Go to main content
Oracle® ZFS Storage Appliance セキュリティーガイド、Release OS8.7.0

印刷ビューの終了

更新: 2017 年 3 月
 
 

アイデンティティーマッピング

クライアントは、SMB または NFS を使用して Oracle ZFS Storage Appliance 上のファイルリソースにアクセスすることができ、それぞれ一意のユーザー識別子を持っています。SMB/Windows ユーザーはセキュリティー記述子 (SID) を保持し、UNIX/Linux ユーザーはユーザー ID (UID) を保持します。ユーザーは、グループ SID (Windows ユーザーの場合) またはグループ ID (GID) (UNIX/Linux ユーザーの場合) で識別されるグループのメンバーになることもできます。

両方のプロトコルを使用してファイルリソースにアクセスする環境で望ましいのは、ID の等価性を確立することであり、その場合には、たとえば UNIX ユーザーは Active Directory ユーザーと同等になります。これは、アプライアンスでファイルリソースへのアクセス権を特定する上で重要です。

Active Directory、LDAP、NIS などのディレクトリサービスを含む、異なるタイプのアイデンティティーマッピングが存在します。使用するディレクトリサービスのセキュリティー面でのベストプラクティスに、注意深く従ってください。

UNIX 用 ID 管理

Microsoft では、UNIX 用 ID 管理 (IDMU) と呼ばれる機能を提供しています。このソフトウェアは Windows Server 2003 で使用でき、Windows Server 2003 R2 以降にバンドルされています。これは、かつてアンバンドル形式の Services For Unix と呼ばれていた機能の一部です。

IDMU の主な使用目的は、Windows を NIS/NFS サーバーとしてサポートすることです。IDMU を使用すると、管理者は多数の UNIX 関連パラメータ (UID、GID、ログインシェル、ホームディレクトリ、およびグループ関連の類似パラメータ) を指定できます。これらのパラメータは、AD で RFC 2307 に類似した (ただし同じではない) スキーマを介して使用できます。また、NIS サービスでも使用できます。

IDMU マッピングモードを使用すると、アイデンティティーマッピングサービスはこれらの UNIX 属性を使用して Windows ID と UNIX ID のマッピングを確立します。この方法はディレクトリベースのマッピングに非常によく似ていますが、アイデンティティーマッピングサービスはカスタムスキーマを許可するのではなく、IDMU ソフトウェアによって作成されたプロパティースキーマをクエリー検索する点が異なります。この方法を使用すると、ほかのディレクトリベースのマッピングは使用できなくなります。

ディレクトリベースのマッピング

ディレクトリベースのマッピングでは、ID が相手方プラットフォームの同等の ID にどのようにマップされるかについての情報を LDAP または Active Directory オブジェクトの注釈として付ける必要があります。オブジェクトに関連付けられるこれらの追加属性を構成する必要があります。

名前ベースのマッピング

名前ベースのマッピングには、ID を名前でマップするためのさまざまな規則を作成することも含まれます。これらの規則は、Windows ID と UNIX ID との等価性を確立します。

一時的なマッピング

名前ベースのマッピング規則が特定のユーザーに適用されない場合、拒否マッピングによってブロックされないかぎり、そのユーザーには一時的なマッピングを通じて一時的な資格が付与されます。一時的な UNIX 名を持つ Windows ユーザーがシステム上にファイルを作成すると、SMB を使用してそのファイルにアクセスする Windows クライアントは、ファイルがその Windows ID によって所有されていると認識します。しかし、NFS クライアントは「nobody」によって所有されていると認識します。