PowerStore 1000T

Dell PowerStore 1000T 仕様

  • こんにちは!Dell EMC PowerStoreのセキュリティ構成ガイドに関するご質問にお答えします。このガイドには、アクセス制御、データ暗号化、監査、SupportAssistなどの重要なセキュリティ機能に関する詳細な説明が含まれています。どのようなご質問でもお気軽にお尋ねください!
  • 工場出荷時のデフォルト管理者アカウントとパスワードは何ですか?
    PowerStore X modelのアプライアンス上のESXiのデフォルトrootパスワードはどうやって確認しますか?
    ユーザーアカウントの役割と権限はどのように管理しますか?
    静止データ暗号化を有効にするにはどうすればよいですか?
    SupportAssistとは何ですか?
Dell EMC PowerStore
セキュリティ構成ガイド
1.x
July 2020
Rev. A02
メモ、注意、警告
メモ: 製品を使いやすくするための重要な情報を明しています。
注意: ドウェアの損傷やデタの損失の可能性を示し、その危を回避するための方法を明しています。
警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。
© 2020 Dell Inc. またはその社。DellEMCおよびその他の商標は、Dell Inc. またはその子社の商標です。その他の商標は、それぞれの
所有者の商標である場合があります。
連資料.........................................................................................................................................5
1: 認証とアクセス........................................................................................................................ 6
アカウント、役割、限の認証と管理を行う..............................................................................................6
工場出荷時デフォルトの管理..................................................................................................................................... 6
セッション規則...............................................................................................................................................................7
名とパスワドの使用....................................................................................................................................7
ESXi パスワ.............................................................................................................................................................. 7
役割と.......................................................................................................................................................................8
役割の限に基づくユ アカウント管理........................................................................................................11
管理者アカウントとサビス アカウントのパスワドのリセット.................................................................. 11
証明書................................................................................................................................................................................... 13
証明書を表示する.........................................................................................................................................................13
クラスター内 PowerStore アプライアンス間のセキュアな通信..........................................................................14
レプリケションとデ インポトのためのセキュアな通信.............................................................................14
vSphere Storage API for Storage Awareness のサポ.............................................................................................14
CHAP 認証............................................................................................................................................................................15
CHAP を構成する............................................................................................................................................................... 16
外部 SSH アクセス............................................................................................................................................................. 16
外部 SSH アクセスの構成.................................................................................................................................................17
SSH セッション.............................................................................................................................................................17
ビス アカウントのパスワ............................................................................................................................ 17
SSH 認証......................................................................................................................................................................... 17
アプライアンス ビス スクリプト...................................................................................................................... 18
アプライアンス Ethernet ビス トと IPMItool.............................................................................. 18
NFS セキュア.......................................................................................................................................................................18
ファイル システム オブジェクトにするセキュリティ..........................................................................................19
マルチプロトコル環境のファイル システム アクセス............................................................................................. 20
マッピング.................................................................................................................................................... 20
NFSSMBFTP のアクセス ポリシ.................................................................................................................. 25
ファイル レベル セキュリティの認証情報............................................................................................................ 25
CAVACommon AntiVirus Agent)について................................................................................................................27
ド署名........................................................................................................................................................................... 27
2: 通信のセキュリティの設定...................................................................................................... 28
トの使用.......................................................................................................................................................................28
アプライアンス ネットワ ...................................................................................................................... 28
ファイルに連するアプライアンスのネットワ ............................................................................. 30
PowerStore X モデル アプライアンスに連するネットワ ...........................................................33
3: 監査......................................................................................................................................35
監査.......................................................................................................................................................................................35
4: セキュリティ設定......................................................................................................... 36
目次
目次 3
止デタ暗...............................................................................................................................................................36
化のアクティブ化..................................................................................................................................................... 36
化ステタス...............................................................................................................................................................36
管理............................................................................................................................................................................... 37
ストア バックアップ ファイル............................................................................................................................... 37
化が有であるアプライアンスでのドライブの.......................................................................................38
化が有なシステムのベ エンクロジャとノドの交換........................................................................38
アプライアンスを工場出荷時設定にリセットする....................................................................................................38
5: 安全な保守設定......................................................................................................................39
運用にする明: SupportAssist
..............................................................................................................................39
SupportAssist オプション.................................................................................................................................................40
SupportAssist Gateway Connect オプション.................................................................................................................41
SupportAssist Direct Connect オプション......................................................................................................................41
SupportAssist Gateway Connect の要件.........................................................................................................................42
SupportAssist Direct Connect の要件..............................................................................................................................42
SupportAssist を設定する.................................................................................................................................................42
SupportAssist の構成......................................................................................................................................................... 42
A: TLS スイ................................................................................................................44
サポトされている TLS スイ......................................................................................................................... 44
4 目次
改善努力の一環として、ソフトウェアおよびハドウェアのリビジョンを定期的にリリスしています。本書で明されている機
能の中には、現在お使いのソフトウェアまたはハドウェアの一部のバジョンによってサポトされていないものがあります。製
品のリリ トには、製品の機能にする最新情報が載されています。製品が正常に機能しない、またはこのマニュアルの
明どおりに動作しない場合には、テクニカル サポ プロフェッショナルにお問い合わせください。
問い合わせ先
サポト情報、製品情報、ライセンス情報は、次の場所で入手できます。
製品情報
製品および機能のドキュメントまたはリリ トについては、www.dell.com/powerstoredocs で[PowerStore
Documentation]ペジを照してください。
トラブルシュティング
製品、ソフトウェア アップデト、ライセンス、ビスの詳細については、www.dell.com/support にアクセスし、する製
品サポトペジを照してください。
テクニカル サポ
テクニカル サポトおよびサビス リクエストについては、www.dell.com/support にアクセスし、Service Requests ジを
照してください。サビス リクエストを利用するには、なサポト契約が結ばれている必要があります。有なサポ
契約を結ぶ方法の詳細や、アカウントにするご質問については、セルス担者にお問い合わせください。
前書き
連資料 5
認証とアクセス
この章では、次の情報について明します。
トピック:
アカウント、役割、限の認証と管理を行う
証明書
クラスター内 PowerStore アプライアンス間のセキュアな通信
レプリケションとデ インポトのためのセキュアな通信
vSphere Storage API for Storage Awareness のサポ
CHAP 認証
CHAP を構成する
外部 SSH アクセス
外部 SSH アクセスの構成
NFS セキュア
ファイル システム オブジェクトにするセキュリティ
マルチプロトコル環境のファイル システム アクセス
CAVACommon AntiVirus Agent)について
ド署名
アカウント、役割、限の認証と管理を行う
クラスタへのアクセスの認証は、 アカウントの認証情報に基づいて行されます。ユ アカウントは、Users
で作成され、その後、管理されます。このペジには、PowerStore Manager Settings > Users > Users でアクセスできます。適
用される許可は、ユ アカウントに連づけられた役割に基づいています。ユがクラスタのネットワ アドレスを
Web ブラウザ URL として指定すると、ログイン ジが表示され、ロカル として認証できます。ユが入力す
る認証情報が認証され、システム上でセッションが作成されます。その後、は、に割りてられた役割の機能
クラスタの監視と管理を行うことができます。
クラスタは、管理サとの安全な接を介してユ名とパスワドを証することによりユを認証します。
工場出荷時デフォルトの管理
アプライアンスは、アプライアンスに初めてアクセスして構成する際に使用するデフォルトのユ アカウント設定が行われた
態で出荷されます。
メモ: リリ 1.0.x PowerStore の初期構成には、APIコマンド ライン インタフェイスCLIビス スクリプト イン
フェイスを使用するよりも、PowerStore Manager UI を使用することが推されます。これにより、すべてのデフォルトの
パスワドが確更されます。
アカウント タイプ パスワ
システム管理 admin Password123# デフォルトのパスワドのリセット、アプライアン
ス設定の構成、 アカウントの管理を行うた
めの Administrator 限。
ビス service service 保守作業の行用。
メモ: ビス は、セキュア シェル
SSHアクセスのために存在しています。ただ
し、サビス を使用して PowerStore
Manager にログインすることはできません。
1
6 認証とアクセス
セッション規則
クラスタ上のセッションには、次の特性があります。
期限は 1 時間。
メモ: セッションが 1 時間非アクティブになると、ユは自動的にクラスタからログオフします。
セッション タイムアウトは構成できない。
名とパスワドの使用
システム アカウントのユ名は、次の要件をたしている必要があります。
制限 名の要件
構造 先頭と末尾の文字は英字である必要があります。
すべてのユ名は大文字と小文字が別されます。
字の最小 1
字の最大 64
サポトされる特殊文字: .(ドット)
システム アカウントのパスワドは、次の要件をたしている必要があります。
制限 パスワドの要件
文字の最小 8
大文字の最小 1
小文字の最小 1
字の最小 1
特殊文字の最小
使用可能な文字:! @ # $ % ^ * _ ~ ?
メモ: パスワドには、一重引用符'アンパサンド&
またはスペス文字を含めることはできません。
1
文字の最大 40
メモ: 最新の 5 つのパスワドは、再使用することができません。以前のパスワドを再使用できるのは、パスワドを 5 回以
上、更した後です。
ESXi パスワ
PowerStore X model アプライアンス上の ESXi のデフォルト root パスワドは、次の形式になっています:<Service_Tag>123!
<Service_Tag>はアプライアンスの 7 文字のサビス タグ)
初期のクラスタ構成が完了するまでは、ESXi のデフォルト パスワドを更しないでください。ESXi のパスワドの更につい
て詳しくは、VMware ESXi のマニュアルを照してください。
注意: ESXi のパスワドは紛失しないようにしてください。ESXi がダウンした際にパスワドが分からない場合は、アプライ
アンスを再初期化する必要があります。この動作は ESXi にとって正常ですが、パスワドを紛失したために再初期化すると、
タが失われる可能性があります。
注意: ESXi のデフォルト パスワドは、PowerStore X model アプライアンスごとに個別に構成されます。アプライアンス
のノドが vCenter クラスタに追加されると、このパスワドが ESXi ホストでの認証に使用されます。クラスタが完全に
構成される前にデフォルト パスワドを更した場合は、アプライアンスを再初期化する必要があります。
認証とアクセス 7
役割と
ルベスのアクセス制御により、にさまざまな限を付することができます。これにより、スキルセットや責任に適
合するように管理者の役割を分離することができます。
システムでは、次の役割と限がサポトされています。
メモ: のある欄は、その役割で限がサポトされていることを示し、空欄は、その役割で限がサポトされていないこ
とを示しています。
タスク オペレ VM 管理者 セキュリティ管
理者
ストレジ管理者 管理者
システムのロカル パスワドの
システム設定、ステタス、パフ
マンス情報の表示
システム設定の
リソスと保護ポリシの作成、
更、削除、および SSH の有
/
vCenter への接
カル アカウントのリストの表
カル アカウントの追加、削除、
システムの VASA プロバイダ
されている vCenter
を介したシステム ストレジ情報
の表示と、VMware 認証局
VMCA/CA 証明書の登/再登
ファイルに
連する役割と
システムでは、次のような、ファイルに連する役割と限がサポトされています。
メモ: のある欄は、その役割で限がサポトされていることを示し、空欄は、その役割で限がサポトされていないこ
とを示しています。
タスク オペレ VM 管理者 セキュリティ管
理者
ストレジ管理者 管理者
次の項目を表示します。
ファイル システム アラ
NAS リスト
ファイル システム リスト
ファイル クォ
スト
ファイル インタフェイス
リスト
ファイル インタフェイス
スト
8 認証とアクセス
タスク オペレ VM 管理者 セキュリティ管
理者
ストレジ管理者 管理者
SMB 共有リスト
NFS エクスポ リスト
次の項目を表示します。
ファイル DNS のリス
トまたは指定した DNS
ファイル FTP のリス
トまたは指定した FTP
ファイル インタフェイスの
リストまたは指定したファイ
インタフェイス
ファイル インタフェイス
トのリストまたは指定した
インタフェイス
ファイル Kerberos
リストまたは指定した
Kerberos
ファイル LDAP のリ
ストまたは指定した LDAP
ファイル NDMP のリ
ストまたは指定した NDMP
ファイル NIS のリス
トまたは指定した NIS
ファイル システムのリストま
たは指定したファイル システ
ファイル ツリ クォタのリ
ストまたは指定したファイル
ツリ クォ
ファイル クォタの
リストまたは指定したユ
クォ
ファイル ウイルス チェッカ
のリストまたは指定したファ
イル ウイルス チェッカ
NAS のリストまたは
指定した NAS
NFS エクスポトのリストま
たは指定した NFS エクスポ
NFS のリストまたは
指定した NFS
SMB のリストまたは
指定した SMB
SMB 共有のリストまたは指定
した SMB 共有
指定した
NAS の追加、
更、削除、Ping、または指定した
NAS へのパスワド、ホ
スト、グルプのアップロ
指定した NAS のパスワ
ドまたはホストの表示
認証とアクセス 9
タスク オペレ VM 管理者 セキュリティ管
理者
ストレジ管理者 管理者
ファイル システムの追加、または
存の NAS にある指定し
たファイル システムの更や削
指定したファイル システムに
するクロンやスナップショット
の追加、指定したファイル システ
ムの更新やリストア、または指定
したファイル システムのクォ
の更新
ファイル ツリ クォタの追加、
または指定したファイル ツリ
クォタの更、削除、更新
ファイル クォタの追
加、または指定したファイル
クォタの更、削除、更新
ファイル ウイルス チェッカ
追加、指定したファイル ウイルス
チェッカ更、削除、または
指定したファイル ウイルス チェ
ッカ構成のアップロ
指定したファイル ウイルス チェ
ッカ構成のダウンロ
SMB NFS の追加、また
は指定した SMB NFS
更、削除、加、分離
SMB 共有の追加、または指定した
SMB 共有の更、削除
NFS エクスポトの追加、または
指定した NFS エクスポトの
更、削除
ファイル インタフェイスの追
加、または指定したファイル イン
フェイスの更、削除
ファイル インタフェイス
トの追加、または指定したファイ
インタフェイス トの
更、削除
ファイル DNSファイル FTP
ァイル Kerberosファイル LDAP
ファイル NDMP、ファイル NIS
の追加、または指定したフ
ァイル DNSファイル FTPファ
イル Kerberos、ファイル LDAP
ファイル NDMP、ファイル NIS
更、削除
ファイル Kerberos タブのア
ップロ
ファイル Kerberos タブのダ
ウンロ
ファイル LDAP 構成または LDAP
証明書のアップロ
10 認証とアクセス
タスク オペレ VM 管理者 セキュリティ管
理者
ストレジ管理者 管理者
ファイル LDAP 証明書のダウンロ
役割の限に基づくユ アカウント管理
管理者またはセキュリティ管理者の役割を持つユは、ユ アカウント管理にして次の操作を行できます。
新規ユ アカウントを作成する。
組みみの管理者アカウント以外のすべてのユ アカウントを削除する。
メモ: 組みみの管理者アカウントは削除できません。
別のユを任意の役割に更する。
別のユのパスワドをリセットする。
別のユ アカウントをロックするか、アンロックする。
メモ: 管理者またはセキュリティ管理者の役割を持つログイン中のユは、自分のアカウントをロックできません。
ログインしているユは自分のユ アカウントを削除できません。また、セキュリティ管理者または管理者の役割を持つ
を除き、ログインしているユは自分のパスワドのみを更できます。ユがパスワドを更するには、自分
の古いパスワドを入力する必要があります。ログインしているユは、自分のパスワドのリセット、自分の役割の更、
らに自分のアカウントのロックまたはアンロックはできません。
組みみの管理者アカウント プロファイル(管理者の役割を持つ)は、編集することも、ロックすることもできません。
の役割またはロックのステタスが更されるとユは削除されます。また、セキュリティ管理者または管理者によっ
てパスワドが更されると、そのユ連づけられているすべてのセッションは無になります。
メモ: がセッションの自分のパスワドを更新した場合、セッションは有のままになります。
管理者アカウントとサビス アカウントのパスワドのリセット
アプライアンスには、デフォルトの管理者ユ アカウントがあり、これにより初期構成を行できます。また、デフォルトの
ビス アカウントも含まれており、これにより門的なサビス機能を行できます。REST API やコマンド ライン
ンタフェイス(CLI)などの別の方法ではなく、まず PowerStore Manager UI を使用して PowerStore を構成することを推しま
す。PowerStore Manager UI を使用することで、すべてのデフォルトのパスワドが確更されます。新しいパスワドを忘れ
た場合は、パスワドをデフォルト値にリセットできます。
これらのパスワドをリセットする方法は、アプライアンスが PowerStore T model PowerStore X model のどちらであるかによっ
て異なります。アプライアンスに対応する方法を使用して、管理者、サビス、またはその方のパスワドをリセットします。
PowerStore T model アプライアンスでの管理者アカウント パスワドとサビス
アカウント パスワドのデフォルト値へのリセット
このタスクについて
PowerStore T model アプライアンスの場合、管理者またはサビス のパスワドをリセットする主な方法は、USB ドライ
ブを使用することです。サポトされているファイルシステムには、FAT32 ISO 9660 が含まれます。
メモ: アプライアンスがサビス ドになっているときにパスワドをリセットするには、次のように手順が 1 つ異なりま
す。USB リセット プロセスを各ノドに適用します。このアクションでシステムが標準モドにり、PowerStore Manager
のログイン時に、管理者とサビス 方の新しいパスワドを入力するように求められます。
手順
1. USB ドライブがフォマットされている場合は、次のステップに進みます。それ以外の場合は、 format <d:> /FS:FAT32
などのコマンド プロンプトを使用してドライブをフォマットします。
ここで、d:は、ノトパソコンまたは PC 入された USB ドライブのドライブ レタです。
認証とアクセス 11
2. 次のコマンドでラベルを設定します。
label d:
RSTPWD
メモ: アプライアンスでは、RSTPWD ラベルのない USB ドライブはマウントされません。USB ドライブにラベルを付けた
後、リセットするアカウント パスワド用の空のファイルを入します。管理者パスワド、サビス アカウント パスワ
ド、またはその方をリセットすることができます。
3. ドライブ上に空のファイルを作成するには、必要にじて次のコマンドのいずれかまたは方を使用します。
copy NUL d:\admin
copy NUL d:\service
4. アプライアンスのいずれかのノドの USB トに USB ドライブを入し、10 秒間待ってから取り外します。
これで、リセットした各アカウントのパスワドがデフォルト値になります。
5. クラスタ IP アドレスを使用して、ブラウザを介してクラスタに接し、デフォルトの初期パスワド(Password123
#)を使用して管理者としてログインします。
管理者パスワド、サビス パスワド、またはその方をリセットするプロンプトが表示されます。セキュア シェル(SSH
を使用してサビス パスワドをリセットする場合、サビス アカウントの初期デフォルト パスワドは service です。
6. デフォルトから、ユが指定したパスワドに管理者パスワドを更します。
7. 管理者パスワドとは異なるサビス アカウント パスワドを設定する場合は、連するチェックボックスをオフにします。
タスクの結果
この手順を行した後も、ログイン試行時にパスワドのリセットを求められない場合は、サビス プロバイダにお問い合わせ
ください。
PowerStore X model アプライアンスでの管理者アカウント パスワドとサビス
アカウント パスワドのデフォルト値へのリセット
前提
プライマリ アプライアンスのプライマリ ド名(たとえば、PSTX-44W1BW2-A および PowerStore D6013)を確認します。
必要にじて、reset.iso ファイルを生成します。
このタスクについて
PowerStore X model アプライアンスの場合は、ISO イメジを使用して vSphere からマウントします。事前に作成されたイメ
ファイルは www.dell.com/support からダウンロドできます。また、どのパスワドをリセットする必要があるかにじて、次の
タッチ コマンドのいずれかまたは方を使用して、Linux システムから自のイメジを作成することもできます。
mkdir iso
touch iso/admin
touch iso/service
mkisofs -V RSTPWD -o reset.iso iso
メモ: vSphere から仮想 CD としてマウントするには、ISO イメジ、reset.iso がデタストアに存在している必要がありま
す。
メモ: アプライアンスがサビス ドになっているときにパスワドをリセットするには、次のように手順が 2 つ異なりま
す。パブリック タストアを使用できないため、まず、ISO イメジをコントロ仮想マシン(VM)自体の PRIVATE-
C9P42W2.A.INTERNAL タストアにアップロドする必要があります。次に、reset.iso ファイルをアップロドして、
ントロ VM A B 方に適用します。このアクションでシステムが標準モドにり、PowerStore Manager
クセスが利用可能になり、管理者とサビス 方の新しいパスワドを入力するように求められます。
手順
1. vSphere Storage で、お使いの PowerStore X model アプライアンスを選します。
12 認証とアクセス
例:DataCenter-WX-D6013 > PowerStore D6013
2. Files ISOs を選します。
3. Upload を選し、reset.iso ファイルwww.dell.com/support にある事前作成みのイメ ファイル、または Linux システ
ムで自身で作成したイメ ファイルのいずれか)をアップロドします。
reset.iso ファイルが ISOs フォルダに表示されます。
4. vSphere Host and Clusters で、クラスター内のプライマリ PowerStore X model アプライアンスのプライマリ ドを選
します。
例:DataCenter-WX-D6013 > Cluster WX-D6013 > PSTX-44W1BW2-A
5. Summary CD/DVD drive 1 をクリックして、Connect to datastore ISO file を選します。
Choose an ISO image to mount ウィンドウが表示されます。
6. Datastores でクラスター内のプライマリ PowerStore X model アプライアンスをクリックして、ISOs フォルダを選しま
す。
reset.iso ファイルは Contents に表示されます。
7. reset.iso ファイルを選し、OK をクリックします。
Summary CD/DVD drive 1 で約 10 Connected と表示され、その後 Disconnected わります。クラスタ管理者パス
ドかサビス パスワド、またはその方がデフォルトにリセットされます。
8. クラスタ IP アドレスを使用して、ブラウザを介してクラスタに接し、デフォルトの初期パスワド(Password123
#)を使用して管理者としてログインします。
管理者パスワド、ビス パスワド、またはその方をリセットするプロンプトが表示されます。SSH を使用してサビス
パスワドをリセットする場合、サビス アカウントの初期デフォルト パスワドは service です。
9. デフォルトから、ユが指定したパスワドに管理者パスワドを更します。
10. 管理者パスワドとは異なるサビス アカウント パスワドを設定する場合は、連するチェックボックスをオフにします。
タスクの結果
この手順を行した後も、ログイン試行時にパスワドのリセットを求められない場合は、サビス プロバイダにお問い合わせ
ください。
証明書
PowerStore の証明書ストアのデタは永的です。証明書ストアには、次のタイプの証明書が保存されます。
CA(認証局)の証明書
クライアント証明書
証明書
証明書を表示する
このタスクについて
アプライアンスに保存されている各証明書について、PowerStore Manager に次の情報が表示されます。
Service
Type
Scope
Issued by
Valid
Valid to
Issued to
メモ: 追加の証明書情報を表示するには、REST API または CLI を使用します。
証明書情報を表示するには、次の操作を行します。
手順
1. PowerStore Manager を起動します。
認証とアクセス 13
2. Settings をクリックし、Support Certificates をクリックします。
アプライアンスに保存されている証明書にする情報が表示されます。
3. 1 つの証明書を構成する一連の証明書とサビスの連情報を表示するには、該するサビスをクリックします。
View Certificate Chain が表示され、証明書を構成する一連の証明書についての情報が一表示されます。
クラスター内 PowerStore アプライアンス間のセキュア
な通信
クラスタの作成時に、クラスタ マスタ アプライアンスのプライマリ ドは、クラスタ CA とも呼ばれる認証局(CA
証明書を作成します。マスタ アプライアンスによって、クラスタ CA 証明書が、クラスタ加するアプライアンスに渡さ
れます。
クラスター内の各 PowerStore アプライアンスは、クラスタ CA 証明書によって署名される固有の IPsec 証明書を生成します。
PowerStore アプライアンスがそのクラスタ ネットワク上で送信する機密デタは IPsec TLS で保護されるため、デタのセ
キュリティと整合性は確保されます。
レプリケションとデ インポトのためのセキュアな
通信
PowerStore の証明書と認証情報インフラストラクチャにより、サとクライアントの証明書およびユ資格情報の交換が
可能になります。このプロセスには、以下が含まれます。
TLS ハンドシェイク中のサ証明書の取得と
リモ システムから認証情報ストアへの信頼済 CA 証明書の追加
認証情報ストアへの信頼済みサ/クライアント証明書の追加
が確立された後の安全な接の確立への支援
PowerStore は、次の証明書管理機能をサポトしています。
レプリケションについては、2 つの PowerStore クラスタ間での証明書の交換による信頼済み管理通信の確立。PowerStore
クラスタ間のレプリケションを容易にするために、クラスタ間に方向信を確立して、レプリケション REST 制御リク
エストの行時に方向 TLS 認証が行われるようにする必要があります。
タのインポトについては、証明書、およびデタ保全を備えた認証情報交換による、Dell EMC ストレ システム
VNXUnityStorage CenterSCPeer StoragePS)システム)と PowerStore クラスタの間で安全な接の確立。
vSphere Storage API for Storage Awareness のサポ
vSphere Storage API for Storage AwarenessVASA)は、VMware が定義した、特定のベンダに依存しないストレジ認識 API
す。VASA プロバイダは、着信 VASA API リクエストを理するために協力して動作する複のコンポネントで構成されていま
す。すべての着信 VASA API を受信する VASA API トウェイは、PowerStore クラスター内のプライマリ アプライアンス(フ
ティング管理 IP を所有するもの)に導入されます。ESXi ホストおよび vCenter Server は、VASA プロバイダに接し、利用
可能なストレ トポロジ機能、ステタスにする情報を取得します。次に、vCenter Server は、この情報を vSphere クライ
アントに提供します。VASA は、PowerStore Manager クライアントではなく、VMware クライアントによって使用されます。
vSphere は、この VASA プロバイダ インスタンスを、クラスタ VASA 情報のプロバイダとして構成する必要があり
ます。主要なアプライアンスがダウンした場合は、連するプロセスが VASA プロバイダとともに、次のプライマリとなるア
プライアンスで再開されます。IP アドレスは自動的にフェイルオします。部的には、新しくアクティブになった VASA
ロバイダからの構成の更イベントをプロトコルが取得したときに、障害が認識されますが、これによってユ介入を必要と
せずに VASA オブジェクトの自動再同期化が行されます。
PowerStore は、vSphere 6.5 および 6.7 VASA 3.0 インタフェイスを提供します。
VASA 3.0 は、Virtual VolumesVVols)をサポトしています。VASA 3.0 は、VVols やストレ コンテナなど、ストレジの抽象
化にクエリ行するためのインタフェイスをサポトしています。この情報は、ストレジのポリシスの管理SPBM
で仮想ドライブの配置およびコンプライアンスにする決定を行うために役立ちます。VASA 3.0 は、仮想ドライブのバックアップ
に使用される VVols のライフサイクルのプロビジョニングおよび管理を行うためのインタフェイスもサポトしています。こう
したインタフェイスは、VMware ESXi ホストによって直接起動されます。
14 認証とアクセス
VASAvSphereVVols の詳細については、VMware のドキュメントおよび PowerStore Manager オンライン ヘルプを照してくだ
さい。
VASA 連する認証
vCenter から PowerStore Manager VASA プロバイダへの接を開始するには、vSphere クライアントを使用して、次の情報を入力
します。
VASA プロバイダ URLVASA 3.0 のフォマット、https://<管理 IP アドレス>:8443/version.xml を使用します。
PowerStore Manager (役割が VM 管理者または管理者)のユ名。
メモ: VM 管理者ロルは密に、証明書を登する手段として使用されます。
そのユ連づけられているパスワド。
ここで使用される PowerStore Manager 認証情報は、接のこの最初のステップでのみ使用されます。PowerStore Manager 認証情
報がタゲット クラスタに有である場合は、vCenter Server の証明書が自動的にクラスタに登されます。この証明書を使用
して、vCenter からの以降のすべてのリクエストが認証されます。この証明書を VASA プロバイダにインストルまたはアップ
ドするために手動の操作は必要ありません。この証明書が期限切れになった場合、新しいセッションをサポトするために
vCenter で新しい証明書を登する必要があります。証明書がユによって取り消された場合、セッションは無化され、
は切されます。
vCenter セッション、安全な接と認証情報
vCenter セッションは、vSphere 管理者が vSphere クライアントを使用して、VASA プロバイダ URL とログイン認証情報を
vCenter Server に入力したときに開始されます。vCenter Server は、この URL認証情報、VASA プロバイダ SSL 証明書を使用
して、VASA プロバイダとの安全な接を確立します。vCenter セッションは、次のいずれかのイベントが生すると終了しま
す。
管理者が vSphere クライアントを使用して、vCenter の構成から VASA プロバイダを削除し、vCenter Server が接を終了し
たとき。
vCenter Server または vCenter Server ビスが失敗し、接が終了したとき。vCenter または vCenter Server ビスが SSL
を再確立できない場合は、新しいサビスを起動します。
VASA プロバイダが失敗し、接が終了したとき。VASA プロバイダが開始すると、SSL および VASA セッションを再
確立するために、vCenter Server からの通信に答できます。
vCenter セッションは、vCenter Server VASA プロバイダの間のセキュア HTTPS 通信を基にしています。VASA 3.0 では、
vCenter Server VMware 認証局(VMCAとして動作します。VASA プロバイダは、リクエストの許可後、リクエストにじて
自己署名された証明書を送信します。そして、VMCA 証明書をトラストストアに追加した後、証明書署名リクエストを行し、
己署名された証明書を VMCA 署名証明書にリプレスします。以降の接は、以前に登したルト署名証明書と照合して確認さ
れたクライアントの Storage Monitoring ServiceSMS証明書を使用して VASA プロバイダによって認証されます。VASA プロバ
イダは、ストレ エンティティ オブジェクトの一意の識別子を生成し、vCenter Server は、この識別子を使用して、特定の
エンティティのデタをリクエストします。
VASA プロバイダは、VASA セッションを確認するために SSL 証明書および VASA セッション識別子を使用します。セッションの
確立後、VASA プロバイダ vCenter Server からの各関数呼び出しに連づけられた SSL 証明書および VASA セッション識別子
方を確認する必要があります。VASA プロバイダは、そのトラストストアに格納された VMCA 証明書を使用して、vCenter
SMS からの関数呼び出しに連づけられた証明書を確認します。VASA セッションは、 SSL 間で継続されます。SSL
がドロップすると、vCenter Server は同じ VASA セッションのコンテキストで SSL を再確立するために VASA プロバイダ
して SSL ハンドシェイクを行します。SSL 証明書の有期限が切れた場合、vSphere 管理者は新しい証明書を生成する必要
があります。vCenter Server は新しい SSL を確立し、VASA プロバイダに新しい証明書を登します。
注意: SMS は、3.0 VASA プロバイダして unregisterVASACertificate 関数を呼び出しません。したがって、登
解除した後でも、VASA プロバイダ SMS から取得した VMCA 署名み証明書を引きき使用できます。
CHAP 認証
チャレンジ ハンドシェイク認証プロトコル(CHAP)は、iSCSI イニシエ(ホスト)とタゲット(ボリュムとスナップシ
ョット)を認証する方法です。CHAP では、iSCSI ストレジが公開され、セキュアな標準ストレ プロトコルが確保されます。
認証は、パスワドと同に、認証システムとピアの方が知っているシクレットを使用して行われます。CHAP プロトコルに
は、次の 2 つのタイプがあります。
方向 CHAP 認証では、iSCSI ゲットがイニシエを認証できます。イニシエは、(標準モドまたは出モドに
より)タゲットに接しようとする際に、ユ名とパスワドをタゲットに提供します。
認証とアクセス 15
方向 CHAP 認証は、方向 CHAP に加えて適用されます。方向 CHAP では、iSCSI ゲットとイニシエが相互に認
証を行うことができます。グルプによって示される各 iSCSI ゲットは、iSCSI イニシエによって認証されます。イニ
シエがタゲットに接しようとする際に、タゲットは、ユ名とパスワドをイニシエに提供します。イニ
シエは、提供されたユ名とパスワドを、自身が持つ情報と比較します。情報が一致した場合は、イニシエ
ゲットに接できます。
メモ: 環境 CHAP を使用する場合は、CHAP 認証をセットアップして有にしてから、タを受信するボリュムを準備
することをおめします。CHAP 認証を設定して有化する前にデタを受信するようにドライブを準備すると、ボリュムへ
のアクセスが失われる可能性があります。
PowerStore iSCSI CHAP 出モドをサポトしていません。次の表は iSCSI CHAP 出モドに連する PowerStore の制限事
項を示しています。
1. iSCSI CHAP 出モドの制限事項
CHAP シングル ド(イニシエが有 相互モド(イニシエとタゲット
が有
PowerStore はホストの認証(チャレンジ)
を行いません。認証を使用してタゲッ
トの出を妨げることはできません。こ
れによって、 タへの意しな
いアクセスが生することはありません。
PowerStore はホストからの認証リクエス
(チャレンジ)には答せず、ホストが
PowerStore にチャレンジする場合、
は失敗します。
標準 予期したとおりに作動します。認証情報
PowerStore によりテストされます。
予期したとおりに作動します。認証情報
PowerStore により送されます。
スとタゲットのアプライアンス間のリモ レプリケションでは、証と更新のプロセスによって、ロカル システムと
リモ システムでの更が出され、デタ接が再確立されます。このとき、CHAP 設定も考慮されます。
CHAP を構成する
PowerStore クラスタでは、CHAP 方向(イニシエが有認証または方向(イニシエとタゲット)認証を有
にすることができます。CHAP は、1 つのアプライアンスまたは複 PowerStore アプライアンスと外部ホストのクラスター実
して有にすることができます。
方向認証が有である場合、外部ホストが追加されるときに、各イニシエのユ名とパスワドの入力が必要になりま
す。方向認証が有である場合は、クラスタのユ名とパスワドの入力も必要になります。ホストを追加し、CHAP を有
にしてイニシエを追加する場合、イニシエのパスワドは一意である必要があります。同じホストの複のイニシ
に同じパスワドを使用することはできません。外部ホストの CHAP 構成の構成方法の詳細は、況により異なります。
この機能を使用するには、ホストのオペレティング システムと、その構成方法を熟知している必要があります。
メモ: システムでホストが構成された後に CHAP を有にすると、外部ホストが停止する結果となります。外部ホストとアプ
ライアンスの方で構成が設定されるまで、I/O の中生します。CHAP 構成を装する場合は、CHAP 構成タイプを決定
してから、外部ホストをアプライアンスに追加することをおめします。
ホストを追加した後に CHAP を有化する場合は、各ホストのイニシエを更新します。CHAP が有である場合は、CHAP
証情報がないホスト グルプにホストを追加することはできません。CHAP を有にし、後でホストを追加する場合は、
PowerStore Manager でホストを手動で登Compute Hosts & Host Groups を選)します。認証を使用するには、iSCSI
ベルで認証情報を入力する必要があります。この場合は、ホストから IQN をコピしてから、各イニシエ CHAP 認証
情報を追加します。
次のいずれかの方法を使用してクラスタ CHAP を構成します。
CHAPPowerStore Manager から設定ペジにアクセスします(Settings をクリックし、Security CHAP を選
REST API アプリケション インタ フェイスで、CHAP の設定を構成するための REST API リクエストを受け取りま
す。REST API の詳細については、PowerStore REST API Reference Guide 照してください。
CHAP のステタスを特定するには、PowerStore Manager Settings をクリックし、Security CHAP を選します。
外部 SSH アクセス
各アプライアンスはオプションで、アプライアンスの IP アドレスの SSH トに外部セキュア シェル(SSH)がアクセスできる
ようにすることができます。これにより、は、アプライアンスのプライマリ ドのサビス機能を使用できます。アプ
16 認証とアクセス
ライアンスの IP アドレスは、プライマリ指定の更にって、アプライアンスの 2 つのノド間でフロティングします。外部
SSH が無化されている場合、SSH アクセスは許可されません。
アプライアンスが最初に起動し、構成されていない際は、SSH はデフォルトで有になります。これにより、アプライアンスは、
クラスタに追加される前に問題が生した場合でもサビスを行できるようになります。新しいクラスタが作成された場合、
またはクラスタへの加操作では、すべてのアプライアンスで SSH の初期設定が無である必要があります。
外部 SSH アクセスの構成
次のいずれかの方法を使用して、クラスター内のアプライアンスへの外部 SSH アクセスを構成します。
SSH ManagementPowerStore Manager からアクセスできる SSH 設定ペジ(Settings をクリックし、Security SSH
Management を選
REST API :アプリケション インタフェイスで、SSH の設定を構成するための REST API リクエストを受け取りま
す。REST API の詳細については、PowerStore REST API Reference Guide 照してください。
svc_service_config - アプライアンスにサビス として直接入力できるサビスコマンド。このコマンドの詳細に
ついては、PowerStore Service Scripts Guide 照してください。
クラスター内のアプライアンスでの SSH のステタスを特定するには、PowerStore Manager Settings をクリックし、Security
SSH Management を選します。選した 1 つまたは複のアプライアンスで SSH を有にしたり、にしたりすることも
できます。
SSH ビスが正常に有化されたら、任意の SSH クライアントを使用してアプライアンスの IP アドレスにログインします。ア
プライアンスにアクセスするには、サビス の認証情報が必要です。
ビス アカウントを使用して、ユは次の機能を行できます。
アプライアンス システムの設定とオペレションを監視およびトラブルシュティングするためにアプライアンス ビス
クリプトを行します。
制限付きシェル ドでは、のない Linux アカウントのメンバとして割りてられた、限定セットのコマンドの
みを操作します。このアカウントには、用のシステム ファイル、構成ファイル、ユ/お客タなどにするアクセ
はありません。
アプライアンスのセキュリティを最大限に高めるために、外部 SSH ビス インタフェイスは、アプライアンスで特に行しな
ければならないサビス操作がある場合を除き、常に無にしておくことをおめします。必要なサビス操作を行したら、SSH
インタフェイスを無にして、アプライアンスの安全性を確保します。
SSH セッション
PowerStore SSH ビス インタフェイス セッションは、SSH クライアントによって確立された設定に基づいて維持されます。セ
ッションの特性は、SSH クライアント構成設定によって決まります。
ビス アカウントのパスワ
ビス アカウントは、基本的な Linux コマンドを行するためにサビス担者が使用できるアカウントです。
アプライアンスの初期構成時に、デフォルトのサビス パスワドを更する必要があります。サビス パスワドへの制限事項
は、システム管理アカウントに適用される制限事項と同じです(名とパスワドの使用 p. 7 照)
SSH 認証
ビス アカウント認証は、次のものに基づいています。
アプリケション分離:PowerStore ソフトウェアは、アプリケション分離を提供するコンテナ テクノロジを使用します。
ビス コンテナはアプライアンス ビスへのアクセスを提供し、ビス スクリプトのセットと Linux コマンドのセット
のみを使用できます。サビス アカウントには、ファイル システムを提供しユへの I/O をブロックする他のコンテナ
アクセスする機能はありません。
Linux ファイル システムの限:ほとんどの Linux ルとユティリティは、何らかの方法でシステム オペレションを
更するものであり、サビス しては使用できません。これには、ス アカウントの限が必要です。
ビス アカウントにはこれらの限がないため、ビス アカウントでは、行に必要なアクセス限がない Linux のツ
やユティリティの使用や、み取りや更に root アクセスを必要とする構成ファイルの編集はできません。
認証とアクセス 17
アクセス制御コンテナ テクノロジによって提供されるアプリケション分離に加えて、アプライアンス上のアクセス制御
リスト(ACL)メカニズムでは、サビス アカウントによるシステム リソスへのアクセスを明示的に許可または拒否する、
非常に特殊なルルのリストを使用します。標準の Linux ファイル システム限によって定義されない、アプライアンスの他の
領域にするサビス アカウント限は、これらの規則によって指定されます。
アプライアンス ビス スクリプト
アプライアンスのソフトウェア ジョンには、問題の診システム構成、システム リカバリする一連のスクリプトがイ
ンストルされています。これらのスクリプトを使用すると、PowerStore Manager を使用した場合よりも、さらに詳しい情報を
集し、より深いレベルのシステム制御を行うことができます。PowerStore Service Scripts Guide では、これらのスクリプトとその
一般的な使用例について明します。
アプライアンス Ethernet ビス トと IPMItool
ご使用のアプライアンスは、各ノドの Ethernet ビス トを介したコンソ アクセスを提供します。このアクセスには、
IPMItool を使用する必要があります。IPMItool は、SSH Telnet に似たネットワ ルであり、IPMI プロトコルを使用して、
Ethernet を介した各ノドとのインタフェイスを確立します。IPMItool は、アプライアンスのノ コンソルにアクセスす
るための安全な通信チャネルをネゴシエトする Windows ティリティです。このユティリティでは、コンソルをアクテ
ィブ化するために物理アクセスが必要です。
Ethernet ビス インタフェイスでは、サビス SSH インタフェイス(サビス LAN インタフェイス)と同じ
機能が提供され、同じ制限が適用されます。ただし、ユはインタフェイスにアクセスするために、SSH クライアントでは
なく Ethernet ト接を使用します。このインタフェイスはフィルド ビス担者向けに設計されており、ネットワ
を妨害することなくアプライアンスに接できます。用の管理コンソルは必要ありません。
このインタフェイスは、直接的なポイントツポイントでルティング不可能な接を提供します。サビス担者は、コンソ
ルの出力にサビス LAN インタフェイスを使用して、PowerStore ビス コンテナ PowerStore ManagerICW(初期構成ウ
ィザド)を含む) SSH アクセスできます。サビス LAN インタフェイスを介したサビス コンテナへの SSH アクセスは常
に有であり、無にすることはできません。ただし、サビス アカウントの認証情報は管理できます。
ビス スクリプトのリストについては、PowerStore Service Scripts Guide 照してください。
NFS セキュア
NFS セキュアでは、NFSv3 および NFSv4 でユを認証するために Kerberos を使用します。Kerberos は、整合性(署名)とプ
ライバシ(暗化)を提供します。整合性とプライバシは有化に必須ではなく、NFS のエクスポ オプションです。
Kerberos を使用しない場合、サはユ認証についてクライアントに全く依存することになります。サはクライアン
トを信します。Kerberos を使用する場合、サ KDC(キ配布センタ)を信します。KDC は、認証を理し、アカウ
ント(プリンシパル)とパスワドを管理します。さらに、パスワドが送信されることもありません。
Kerberos を使用しない場合、の認証情報が暗化されずに送信されるため、になりすましの被害に遭います。Kerberos
を使用すると、 ID(プリンシパル)は暗化された Kerberos のチケットに含まれ、それをみ取れるのはタゲット
KDC だけです。暗化キを知ることができるのは、ここだけです。
NFS セキュアに連して、Kerberos では AES128 および AES256 化がサポトされます。NFS セキュアとともに、SMB LDAP
にインパクトをえます。これらの暗化は、Windows および Linux でデフォルトでサポトされています。これらの新しい暗
化は非常に安全ですが、それを使用するかどうかはクライアントにかかっています。サはそのユ プリンシパルからア
クティブ Unix ディレクトリ ビス(UDS)をクエリして、ユの認証情報を構築します。NIS はセキュアでないため、
NFS セキュアと使用することは推されません。Kerberos LDAP または LDAPS 用することがめられています。
NFS セキュアは、PowerStore Manager を使用して構成できます。
ファイル プロトコルの
Kerberos を使用するには、次が必要です。
DNSIP アドレスの代わりに DNS 名を使用する必要があります。
NTPPowerStore には NTP が構成されている必要があります。
メモ: Kerberos を使用するには、ネットワクで KDC、サ、クライアントの時刻が正確に同期されている必要があり
ます。
18 認証とアクセス
UDS:認証情報の構築用。
ホスト名:Kerberos は、IP アドレスではなく、名前を使用します。
NFS では、ホスト名の値にじて、1 つまたは 2 つのサビス プリンシパル名(SPN)を使用します。ホスト名が完全修飾ドメイ
ン名形式である host.domain の場合:
短い SPNnfs/host@REALM
長い SPNnfs/host.domainFQDN@REALM
ホスト名が完全修飾ドメイン名形式でない場合、短い SPN のみが使用されます。
SMB と同に、SMB をドメインに結合できるように、NFS をレルムKerberos でドメインに相に結合するこ
とができます。これには 2 つのオプションがあります。
構成された Windows ドメインがある場合はそれを使用します
UNIX KDC スの Kerberos レルムを全部構成します
管理者が、構成された Windows ドメインを使用するよう選した場合、ほかに行うことはありません。NFS ビスで使用される
すべての SPN は、SMB /加解除時に、KDC に自動的に追加/削除されます。NFS セキュアが SMB 構成を使用する
よう構成されている場合、SMB は破棄できないことにご注意ください。
管理者が、UNIX スの Kerberos レルムを使用するよう選した場合、さらに構成する必要があります。
レルム名:Kerberos レルムの名前で、一般にすべて大文字です。
UNIX KDC スの Kerberos レルムを全部構成します。
クライアントが特定のセキュリティで NFS エクスポトをマウントできるよう、セキュリティ パラメsec)が提供されて
おり、どの最小限のセキュリティが許可されているかを示します。セキュリティには 4 種類のあります。
AUTH_SYS標準的な従来のセキュリティです。Kerberos を使用しません。サはクライアントが提供する認証情報を信
します。
KRB5Kerberos v5 を使用した認証
KRB5iKerberos の認証および整合性(署名)
KRB5pKerberos の認証および整合性とプライバシ(暗化)
NFS クライアントが、構成されている最小限のセキュリティを下回っているセキュリティでエクスポトをマウントした場合、ア
クセスは拒否されます。たとえば、最小限のアクセスが KRB5i の場合、AUTH_SYS または KRB5 を使用したマウントはすべて拒否
されます。
認証情報の作成
がシステムに接すると、そのシステムのプリンシパルである user@REALM のみが表示されます。これは、Kerberos チケ
ットから抽出されています。AUTH_SYS セキュリティとは異なり、認証情報は NFS リクエストに含まれません。プリンシパルから
の部分(@の前)が抽出され、対応する UID UDS 索するために使用されます。その UID から、システムはアクティ
UDS を使って認証情報を作成します。これは NFS 認証情報が有な場合と同です(例外は、Kerberos がない場合、UID
はリクエストによって直接提供されます)
プリンシパルが UDS でマッピングされていない場合、構成されたデフォルト UNIX の認証情報が代わりに使用されます。
デフォルト UNIX が設定されていない場合、使用される認証情報は nobody のものとなります。
ファイル システム オブジェクトにするセキュリティ
マルチプロトコル環境では、セキュリティ ポリシはファイル システム レベルで設定されて、ファイル システムごとに立して
います。各ファイル システムはアクセス ポリシを使用して、NFS SMB との間のアクセス制御セマンティックの違いを解決す
る方法を判別します。アクセス ポリシを選することで、特定のファイル システムでファイル セキュリティを適用するために
使用するメカニズムが決定します。
メモ: ご自分の環境で古い SMB1 プロトコルをサポトする必要がある場合、svc_nas_cifssupport ビス コマンドを使
用して有にできます。このサビス コマンドの詳細については、PowerStore Service Scripts Guide 照してください。
UNIX セキュリティ モデル
UNIX ポリシを選した場合、SMB プロトコルからのファイル レベル セキュリティの更、ACL(アクセス制御リスト)への
更の試行は無視されます。UNIX のアクセスは、ファイルシステム オブジェクトのモ ビットまたは NFSv4 ACL と呼ばれま
す。モ ビットは、ビット文字列で表されます。各ビットは、ファイルを所有するユファイル システム オブジェクトに
認証とアクセス 19
連づけられているグルプ、その他のすべてのユに許可されているアクセス ドまたは限を表します。UNIX のモ
ビットは、ユのカテゴリ(ユ、グルプ、その他)ごとに連結された 3 文字 rwxみ取り、書きみ、行)の 3
個のセットとして表されます。ACL は、ビスへのアクセスの許可や拒否を制御するためのユとユ グルプのリスト
です。
Windows セキュリティ モデル
Windows セキュリティ モデルは、SD(セキュリティ ディスクリプタ)およびその ACL の使用を含み、主にオブジェクト
位に基づきます。SMB ポリシを選した場合、NFS プロトコルのモ ビットにする更は無視されます。
ファイル システム オブジェクトへのアクセスは、限がセキュリティ ディスクリプタを使用して許可または拒否に設定されて
いるかどうかにより異なります。SD は、オブジェクトの所有者とグル SIDその ACL を記述します。ACL は、各オブジェクト
のセキュリティ ディスクリプタの一部です。各 ACL には、ACE(アクセス制御エントリ)が含まれます。各 ACE には、ユ
、グルプ、コンピュを示す SID、その SID で拒否または許可されている限のリストが含まれます。
マルチプロトコル環境のファイル システム アクセス
ファイル アクセスは NAS を使用して提供されます。NAS バには、タが格納される一連のファイル システムが含ま
れます。NAS バでは、SMB 共有および NFS 共有を使用してファイル システムを共有することによって、NFSSMB ファイル
プロトコルのこのデタへのアクセスを提供します。マルチプロトコル共有の NAS ドでは、SMB NFS 間の同じデ
タの共有が可能です。マルチプロトコル共有モドではファイル システムへの同時 SMB および NFS アクセスを提供するため、
Windows UNIX へのマッピング、使用するセキュリティ ル(モ ビット、ACL、ユ資格情報)の定
義を考慮に入れ、マルチプロトコル共有用に適切に構成する必要があります。
メモ: マルチプロトコル共有、 マッピング、アクセス ポリシ資格情報にする NAS の構成および
管理については、PowerStore Manager オンライン ヘルプを照してください。
マッピング
マルチプロトコル コンテキストでは、Windows UNIX と一致する必要があります。ただし、UNIX
Windows にマッピングする必要があるのは、アクセス ポリシ Windows である場合のみです。この一致が必要なのは、
プロトコルにしてネイティブでない場合でも、ファイル システムのセキュリティを適用させるためです。ユ マッピングに
は次のコンポネントが必要です。
UNIX ディレクトリ ビスまたはロカル ファイル、もしくはその
Windows リゾルバ
secmap(セキュア マッピング)SID NAS によって使用される UID または GID との間のすべてのマッピングを格納す
るキャッシュです。
ntxmap
メモ: マッピングは、SMB のロカルのユまたはグルプには影響しません。
UNIX ディレクトリ ビスとロカル ファイル
UDSUNIX ディレクトリ ビス)とロカル ファイルを使用して、以下が行われます。
特定の UID(ユ識別子)の場合、対応する UNIX アカウント名を返す。
特定の UNIX アカウント名の場合、する UID およびプライマリ GID(グルプ識別子)を返す。
サポトされるサビスとは、次のとおりです。
LDAP
NIS
カル ファイル
なし(考えられるマッピングは、デフォルトのユを介したものだけです)
マルチプロトコル共有が有のときは、NAS して、1 つの UDS を有にするか、ロカル ファイルを有にするか、
またはロカル ファイルと UDS 方を有にする必要があります。NAS Unix ディレクトリ ビスのプロパティ
によって、ユ マッピングにどれを使用するかが決定します。
20 認証とアクセス
/