NetApp ONTAP9でCIFS/NFS共有を作った時に、指定ディレクトリに対してアクセスできるかどうかをNetApp側で確認する手法
export policy上でクライアントIPからのアクセスを許可しているか確認
export policy上で、該当IPアドレスからのアクセスを受け付ける設定になっているかを確認
「vserver export-policy check-access」を使用する。
CIFSアクセスの確認
ontap-select-cluster::> vserver export-policy check-access -vserver svm0 -volume testvol -qtree ntfs-test1 -client-ip 172.17.44.50 -authentication-method ntlm -protocol cifs -access-type read-write
Policy Policy Rule
Path Policy Owner Owner Type Index Access
----------------------------- ---------- --------- ---------- ------ ----------
/ default svm0_root volume 1 read
/testvol testvol testvol volume 8 read
/testvol/ntfs-test1 testvol ntfs-test1
qtree 8 read-write
3 entries were displayed.
ontap-select-cluster::>
上記の場合、/testvol/ntfs-test1 ディレクトリに対する読み書きが許可されている、ということになる。
NFSアクセスの確認
ontap-select-cluster::> vserver export-policy check-access -vserver svm0 -volume testvol -qtree ntfs-test1 -client-ip 172.17.44.50 -authentication-method sys -protocol nfs4 -access-type read-write
Policy Policy Rule
Path Policy Owner Owner Type Index Access
----------------------------- ---------- --------- ---------- ------ ----------
/ default svm0_root volume 1 read
/testvol testvol testvol volume 8 read
/testvol/ntfs-test1 testvol ntfs-test1
qtree 8 read-write
3 entries were displayed.
ontap-select-cluster::>
上記の場合、/testvol/ntfs-test1 ディレクトリに対する読み書きが許可されている、ということになる。
該当ディレクトリ/ファイルの権限確認
NetApp上のパスを指定して、そこに与えられている権限がどのようになっているかを確認する。
「vserver security file-directory show」コマンドを使う。
NTFS/mixedの場合
ontap-select-cluster::> vserver security file-directory show -vserver svm0 -path /testvol/ntfs-test1
Vserver: svm0
File Path: /testvol/ntfs-test1
File Inode Number: 966
Security Style: mixed
Effective Style: ntfs
DOS Attributes: 10
DOS Attributes in Text: ----D---
Expanded Dos Attributes: -
UNIX User Id: 0
UNIX Group Id: 0
UNIX Mode Bits: 777
UNIX Mode Bits in Text: rwxrwxrwx
ACLs: NTFS Security Descriptor
Control:0x8004
Owner:BUILTIN\Administrators
Group:BUILTIN\Administrators
DACL - ACEs
ALLOW-Everyone-0x1f01ff
ALLOW-Everyone-0x10000000-OI|CI|IO
ontap-select-cluster::>
Windowsからアクセスした際、該当ファイルの所有者がAdministratorsになっていて、Everyoneに対するアクセスが許可されている、というのが分かる
NFSの場合
ontap-select-cluster::> vserver security file-directory show -vserver svm0 -path /testvol/test
Vserver: svm0
File Path: /testvol/test
File Inode Number: 96
Security Style: unix
Effective Style: unix
DOS Attributes: 10
DOS Attributes in Text: ----D---
Expanded Dos Attributes: -
UNIX User Id: 0
UNIX Group Id: 0
UNIX Mode Bits: 777
UNIX Mode Bits in Text: rwxrwxrwx
ACLs: -
ontap-select-cluster::>
UNIXからNFSでアクセスした際に、777権限なので誰でも読み書き可能であることがわかる。
ユーザ名の変換について
UNIX上のユーザ名とWindows上のユーザ名の変換状況を確認しつつ、該当ディレクトリ/ファイルにアクセスできるかを確認するには「vserver security file-directory show-effective-permissions」を使用する。
NTFS/mixedの場合
/testvol/ntfs-test1 にUNIXからrootユーザでアクセスできるか、WindowsからAdministratorユーザでアクセスできるかをそれぞれ確認するには、下記の様に実行する。
unixのrootユーザを指定していても「Windows User Name」としてADOSAKANAドメインのAdministrator相当である、と認識されているし、逆にAdministratorを指定していてもUNIX rootユーザ相当であると認識されている。
ontap-select-cluster::> vserver security file-directory show-effective-permissions -vserver svm0 -path /testvol/ntfs-test1 -unix-user-name root
Vserver: svm0
Windows User Name: ADOSAKANA\Administrator
Unix User Name: root
File Path: /testvol/ntfs-test1
CIFS Share Path: -
Effective Permissions:
Effective File or Directory Permission: 0x1f01ff
Read
Write
Append
Read EA
Write EA
Execute
Delete Child
Read Attributes
Write Attributes
Delete
Read Control
Write DAC
Write Owner
Synchronize
ontap-select-cluster::> vserver security file-directory show-effective-permissions -vserver svm0 -path /testvol/ntfs-test1 -win-user-name administrator
Vserver: svm0
Windows User Name: administrator
Unix User Name: root
File Path: /testvol/ntfs-test1
CIFS Share Path: -
Effective Permissions:
Effective File or Directory Permission: 0x1f01ff
Read
Write
Append
Read EA
Write EA
Execute
Delete Child
Read Attributes
Write Attributes
Delete
Read Control
Write DAC
Write Owner
Synchronize
ontap-select-cluster::>
NFSの場合
このユーザ名変換の確認の動作は、Secutiry Styleがntfs/mixedかNFSは差が無いようだ。
ontap-select-cluster::> vserver security file-directory show-effective-permissions -vserver svm0 -path /testvol/test1 -unix-user-name root
Vserver: svm0
Windows User Name: ADOSAKANA\Administrator
Unix User Name: root
File Path: /testvol/test1
CIFS Share Path: -
Effective Permissions:
Effective File or Directory Permission: 0x11f01ff
Read
Write
Append
Read EA
Write EA
Execute
Delete Child
Read Attributes
Write Attributes
Delete
Read Control
Write DAC
Write Owner
Synchronize
System Security
ontap-select-cluster::> vserver security file-directory show-effective-permissions -vserver svm0 -path /testvol/test1 -win-user-name ADOSAKANA\administrator
Vserver: svm0
Windows User Name: ADOSAKANA\administrator
Unix User Name: root
File Path: /testvol/test1
CIFS Share Path: -
Effective Permissions:
Effective File or Directory Permission: 0x11f01ff
Read
Write
Append
Read EA
Write EA
Execute
Delete Child
Read Attributes
Write Attributes
Delete
Read Control
Write DAC
Write Owner
Synchronize
System Security
ontap-select-cluster::>
