18 ネットワーク・ファイル・システム(NFS)の概要
ノート:
OFSサーバーによりエクスポートされるOracleオブジェクトには、クライアント・マシンにそれらのオブジェクトをマウントしてNFSクライアントからアクセスできます。内容は次のとおりです。
18.1 NFSサーバーによるストレージへのアクセスの前提条件
NFSサーバーによるストレージへのアクセスの前提条件は次のとおりです。
-
OFSを使用する前にDBFSファイル・システムを作成する必要があります。
-
データベースでエクスポートされるファイル・システムをマウントできる必要があります。
-
NFSサーバーを
KERNELモジュールで設定する必要があります。ノート:
KERNELモジュールはLinux用FUSEドライバでサポートされます。
18.2 NFSセキュリティ
Oracle Database 12c リリース2 (12.2.0.1)以降では、OFSはOS認証モデルを使用してNFSクライアント・ユーザーを認証します。ユーザーがローカル・ノード(Oracleインスタンスが実行されている)にアクセスしている場合、ファイル・システム内の各ファイルへのアクセスは各オブジェクトに設定されているUNIXアクセス制御リストで制御されます。Linuxでは、OFSはFUSEを使用してOSカーネルまたはNFSクライアントからファイル・システム要求を取得します。このためには、rootユーザー以外のOSユーザーとOracleユーザーがファイル・システムにアクセスする必要がある場合に、/etc/fuse.conf設定ファイルにuser_allow_otherパラメータを設定する必要があります。
ノート:
ユーザーがOracleパスワードを使用してSQL* PlusなどのOracleクライアント・ツールにログインしてSQLを実行できるように設定することもできます。
ネットワークが安全でない場合、Kerberosを設定してOS NFSを使用してユーザーを認証することをお薦めします。
ノート:
-
Kerberos認証はNFSバージョン4以降で使用できます。OFSがNFSバージョン3経由でエクスポートされた場合、認証は
AUTH_SYSを使用して実行されます。 -
ローカル・ノードでは、OFSのエクスポート方法(NFSバージョン3またはNFSバージョン4)に関係なく、
AUTH_SYSを使用して認証が実行されます。
この項の内容は、次のとおりです。
18.2.1 Kerberos
Kerberosは、3種類のセキュリティをすべて提供する広く普及しているセキュリティ・メカニズムです。
-
認証
-
整合性チェック
-
プライバシ
Kerberosは暗号化テクノロジKey Distribution Center(KDC)を使用し、オープン・ネットワークでセキュアな認証を実行する仲裁者の役割を果たします。Kerberosインフラストラクチャは、Kerberosソフトウェア、セキュアな認証サーバー、集中管理されたアカウントおよびパスワード・ストア、Kerberosプロトコルによる認証が設定されたシステムで構成されています。OS NFSサーバーは、Kerberosプリンシパル名をユーザー名として使用して完全な認証と整合性チェックを処理します。認証が実行されると、Oracleカーネルに渡される要求はVFS I/O要求を通じて渡されるユーザー名に基づいて処理されます。
内容は次のとおりです。
18.2.1.1 LinuxでのKerberosサーバーの構成
LinuxシステムでKerberosサーバーを構成するステップは次のとおりです。
-
LinuxシステムにKerberosソフトウェアをインストールします。
-
次のコマンドを使用して、デーモンが実行されているかどうかを確認します。
# /sbin/chkconfig krb5kdc on # /sbin/chkconfig kadmin on -
デーモンが実行されていない場合は、次のコマンドを使用してデーモンを手動で起動します。
# /etc/rc.d/init.d/krb5kdc start # /etc/rc.d/init.d/kadmin start -
kadmin.localコマンドを使用して、ユーザー・プリンシパルを追加します。例:kadmin.local: addprinc <scott>