18 ネットワーク・ファイル・システム(NFS)の概要
ノート:
OFSサーバーによりエクスポートされるOracleオブジェクトには、クライアント・マシンにそれらのオブジェクトをマウントしてNFSクライアントからアクセスできます。内容は次のとおりです。
18.1 NFSサーバーによるストレージへのアクセスの前提条件
NFSサーバーによるストレージへのアクセスの前提条件は次のとおりです。
-
OFSを使用する前にDBFSファイル・システムを作成する必要があります。
-
データベースでエクスポートされるファイル・システムをマウントできる必要があります。
-
NFSサーバーを
KERNEL
モジュールで設定する必要があります。ノート:
KERNEL
モジュールはLinux用FUSE
ドライバでサポートされます。
18.2 NFSセキュリティ
Oracle Database 12c リリース2 (12.2.0.1)以降では、OFSはOS認証モデルを使用してNFSクライアント・ユーザーを認証します。ユーザーがローカル・ノード(Oracleインスタンスが実行されている)にアクセスしている場合、ファイル・システム内の各ファイルへのアクセスは各オブジェクトに設定されているUNIXアクセス制御リストで制御されます。Linuxでは、OFSはFUSEを使用してOSカーネルまたはNFSクライアントからファイル・システム要求を取得します。このためには、root
ユーザー以外のOSユーザーとOracleユーザーがファイル・システムにアクセスする必要がある場合に、/etc/fuse.conf
設定ファイルにuser_allow_other
パラメータを設定する必要があります。
ノート:
ユーザーがOracleパスワードを使用してSQL* Plus
などのOracleクライアント・ツールにログインしてSQLを実行できるように設定することもできます。
ネットワークが安全でない場合、Kerberosを設定してOS NFSを使用してユーザーを認証することをお薦めします。
ノート:
-
Kerberos認証はNFSバージョン4以降で使用できます。OFSがNFSバージョン3経由でエクスポートされた場合、認証は
AUTH_SYS
を使用して実行されます。 -
ローカル・ノードでは、OFSのエクスポート方法(NFSバージョン3またはNFSバージョン4)に関係なく、
AUTH_SYS
を使用して認証が実行されます。
この項の内容は、次のとおりです。
18.2.1 Kerberos
Kerberosは、3種類のセキュリティをすべて提供する広く普及しているセキュリティ・メカニズムです。
-
認証
-
整合性チェック
-
プライバシ
Kerberosは暗号化テクノロジKey Distribution Center(KDC)を使用し、オープン・ネットワークでセキュアな認証を実行する仲裁者の役割を果たします。Kerberosインフラストラクチャは、Kerberosソフトウェア、セキュアな認証サーバー、集中管理されたアカウントおよびパスワード・ストア、Kerberosプロトコルによる認証が設定されたシステムで構成されています。OS NFSサーバーは、Kerberosプリンシパル名をユーザー名として使用して完全な認証と整合性チェックを処理します。認証が実行されると、Oracleカーネルに渡される要求はVFS I/O要求を通じて渡されるユーザー名に基づいて処理されます。
内容は次のとおりです。
18.2.1.1 LinuxでのKerberosサーバーの構成
LinuxシステムでKerberosサーバーを構成するステップは次のとおりです。
-
LinuxシステムにKerberosソフトウェアをインストールします。
-
次のコマンドを使用して、デーモンが実行されているかどうかを確認します。
# /sbin/chkconfig krb5kdc on # /sbin/chkconfig kadmin on
-
デーモンが実行されていない場合は、次のコマンドを使用してデーモンを手動で起動します。
# /etc/rc.d/init.d/krb5kdc start # /etc/rc.d/init.d/kadmin start
-
kadmin.local
コマンドを使用して、ユーザー・プリンシパルを追加します。例:kadmin.local: addprinc <scott>