18 ネットワーク・ファイル・システム(NFS)の概要

NFSプロトコルは、ネットワーク上でストレージにアクセスするために広く使用されているファイル・システム・プロトコルです。

ノート:

OFSサーバーによりエクスポートされるOracleオブジェクトには、クライアント・マシンにそれらのオブジェクトをマウントしてNFSクライアントからアクセスできます。

トピック:

• NFSサーバーによるストレージへのアクセスの前提条件

• NFS セキュリティ

• NFSアカウントを使用したOFSへのアクセス
  OFSマウントは、指定したノードのリストにエクスポートし、それらにNFSマウントできます。これにより、ユーザーは、データベースが実行されていないノードからOFSマウント・ポイントのコンテンツにアクセスできます。NFSエクスポートは、セキュリティ上の理由からクラウド環境では機能しない場合がありますが、オンプレミス環境で使用できます。
• NFSサーバーによるストレージへのアクセスの前提条件
  
• NFS セキュリティ
  

18.1 NFSアカウントによるOFSへのアクセス

OFSマウントは、指定したノードのリストにエクスポートし、それらにNFSマウントできます。これにより、ユーザーは、データベースが実行されていないノードからOFSマウント・ポイントのコンテンツにアクセスできます。NFSエクスポートは、セキュリティ上の理由からクラウド環境では機能しない場合がありますが、オンプレミス環境で使用できます。

NFS v3はステートレス・プロトコルであり、opendirコールとreleasedirコールの間に各readdirリクエストをカプセル化します。これによって、多数のファイルがあるディレクトリをリストする場合、パフォーマンスが低下する可能性があります。したがって、OFSはopendirコールとreleasedirコールの間で持続するディレクトリ・キャッシュを維持します。no_rbt_cacheマウント・オプションは、ディレクトリ・キャッシュ・リストの不整合を回避したり、ディレクトリ・キャッシュの利点を利用するために使用しないでください。

18.2 NFSサーバーによるストレージへのアクセスの前提条件

NFSサーバーによるストレージへのアクセスの前提条件は次のとおりです。

• OFSを使用する前にDBFSファイル・システムを作成する必要があります。

• データベースでエクスポートされるファイル・システムをマウントできる必要があります。

• NFSサーバーをKERNELモジュールで設定する必要があります。

  ノート:

  KERNELモジュールはLinux用FUSEドライバでサポートされます。

18.3 NFSセキュリティ

Oracle Database 12c リリース2 (12.2.0.1)以降では、OFSはOS認証モデルを使用してNFSクライアント・ユーザーを認証します。ユーザーがローカル・ノード(Oracleインスタンスが実行されている)にアクセスしている場合、ファイル・システム内の各ファイルへのアクセスは各オブジェクトに設定されているUNIXアクセス制御リストで制御されます。Linuxでは、OFSはFUSEを使用してOSカーネルまたはNFSクライアントからファイル・システム要求を取得します。このためには、rootユーザー以外のOSユーザーとOracleユーザーがファイル・システムにアクセスする必要がある場合に、/etc/fuse.conf設定ファイルにuser_allow_otherパラメータを設定する必要があります。

ノート:

ユーザーがOracleパスワードを使用してSQL* PlusなどのOracleクライアント・ツールにログインしてSQLを実行できるように設定することもできます。

ネットワークが安全でない場合、Kerberosを設定してOS NFSを使用してユーザーを認証することをお薦めします。

ノート:

• Kerberos認証はNFSバージョン4以降で使用できます。OFSがNFSバージョン3経由でエクスポートされた場合、認証はAUTH_SYSを使用して実行されます。

• ローカル・ノードでは、OFSのエクスポート方法(NFSバージョン3またはNFSバージョン4)に関係なく、AUTH_SYSを使用して認証が実行されます。

この項の内容は、次のとおりです。

• Kerberosについて

• Kerberosについて
  Kerberosは暗号化テクノロジKey Distribution Center(KDC)を使用し、オープン・ネットワークでセキュアな認証を実行する仲裁者の役割を果たします。
• Kerberosサーバーの構成
  LinuxシステムでKerberosサーバーを構成するには:

18.3.1 Kerberosについて

Kerberosは暗号化テクノロジKey Distribution Center (KDC)を使用し、オープン・ネットワークでセキュアな認証を実行する仲裁者の役割を果たします。

Kerberosは、3種類のセキュリティをすべて提供する広く普及しているセキュリティ・メカニズムです。

• 認証

• 整合性チェック

• プライバシ

Kerberosインフラストラクチャは、Kerberosソフトウェア、セキュアな認証サーバー、集中管理されたアカウントおよびパスワード・ストア、Kerberosプロトコルによる認証が設定されたシステムで構成されています。OS NFSサーバーは、Kerberosプリンシパル名をユーザー名として使用して完全な認証と整合性チェックを処理します。認証が実行されると、Oracleカーネルに渡される要求はVFS I/O要求を通じて渡されるユーザー名に基づいて処理されます。

18.3.2 Kerberosサーバーの構成

LinuxシステムでKerberosサーバーを構成するには:

1. LinuxシステムにKerberosソフトウェアをインストールします。

2. 次のコマンドを使用して、デーモンが実行されているかどうかを確認します。

   # /sbin/chkconfig krb5kdc on
   # /sbin/chkconfig kadmin on

3. デーモンが実行されていない場合は、次のコマンドを使用してデーモンを手動で起動します。

   # /etc/rc.d/init.d/krb5kdc start
   # /etc/rc.d/init.d/kadmin start

4. kadmin.localコマンドを使用して、ユーザー・プリンシパルを追加します。

   例:

   kadmin.local: addprinc <scott>