン名になります。
たとえば、次の名前では engineering が NetBIOS 形式のドメイン名です。
engineering.1234567890corporation.com\john_smith
ストレージシステムが Windows Active Directory のドメイン内にある場合は、domain\user という
形式でユーザ名を指定できます。 domain 内の最初のドットより前の文字列が NetBIOS 形式のド
メイン名であり、domain 内の文字列全体が DNS ドメイン名です。
たとえば、次の名前では engineering が NetBIOS 形式のドメイン名で、engineering.
1234567890corporation.com が DNS ドメイン名です。
engineering.1234567890corporation.com\john_smith
usermap.cfg エントリの例
usermap.cfg ファイルでは、ユーザ名、アスタリスク、IP 修飾子などを使用し、いくつもの形式で
エントリを指定できます。さまざまなエントリの正しい構文を理解できるよう、以下に例を挙げて説
明します。
次の表に、/etc/usermap.cfg エントリの単純な例を示します。
エントリ
意味
"Bob Garj" == bobg
Windows 名 Bob Garj が UNIX 名 bobg にマ
ッピングされ、UNIX 名 bobg が Windows 名
Bob Garj にマッピングされます。
mktg\Roy => nobody
mktg ドメイン内の Windows 名 Roy が、UNIX
名 nobody にマッピングされます。このエントリ
では、Roy はログインできますが、UNIX 形式
のセキュリティが設定されたファイルへのアク
セスは制限されます。
engr\Tom => ""
engr ドメイン内のユーザ Tom のログインを許
可しません。
次の表に、Windows 名でアスタリスクを使用する例を示します。
NFS と CIFS 間でのファイルの共有 | 261
エントリ
意味
uguest <= *
一致しないすべての UNIX 名が、Windows ユ
ーザ uguest にマッピングされます。
*\root => ""
すべてのドメインにある Windows 名 root を使
用したログインを許可しません。
corporate\* == pcuser
corporate ドメイン内のすべてのユーザが、
UNIX 名 pcuser にマッピングされます。
Windows ユーザ名にアスタリスクが使用されて
いるため、UNIX 名 pcuser から Windows ユ
ーザ名へのマッピングは行われません。
Engineer == *
すべての UNIX 名が、ストレージシステムのド
メイン内にある Windows 名 Engineer にマッ
ピングされます。 UNIX ユーザ名にアスタリス
クが使用されているため、Windows 名
Engineer から UNIX ユーザ名へのマッピング
は行われません。
次のいずれかのエントリ
すべての UNIX ユーザが、homeusers ドメイ
ン内の対応する名前にマッピングされます。た
とえば、UNIX ユーザ bob は homeusers\bob
にマッピングされます。
homeusers ドメイン内にあるすべての
Windows ユーザは、対応する UNIX 名にマッ
ピングされます。たとえば、homeusers ドメイ
ン内の Windows ユーザ john は、UNIX 名
john にマッピングされます。
•
•
homeusers\* *
homeusers\* == *
次の表に、IP 修飾子の使用例を示します。
エントリ
意味
Engineering\* <= sunbox2:*
sunbox2 というホストにある UNIX 名が、
Engineering ドメイン内の同じ名前にマッピン
グされます。
Engineering\* <= 192.9.200.70:*
IP アドレス 192.9.200.70 にある UNIX 名が、
Engineering ドメイン内の同じ名前にマッピン
グされます。
""<= 192.9.200.0/24:*
192.9.200.0 サブネットの UNIX 名は null 文字
列にマッピングされるため、このサブネットから
のすべての NFS 要求は拒否されます。
262 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
エントリ
意味
192.9.200.0/24:test-dom\* => ""
test-dom ドメイン内のすべてのユーザは、
192.9.200.0 サブネットからのアクセスを拒否さ
れます。
*\* == corpnet/255.255.0.0:*
すべてのドメイン内にあるすべてのユーザ名
が、対応する UNIX 名にマッピングされます。
ユーザ名が複数のドメイン間で一意でない場
合、異なる Windows 名が同じ UNIX 名にマッ
ピングされてしまう可能性があります。
IP 修飾子は照合のためだけに使用されるの
で、「corpnet/255.255.0.0:」と指定しても、
Windows から UNIX へのマッピングには影響
しません。
双方向のマッピングが行われるため、corpnet/
255.255.0.0 ネットワークからのすべての UNIX
名が、ストレージシステムのいずれかの信頼
できるドメインにある同じ名前にマッピングされ
ます。
ユーザ名をマッピングするためのガイドライン
いくつかのガイドラインに従って、簡単でわかりやすいエントリを作成してください。
マッピングを実行する場合は、次のガイドラインに注意してください。
•
•
Windows ユーザ名と UNIX ユーザ名はできるだけ同じ名前を使用してください。
同じ名前にすると、/etc/usermap.cfg ファイルにマップエントリを作成する必要がなくなりま
す。
次のようなわかりにくいマップエントリは作成しないでください。
"tome s" => tjs
bill <= tjs
•
複数のユーザをさまざまなマッピング先にマッピングする場合には、IP 修飾子を使用しないでく
ださい。
たとえば、UHOST1 の UNIX ユーザ tjs を Windows ユーザ「Tom S」にマッピングし、UHOST2
の UNIX ユーザ tjs を Windows ユーザ Smith にマッピングすると、わかりにくくなります。 IP
修飾子はアクセスを制限するためだけに使用してください。
セキュリティを強化するために推奨されるエントリ
不正ユーザのストレージシステムへのアクセスを防止するには、/etc/usermap.cfg ファイルに
エントリをいくつか追加する必要があります。
Data ONTAP では、最初に一致したエントリを使用してマッピングを決定するため、ここで推奨され
るエントリをファイルにコピーするときは、エントリの順番に注意してください。
NFS と CIFS 間でのファイルの共有 | 263
マップエントリ
意味
*\root => nobody
root という名前の Windows ユーザはすべてロ
グインできますが、UNIX アクセス権は持って
いません。別のマッピングを適用したい root と
いう名前の Windows ユーザインスタンスがあ
る場合は、/etc/usermap.cfg ファイルのこの
エントリよりも前に明示的にマップエントリを追
加します。
guest <= administrator
最初のエントリは、UNIX から Windows
Administrator アカウントへのなりすましを防止
ます（Administrator アカウントの名前が変更さ
れていない場合）。 2 番目のエントリは、UNIX
ユーザ root を Windows guest アカウントにマッ
ピングします。 2 番目のエントリは、ルート権限
を持つ UNIX ホストまたはサブネットの明示的
なマップエントリのあとに記述します。記述する
場所は、/etc/usermap.cfg ファイルの末尾
付近になります。
guest <= root
*\* => ""
"" <= *
これらのエントリをファイルの末尾に指定する
と、他のマッピングが行われるのを防ぐことが
できます。デフォルトでは、エントリが一致しな
い場合、同じ名前を照合しようとしますが、この
デフォルトの動作が回避されます。
NFS クライアントの確認
マルチプロトコルのストレージシステムについては、NFS アクセスを/etc/usermap.cfg ファイル
にマッピングされたクライアントだけに制限できます。
タスク概要
このセキュリティ制限は、非 Kerberos 環境、つまり主に CIFS クライアントに対応しているが、ある
既知の（IP マッピングされた）NFS クライアントからの接続は許可したい環境におそらく最も適して
います。 nfs.require_valid_mapped_uid オプションの詳細については、options(1)のマニュア
ルページを参照してください。
root への Windows アカウントのマッピング
環境内のクライアントがすべて CIFS クライアントで、ストレージシステムがマルチプロトコルストレ
ージシステムとしてセットアップされている場合は、ストレージシステム上のファイルにアクセスす
るルート権限を持つ Windows アカウントが 1 つ以上必要です。このアカウントがないと、/etc ディ
264 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
レクトリ内の一部の構成ファイルなど、UNIX 形式のセキュリティが設定されたファイルにアクセス
できないため、ストレージシステムを管理できません。
タスク概要
ただし、ストレージシステムが NTFS 専用にセットアップされている場合、/etc ディレクトリにファイ
ルレベルの ACL があり、この ACL によって、管理者グループは Data ONTAP 構成ファイルにア
クセスできます。
手順
1. 次のいずれかを実行します。
マッピン
グ
操作
管理者 wafl.nt_admin_priv_map_to_root オプションが on に設定されていることを確認し
アカウンます。
トからル
アカウントを root にマッピングする/etc/usermap.cfg エントリを指定していない場合で
ート
も、管理者グループ内のすべてのアカウントが root とみなされます。管理者グループに属す
るアカウントを使用してファイルを作成する場合、UNIX クライアントからファイルを表示する
ときに、ファイルは root によって所有されます。
選択した root にマッピングされるアカウントごとに、/etc/usermap.cfg エントリを追加します。
アカウン
注: マルチプロトコルストレージシステム上の root にマッピングされる Windows アカウン
トからル
トが
1 つ以上必要になります。このアカウントがない場合は、どのアカウントも/etc ディ
ート
レクトリの構成ファイルにアクセスできません。
次のコマンドを入力して、wafl.nt_admin_priv_map_to_root オプションを無効にしま
す。
options wafl.nt_admin_priv_map_to_root off
管理者グループ内のアカウントが root にマッピングされなくなります。 UNIX 形式のセキュリ
ティが設定されたファイルへアクセスできるのは、/etc/usermap.cfg ファイル内で root
へのマッピングを指定した管理者グループ内のアカウントだけになります。管理者グループ
内のアカウントごとに UNIX ID が設定されます。
UID および GID への UNIX 名のマッピング
CIFS ユーザが UID と GID を取得するには、ユーザの UNIX 名に対応する UNIX アカウントを
UNIX パスワードデータベース内に作成する必要があります。
タスク概要
Data ONTAP は、各 UNIX 名の UID とプライマリ GID を UNIX パスワードデータベースから取
得し、セカンダリ GID を UNIX グループデータベースから取得します。デフォルトの UNIX ユー
ザアカウントを有効にすると、UNIX 名がパスワードデータベース内にない CIFS ユーザも UID
を取得できます。
NFS と CIFS 間でのファイルの共有 | 265
cifs setup を実行する前のストレージシステムが NIS クライアントの場合、/etc/passwd ファ
イルは自動的に作成されません。 cifs setup の実行時に NIS が無効になっている場合
は、/etc/passwd ファイルが自動的に作成されます。
NIS サーバに障害が発生し、ストレージシステムが/etc/passwd ファイルを保持していない場
合、CIFS ユーザはストレージシステムに接続できなくなります。 NIS が使用できない場合でもスト
レージシステムが CIFS ユーザの UNIX クレデンシャルを取得できるように、/etc/passwd ファイ
ルを作成しておくことができます。
デフォルトの/etc/passwd ファイルには、次の UNIX 名のエントリが含まれています。
•
•
•
root
pcuser
nobody
/etc/group ファイルおよび/etc/passwd ファイルの形式の詳細については、『ストレージ管理ガ
イド』を参照してください。
手順
1. 次のいずれかを実行します。
目的
操作
/etc/passwd ファイル
ではなく NIS を使用する
各 CIFS ユーザの UNIX 名を NIS パスワードマップに追加します。
NIS ではなく/etc/
passwd ファイルを使用
する
各ユーザの UNIX 名に対して、/etc/passwd ファイルにエントリを追加し
ます。
Data ONTAP はパスワードのエントリを作成するコマンドをサポートしていな
いので、passwd コマンドをサポートする UNIX ホストを使用して、/etc/
passwd ファイルをホスト上に作成します。作成したファイルは、ホストから
ストレージシステムにコピーします。
デフォルトの UNIX ユーザアカウントの有効化と無効化
ときどきストレージシステムに接続する必要はあるが、UNIX パスワードデータベース内に個別の
エントリを作成する必要がないユーザに対しては、デフォルトの UNIX ユーザアカウントを作成し
ます。これらのユーザはデフォルトのユーザアカウントを使用して、ストレージシステムに接続し
ます。
タスク概要
デフォルトユーザのデフォルトの UNIX 名は pcuser です。 wafl.default_unix_user オプショ
ンを使用して、別の名前を指定できます。このオプションを null 文字列に設定すると、どのユーザ
も UNIX デフォルトユーザとしてストレージシステムにアクセスできません。つまり、ストレージシ
ステムにアクセスするためには、各ユーザがパスワードデータベースにアカウントを持つ必要があ
ります。
266 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ユーザがデフォルトのユーザアカウントを使用してストレージシステムに接続するには、次の前提
条件を満たす必要があります。
•
•
•
ユーザが認証されていること
ユーザが信頼できるドメインに属していること
ユーザ名が/etc/usermap.cfg ファイル内で null 文字列にマッピングされていないこと
クォータが有効になっている場合、デフォルトのユーザアカウントは他のユーザと同様にクォータ
制限の対象となります。たとえば、デフォルトのユーザ名が pcuser で、デフォルトのユーザクォー
タが/vol/vol0 ボリュームに適用される場合、pcuser はこのデフォルトのユーザクォータによって
制限されます。デフォルトユーザに適用するクォータの詳細については、『Data ONTAP ストレー
ジ管理ガイド』のデフォルトユーザが所有するディスクスペースの計算方法に関するセクションを
参照してください。このセクションは、クォータを使用したディスクスペースの管理に関する章に記
載されています。
手順
1. 次のいずれかを実行します。
目的
操作
デフォルトの UNIX ユー
ザアカウントを無効にす
る
次のコマンドを入力します。
options wafl.default_unix_user ""
パスワードデータベースにアカウントのあるユーザのみがストレージシステ
ムにアクセスできます。
デフォルトの UNIX ユー
ザアカウントを無効にす
る
NIS パスワードデータベースまたは/etc/passwd ファイル内に、pcuser ア
カウントのエントリを作成します。
デフォルトの UNIX ユー
ザアカウントの名前を
pcuser から別の名前に
変更
wafl.default_unix_user オプションを、デフォルトの UNIX ユーザア
カウントの新しい名前に設定します。
たとえば、次のコマンドを入力して、デフォルトのユーザ名を someuser に変
更します。
options wafl.default_unix_user someuser
Windows ゲストユーザアカウントの有効化と無効化
Windows ゲストユーザアカウントを有効にする影響は、ストレージシステムのユーザ認証方法に
よって異なります。
タスク概要
次に、考えられる影響を示します。
NFS と CIFS 間でのファイルの共有 | 267
•
•
ストレージシステムがドメインコントローラまたはローカルユーザアカウントを使用してユーザ
を認証する場合、Windows ゲストユーザアカウントを有効にすると、信頼できないドメインから
ログインしたユーザがストレージシステムに接続できるようになります。
これらのユーザは、Guest アカウント専用に作成された UNIX UID を使用します。 Guest として
ログインしたユーザは、ホームディレクトリを持ちません。
ストレージシステムが UNIX パスワードデータベースを使用してユーザを認証する場合、
Windows ゲストユーザアカウントを有効にすると、デフォルトの UNIX アカウントを有効にする
場合と同じ効果があります。ただし、Guest としてログインしたユーザは、ホームディレクトリを
持ちません。
手順
1. 次のいずれかを実行します。
目的
操作
Windows ゲストユーザ
アカウントを無効にする
次のコマンドを入力します。
Windows ゲストユーザ
アカウントを有効にする
NIS パスワードデータベースまたは/etc/passwd ファイル内に、ゲストア
カウントが使用するユーザアカウントを作成します。
options cifs.guest_account ""
次のコマンドを入力して、UNIX パスワードデータベース内で使用するゲス
トユーザアカウント名を指定します。
options cifs.guest_account unix_name
unix_name は、UNIX パスワードデータベース内のユーザアカウントの
名前です。
SID と名前のマッピングキャッシュの管理
CIFS では、ユーザ認証、クォータ管理、コンソールコマンドの処理、およびさまざまな RPC 応答を
行うときに、頻繁にセキュリティ識別子（SID）をユーザ名やグループ名にマッピングしたり、ユーザ
名やグループ名をセキュリティ識別子にマッピングしたりする必要があります。 SID と名前のマッピ
ングキャッシュには、SID を Windows 2000 より前のユーザ名およびグループ名に対してマッピン
グするエントリが格納されます。
タスク概要
ストレージシステムは、ドメインコントローラを照会して、SID と名前のマッピング情報を取得しま
す。同じ名前を何度も参照しないように、ドメインコントローラから受け取った SID と名前のマッピ
ング情報がストレージシステム上の SID と名前のマッピングキャッシュに保存されます。
ストレージシステムでは、SID と名前のマッピングキャッシュがデフォルトで有効になっています。
エントリの有効期間を変更したり、エントリを消去したり、SID と名前のマッピングキャッシュをオン
またはオフにすることによって、キャッシュを手動で制御できます。キャッシュは、CIFS サービスを
268 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
終了したりリスタートしたりしても維持されますが、リブートやテイクオーバーおよびギブバックのあ
とは維持されません。
ストレージシステムは、SID と名前のマッピング情報が必要なとき、まず SID と名前のマッピング
キャッシュ内で一致するエントリを探します。一致するエントリが見つからない場合や、期限切れ
のエントリが見つかった場合、ストレージシステムは最新のマッピング情報について該当するドメ
インコントローラを照会します。ドメインコントローラが使用できない場合、ストレージシステムは
期限切れのマッピングエントリを使用することがあります。
名前の検索に SID と名前のマッピングキャッシュを使用する主な利点は、次のとおりです。
•
•
認証のパフォーマンスが向上します。
マッピング操作を実行するコンソールコマンドに対するユーザ応答が速くなります。
SID と名前のマッピングキャッシュの有効化と無効化
SID と名前のマッピングキャッシュを有効または無効にするには、cifs.sidcache.enable オプ
ションをそれぞれ on または off に設定します。
手順
1. 次のいずれかを実行します。
SID と名前のマッピングキャッシュの設定
操作
有効にする
次のコマンドを入力します。
options cifs.sidcache.enable on
無効にする
次のコマンドを入力します。
options cifs.sidcache.enable off
SID と名前のマッピングエントリの有効期間の変更
SID と名前のマッピングエントリの有効期間を変更するには、cifs.sidcache.lifetime オプシ
ョンを設定します。
手順
1. 次のコマンドを入力します。
options cifs.sidcache.lifetime time
time には、新しいマッピングエントリが期限切れとなって使用できなくなるまでの時間を分数
で指定します。
SID と名前のマッピングキャッシュの全体または一部の消去
期限から 1 週間を過ぎたエントリは、SID と名前のマッピングキャッシュから定期的に自動消去さ
れます。ただし、ユーザがアカウントまたはユーザ名を変更した場合は、SID と名前のマッピング
キャッシュ内のエントリを手動で消去する必要があります。また、ドメインコントローラを使用できな
NFS と CIFS 間でのファイルの共有 | 269
い場合に、SID と名前のマッピングキャッシュをすべて手動で消去して、ストレージシステムが期
限切れのエントリを使用しないようにすることもできます。
手順
1. 次のいずれかを実行します。
SID と名前のマッピ入力するコマンド
ングキャッシュエン
トリの消去対象
すべての Windows cifs sidcache clear all
ドメイン、ユーザ、グ
ループ、および SID
特定の Windows ド
メイン
cifs sidcache clear [domain]
domain は、消去するキャッシュエントリの Windows ドメインです。
ドメインを指定しないと、ストレージシステムのホームドメインのエントリがキャッ
シュから消去されます。
特定のユーザまた
はグループ
cifs sidcache clear user username
username は、キャッシュから消去する特定の Windows ユーザまたはグループ
のエントリです。次のようにユーザ名を指定できます。
•
•
domain\username
username
ドメインを使用しないでユーザ名を指定すると、ストレージシステムのホームドメ
インがドメインに使用されます。
特定の SID
cifs sidcache clear sid textualSid
textualSid は、キャッシュから消去するテキスト形式の SID です。標準的な
「S-1-5...」構文を使用して SID を指定します。
例：
cifs sidcache clear sid S-1-5-21-4503-17821-16848-500
270 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
LDAP サービスの使用
Data ONTAP は、NFS と CIFS 間のユーザ認証、ファイルアクセス許可、ユーザ検索、およびマッ
ピングサービスのための LDAP、および LDAP over Secure Sockets Layer（SSL）をサポートしてい
ます。
タスク概要
LDAP サーバを使用すると、ユーザ情報を集中的に保守できます。その結果、ネットワーク上の各
ストレージシステムの構成ファイルを個別に保守する必要がなくなります。ネットワーク上に複数
のストレージシステムがある場合、ユーザ情報を集中的に保守すると、ユーザやグループを追加
または削除するたびに各ストレージシステム上の構成ファイルを更新しなくて済みます。
ユーザデータベースを LDAP サーバに格納する場合、LDAP データベースのユーザ情報を検索
するようストレージシステムを設定できます。たとえば、コンソールおよび rsh、telnet、http、https、
ssh の各プロトコルの管理ユーザのログインおよびパスワード情報を LDAP サーバ上に格納する
ことで、これらの情報の集中管理が可能になります。
Data ONTAP は、署名が必要な LDAP サーバへの接続をサポートします。LDAP 署名のサポート
はデフォルトで有効です。
LDAP サービスの設定
このセクションでは、Data ONTAP を LDAP データベースに接続するための設定に役立つ情報を
記載します。
一般的な検索ベースと範囲の指定
LDAP ベースはユーザ情報が保存されている LDAP ツリーの識別名です。 LDAP サーバに送信
されたすべての検索要求は、ldap.base.passwd、ldap.base.group、または
ldap.base.netgroup などのより具体的なベースおよび検索値によって制限されないかぎり、
ldap.base オプション値によって指定された検索ベースおよび範囲に制限されます。
手順
1. 次のコマンドを入力します。
options ldap.base name
name には、ベース識別名を指定します。名前にスペースが含まれている場合は引用符で囲
んでください。
例
options ldap.base "o=examplecompany,c=us"
NFS と CIFS 間でのファイルの共有 | 271
ユーザパスワード、グループ、ネットグループ検索用の一般的なベースおよび範囲値の上書き
必須ではありませんが、ユーザパスワード、グループ、ネットグループの検索に使用するベース値
と範囲値を指定して、これらの検索クエリを LDAP データベースの特定のブランチに制限できま
す。これらのクエリの検索ベースと範囲を制限するとパフォーマンスは大幅に向上します。
タスク概要
ldap.base.passwd、ldap.base.group、および ldap.base.netgroup の各オプションを指定
すると、指定した値は ldap.base で設定された検索ベースと範囲よりも、それぞれユーザのパス
ワード、グループ、およびネットグループ検索で優先されます。
手順
1. 次のコマンドを入力して、ユーザパスワード検索のベース値と範囲値を設定します。
options ldap.base.passwd "distinguished_name"
distinguished_name は、LDAP データベースで定義されているユーザパスワード検索の特
定のブランチです。
2. 次のコマンドを入力して、グループ検索のベース値と範囲値を設定します。
options ldap.base.group "distinguished_name"
distinguished_name は、LDAP データベースで定義されているグループ検索の特定のブラ
ンチです。
3. 次のコマンドを入力して、ネットグループ検索のベース値と範囲値を設定します。
options ldap.base.netgroup "distinguished_name"
distinguished_name は、LDAP データベースで定義されているネットグループ検索の特定
のブランチです。
LDAP サーバの指定
LDAP クエリに使用する LDAP サーバを指定するには、ldap.servers オプションを設定します。
手順
1. 次のコマンドを入力します。
options ldap.servers "name[ name...]"
name は、LDAP サーバの名前です。複数のサーバを指定するには、サーバ名をスペースで
区切り、全体を引用符で囲みます。 Data ONTAP は、指定された順序で各サーバとの接続の
確立を試行します。
注: Windows LDAP サーバを IP アドレスではなく名前として指定し、/etc/hosts ファイルに
Windows LDAP サーバの IP アドレスと名前を指定している場合を除き、Windows LDAP サ
ーバは SASL を使用しないで単純認証を使用します。 /etc/hosts ファイルの編集方法に
272 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ついては、『Data ONTAP 7-Mode システムアドミニストレーションガイド』を参照してくださ
い。
例
options ldap.servers "server1 server2"
優先 LDAP サーバの指定
優先 LDAP サーバを指定するには、ldap.servers.preferred を設定します。より高速のリン
クにある LDAP サーバを指定して、パフォーマンスを向上させることができます。
手順
1. 次のコマンドを入力します。
options ldap.servers.preferred "name [ name...]"
name には優先 LDAP サーバの名前を指定します。複数のサーバを指定するには、サーバ名
をスペースで区切り、全体を引用符で囲みます。
例
options ldap.servers.preferred "server1 server2"
LDAP の有効化と無効化
LDAP を有効または無効にするには、ldap.enable オプションをそれぞれ on または off に設定
します。
手順
1. 次のいずれかを実行します。
目的
操作
LDAP を有効にする
次のコマンドを入力します。
options ldap.enable on
LDAP を無効にする
次のコマンドを入力します。
options ldap.enable off
NFS と CIFS 間でのファイルの共有 | 273
LDAP トラフィックの SSL の有効化と無効化
LDAP トラフィックの Secure Sockets Layer（SSL）暗号化を有効または無効にするには、
ldap.ssl.enable オプションをそれぞれ on または off に設定します。
開始する前に
LDAP の SSL を有効にする前に、ルート機関が署名した証明書をストレージシステムにインスト
ールする必要があります。
注: ストレージシステムとサーバの証明書は、両方とも同一の証明書署名機関から発行された
ものである必要があります。
手順
1. 次のいずれかを実行します。
LDAP の SSL の設定
操作
有効にする
次のコマンドを入力します。
options ldap.ssl.enable on
無効にする
次のコマンドを入力します。
options ldap.ssl.enable off
終了後の操作
このオプションを有効にしたあとにルート証明書をストレージシステムにインストールした場合、オ
プションを一度無効にしてから再度有効にして、ストレージシステムが証明書を読み取れるように
する必要があります。
LDAP トラフィックのための SSL 用ルート証明書のインストール
LDAP トラフィックの SSL 暗号化に使用するルート証明書をストレージシステムにインストールす
るには、keymgr コマンドを使用します。
手順
1. 信頼できる署名機関から証明書をストレージシステムにダウンロードします。ストレージシス
テム上の証明書の場所をメモしておきます。
2. 次のコマンドを入力します。
keymgr install root certificate_filename
certificate_filename は、証明書の完全なファイル名です。 keymgr コマンドで証明書をイ
ンストールしたら、ストレージシステム上のコピーを削除できます。
例
274 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
keymgr install root /etc/my_cert
注: ストレージシステムとサーバの証明書は、両方とも同一の証明書署名機関から発行され
たものである必要があります。
3. LDAP ポートをポート 636 に設定します。
/etc/nsswitch.conf ファイルへの ldap エントリの追加
/etc/nsswitch.conf ファイルに ldap エントリを追加すると、UNIX クライアント認証に LDAP
を使用できるようになります。
手順
1. 編集のためにストレージシステム上で/etc/nsswitch.conf ファイルを開きます。
2. passwd、group、および netgroup 行に以下を入力します。
ldap
オプションで passwd 行に files、nis、またはその両方を追加できますが、ユーザ情報を検索
する最初のメカニズムとして LDAP を使用する場合は ldap のあとに入力する必要がありま
す。
例
passwd: ldap files nis
3. ファイルを保存します。
管理ユーザ名の指定
使用環境で匿名認証が機能しない場合は、管理照会で UID および GID の検索に使用する管理
ユーザ名を指定する必要があります。
手順
1. 次のコマンドを入力します。
options ldap.name name
name は、管理照会に使用する LDAP 識別名です。 LDAP データベースへの読み取り専用ア
クセス権を持つユーザの名前を使用してください。名前にスペースが含まれている場合は引用
符で囲んでください。
例
options ldap.name "cn=root,o=examplecompany,c=us"
NFS と CIFS 間でのファイルの共有 | 275
管理パスワードの指定
管理パスワードを設定するには、ldap.passwd オプションを設定します。
手順
1. 次のコマンドを入力します。
options ldap.passwd password
password は管理ユーザのパスワードです。
パスワードは、連続したアスタリスクで表示されます。
LDAP ポートの指定
LDAP クエリのポートを指定するには、ldap.port オプションを指定します。このオプションは、
LDAP サーバが、LDAP 用のデフォルトポート（389）以外のポートを使用するように設定されてい
る場合に便利です。
手順
1. 次のコマンドを入力します。
options ldap.port N
N には LDAP ポート番号を指定します。
LDAP サーバオプションの優先順位
Data ONTAP では、LDAP サーバオプションの設定に基づいて LDAP サーバが選択されます。
サーバ指定オプション
サーバ選択順序
ldap.preferred.servers
このオプションが指定された場合、まずこのオ
プションに指定されたサーバが指定された順序
で試行されます。
ldap.servers
ldap.preferred.servers が指定されなかっ
た場合、または指定されたサーバが利用でき
なかった場合、このオプションに指定されたサ
ーバが指定された順序で試行されます。
ldap.ADdomain
ldap.preferred.servers と ldap.servers
のどちらも指定されなかった場合または利用で
きなかった場合、このオプションに指定された
サーバが、ドメインコントローラの選択方法に
基づいて試行されます。
276 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
クライアント認証と許可の管理
UNIX または Windows クライアントに関する LDAP 認証を有効にしたり、Windows クライアントか
ら UNIX ファイルへのアクセス、および UNIX クライアントから NTFS ファイルまたは mixed ファイ
ルへのアクセスに関する LDAP 許可を有効にしたりできます。
LDAP ベースの UNIX クライアント認証の有効化
LDAP ベースの UNIX クライアント認証を有効にするには、/etc/nsswitch.conf ファイルの
passwd 行に ldap が入力されていることを確認します。
LDAP ベースの Windows クライアント認証の有効化
LDAP サーバを通して Windows クライアントを認証するには、/etc/nsswitch.conf ファイルの
passwd 行に ldap を追加して、さらに次の手順を実行します。
手順
1. アクセスするストレージシステム上で cifs setup を実行し、ストレージシステム上で CIFS ク
ライアントのために使用する認証方法として NIS / LDAP を指定します。
2. Kerberos またはほかの暗号化認証方法ではなくクリアテキストの（暗号化されていない）パス
ワード認証を使用するよう、各 Windows クライアントのローカルセキュリティを設定します。
3. Windows クライアントの userpassword 属性が LDAP ユーザデータベースに設定されている
ことを確認します。
Windows クライアントからの NFS ファイルアクセスに関する LDAP 許可の有効化
LDAP 認証を使用するストレージシステム上の UNIX ファイルへの Windows クライアントアクセ
スの許可を有効にするには、2 つのタスクを実行します。
手順
1. アクセスするストレージシステム上で、UNIX ファイルにアクセスする必要のあるすべての
CIFS ユーザが usermap.cfg ファイルの対応する UNIX ユーザ名にマッピングされていること
を確認します。
2. すべての対応する UNIX ユーザ名のエントリが LDAP データベースにあることを確認します。
NFS と CIFS 間でのファイルの共有 | 277
UNIX クライアントからの NTFS または mixed ファイルシステムアクセスに関する LDAP 許可の有効
化
LDAP 認証を使用するストレージシステム上の NTFS ファイルまたは mixed ファイルシステムへ
の UNIX クライアントアクセスの許可を有効にするには、いくつかのタスクを実行します。
手順
1. NTFS または mixed ファイルシステムにアクセスする必要のあるすべての UNIX ユーザについ
て、LDAP データベースにエントリがあることを確認します。
2. アクセスするストレージシステム上で、NTFS または mixed ファイルシステムにアクセスする必
要のあるすべての UNIX ユーザが、usermap.cfg ファイルで対応する CIFS ユーザ名にマッ
ピングされていることを確認します。
LDAP ユーザマッピングサービスの管理
NIS データを使用したり、/etc/usermap.cfg ファイルにエントリを追加しなくても、LDAP サービ
スを使用して UNIX と Windows ユーザアカウントのマッピングを行うことができます。デフォルト
では、両方向（UNIX から Windows へのマッピングおよび Windows から UNIX へのマッピング）
で同じ（1 対 1）ユーザアカウント解決プロセスが使用されます。
タスク概要
デフォルトでは、LDAP ベースのユーザマッピングは無効です（Data ONTAP は、/etc/
usermap.cfg ファイルからユーザマッピング情報を検索します）。
ファイルベースのユーザマッピングから LDAP に変更する場合は、/etc/usermap.cfg ファイル
から（null セッションエントリを除く）マッピングエントリを削除する必要があります。マッピングエン
トリがこのファイルに存在すると、LDAP レコードではなくそのエントリがユーザマッピングに使用さ
れます。
Data ONTAP で null セッションを設定した場合、必ず/etc/usermap.cfg ファイルに null セッショ
ンクライアントエントリを残してください。
Data ONTAP が LDAP 検索サービスへアクセスできるようにするため、UNIX ユーザアカウント情
報が非 Active Directory LDAP サーバに保存されている場合は、その LDAP サーバを単純認証
または匿名ユーザ検索を許可するよう設定する必要があります。
手順
1. Data ONTAP コマンドラインから、ldap.usermap.attribute.windowsaccount オプション
の値を次のように指定します。
options ldap.usermap.attribute.windowsaccount account_name
account_name は Data ONTAP が Windows アカウントの検索に使用するユーザオブジェクト
属性です。
278 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
2. LDAP スキーマを拡張して、手順 1 で入力したユーザオブジェクト属性を含めます。
3. Data ONTAP コマンドラインから、ldap.usermap.attribute.unixaccount オプションの値
を次のように指定します。
options ldap.usermap.attribute.unixaccount account_name
account_name は Data ONTAP が UNIX アカウントの検索に使用するユーザオブジェクト属
性です。
4. LDAP スキーマを拡張して手順 2 および手順 3 で入力した値を含めます。
5. 次のコマンドを入力します。
options ldap.usermap.enable on
LDAP サーバの負荷が大きい場合は、ユーザマッピング用に別の検索ベースまたは検索ベー
スと範囲を設定することによりパフォーマンスを向上させることができます。
ユーザマッピングのためのベースと範囲の指定
LDAP オプションを使用すると、検索ベースと範囲を設定して、属性検索を LDAP データベースの
適切な領域に限定できます。これらのオプションを設定すると、LDAP 検索の速度が向上します。
手順
1. 検索ベースと範囲を指定する場合には次の構文を使用します。
ベースと範囲の値は、LDAP のデータ構造に対応している必要があります。
options ldap.usermap.base "base[:scope][;base2[:scope2]]"
例
次のコマンドを入力すると、ユーザマッピング検索の検索ベースが
ou=People,dc=domain0 に設定され、（指定されていない）検索範囲がデフォルトの
SUBTREE となります。
options ldap.usermap.base ou=People,dc=domain0”
かっこを使用することにより、指定された検索範囲（BASE）が ou=People,dc=domain0 に
適用されます。 o（「org」）オブジェクトの指定されていない検索範囲は、デフォルトの
SUBTREE となります。
options ldap.usermap.base "(ou=People,dc=domain0):BASE;o=org"
終了後の操作
検索ベースと範囲の値の詳細については、LDAP のマニュアルを参照してください。
NFS と CIFS 間でのファイルの共有 | 279
Active Directory LDAP サーバの管理
Data ONTAP では、LDAP 検索サービスのために Active Directory を接続することができます。
Active Directory LDAP サーバの使用
LDAP サービスに Active Directory を使用するには、完全修飾 Active Directory ドメインを Data
ONTAP の ldap.ADdomain オプションに入力します。
タスク概要
Active Directory を使用して Windows から UNIX へのマッピングが実行されると、Data ONTAP で
は次の処理が実行されます。
•
•
•
ユーザアカウントが、そのアカウントに指定された Active Directory ドメイン内に存在すること
を確認します。
ldap.ADdomain オプションで指定された Active Directory ドメインへの照会を行います。
UNIX ユーザアカウント情報を返し、ユーザアカウントが存在することを確認します。
Active Directory LDAP サーバの要件
Active Directory を LDAP サーバとして使用するための要件は次のとおりです。
Active Directory を LDAP サーバとして使用するための要件は次のとおりです。
•
•
•
有効な CIFS ライセンス
Active Directory ドメインに参加しているストレージシステム
ストレージシステムのドメインと LDAP サーバのドメインが異なる場合は、それらのドメイン間
に確立された双方向の信頼関係
Active Directory LDAP 検索サービスの有効化
Active Directory の LDAP 検索サービスを有効にするには、いくつかのタスクを実行します。
手順
1. UNIX ユーザアカウント情報が Active Directory にない場合、または匿名ユーザ検索を許可
するよう設定された LDAP サーバにない場合は、ldap.name および ldap.passwd オプション
に、LDAP 検索に使用するユーザ名およびパスワードをそれぞれ入力します。
options ldap.name user_name
options ldap.passwd password
2. /etc/nsswitch.conf ファイルに、LDAP を使用する検索サービスとして指定するために、
passwd エントリ、group エントリ、またはその両方に ldap を指定します。
3. カスタムスキーマがある場合は、NSSMAP オプションに値を入力します。
4. Data ONTAP コマンドラインから次のコマンドを入力します。
280 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
options ldap.ADdomain fully_qualified_domain_name
例
options ldap.ADdomain group.company.com
注: 入力するドメインは、ローカルドメインまたはローカルドメインと信頼関係を共有するドメ
インのどちらかである必要があります。
Active Directory LDAP サーバ接続の監視
Active Directory LDAP サーバ接続を監視するには、すべての種類の LDAP サーバの Active
Directory LDAP サーバ情報および接続ステータスを表示します。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
Active Directory LDAP
サーバ情報を表示する
cifs domaininfo
すべての種類の LDAP
サーバの接続状態を表
示する
netstat
ドメインコントローラ接続およびドメインコントローラ選択優先のリストに続い
て、Active Directory LDAP サーバ接続のリストが表示され、次に LDAP サ
ーバ選択優先のリストが表示されます。
Active Directory および非 Active Directory LDAP サーバの両方の接続状態
情報が、ポート 389（または ldap.port オプションで割り当てられた非デフ
ォルト値）に表示されます。
Active Directory LDAP サーバ接続のトラブルシューティング
すべてのドメインコントローラのアドレス検出処理と接続処理を記録するように Data ONTAP を設
定するには、cifs.trace_dc_connection オプションを on に設定します。
手順
1. 次のコマンドを入力します。
options cifs.trace_dc_connection on
すべてのドメインコントローラのアドレス検出処理と接続処理がシステムログに記録されます。
Active Directory LDAP サーバ接続のプールと選択について
Data ONTAP では、LDAP のパフォーマンスを高めるために、複数の操作を実行します。
操作は次のとおりです。
•
Active Directory LDAP サーバ接続は、ドメインごとにプールされます。
NFS と CIFS 間でのファイルの共有 | 281
•
•
•
•
•
•
現在の LDAP サーバから応答がない場合、以降の接続は次に優先される使用可能な LDAP
サーバに対して行われます。
Data ONTAP は、より優先される LDAP サーバが使用可能になったかどうかを 1 分ごとにチェ
ックします。
Data ONTAP は 4 時間ごとに使用可能な Active Directory LDAP サーバを検出して、リストを
整理し直して、次の順序でサーバをソートします。
prefdc コマンドで指定された順序に残っている優先サーバ
応答時間の速い順にソートされた優遇サーバ
応答時間の速い順にソートされたその他の Active Directory LDAP サーバ
LDAP サーバ認証の制限事項
Data ONTAP は、ldap.servers および ldap.preferred.servers のオプションで指定された
サーバに接続し、シンプルバインドを使用して認証を試みます。シンプルバインドは Active
Directory サーバとの接続を確立するための十分な認証を提供しないため、この 2 つのオプション
値内で Active Directory サーバを指定しないでください。
LDAP スキーマの管理
デフォルトでは、Data ONTAP は、Network Information Service（NIS）形式のスキーマを指定する
RFC 2307 準拠 LDAP サーバをサポートします。 LDAP オプションのデフォルト値をカスタム属性
名と置き換えて、Data ONTAP でカスタム（非 RFC 2307 準拠）スキーマを照会するよう設定できま
す。
タスク概要
RFC 2307 準拠スキーマは LDAP クエリに使用する LDAP サーバ上で拡張する必要があります。
詳細については、RFC 2307 またはサードパーティのディレクトリ統合ベンダーによるマニュアルを
参照してください。
デフォルトスキーマについて
Data ONTAP のスキーマ変数は、デフォルトで適切な RFC 2307 値に設定されています。
オプション
デフォルト値（RFC 2307 による）
ldap.nssmap.objectClass.posixAccount
posixAccount
ldap.nssmap.objectClass.posixGroup
posixGroup
ldap.nssmap.attribute.groupname
cn
ldap.nssmap.attribute.netgroupname
cn
ldap.nssmap.attribute.nisNetGroupTri
ple
nisNetGroupTriple
282 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
オプション
デフォルト値（RFC 2307 による）
ldap.nssmap.attribute.memberUid
memberUid
ldap.nssmap.attribute.uid
uid
ldap.nssmap.attribute.uidNumber
uidNumber
ldap.nssmap.attribute.gidNumber
gidNumber
ldap.nssmap.attribute.userPassword
userPassword
ldap.nssmap.attribute.homeDirectory
homeDirectory
ldap.nssmap.attribute.loginShell
loginShell
ldap.nssmap.attribute.gecos
gecos
LDAP スキーマと一致させるためのカスタムスキーマオプションの変更
LDAP スキーマと一致するように Data ONTAP のスキーマを変更するには、該当する
ldap.nssmap.*オプションを変更します。
手順
1. 次のコマンドを入力します。
options ldap.nssmap.attribute.gidNumber object
object には、Group ID（GID）番号を含むオブジェクトを指定します。デフォルトは gidNumber
です。
例
たとえば、GID 番号を含むオブジェクトが「groupid」であるカスタム LDAP スキーマについて
は、次のコマンドを入力します。
options ldap.nssmap.attribute.gidNumber groupid
fsecurity コマンドによるストレージレベルのアクセス保護の有効化
Data ONTAP 7.2.2 から、ストレージ管理者は fsecurity コマンドを使用して、ボリュームおよび
qtree にセキュリティ（権限および監査）を設定できるようになりました。この機能を、ストレージレベ
ルのアクセス保護といいます。
タスク概要
ストレージレベルのアクセス保護のセキュリティを設定すると、すべてのストレージオブジェクトに
次の最大 3 種類のセキュリティレイヤを指定できます。
NFS と CIFS 間でのファイルの共有 | 283
•
•
•
を NTFS/UNIX/NFSv4 セキュリティ：
ストレージオブジェクトであるディレクトリまたはファイルに存在します。このセキュリティは、ク
ライアントから設定できるセキュリティと同じです。
ストレージレベルのアクセス保護のファイルセキュリティ：
ストレージオブジェクト内のすべてのファイルに適用されます。このセキュリティを適用しても、
ディレクトリへのアクセスとディレクトリの監査には影響ありません。
ストレージレベルのアクセス保護のディレクトリセキュリティ：
ストレージオブジェクト内のすべてのディレクトリに適用されます。このセキュリティを適用して
も、ファイルへのアクセスとファイルの監査には影響ありません。
注: 現在、ストレージレベルのアクセス保護では NTFS のアクセス権のみがサポートされていま
す。 UNIX ユーザが、ストレージレベルのアクセス保護の適用された qtree またはボリュームに
対してセキュリティチェックを実行できるようにするには、その UNIX ユーザを Windows ユーザ
にマッピングする必要があります。
ストレージレベルのアクセス保護のセキュリティは、ファイルおよびディレクトリに適用されますが、
継承はされません。ファイルまたはディレクトリのセキュリティ設定を表示させた場合、ストレージレ
ベルのアクセス保護のセキュリティは表示されません。
表示はされませんが、Data ONTAP のファイルまたはディレクトリへのアクセスは、ファイルまたは
ディレクトリに適用されているネイティブのアクセス権と、qtree またはボリュームに設定されている
ストレージレベルのアクセス保護のアクセス権との組み合わせに基づいて決定されます。両方の
セキュリティレベルが評価されて、ファイルまたはディレクトリの有効な権限が決定されます。
fsecurity コマンドについて
fsecurity コマンドを使用すると、ストレージ管理者はパフォーマンスを大幅に低下させることな
く、大規模なディレクトリにセキュリティを設定できます。これはセキュリティ設定がリモートクライア
ントからでなく、ストレージシステムでローカルに管理されるためです。また、fsecurity コマンドは、
1 回実行するだけで複数のファイルやディレクトリにセキュリティを設定できます。
注: fsecurity コマンドの一覧を表示するには、ストレージシステムのコマンドラインで
fsecurity help を入力するか、fsecurity(1)のマニュアルページを参照してください。
ジョブ定義ファイルの生成と編集
ジョブ定義ファイルを生成すると、ストレージレベルのアクセス保護のセキュリティを qtree またはボ
リュームに適用したり、あるいはファイルとディレクトリにアクセス権を一括して設定したりできま
す。
タスク概要
ジョブ定義ファイルは、随意 Access Control List（DACL）とシステム Access Control List（SACL）を
定義するセキュリティ記述子やパスなどの情報で構成された Unicode テキストファイルです。
s この構成情報は Security Descriptor Definition Language（SDDL）を使用してエンコードされます。
284 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ファイルを作成または編集してストレージシステムにコピーしたら、fsecurity apply コマンドを
使用して、ファイルのセキュリティ定義の確認と適用を行います。このコマンドをファイルに実行す
ると、ストレージシステムのバックグラウンドで稼働するジョブが作成されます。ジョブが完了した
ら、ストレージシステムコンソールに結果を表示できます。
ジョブ定義ファイルの名前とストレージシステム上の保存場所に関する決まりはありません。例で
は、次の名前と場所を使用します。
/vol/vol0/templates/security-base.sec
ジョブ定義ファイルは ASCII 形式または Unicode（UCS-2）形式にする必要があります。
ジョブ定義ファイルの作成と更新には、次の 2 通りの方法があります。
•
•
secedit ユーティリティの使用（NOW サイトで入手可能）
テキストエディタの使用
secedit ユーティリティを使用したジョブ定義ファイルの管理
secedit ユーティリティを使用してジョブ定義ファイルを作成および管理できます。
手順
1. ネットアップサポートサイトから secedit.exe 実行ファイルをダウンロードします。
2. Secedit_Readme.txt ファイルの指示に従い、ジョブ定義ファイルを作成します。
テキストエディタを使用したジョブ定義ファイルの管理
テキストエディタを使用してジョブ定義ファイルを生成、更新、および検証できます。
手順
1. テキストファイル（例：security-base.sec）を作成するか、既存のジョブ定義ファイルを編集
します。
2. 新規のファイルまたは更新したファイルを、ストレージシステムのディレクトリ（/vol/vol0/
templates/など）にコピーします。
3. ジョブ定義をジョブに適用する前に、-c オプションを指定して fsecurity apply コマンドを実
行し、ファイルの有効性を確認します。
注: ジョブ定義ファイルに無効な行があると、fsecurity apply コマンドを実行してもセキュ
リティジョブは作成されません。
NFS と CIFS 間でのファイルの共有 | 285
ジョブ定義ファイル要素の指定
セキュリティ設定をジョブ定義ファイルに定義する場合、プロパゲーションモードを指定すると、セ
キュリティ設定（権限と監査）を一括して適用できます。
タスク概要
プロパゲーションモードを指定すると設定を迅速かつ効率的に行えるので、ネットワーク経由で適
用することで生じるパフォーマンスの低下がありません。
プロパゲーションモードの種類は次のとおりです。
•
•
1=このファイルまたはフォルダの権限の更新を許可しません（Ignore）。このモードは現在使用
•
できません。
2=すべてのサブフォルダとファイルの既存の権限を継承可能な権限で更新します（Replace）。
0=継承可能な権限をすべてのサブフォルダおよびファイルに適用します（Propagate）。
次に、fsecurity ジョブ定義ファイルの例を示します。
cb56f6f4
1,0,"/vol/vol0/qt1",0,"D:(A;CIOI;0x1f01ff;;;DOMAIN\Administrator)"
1,1,"/vol/vol0/qt2",0,"D:(D;CIOI;0x000002;;;Everyone)"
最初の行の文字列 cb56f6f4 は必須で、常に同じです。例に示されている 2 行目の各要素と、こ
れらの要素によって qtree（/vol/vol0/qt1）に適用されるセキュリティ設定について、次の表で説
明します。
サンプル要素
説明
1
NTFS セキュリティタイプ
0
標準セキュリティ。ストレージレベルのアクセス保護のセキュリティ
は未設定
"/vol/vol0/qt1"
ターゲットのストレージオブジェクトのパス（このフィールドには二重
引用符が必要）
0
プロパゲーションモード（この例の 0 は、「Propagate」の意味）
"D:(A;CIOI;
0x1f01ff;;;DOMAIN
\Administrator)"
ドメイン管理者にフルコントロールのアクセス権を与える DACL の
SDDL 記述（このフィールドには二重引用符が必要）
ジョブ定義ファイルの形式と構文の詳細については、fsecurity(5)のマニュアルページを参照してく
ださい。
286 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
セキュリティジョブの作成とストレージオブジェクトへの適用
ジョブ定義ファイルを基にセキュリティジョブを作成するには、fsecurity apply コマンドを使用
します。このコマンドは、ストレージレベルのアクセス保護を qtree またはボリュームに適用する
か、またはセキュリティ設定をファイルおよびディレクトリに一括して適用する場合にも使用します。
このコマンドを使用して、qtree およびボリュームレベルで監査するように SACL を設定することも
できます。
タスク概要
セキュリティジョブの作成時に使用できるオプションは次のとおりです。
•
•
•
-c オプション – ジョブを実際には適用しないで、その有効性を確認します。
-i オプション – エラーを無視してジョブの処理を続けます。
-v オプション – ジョブ内のタスクが生成されるごとに、そのタスクを表示します。
fsecurity apply コマンドおよびコマンドのオプションの詳細については、fsecurity_apply(1)のマ
ニュアルページを参照してください。
セキュリティジョブは複数の管理者が同時に実行できるため、相互に競合することがあります。
手順
1. 次のコマンドを入力します。
fsecurity apply job_definition_file_path
例
fsecurity apply /vol/vol0/templates/security-base.sec
Added security job 94089
ジョブ ID は、ジョブのステータスの監視や取り消しに使用します。
セキュリティジョブのステータスの確認と取り消し
fsecurity status コマンドを使用すると、現在実行中のジョブのステータスと過去の 15 のジョ
ブの完了ステータスを表示できます。
タスク概要
fsecurity cancel コマンドを使用すると、現在実行中のすべてのジョブを停止できます。ジョブ
ID を指定した場合は、そのジョブだけが停止します。
注: 終了したジョブは取り消せません。
NFS と CIFS 間でのファイルの共有 | 287
これらのコマンドの詳細については、fsecurity_status(1)および fsecurity_cancel(1)のマニュアルペ
ージを参照してください。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
ジョブステータスを表示
する
fsecurity status [job_id]
ジョブを取り消す
fsecurity cancel [job_id]| all
特定のジョブを取り消すには、ジョブ ID を使用します。すべてのジョブを取り
消すには、all オプションを使用します。
ファイルおよびディレクトリのセキュリティ設定の表示
fsecurity show を使用すると、ファイルおよびディレクトリのセキュリティ設定を表示できます。
タスク概要
このコマンドの出力には、ファイルまたはディレクトリが存在する qtree またはボリュームのセキュリ
ティ形式が表示されます。混在 qtree 環境では表示される現在のセキュリティ形式は一定ではな
く、ストレージオブジェクトで現在アクティブになっているセキュリティ形式によって決まります。
ファイルまたはディレクトリのパスを指定するときに、ワイルドカードを使用すると、ディレクトリの内
容に関するセキュリティのリストを表示できます。
このコマンドの詳細については、fsecurity_status(1)のマニュアルページを参照してください。
手順
1. 次のコマンドを入力します。
fsecurity show file_directory_qtree_path [option]
次の例のように、（ファイルまたはディレクトリのパスでなく）ファイルまたはディレクトリの inode
番号を指定することもできます。
fsecurity show -v volume_name -i inode_number [option]
オプションの一覧およびコマンド出力の説明については、fsecurity_show(1)のマニュアルペー
ジを参照してください。
ストレージレベルのアクセス保護の削除
fsecurity remove-guard コマンドを使用すると、qtree またはボリュームからストレージレベルの
アクセス保護を削除できます。ストレージレベルのアクセス保護が適用されている場合は、qtree
288 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
を削除できません。詳細については、fsecurity remove-guard(1)のマニュアルページを参照してく
ださい。
手順
1. 次のコマンドを入力します。
fsecurity remove-guard volume_qtree_path
注: ストレージレベルのアクセス保護を削除しても、qtree またはボリューム内のファイルとデ
ィレクトリに適用されている標準のファイルレベルセキュリティ（NTFS セキュリティなど）は削
除されません。
システムアクセスイベントの監査
Data ONTAP では、Windows のようにログオン、ログオフ、およびファイルアクセスイベントの監
査を行うことができます。ただし、監査を有効にする方法や、監査イベント情報を記録するファイル
の管理方法には一般的な Windows の手順とは多少違いがあります。
監査について
Data ONTAP で監査を設定すると、イベントログファイルとすべてのオプションの設定は、リブート
後または CIFS サービスの終了時やリスタート時にも維持されます。
Data ONTAP では、次の 2 つの方法で監査を実行できます。
•
•
CIFS 監査。CIFS プロトコルでストレージシステム上のデータにアクセスする Windows クライ
アントのアクセスイベントを監査します。
NFS 監査。NFS プロトコルでストレージシステム上のデータにアクセスする UNIX クライアント
のアクセスイベントを監査します。
CIFS 監査と NFS 監査の両方をストレージシステム上に設定できます。監査の種類によって設定
要件と監査機能に違いがあります。
他のファイルアクセスプロトコルに対する監査は現在サポートされていません。
Data ONTAP で監査できるイベント
いくつかのカテゴリのイベントに関して監査を有効にできます。
監査できるカテゴリは次のとおりです。
•
•
•
ログオンおよびログオフイベント（CIFS 監査が有効な場合のみ）
ローカルユーザおよびグループアカウント管理（CIFS 監査が有効な場合のみ）
ファイルおよびディレクトリレベルでのファイルアクセスイベント
注: 個別のファイルおよびディレクトリごとにアクセス監査を有効にする必要があります。
•
qtree またはボリュームレベルでのファイルアクセスイベント
NFS と CIFS 間でのファイルの共有 | 289
注: qtree またはボリュームレベルでのイベントの監査は、ストレージレベルのアクセス保護
のセキュリティを適用した場合にのみ可能です。
イベント
ID
イベント
説明
カテゴリ
516
AdtEvntDiscard
監査イベントが失われまし
た。
監査ログ
517
AdtLogClear
監査ログが消去されました。監査ログ
528
AdtSuccessfulLogon
ローカルログオン
ログオン / ログオフ
529
AdtUnknownUser
ユーザ名が不明またはパス
ワードが無効です。
ログオン / ログオフ
530
AdtCantLogonNow
アカウントログオンの時間
制限です。
ログオン / ログオフ
531
AdtAccountDisabled
アカウントは現在無効に設
定されています。
ログオン / ログオフ
532
AdtUserAccountExpired
ユーザアカウントの有効期
限が切れています。
ログオン / ログオフ
533
AdtCantLogonHere
ユーザはこのコンピュータにログオン / ログオフ
ログオンできません。
534
AdtLogonTypeRestricted
ユーザは、ログオンを認めらログオン / ログオフ
れていません。
535
AdtPasswordExpired
ユーザパスワードの有効期ログオン / ログオフ
限が切れています。
536
AdtNetLogonInactive
NetLogon コンポーネントが
アクティブではありません。
ログオン / ログオフ
537
AdtUnsuccessfulLogon
その他の理由でログオンが
失敗しました。
ログオン / ログオフ
538
AdtUserLogoff
ローカルまたはネットワーク
ユーザのログオフ
ログオン / ログオフ
539
AdtLockedOut
アカウントのロックアウト
ログオン / ログオフ
540
AdtSuccessfulNetLogon
ネットワーク（CIFS）ログオンログオン / ログオフ
560
AdtObjOpen
オブジェクト（ファイルまたは
ディレクトリ）が開いていま
す。
ファイルアクセス
290 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
イベント
ID
イベント
説明
カテゴリ
562
AdtHandleClosed
AdtObjOpen になったハンド
ルが閉じています。
ファイルアクセス
563
AdtObjOpenForDelete
削除用にオブジェクト（ファイログオン / ログオフ
ルまたはディレクトリ）が開い
ています。
567
AdtObjAccessAttempt
オブジェクトアクセス（読み
取り、書き込みなど）
ファイルアクセス
612
AdtPolicyChange
監査ポリシーが変更されま
した。
ポリシー変更
624
AdtUserCreated
ユーザが作成されました。
アカウント管理
630
AdtUserDeleted
ユーザが削除されました。
アカウント管理
635
AdtGroupCreated
グループが作成されました。アカウント管理
636
AdtLclGrpMemberAdded
セキュリティが有効なローカアカウント管理
ルグループメンバーが追加
されました。
637
AdtLclGrpMemberRemoved
セキュリティが有効なローカアカウント管理
ルグループメンバーが削除
されました。
638
AdtGroupDeleted
グループが削除されました。アカウント管理
システムイベント監査の設定
システムイベント監査を設定するには、いくつかのタスクを実行する必要があります。
手順
1. 監査対象のイベントを決定します。
たとえば、ボリュームまたは qtree のすべてのイベントを監査する場合は、fsecurity コマンド
を使用してストレージレベルのアクセス保護のセキュリティを適用します。
2. ファイルおよびディレクトリのアクセスイベントを監査する場合は、SACL を設定します。
3. 必要に応じて CIFS 監査と NFS 監査を有効にします。
4. 監査の管理に Live View を使用する場合は、Live View を有効にします。
Live View を使用しない場合は、監査ログの管理方法について十分に理解してから行ってくだ
さい。
5. イベントビューアを使用して監査イベントを表示します。
NFS と CIFS 間でのファイルの共有 | 291
SACL の設定
SACL を使用すると、ファイルおよびディレクトリのアクセスの監査を有効にできます。
タスク概要
SACL でアクセスを監査する設定には、次の 3 つの方法があります。
•
•
ボリュームまたは qtree 内のすべてのファイルとディレクトリのアクセスイベントを監査する場合
は、ストレージレベルのアクセス保護のセキュリティを適用して SACL を設定します。
個別のファイルおよびディレクトリのアクセスイベントを監査する場合は、次の 2 つの方法で
SACL を設定します。
•
•
Windows エクスプローラ GUI を使用
fsecurity コマンドの使用
注: 選択する監査オプションの数が多すぎるとシステムのパフォーマンスに影響を与えることが
あるため、監査の必要のあるイベントに限定して選択するようにしてください。
個別ファイルおよびディレクトリに対するアクセスの監査を有効にするには、Windows 管理ホスト
で次の手順を実行します。
手順
1. アクセスの監査を有効にするファイルまたはディレクトリを選択します。
2. ファイルまたはディレクトリで右クリックし、[プロパティ]を選択します。
3. [セキュリティ]タブを選択します。
4. [詳細設定]をクリックします。
5. [監査]タブを選択します。
6. 監査オプションで追加、編集、または削除を行います。
オプションの使用方法の詳細については、Windows のマニュアルを参照してください。
Data ONTAP での CIFS 監査の設定
CIFS 監査を有効化または無効化すると、ポリシー変更イベントの監査が有効になります。現時点
では、ポリシー変更イベントを有効にする単独の CIFS オプションはありません。
開始する前に
次に、CIFS 監査の前提条件を示します。
•
•
監査を有効にする前に、ストレージシステム上で CIFS のライセンスが設定されて有効になっ
ている必要があります。
監査するファイルまたはディレクトリは、mixed 形式または NTFS 形式のボリュームや qtree 内
に存在する必要があります。
292 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
•
•
ストレージレベルのアクセス保護が有効になっていないと、UNIX ボリュームまたは qtree 内の
ファイルまたはディレクトリの CIFS イベントを監査することができません。
記録するアクセスイベントを指定する必要があります。
イベント監査は、デフォルトでは無効になっています。
監査対象のイベントを特定するには、個々のオプションを有効にし、監査を有効にする必要が
あります。
手順
1. 次のいずれかを実行します。
監査を有効ま
たは無効にす
るイベント
入力するコマンド
ファイルアクセ options cifs.audit.file_access_events.enable {on | off}
スイベント
ログオンおよび options cifs.audit.logon_events.enable {on | off}
ログオフイベ
ント
ローカルアカ options cifs.audit.account_mgmt_events.enable {on | off}
ウント管理イベ
注: アカウント管理イベントに対する変更を表示するには、MMC イベントビューアを
ント
使用します。
すべてのイベ
ント
cifs audit {start | stop}
あるいは、cifs.audit.enable オプションを使用して CIFS 監査の開始と停止を行
うことができます。たとえば、次のコマンドを入力すると、cifs audit start コマン
ドを使用した場合と同じ結果になります。
options cifs.audit.enable {on | off}
CIFS 監査を開始するには on を使用し、監査を停止するには off を使用します。
注: デフォルトでは、CIFS 監査は無効に設定されています。
Data ONTAP での NFS 監査の設定
NFS 監査では、ファイルおよびディレクトリに関するアクセスイベントを記録できますが、CIFS 監
査でサポートされるログイン、ログオフなどのイベントは記録できません。監査対象のファイルまた
はディレクトリは、どのセキュリティ形式（NTFS、UNIX、または mixed）のボリュームまたは qtree
のものでもかまいません。
開始する前に
次に、NFS 監査の前提条件を示します。
NFS と CIFS 間でのファイルの共有 | 293
•
•
•
NFS 監査を有効にする前に、ストレージシステム上で CIFS のライセンスが設定されて有効に
なっている必要があります。
NFS 監査を有効にする前に、ストレージシステム上で CIFS 監査が有効になっている必要が
あります。デフォルトでは、監査は無効に設定されています。
記録するイベントを指定する必要があります。
NFS 監査イベントの指定
NTFS または mixed セキュリティ形式の qtree またはボリュームにおける NFS 監査対象イベントを
指定するには、ファイルおよびディレクトリに SACL を設定する必要があります。
手順
1. ログフィルタファイル（通常は/etc/log/nfs-audit という名前）をストレージシステム上に作
成します。
このファイルを使用して、監査ログにデフォルトで記録するファイルイベントを指定します。フィ
ルタファイルは空の状態になっています。
注: NFS ログフィルタファイルは、NTFS または mixed 形式のボリュームまたは qtree に作
成する必要があります。他の場所に作成すると、監査のために必要な、フィルタファイルに
対する SACL 設定を実行できません。
2. cifs.audit.nfs.filter.filename オプションを設定して、フィルタファイルを指定します。
cifs.audit.nfs.filter.filename オプションの詳細については、options(1)のマニュアル
ページを参照してください。
3. フィルタファイルに SACL を設定します。
終了後の操作
NTFS または mixed セキュリティ形式の qtree 内のイベント監査用に NFS フィルタファイルを作成
できますが、個別のファイルおよびディレクトリに設定された SACL の方が、フィルタファイルに設
定された SACL よりも優先されます。
フィルタファイルによる NFS 監査イベントの制御
ログフィルタファイルは、ファイルに設定された SACL を使用してファイル監査イベントを制御しま
す。フィルタファイルに SACL を設定することは、ストレージシステム上のすべてのファイルとディ
レクトリに同じ SACL を設定した場合と同じ効果があります。
注: ログフィルタファイルの SACL は、ストレージシステム上のすべてのファイルやディレクトリ
から監査イベントを発生させる可能性があるため、ログフィルタファイルを使用した NFS 監査を
有効にするとシステムのパフォーマンスに影響を与えることがあります。
フィルタファイルによる影響の程度は、対象のファイルが存在する qtree のセキュリティ設定により
ます。
294 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
UNIX セキュリティ形式のファイルに操作が実行されると、フィルタファイルの SACL に応じてイベ
ントがログに記録されます。
SACL が設定されていない NTFS または mixed セキュリティ形式の qtree のファイルに操作が実
行されると、フィルタファイルの SACL に応じてイベントがログされます。
ただし、個別のファイルまたはディレクトリに SACL が設定されている場合は、これらの SACL の
方がフィルタファイルに設定された SACL よりも優先されます。
NFS 監査の有効化
NFS 監査を有効にするには、いくつかのタスクを実行します。
タスク概要
以下の手順に記されたオプションの詳細については、options(1)のマニュアルページを参照してく
ださい。
手順
1. ストレージシステムの/etc/log ディレクトリに、nfs-audit という名前のファイルを作成します。
注: 手順 1 および 2 は、UNIX セキュリティ形式の qtree の監査には必須ですが、NTFS また
は mixed セキュリティ形式の qtree の監査の場合は任意で実行します。
2. NFS ログフィルタァイルを指定するには、次のコマンドを入力します。
options cifs.audit.nfs.filter.filename /etc/log/nfs-audit
3. ファイルアクセスイベントの監査を有効にするには、次のコマンドを入力します。
options cifs.audit.file_access_events.enable on
注: デフォルトでは、ファイルアクセスおよびログオンイベントの監査は off に設定されてい
ます。
4. NFS 監査を有効にするには、次のコマンドを入力します。
options cifs.audit.nfs.enable on
5. 監査ログ管理を設定します。
6. Windows 管理ホスト上で、フィルタファイルの system access control list（SACL;システムアクセ
ス制御リスト）を設定します。
NFS と CIFS 間でのファイルの共有 | 295
Live View の設定
Live View が有効の場合、Access Logging Facility（ALF）デーモンが 1 分ごとに実行され、メモリ
内の監査イベントの内容をディスク上の内部的な一時ログファイル（/etc/log/cifsaudit.alf）
にフラッシュします。
タスク概要
ALF デーモンは ALF レコードの保存と、ALF レコードからイベントビューアで表示可能な EVT レ
コードへの変換も行います。この動作は、1 分ごとに、または.alf ファイルがフルの 75%に達したと
きに行われます。
EVT レコードは、/etc/log ディレクトリ内の次の 3 つのファイルに格納されます。
•
•
•
fixedsection
varsectiona
varsectionb
ALF デーモンはこれらのファイルを使用して、イベントビューアを実行する Windows クライアント
からのイベントログ RPC 要求に応えます。 Live View が有効な場合、イベントビューアは最新の
監査イベントを最大 5,000 レコード表示します。
内部ログファイルから新しいレコードが保存されるたびに、それらのレコードは Live View ファイル
に書き込まれ、EVT ファイルにもバックアップされます。バックアップファイルは、タイムスタンプが
ファイル名に追加されて、/etc/log ディレクトリに保存されます。
イベントビューアを使用すると、監査イベントをリアルタイムに表示し、バックアップ EVT ファイルを
静的なファイルとして表示できます。
注: Data ONTAP 7.2.2 より、cifs.audit.autosave オプションと一緒に Live View を有効にで
きるようになりました。このオプションは、内部監査ファイルのサイズと保存方法の制御に使用し
ます。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
Live View を options cifs.audit.liveview.enable {on | off}
有効または無
Live View を有効にするには on を使用し、無効にするには off を使用します。
効にする
注: Live View を有効にする前に、ストレージシステム上で監査を有効にする必要が
あります。デフォルトでは、Live View は無効に設定されています。
296 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
目的
入力するコマンド
現在の ALF
および EVT
ファイルを消
去する
cifs audit clear
内部ログファイル cifsaudit.alf およびディレクトリ/etc/log 内の現在の EVT
ログファイルは消去されます。ただし、タイムスタンプが付されたバックアップ EVT ファ
イルは、このコマンドの影響を受けません。
監査イベントの保存と消去
自動保存を実行するタイミング、自動保存されるファイルの最大数、および cifsaudit.alf ファ
イルの最大サイズを指定できます。 cifsaudit.alf ファイルを消去することもできます。
Data ONTAP で監査イベント情報が記録される場所
監査イベント情報は、内部的な一時ログファイルである/etc/log/cifsaudit.alf に保存され
ます。 Live View を使用しない場合は、手動で、または自動保存を設定して、このファイルの内容
を外部 EVT イベントログファイルに定期的に保存する必要があります。
デフォルトでは、外部イベントログは/etc/log/adtlog.evt ファイルですが、別のファイルをイベ
ントログとして指定することもできます。別のファイルをイベントログとして指定できます。指定さ
れたファイルがまだ存在していない場合は、ファイルに情報を保存するときに、ファイルが作成され
ます。ただし、ファイルを格納するディレクトリは存在している必要があります。ディレクトリが存在
しないと、ファイルを指定したときにエラーメッセージが表示されます。
内部および外部ログファイルのサイズと形式
内部的な一時ログファイル cifsaudit.alf の最大サイズは、524,288 バイト（512K）～
68,719,476,736 バイト（64GB）の範囲で指定できます。デフォルトのサイズは 524,288 バイトです。
圧縮されていた cifsaudit.alf ファイルの内容が外部イベントログファイルに展開され、書式
が再設定されるため、cifsaudit.alf ファイルから生成された外部イベントログ（.evt ファイル）
のサイズは大きくなります。外部イベントログは Windows 形式です。イベントログは、イベントビ
ューアで表示できます。 cifsaudit.alf ログファイルのフォーマットは独自形式であるため、イベ
ントビューアでは表示できません。
Data ONTAP でのイベントログの更新
Data ONTAP では、監査イベント情報が確実に保存されるように、特定の状況下でイベントログが
更新されます。
監査イベント情報を外部イベントログに保存するには、cifs audit save コマンドまたは cifs
audit clear コマンドを実行するか、イベント情報の自動保存を有効にします。イベントログがク
ライアントで表示されているときは、イベントログは更新されません。ただし、イベントログが開か
れている間に収集されたファイルアクセス情報は失われません。
イベント情報が失われないように、cifs audit save コマンドを頻繁に実行するか、自動保存の
頻度を高く設定することが重要です。イベントの発生率が高い場合は、cifsaudit.alf ファイル
NFS と CIFS 間でのファイルの共有 | 297
が短期間で一杯になり、古いイベントがイベントログに保存される前に上書きされる可能性があり
ます。
外部イベントログの場所の指定
イベントログを別の場所に保存するには、cifs.audit.saveas オプションを使用して指定しま
す。
手順
1. 監査イベント情報のログの場所を指定するには、次のコマンドを入力します。
options cifs.audit.saveas filename
filename は、Data ONTAP で監査イベント情報が記録されるファイルの完全なパス名です。
ファイル拡張子として.evt を使用する必要があります。パスにスペースが含まれている場合
は、パス名を引用符で囲んでください。
例
options cifs.audit.saveas /etc/log/mylog.evt
options cifs.audit.saveas "/home/my event log/audit.evt"
イベントログへの監査イベントの手動保存
cifs audit save コマンドを使用すると、イベントログを手動で更新できます。
タスク概要
cifs audit clear コマンドを実行したあとに監査イベントを手動で保存する必要はありません。
監査イベントは自動的に保存されます。
手順
1. 次のコマンドを入力して、イベントログを更新します。
cifs audit save [-f]
-f オプションを使用すると、既存のイベントログを上書きできます。イベントログがない場合
は-f オプションを省略できます。
タスクの結果
イベントログの前回の更新以降に収集されたイベント情報が、イベントログに書き込まれます。
298 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
監査イベントの自動保存
イベントログへの監査イベントの自動保存は、一定の間隔または内部的な一時ログファイルのサ
イズ（cifsaudit.alf の最大サイズに対する割合）に基づいて実行するように指定できます。
サイズしきい値と間隔の両方を指定すると、そのサイズしきい値または間隔のいずれかに到達し
たときに、監査イベントがイベントログに保存されます。デフォルトのサイズしきい値は 75 パーセ
ントです。デフォルトの間隔は 1 日です。
内部的な一時ログファイルが自動的に外部イベントファイルに保存されるたびに、イベントファイ
ルのベース名に拡張文字が付加されます。付加される拡張文字の種類は、次のいずれかを選択
できます。
•
•
counter
timestamp
これらの拡張文字のどちらも指定しない場合、タイムスタンプがファイル拡張文字として使用されま
す。ただし、timestamp という値は表示されません。
ストレージシステムは最大 6 週間イベントファイルを保存します。保存できるイベントファイルの
数を指定できます。
内部的な一時ログファイルサイズに基づいた自動保存の有効化
内部的な一時ログファイルのサイズに基づいた自動保存を有効にしている場合、サイズしきい値
を指定できます。
タスク概要
内部的な一時ログファイルのデフォルトのサイズしきい値は 75%です。したがって、内部的な一時
ログファイルが 75%一杯になると、その内容が自動的に外部イベントファイルに保存されます。し
きい値は、内部的な一時ログファイルのサイズの割合または絶対サイズで指定できます。
次の表に、自動保存する内部的な一時ログファイルのサイズしきい値の指定に使用できる測定単
位と値を示します。
測定単位
値
%（cifsaudit.alf ファイルの割合）
1～100
K（キロバイト）
1～67108864
M（メガバイト）
1～65526
G（ギガバイト）
1～64
手順
1. 次のいずれかを実行します。
NFS と CIFS 間でのファイルの共有 | 299
目的
操作
内部的な一時ログファイル
の自動保存に使用するサイ
ズしきい値を指定する場合
次のコマンドを入力します。
options cifs.audit.autosave.onsize.threshold
Nsuffix
N はサイズしきい値です。
suffix は値の単位です。
例：
options cifs.audit.autosave.onsize.threshold 90%
内部的な一時ログファイル
のサイズに基づいて自動保
存を有効または無効にする
場合
次のコマンドを入力します。
options cifs.audit.autosave.onsize.enable {on |
off}
時間間隔に基づいた自動保存の有効化
時間間隔に基づいた自動保存を有効にしている場合、時間間隔を指定できます。
タスク概要
次の表に、自動保存の間隔の指定に使用できる測定単位と値を示します。
測定単位
値
s（秒）
1～60
m（分）
1～60
h（時間）
1～24
d（日）
1～7
手順
1. 次のいずれかを実行します。
300 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
目的
操作
内部的な一時ログファイル次のコマンドを入力します。
を外部イベントファイルに自
options cifs.audit.autosave.ontime.interval
動的に保存する時間間隔を
Nsuffix
指定する場合
N は時間間隔値です。
suffix は値の単位です。
例：
options cifs.audit.autosave.ontime.interval 1d
時間間隔に基づいて自動
保存を有効にする場合
次のコマンドを入力します。
options cifs.audit.autosave.ontime.enable {on |
off}
カウンタ拡張文字の指定
自動ファイル名指定に「counter」を選択すると、拡張文字として数値が付加されます。
タスク概要
自動保存が行われると、古いイベントファイルの名前が変更されて、順番に番号が付きます。最
新のイベントファイルには、番号は付きません。
たとえば、基本ファイル名が eventlog の場合に自動保存が行われると、最新のイベントファイル
には eventlog.evt という名前が付けられ、これより前の eventlog.evt ファイルは
eventlog1.evt にコピーされ、eventlog1.evt ファイルは eventlog2.evt にコピーされます。
手順
1. 次のコマンドを入力します。
options cifs.audit.autosave.file.extension counter
タイムスタンプ拡張文字の指定
自動ファイル名指定に timestamp を選択すると、ファイル名はタイムスタンプ形式になります。
タスク概要
タイムスタンプファイル名は次の変数で構成されます。
base_name_of_event_file.YYYYMMDDHHMMSS.evt
変数
説明
YYYY
4 桁の年です。
NFS と CIFS 間でのファイルの共有 | 301
変数
説明
MM
2 桁の月です。
DD
2 桁の日です。
HH
2 桁の時間です。
MM
2 桁の分です。
SS
2 桁の秒です。
手順
1. 次のコマンドを入力します。
options cifs.audit.autosave.file.extension timestamp
自動的に保存されるファイルの最大数の指定
cifs.audit.autosave.file.limit オプションを使用すると、自動保存できるイベントファイル
の最大数を指定できます。
手順
1. 次のコマンドを入力します。
options cifs.audit.autosave.file.limit value
value は、0～999 の数値です。この値を 0 に設定すると、ストレージシステムに自動的に保
存される EVT ファイルの数は制限されません。 0 以外の値に設定した場合、ストレージシステ
ムの自動保存制限に到達すると、一番古いイベントファイルが上書きされます。
注: この値を 0 に設定にした場合は、定期的に/etc/log ディレクトリを確認して、不要なロ
グファイルを削除してください。このディレクトリ内のログファイルが増えすぎると、システム
パフォーマンスが低下する原因となります。
cifsaudit.alf ファイルの最大サイズの指定
cifs.audit.logsize オプションを使用すると、cifsaudit.alf ファイルの最大サイズを指定で
きます。
手順
1. 次のコマンドを入力します。
options cifs.audit.logsize size
size はバイト数です。無効な数値を入力すると、使用できる数値の範囲を示すメッセージが
表示されます。
注: cifsaudit.alf ファイルが最大サイズに達すると、最も古いデータが上書きされます。
イベントデータが失われないように、cifsaudit.alf ファイルが満杯になる前に保存してく
302 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ださい。デフォルトでは、ファイルが 75%に達すると、警告メッセージが表示されます。さら
に、ファイルがほぼ満杯になり、データの上書きが始まるときと、データがすでに上書きされ
たときも警告メッセージが送信されます。
監査イベントの SNMP トラップ
Data ONTAP は、SNMP トラップをサポートしており、これによって特定の監査イベント情報に基づ
いた規定の動作（通知など）を実行させることができます。
CIFS クライアントが監査イベントの SNMP トラップを受信するように設定する場合は、Data
ONTAP の SNMP 機能を使用してクライアントを登録する必要があります。登録されたクライアン
トには、SNMP トラップを監視するための SNMP ソフトウェアが必要です。
次のいずれかのイベントが発生すると、SNMP トラップが発行されます。
•
•
•
•
指定された間隔が経過し、cifsaudit.alf ファイルが保存されたとき
指定されたサイズしきい値に達し、cifsaudit.alf ファイルが保存されたとき
デフォルトのサイズしきい値（75%）に到達し、cifsaudit.alf ファイルがラップされイベントデ
ータが上書きされる危険性はあるが、cifs.audit.autosave.onsize.enable および
cifs.audit.autosave.ontime.enable オプションがオフになっているためにファイルが保
存されないとき
どの自動保存オプションもオンになっていないため、cifsaudit.alf ファイルがラップされ、イ
ベントデータが上書きされたとき
cifsaudit.alf ファイルの消去
ログファイルの既存の情報を削除して空のファイルにするには、cifs audit clear コマンドで
内部ファイル cifsaudit.alf を消去します。
手順
1. 次のコマンドを入力します。
cifs audit clear
タスクの結果
監査が開始されている場合、内部的な一時ログファイル cifsaudit.alf は消去されます。監査
が停止されている場合、cifsaudit.alf ファイルは削除されます。このコマンドを実行すると、
Data ONTAP によってイベントログが自動的に保存されます。
NFS と CIFS 間でのファイルの共有 | 303
イベントの詳細画面の表示と概要
Live View で取得されたリアルタイム監査イベント、ユーザが保存した外部イベントログ（.evt ファ
イル）、または Live View により作成されたバックアップログファイルを表示できます。
タスク概要
次のイベントの詳細画面を表示できます。
•
•
•
•
•
•
•
•
ネットワークログオン
失敗したネットワークログオン
ネットワークログオフ
Windows ファイルアクセス
UNIX ファイルアクセス
失敗したファイルアクセス
失われたレコードイベント
監査ログイベントの消去
監査イベントの表示方法
監査イベントは、Windows クライアントでコントロールパネルの管理ツールまたは Microsoft 管理
コンソール（MMC）から、Microsoft イベントビューアを使用して表示できます。
監査イベントの表示には 2 つの方法があります。
•
リアルタイム表示。
Live View 機能が有効な場合は、EVT イベントログファイルが 1 分ごとに自動的に更新され
ます。これにより、イベントビューアで最近の 5,000 の監査イベントを常に最新の状態で見るこ
とができます。
注: Live View 機能を使用するには、Windows クライアントが Windows 2000 以上を使用して
いる必要があります。
•
静的表示。
EVT イベントログは、手動または自動保存を設定して直接管理することができます。この場
合、ログファイルの管理方法にもよりますが、保存されたログファイルの最新バージョンがイベ
ントビューアに表示されます。
Live View を使用した監査イベントのリアルタイム表示
Windows イベントビューアを使用すると、LiveView で取得された監査イベントをリアルタイムで表
示できます。
開始する前に
監査イベントをリアルタイムで表示する前に、Live View を設定する必要があります。
304 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
手順
1. Windows クライアントで、コントロールパネルの管理ツールから、または Microsoft 管理コンソ
ール（MMC）からイベントビューアを起動します。
2. [操作] > [別のコンピュータへ接続]を選択します。
3. ダイアログボックスに監査するストレージシステム名を入力し、[OK]をクリックします。
4. アプリケーションの左側の[セキュリティ]エントリを選択します。
アプリケーションの右側に、ストレージシステムで取得された最新の監査イベントが表示されま
す（最大 5,000 イベント）。
静的なイベントログファイルの表示
Windows クライアントを使用すると、保存した外部イベントログ（.evt ファイル）、または Live
View により作成されたバックアップログファイルを表示できます。
手順
1. Windows クライアントで、コントロールパネルの管理ツールから、または Microsoft 管理コンソ
ール（MMC）からイベントビューアを起動します。
2. [ログ] > [開く]を選択します。
注: イベントログを開くときに、[ログ] > [コンピュータの選択]の順に選択して、ストレージシ
ステム名をダブルクリックしないでください。この方法でイベントログを開くと、Live View が
有効な場合を除いて、Data ONTAP とイベントビューアは RPC 呼び出しを使用して通信しな
いため、イベントビューアに「RPC サーバーを使用できません」というエラーメッセージが表
示されます。
3. ストレージシステム上のイベントログを選択します。
Windows ファイルアクセスの詳細表示
Windows ファイルアクセスの詳細表示には、さまざまな種類の情報が表示されます。
次の表に、Windows ファイルアクセスの詳細表示フィールドの説明を示します。
フィールド
説明
オブジェクトサーバー
監査チェック機能を呼び出しているサブシステ
ムのサーバプロセスの名前。セキュリティロ
グなので、SECURITY になります。
オブジェクトの種類
アクセスされているオブジェクトの種類。
オブジェクト名
アクセスされているオブジェクトの名前（ファイ
ル名など）。
NFS と CIFS 間でのファイルの共有 | 305
フィールド
説明
新しいハンドル ID
開いているオブジェクトの新しいハンドル識別
子。
操作 ID
1 回の操作で発生した複数のイベントを関連付
ける一意の識別子。
プロセス ID
オブジェクトにアクセスしているクライアントプ
ロセスの識別子。
プライマリユーザー名
オブジェクトアクセスを要求しているユーザの
ユーザ名。偽装が行われている場合、サーバ
プロセスへのログオンに使用されたユーザ名
になります。
プライマリドメイン
コンピュータの名前。[プライマリユーザー名]に
指定されているユーザ名が SYSTEM の場合
は、SYSTEM になります。コンピュータが
Windows NT Server ドメインのメンバーの場
合、プライマリユーザアカウントを含むドメイン
名になる場合もあります。
プライマリログオン ID
プライマリユーザのログオン時に割り当てられ
た一意の識別子。
クライアントユーザー名
ログイン名。
クライアントドメイン
コンピュータ、またはクライアントユーザアカウ
ントを含んでいるドメインの名前。
クライアントログオン ID
クライアントユーザのログオン時に割り当てら
れた一意の識別子。
アクセス
試行されたオブジェクトへのアクセスの種類。
特権
ユーザの権限。
UNIX ファイルアクセスの詳細表示
UNIX ファイルアクセスの詳細表示には、Windows ファイルアクセスの詳細表示と同じ種類の情
報が表示されます。ただし、NFS クライアントからファイルへのアクセスが行われるため、オブジェ
クト名ではなく NFS アクセスが表示されます。
さらに、UNIX ファイルアクセスの詳細表示には、監査中のファイルに関する次の情報が表示され
ます。
•
•
ファイルが格納されているボリュームの ID
ファイルが格納されている最新の Snapshot のコピーの ID
306 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
•
ファイルの inode
この情報を使用すると、NFS クライアントから find -inum コマンドを実行してファイルを検索でき
ます。
失敗したファイルアクセスと失われたレコードイベントの詳細表示
失敗したファイルアクセスの詳細表示には、ファイルのアクセスに失敗した操作についての情報
が表示されます。さらに、Data ONTAP で監査レコードを作成できない場合は、失われたレコード
イベントの詳細表示に理由が表示されます。
たとえば、ユーザがファイルにアクセスしようとしたが、アクセス権がないためにファイルアクセス
が失敗した場合などです。詳細表示には、ファイルにアクセスしようとしたユーザの ID と、アクセ
スが失敗したことが表示されます。
Data ONTAP で監査レコードを作成できない場合は、失われたレコードイベントの詳細表示に次
のような理由が表示されます。
Internal resources allocated for the queueing of audit messages have
been exhausted, leading to the loss of some audits.
Number of audit records discarded: 1
シンボリックリンクへの CIFS アクセスの制御
シンボリックリンクとは、NFS クライアントによって作成された特殊なファイルで、別のファイルまた
はディレクトリを参照するリンクです。シンボリックリンクは、Windows 環境の「ショートカット」に似
ています。
タスク概要
シンボリックリンクには次の 2 種類があります。
•
•
スラッシュ記号（/）で始まる絶対シンボリックリンク。ファイルシステムのルートを基準としたパ
スとして扱われます。
スラッシュ（/）以外の文字で始まる相対シンボリックリンク。シンボリックリンクの親ディレクトリ
を基準としたパスとして扱われます。
CIFS クライアントではシンボリックリンクを作成できませんが、NFS クライアントによって作成され
たシンボリックリンクを参照することはできます。
CIFS が次の種類のシンボリックリンクにアクセスできるようにするためには特別の要件がありま
す。
•
絶対シンボリックリンク。
絶対シンボリックリンクのリンク先は UNIX マウントの種類によって異なるので、CIFS クライア
ントには絶対シンボリックリンクを解釈するための情報を追加する必要があります。
NFS と CIFS 間でのファイルの共有 | 307
•
リンク先が自身と同じストレージシステム上、共有の外にある相対シンボリックリンク。
デフォルトでは、Data ONTAP は、CIFS クライアントが認証されている共有の外部にあるシン
ボリックリンクを CIFS クライアントが参照することを許可していません。
CIFS クライアントのシンボリックリンク参照の有効化
cifs.symlinks.enable オプションを使用すると、シンボリックリンクへの CIFS アクセスが無効
にされたあとで、それを有効にできます。
タスク概要
cifs.symlinks.enable オプションはデフォルトで有効になっています。
手順
1. CIFS がシンボリックリンクにアクセスできるようにするには、次のコマンドを入力します。
options cifs.symlinks.enable on
タスクの結果
CIFS クライアントは、同じ共有内にあるリンク先への相対シンボリックリンクを直接参照できるよう
になります。
CIFS クライアントとシンボリックリンクの連動の指定
CIFS クライアントとシンボリックリンクの連動を指定するには、/etc/symlink.translations フ
ァイルに Map エントリを作成するか（絶対シンボリックリンクのみ）、/etc/
symlink.translations ファイルに Widelink エントリを作成するか（絶対シンボリックリンクの
み）、またはシンボリックリンクの NT 共有境界チェックを無効にします（相対および絶対シンボリッ
クリンク）。
タスク概要
次の表を参照して、実行するオプションを決定してください。この表は、各オプションについて、シ
ンボリックリンクが示すことができるリンク先の種類を示しています。
シンボリックリンクのリ
ンク先
Map エントリ
Widelink エントリ
共有の境界チェックの
無効化
同じストレージシステ
ム上の同じ共有
○
○
○
○
○
同じストレージシステ
ム上の別の共有
同じストレージシステ
ムの非共有領域
○
308 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
シンボリックリンクのリ
ンク先
Map エントリ
Widelink エントリ
別のストレージシステ
ム上の共有
○
別の CIFS サーバまた
はデスクトップ PC 上
の共有
○
共有の境界チェックの
無効化
ファイルへのシンボリックリンクを使用しない理由
Data ONTAP では間違ったファイルが更新される可能性があるため、ファイルにリンクするシンボ
リックリンクを CIFS クライアントが参照しないようにしてください。
間違ったファイルが更新される原因は、多くの CIFS クライアントアプリケーションでは、一時ファイ
ルに書き込み、元のファイルの名前をバックアップ名に変更し、その後一時ファイルを元のファイル
名に変更するという処理を行うためです。
クライアントアプリケーションでこのような処理が実行されるとき、シンボリックリンクによって元の
ファイルが直接ターゲットになっていると、このファイルはシンボリックリンクと同じディレクトリに格
納され、名前を変更されたシンボリックリンクのリンク先は更新されたファイルではなく、元のファイ
ルとなります。
注: 個々のファイルではなく、ディレクトリにリンクしているシンボリックリンクを参照している
CIFS クライアントでは、この問題は発生しません。
Map エントリについて
Map エントリは、ストレージシステム上の絶対シンボリックリンクのリダイレクトに使用されます。
Map エントリは、/etc/symlink.translations ファイルに作成します。 Map エントリによって、
CIFS クライアントは、絶対シンボリックリンクを参照して同じ共有内のリンク先にアクセスすること
ができます。
注: cifs share -nosymlink_strict_security オプションがソース共有に指定されていな
い場合、CIFS クライアントユーザはシンボリックリンクを参照してリンクの共有の外にあるリソ
ースにアクセスすることはできません。
Map エントリには次の要件があります。
•
•
絶対シンボリックリンクを参照するためには、リンク先を決定する Map エントリが/etc/
symlink.translations ファイル内に必要です。
シンボリックリンクのリンク先は、リンクそのものと同じ共有内にある必要があります。そうでな
い場合、-nosymlink_strict_security オプションが指定されている共有内にリンクがある
必要があります。
Map エントリを使用して絶対シンボリックリンクをリダイレクトすると、シンボリックリンクとリンク先
が同じ共有内にあるため、両方の Windows 共有セキュリティが維持されます。
NFS と CIFS 間でのファイルの共有 | 309
symlink.translations ファイル内に Map エントリと Widelink エントリの両方がある場合、スト
レージシステムでは最初に一致したエントリが使用されます。
Widelink エントリについて
Widelink エントリは、ストレージシステム上の絶対シンボリックリンクをリダイレクトするもう一つの
方法です。 Widelink エントリは、/etc/symlink.translations ファイルに作成します。
Widelink エントリによって、CIFS クライアントは絶対シンボリックリンクを参照し、同じストレージシ
ステム上または外部のリンク先にアクセスすることができます。 Widelink エントリは、共有ごとに
使用できます。
Widelink エントリには次の要件があります。
•
•
•
絶対シンボリックリンクが含まれている共有は、widelink を有効にする必要があります。
絶対シンボリックリンクを参照するには、リンク先を決定する Widelink エントリが/etc/
symlink.translations ファイル内に必要です。
Widelink エントリのリンク先は次のいずれかにする必要があります。
シンボリックリンクと同じ共有
同じストレージシステム上の別の共有
別のストレージシステム上の共有
別の CIFS サーバまたはデスクトップ PC 上の共有
CIFS クライアント側で、Microsoft Distributed File System（DFS;分散ファイルシステム）がサポ
ートされている必要があります。 Windows NT 以降のバージョンのクライアントでは、DFS がデ
フォルトでサポートされます。
•
•
•
•
•
widelink エントリを参照するために、CIFS クライアントは、ストレージシステムに対して DFS リファ
ーラルの要求と受信を自動的に実行し、リンク先共有との認証された接続を確立します。これによ
って、シンボリックリンクとリンク先の両方の NT 共有セキュリティが維持されます。接続が確立さ
れると、CIFS クライアントはリンク先の共有またはサーバに直接新しい要求を送信できるので、パ
フォーマンスが向上します。
/etc/symlink.translations ファイル内に Map エントリと Widelink エントリの両方がある場
合、ストレージシステムでは最初に一致したエントリが使用されます。
Widelink エントリには次の制約があります。
•
•
•
widelink のリンク先がファイルであっても、ディレクトリの一覧にはディレクトリとして表示されま
す。
ファイルを開くシステム API は widelink のリンクを正しく参照しますが、一部のアプリケーショ
ンでは混乱が発生する場合があります。この問題を回避するには、ファイルではなくディレクト
リを参照する widelink を作成します。
Windows 95、Windows 98、および Windows ME クライアントでは、別の widelink にリンクする
widelink を参照できません。
Windows NT クライアントは、widelink が有効になっている共有内の ACL を表示または変更
できません。
310 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
•
この制約は、Windows 2000 以降のバージョンのクライアントには適用されません。
widelink では、リンク先マシンの非共有領域にクライアントをリダイレクトすることはできませ
ん。
シンボリックリンクに対する共有の境界チェックの無効化
シンボリックリンクに対する共有の境界チェックを無効にすると、CIFS クライアントはストレージシ
ステム上のすべての場所にあるシンボリックリンクを参照できるようになります。この動作は共有
ごとに設定され、相対シンボリックリンクと絶対シンボリックリンクの両方に適用されます。
シンボリックリンクに対する共有の境界チェックを無効にするには、次の要件を満たす必要があり
ます。
•
•
•
シンボリックリンクが含まれている共有が、nosymlink_strict_security に設定されている
必要があります。
絶対シンボリックリンクを参照するには、リンク先を決定する Map エントリが/etc/
symlink.translations ファイル内に必要です。
相対シンボリックリンクおよびマッピングされた絶対シンボリックリンクのリンク先は、ストレー
ジシステムの任意の共有領域または非共有領域になければなりません。
シンボリックリンクに対する共有の境界チェックを無効にした場合、次の制約が発生します。
•
•
•
•
•
ボリュームの連結に相対シンボリックリンクは使用できず、絶対シンボリックリンクを使用する
必要があります。
シンボリックリンクは、そのストレージシステム外のシステムを参照することはできません。
シンボリックリンクが含まれている共有に CIFS クライアントが接続するためには認証が必要な
ため、NT 共有セキュリティはシンボリックリンク自体に対して維持されます。
リンク先が同じ共有内にある場合のみ、そのシンボリックリンクのリンク先に対して NT 共有セ
キュリティが維持されます。
リンク先が共有外にある場合、NT 共有セキュリティはシンボリックリンクのリンク先に対して維
持されません。これは、CIFS クライアントが、そのリンク先（CIFS 共有である場合もそうでない
場合もある）を認証する必要がないためです。
注: シンボリックリンクに対する共有の境界チェックを無効にする場合は、ユーザにアクセスして
欲しくないストレージシステムのすべての領域についてセキュリティを確保してください。ユーザ
はストレージシステム上の任意のパスへのシンボリックリンクを作成できるため、この作業は必
ず行ってください。
NFS と CIFS 間でのファイルの共有 | 311
絶対シンボリックリンクのリダイレクト
ストレージシステムで絶対シンボリックリンクをリダイレクトするには、/etc/
symlink.translations ファイル内に Map エントリを作成するか、または/etc/
symlink.translations ファイル内に Widelink エントリを作成します。
タスク概要
NFS クライアントは、ファイルシステムがクライアントにどのようにマウントされているかに基づい
て、絶対シンボリックリンクが示すファイルシステムの位置を解釈します。 CIFS クライアントは、
NFS クライアントのマウント情報にアクセスできません。
CIFS クライアントがストレージシステム上の絶対シンボリックリンクを参照できるようにするには、
CIFS クライアントが絶対シンボリックリンクが示すファイルシステムの位置を解釈できるように、絶
対シンボリックリンクをリダイレクトする必要があります。 /etc/symlink.translations ファイ
ル内にエントリを作成することによって、絶対シンボリックリンクをリダイレクトできます。 /etc/
symlink.translations ファイルは、ストレージシステム上で、UNIX サーバの自動マウントテ
ーブルと同じ役割を果たします。
Map エントリの作成
Map エントリを作成するには、/etc/symlink.translations ファイルを編集します。
手順
1. 編集するため、/etc/symlink.translations ファイルを開きます。
2. 次の形式を使用して、ファイルに 1 行以上の行を入力します。
Map template result
template は絶対シンボリックリンクの照合に使用されます。
result には、一致した絶対シンボリックリンクと置き換えるストレージシステム上のパスを指
定します。
注: ファイルパスにスペースまたはポンド（#）記号を指定する場合、エスケープ文字としてバ
ックスラッシュ（\）を前に付加する必要があります。
例
Map /u/users/charlie/* /home/charlie/*
Map /temp1/* /vol/vol2/util/t/*
Map /u/users/bob\ smith/* /home/bob\ smith/*
312 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
Widelink エントリの作成
Widelink エントリを作成するには、/etc/symlink.translations ファイルを編集します。
手順
1. 編集するため、/etc/symlink.translations ファイルを開きます。
2. 次の形式を使用して、ファイルに 1 行以上の行を入力します。
Widelink template [@qtree] result
template には、UNIX パス名を指定します。
result には、CIFS UNC パス名を指定します。
qtree を指定すると、異なる qtree 内の複数のエントリが同じテンプレート値を持つことができ
ます。
注: Map エントリの場合と異なり、ファイルパスにスペースとポンド（#）記号を指定する際に
バックスラッシュ（\）をエスケープ文字として前に付ける必要はありません。 Widelink エントリ
では、Universal Naming Convention（UNC）に従ってバックスラッシュはファイルパスの標準
文字とされています。
例
次の例では、result に、バックスラッシュを区切り文字とした CIFS パス名の構文を使用して
います。また、スペースの埋め込みも可能です。テンプレートパス名のワイルドカード文字
（*）は、バックスラッシュ（\）を含む 0 個以上の任意の文字を表します。次の result のパス名
のワイルドカード文字は、template のパス名の対応部分と一致する文字列を表します。
Widelink /eng/proj/* @/vol/vol2 \\filer\hw\proj\*
Widelink /eng/proj/* \\filer\sw\proj\*
ストレージシステムによる Map および Widelink エントリの使用方法
CIFS クライアントが絶対シンボリックリンクを参照する場合、ストレージシステムは、一致するエン
トリが検出されるか、または検索が失敗するまで、/etc/symlink.translations ファイル内に
あるエントリを順番に検索します。
ストレージシステムは、最初に一致したエントリを使用して、リンク先へのパスを生成します。この
ため、最も限定的なエントリを最初に指定して、不要なマッピングエラーを防ぐことが重要です。
次の例は、Map エントリの記述方法を示しています。 /u/home/*は、/u/*よりも限定的です。
Map /u/home/* /vol/vol2/home/*
Map /u/* /vol/vol0/*
次の例は、Widelink エントリの記述方法を示しています。
NFS と CIFS 間でのファイルの共有 | 313
Widelink /u/docs/* \\filer\engr\tech pubs\*
Widelink /u/* \\filer\engr\*
CIFS クライアントに対する NFS ディレクトリアクセスの最適化
CIFS クライアントから NFS ディレクトリへのアクセスを最適化するには、CIFS クライアントまたは
NFS クライアントがディレクトリにアクセスするときに、非 Unicode ディレクトリが Unicode 形式に変
換されるように Data ONTAP を設定します。 Unicode 形式のディレクトリのみを作成するように
Data ONTAP を設定し、Unicode 変換を不要にすることもできます。
デフォルトでは、NFS クライアントによって作成されたディレクトリは非 Unicode 形式に、CIFS クラ
イアントによって作成されたディレクトリは Unicode 形式に設定されます。このため、CIFS ディレク
トリには NFS クライアントから直接アクセスできますが、NFS ディレクトリには CIFS クライアントか
ら直接アクセスできません。
CIFS クライアントが NFS ディレクトリにアクセスするためには、Data ONTAP が NFS ディレクトリを
CIFS 形式に変換する必要があります。具体的には、各エントリに 8.3 形式の名前を割り当て、フ
ァイル名を Unicode 形式に変換します。この変換は、NFS クライアントによって作成された NFS
ディレクトリに CIFS クライアントが初めてアクセスするときに実行されます。変換は、ストレージシ
ステムがアクセス要求を受け取った時に自動的に（「オンザフライ」で）処理されます。
Unicode への自動変換は処理が低速で、CPU に大きな負荷がかかります。そのため、ストレージ
システムやストレージシステムにアクセスしているクライアントのパフォーマンスに大きく影響しま
す。また、優先度が高い処理のため、ストレージシステムが応答していないように見える場合が
あります。 sysstat コマンドを実行すると、CPU 使用率が表示されます。変換が完了するまで
は、WAFL の整合ポイントの処理も遅延します。整合ポイントの遅延が 10 分を超えると、システ
ムコンソールにメッセージが表示されます。ディレクトリに含まれるサブディレクトリとファイルの数
によっては、Unicode 変換に数時間から数日を要する可能性があります。
ファイルを CIFS クライアントと NFS クライアントで共有しようとしている場合は、変換を有効にする
のではなく、Data ONTAP のインストール後すぐに、Unicode 形式でディレクトリを作成するように
設定してください。新しいディレクトリがすべて Unicode 形式で作成されるため、CIFS クライアント
による初回アクセス時の変換が不要になります。
Unicode 形式での新規ディレクトリの作成
vol options コマンドを使用すると、すべての新規ディレクトリを Unicode 形式で作成するように
設定できます。これにより、CIFS クライアントが初めてディレクトリにアクセスするとき、Unicode 変
換を行う必要がなくなります。
手順
1. 次のコマンドを入力します。
vol options volume_name create_ucode on
314 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ターゲットボリュームで無停止ボリューム移動を実行中にこの処理を実行すると、処理が失敗
する可能性があります。
Unicode 形式への既存のディレクトリの変換
CIFS クライアントが初めてディレクトリにアクセスすると、Unicode 変換が実行されます。サブディ
レクトリやファイルを多数含む NFS ディレクトリがあるストレージ環境では、この初回アクセス時の
自動変換がストレージシステムのパフォーマンスに影響を及ぼす可能性があります。このパフォ
ーマンスへの影響を防ぐ方法はいくつかあります。
タスク概要
管理された環境で、既存の NFS ディレクトリを Unicode 形式にあらかじめ手動で変換しておくこと
ができます。また、負荷を分散するため、NFS クライアントと CIF クライアント両方からのアクセス
時に Unicode 変換が実行されるように設定することもできます。
手順
1. 次の 1 つ以上の措置を講じます。
目的
操作
Unicode 変換を手動 CIFS クライアントから、Windows Search などの機能を使用して、ストレージシス
で実行する
テム上で CIFS からアクセス可能なすべてのボリュームをスキャンします。
これにより、CIFS クライアントから一度もアクセスされたことのない NFS ディレク
トリに対して Unicode 変換が実行されます。
注: この手順は、業務時間外またはメンテナンスの時間帯にのみ実行してくだ
さい。複数のディレクトリに対して Unicode 変換が実行されるため、変換処理
中はストレージシステムのパフォーマンスに大きな影響がある可能性があり
ます。ディレクトリ内のサブディレクトリやファイルの数によっては、Unicode 変
換に数時間から数日かかることがあるため、適切な実行計画を立ててくださ
い。
1 つディレクトリの
a. ディレクトリに 50,000 を超えるファイルがある場合は、同じボリューム上の
Unicode 変換に必要
Windows クライアントから新しい CIFS ディレクトリを作成します。
な時間を減らす
b. 変換するディレクトリと同じ qtree で、NFS mv コマンドを使用して、作成したデ
ィレクトリにファイルを移動します。
c. 必要に応じて、古いディレクトリを削除し、その名前を新しいディレクトリに割
り当てます。
NFS と CIFS 間でのファイルの共有 | 315
目的
操作
CIFS クライアントま次のコマンドを入力します。
たは NFS クライアン
vol options volume_name convert_ucode on
トがディレクトリにア
クセスするときに
注: ディレクトリに 50,000 を超えるファイルがある場合は、convert_ucode
Unicode 変換を実行
オプションを有効にしないでください。ターゲットボリュームで無停止ボリュー
する
ム移動を実行中にこの処理を実行すると、処理が失敗する可能性がありま
す。
非 Unicode ボリュー
ムを Unicode ボリュ
ームに移動する
a. ソースボリュームで convert_ucode オプションが off になっていることを
確認します。
b. 新しいボリュームを作成します。
c. 次のコマンドを入力して、新しいボリュームに Unicode を設定します。
vol options volume_name create_ucode on
vol options volume_name convert_ucode on
d. ndmpcopy または qtree SnapMirror を使用して、ソースボリュームからデス
ティネーションボリュームにデータを移動します。
ndmpcopy の詳細については、『Data ONTAP 7-Mode データ保護：テープバッ
クアップおよびリカバリガイド』を参照してください。
qtree SnapMirror の詳細については、『Data ONTAP Data Protection Online
Backup and Recovery Guide for 7-Mode』を参照してください。
CIFS クライアントで大文字のファイル名が作成されないようにする方
法
cifs.save_case オプションを off に設定すると、CIFS クライアントで大文字のファイル名が作成
されないようにすることができます。
タスク概要
以前の 16 ビットの CIFS クライアントでファイルを開いたり保存したりすると、小文字だけのファイ
ル名と、大文字と小文字の混在するファイル名が、すべて大文字のファイル名に変更されます。
Data ONTAP で CIFS ファイル名を小文字を使用して保存するように指定すると、大文字のファイ
ル名には変更されません。
手順
1. 次のコマンドを入力します。
options cifs.save_case off
316 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
NFS クライアントからの CIFS ファイルへのアクセス
Data ONTAP では、NTFS（Windows NT ファイルシステム）のセキュリティセマンティクスを利用し
て、mixed 形式または NTFS 形式の qtree 内にあるファイルへのアクセス権が、NFS クライアント
上の UNIX ユーザにあるかどうかが判別されます。
タスク概要
Data ONTAP では、ユーザの UNIX User ID（UID;UNIX ユーザ ID）から変換された CIFS クレデ
ンシャルを使用して、ファイルに対するユーザのアクセス権の有無が確認されます。 CIFS クレデ
ンシャルは、通常はユーザの Windows ユーザ名であるプライマリ Security Identifier （SID;セキュ
リティ ID）と、ユーザがメンバーとなっている Windows グループに対応する 1 つ以上のグループ
SID で構成されています。
Data ONTAP で UNIX UID を CIFS クレデンシャルへ変換するときに要する時間は、数十ミリ秒か
ら数百ミリ秒です。これは、この変換処理にドメインコントローラへの問い合わせも含まれるためで
す。 Data ONTAP では UID が CIFS クレデンシャルにマッピングされます。このマッピングはクレ
デンシャルキャッシュ内に入力されるので、変換によって発生する照合時間が短縮されます。
WAFL クレデンシャルキャッシュへのマッピングエントリの追加
WAFL クレデンシャルキャッシュには、マッピングエントリをいつでも追加できます。通常は、スト
レージシステムにアクセスすることによってエントリが自動的に作成されるため、追加する必要は
ありません。
開始する前に
WAFL クレデンシャルキャッシュに追加するエントリの名前および IP アドレスを準備しておく必要
があります。
タスク概要
エントリを追加する最適な方法は、ブート時に WAFL クレデンシャルキャッシュにエントリをロード
するスクリプトを使用する方法です。これによって、ファイルへのアクセス時にエントリが作成され
るの待たなくても、エントリは WAFL クレデンシャルキャッシュにすぐに追加されます。
注: キャッシュは 10,000 エントリに制限されます。この制限を超えると、古いエントリから削除さ
れます。
手順
1. 次のコマンドを入力します。
wcc -a -u uname -i ipaddress
uname には、ユーザの UNIX 名を指定します。
NFS と CIFS 間でのファイルの共有 | 317
ipaddress には、ユーザが使用しているホストの IP アドレスを指定します。
WAFL クレデンシャルキャッシュからのマッピングエントリの削除
WAFL クレデンシャルキャッシュのエントリはいつでも削除できます。セキュリティ変更を行ったあ
とでエントリを削除して、ただちに変更を反映させたい場合があります。
開始する前に
WAFL クレデンシャルキャッシュから削除するエントリの名前が必要です。さらに選択を絞り込む
には、オプションで IP アドレスを指定できます。
タスク概要
ユーザの権限を変更した場合、変更はただちに反映されない場合があります。たとえば、グルー
プからユーザを削除してもそのユーザのマッピングがすでに WAFL クレデンシャルキャッシュに
存在する場合、WAFL クレデンシャルキャッシュが自動的にタイムアウトになるまで、そのユーザ
はファイルに対してそのグループのアクセス権を持ち続けます。デフォルトのクレデンシャルキャ
ッシュタイムアウト時間は 20 分です。
手順
1. 次のコマンドを入力します。
wcc -x name
name には次のいずれかを指定します。-s に続けて、CIFS クレデンシャル内で検出された
Windows ユーザ名またはグループ名、あるいは-u に続けて、CIFS クレデンシャル内で検出さ
れた UNIX 名
注: name にグループ名を指定すると、そのグループの全メンバーが WAFL クレデンシャル
キャッシュから削除されます。
-i を指定し、続けてユーザが使用しているホストの IP アドレスを指定すると、ユーザをさらに
絞り込むことができます。 name を指定しない場合は、すべてのエントリが削除されます。
例
wcc -x -u jdoe -i 10.100.4.41
マッピングエントリの有効時間の設定
Data ONTAP が更新を行ったあとに CIFS クレデンシャルが WAFL クレデンシャルキャッシュ内に
存在している時間を長くすることによって、パフォーマンスを向上させることができます。これは、
318 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
Data ONTAP で CIFS クレデンシャルを作成してファイルへのアクセス権を照合するための時間を
確保する必要がないためです。
タスク概要
CIFS クレデンシャルを WAFL クレデンシャルキャッシュ保存しておく時間を延長することの欠点
は、ユーザのアクセス権を変更しても、Data ONTAP で WAFL クレデンシャルキャッシュが更新さ
れるまでは変更が反映されないことです。このため、アクセスの拒否を設定したばかりのファイル
へのアクセス権が一時的にユーザに付与されてしまう可能性があります。
この点が問題にならないのであれば、クレデンシャルエントリの有効時間を長くすることができま
す。アクセス権の更新をすぐに反映させる必要があり、パフォーマンスが遅くても問題にならない
場合は、デフォルトよりも小さい値を使用できます。
手順
1. 次のコマンドを入力します。
options wafl.wcc_minutes_valid n
n は、各エントリの有効時間（分）です。指定できる範囲は 1～20,160 です。デフォルト値は 20
です。
WAFL クレデンシャルキャッシュ統計の監視
WAFL クレデンシャルキャッシュ統計を監視すると、現在キャッシュされているエントリ、および
UNIX UID / CIFS 間のクレデンシャルマッピングを表示できます。これらの情報は、WAFL クレ
デンシャルキャッシュにあるエントリや、エントリに含まれるユーザのアクセス権について把握する
必要がある場合に役立ちます。
手順
1. 次のコマンドを入力します。
wcc -d uname
uname は、ユーザの UNIX 名です。 WAFL クレデンシャルキャッシュ内にあるすべてのクレデ
ンシャルエントリの一覧を表示する場合は、uname を省略します。さらに詳細な情報を表示す
るには、コマンドラインに-v を追加します。 1 つのコマンドに、-v オプションを 3 つまで指定で
き（-vvv）、1 つ増えるたびにより詳細な情報が表示されます。
例
次に、-d オプションを使用した統計の出力例を示します。
wcc -d
tday (UID 10350) from 10.121.4.41 => NT-DOMAIN\tday*
Total WCC entries: 3; oldest is 127 sec.
NFS と CIFS 間でのファイルの共有 | 319
Total Administrator-privileged entries: 1
* indicates members of "BUILTIN\Administrators" group
次に、-v オプションを 2 つ使用した統計の出力例を示します。
wcc -dvv
jdoe (UID 1321) from 10.121.4.41 => NT-DOMAIN\jdoe
***************
UNIX uid = 1321
NT membership
NT-DOMAIN\jdoe
NT-DOMAIN\Domain Users
NT-DOMAIN\SU Users
NT-DOMAIN\Installers
NT-DOMAIN\tglob
NT-DOMAIN\Engineering
BUILTIN\Users
User is also a member of Everyone, Network Users,
Authenticated Users
***************
tday (UID 10350) from 10.121.4.41 => NT-DOMAIN\tday*
**************
UNIX uid = 10350
NT membership
NT-DOMAIN\tday
NT-DOMAIN\Domain Users
NT-DOMAIN\Domain Admins
NT-DOMAIN\SU Users
NT-DOMAIN\Installers
BUILTIN\Users
BUILTIN\Administrators
User is also a member of Everyone, Network Users,
Authenticated Users
***************
bday (UID 1219) from 10.121.4.41 => NT-DOMAIN\bday
***************
UNIX uid = 1219
NT membership
NT-DOMAIN\bday
NT-DOMAIN\Domain Users
NT-DOMAIN\Installers
NT-DOMAIN\SU Users
BUILTIN\Users
User is also a member of Everyone, Network Users,
Authenticated Users
***************
Total WCC entries: 3; oldest is 156 sec.
320 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
Total Administrator-privileged entries: 1
* indicates members of "BUILTIN\Administrators" group
マッピングの不整合への対処
マッピングの不整合に対処するには、いくつかのタスクを実行します。
タスク概要
ユーザがアクセス可能であるはずのファイルにアクセスできない場合、次のような理由が考えられ
ます。
•
•
•
アクセス権を最近付与したが、WAFL クレデンシャルキャッシュに新しいマッピングエントリが
ない。
最近付与された権限と WAFL クレデンシャルキャッシュ間のマッピングの不整合は、CIFS ク
レデンシャルマッピングを比較して判別します。マッピングの結果は、ユーザの UNIX 名また
は Windows 名のどちらについても表示できます。
NFS クライアントが CIFS クレデンシャルを取得できなかった。
NFS クライアントがストレージシステムへの CIFS のログインを実行できるかどうかは、CIFS ロ
グインを追跡することによって判別できます。
NFS クライアントによっては、NFS 属性キャッシュがタイムアウトしてからでないと CIFS クレデ
ンシャルの変更が有効にならない場合がある。
手順
1. 次のコマンドを入力し、UNIX 名の現在の CIFS クレデンシャルマッピングを表示します。
wcc -s uname
uname は Windows ユーザ名です。 -i を指定し、続けてユーザが使用しているホストの IP ア
ドレスを指定すると、ユーザをさらに絞り込むことができます。さらに詳細な情報を表示するに
は、コマンドラインに-v を追加します。 1 つのコマンドに、-v オプションを 3 つまで指定でき（vvv）、1 つ増えるたびにより詳細な情報が表示されます。
2. CIFS クレデンシャル情報を記録します。
3. 次のコマンドを入力して、接続されているすべてのユーザの情報を表示します。
cifs sessions -s
4. 出力結果からこのユーザの情報を検索します。
5. 2 つの CIFS クレデンシャルマッピングを比較します。
6. CIFS クレデンシャルマッピングが異なる場合は、次のコマンドを入力して、クライアントの接続
を解除します。
cifs terminate workstation
NFS と CIFS 間でのファイルの共有 | 321
タスクの結果
クライアントを再接続すると、CIFS クレデンシャルマッピングが正しいものになります。
CIFS ログインの追跡
CIFS ログインを追跡するには、NFS クライアントによる CIFS クレデンシャル取得操作をすべて監
視します。
タスク概要
すべての CIFS ログインが報告されるため、CIFS ログイン追跡は慎重に使用してください。継続
的に使用すると大量のコンソールメッセージおよびログメッセージが発行される可能性があり、シ
ステムのパフォーマンスに影響を及ぼすことがあります。デフォルトでは、cifs.trace_login オ
プションは無効になっています。このオプションは、診断目的に限って一時的に有効にするように
してください。それ以外のときは常に無効にしてください。
手順
1. 次のコマンドを入力します。
options cifs.trace_login {on | off}
CIFS ログインの追跡を有効にする場合は on を、無効にする場合は off を指定します。
ドメインコントローラ接続の追跡
Data ONTAP が数分ごとにドメインコントローラ接続の改善を試行する際にメッセージをコンソー
ルに送信するように、Data ONTAP を設定できます。
タスク概要
追跡機能は、コンソールおよびシステムログに頻繁にメッセージを送信するため、このオプション
は継続的に有効にしないでください。この機能はデフォルトで無効になっています。
手順
1. 次のコマンドを入力します。
options cifs.trace_dc_connection {on | off}
322 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
UNIX の「実行」権限がない CIFS クライアントへの.dll および.exe フ
ァイルの実行権限の付与
cifs.grant_implicit_exe_perm オプションを on に設定すると、UNIX 実行可能ビットが設定
されていない CIFS クライアントに、.dll および.exe ファイルの実行を許可できます。
手順
1. 次のコマンドを入力します。
options cifs.grant_implicit_exe_perm on
タスクの結果
UNIX の「読み取り」権限のみが設定された実行可能ファイルを CIFS クライアントから実行した場
合は、実行権限が暗黙的に付与されます。
Windows アプリケーションによるファイル編集が UNIX アクセス権
に及ぼす影響
Windows アプリケーションの多くは、UNIX セキュリティを使用するファイルを読み取る際に ACL
を誤って解釈します。アプリケーションがファイルを保存すると、元の UNIX アクセス権は失われ
ます。 cifs.preserve_unix_security オプションを使用すると、この問題を回避できます。
次の条件でファイルを提供する場合は、cifs.preserve_unix_security オプションを on に設
定する必要があります。
•
•
•
•
ファイルに UNIX アクセス権がある（chmod または umask コマンドでモードビットが設定されて
いる）
NFS v4 ACL がファイルに適用されていない
ファイルが UNIX セキュリティ形式または mixed セキュリティ形式を使用する qtree に含まれて
いる
Windows アプリケーションを使用してファイルを編集する
注: このオプションを有効にすると、UNIX 形式の qtree は、Windows クライアントからは FAT ボ
リュームではなく NTFS ボリュームとして表示されます。
cifs.preserve_unix_security オプションが設定されている場合、Windows の[プロパティ]
ダイアログボックスの[セキュリティ]タブを使用して、UNIX アクセス権の表示や編集が可能で
す。ただし、処理が UNIX システムによって許可されていなければ、Windows クライアントから
アクセス権を変更することはできません。たとえば、所有していないファイルの所有権を変更す
ることはできません。これは、UNIX システムではこうした処理が許可されていないためです。こ
NFS と CIFS 間でのファイルの共有 | 323
の制限により、Windows クライアントは、ストレージシステム上に設定された UNIX アクセス権
をバイパスできないようになっています。
cifs.preserve_unix_security オプションの詳細については、options(1)のマニュアルページ
を参照してください。
324 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
FTP を使用したファイルアクセス
File Transfer Protocol（FTP;ファイル転送プロトコル）サーバを有効にして、Windows および UNIX
FTP クライアントがストレージシステムのファイルにアクセスできるように設定することができます。
FTP の管理
FTP の管理では、FTP の有効化または無効化、FTP の設定、関連する統計の表示を行います。
FTP サーバの有効化と無効化
FTP サーバを有効または無効にするには、ftpd.enable オプションを変更します。有効にする
と、クライアントから FTP を使用してファイルにアクセスできるようになります。デフォルトでは、こ
のオプションは off になっています。
手順
1. 次のいずれかを実行します。
FTP サーバの設定
入力するコマンド
有効にする
options ftpd.enable on
FTP サーバは標準 FTP ポート 21 で FTP 要求のリスニングを開始します。
無効にする
options ftpd.enable off
TFTP サーバの有効化と無効化
TFTP サーバを有効または無効にするには、tftpd.enable オプションを変更します。有効にする
と、クライアントから TFTP を使用してファイルにアクセスできるようになります。デフォルトでは、こ
のオプションは off になっています。
手順
1. 次のいずれかを実行します。
TFTP サーバの設定入力するコマンド
有効にする
options tftpd.enable on
TFTP サーバは標準 FTP ポート 69 で TFTP 要求のリスニングを開始します。
無効にする
options tftpd.enable off
FTP を使用したファイルアクセス | 325
FTP ファイルロックの有効化と無効化
FTP サーバで転送中のファイルをユーザが変更できないようにするには、FTP ファイルロックを有
効にします。あるいは、FTP ファイルロックを無効にできます。デフォルトでは、FTP ファイルロッ
クは無効になっています。
手順
1. 次のいずれかを実行します。
FTP ファイルロックの設定
入力するコマンド
削除および名前変更に関して有効にする
options ftpd.locking delete
削除、名前変更、および書き込みに関して有効にする
options ftpd.locking write
無効にする
options ftpd.locking none
FTP 認証形式の指定
UNIX、Windows、または両方の認証形式を使用するように FTP サーバを設定するには、
ftpd.auth_style オプションをそれぞれ unix、ntlm、または mixed に設定します。デフォルト
では、このオプションは mixed です。
タスク概要
UNIX 認証形式を指定すると、FTP サーバは/etc/passwd ファイル、NIS、または LDAP を使用
してユーザを認証します。
NTLM 認証形式を指定すると、FTP サーバは Windows ドメインコントローラを使用してユーザを
認証します。暗号化されたユーザ名とパスワードが使用されるため、UNIX 認証形式よりも
NTLM 認証形式の方がより安全です。
mixed 認証形式を指定すると、FTP サーバは、名前にバックスラッシュ（\）またはアットマーク（@）
を含むユーザには NTLM 認証形式を使用し、その他のすべてのユーザには UNIX 認証形式を
使用します。
手順
1. 次のコマンドを入力します。
options ftpd.auth_style style
style は unix、ntlm、mixed のいずれかです。
2. 次のいずれかを実行します。
326 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
指定内容
操作
ntlm
/etc/cifs_homedir.cfg ファイルに CIFS ホームディレクトリを指定した
あとに、次のコマンドを入力します。
cifs homedir load
/etc/cifs_homedir.cfg で指定したパスとユーザ ID の組み合わせがユ
ーザのホームディレクトリとなります。 /etc/cifs_homedir.cfg で指定さ
れたパスでは大文字と小文字が区別されますが、ユーザ ID では区別されま
せん。たとえば、パスが\home でユーザ名が JOHN の場合、ユーザのホーム
ディレクトリは\home\john になります。
unix、nis.enable
オプションを on に設
定して NIS をあらかじ
め有効にしてある
適切な passwd エントリを/etc/nsswitch ファイルに追加します。
•
/etc/passwd ファイルのみを使用してユーザを認証するには、次のエン
トリを追加します。
passwd: files
•
NIS のみを使用してユーザを認証するには、次のエントリを追加します。
passwd: nis
•
/etc/passwd ファイルと NIS を両方使用してユーザを認証するには、次
のエントリを追加します。
passwd: files nis
NTLM 認証形式の制限
NTLM 認証形式にはいくつかの制限があります。
制限は次のとおりです。
•
•
•
NTLMv2 は、ストレージシステムに存在しないドメインコントローラベースのサービスに依存し
ます。
そのため、ワークグループモードで動作するストレージシステムへの接続に使用できるのは
NTLMv1 およびそれ以前のバージョンのみとなります。
NTLM 認証を使用するワークグループストレージシステムの Windows クライアントでは、
「LAN マネージャ認証レベル」を「NTLMv2 のみ」以外のレベルに設定する必要があります。
このオプションを設定すると、「LMCompatibilitylevel」のレジストリ値が 0、1、または 2 に変更さ
れます。これは、ワークグループ環境のストレージシステムでサポートされる唯一の NTLM
設定です。
Active Directory 環境のドメインベースのクライアントは、（要求がストレージシステムからドメイ
ンコントローラへ渡されるため）NTLMv2 を使用して認証を実行できますが、ドメインコントロ
ーラはローカルストレージシステムアカウントの接続情報を使用することができません。
このため、ローカルストレージシステムアカウントは、このような環境でストレージシステムに
接続しようとしても認証に失敗します。
FTP を使用したファイルアクセス | 327
FTP トラバースチェックのバイパスの有効化と無効化
FTP トラバースチェックのバイパスを有効または無効にするには、
ftpd.bypass_traverse_checking オプションをそれぞれ on または off に設定します。デフォ
ルトでは、このオプションは off に設定されています。
タスク概要
ftpd.bypass_traverse_checking option が off に設定されている場合に、ユーザが FTP
を使用してファイルにアクセスしようとすると、このファイルのパスに含まれるすべてのディレクトリ
に対してトラバース（実行）権限があるかチェックされます。いずれかの中間ディレクトリに「X」（トラ
バース権限）がない場合は、このファイルへのアクセスが拒否されます。
ftpd.bypass_traverse_checking オプションが on に設定されている場合に、ユーザがファイ
ルにアクセスしようとすると、中間ディレクトリのトラバース権限がチェックされないで、ファイルへの
アクセスの可否が判別されます。
手順
1. 次のいずれかを実行します。
FTP トラバースチェックのバイパスの設定操作
有効にする
次のコマンドを入力します。
options ftpd.bypass_traverse_checking on
無効にする
次のコマンドを入力します。
options ftpd.bypass_traverse_checking off
FTP アクセスの制限
FTP アクセスを制限するには、FTP ユーザをブロックして、FTP ユーザのアクセス先を特定のディ
レクトリ（ホームディレクトリまたはデフォルトディレクトリ）に限定します。
特定の FTP ユーザのブロック
特定の FTP ユーザに対してストレージシステムへのアクセスを禁止するには、/etc/ftpusers
ファイルに該当するユーザを追加します。
手順
1. NFS または CIFS クライアントから、ストレージシステムのデフォルトボリューム（デフォルト
は/vol/vol0）の/etc ディレクトリにアクセスします。
2. テキストエディタで/etc/ftpusers ファイルを開きます（ファイルが存在しない場合は、作成し
ます）。
3. アクセスを拒否するユーザのユーザ名を追加します（1 行に 1 つずつ）。
328 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
NTLM 認証の場合は、次のいずれかの形式でユーザ名を指定する必要があります。
•
•
Domain\username
Username@domain
注: 上記の形式では、正確なドメイン名を指定する必要があります。そうしないと、該当する
ユーザからのアクセスが FTP サーバで拒否されません。たとえば、ドメイン名に「.com」とい
うサフィックスが含まれている場合は、このサフィックスを名前に含める必要があります。
4. /etc/ftpusers ファイルを保存します。
FTP ユーザのアクセス先を特定のディレクトリに制限
FTP ユーザのアクセス先を特定のディレクトリに制限するには、ftpd.dir.restriction オプショ
ンを on に設定します。FTP ユーザがストレージシステム全体にアクセスできるようにするには、
ftpd.dir.restriction オプションを off に設定します。デフォルトでは、このオプションは on
です。
手順
1. 次のいずれかを実行します。
目的
操作
FTP ユーザのアクセス先をホームディレクトリまたはデ次のコマンドを入力します。
フォルトディレクトリに制限する
options ftpd.dir.restriction on
FTP ユーザがストレージシステム全体にアクセスでき
るようにする
次のコマンドを入力します。
options ftpd.dir.restriction off
終了後の操作
ftpd.dir.restriction オプションを on に設定した場合、ftpd.dir.override オプションを使
用して、FTP ユーザがホームディレクトリまたはデフォルトディレクトリのどちらにアクセスできるか
を指定できます。
FTP ユーザのアクセス先をホームディレクトリまたはデフォルトディレクトリに制限
FTP ユーザのアクセス先をデフォルトディレクトリに制限するには、ftpd.dir.override オプショ
ンを設定します。 FTP ユーザのアクセス先をホームディレクトリに制限するには、
ftpd.dir.override オプションをクリアします。デフォルトでは、このオプションはクリアされてい
ます。
手順
1. 次のいずれかを実行します。
FTP を使用したファイルアクセス | 329
FTP ユーザの制限先
操作
FTP ユーザのホームディレク
トリ
次のコマンドを入力します。
デフォルトディレクトリ
次のコマンドを入力します。
options ftpd.dir.override ""
options ftpd.dir.override directory
directory は、FTP ユーザを制限するデフォルトディレクトリ名で
す。
終了後の操作
FTP ユーザに、手順 1 で作成されたディレクトリへの読み取りアクセス権があることを確認します。
詳細については、『Data ONTAP ストレージ管理ガイド』を参照してください。
FTP ログファイルの管理
FTP ログファイルを管理するには、FTP ログファイルを表示して、FTP ログファイルの最大数や、
現在の FTP ログファイルの最大サイズを指定します。
FTP サーバでのログファイルの管理方法
Data ONTAP では、すべての FTP サーバ要求が/etc/log/ftp.cmd ファイルに記録され、すべ
てのファイル転送が/etc/log/ftp.xfer ファイルに記録されます。
データは FTP ログファイル（/etc/log/ftp.cmd または/etc/log/ftp.xfer ファイル）に書き込
まれ、FTP ログファイルが最大サイズに達すると、 Data ONTAP で次のタスクが実行されます。
1. FTP ログファイルの総数が FTP ログファイルの最大数と等しい場合、最も古い FTP ログファ
イルが削除されます。
2. 残りの FTP ログファイルのサフィックスが増分されます。
3. 現在の FTP ログファイルには.1 というサフィックスが追加されます。
4. 新しい FTP ログファイルが作成されます。
例
ログファイルの最大数が 6 の場合に、/etc/log/ftp.xfer ログファイルが最大サイズに
達すると、次のタスクが実行されます。
1. /etc/log/ftp.xfer.5 ファイルが存在する場合は、削除されます。
2. /etc/log/ftp.xfer.4 ファイルの名前が/etc/log/ftp.xfer.5 に、/etc/log/
ftp.xfer.3 ファイルの名前が/etc/log/ftp.xfer.4 に変更されます（以下同様）。
3. /etc/log/ftp.xfer ファイルの名前が/etc/log/ftp.xfer.1 に変更されます。
4. 新しい/etc/log/ftp.xfer ログファイルが作成されます。
330 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
/etc/log/ftp.xfer ログファイルの形式
/etc/log/ftp.xfer ファイルには、FTP サーバによって転送されたすべてのファイルの情報が
格納されます。
次の表に、/etc/log/ftp.xfer ファイルのフィールドの説明を示します。
フィールド
説明
timestamp
ログレコードのタイムスタンプ
xferTime
ファイル転送の時間（秒）
clientIP
FTP クライアントの IP アドレス
xferCount
転送済みファイルのバイト数
filename
転送済みファイルのファイル名
xferType
「a」（ASCII）、「e」（EBCDIC）、または「b」（バイナリ）
xferDirection
「o」（アウトバウンド）または「i」（インバウンド）
accessType
「a」（匿名）、「r」（実ユーザ）、または「g」（ゲスト）
/etc/log/ftp.cmd ログファイルの形式
/etc/log/ftp.cmd ファイルには、FTP サーバで受信されたすべてのコマンドの情報が格納され
ます。
次の表に、/etc/log/ftp.cmd ファイルのフィールドの説明を示します。
フィールド
説明
timestamp
ログレコードのタイムスタンプ
serialNo
FTP 接続のシリアル番号
コマンド
FTP コマンド
FTP ログファイルの表示
FTP ログファイルを表示するには、テキストエディタまたはビューアで開きます。
タスク概要
FTP サーバには次の 2 つのログファイルが保持されます。
•
/etc/log/ftp.cmd ファイルには、FTP サーバで受信されたすべてのコマンドの情報が格納
されます。
FTP を使用したファイルアクセス | 331
•
/etc/log/ftp.xfer ファイルには、FTP サーバによって転送されたすべてのファイルの情報
が格納されます。
手順
1. NFS または CIFS クライアントから、ストレージシステムのデフォルトボリューム（デフォルト
は/vol/vol0）の/etc/log ディレクトリにアクセスします。
2. テキストエディタまたはビューアでログファイルを開きます。
FTP ログファイルの最大数の指定
FTP ログファイルの最大数を指定するには、ftpd.log.nfiles オプションを設定します。デフォ
ルトでは、FTP ログファイルの最大数は 6 です。
手順
1. 次のコマンドを入力します。
options ftpd.log.nfiles n
n はログファイルの最大数です。詳細については、na_options(1)のマニュアルページを参照し
てください。
現在の FTP ログファイルの最大サイズの指定
現在の FTP ログファイル（/etc/log/ftp.cmd ログファイルおよび/etc/log/ftp.xfer ログフ
ァイル）の最大サイズを指定するには、ftpd.log.filesize オプションを設定します。デフォルト
では、現在の FTP ログファイルの最大サイズは 512KB です。
手順
1. 次のコマンドを入力します。
options ftpd.log.filesize filesize
filesize は引数です。K または k（KB の場合）、あるいは G または g（GB の場合）を続けて
入力します。詳細については、na_options(1)のマニュアルページを参照してください。
例
次のコマンドでは、現在の FTP ログファイルの最大サイズを 1GB に設定しています。
options ftpd.log.filesize 1G
332 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
FTP サーバで生成される SNMP トラップの表示
FTP サーバで生成される SNMP トラップを表示するには、ストレージシステムで SNMP を開始お
よび設定して、UNIX クライアントで SNMP トラップを表示します。
FTP サーバで生成される SNMP トラップ
FTP サーバでは、複数の SNMP トラップが生成されます。
以下のイベントが発生すると、FTP サーバで SNMP トラップが生成されます。
•
•
•
同時接続数が ftpd.max_connections_threshold に達した場合
同時接続数が ftpd.max_connections に達した場合
FTP デーモン処理がエラーのために停止した場合
SNMP の設定の詳細については、『Data ONTAP 7-Mode ネットワーク管理ガイド』を参照してくだ
さい。
ストレージシステムでの SNMP の開始と設定
ストレージシステムで SNMP を開始するには、snmp コマンドを使用します。
手順
1. 次のコマンドを入力します。
snmp init 1
2. 次のコマンドを入力します。
snmp traphost add hostname
hostname は、FTP サーバで生成された SNMP トラップを受信する UNIX クライアントのホスト
名です。
終了後の操作
手順 2 で指定した UNIX クライアント上で、SNMP トラップを有効にする必要があります。
UNIX クライアントでの SNMP トラップの表示
UNIX クライアントで SNMP トラップを表示するには、snmptrapd -P コマンドを入力します。
開始する前に
UNIX クライアントで SNMP トラップを表示する前に、ストレージシステムで SNMP を開始および
設定する必要があります。
手順
1. 次のコマンドを入力します。
FTP を使用したファイルアクセス | 333
snmptrapd -P
FTP 統計の表示
FTP の統計を表示するには、ftp stat コマンドを入力します。
手順
1. 次のコマンドを入力します。
ftp stat -p native
このコマンドを使用して、SFTP のみ、明示的 FTPS のみ、暗黙的 FTPS のみ、IPv4 のみ、また
は IPv6 のみの統計を表示することもできます。詳細については、na_ftp(1)マニュアルページ
を参照してください。
タスクの結果
ftp stat コマンドを使用すると、次の統計が表示されます。
•
•
•
現在の FTP 接続数
同時 FTP 接続の最大数
FTP 統計がリセットされてからの FTP 接続の合計数
FTP 統計のリセット
FTP の統計をリセットするには、ftp stat -z コマンドを使用します。
手順
1. 次のコマンドを入力します。
ftp stat -z
FTP 接続の最大数の指定
FTP サーバで許可される FTP 接続の最大数を指定するには、ftpd.max_connections オプショ
ンを使用します。デフォルトでは、FTP 接続の最大数は 500 です。
手順
1. 次のコマンドを入力します。
options ftpd.max_connections n
n は、FTP サーバで許可される FTP 接続の最大数です。 ftpd.max_connections オプション
を現在の FTP 接続数よりも少なく設定した場合は、接続数が新しい最大値より少なくなるま
で、新しい接続は拒否されます。既存の FTP 接続は中断されません。
HA 構成で、ストレージシステムがテイクオーバーモードになっている場合は、FTP 接続の最
大数は自動的に 2 倍になります。
334 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
TFTP 接続の最大数の指定
TFTP サーバで許可される TFTP 接続の最大数を指定するには、tftpd.max_connections オプ
ションを使用します。接続の最大数はデフォルトで 8 です。サポートされている最大の接続数は
32 です。
手順
1. 次のコマンドを入力します。
options tftpd.max_connections n
n は、TFTP サーバで許可される TFTP 接続の最大数です。 tftpd.max_connections オプ
ションを現在の TFTP 接続数よりも少なく設定した場合は、接続数が新しい最大値より少なくな
るまで、新しい接続は拒否されます。既存の TFTP 接続は中断されません。
HA 構成ストレージシステムがテイクオーバーモードになっている場合は、TFTP 接続の最大
数は自動的に 2 倍になります。
FTP 接続しきい値の設定
FTP 接続数が FTP 接続の最大数の何%に達した場合に、FTP サーバでシステムログにエントリ
を追加し、（オプションとして）SNMP トラップを開始するかを指定するには、
ftpd.max_connections_threshold オプションを設定します。デフォルトでは、このオプション
は 0（オフ）です。
手順
1. 次のコマンドを入力します。
options ftpd.max_connections_threshold n
n は、ftpd.max_connections の値に対するパーセンテージ（0～99）です。
FTP 処理用の TCP ウィンドウサイズの指定
FTP 処理用の TCP ウィンドウサイズを指定するには、ftpd.tcp_window_size オプションを使
用します。デフォルトでは、FTP 処理用の TCP ウィンドウサイズは 28,960 です。
開始する前に
FTP 処理用の TCP ウィンドウサイズは、ネットワーク設定で必要な場合にだけ変更してください。
変更すると、FTP のパフォーマンスに大きな影響が及びます。
手順
1. 次のコマンドを入力します。
options ftpd.tcp_window_size n
FTP を使用したファイルアクセス | 335
n は FTP 処理用の TCP ウィンドウサイズです（FTP サーバが FTP クライアントから一度に受
け取るバイト数）。
FTP アイドルタイムアウト値の指定
FTP アイドルタイムアウト値を指定するには、ftpd.idle_timeout オプションを設定します。 FTP
接続がアイドルな状態がこの期間を超えると、FTP サーバによって接続が終了されます。デフォ
ルトでは、FTP アイドルタイムアウト値は 900 秒です。
手順
1. 次のコマンドを入力します。
options ftpd.idle_timeout n s | m | h
n は新しいタイムアウト値です。文字 s、m、または h を付加して、n の単位をそれぞれ秒、分、
または時間に指定します。
匿名 FTP アクセスの管理
匿名 FTP アクセスの管理では、匿名 FTP アクセスを有効または無効にしたり、匿名ユーザのホー
ムディレクトリおよびユーザ名を指定したりします。
匿名 FTP アクセスの有効化と無効化
匿名 FTP アクセスを有効または無効にするには、ftpd.anonymous.enable オプションをそれぞ
れ on または off に設定します。有効にすると、個別の認証なしでクライアントから FTP を使用し
てファイルにアクセスできるようになります。デフォルトでは、このオプションは off になっていま
す。
手順
1. 次のいずれかを実行します。
匿名 FTP アクセス
入力するコマンド
有効にする
options ftpd.anonymous.enable on
無効にする
options ftpd.anonymous.enable off
終了後の操作
匿名 FTP アクセスを有効にする場合は、次のタスクを実行する必要があります。
•
•
匿名 FTP ユーザのユーザ名を指定します。
匿名 FTP ユーザのホームディレクトリを指定します。
336 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
匿名 FTP ユーザのユーザ名の指定
匿名 FTP ユーザのユーザ名を指定するには、ftpd.anonymous.name オプションを設定します。
デフォルトでは、匿名 FTP ユーザのユーザ名は「anonymous」です。
タスク概要
FTP 認証形式が unix の場合は、/etc/passwd ファイルで FTP ユーザに対して指定されたユー
ザ名は無視され、このオプションで指定されたユーザ名が使用されます。
手順
1. 次のコマンドを入力します。
options ftpd.anonymous.name username
username は匿名ユーザの名前です。
匿名 FTP ユーザのホームディレクトリの指定
匿名 FTP ユーザのホームディレクトリ（匿名 FTP ユーザがアクセスできる唯一のディレクトリ）を
指定するには、ftpd.anonymous.home_dir オプションを使用します。
タスク概要
FTP 認証形式が unix の場合は、/etc/passwd ファイルまたは NIS で ftp ユーザに対して指定
したホームディレクトリは無視され、このオプションで指定したホームディレクトリが使用されます。
NTLM 認証形式の場合、FTP サーバによって認証された匿名 FTP ユーザには、null ユーザと
同じアクセス権が設定されます。
手順
1. 匿名 FTP ユーザのホームディレクトリを作成します。
2. 次のコマンドを入力します。
options ftpd.anonymous.home_dir homedir
homedir は、匿名 FTP ユーザのホームディレクトリの名前です。
終了後の操作
匿名 FTP ユーザに、手順 1 で作成したディレクトリへの読み取りアクセス権があることを確認して
ください。詳細については、『Data ONTAP 7-Mode ストレージ管理ガイド』を参照してください。
FTP を使用したファイルアクセス | 337
Secure File Transfer Protocol（SFTP）の管理
Secure File Transfer Protocol（SFTP）の管理では、SFTP の有効化または無効化、およびさまざま
なオプションの指定を行います。
SFTP について
Secure File Transfer Protocol（SFTP）は、File Transfer Protocol（FTP）に代わる安全なプロトコルで
す。 SFTP は Secure Shell プロトコルを基盤としています。
FTP と同様に、SFTP は対話型のファイル転送プログラムです。すべての処理は、暗号化された
SSH 転送を介して実行されます。 FTP とは異なり、コマンドとデータの両方が暗号化されるので、
一般的なネットワークセキュリティのリスクから効果的に防御することができます。 SSH クライアン
トとサーバには、Windows ユーザ用にコマンドラインの SFTP ツール群とグラフィカルユーザイン
ターフェイスの両方が用意されています。 SFTP ではセッションが暗号化されるため、ユーザ名や
パスワードなど、あらゆる転送内容の不用意な流出が防止されます。このプロトコルは、セキュア
なチャネルで実行されていること、サーバがクライアント側でユーザを認証済みであること、および
クライアントユーザの ID がサーバからも外部的に利用できることを前提としています。 SFTP は、
SSH Connection Protocol からサブシステムとして実行されます。
Data ONTAP では、SSH File Transfer Protocol の Internet-Draft バージョン 03（tools.ietf.org/html/
draft-ietf-secsh-filexfer-03 を参照）に従って SFTP を実装します。
SFTP の Data ONTAP サポートの制限
Data ONTAP による SFTP のサポートにはいくつかの制限があることに注意してください。
WAFL が 1 回の I/O 処理で書き込めるデータは最大 64KB なため、SFTP のパケットサイズも
64KB に制限されます。 Data ONTAP では、SFTP 経由で 64KB を超えるパケットを受信した場
合、セッションを閉じて接続をリセットします。 64KB を超えるデータの読み取り要求を受信した場
合、64KB のデータのみを読み取ります。
SFTP の有効化と無効化
SFTP を有効または無効にするには、sftp.enable オプションを on または off に設定します。ク
ライアントから SFTP を使用してファイルにアクセスできるようになります。デフォルトでは、このオ
プションは off になっています。
開始する前に
SSH をセットアップして実行しておく必要があります。詳細については、na_secureadmin(1)のマニ
ュアルページ、または『Data ONTAP 7-Mode システムアドミニストレーションガイド』を参照してく
ださい。
338 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
手順
1. 次のいずれかを実行します。
SFTP の設定
入力するコマンド
有効にする
options sftp.enable on
無効にする
options sftp.enable off
SFTP ファイルロックの有効化と無効化
SFTP サーバで転送中のファイルをユーザが変更できないようにするには、SFTP ファイルロックを
有効にします。デフォルトでは、SFTP ファイルロックは無効です。
手順
1. 次のいずれかを実行します。
SFTP ファイルロックの設定
入力するコマンド
無効にする
options sftp.locking
none
取得されているファイルが削除または名前変更されないように、ロック
を有効にする
options sftp.locking
delete
取得されているファイルが書き込みまたは削除用に開かれないよう
に、ロックを有効にする
options sftp.locking
write
SFTP 認証形式
ユーザが SFTP を使用して接続し、認証する場合、3 つの認証形式（mixed、NTLM、または
UNIX）を使用できます。これにより、認証形式と使用可能なユーザ名の形式が決まります。
mixed モードでは、ユーザ名の形式によって、使用される認証形式が決まります「\」があるユーザ
名は NTLM で認証され、「\」がないユーザ名は UNIX で認証されます。認証形式に NTLM また
は UNIX を明示的に設定すると、ユーザ名の形式に関係なくそれぞれの認証タイプが強制的に
使用されます。
ドメインユーザアカウントと NTLM を使用して認証するには、domain\user_name という形式でユ
ーザ名を指定します。
ローカルユーザアカウントと NTLM を使用して認証するには、storagesystem_hostname
\user_name という形式でユーザ名を指定します。
デフォルトでは、クライアントは、公開鍵、キーボード入力、パスワード認証（使用可能な場合）とい
う順序で認証方式を使用します。公開鍵と証明書認証は、公開鍵方式に結合されています。 Data
ONTAP では、デフォルトで公開鍵とパスワード認証を使用できます。
FTP を使用したファイルアクセス | 339
SFTP 認証形式の指定
UNIX、Windows、または両方の認証形式を使用するように SFTP サーバを設定するには、
sftp.auth_style オプションをそれぞれ unix、ntlm、または mixed に設定します。デフォルト
では、このオプションは mixed です。
手順
1. 次のいずれかを実行します。
指定する認証形式
操作
mixed
次のコマンドを入力します。
options sftp.auth_style mixed
NTLM
次のコマンドを入力します。
options sftp.auth_style ntlm
UNIX
次のコマンドを入力します。
options sftp.auth_style unix
認証形式を mixed モードに設定すると、ユーザ名の形式に基づいて認証形式が Data ONTAP
により決定されます。ユーザ名に「\」または「@」が含まれている場合、NTLM を使用して認証
が行われます。どちらも含まれていない場合 UNIX を使用して認証が行われます。
認証形式を NTLM または UNIX に設定すると、ユーザ名の形式にかかわらず、指定された認
証形式のみが使用されます。
SFTP トラバースチェックのバイパスの有効化と無効化
SFTP トラバースチェックのバイパスを有効または無効にするには、
sftp.bypass_traverse_checking オプションをそれぞれ on または off に設定します。デフォ
ルトでは、このオプションは off に設定されています。
タスク概要
sftp.bypass_traverse_checking option が off に設定されている場合に、ユーザが SFTP
を使用してファイルにアクセスしようとすると、このファイルのパスに含まれるすべてのディレクトリ
に対してトラバース（実行）権限があるかチェックされます。いずれかの中間ディレクトリに「X」（トラ
バース権限）がない場合は、このファイルへのアクセスが拒否されます。
sftp.bypass_traverse_checking オプションが on になっている場合に、ユーザがファイルに
アクセスしようとすると、中間ディレクトリのトラバース権限がチェックされないで、ファイルへのアク
セスの可否が判別されます。
手順
1. 次のいずれかのオプションを選択します。
340 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
SFTP トラバースチェックのバイパスの設
定
操作
有効にする
次のコマンドを入力します。
options sftp.bypass_traverse_checking on
無効にする
次のコマンドを入力します。
options sftp.bypass_traverse_checking off
SFTP ユーザホームディレクトリの制限の有効化と無効化
SFTP ユーザホームディレクトリの制限を有効または無効にするには、sftp.dir_restriction
オプションをそれぞれ on または off に設定します。デフォルトでは、このオプションは off になっ
ています。
タスク概要
このオプションを on に設定すると、通常のユーザはホームディレクトリに制限されます。または
sftp.dir_override オプションでディレクトリを指定した場合は、優先ディレクトリに制限されま
す。このオプションを off に設定すると、通常のユーザは特定のディレクトリに制限されません。
注: このオプションは、デフォルトのユーザアカウントには影響がありません。
手順
1. 次のいずれかを実行します。
SFTP ユーザホームディレクトリの制限
操作
有効にする
次のコマンドを入力します。
options sftp.dir_restriction on
無効にする
次のコマンドを入力します。
options sftp.dir_restriction off
ユーザホームディレクトリの SFTP 優先パスの指定
ユーザホームディレクトリの SFTP 優先きパスを指定するには、sftp.dir_override オプション
を使用します。デフォルトでは、このオプションは""（null）です。
タスク概要
このオプションを null に設定すると（デフォルト値）、通常のユーザはログイン時にそれぞれのホー
ムディレクトリに配置されます。 null 以外に設定した場合は、指定したディレクトリにユーザが配置
されます
注: このオプションは、デフォルトのユーザアカウントには影響がありません。
FTP を使用したファイルアクセス | 341
手順
1. 次のコマンドを入力します。
options sftp.dir_override path
path は、SFTP 優先パスです。
UNIX アクセス権の上書きの有効化と無効化
SFTP クライアントによって指定された UNIX アクセス権の上書きを有効または無効にするには、
sftp.override_client_permissions オプションを使用します。デフォルトでは、このオプショ
ンは off になっています。
タスク概要
このオプションを有効にすると、Data ONTAP は、SFTP クライアントで指定されたアクセス権にか
かわらず、新しく作成されたファイルとディレクトリの UNIX アクセス権を 0755 に設定します。
手順
1. 次のいずれかを実行します。
UNIX アクセス権の上書き
操作
有効にする
次のコマンドを入力します。
options sftp.override_client_permissions on
無効にする
次のコマンドを入力します。
options sftp.override_client_permissions off
SFTP ログファイルの管理
SFTP ログファイルの管理では、ログファイルの有効化または無効化、最大サイズの指定、最大
数の指定を行います。
SFTP ログファイルの有効化と無効化
SFTP ログファイルを有効または無効にするには、sftp.log_enable オプションをそれぞれ on
または off に設定します。これにより、SFTP イベントログを有効または無効にすることができま
す。デフォルトでは、このオプションは on です。
タスク概要
このオプションをオンにすると、SFTP コマンドとデータ転送操作が、それぞれログファイ
ル/etc/log/sftp.cmd.*および/etc/log/sftp.xfer.*に記録されます。
手順
1. 次のいずれかを実行します。
342 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
SFTP ログファイルの設定
入力するコマンド
有効にする
options sftp.log_enable on
無効にする
options sftp.log_enable off
SFTP ログファイルの最大数の指定
SFTP ログファイルの最大数を指定するには、sftp.log_nfiles オプションを設定します。デフ
ォルトでは、SFTP ログファイルの最大数は 6 です。
手順
1. 次のコマンドを入力します。
options sftp.log_nfiles n
n はログファイルの最大数で、1～100 を指定します。詳細については、na_options(1)のマニュ
アルページを参照してください。
現在の SFTP ログファイルの最大サイズの指定
現在の SFTP ログファイル（/etc/log/sftp.cmd および/etc/log/sftp.xfer ログファイル）
の最大サイズを指定するには、sftp.log_filesize オプションを設定します。デフォルトでは、
現在の SFTP ログファイルの最大サイズは 512KB です。
手順
1. 次のコマンドを入力します。
options sftp.log_filesize filesize
filesize は、現在の SFTP ファイルの最大サイズです。1K～4GB の値を指定します。ギガ
バイト（G）、メガバイト（M）、キロバイト（K）、またはバイト（空白）のうちいずれかの単位で指定
します。詳細については、na_options(1)のマニュアルページを参照してください。
例
次の例では、現在の SFTP ログファイルの最大サイズを 1GB に設定しています。
options sftpd.log_filesize 1G
SFTP 統計の表示
SFTP の統計を表示するには、sftp stat コマンドを入力します。
手順
1. 次のコマンドを入力します。
FTP を使用したファイルアクセス | 343
sftp stat
SFTP 統計のリセット
SFTP の統計をリセットするには、ftp stat -z コマンドを使用します。
手順
1. 次のコマンドを入力します。
sftp stat -z
SFTP 接続の最大数の指定
SFTP 接続の最大数を指定するには、sftp.max_connections オプションを使用します。デフォ
ルトでは、SFTP 接続の最大数は 15 です。
タスク概要
SFTP 接続の最大数は 15 を超えることはできません。さらに、SSH 接続の最大数は、SFTP 接続
の最大数だけ減らされます。
手順
1. 次のコマンドを入力します。
options sftp.max_connections n
n には、SFTP 接続の最大数を 0～15 で指定します。
sftp.max_connections オプションを現在の SFTP 接続数よりも少なく設定した場合は、接続
数が新しい最大値より少なくなるまで、新しい接続は拒否されます。既存の SFTP 接続は中断
されません。
SFTP アイドルタイムアウト値の指定
SFTP アイドルタイムアウト値（SFTP 接続がアイドル状態になってから切断対象になるまでの時
間）を指定するには、sftp.idle_timeout オプションを設定します。デフォルトでは、SFTP アイド
ルタイムアウト値は 900 秒です。
手順
1. 次のコマンドを入力します。
options sftp.idle_timeout timeout
timeout は SFTP タイムアウト値です。300 秒から 48 時間の間で指定します。 SFTP タイムア
ウト値は、秒（s）、分（m）、または時間（h）単位で指定できます。
344 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
FTP over SSL（FTPS）の管理
FTP over SSL（FTPS）の管理では、暗黙的 FTPS を有効または無効にしたり、明示的 FTPS を有効
または無効にしたり、明示的 FTPS 接続をセキュアモードで開けるかどうかを指定したりします。
暗黙的 FTPS と明示的 FTPS の違い
FTP over SSL（FTPS）は、FTP ソフトウェアによるセキュアなファイル転送を可能にします。
FTP 接続で送信されるデータは、制御接続であってもデータ接続であっても一般的にクリアテキス
トで送信され、データの新しさや整合性は保証されません。 FTPS は FTP を拡張したプロトコルで
あり、FTP ソフトウェアは暗黙的 FTPS 接続または明示的 FTPS 接続を介して安全にファイルを転
送できます。
暗黙的 FTPS
Data ONTAP は、暗黙的 FTPS を業界標準で実装しています。対応する RFC はありません。暗
黙的 FTPS では、トランスポート層のデータを SSL で暗号化 / 復号化することで、セキュリティを実
現します。暗黙的 FTPS は以下のように機能します。
•
•
•
•
•
Data ONTAP がポート 990 でリスンします。
FTPS クライアントがポート 990 に接続します。
接続で SSL ハンドシェイクが開始されます。ハンドシェイクが失敗すると、その後の通信は許
可されません。
SSL ハンドシェイクに成功すると、以降の FTP 通信はすべて SSL 経由で保護されます。
コマンドチャネルはクリアテキストに戻せません。
クライアントが要求する新しいパケットには PBSZ や PROT があります。 Data ONTAP が PROT
コマンドでサポートする引数は P のみで、プライベート暗号化された通信を表します。
データチャネルのデフォルトポートは 989 です。
明示的 FTPS
Data ONTAP は RFC 2228 と RFC 4217 に従って、明示的 FTPS を実装します。明示的 FTPS は
以下のように機能します。
•
•
•
•
Data ONTAP がポート 21（標準 FTP ポート）でリスンします。
FTPS クライアントが通常の TCP 接続でポート 21 に接続します。
この接続経由の通信は、すべて最初はクリアテキストです。接続は、AUTH コマンドを発行する
ことによって保護されます。
AUTH コマンドを受信したあと、Data ONTAP が SSL ハンドシェイクを開始します。
CCC コマンドを使用して、コマンドチャネルをクリアテキストに戻すことができます。
データ接続を開始する前に、クライアントは PBSZ コマンドと PROT コマンドを発行する必要があ
ります。
FTP を使用したファイルアクセス | 345
•
•
これらのコマンドがないと、データ接続はクリアテキストになります。 Data ONTAP が PROT コ
マンドでサポートする引数は C と P のみです。C はクリアテキスト、P はプライベートデータチ
ャネルを表します。
RFC で記述されているように、PBSZ コマンドの前に、認証データ交換が成功している必要があ
ります。また、PROT コマンドの前に、 PBSZ コマンドが成功している必要があります。
データチャネルのデフォルトポートは 20 です。
明示的 FTPS の有効化と無効化
明示的 FTPS を有効または無効にするには、ftpd.explicit.enable オプションをそれぞれ on
または off に設定します。デフォルトでは、このオプションは off になっています。
開始する前に
FTPS を有効にする前に、secureadmin コマンドを使用して、SSL をセットアップおよび開始してお
く必要があります。詳細については、na_secureadmin(1)のマニュアルページ、または『Data
ONTAP 7-Mode システムアドミニストレーションガイド』を参照してください。
注: 各 vFiler ユニットは、デフォルトの vFiler ユニットと同じ SSL 証明書を使用します。そのた
め、デフォルトの vFiler で SSL をセットアップして開始しておく必要があります。
明示的 FTPS を有効にする前に、ftpd.enable オプションを on に設定する必要があります。
タスク概要
ftpd.explicit.enable オプションを有効にすると、ポート 21 での明示的 FTPS 接続が Data
ONTAP によって許可されます。このオプションを無効にすると、ポート 21 での明示的 FTPS 接続
は許可されません。
手順
1. 次のいずれかを実行します。
明示的 FTPS の設定
入力するコマンド
有効にする
options ftpd.explicit.enable on
無効にする
options ftpd.explicit.enable off
セキュアモードでの明示的 FTPS データ接続のオープンの許可と禁止
セキュアモードで明示的 FTPS データ接続のオープンを許可または禁止するには、
ftpd.explicit.allow_secure_data_conn オプションをそれぞれ on または off に設定しま
す。デフォルトでは、このオプションは on です。
開始する前に
明示的 FTPS を有効にする必要があります。無効な場合、このオプションは機能しません。
346 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
タスク概要
このオプションをオンにすると、明示的 FTPS 接続がセキュアモードでデータ接続をオープンでき
るようになります（つまり、PROT P コマンドの送信によって）。このオプションをオフにすると、明示
的 FTPS 接続がセキュアモードでデータ接続をオープンすることが禁止されます。
手順
1. 次のいずれかを実行します。
セキュアモードでの明示的 FTPS
データ接続のオープンの設定
入力するコマンド
許可する
options ftpd.explicit.allow_secure_data_conn
on
禁止する
options ftpd.explicit.allow_secure_data_conn
off
暗黙的 FTPS の有効化と無効化
暗黙的 FTPS を有効または無効にするには、ftpd.implicit.enable オプションをそれぞれ on
または off に設定しますデフォルトでは、このオプションは off になっています。
開始する前に
FTP は有効にする必要があります。
タスク概要
このオプションをオンにすると、ポート 990 で暗黙的 FTPS 接続が有効になります。このオプション
をオフにすると、ポート 990 の暗黙的 FTPS 接続が無効になります。
手順
1. 次のいずれかを実行します。
暗黙的 FTPS の設定
入力するコマンド
有効にする
options ftpd.implicit.enable on
無効にする
options ftpd.implicit.enable off
FTP を使用したファイルアクセス | 347
IPv6 経由の FTP の管理
Data ONTAP 7.3.1 以降では、FTP クライアントがストレージシステムのファイルに IPv6 でアクセス
するように設定できます。
IPv6 経由の FTP の有効化と無効化
IPv6 経由の FTP を有効または無効にするには、ftpd.ipv6.enable オプションを on または off
に設定します
開始する前に
ip.v6.enable オプションを on に設定して、ストレージシステム上で IPv6 を有効にする必要があ
ります。ストレージシステムでの IPv6 の有効化の詳細については、『Data ONTAP ネットワーク管
理ガイド』を参照してください。
タスク概要
•
•
IPv6 経由の FTP を有効にした状態で ip.v6.enable オプションを off にしてストレージシス
テムの IPv6 を無効にすると、クライアントから IPv6 で FTP サーバに接続できなくなります。
この IPv6 グローバルオプションを再開したあとに IPv6 経由の FTP を再開する必要はありま
せん。
IPv6 経由の FTP を有効にした状態で IPv6 グローバルオプションを無効にしてから再度有効
にすると、IPv6 アドレスをリスンする FTP IPv6 ソケットが自動的に作成されます。
手順
1. IPv6 経由の FTP を有効または無効にします。
IPv6 経由の FTP の設定
入力するコマンド
有効にする
options ftpd.ipv6.enable on
無効にする
options ftpd.ipv6.enable off
IPv6 経由の FTP の統計の表示
IPv6 経由の FTP の統計を表示するには、ftp stat コマンドを使用します。
手順
1. 次のコマンドを入力します。
ftp stat -i ipv6
詳細については、na_ftp(1)マニュアルページを参照してください。
348 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
HTTP を使用したファイルアクセス
HTTP クライアント（Web ブラウザ）からストレージシステム上のファイルにアクセスできるようにす
るには、Data ONTAP に組み込まれている HyperText Transfer Protocol（HTTP）サーバを有効にし
て設定します。または、サードパーティ製 HTTP サーバを購入して、ストレージシステムに接続し
ます。
Data ONTAP HTTP サーバの管理
Data ONTAP に組み込まれている HTTP サーバの管理は、いくつかのタスクに分かれています。
Data ONTAP HTTP サーバの有効化と無効化
Data ONTAP に組み込まれている HTTP サーバを有効または無効にするには、httpd.enable
オプションを使用します。デフォルトでは、このオプションは off になっています。このオプションを
有効にすると、Web ブラウザから HTTP サーバのルートディレクトリにあるすべてのファイルにア
クセスできます。
手順
1. 次のいずれかを実行します。
HTTP の設定
入力するコマンド
有効にする
options httpd.enable on
無効にする
options httpd.enable off
HTTP トラバースチェックのバイパスの有効化と無効化
HTTP トラバースチェックのバイパスを有効または無効にするには、
httpd.bypass_traverse_checking オプションをそれぞれ on または off に設定します。デフ
ォルトでは、このオプションは off に設定されています。
タスク概要
httpd.bypass_traverse_checking option が off になっている場合に、ユーザが HTTP プ
ロトコルを使用してファイルにアクセスしようとすると、このファイルのパスに含まれるすべてのディ
レクトリに対してトラバース（実行）権限があるかチェックされます。いずれかの中間ディレクトリに
「X」（トラバース権限）がない場合は、このファイルへのアクセスが拒否されます。
httpd.bypass_traverse_checking option オプションが on になっている場合に、ユーザが
ファイルにアクセスしようとすると、中間ディレクトリのトラバース権限がチェックされないで、ファイ
ルへのアクセスの可否が判別されます。
HTTP を使用したファイルアクセス | 349
手順
1. 次のいずれかを実行します。
HTTP トラバースチェックのバイパスの
設定
操作
有効にする
次のコマンドを入力します。
options httpd.bypass_traverse_checking on
無効にする
次のコマンドを入力します。
options httpd.bypass_traverse_checking off
Data ONTAP HTTP サーバのルートディレクトリの指定
Data ONTAP に組み込まれている HTTP サーバのルートディレクトリを指定するには、
httpd.rootdir オプションを設定します。このディレクトリは、HTTP クライアントがアクセスでき
るすべてのファイルが格納されるディレクトリです。
手順
1. 次のコマンドを入力します。
options httpd.rootdir directory
directory は、HTTP サーバのルートディレクトリの完全パスです。
例
次のコマンドは、HTTPP サーバのルートディレクトリを/vol0/home/users/pages に設定
します。
options httpd.rootdir /vol0/home/users/pages
Data ONTAP HTTP サーバのログファイルの最大サイズの指定
Data ONTAP に組み込まれている HTTP サーバのログファイルの最大サイズを指定するには、
ftpd.log.filesize オプションを設定します。このオプションは、ftp.cmd、ftp.xfer、
httpd.log の各ファイルなど、/etc/log ディレクトリ内にある HTTP ログファイルおよび FTP ロ
グファイルの最大サイズを指定します。デフォルトでは、このオプションは 512KB に設定されてい
ます。
手順
1. 次のコマンドを入力します。
options ftpd.log.filesize bytes
bytes は、HTTP サーバのログファイルの最大サイズです。
350 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
Data ONTAP HTTP サーバのテスト
Data ONTAP に組み込まれている HTTP サーバが機能しているかどうかを確認するには、HTTP
サーバのルートディレクトリに HTML ファイルをコピーして、そのファイルに Web ブラウザからア
クセスします。 Web ブラウザから HTTP サーバのルートディレクトリ（または HTTP サーバのルー
トディレクトリのサブディレクトリ）に直接アクセスすることもできます。
手順
1. HTTP サーバのルートディレクトリに HTML ファイルをコピーします。
2. 別のシステムで実行されている Web ブラウザから、HTTP サーバのルートディレクトリにコピ
ーしたファイルにアクセスします。
URL は http://www.hostname.com/myfile.html です。hostname はストレージシステムのホ
スト名、myfile.html は HTTP サーバのルートディレクトリにコピーされたファイルの名前で
す。ファイルの中身が表示されます。
3. または、別のクライアントで実行されている Web ブラウザから、HTTP サーバのルートディレク
トリ（または HTTP サーバのルートディレクトリのサブディレクトリ）に直接アクセスします。
URL は http://www.hostname.com です。hostname はストレージシステムのホスト名です。
HTTP サーバは、指定されたディレクトリ内の以下のファイルをこの順番で検索します。
a. index.html
b. default.htm
c. index.htm
d. default.html
これらのファイルが存在しない場合は、ストレージシステムはそのディレクトリのリストを自動的
に HTML 形式で生成するか（httpd.autoindex.enable オプションが on の場合）、または
エラーコード「403」（禁止）を返します（httpd.autoindex.enable オプションが off の場
合）。 httpd.autoindex.enable オプションの詳細については、na_options(1)のマニュアル
ページを参照してください。
Data ONTAP HTTP サーバでの MIME コンテンツタイプとファイル名拡張子のマッピ
ング方法の指定
Data ONTAP に組み込まれている HTTP サーバが Multipurpose Internet Mail Extensions
（MIME）コンテンツタイプをファイル名拡張子にマッピングする方法を指定するには、/etc/
httpd.mimetypes ファイルを作成または編集します。 /etc/httpd.mimetypes ファイルが見つ
HTTP を使用したファイルアクセス | 351
からない場合、HTTP サーバでは/etc/httpd.mimetypes.sample ファイル内のマッピングが使
用されます。詳細については、na_httpd.mimetypes(5)のマニュアルページを参照してください。
タスク概要
Web ブラウザでは、MIME コンテンツタイプに従ってファイルを解釈します。たとえば、ファイルの
MIME コンテンツタイプがイメージタイプの場合、Web ブラウザは画像プログラムを使用して、フ
ァイルをイメージとしてレンダリングします。
注: MIME の詳細については、RFC 1521 を参照してください。
手順
1. /etc/httpd.mimetypes ファイルにエントリを作成し、希望するマッピングを指定します。
エントリには次の形式を使用します。
# An optional comment.
suffixContent-Type
ポンド記号（#）のあとのテキストは、コメントです。ファイル名のサフィックスでは大文字と小文
字は区別されません。
suffix は、MIME コンテンツタイプをマッピングするファイル名拡張子です。
Content-Type は MIME コンテンツタイプです。 MIME コンテンツタイプの値の最初のフィー
ルドは、ファイルに含まれている一般的なデータのタイプについて記述しており、2 番目のフィ
ールドはデータのサブタイプについて記述しています。このデータのサブタイプは、データが保
存される特定の形式を示しています。
例
/etc/httpd.mimetypes ファイルに対する次のエントリは、/image/pict MIME コンテンツタ
イプを、拡張子が.pct および.pict のファイルにマッピングします。
# My clients’ browsers can now use
# PICT graphics files.
pct image/pict
pict image/pict
このエントリが適切に設定されている場合は、Web ブラウザによって画像プログラムがヘル
パーアプリケーションとして開始され、.pct および.pict ファイルを画像ファイルとして表示で
きるようになります。
352 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
Data ONTAP HTTP サーバでの HTTP 要求の変換方法の指定
map、redirect、pass、または fail 変換ルールを、/etc/httpd.translations 設定ファイル
に追加できます。これにより、Data ONTAP に組み込まれている HTTP サーバが HTTP 要求に応
答する方法を指定できます。
Data ONTAP HTTP サーバ変換ファイルの仕組み
Data ONTAP プロセスに組み込まれている HTTP サーバでは、/etc/httpd.translations ファ
イルに記述されたルールが、記述されている順序で処理され、URL がテンプレートと一致した場合
にそのルールが適用されます。 1 つ一致すると、残りのルールの処理は中止されます。
/etc/httpd.translations ファイルに追加する map、redirect、および pass ルールの template
および result フィールドでは、ワイルドカード文字としてアスタリスク（*）を使用できます。
template フィールド内のワイルドカード文字は、スラッシュ（/）を含むゼロ文字以上の文字と一致
します。
result フィールド内のワイルドカード文字は、template フィールドの一致部分から展開された文字
列を表します。ワイルドカードを template フィールドで使用している場合のみ、result フィールドに
ワイルドカード文字を使用できます。
複数のワイルドカード文字を使用する場合の対応は、result フィールド内の最初のワイルドカード
が template フィールド内の最初のワイルドカード、result フィールド内の 2 番目のワイルドカードが
template フィールド内の 2 番目のワイルドカード、となります。
マッピングルールの追加
HTTP サーバが URL を別の場所にマッピングするように指定するには、/etc/
httpd.translations ファイルにマッピングルールを追加します。
手順
1. テキストエディタで/etc/httpd.translations ファイルを開きます。
2. 次のルールを追加します。
map template result
template は別の場所にマッピングする URL のコンポーネントです（/image-bin/graphics/な
ど）。
result には新しい場所を指定します。
3. ファイルを保存します。
例
/etc/httpd.translations ファイルの次のマッピングルールは、/image-bin というコンポ
ーネントを含む URL を、/usr/local/http/images ディレクトリにマッピングします。
HTTP を使用したファイルアクセス | 353
map /image-bin/* /usr/local/http/images/*
リダイレクトルールの追加
特定のコンポーネントを含む URL を HTTP サーバが新しい場所にリダイレクトするように指定す
るには、/etc/httpd.translations ファイルにリダイレクトルールを追加します。
手順
1. テキストエディタで/etc/httpd.translations ファイルを開きます。
2. 次のエントリを追加します。
redirect template result
template は、リダイレクトする URL のコンポーネントです。
result には新しい場所を指定します。
注: リダイレクトルールの result フィールドは、http://とホスト名で始まる完全な URL で指定
する必要があります。
3. ファイルを保存します。
例
/etc/httpd.translations ファイルの次のエントリは、Common Gateway Interface（CGI）
要求を cgi-host という名前の HTTP サーバにリダイレクトします。
redirect /cgi-bin/* http://cgi-host/*
許可ルールの追加
HTTP サーバが特定のルールをそのまま処理し、それ以外のルールを無視するように指定するに
は、/etc/httpd.translations ファイルに許可エントリを追加します。
手順
1. テキストエディタで/etc/httpd.translations ファイルを開きます。
2. 次のエントリを追加します。
pass template [result]
template は、URL のコンポーネントです。
result は、HTTP サーバが URL をリダイレクトする宛先（オプション）です。
3. ファイルを保存します。
354 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
例
/etc/httpd.translations ファイルの次のエントリは、/image-bin を含む URL に対する
要求をそのまま処理します。
pass /image-bin/*
拒否ルールの追加
HTTP サーバが特定のコンポーネントを含む URL へのアクセスを拒否するように指定するに
は、/etc/httpd.translations ファイルに拒否ルールを追加します。
手順
1. テキストエディタで/etc/httpd.translations ファイルを開きます。
2. 次のエントリを追加します。
fail template
template は、HTTP サーバがアクセスを拒否する URL のコンポーネントです。
3. ファイルを保存します。
例
/etc/httpd.translations ファイルの次のエントリは、/usr/forbidden ディレクトリに
対するアクセスを拒否します。
fail /usr/forbidden/*
MIME コンテンツタイプの値の設定
クライアントからの get 要求への応答それぞれで適切な MIME（Multipurpose Internet Mail
Extensions）コンテンツタイプの値を送信するようにストレージシステムを設定するには、/etc/
httpd.mimetypes ファイル内の情報に応じて、.gif、.html、.mpg などのファイル名のサフィッ
クスをマッピングします。
タスク概要
ファイルの MIME コンテンツタイプの値は、クライアントのブラウザにファイルの解釈方法を指示し
ます。たとえば、MIME コンテンツタイプの値がそのファイルが画像ファイルであることを示してい
るとき、クライアントが正しく設定されていれば、ブラウザは画像プログラムを使用して画像をレン
ダリングできます。
MIME の詳細については、RFC 1521 を参照してください。
HTTP を使用したファイルアクセス | 355
手順
1. /etc/httpd.mimetypes ファイル内のエントリを編集します。
エントリは、次の形式に従っています。
# An optional comment.
suffixContent-Type
#記号が先頭に付いている行はコメントです。ファイル名のサフィックスでは大文字と小文字は
区別されません。
例
次に、サンプルのエントリを示します。
# My clients’ browsers can now use
# PICT graphics files.
pct image/pict
pict image/pict
サンプルのエントリでは、ファイル名が.pct または.pict で終わるファイルが、MIME コン
テンツタイプの値 image/pict にマッピングされます。コンテンツタイプの値の最初のフィール
ドは、ファイルに含まれている一般的なデータのタイプについて記述しており、2 番目のフィ
ールドはデータのサブタイプについて記述しています。このデータのサブタイプは、データが
保存される特定の形式を示しています。クライアントのブラウザがヘルパーアプリケーショ
ンとして画像プログラムを開始するように設定されている場合、file.pict という名前のフ
ァイルはクライアント上で画像ファイルとして表示されます。
Data ONTAP HTTP サーバのセキュリティの維持
Data ONTAP に組み込まれている HTTP サーバのセキュリティを維持するには、HTTP オプション
を使用してアクセスを制限し、HTTP 仮想ファイアウォールを使用し、ユーザ認証によって Web ペ
ージを保護し、HTTP TRACE メソッドのサポートを無効にし、Data ONTAP がアイドル状態の
HTTP 接続を開いたままにする期間を指定します。
HTTP オプションを使用したアクセス制限
HTTP オプションでは、指定したホストからの HTTP サービスへのアクセスと、指定したインターフ
ェイスからの HTTP サービスへのアクセスが制限されます。
手順
1. 次のいずれかを実行します。
356 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
目的
指定するオプション
HTTP サービスへのア
クセスを制限する
httpd.access
HTTP TRACE メソッド
のサポートを有効また
は無効にする
httpd.method.trace.enable
デフォルトでは、このオプションは off になっています。 HTTP TRACE メソッ
ドを使用すると、HTTP クライアントはデバッグ目的で要求チェーンの相手側が
受信している内容を知ることができます（詳細については、RFC 2616 を参
照）。ただし、攻撃者が HTTP TRACE メソッドとブラウザのクロスドメイン脆弱
性を利用して、サードパーティドメインの重要なヘッダー情報を読み取る可能
性があります。詳細については、www.cert.org にアクセスして、United States
Computer Emergency Readiness Team（US-CERT）の Vulnerability Notes
Database にある Vulnerability Note 867593 を参照してください。
例
次の例では、ホスト Host1 だけがインターフェイス e3 を経由してストレージシステム Filer1
上の HTTPD サービスへのアクセスを許可されます。
Filer1> options httpd.access host=Host1 AND if=e3
HTTP 仮想ファイアウォールの使用
HTTP の仮想ファイアウォールは、HTTP 要求を受信するサブネットインターフェイスからの HTTP
アクセスを制限することによって、ストレージシステムのセキュリティを実現します。
タスク概要
サブネットインターフェイスを信頼されないものとしてマークすることによって、HTTP アクセスを制
限します。信頼されないサブネットインターフェイスでは、ストレージシステムへの読み取り専用
の HTTP アクセスのみ行うことができます。デフォルトでは、サブネットインターフェイスは信頼さ
れています。
次のすべての条件が当てはまる場合、サブネットインターフェイスを信頼されないものとしてマーク
してください。
•
•
•
HTTP 要求のためだけに、そのインターフェイスが提供される場合
HTTP 以外のプロトコルによる要求を許可しない場合
そのインターフェイス経由でのストレージシステムへのアクセスを読み取り専用のアクセスに制
限する場合
手順
1. 次のコマンドを入力します。
HTTP を使用したファイルアクセス | 357
ifconfig interface_name [trusted | untrusted]
interface_name は、信頼性の有無を設定する特定のインターフェイスです。
trusted に指定すると完全な HTTP アクセスが許可され、untrusted に指定すると HTTP ア
クセスが制限されます。
例
このコマンドでは、f0 インターフェイスが信頼されないものとしてマークされます。
ifconfig f0 untrusted
Web ページの保護
HTTP アクセスを制限できることから、許可されていないユーザからのアクセスを制限することで
Web ページを保護できます。この方法では、指定したユーザまたはグループのみがその Web ペ
ージを含むディレクトリにアクセスできます。
タスク概要
Data ONTAP には、HTTP アクセスの認証を行う次の 2 つの方法があります。
•
•
基本
NTLM
使用する認証方法は、/etc/httpd.access ファイルで指定します。 1 つのストレージシステム上
に両方の認証方法を存在させることもできますが、HTTP サブツリーの 1 つのディレクトリに指定
できる認証方法は 1 つだけです。
ベーシック認証
HTTP サービスの認証を設定するには、/etc/httpd.access、/etc/httpd.passwd、およ
び/etc/httpd.group の 3 つの構成ファイルを使用します。
/etc/httpd.access ファイルには、認証方法、アクセスを制限するディレクトリ、これらのディレク
トリへのアクセスが許可されているユーザおよびグループのリストが含まれています。
/etc/httpd.passwd ファイルには、/etc/httpd.access ファイルで指定されたユーザが/etc/
httpd.access ファイルで指定されたディレクトリへのアクセスを取得するために使用するパスワ
ードが、暗号化された形式で含まれています。 /etc/httpd.passwd ファイルの形式は、/etc/
passwd ファイルで使用される形式と同じです。
/etc/httpd.group ファイルには、/etc/httpd.access ファイルに指定されているディレクトリ
にアクセスすることを許可されたグループおよび各グループのメンバーのユーザ ID が含まれてい
ます。 /etc/httpd.group ファイルの形式は、/etc/group ファイルで使用される形式と同じで
す。
358 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
NTLM 認証
ディレクトリについては、ベーシック認証の代わりに Windows ドメイン認証を使用できます。 Data
ONTAP では、ドメインコントローラ（DC）を使用して、Web ページを含むディレクトリへのユーザの
アクセスを認証します。
ドメインコントローラによるユーザ認証を行うディレクトリを、/etc/httpd.access ファイルで指定
する必要があります。
NTLM 認証が設定されているディレクトリにアクセスするユーザは、ユーザ名を使用してドメインを
指定する必要があります。ドメインが指定されていない場合、ストレージシステムのドメインがデフ
ォルトとしてみなされます。ユーザは次の 2 つの形式のいずれかでドメインを指定できます。
•
•
user_name@domain_name
domain_name\user_name
注: HTTP アクセスに NTLM 認証を使用するには、ストレージシステム上で CIFS が実行されて
いる必要があります。
/etc/http.passwd ファイルと/etc/http.group ファイルで情報を管理する必要がないため、
ユーザ管理を一元化できます。また、ブラウザとして Internet Explorer（IE）を使用する場合は、ユ
ーザ名およびパスワードがプレーンテキストで送信されないため、NTLM 認証はより安全なユー
ザ認証方法です。
注: Netscape ブラウザはユーザ名およびパスワードをプレーンテキストで送信するため、NTLM
のセキュリティの利点がありません。
/etc/httpd.access ファイルの編集
/etc/httpd.access ファイルには、各ディレクトリへのアクセスおよびディレクトリの見かけを制
御するオプションが含まれています。
タスク概要
ストレージシステムでは、次のオプションがサポートされています。
•
Directory
保護するディレクトリを指定します。ディレクトリオプションには他のすべてのオプションが含ま
れます。
•
AuthName
ユーザがディレクトリにアクセスしようとする場合に、ブラウザのパスワードダイアログボックス
内でディレクトリ名の代わりに表示されるディレクトリのエイリアスを指定します。
•
require user
ディレクトリにアクセスできるユーザを指定します。
•
require group
ディレクトリにアクセスできるグループを指定します。
HTTP を使用したファイルアクセス | 359
注: require user オプションと require group オプションは、ベーシック認証の場合のみ必
要です。
/etc/httpd.access ファイル内の各ディレクトリのオプション情報は、次の形式で指定します。
<Directory directory>
option ...
</Directory>
directory は、許可されたアクセスを可能にする特定のディレクトリツリー名です。
手順
1. /etc/httpd.access ファイルを開いて編集します。
2. 次の行で、保護するディレクトリツリーを指定します
<Directory directory>
directory は、保護する特定のディレクトリツリーです。
3. /etc/httpd.passwd ファイルおよび/etc/httpd.group ファイルを使用してベーシック認証
を設定している場合は、次の行でディレクトリのエイリアスを指定します。
AuthName title_phrase
title_phrase は、ユーザがディレクトリにアクセスしようとする場合に、ブラウザのパスワード
ダイアログボックス内でディレクトリ名の代わりに表示されるディレクトリのエイリアスです。ス
ペースを使用できます。例：
AuthName Secured Area
4. NTLM 認証を設定している場合は、正確に次のように指定します。
AuthName Windows(tm) Authentication
5. 次の行で、ディレクトリにアクセスできるユーザを指定します。
require user user_id[, user_id, ...]
user_id は、ディレクトリにアクセスできる各ユーザの特定のユーザ ID です。
6. 次の行で、ディレクトリにアクセスできるグループを指定します。
require group group_id[, group_id, ...
group_id は、ディレクトリにアクセスできる各グループの特定のグループ ID です。
7. 次の行を入力して、そのディレクトリのオプションまたはオプションの一覧を終了します。
</Directory>
8. ファイルを保存します。
360 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
例
次の例では、/etc/httpd.access ファイルで複数の Directory オプションを使用して、ベー
シック認証または NTLM 認証のいずれかをストレージシステム上で指定する方法を示しま
す。
<Directory /vol/vol0/web1>
AuthName Windows(tm) Authentication
</Directory>
<Directory /vol/vol0/web2>
AuthName Web2 directory
require user test1
require group testg1
</Directory>
<Directory /vol/vol0/web3>
AuthName Windows(tm) Authentication
</Directory>
<Directory /vol/vol0/web4>
AuthName Web4 directory
require user test2
</Directory>
この例では、web1 および web3 で NTLM 認証を使用し、web2 および web4 でベーシック認
証を使用しています。 web2 へのアクセスは、ユーザ test1 およびグループ testg1 のメンバ
ーに限定され、web4 へのアクセスはユーザ test2 に限定されます。
httpd.passwd ファイルの作成と編集
/etc/httpd.passwd ファイルには、/etc/httpd.access ファイルに記述されているユーザの暗
号化されたパスワードが含まれています。このファイルは、ベーシック認証を使用してユーザを認
証する場合にのみ必要です。
タスク概要
ユーザ認証にユーザ名およびパスワードを使用する HTTP サーバがある場合は、そこからユーザ
ID および暗号化されたパスワードをコピーします。 /etc/httpd.passwd ファイルを編集して、ア
クセスを許可しないユーザを削除する必要があります。
HTTP サーバが使用できない場合は、UNIX サーバから既存の/etc/passwd ファイルをコピー
し、/etc/httpd.passwd ファイルとしてストレージシステムに保存します。
手順
1. /etc/httpd.passwd ファイルを開きます。
2. /etc/httpd.access ファイルに指定されている、ディレクトリへのアクセスを許可しないユー
ザの ID および暗号化されたパスワードを削除します。
3. 編集内容を保存します。
HTTP を使用したファイルアクセス | 361
httpd.group ファイルの作成と編集
/etc/httpd.group ファイルには、グループ名、およびこれらのグループに属しているユーザ名
が含まれています。このファイルは、ベーシック認証を使用してユーザを認証する場合にのみ必
要です。
タスク概要
ユーザのグループを認証する HTTP サーバがある場合は、グループ名およびユーザ ID をその
HTTP サーバからコピーします。 /etc/httpd.group ファイルを編集して、アクセスを許可しない
グループを削除します。
HTTP サーバを使用できない場合は、UNIX サーバから既存の/etc/group ファイルをコピー
し、/etc/httpd.group ファイルとしてストレージシステムに保存します。
手順
1. /etc/httpd.group ファイルで、次の行を編集します。
group_id:user_id [, user_id, ...]
同様のリストがあるサーバからリストがコピーされます。
2. グループとユーザを追加または削除します。グループおよびユーザ情報の一覧が、次の形式
で表示されます。
group_id: user_id[user_id ...]
group_id はグループ名です。
user_id はグループに属している各ユーザの名前です。
3. ファイルを保存します。
HTTP 仮想ホスティングの設定
Data ONTAP 7.3 以降のリリースでは、エイリアス IP アドレスを物理インターフェイスに追加するこ
とで、HTTP 仮想ホスティングを設定できます。 vh インターフェイスはこの目的では使用されなくな
りました。
手順
1. 次のコマンドを入力して、HTTP を有効にします。
options httpd.enable on
2. 次のコマンドを入力することで、HTTP 仮想ホスティングで使用する物理インターフェイスに 1
つ以上のエイリアス IP アドレスを追加します。
ifconfig physical_interface_name [IP_address_family] alias IP_address
362 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
例
192.225.37.102 というエイリアス IP アドレスを物理インターフェイス e0a に追加するには、次の
コマンドを入力します。
ifconfig e0a alias 192.225.37.102
詳細については、na_ifconfig(1)のマニュアルページを参照してください。
3. 手順 2 で指定したエイリアス IP アドレスを HTTP ルートディレクトリの 1 つ以上のサブディレク
トリにマッピングするエントリを/etc/httpd.hostprefixes ファイルに追加します。
httpd.rootdir オプションは HTTP ルートディレクトリを決定します。
例
次のエントリを/etc/httpd.hostprefixes ファイルに追加すると、エイリアス IP アドレス
192.225.37.102 が/httpdir1 サブディレクトリにマッピングされます。
/httpdir1 192.225.37.102
4. HTTP 仮想ホスティングの設定をテストするために、HTTP クライアントを使用して、手順 2 およ
び 3 でそれぞれ作成およびマッピングしたエイリアス IP アドレスに接続します。
HTTP サーバの統計の表示
httpstat コマンドを使用すると、Data ONTAP に組み込まれている HTTP サーバの動作につい
て 5 種類の統計を表示できます。
タスク概要
5 種類の統計は次のとおりです。
•
•
•
•
•
要求
詳細
エラー
サービス
タイムアウト
手順
1. 次のコマンドを入力します。
httpstat [-dersta]
-d は詳細統計を表示します。
-e はエラー統計を表示します。
-r は要求統計を表示します。
-s はサービス統計を表示します。
-t はタイムアウト統計を表示します。
HTTP を使用したファイルアクセス | 363
-a はすべての HTTP 統計を表示します。
引数を指定しないと、httpstat は HTTP 要求統計を表示します。
httpstat コマンドの詳細については、httpstat(1)のマニュアルページを参照してください。
要求統計
要求統計を指定すると、次の統計が表示されます。
統計名
説明
Accept
ストレージシステムによって許可された新しい接続の数
Reuse
既存の接続で受信された新しい要求の数
応答
送信された応答の数
InBytes
すべての受信要求で受信されたバイト数
OutBytes
送信されたバイト数のうち、すべての HTTP ヘッダーを含み、サーブレット
によって生成されたデータを含まないバイト数
詳細統計
詳細統計を指定すると、次の統計が表示されます。
統計名
説明
Get
受信されたファイルの要求数
Head
受信されたファイル情報の要求数
Redirect
別のファイルにリダイレクトされた要求の数
NotMod
要求されたファイルが変更されていないことがクライアント（ブラウザ）に通知
された回数
Post
受信された POST 要求の数
Put
受信された PUT 要求の数
Servlet
受信されたサーブレット要求の数
エラー統計
エラー統計を指定すると、次の統計が表示されます。
統計名
説明
Errors
返された HTTP プロトコルエラー応答の数
BadReq
受信された認識されない要求の数
364 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
統計名
説明
LogDiscard
ログがいっぱいになったために破棄されたログエントリの数
UnAuth
承認されていないために拒否された要求の数
RcvErr
入力ソケット上のエラーにより中止された要求の数
サービス統計
サービス統計を指定すると、次の統計が表示されます。
統計名
説明
Open
現在開かれている接続数
Peak
これまでに成功した最大接続数
Waits
許可されたが、接続処理を待機している現在の接続数
タイムアウト統計
タイムアウト統計を指定すると、次の統計が表示されます。
統計名
説明
Pending
ネットワーク接続の開始後、ストレージシステムにデータが送信される前に再
要求された接続処理の数
Active
ネットワーク接続が開始され、要求の一部が送信されたあと、完全な要求を受
信する前に再要求された接続処理の数
Idle
完全な要求が受信されたあと、開いている接続が別の要求を受信できるように
なる前に再要求された接続の数
Data ONTAP HTTP サーバの統計のリセット
Data ONTAP に組み込まれている HTTP サーバの統計をリセットするには、httpstat -z コマン
ドを使用します。
手順
1. 次のコマンドを入力します。
httpstat -z[derta]
-zd は詳細統計を表示します。
-ze はエラー統計を表示します。
-zr は要求統計を表示します。
-zt はタイムアウト統計を表示します。
HTTP を使用したファイルアクセス | 365
-za はサービス統計を除くすべての HTTP 統計を表示します。
注: サービス統計はリセットできません。
httpstat コマンドの詳細については、httpstat(1)のマニュアルページを参照してください。
HTTP サーバの接続情報の表示
Data ONTAP に組み込まれている HTTP サーバによって確立された接続ごとに、/etc/log/
httpd.log ファイルに格納されたさまざまな種類の情報を表示できます。
手順
1. NFS または CIFS クライアントから、ストレージシステムのデフォルトボリューム（デフォルト
は/vol/vol0）の/etc/log ディレクトリにアクセスします。
2. テキストビューアまたはテキストエディタを使用して、httpd.log ファイルを開いて表示しま
す。
3. 内容を確認したら、ログファイルを閉じます。
タスクの結果
次の種類の情報が表示されます。
•
•
•
•
•
•
HTTP クライアントの IP アドレス
要求を送信している許可ユーザの名前。
ページが保護されている場合は、/etc/httpd.passwd ファイルから取得した許可された名前の一
覧が示されます。ページが保護されていない場合は、名前の代わりにダッシュ記号が示されま
す。
接続時間
dd/mm/yy:hh:mm:ss 形式の Greenwich Mean Time（GMT;グリニッジ標準時）。
接続しているホストからの要求行。たとえば、get/my_company.html などです。
サーバから返された、HTTP 1.0 の仕様定義されているステータスコード。
ストレージシステムからの応答で送信された合計バイト数。MIME ヘッダーは含まれません。
例
192.9.77.2 - - [26/Aug/2003:16:45:50] "GET /top.html" 200 1189
192.9.77.2 - - [26/Aug/2003:16:45:50] "GET /header.html" 200 531
192.7.15.6 - - [26/Aug/2003:16:45:51] "GET /logo.gif" 200 1763
198.9.200.2 - - [26/Aug/2003:16:45:57] "GET /task/top.html" 200 334
366 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
192.9.20.5 authuser [26/Aug/2003:16:45:57] "GET /task/head.html"
200 519
/etc/log/httpd.log ファイル形式の変更
/etc/log/httpd.log ファイルのデフォルトの形式では、HTTP クライアントの IP アドレスとアク
セスされた HTTP パスは示されますが、どの仮想ホストがアクセスされたかは示されませ
ん。 /etc/log/httpd.log ファイルの形式を変更して、HTTP メッセージを仮想ホスト別に区別す
るには、httpd.log.format オプションを設定します。
手順
1. 次のコマンドを入力します。
options httpd.log.format alt1
ログ形式の設定を復元するには、このオプションを alt1 からデフォルト値 common に変更しま
す。
サードパーティ製 HTTP サーバの購入とストレージシステムへの接
続
Data ONTAP に組み込まれている HTTP サーバの制限を回避するには、サードパーティ製 HTTP
サーバを購入して、ストレージシステムに接続します。
タスク概要
Data ONTAP HTTP サーバには、次の制限があります。
•
•
•
•
Secure HTTP（HTTPS）をサポートしない
複数の HTTP ルートディレクトリをサポートしない
スクリプトをサポートしない（HTTP がサポートしているのはファイル処理のみ）
多数の小さなファイルに多数のファイル処理を行う場合、スケーラビリティおよびパフォーマン
スの問題が生じる
手順
1. サードパーティ製 HTTP サーバを購入します。
2. NFS プロトコルを使用して、サードパーティ製 HTTP サーバをストレージシステムに接続しま
す。
詳細については、サードパーティ製 HTTP サーバに付属のマニュアルを参照してください。
HTTP を使用したファイルアクセス | 367
IPv6 経由の HTTP / HTTPS のサポート
Data ONTAP 7.3.1 以降では、HTTP クライアントに対して、ストレージシステムのファイルへの
IPv6 経由でのアクセスを許可できます。また、ストレージシステムへのセキュアな管理アクセス用
に HTTPS を有効にすることもできます。
IPv6 経由の HTTP は、ストレージシステムからのファイルアクセスにのみ使用できます。
IPv6 経由の HTTP / HTTPS の有効化と無効化
IPv6 経由の HTTP および HTTPS を有効または無効にするには、httpd.ipv6.enable オプショ
ンを on または off に設定します
開始する前に
IPv6 監査をあらかじめ有効にしておく必要があります。ストレージシステムでの IPv6 の有効化の
詳細については、『Data ONTAP 7-Mode ネットワーク管理ガイド』を参照してください。
タスク概要
•
•
IPv6 経由の HTTP および HTTPS を有効にした状態で ip.v6.enable オプションを off にし
てストレージシステムの IPv6 を無効にすると、IPv6 経由の HTTP および HTTPS は自動的に
無効になります。
この IPv6 グローバルオプションを再開したあとに IPv6 経由の HTTP および HTTPS を再開す
る必要はありません。
IPv6 経由の HTTP および HTTPS を有効にした状態で IPv6 グローバルオプションを無効にし
てから再度有効にすると、IPv6 アドレスをリスンする HTTP および HTTPS IPv6 ソケットが自動
的に作成されます。
手順
1.
IPv6 経由の HTTP / HTTPS の設定
入力するコマンド
有効にする
options httpd.ipv6.enable on
無効にする
options httpd.ipv6.enable off
368 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
IPv4 または IPv6 経由の HTTP 接続の一覧表示
IPv4 または IPv6 経由のすべての HTTP 接続を一覧表示するには httpstat コマンドを使用しま
す。 httpstat コマンドに-i オプションを使用して、IPv4 のみ、または IPv6 のみの HTTP 接続を
一覧表示することもできます。
手順
1. 次のいずれかを実行します。
目的
入力するコマンド
すべての HTTP 接続を一覧表
示する
httpstat
例：
httpstat
Requests
Accept
Reuse
Response
InBytes
OutBytes
0
39
27620
7247
0
10
9460
0
29
18160
7238
InBytes
OutBytes
Total Stats:
73
IPv4 Stats:
43
9
IPv6 Stats:
30
IPv4 の HTTP 接続を一覧表示
する
httpstat -i ipv4
例：
httpstat -i ipv4
Requests
Accept
Reuse
Response
43
0
10
9460
9
HTTP を使用したファイルアクセス | 369
目的
入力するコマンド
IPv6 の HTTP 接続を一覧表示
する
httpstat -i ipv6
例：
httpstat -i ipv6
Requests
Accept
Reuse
Response
30
0
29
InBytes
18160
OutBytes
7238
370 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
WebDAV を使用したファイルアクセス
Web-based Distributed Authoring and Versioning（WebDAV）との相互接続が可能なコラボレーティ
ブアプリケーションをユーザが使用できるようにするには、WebDAV プロトコルを既存の HTTP サ
ービスに追加します。または、サードパーティ製 WebDAV サーバを購入して、ストレージシステ
ムに接続します。
WebDAV の概要
WebDAV プロトコルは、ユーザのニーズに対応しつつ、各種 Web オーサリングツールの幅広い
相互利用を可能にする HTTP 拡張を定義します。 WebDAV を使用することにより、HTTP ディレ
クトリを作成できます。
WebDAV プロトコルは、多様なコラボレーティブアプリケーションを通じてリモートのソフトウェア開
発チームをサポートします。 WebDAV は HTTP の機能を利用し、広範なストレージリポジトリの
標準アクセスレイヤとして機能します。 HTTP は読み取りアクセス権を付与し、WebDAV は書き
込みアクセス権を付与します。
WebDAV プロトコルの主要機能を次に示します。
•
•
•
•
•
ロック
長期の排他的および共有の書き込みロックにより、最初に変更をマージせずに複数の作業者
が同じリソースに書き込みを行うことを防ぎます。ネットワーク接続を任意に切断できるインタ
ーネット規模でのコラボレーションを確実に行い、また各接続がサーバリソースを消費する状
況においてスケーラビリティを向上させるため、DAV ロックの期間は、どのネットワーク接続か
らも独立しています。
プロパティ
XML プロパティには、Web リソースの作成者のリストなど任意のメタデータを格納できます。
これらのプロパティは、DAV プロトコルを使用して効率的に設定、削除、および検索できます。
DAV Searching and Locating（DASL）プロトコルは、XML プロパティの値に基づいて Web リソ
ースの検索を行うことができます。
名前空間の操作
Web の展開に伴いリソースをコピーまたは移動させる必要がでてくる可能性があるため、DAV
はコピーおよび移動操作をサポートします。コレクション（ファイルシステムのディレクトリに似た
もの）を作成して表示できます。
HTTP 機能のサポート
Data ONTAP WebDAV 実装は、リダイレクトルール、認証、アクセス制限などの HTTP 構成
設定をサポートします。 WebDAV を使用するには、HTTP サービスを有効化して設定する必
要があります。
CIFS 機能のサポート
WebDAV を使用したファイルアクセス | 371
ストレージシステムに有効な CIFS ライセンスがインストールされている場合には、Data
ONTAP WebDAV 実装は CIFS ホームディレクトリをサポートします。
Data ONTAP WebDAV サーバの管理
Data ONTAP に組み込まれている WebDAV サーバの管理では、WebDAV プロトコルを有効また
は無効にしたり、ホームディレクトリを参照するように WebDAV クライアントを設定したりします。
Data ONTAP WebDAV サーバの有効化と無効化
Data ONTAP に組み込まれている WebDAV サーバを有効または無効にするには、
webdav.enable オプションをそれぞれ on または off に設定します。デフォルトでは、このオプシ
ョンは on です。
開始する前に
Data ONTAP の WebDAV サーバを有効にする前に、Data ONTAP の HTTP サーバを有効にす
る必要があります。 WebDAV サーバは、リダイレクトルール、認証、アクセス制限などの HTTP
構成設定をサポートします。
さらに、有効な CIFS ライセンスがあり、CIFS ホームディレクトリを有効化して設定済みの場合に
は、CIFS ホームディレクトリもサポートされます。
手順
1. 次のいずれかを実行します。
WebDAV の設定
入力するコマンド
有効にする
options webdav.enable on
無効にする
options webdav.enable off
WebDAV クライアントからのホームディレクトリの参照
ホームディレクトリを参照するように WebDAV クライアントを設定するには、WebDAV クライアン
トのナビゲーションフィールドに入力する URL に、チルダ（~）文字を付加します。
手順
1. WebDAV クライアントのナビゲーション（またはデフォルトディレクトリ）フィールドに、次の構文
で URL を入力します。
http://host[:port]/~
host は、ストレージシステムのホスト名または IP アドレスです。
port は、ストレージシステムへのアクセスに使用するポートです。チルダ（~）文字は、ユーザ
のホームディレクトリを指定します。
372 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
例
次に、有効な WebDAV ホームディレクトリの URL の例を示します。
http://eng_filer.lab.company.com/~
http://10.120.83.104:80/~
サードパーティ製 WebDAV サーバの購入とストレージシステムへ
の接続
Data ONTAP に組み込まれている WebDAV サーバの制限を回避するには、サードパーティ製
WebDAV サーバを購入して、ストレージシステムに接続します。
タスク概要
Data ONTAP WebDAV サーバには、次の制限があります。
•
•
•
2 バイト Unicode 文字のみが含まれる値をサポートします。2 バイトを超える Unicode 文字は
正しく記録されません。
主要 WebDAV プロトコルのみをサポートします。副次的な WebDAV プロトコルはサポートさ
れません。
仮想 IP アドレスのホームディレクトリ機能はサポートされません。仮想 IP アドレスをホストとし
て指定する URL は参照されません。
手順
1. サードパーティ製 WebDAV サーバを購入します。
2. サードパーティ製 WebDAV サーバを NFS プロトコルを介してストレージシステムに接続しま
す。
詳細については、サードパーティ製 WebDAV サーバに付属のマニュアルを参照してください。
イベントログと監査ポリシーのマッピング
一部のイベントログポリシーおよび監査グループポリシーは、Data ONTAP システムと Windows
システムでは適用方法が異なります。
ストレージシステム上で Group Policy Object（GPO;グループポリシーオブジェクト）のサポートが
有効になっていると、Data ONTAP ではすべての関連する GPO を処理して適用します。関連する
グループポリシー設定のほとんどは、Data ONTAP および Windows システムを実行中のストレー
ジシステムに同じ方法で適用されます。
ただし、イベントログおよび監査（ローカルポリシー）の 2 種類のポリシーは、基盤となるロギング
および監査のテクノロジが異なるため、ストレージシステムでの適用方法が異なります。イベント
ログ GPO および監査 GPO は、対応する Data ONTAP オプションをマッピングして設定すること
で、ストレージシステムに適用されます。これらのオプションのマッピングの効果はイベントログお
よび監査ポリシーの設定とほぼ同等ですが、まったく同じではありません。
次の表に、対応する GPO が適用された場合に有効となる Data ONTAP のオプションを示します。
オプションの詳細については、options(1)のマニュアルページを参照してください。
イベントログのマッピング値
次の表で、左側の列は適用されるイベントログポリシー（必要に応じて設定と例）を、右側の列は
その際に有効となる Data ONTAP のオプションを示しています。
ポリシー名
設定
セキュリティロなし
グの最大サイズ
セキュリティロ
グの保存方法
Data ONTAP のオプション
cifs.audit.logsize
指定した日数を過ぎ cifs.audit.autosave.file.extension
たら上書きする（例：7 timestamp
日）
cifs.audit.autosave.file.limit 0
cifs.audit.autosave.onsize.threshold 100
cifs.audit.autosave.onsize.enable on
cifs.audit.autosave.ontime.interval 7d
cifs.audit.autosave.ontime.enable on
cifs.audit.saveas /etc/log/adtlog.evt
cifs.audit.enable on
374 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ポリシー名
設定
Data ONTAP のオプション
セキュリティロ
グの保存方法
必要に応じてイベント cifs.audit.autosave.file.extension
timestamp
を上書きする
cifs.audit.autosave.file.limit 1
cifs.audit.autosave.onsize.threshold 100
cifs.audit.autosave.onsize.enable on
cifs.audit.autosave.ontime.enable off
cifs.audit.saveas /etc/log/adtlog.evt
cifs.audit.enable on
セキュリティロ
グの保存方法
イベントを上書きしな
い（手動でログを消
去）
cifs.audit.autosave.file.extension
timestamp
cifs.audit.autosave.file.limit 0
cifs.audit.autosave.onsize.threshold 100
cifs.audit.autosave.onsize.enable on
cifs.audit.autosave.ontime.enable off
cifs.audit.saveas /etc/log/adtlog.evt
cifs.audit.enable on
監査のマッピング値
次の表で、左側の列は適用される監査ポリシー（必要に応じて設定と例）を、右側の列はその際に
有効となる Data ONTAP のオプションを示します。
ポリシー名
設定
Data ONTAP のオプション
監査アカウントログオンイベ
ント
監査ログオンイベント
両ポリシーとも定義するが、ど
ちらも監査の実行を有効にし
ない
cifs.audit.logon_events
.enable off
監査アカウントログオンイベ
ント
監査ログオンイベント
両ポリシーとも定義し、成功と
失敗のいずれか、または両方
に対する監査を有効にする
cifs.audit.enable on
監査ディレクトリサービスアク両ポリシーとも定義するが、ど
ちらも監査の実行を有効にし
セス
ない
監査オブジェクトアクセス
cifs.audit.logon_events
.enable on
cifs.audit.file_access_
events.enable off
イベントログと監査ポリシーのマッピング | 375
ポリシー名
設定
Data ONTAP のオプション
監査ディレクトリサービスアク両ポリシーとも定義し、成功と
失敗のいずれか、または両方
セス
に対する監査を有効にする
監査オブジェクトアクセス
cifs.audit.enable on
その他の監査ポリシーと設定
なし
マッピングは行われない
cifs.audit.file_access_
events.enable on
376 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
用語集
このマニュアルに記載されている、ファイルアクセスやプロトコル管理の概念を理解するため、特
定の用語の使用方法を理解する必要があります。
A
ACL
Access Control List（アクセス制御リスト）の略。各共有に対するユーザ
またはグループのアクセス権の一覧。
active/active
•
configuration（アクティ
ブ / アクティブ構成）
•
•
adapter（アダプタ）
Data ONTAP 7.2 および 7.3 リリースファミリーで、2 つのシステムの
どちらかが機能を停止した場合に、相互にデータを処理するように
設定されたストレージシステムまたは V シリーズシステム（別名ノ
ード）のペアのことです。アクティブ / アクティブペアと呼ぶこともあり
ます。
Data ONTAP 8.x リリースファミリーでは、ハイアベイラビリティ（HA）
構成または HA ペアと呼ばれます。
Data ONTAP 7.1 リリースファミリーとそれ以前のリリースでは、クラ
スタと呼ばれます。
拡張スロットに差し込む SCSI カード、ネットワークカード、ホットスワップ
アダプタ、シリアルアダプタ、または VGA アダプタ。拡張カードと呼ぶ
こともあります。
address resolution（ア LAN または WAN の宛先に対応するアドレスを判定する手順。
ドレス解決）
administration host
（管理ホスト）
システムのセットアップ時に、ストレージシステムの管理用に指定するク
ライアント。セットアッププログラムを実行すると、このクライアントから
の telnet や rsh 接続を受け入れ、このクライアントに/ディレクトリおよび/
home ディレクトリのマウント許可を付与し、さらに AutoSupport メッセー
ジを送信するメールホストとしてこのクライアントを使用するよう、ストレ
ージシステムが自動的に設定されます。セットアッププログラムの実行
後、この管理ホストと同じように他のクライアントに対しても動作するよ
う、いつでもストレージシステムを構成できます。
agent（エージェント）
ステータスおよび診断情報を収集し、ネットワーク管理ステーションに転
送するプロセス。SNMP エージェントなど。
appliance（アプライア
ンス）
単一の明確に定義された機能を実行し、簡単にインストールおよび運用
できるデバイス。たとえば、NetCache アプライアンスや NetApp ストレー
ジシステムなどがあります。
ATM
Asynchronous Transfer Mode（非同期転送モード）の略。セルスイッチン
グ機能と多重化機能を組み合わせることで、信頼性の高い効率的なネ
用語集 | 377
ットワークサービスを提供するネットワーク技術。 ATM は、ワークステ
ーションやルータなどのデバイスとネットワークとの間のインターフェイス
を提供します。
authentication（認証）
ストレージシステムの所属するドメインのドメインコントローラ、またはス
トレージシステム自体によって/etc/passwd ファイルを使用して実行さ
れるセキュリティ手順。
AutoSupport
ストレージシステムに潜在的な問題がある場合に、お客様のサイトから
テクニカルサポートまたはその他の指定した宛先に E メールメッセージ
を送信するストレージシステムデーモン。
B
big-endian（ビッグエン最上位バイトから処理される、ストレージおよび伝送用のバイナリデー
ディアン）
タ形式。
C
CIFS
Common Internet File System の略。 PC のネットワーキングに使用され
るプロトコル。
client（クライアント）
クライアント / サーバアーキテクチャのワークステーションまたは PC。サ
ービスを要求し、別のコンピュータシステムまたはプロセスの応答を受
け入れるコンピュータシステムまたはプロセスです。
cluster interconnect
HA ペアの 2 台のノード（ストレージシステム）を接続するケーブルとア
（クラスタインターコネダプタ。両方のノードの稼働中、クラスタインターコネクト上でハートビー
クト）
トと WAFL ログ情報が伝送されます。
cluster monitor（クラ
スタモニタ）
クラスタ内のノードの関係を管理するソフトウェア。
community（コミュニテ SNMP エージェントおよび 1 つ以上の SNMP マネージャ間の論理的な
ィ）
関係。コミュニティは名前によって識別され、コミュニティの全メンバー
は、同じアクセス権を持ちます。
console（コンソール）
ストレージシステムの監視と制御に使用される物理端末または仮想端
末。
Copy-On-Write
（COW）
過度のディスクスペースを消費せずに Snapshot コピーを作成する手
法。
D
degraded mode（デグ
レードモード）
RAID グループで 1 つのディスクに障害が発生した場合、または
NVRAM カードのバッテリ残量が少ない場合に使用される、ストレージ
システムの動作モード。
disk ID number（ディ
スク ID 番号）
ストレージシステムが、起動時にディスクを確認する際に各ディスクに
割り当てる番号。
378 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
disk shelf（ディスクシ
ェルフ）
ディスクドライブを搭載し、ストレージシステムに接続されるシェルフ。
E
emulated storage
テイクオーバーストレージシステムによってホストされる、障害ストレー
system（エミュレートスジシステムのソフトウェアコピー。ユーザおよび管理者からは、障害ス
トレージシステム）
トレージシステムが正しく動作しているように見えます。たとえば、エミュ
レートストレージシステムには障害ストレージシステムと同じ名前が付
けられます。
Ethernet adapter（イ
ーサネットアダプタ）
イーサネットインターフェイスカード。
expansion card（拡張
カード）
ストレージシステムの拡張スロットに挿入する SCSI カード、NVRAM カ
ード、ネットワークカード、ホットスワップカード、またはコンソールカー
ド。アダプタと呼ぶこともあります。
expansion slot（拡張ス拡張カードを挿入するストレージシステムボード上のスロット。
ロット）
F
failed storage system
（障害ストレージシス
テム）
動作を停止した物理ストレージシステム。ハイアベイラビリティ構成で
は、ギブバックが正常に完了するまで障害ストレージシステムのままに
なります。
FDDI adapter（FDDI
アダプタ）
Fiber Distributed Data Interface（FDDI;光ファイバ分散データインタフェ
ース）インターフェイスカードの略。
FDDI-fiber（FDDI フ
ァイバ）
光ファイバケーブルをサポートする FDDI アダプタ。
FDDI-TP
ツイストペアケーブルをサポートする FDDI アダプタ。
FPolicy
ファイルタイプなどのファイルプロパティに基づきアクセス権限を管理で
きるようにする Data ONTAP 独自のファイルポリシー機能。
G
GID
「Group ID（GID;グループ ID）」を参照してください。
giveback（ギブバック）
エミュレートストレージシステムから障害ストレージシステムに ID を戻
して、正常動作に戻ること。テイクオーバーの逆です。
group（グループ）
Data ONTAP 7-Mode において、ストレージシステムの/etc/group ファ
イルに定義されているユーザの集まり。
Group ID（GID;グル
ープ ID）
UNIX システムがグループの識別に使用する番号。
H
用語集 | 379
HA：High Availability •
（ハイアベイラビリティ）
•
Data ONTAP 8.x では、2 つのノードのどちらかが機能を停止した場
合に相互にデータを処理するように設定されたノード（ストレージシ
ステム）のペアが提供するリカバリ機能を指します。このノードペア
は HA ペアと呼ばれます。
Data ONTAP 7.3 および 7.2 リリースファミリーでは、この機能はアク
ティブ / アクティブ構成と呼ばれます。
heartbeat（ハートビー
ト）
アクティブ / アクティブ構成において、一方のストレージシステムから他
方のストレージシステムに送信される反復信号。ストレージシステムが
動作中であることを示します。ハートビート情報はディスク上にも格納さ
れます。
hot spare disk（ホット
スペアディスク）
障害の発生したディスクの代わりに使用できる、ストレージシステムに
搭載されているディスク。ディスク障害が発生するまでは、ホットスペア
ディスクは RAID ディスクアレイには含まれません。
hot swap（ホットスワッストレージシステムの動作中にディスクの追加、取り外し、交換を行うプ
プ）
ロセス。
hot swap adapter（ホッファイルシステムアクティビティへの影響を最小限に抑えて、ハードディ
トスワップアダプタ）
スクを追加または取り外しできるようにする拡張カード。
I
inode
ストレージシステム上および UNIX ファイルシステム内のファイルに関
する情報を含むデータ構造。
interrupt switch（割り
込みスイッチ）
一部のストレージシステムのフロントパネルに装備されているスイッ
チ。デバッグに使用します。
L
LAN Emulation
ATM を基幹ネットワークトポロジとして使用してエミュレート LAN を作
（LANE;LAN エミュレ成するアーキテクチャ、プロトコル、およびサービス。 LANE を使用する
ーション）
と、ATM に接続されたエンドシステムが、他の LAN ベースのシステム
と通信できます。
local storage system
（ローカルストレージ
システム）
ユーザがログインしているストレージシステム。
M
magic directory（マジ
ックディレクトリ）
名前によってアクセスできるが、ディレクトリの一覧には表示されないデ
ィレクトリ。マウントポイントまたは共有のルートにあるものを除
き、.snapshot ディレクトリはマジックディレクトリです。
mailbox disk（メール
ボックスディスク）
各ストレージシステムが所有する一連のディスクの 1 つで、ストレージ
システムの HA 構成の状態情報の格納に使用される。ストレージシス
380 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
テムが動作を停止すると、テイクオーバーシステムはそのメールボック
スディスクの情報を使用して、エミュレートストレージシステムを構築し
ます。メールボックスディスクはファイルシステムディスクとしても使用
されます。
mail host（メールホス特定のストレージシステムイベントが発生した場合に、自動 E メールを
ト）
テクニカルサポートに送信するクライアントホスト。
Maintenance mode
（保守モード）
システムブートディスクからストレージシステムをブートするときに利用
できるオプションモードの 1 つ。保守モードでは、ハードウェアと設定の
トラブルシューティング用の特別なコマンドを使用できます。
MIB
Management Information Base（管理情報データベース）の略。 SNMP エ
ージェントがネットワーク管理ステーションに送信する情報が記載された
ASCII ファイル。
MIME
Multipurpose Internet Mail Extensions の略。インターネットメッセージ本
体のフォーマットを指定および記述するためのメカニズムを定義する仕
様。 MIME コンテンツタイプヘッダーを含む HTTP レスポンスを受信し
た場合、HTTP クライアントは受信したデータに適したアプリケーションを
起動できます。
MultiStore
Data ONTAP 7-Mode のオプションのソフトウェア製品で、1 台のストレー
ジシステムのストレージおよびネットワークリソースを分割し、ネットワ
ーク上に複数のストレージシステムが存在するように見せる機能。
N
NDMP
Network Data Management Protocol の略。ストレージシステムがバック
アップアプリケーションと通信できるようにし、複数のテープバックアップ
デバイスの自動制御機能を提供するプロトコル。
network adapter（ネッイーサネット、FDDI、または ATM カード。
トワークアダプタ）
network management 「NMS」を参照してください。
station（ネットワーク管
理ステーション）
NMS
Network Management Station（ネットワーク管理ステーション）の略。サ
ードパーティのネットワーク管理アプリケーション（SNMP マネージャ）を
使用してストレージシステムに関するステータスおよび診断情報を処理
するネットワーク上のホスト。
normal mode（通常モ
ード）
ハイアベイラビリティ構成でテイクオーバーが発生していない、ストレー
ジシステムの状態。
null user（null ユー
ザ）
アプリケーションがリモートデータにアクセスするために使用する
Windows NT マシンアカウント。
用語集 | 381
NVRAM cache
ストレージシステム上の不揮発性ランダムアクセスメモリ。受信する書
（NVRAM キャッシュ）き込みデータおよび NFS 要求のロギングに使用されます。 NVRAM キ
ャッシュはシステムパフォーマンスを向上させ、ストレージシステムの障
害または電源障害が発生した場合のデータ損失を防ぎます。
NVRAM card
（NVRAM カード）
ストレージシステムの NVRAM キャッシュを搭載するアダプタカード。
NVRAM mirror
（VRAM ミラー）
アクティブ / アクティブ構成において、ストレージシステムの NVRAM
（不揮発性 RAM）の内容が同期的に更新されたコピー。パートナースト
レージシステムによって維持されます。
P
panic（パニック）
ストレージシステムまたは V シリーズシステムの動作停止を引き起こ
している重大なエラー状況。 Windows システム環境のソフトウェアクラ
ッシュに似ています。
parity disk（パリティ
ディスク）
RAID 4 ディスクドライブアレイのパリティ情報が格納されているディス
ク。 RAID-DP 保護機能を持つ RAID グループでは、2 つのディスクに
パリティ情報およびダブルパリティ情報が格納されます。障害が発生し
たディスクブロック内またはディスク上のデータの再構築に使用されま
す。
partner mode（パート
ナーモード）
テイクオーバー時にコマンドラインインターフェイスから仮想ストレージ
システムを制御するために使用される方法。
partner node（パート
ナーノード）
ローカルノード（ストレージシステム）から見て、ハイアベイラビリティ構
成のもう一方のノード。
PCI
Peripheral Component Interconnect の略。より新しいストレージシステ
ムモデルで使用されているバスアーキテクチャ。
pcnfsd
PC がストレージシステムのファイルシステムをマウントできるようにする
ストレージシステムデーモン。対応する PC クライアントソフトウェア
は、PC-NFS と呼ばれます。
POST
Power-on self-tests（パワーオンセルフテスト）の略。電源投入時にスト
レージシステムによって実行されるテスト。
PVC
Permanent Virtual Circuit（相手固定接続）の略。 ATM の接続モードの
1 つ。通常は手動セットアップによって事前に定義された静的ルートを持
つリンク。
Q
qtree
R
仮想サブボリュームとして動作するボリュームのルートにある特別なサ
ブディレクトリ。特殊な属性を備えています。
382 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
RAID
Redundant Array of Independent Disks の略。アレイ内の全ディスクの内
容に基づいてパリティ情報を算定することにより、ディスク障害から保護
する手法。ストレージシステムでは、RAID4（すべてのパリティ情報を単
一ディスクに格納）または RAID-DP（すべてのパリティ情報を 2 つのデ
ィスクに格納）を使用します。
RAID disk scrubbing システムが RAID グループ内の各ディスクを読み取り、データを別のデ
（RAID ディスクスクラィスク領域に再書き込みすることでメディアエラーを修正しようとするプ
ビング）
ロセス。
S
SCSI adapter（SCSI
アダプタ）
SCSI ディスクドライブおよびテープドライブをサポートする拡張カード。
SCSI address（SCSI
アドレス）
ディスクの SCSI アダプタ番号および SCSI ID から構成される、ディスク
の完全なアドレス。たとえば 9a.1 などです。
SCSI ID
SCSI チェーン上のディスクドライブの番号（0～6）。
serial adapter（シリア
ルアダプタ）
一部のストレージシステムモデルにおいて、端末をコンソールとして接
続するための拡張カード。
serial console（シリア
ルコンソール）
ストレージシステムのシリアルポートに接続される ASCII 端末または
ANSI 端末。ストレージシステムの動作を監視および管理するために
使用されます。
share（共有）
ネットワークユーザが使用できるように設定され、CIFS クライアントのド
ライブレターにマッピング可能なディレクトリまたはディレクトリ構造。
CIFS 共有と呼ばれることもあります。
SID
Windows オペレーティングシステムによって使用されるセキュリティ識
別子。
Snapshot copy
（Snapshot コピー）
ファイルシステム全体のオンラインの読み取り専用コピー。これによっ
て、ファイルの内容を複製しないで、ユーザのミスによる削除や変更か
らファイルを保護できます。ユーザがファイルをリストアしたり、使用中
のストレージシステムをテープにバックアップしたりできるようになりま
す。
SVC
Switched Virtual Circuit（相手選択接続）の略。シグナリングによって確
立される接続で、ユーザはコールの開始時にエンドポイントを定義しま
す。
system board（システ
ムボード）
ストレージシステムの CPU、拡張バススロット、およびシステムメモリを
搭載したプリント回路基板。
T
用語集 | 383
takeover（テイクオー
バー）
ハイアベイラビリティ構成において、障害ノードのアイデンティティをテイ
クオーバーノードがエミュレートすること。ギブバックの反対です。
takeover mode（テイクパートナーの処理を引き継いでいるノード（ストレージシステム）と対話
オーバーモード）
する方法。ノードが現在テイクオーバーモードかどうかは、コンソール
プロンプトに示されます。
takeover node（テイク
オーバーノード）
一方のノード（ストレージシステム）が動作を停止した場合に運用を続行
するノード。障害ノードのディスクシェルフおよびネットワーク接続への
アクセスを管理する仮想ノードをホストします。テイクオーバーノードは
自身のアイデンティティを保持し、仮想ノードが障害ノードのアイデンティ
ティを引継ぎます。
trap（トラップ）
ストレージシステムでイベントが発生したことを示すために、SNMP エー
ジェントから SNMP マネージャにリクエストなしで送信される非同期メッ
セージ。
tree quota（ツリークォ quota qtree コマンドによって作成されるディレクトリのディスク使用量を
ータ）
制限する、ディスククォータの一種。指定されたユーザ ID またはグル
ープ ID のファイルに対してディスク使用量を制限するユーザクォータお
よびグループクォータとは異なります。
U
UID
user identification number（ユーザ識別番号）の略。
Unicode
16 ビットの文字セット標準。非営利協会である Unicode Inc.によって制
定および運営されています。
V
VCI
Virtual Channel Identifier（仮想チャネル識別子）の略。 ATM セルヘッ
ダーの 16 ビットフィールドによって定義される一意の数値タグ。セルが
伝送される仮想チャネルを識別します。
vFiler unit（vFiler ユ
ニット）
Data ONTAP 7-Mode において、MultiStore を使用して作成する仮想ス
トレージシステム。シングルストレージシステムのストレージおよびネッ
トワークリソースを分割することにより、ネットワーク上では複数のストレ
ージシステムが存在するように見えます。
VGA adapter（VGA
アダプタ）
VGA 端末をコンソールとして接続するための拡張カード。
volume（ボリューム）
•
Data ONTAP の場合、サポートされている 1 つ以上のプロトコルでア
クセス可能なユーザデータを格納する論理エンティティ。サポートさ
れているプロトコルには、Network File System（NFS）、Common
Internet File System（CIFS）、HyperText Transfer Protocol（HTTP）、
384 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
•
VPI
Fibre Channel（FC）、Internet SCSI（iSCSI）などがあります。 V シリー
ズでは、IBM ボリュームをディスクとして扱います。
IBM の場合、V シリーズシステムまたは非 V シリーズホストが、デ
ータの書き込みまたは読み取りに使用できるストレージアレイ上の
領域。 V シリーズのドキュメントでは、アレイ LUN と表記していま
す。
Virtual Path Identifier（仮想パス識別子）の略。 ATM セルヘッダーの 8
ビットフィールドで、セルをルーティングする仮想パスを示します。
W
WAFL
Write Anywhere File Layout の略。書き込みパフォーマンスを最適化す
るように設計された、ストレージシステム用のファイルシステム。
WINS
Windows Internet Name Service の略。
workgroup（ワークグ
ループ）
参照および共有のためにグループ化された、Windows NT または
Windows for Workgroups を実行しているコンピュータの集合。
著作権に関する情報
Copyright © 1994–2012 NetApp, Inc. All rights reserved. Printed in the U.S.
このドキュメントは著作権によって保護されています。著作権所有者の書面による事前承諾がある
場合を除き、画像媒体、電子媒体、および写真複写、記録媒体、テープ媒体、電子検索システム
への組み込みを含む機械媒体など、いかなる形式および方法による複製も禁止します。
ネットアップの著作物から派生したソフトウェアは、次に示す使用許諾条項および免責条項の対象
となります。
このソフトウェアは、ネットアップによって「現状のまま」提供されています。明示的、または商品性
および特定目的に対する適合性の暗示的保証を含み、かつこれに限定されないいかなる暗示的
な保証も放棄します。ネットアップは、代替品または代替サービスの調達、使用不能、データ損
失、利益損失、業務中断を含み、かつこれに限定されない、このソフトウェアの使用により生じたす
べての直接的損害、間接的損害、偶発的損害、特別損害、懲罰的損害、必然的損害の発生に対
して、損失の発生の可能性が通知されていたとしても、その発生理由、根拠とする責任論、契約の
有無、厳格責任、不法行為（過失またはそうでない場合を含む）にかかわらず、一切の責任を放棄
します。
ネットアップは、ここに記載されているすべての製品に対する変更を随時、予告なく行う権利を保
有します。ネットアップによる明示的な書面による合意がある場合を除き、ここに記載されている
製品の使用により生じる責任および義務に対して、ネットアップは責任を放棄します。この製品の
使用または購入は、ネットアップの特許権、商標権、または他の知的所有権に基づくライセンスの
供与とはみなされません。
このガイドに記載されている製品は、1 つ以上の米国特許、外国特許、および出願中の特許によ
って保護されている場合があります。
権利の制限について：政府による使用、複製、開示は、DFARS 252.227-7103（1988 年 10 月）の
Rights in Technical Data and Computer Software（技術データおよびコンピュータソフトウェアに関
する諸権利）条項の(c) (1) (ii)項、および FAR 52-227-19（1987 年 6 月）に規定された制限が適宜
適用されます。
386 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
商標に関する情報
NetApp、NetApp のロゴ、Network Appliance、Network Appliance のロゴ、Akorri、
ApplianceWatch、ASUP、AutoSupport、BalancePoint、BalancePoint Predictor、Bycast、Campaign
Express、ComplianceClock、Cryptainer、CryptoShred、Data ONTAP、DataFabric、DataFort、
Decru、Decru DataFort、DenseStak、Engenio、Engenio logo、E-Stack、FAServer、FastStak、
FilerView、FlexCache、FlexClone、FlexPod、FlexScale、FlexShare、FlexSuite、FlexVol、FPolicy、
GetSuccessful、gFiler、Go further、faster、Imagine Virtually Anything、Lifetime Key Management、
LockVault、Manage ONTAP、MetroCluster、MultiStore、NearStore、NetCache、NOW (NetApp on
the Web)、Onaro、OnCommand、ONTAPI、OpenKey、PerformanceStak、RAID-DP、ReplicatorX、
SANscreen、SANshare、SANtricity、SecureAdmin、SecureShare、Select、Service Builder、Shadow
Tape、Simplicity、Simulate ONTAP、SnapCopy、SnapDirector、SnapDrive、SnapFilter、SnapLock、
SnapManager、SnapMigrator、SnapMirror、SnapMover、SnapProtect、SnapRestore、Snapshot、
SnapSuite、SnapValidator、SnapVault、StorageGRID、StoreVault、StoreVault のロゴ、SyncMirror、
Tech OnTap、The evolution of storage、Topio、vFiler、VFM、Virtual File Manager、VPolicy、
WAFL、Web Filer、および XBB は米国またはその他の国あるいはその両方における NetApp,
Inc.の登録商標です。
IBM、IBM ロゴ、および ibm.com は、米国、その他の国、またはその両方における International
Business Machines Corporation の登録商標です。 IBM の商標の完全および最新のリストは、Web
サイト www.ibm.com/legal/copytrade.shtml でご覧いただけます。
Apple は、米国、その他の国、またはその両方における Apple Computer, Inc.の登録商標です。
QuickTime は、米国、その他の国、またはその両方における Apple Computer, Inc.の商標です。
Microsoft は、米国、その他の国、またはその両方における Microsoft Corporation の登録商標で
す。Windows Media は、米国、その他の国、またはその両方における Microsoft Corporation の商
標です。 RealAudio、RealNetworks、RealPlayer、RealSystem、RealText、RealVideo は、米国、そ
の他の国、またはその両方における RealNetworks, Inc.の登録商標です。RealMedia、RealProxy、
SureStream は、米国、その他の国、またはその両方における RealNetworks, Inc.の商標です。
その他のブランドまたは製品は、それぞれを保有する各社の商標または登録商標であり、相応の
取り扱いが必要です。
Network Appliance は、CompactFlash および CF ロゴの両商標に対する使用許諾を有していま
す。
NetApp, Inc. NetCache は、RealSystem の認定互換製品です。
ご意見をお寄せください
弊社では、マニュアルの品質を向上していくため、皆様からのフィードバックをお待ちしています。
いただいたフィードバックは、今後のマニュアル作成に役立てさせていただきます。ご意見やご要
望は、[email protected] までお寄せください。その際、担当部署で適切に対応
させていただくため、製品名、バージョン、オペレーティングシステムなどの基本情報を必ず入れ
てください。
郵送の場合の宛先は、次のとおりです。
•
•
•
•
〒 105-0001　東京都港区虎ノ門 4 丁目 1 番 8 号　虎ノ門 4 丁目 MT ビル
ネットアップ株式会社
注：弊社営業担当者名を記載してください
388 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
索引
サンプルのエントリ 260
セキュリティの強化 262
ドメイン名の解釈 259
ユーザ名のマッピング 262
記号
/etc/ad ディレクトリ 133
/etc/cifs_nbalias.cfg
NetBIOS エイリアスの作成 148
/etc/exports
編集 17
/etc/httpd.access
編集 358
/etc/httpd.group 361
/etc/httpd.passwd
作成と編集 360
/etc/httpd.translation
拒否ルールの追加 354
/etc/httpd.translations
許可ルールの追加 353
定義 352
マッピングルールの追加 352
リダイレクトルールの追加 353
/etc/krb5.conf
編集 36
/etc/log/ftp.cmd
ログファイルの形式 330
/etc/log/ftp.xfer
ログファイルの形式 330
/etc/log/httpd.log
形式の変更 366
/etc/nsswitch.conf
LDAP エントリの追加 274
LDAP クライアント認証の有効化 276
/etc/symlink.translations
Map エントリ 308
Map エントリの作成 311
Map および Widelink エントリの使用 312
Widelink エントリ 309
Widelink エントリの作成 312
絶対シンボリックリンクのリダイレクト 311
/etc/usermap.cfg
direction 259
IP_qualifier 257
NFS アクセスの制限 263
root への Windows アカウントのマッピング 263
UNIX 名 259
Windows 名 258
エントリの指定 257
数字
8.3 形式のファイル名
作成 245
A
Access-Based Enumeration
Windows クライアントからのコマンドの実行 87
定義 86
有効化と無効化 86
ACE
ACL との関係と継承 88
ACL
継承の仕組み 88
ACL（アクセス制御リスト）
NFSv4 44
NFSv4, 管理 44
NFSv4, 設定と変更 47
NFSv4, 表示 47
NFSv4, 有効化する利点 46
NFSv4, 有効化と無効化 46
NFSv4 と NTFS の互換性 46
管理 88
共有レベル, CLI を使用した変更 93
共有レベル, CLI を使用したユーザまたはグループ
の削除 94
共有レベル, MMC を使用した表示と変更 91
共有レベル, MMC を使用したユーザまたはグルー
プの削除 92
共有レベル, MMC を使用したユーザまたはグルー
プの追加 89
キョウユウレベル, グループ ID の指定 97
共有レベル, 定義 88
共有レベル, 表示と変更 89
ファイルレベル, 表示と変更 95
ACL 権限
NFSv3 / v4 クライアント, 表示 94
Active Directory
索引 | 389
LDAP 検索サービス, 有効化 279
LDAP サーバ, 管理 279
LDAP サーバ, 使用 279
LDAP サーバ, 接続の監視 280
LDAP サーバ, 接続のトラブルシューティング 280
LDAP サーバ, 接続のプールと選択 280
LDAP サーバ, 要件 279
シンプルバインド 281
API
サポートされている VMware vStorage, NFS 39
B
BranchCache
CIFS 共有での有効化の概要 114
CIFS 共有で有効にする際の考慮事項 114
CIFS 共有に対する有効化 115
Data ONTAP での実装方法 110
Data ONTAP でのハッシュの管理方法 116
既存の CIFS 共有での無効化 120
既存の CIFS 共有での有効化 116
基本概念 109
クライアントおよびキャッシュサーバの設定に関す
る情報の参照先 114
クライアントでのコンテンツの取得方法 111
サーバシークレットキーの変更 119
サポートされるネットワークプロトコル 112
実装するための要件 112
ストレージシステムでの設定 113
ハッシュが無効になる理由 116
ハッシュの統計 117
ファイルサイズ別のハッシュ統計情報の表示 118
フラッシュされたハッシュ数の表示 119
ブランチオフィスで CIFS 共有をキャッシュするため
に使用 107
分散キャッシュモード 108
ホスト型キャッシュサーバ 108
ホスト型キャッシュモード 108
無効にした場合の動作 120
モード 108
有効な CIFS 共有の作成 115
用語 109
C
CIFS
BranchCache 共有の有効化 115
BranchCache を使用したブランチオフィスでのキャ
ッシュ 107
BranchCache を有効にするための既存の共有の変
更 116
cifs setup コマンドの機能 62
NFS とのファイル共有 244
アクティビティの監視 150
監査, 設定 291
監視されるイベント 174
既存の共有での BranchCache の無効化 120
共有コメント作成時の問題からの回復 77
共有で BranchCache を有効にする際の考慮事項
114
共有での BranchCache の有効化の概要 114
共有の命名規則 77
共有を作成する際の考慮事項 76
クライアント, NFS ディレクトリアクセスの最適化
313
クライアントで大文字のファイル名が作成されない
ようにする 315
クライアントとシンボリックリンクの連動の指定 307
クライアントのイベント 182
クライアントのシンボリックリンク参照の有効化 307
クライアントへの.dll および.exe ファイルの実行権
限の付与 322
サーバ名の要件 62
サービスの再開 156
設定時の考慮事項 67
サポート対象のクライアント 61
サポート対象のドメインコントローラ 61
シャットダウンメッセージの設定 155
シンボリックリンクへのアクセスの制御 306
再設定 68
切断された要求に関するサーバスクリーニングの
停止 180
ファイル, NFS クライアントからのアクセス 316
ファイル名 244
ファイルロック 248
無効化 154
ユーザ, UNIX クレデンシャルの取得 255
読み取り専用ビット 253
ライセンス, 設定 60
リソースの制約 153
ログインの追跡 321
cifs setup
サーバ名の要件 62
cifs setup コマンド
実行できるタスク 62
390 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
CIFS セッション
IPv4 経由 240
IPv6 経由 240
累計 243
CLI
fpolicy ext[ension] {exc[lude]|inc[lude]} set
PolicyName ext-list 215
fpolicy ext[ension] exc[lude] add PolicyName
ext-list 213
fpolicy ext[ension] exc[lude] remove PolicyName
ext-list 214
fpolicy ext[ension] exc[lude] show PolicyName
212
fpolicy ext[ension] inc[lude] add PolicyName
ext-list 213
fpolicy ext[ension] inc[lude] remove PolicyName
ext-list 214
fpolicy ext[ension] inc[lude] reset PolicyName
216
F
forcegroup オプション
定義 78
FPolicy
CLI コマンド 221
エラーメッセージ
fpolicy.server.fqdn.unavail severity="ERR" 233
概要 164
監視する操作の削除 220
監視する操作の追加 219
警告メッセージ 234
作業フローチャート 166
使用 165, 175
ストレージ環境との通信 168
制限 169
セカンダリサーバ, 定義 218
セカンダリサーバの削除 219
セカンダリサーバの割り当て 218
セットアップ 175
操作の監視 219, 221
定義 164
ファイル作成要求を監視するための登録 187
有効化と無効化 175
よくある質問 223
よくある質問, アクセス 225
よくある質問, サーバ 228
よくある質問, 全般 223
よくある質問, パフォーマンス 225
よくある質問, ファイルスクリーニング 226
fpolicy.fscreen.cfg.pCreateErr severity="ERR" 232
fpolicy.fscreen.cfg.pCreateInfo severity="WARNING"
237
fpolicy.fscreen.request.pathError severity="ERR" 232
fpolicy.fscreen.server.closeError severity="ERR" 229
fpolicy.fscreen.server.completionInconsistent
severity="WARNING" 235
fpolicy.fscreen.server.completionRequestLost
severity="WARNING" 234
fpolicy.fscreen.server.completionUnexpectedState
severity="ERR" 230
fpolicy.fscreen.server.connectedNone
severity="WARNING" 234
fpolicy.fscreen.server.connectError severity="ERR" 228
fpolicy.fscreen.server.connecting.badOperationList
severity="WARNING" 235
fpolicy.fscreen.server.connecting.badParameter
severity="WARNING" 236
fpolicy.fscreen.server.connecting.internalError
severity="ERR" 231
fpolicy.fscreen.server.connecting.privError
severity="ERR" 232
fpolicy.fscreen.server.droppedConn
severity="WARNING" 237
fpolicy.fscreen.server.pingRejected severity="ERR" 230
fpolicy.fscreen.server.requestError severity="ERR" 229
fpolicy.fscreen.server.requestRejected severity="ERR"
230
fpolicy.fscreen.server.requestStatusError severity="ERR"
231
fpolicy.fscreen.server.requestTO severity="ERR" 233
fpolicy.fscreen.server.unexpectedFileDataResponse
severity="WARNING" 238
fpolicy.fscreen.vol.i2p.off severity="WARNING" 237
fpolicy.srv.conn.badOptParam severity="WARNING"
236
fsecurity
ストレージレベルのアクセス保護の有効化 282
セキュリティジョブの作成と適用 286
定義 283
FSID（ファイルシステム ID） 41
FTP
SNMP トラップの表示 332
TCP ウィンドウサイズの指定 334
アイドルタイムアウトの指定 335
アクセスの制限 327
管理 324
サーバ, 有効化と無効化 324
索引 | 391
生成される SNMP トラップ 332
接続しきい値の設定 334
接続の最大数の指定 333
統計の表示 333
統計のリセット 333
匿名アクセス, 有効化と無効化 335
匿名アクセスの管理 335
匿名ユーザのホームディレクトリの指定 336
匿名ユーザ名の指定 336
トラバースチェックのバイパス, 有効化と無効化
327
認証形式, 指定 325
ファイルへのアクセス 324
ファイルロック, 有効化と無効化 325
ユーザの制限 328
ユーザのブロック 327
ログファイルの管理 329
ログファイルの最大サイズの指定 331
ログファイルの最大数の指定 331
ログファイルの表示 330
FTPS
暗黙的 344
暗黙的, 有効化と無効化 346
明示的 344
明示的, 許可と禁止 345
明示的, 有効化と無効化 345
FTP 接続
IPv6 経由 347
G
GID
UNIX ユーザ名のマッピング 264
GPO（グループポリシーオブジェクト）
管理 127
更新に関する問題のトラブルシューティング 132
サポートの有効化と無効化 127
使用するための要件 126
設定の更新 131
適用 125
表示 131
ファイルシステムのセキュリティの作成 127
H
HTTP
/etc/httpd.group の作成と編集 361
/etc/httpd.passwd の作成と編集 360
/etc/log/httpd.log 形式の変更 366
editing /etc/httpd.access 358
MIME タイプの設定 350
NTLM 認証 358
アクセス制限 355
エラー統計 363
仮想ファイアウォールの使用 356
仮想ホスティングの設定 361
許可ルールの追加 353
拒否ルールの追加 354
サードパーティ製サーバの使用 366
サーバのテスト 350
サービス統計 364
詳細統計 363
セキュリティの維持 355
接続情報の表示 365
タイムアウト統計 364
統計のリセット 364
トラバースチェックのバイパス, 有効化と無効化
348
認証 357
ビルトインサーバ, 管理 348
ビルトインサーバ, 有効化と無効化 348
ファイルアクセス 348
ベーシック認証 357
変換ファイル 352
マッピングルールの追加 352
要求統計 363
要求の設定 352
リダイレクトルールの追加 353
ルートディレクトリの指定 349
ログファイルの最大サイズの指定 349
HTTP サーバ
統計の表示 362
HTTP 接続
IPv4 経由 368
IPv6 経由 368
I
IP_qualifier
説明 257
IPv6
CIFS 経由の無効化 240
CIFS 経由の有効化 240
CIFS のサポート 239
392 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
FTP 経由の無効化 347
FTP 経由の有効化 347
FTP のサポート 347
HTTP 経由の無効化 367
HTTP 経由の有効化 367
HTTP のサポート 367
NFS 経由の無効化 59
NFS 経由の有効化 59
K
Kerberos
NFS での有効化 33
NFS 用の設定 28, 30, 31
v5 セキュリティサービスをサポートするクライアント
36
認証 139
パッシブリプレイアタックの防御 140
マシンアカウントを使用したアクセス 147
有効化 27
keytab
デフォルトの指定 36
keytab ファイル
生成 32
L
LDAP
/etc/nsswitch.conf へのエントリの追加 274
Active Directory 検索サービス, 有効化 279
Active Directory サーバ, 管理 279
Active directory サーバ, 使用 279
Active Directory サーバ, 接続のトラブルシューティ
ング 280
Active Directory サーバ, 接続のプールと選択 280
Active Directory サーバ, 接続の監視 280
Active Directory サーバ, 要件 279
SSL の有効化と無効化 273
SSL ルート証明書のインストール 273
UNIX クライアントからの NTFS または mixed ファ
イルシステムアクセスに関する許可の有効化 277
UNIX クライアント認証の有効化 276
Windows クライアントからの NFS ファイルアクセス
に関する許可の有効化 276
Windows クライアント認証の有効化 276
一般的なベース値と範囲値 271
管理パスワードの設定 275
管理ユーザ名の指定 274
検索ベースと範囲の指定 270
サーバ選択順序 275
サーバの指定 271
サーバの選択 141
使用 270
シンプルバインド 281
スキーマオプションの変更 282
スキーマの管理 281
設定 270
デフォルトスキーマ 281
ポートの指定 275
有効化と無効化 272
ユーザのマッピング 277
ユーザマッピング, ベースと範囲の指定 278
優先サーバの指定 143, 272
優先サーバの表示 144
Live View
イベントの表示 303
監査イベントの表示 303
設定 295
M
Map エントリ
作成 311
使用 312
定義 308
MIME タイプ
HTTP, 設定 350
設定 354
MMC
共有の削除 87
共有プロパティの表示と変更 79
共有レベル ACL からのユーザまたはグループの
削除 92
共有レベル ACL の表示と変更 91
共有レベル ACL へのユーザまたはグループの追
加 89
クライアントの切断 153
ストレージシステムへの接続 61
フォルダ共有ウィザードの実行 77
ローカルグループの削除 125
ローカルグループへのユーザの追加 124
索引 | 393
N
NetBIOS
/etc/cifs_nbalias.cfg でのエイリアスの作成 148
CLI を使用したエイリアスの作成 148
TCP 経由, 無効化 149
エイリアスの作成 148
エイリアスの表示 149
NFS
CIFS クライアントに対するディレクトリアクセスの
最適化 313
CIFS とのファイル共有 244
Kerberos v5 セキュリティサービスをサポートするク
ライアント 36
Kerberos の設定 28, 30, 31
Kerberos の有効化 27, 33
NFSv4 ACL の表示 47
NFSv4 ACL を有効化する利点 46
v2 の有効化と無効化 39
v3 / v4 クライアント, Windows ACL 権限の表示 94
v3 の有効化と無効化 39
v4 ACL 44
v4 ACL の管理 44
v4 ACL の有効化と無効化 46
v4, Data ONTAP サポートの制限 42
v4, オープン委譲統計の表示 50, 51
v4, ファイル委譲 48
v4, ファイル委譲の管理 48
v4, ファイル削除の判別 46
v4, 読み取りファイル委譲の有効化と無効化 49
v4, ロック猶予期間の指定 53
v4, ロックリース期間の指定 52
v4.1 のサポート 41
v4 書き込みファイル委譲の有効化と無効化 49
v4 クライアントのサポート 41
v4 と NTFS ACL の互換性 46
v4 のサポート 41
v4 のユーザ ID ドメインの指定 44
v4 の有効化と無効化 44
Windows クライアントからのファイルアクセス,
LDAP 許可の有効化 276
オープン委譲統計の表示, v4 50, 51
監査, 設定 292
監査, 有効化 294
監査イベントの指定 293
監査イベントの制御 293
監視されるイベント 174
クライアント, CIFS ファイルへのアクセス 316
クライアントのイベント 182
設定と変更, v4 ACL 47
統計の表示 38
非予約ポートからの要求の拒否 38
ファイルアクセス 16
ファイルおよびレコードロック, v4 52
ファイル名 244
ファイルロック 248
マウントポイントへの seudo-fs の影響 43
ユーザアクセスの制限 263
読み取り専用ビット 253
ライセンス, 設定 16
NFSv4
文字列としてのユーザおよびグループ ID の許可
54
文字列としてのユーザおよびグループ ID の拒否
54
NFS クライアント
フェンシングの有効化と無効化 21
NFS でサポートされている VMware API 39
NLM ロック
ネットワークファミリに基づく解除 253
NTFS
ACL, NFSv4 との互換性 46
NTLM
認証, 制限 326
NTLM 認証
HTTP 358
null セッション
アクセスの実現 145
非 Kerberos 環境でのアクセスに使用 145
null ユーザ
共有へのアクセス権の付与 146
O
ONTAPI 164
oplock
oplock break を送信するための遅延時間の変更
137
qtree での有効化と無効化 136
書き込みキャッシュデータ消失に関する考慮事項
134
クライアントパフォーマンスの向上 134
有効化と無効化 135
oplock リース
qtree での有効化と無効化 136
クライアントパフォーマンスの向上 134
394 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ステータスの監視 136
有効化と無効化 135
ロック強化 134
OU（組織単位）
関連付け 126
P
PC-NFS
クライアントのサポート 55
ファイルとディレクトリの umask の定義 57
ユーザエントリの作成 56
pcnfsd デーモン
説明 55
有効化と無効化 55
pseudo-fs
NFSv4, マウントポイントへの影響 43
Q
qtree
oplock の有効化と無効化 136
oplock リースの有効化と無効化 136
R
RPC（リモートプロシージャコール） 164
S
SACL（システムアクセス制御リスト）
設定 291
secedit ユーティリティ
ジョブ定義ファイルの管理 284
SFTP
アイドルタイムアウト, 指定 343
制限 337
接続数の制限 343
トラバースチェックのバイパス, 有効化と無効化
339
認証形式 338
認証形式, 指定 339
ファイルロック, 有効化と無効化 338
ホームディレクトリの制限, 有効化と無効化 340
有効化と無効化 337
ユーザホームディレクトリの優先パスの指定 340
ログファイルの最大サイズの指定 342
ログファイルの最大数の指定 342
ログファイルの有効化と無効化 341
SID と名前のマッピングエントリ
有効期間の変更 268
SID と名前のマッピングキャッシュ
管理 267
消去 268
有効化と無効化 268
SMB
2.x の有効化と無効化 70
v1.0 のサポート 69
v2.0, 署名の強制 74
v2.0 のサポート 69
v2.0 を有効にする状況 70
v2.1 を有効にする状況 70
サポートされる 2.1 の拡張機能 69
署名, サポート 72
署名, パフォーマンスへの影響 73
署名の有効化 74
通信に影響する署名ポリシー 72
SMB 2.1
oplock リースによるロック強化の仕組み 134
SMBv2.x の永続性ハンドル
定義 71
SMB 名前付きパイプ
複数オープンインスタンスの有効化と無効化 182
SnapMirror
ローカルグループの処理 125
SNMP
FTP, トラップの表示 332
FTP で生成されるトラップ 332
UNIX クライアントでのトラップの表示 332
起動中 332
監査イベントのトラップ 302
設定 332
SSL
LDAP の有効化と無効化 273
LDAP 用のルート証明書のインストール 273
T
TCP ウィンドウサイズ
FTP, 指定 334
TFTP
サーバ, 有効化と無効化 324
接続の最大数の指定 334
索引 | 395
U
UID
UNIX ユーザ名のマッピング 264
umask
PC-NFS ユーザのファイルとディレクトリの定義 57
説明 56
Unicode
形式指定, ディレクトリの作成 313
ディレクトリの変換 314
UNIX
LDAP ベースのクライアント認証, 有効化 276
NTFS または mixed ファイルシステムアクセスに関
する LDAP 許可の有効化 277
SNMP トラップの表示 332
UID および GID へのユーザ名のマッピング 264
クレデンシャル, CIFS クライアントの管理 255
クレデンシャル, CIFS ユーザの取得 255
クレデンシャル, CIFS ユーザ用の指定 256
デフォルトのユーザアカウントの有効化と無効化
265
認証 138
ファイルアクセスの詳細 305
UNIX アクセス権
上書き, 有効化と無効化 341
V
VMware
NFS でサポートされている vStorage API 39
vStorage over NFS 40
vStorage
NFS でサポートされている API 39
有効化と無効化 40
W
WAFL
クレデンシャルキャッシュ, 統計の監視 318
クレデンシャルキャッシュ, マッピングエントリの削
除 317
クレデンシャルキャッシュ, マッピングエントリの追
加 316
WebDAV
管理 371
サードパーティ製サーバの使用 372
説明 370
ファイルアクセス 370
ホームディレクトリへのアクセス 371
有効化と無効化 371
WebNFS
クライアントのサポート 57
有効化と無効化 57
ルートディレクトリの設定 58
ルートディレクトリの名前の指定 58
ルートディレクトリの有効化 58
Widelink エントリ
作成 312
使用 312
定義 309
Windows
LDAP ベースのクライアント認証, 有効化 276
NFS ファイルアクセスに関する LDAP 許可の有効
化 276
ゲストユーザアカウントの有効化と無効化 266
サポートされない機能 60
ファイルアクセスの詳細 304
ユーザアカウント名の指定 66
ワークグループ認証 139
Windows Server 2008 ドメインコントローラ
認証方法 142
Windows アプリケーション, UNIX アクセス権の維持
322
WINS サーバ
指定 62
あ
アイドル
セッション, タイムアウト 151
アイドルタイムアウト
FTP, 指定 335
アカウント
マシン, Kerberos 環境でのアクセスに使用 147
マシン, データアクセスの防止 147
ローカルユーザ, 制限 122
ローカルユーザ, 追加、表示、削除 122
アクセス
FTP, 制限 327
HTTP オプションを使用した制限 355
許可または拒否される理由 162
アクセスキャッシュ
エントリの削除 24
エントリの追加 24
説明 23
タイムアウト値の設定 26
396 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
統計の表示 25
パフォーマンスの最適化 25
アクセス制御
トラブルシューティング 160
アクセス制御リスト（ACL）
NFSv4 44
NFSv4, 管理 44
NFSv4, 設定と変更 47
NFSv4, 表示 47
NFSv4, 有効化する利点 46
NFSv4, 有効化と無効化 46
NFSv4 と NTFS の互換性 46
管理 88
共有レベル, CLI を使用した変更 93
共有レベル, CLI を使用したユーザまたはグループ
の削除 94
共有レベル, MMC を使用した表示と変更 91
共有レベル, MMC を使用したユーザまたはグルー
プの削除 92
共有レベル, MMC を使用したユーザまたはグルー
プの追加 89
キョウユウレベル, グループ ID の指定 97
共有レベル, 定義 88
共有レベル, 表示と変更 89
ファイルレベル, 表示と変更 95
暗黙的
FTPS 344
FTPS, 有効化と無効化 346
い
イベント
CIFS を通した監視 174
NFS クライアントと CIFS クライアントでのスクリー
ニング 182
NFS を通した監視 174
監査, 保存と消去 296
監査イベントログへの手動保存 297
監査可能 288
システム, 監査の設定 290
システムアクセス, 監査 288
イベントログ
外部, 場所の指定 297
更新 296
マッピング 373
マッピング値 373
う
ウィルススキャン
共有での有効化と無効化 84
え
永続性ハンドル
ステータスの監視 71
定義 71
エイリアス
NetBIOS, /etc/cifs_nbalias.cfg での作成 148
NetBIOS, CLI を使用した作成 148
NetBIOS, 作成 148
NetBIOS, 表示 149
エクスポート
ファイルシステムパス 18, 19
エクスポートオプション
ファイルシステムパス用の表示 22
エクスポート解除
ファイルシステムパス 19, 20
エラーメッセージ
FPolicy 228–238
fpolicy.server.fqdn.unavail severity="ERR" 233
お
オープン委譲統計
NFSv4, 表示 50, 51
表示, NFSv4 50, 51
大文字と小文字の区別
ファイル名 244
オプション HTTP を使用したアクセス制限 355
か
書き込みキャッシュ
oplock を使用するときのデータ消失に関する考慮
事項 134
書き込みファイル委譲
有効化と無効化, NFSv4 49
拡張子
除外リストからの削除 214
除外リストの設定 215
除外リストの表示 212
除外リストのリセット 216
除外リストへの追加 213
対象リストからの削除 214
索引 | 397
対象リストの設定 215
対象リストの表示 212
対象リストのリセット 216
対象リストへの追加 213
対象リストまたは除外リストからの削除 214
対象リストまたは除外リストの設定と置き換え 215
対象リストまたは除外リストのリセット 216
対象リストまたは除外リストへの追加 213
表示 212
ワイルドカードを使用したスクリーニング 211
仮想ホスティング
設定 361
監査
UNIX ファイルアクセスの詳細 305
CIFS, 設定 291
NFS, イベントの指定 293
NFS, 設定 292
NFS, フィルタファイルによるイベントの制御 293
NFS, 有効化 294
Windows ファイルアクセスの詳細 304
イベントの SNMP トラップ 302
イベントの消去 296
イベントの表示 303
イベントの保存 296
イベントログの更新 296
イベントログの場所 296
失われたレコードイベント 306
監査イベントの手動保存 297
時間間隔による自動保存の有効化 299
失敗したアクセス試行 306
自動保存ファイルの最大数の指定 301
静的なイベントログの表示 304
定義 288
内部監査ログファイルの最大サイズの指定 301
内部監査ログファイルの消去 302
ログのカウンタ拡張文字の指定 300
ログのタイムスタンプ拡張文字の指定 300
ログファイルサイズに基づいた自動保存の設定
298
監査イベント
保存 298
監査ポリシー
マッピング 373
マッピング値 374
監視
oplock リースのステータス 136
WAFL クレデンシャルキャッシュ統計 318
永続性ハンドルのステータス 71
監視リスト
操作の削除 220
操作の追加 219
管理
HTTP 348
WebDAV 371
き
キーワード
スクリーニング操作 238
基本概念
BranchCache 109
キャッシュ
クライアント側のプロパティの設定 86
ネームサーバデータベースからのフラッシュ 53
ネームサーバデータベースの仕組み 53
有効化と無効化 85
キャッシュサーバ
BranchCache の設定に関する情報の参照先 114
境界チェック
共有からのシンボリックリンクに対する有効化と無
効化 82
強制
SMB 2.0 署名 74
共有
CIFS 共有の作成時の BranchCache の有効化 115
CIFS 共有を作成する際の考慮事項 76
CIFS で BranchCache を有効にする際の考慮事項
114
CIFS での BranchCache の有効化 116
CIFS での BranchCache の有効化の概要 114
CLI を使用した削除 87
CLI を使用した作成 78
CLI を使用したプロパティの表示 81
CLI を使用したプロパティの変更 81
MMC を使用した削除 87
MMC を使用したプロパティの表示と変更 79
Windows クライアントの MMC を使用した作成 77
既存の CIFS での BranchCache の無効化 120
削除 87
プロパティの表示と変更 79
命名規則 77
共有コメント
CIFS 作成時の問題からの回復 77
共有の境界チェック
シンボリックリンクに対する無効化 310
共有プロパティ
398 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ウィルススキャンの有効化と無効化 84
新規作成されたファイルおよびディレクトリの権限
の指定 83
トレーシングフィルタの削除 161
トレーシングフィルタの追加 160
トレーシングフィルタの表示 162
く
クエリ
統計, 保存と再使用 152
クライアント
BranchCache の設定に関する情報の参照先 114
CIFS, サポート対象 61
MMC を使用した切断 153
クライアント認証と許可の管理 276
グループ
ローカル, CLI を使用した追加、表示、削除 123
ローカル, MMC を使用した削除 125
ローカル, MMC を使用した追加 123
ローカル, MMC を使用したユーザの追加 124
ローカル, SnapMirror での処理 125
ローカル, 管理 123
グループ ID
NFSv4 を文字列として許可 54
NFSv4 を文字列として拒否 54
グループポリシーオブジェクト（GPO）
イベントログと監査ポリシーのマッピング 373
管理 127
更新に関する問題のトラブルシューティング 132
サポートの有効化と無効化 127
使用するための要件 126
設定の更新 131
適用 125
表示 131
ファイルシステムのセキュリティの作成 127
クレデンシャル
UNIX, CIFS クライアントの管理 255
UNIX, CIFS ユーザの指定 256
UNIX, CIFS ユーザの取得 255
クレデンシャルキャッシュ
WAFL, 統計の監視 318
WAFL, マッピングエントリの削除 317
WAFL, マッピングエントリの追加 316
け
警告メッセージ
FPolicy 234
継承
ACE と ACL 88
権限
こ
コマンド
cifs setup で実行できるタスク 62
コンピュータアカウントパスワード
ストレージシステムでの自動変更の設定 158
ストレージシステムでの手動変更 157
さ
サーバ
LDAP, 選択順序 275
prefdc リストからの削除 143
接続のプールと選択 280
サーバシークレットキー
BranchCache の変更 119
サーバスクリーニング
切断された CIFS 要求についての停止 180
サーバタイムアウト
設定 181
最適化
アクセスキャッシュのパフォーマンス 25
削除
CLI を使用した共有の削除 87
prefdc リストからのサーバの削除 143
アクセスキャッシュからエントリ 24
ストレージレベルのアクセス保護 287
読み取り専用ビットが設定されたファイル 254
作成
BranchCache が有効な CIFS 共有 115
CLI を使用した CIFS 共有の作成 78
Map エントリ 311
Widelink エントリ 312
ファイル名 245
ホームディレクトリパスのディレクトリ 104
サポートされない機能
Windows 60
サポートされるプロトコル 14
参照
有効化と無効化 84
索引 | 399
し
システムアクセスイベント
監査 288
システムアクセス制御リスト（SACL）
設定 291
システムイベント監査
設定 290
指定
cifsaudit.alf ファイルの最大サイズの指定 301
FTP アイドルタイムアウト 335
FTP 認証形式 325
FTP ログファイルの最大サイズ 331
FTP ログファイルの最大数の指定 331
HTTP サーバのルートディレクトリ 349
HTTP ログファイルの最大サイズ 349
LDAP 管理パスワード 275
LDAP 管理ユーザ名 274
LDAP サーバポート 275
LDAP の検索ベースと範囲 270
SFTP アイドルタイムアウト 343
自動保存ファイルの最大数 301
匿名 FTP ユーザのホームディレクトリの指定 336
ホームディレクトリパス 101
優先 LDAP サーバの指定 272
優先するドメインコントローラと LDAP サーバ 143
シャットダウンメッセージ
CIFS での設定 155
取得
BranchCache のコンテンツ 111
分散キャッシュモードのコンテンツ 111
ホスト型キャッシュモードのコンテンツ 111
ジョブ定義ファイル
secedit ユーティリティによる管理 284
ストレージレベルのアクセス保護, 生成と編集 283
テキストエディタを使用した管理 284
要素の指定 285
シンプルバインド
Active Directory, LDAP 281
シンボリックリンク
CIFS アクセスの制御 306
CIFS クライアントとの連動の指定 307
CIFS クライアントの参照の有効化 307
境界チェックの有効化と無効化 82
共有の境界チェックの無効化 310
使用しない 308
絶対, リダイレクト 311
ホームディレクトリ 100
ワイド, 有効化と無効化 82, 106
シンボリックリンク操作
監視する FPolicy の設定 196
シンボリックリンク要求
監視するための FPolicy の登録 196
シンボリックリンク要求の監視
定義 195
す
スクリーニング
拡張子, 定義 210
ボリューム, 定義 204
ワイルドカードの使用 205, 211
スクリーニング操作
キーワード 238
スクリーニングタイムアウト
設定 181
スクリプト
スタートアップ, シャットダウン 133
ストレージシステム
BranchCache の設定 113
コンピュータアカウントパスワードの自動変更の設
定 158
コンピュータアカウントパスワードの手動変更 157
ストレージレベルのアクセス保護
削除 287
ジョブ定義ファイルの生成と編集 283
有効化 282
せ
制限
CIFS リソース 153
NFSv4 の Data ONTAP サポート 42
SFTP 337
ディレクトリへの FTP ユーザ 328
認証ベース 14
ファイルベース 14
ローカルユーザアカウント 122
セカンダリサーバ
削除 219
定義 218
割り当て 218
セキュリティ
HTTP, 維持 355
ユーザアクセスに対する強化 262
セキュリティジョブ
400 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ジョブ定義ファイルからの作成 286
ステータスの確認 286
ストレージオブジェクトへの適用 286
取り消し 286
セキュリティ設定
ファイルおよびディレクトリの表示 287
セキュリティレベル
最小値の設定 139
セッション
アイドル, タイムアウト 151
情報の表示 150
接続
SFTP, 制限 343
切断
CLI によるユーザの切断 154
MMC を使用したクライアントの切断 153
設定
CIFS 共有で BranchCache を有効にする際の考慮
事項 114
HTTP MIME タイプ 350
HTTP 要求 352
SFTP 接続数の制限 343
ストレージシステムでの BranchCache の設定 113
ライセンス 16, 60
説明
表示と変更 157
そ
操作
監視対象のリストの設定または置き換え 221
監視リストからの削除 220
監視リストへの追加 219
属性取得操作
監視する FPolicy の設定 202
属性取得要求
監視するための FPolicy の登録 203
属性取得要求の監視
定義 202
属性設定操作
監視する FPolicy の設定 203, 204
属性設定要求
監視するための FPolicy の登録 204
属性設定要求の監視
定義 203
組織単位（OU）
関連付け 126
ソフトマウント 37
た
タイムアウト
SFTP, 指定 343
アイドルセッション 151
タイムアウト値
アクセスキャッシュの設定 26
つ
追加
HTTP 許可ルール 353
HTTP 拒否ルール 354
HTTP マッピングルール 352
HTTP リダイレクトルール 353
MMC を使用したローカルグループへのユーザの
追加 124
WAFL クレデンシャルキャッシュへのマッピングエ
ントリの追加 316
て
ディレクトリ
FTP, ユーザの制限 328
Unicode 形式での作成 313
Unicode 形式への変換 314
新規作成時の権限の指定 83
セキュリティ設定の表示 287
ユーザとの照合 99
ディレクトリアクセス
NFS, CIFS クライアントに対する最適化 313
ディレクトリイベント 184
ディレクトリ削除操作
監視する FPolicy の設定 197
ディレクトリ削除要求
監視するための FPolicy の登録 198
ディレクトリ削除要求の監視
定義 197
ディレクトリ作成操作
監視する FPolicy の設定 200
ディレクトリ作成要求
監視するための FPolicy の登録 200
ディレクトリ作成要求の監視
定義 199
ディレクトリ操作 184
ディレクトリ名変更操作
監視する FPolicy の設定 198, 199
ディレクトリ名変更要求
索引 | 401
監視するための FPolicy の登録 199
ディレクトリ名変更要求の監視
定義 198
データベース
ネームサーバからのキャッシュのフラッシュ 53
テスト
HTTP サーバ 350
と
同期
ファイルシステムパス 20
統計
FTP, 表示 333
FTP, リセット 333
HTTP サーバ, 表示 362
NFS の表示 38
WAFL クレデンシャルキャッシュの監視 318
アクセスキャッシュの表示 25
クエリの保存と再使用 152
追跡 151
表示 152
ドットファイル
CIFS クライアント上での表示 246
ドメイン
コントローラの選択 141
ストレージシステムの変更 63
接続の再確立 145
ドメインコントローラの検出処理の概要 141
優先コントローラの指定 143
優先コントローラの表示 144
ドメインコントローラ
CIFS, サポート対象 61
接続の追跡 321
認証方法 142
トラップ
SNMP, 監査イベント 302
トラバースチェックのバイパス
SFTP, 有効化と無効化 339
トレーシングフィルタ
権限について表示 162
権限用に追加 160
権限用の削除 161
な
名前形式
ドメイン 103
ドメイン以外 104
ホームディレクトリに対する指定 102
に
認証
FTP, 指定 325
HTTP 357
Kerberos 139
NTLM, 制限 326
UNIX 138
UNIX クライアント, LDAP の有効化 276
Windows クライアント, LDAP 用に有効化 276
Windows ワークグループ 139
クライアントの管理 276
方法, 表示 122
認証形式
SFTP 338
SFTP, 指定 339
認証ベース
制限 14
ね
ネイティブファイルブロッキング
使用 171
設定 172
定義 170
ネームサーバデータベース
キャッシュのフラッシュ 53
ネームサーバデータベースキャッシュ
仕組み 53
は
ハードマウント 37
パス名
設定要件 133
パスワード
管理, LDAP の設定 275
コンピュータアカウントの自動変更の設定 158
ストレージシステムのコンピュータアカウントの手
動変更 157
ハッシュ
Data ONTAP での BranchCache の管理方法 116
フラッシュされた BranchCache ハッシュ数の表示
119
無効になる理由 116
402 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
ハッシュのタイムアウト値
増やすタイミングの判断 119
ハッシュの統計
BranchCache 117
パフォーマンス
oplock によるクライアントパフォーマンスの向上
134
oplock リースによるクライアントパフォーマンスの
向上 134
アクセスキャッシュの最適化 25
ひ
表示
UNIX ファイルアクセスの詳細 305
HTTP サーバ接続情報の表示 365
HTTP サーバの統計 362
NFS 統計 38
oplock リースのステータス 136
永続性ハンドルの情報 71
グループポリシーオブジェクト（GPO） 131
パーミッショントレーシングフィルタ 162
ファイルサイズ別の BranchCache ハッシュ統計
118
ファイルシステムパス 22
ファイルシステムパスのエクスポートオプション 22
優先するドメインコントローラと LDAP サーバ 144
ふ
ファイアウォール
仮想 HTTP, 使用 356
ファイル
FTP 経由のアクセス 324
HTTP 経由のアクセス 348
SFTP ログの最大数の指定 342
SFTP ログの有効化と無効化 341
WebDAV 経由のアクセス 370
失われたレコードイベント 306
監査, アクセスの詳細 304, 305
失敗したアクセス試行 306
新規作成時の権限の指定 83
シンボリックリンクを使用しない 308
セキュリティ設定の表示 287
ファイルアクセス
NFS を使用 16
概要 14
制御 14
ファイル委譲
NFSv4 48
NFSv4, 管理 48
ファイルイベント 184
ファイルオープン操作
監視する FPolicy の設定 185
ファイルオープン要求
監視するための FPolicy の登録 185
ファイルオープン要求の監視
定義 184
ファイルおよびレコードロック, NFSv4 52
ファイル書き込み操作
監視する FPolicy の設定 192
ファイル書き込み要求
監視するための FPolicy の登録 192
ファイル書き込み要求の監視
定義 191
ファイル管理
Windows 管理ツールを使用 159
ファイル共有
NFS と CIFS 間 244
ファイルクローズ操作
監視する FPolicy の設定 188
ファイルクローズ要求
監視するための FPolicy の登録 188
ファイルクローズ要求の監視
定義 187
ファイル検索操作
監視する FPolicy の設定 201
ファイル検索要求
監視するための FPolicy の登録 201
ファイル検索要求の監視
定義 201
ファイル削除操作
監視する FPolicy の設定 190, 191
ファイル削除要求
監視するための FPolicy の登録 191
ファイル削除要求の監視
定義 190
ファイル作成操作
監視する FPolicy の設定 186
ファイル作成要求
監視するための FPolicy の登録 187
ファイルシステム ID（FSID） 41
ファイルシステムパス
エクスポート 18, 19
エクスポートオプションの表示 22
エクスポート解除 19, 20
索引 | 403
エクスポートまたはエクスポート解除 16
同期 20
表示 22
フェンシングの有効化と無効化 21
ファイルスクリーニング
サーバ情報の表示 217
サーバの接続の無効化 217
指定 177
ファイルスクリーニングサーバ
管理 217
ファイル操作 184
ファイルのシンボリックリンク操作
監視する FPolicy の設定 196
ファイルのシンボリックリンク要求
監視するための FPolicy の登録 196
ファイルのハードリンク操作
監視する FPolicy の設定 194, 195
ファイルのハードリンク要求
監視するための FPolicy の登録 195
ファイルベース
制限 14
ファイルポリシー
削除 179
作成 176
情報の表示 178
無効化 179
有効化 177
ファイル名
CIFS クライアントで大文字で作成されないようにす
る 315
NFS と CIFS 244
大文字と小文字の区別 244
小文字での作成 245
作成 245
使用できる文字 244
長さ 244
文字の制限事項 247
文字変換の有効化 246
ファイル名変更操作
監視する FPolicy の設定 189
ファイル名変更要求
監視するための FPolicy の登録 190
ファイル名変更要求の監視
定義 189
ファイル要求の監視
定義 186
ファイル読み取り操作
監視する FPolicy の設定 193
監視するための FPolicy の登録 194
ファイル読み取り要求の監視
定義 193
ファイルロック
SFTP, 有効化と無効化 338
解除 249
指定した所有者の解除 252
指定したホストの解除 250
説明 248
ファイルに対する解除 249
フィルタファイル
NFS 監査イベントの制御 293
フェンシング
有効化と無効化 21
複数サーバ構成
定義 169
プリンシパル
作成 32
プロトコル
BranchCache をサポート 112
SMB 2.x の無効化 70
SMB 2.x の有効化 70
サポートされる SMB 2.1 の拡張機能 69
サポート対象 14
プロトコルモード
変更 64
分散キャッシュモード
BranchCache 108
クライアントでのコンテンツの取得方法 111
利点 108
ほ
ポート
LDAP 用に指定 275
非予約からのマウント要求の拒否 38
ホームディレクトリ
CIFS, 共有のエイリアスを使用したアクセス 106
SFTP 優先パスの指定 340
UNC を使用した指定, 構文 105
WebDAV, アクセス 371
拡張子を使用する場合のサブディレクトリの作成
104
管理 98
他のユーザによるアクセスの許可 105
定義 99
ディレクトリの作成 103, 104
名前形式の指定 102
404 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
パスの指定 101
パスの表示 102
無効化 107
ホームディレクトリの制限
STFP, 有効化と無効化 340
ホスト型キャッシュモード
BranchCache 108
クライアントでのコンテンツの取得方法 111
利点 108
ボリューム
除外リストからの削除 208
除外リストの設定 209
除外リストのリセット 210
除外リストへの追加 207
対象リストからの削除 208
対象リストの設定 209
対象リストのリセット 210
対象リストへの追加 207
対象リストまたは除外リストからの削除 208
対象リストまたは除外リストでの指定または置き換
え 210
対象リストまたは除外リストへの追加 207
表示 206
文字マッピングの削除 248
ワイルドカードを使用したスクリーニング 205
ま
マウント 37
マウントサービス統計
表示 36
マウントポイント
NFSv4 pseudo-fs による影響 43
マウント問題
デバッグ 36
マウント要求
トレース 37
非予約ポートからの拒否 38
マシンアカウント
Kerberos 環境でのアクセスに使用 147
データアクセスの防止 147
マッピング
UNIX 名を UID および GID へ 264
Windows アカウントからルート 263
マッピングの不整合 320
ユーザを LDAP で 277
マッピングエントリ
SID と名前, 有効期間の変更 268
WAFL クレデンシャルキャッシュからの削除 317
WAFL クレデンシャルキャッシュへの追加 316
有効時間の設定 317
マッピングキャッシュ
SID と名前, 管理 267
SID と名前, 消去 268
SID と名前, 有効化と無効化 268
マルチプロトコル
変更, 影響 65, 66
む
無効化
BranchCache, 動作 120
CIFS 154
FPolicy 175
FTPS, 明示的 345
FTP サーバ 324
HTTP 348
LDAP の SSL 273
NFSv2 39
NFSv3 39
NFSv4 44
oplock 135
oplock リース 135
SMB 2.x 70
TFTP サーバ 324
vStorage 40
WebDAV 371
Windows ゲストユーザアカウント 266
暗黙的 FTPS 346
デフォルトの UNIX ユーザアカウント 265
フェンシング 21
め
明示的
FTPS 344
FTPS, 許可と禁止 345
メッセージ
ユーザへの送信 156
も
文字の制限事項
ファイル名 247
文字変換
ファイル名に対する有効化 246
索引 | 405
文字マッピング
ボリュームからの削除 248
文字列
NFSv4 ユーザおよびグループ ID の許可 54
NFSv4 ユーザおよびグループ ID の拒否 54
ゆ
有効化
FPolicy 175
FTPS, 明示的 345
FTP サーバ 324
HTTP 348
LDAP の SSL 273
NFSv2 39
NFSv3 39
NFSv4 44
NFS の Kerberos 33
oplock 135
oplock リース 135
SMB 2.x 70
TFTP サーバ 324
vStorage 40
WebDAV 371
Windows ゲストユーザアカウント 266
暗黙的 FTPS 346
デフォルトの UNIX ユーザアカウント 265
ファイル名の文字変換 246
フェンシング 21
ユーザ
CLI による切断 154
FTP, 制限 328
FTP, ブロック 327
null, 共有へのアクセス権の付与 146
指定 150
制限 328
メッセージの送信 156
ローカル, アカウントの追加、表示、削除 122
ローカル, 管理 121
ローカルアカウントの制限 122
ユーザ ID
NFSv4 を文字列として許可 54
NFSv4 を文字列として拒否 54
ユーザ ID ドメイン
NFSv4 の指定 44
ユーザアカウント
UNIX, 有効化と無効化 265
Windows ゲストの有効化と無効化 266
ユーザアカウント名
Windows, 指定 66
ユーザマッピング
LDAP, ベースと範囲の指定 278
ユーザ名
UNIX, UID および GID へのマッピング 264
Windows と UNIX 間の変換 257
管理, LDAP 用の指定 274
マッピング 262
よ
要件
BranchCache の実装 112
CIFS サーバ名 62
GPO の使用 126
用語集 376
よくある質問
FPolicy 223
FPolicy, アクセス 225
FPolicy, 全般 223
FPolicy, パフォーマンス 225
FPolicy, ファイルスクリーニング 226
FPolicy サーバ 228
読み取り専用のドメインコントローラ
認証方法 142
読み取り専用ビット
説明 253
ファイルの削除 254
読み取りファイル委譲
NFSv4, 有効化と無効化 49
ら
ライセンス
設定 16, 60
り
リセット
HTTP 統計 364
リソース
CIFS, 制限 153
リモートプロシージャコール（RPC） 164
リンク操作
監視する FPolicy の設定 194, 195
リンク要求
監視 194
406 | Data ONTAP 8.1 7-Mode ファイルアクセスおよびプロトコル管理ガイド
る
ルートディレクトリ
HTTP, 指定 349
WebNFS での有効化 58
WebNFS の設定 58
WebNFS の名前の指定 58
れ
列挙
アクセスベース, Windows クライアントからのコマン
ドの実行 87
アクセスベース, 定義 86
アクセスベース, 有効化と無効化 86
レポート
ファイルサイズ別の BranchCache ハッシュ統計の
生成 118
ろ
ローカルユーザアカウント
作成が必要な場合 121
ログ
外部イベント, 場所の指定 297
ログイン
CIFS, 追跡 321
ログファイル
FTP, 管理 329
FTP, 最大サイズの指定 331
FTP, 最大数の指定 331
FTP, 表示 330
HTTP, 最大サイズの指定 349
SFTP の最大数の指定 342
SFTP の有効化と無効化 341
SFTP 用の最大サイズの指定 342
サイズと形式 296
ロック
解除する理由 249
指定した所有者の解除 252
指定したホストの解除 250
ネットワークファミリに基づく解除 253
ファイルに対する解除 249
プロトコルに基づく解除 252
ロックの解除
指定した所有者 252
指定したホスト 250
ネットワークファミリに基づく 253
ファイル 249
プロトコル 252
理由 249
ロック猶予期間
NFSv4, 指定 53
ロックリース期間
NFSv4, 指定 52
わ
ワイドリンク
有効化と無効化 82, 106
ワイルドカード
スクリーニングに使用 205, 211

Download Report