SMB プロトコルは、Common Internet File System (CIFS) とも呼ばれ、Microsoft Windows ネットワーク上のファイルへの共有アクセスを主に提供します。さらに、認証も提供します。
次の SMB オプションには、セキュリティー上の意味があります。
リストを共有する匿名アクセスを制限 - このオプションでは、クライアントがシェアリストを受信する前に SMB を使用して認証を行う必要があります。このオプションが無効な場合、匿名クライアントはシェアリストにアクセスできます。このオプションは、デフォルトでは無効になっています。
SMB 署名が有効 - このオプションにより、SMB 署名機能を使用した SMB クライアントとの相互運用性が有効になります。このオプションを有効にすると、署名されたパケットの署名が検証済みになります。このオプションを無効にすると、無署名のパケットが署名の検証なしで受け入れられます。このオプションは、デフォルトでは無効になっています。
SMB 署名が必要 - SMB 署名が必要な場合に、このオプションを使用できます。このオプションを有効にすると、すべての SMB パケットを署名する必要があり、署名しない場合には拒否されます。SMB 署名をサポートしないクライアントは、サーバーに接続できません。このオプションは、デフォルトではオフになっています。
アクセスベースの列挙を有効化 - このオプションを設定すると、クライアントの資格に基づいてディレクトリエントリがフィルタ処理されます。クライアントがファイルまたはディレクトリに対するアクセス権を持っていない場合、クライアントに返されるエントリのリストでそのファイルは省略されます。このオプションは、デフォルトでは無効になっています。
ドメインモードでは、ユーザーが Microsoft Active Directory (AD) で定義されます。SMB クライアントは、Kerberos または NTLM 認証を使用して Oracle ZFS Storage Appliance に接続できます。
同じドメインまたは信頼できるドメイン内の Windows クライアントは、ユーザーが Oracle ZFS Storage Appliance の完全修飾ホスト名を使用して接続する場合は Kerberos 認証を使用し、それ以外の場合は NTLM 認証を使用します。
SMB クライアントが NTLM 認証を使用してアプライアンスに接続する場合、ユーザーの資格が AD ドメインコントローラに転送されて認証が行われます。これはパススルー認証と呼ばれます。
NTLM 認証を制限する Windows セキュリティーポリシーが定義されている場合、Windows クライアントは完全修飾ホスト名を使用してアプライアンスに接続する必要があります。詳細は、Microsoft Developer Network のこの記事を参照してください。
認証後に、ユーザーの SMB セッションに「セキュリティーコンテキスト」が確立されます。セキュリティーコンテキストで表されるユーザーは、一意のセキュリティー記述子 (SID) を保持します。SID は、ファイルの所有権を示し、ファイルアクセス権限の決定に使用されます。
ワークグループモードでは、ユーザーが Oracle ZFS Storage Appliance 上でローカルに定義されます。SMB クライアントがワークグループモードのアプライアンスに接続すると、そのユーザーのユーザー名とパスワードのハッシュを使用してローカルでユーザーが認証されます。
アプライアンスがワークグループモードになっているときは、認証に使われるプロトコルの指定に LAN Manager (LM) 互換性レベルが使用されます。
次のリストに、各 LM 互換性レベルでの Oracle ZFS Storage Appliance の動作を示します。
レベル 2: LM、NTLM、および NTLMv2 認証を受け入れる
レベル 3: LM、NTLM、および NTLMv2 認証を受け入れる
レベル 4: NTLM および NTLMv2 認証を受け入れる
レベル 5: NTLMv2 認証のみを受け入れる
ワークグループユーザーの認証に成功すると、セキュリティーコンテキストが確立されます。マシンの SID とユーザーの UID の組み合わせを使って、アプライアンスで定義されたユーザー用に一意の SID が作成されます。すべてのローカルユーザーは、UNIX ユーザーとして定義されます。
ローカルグループは、追加の権限が付与されるドメインユーザーのグループです。Administrators は、ファイルの所有権を変更するためのファイルアクセス権を必要としません。Backup Operators は、ファイルのバックアップと復元のためのファイルアクセス制御を必要としません。
適切なユーザーだけが管理操作にアクセスできるようにするため、Microsoft 管理コンソール (MMC) を使用してリモートで実行される操作に対してアクセス制限が設けられています。
次のリストに、ユーザーおよび許可される操作を示します。
通常ユーザー - シェアの一覧表示。
Administrators グループのメンバー - 開いているファイルと閉じているファイルの一覧表示、ユーザーの接続の切断、サービスとイベントログの表示。Administrators グループのメンバーは、シェアレベル ACL の設定や変更も可能です。
ウイルススキャンサービスは、ファイルシステムレベルでウイルスをスキャンします。いずれかのプロトコルからファイルがアクセスされると、ウイルススキャンサービスは最初にそのファイルをスキャンし、ウイルスが見つかった場合はファイルのアクセス拒否と隔離を行います。スキャンは、Oracle ZFS Storage Appliance が接続する外部のエンジンにより実行されます。外部エンジンは、アプライアンスソフトウェアには含まれません。
最新のウイルス定義でスキャンされたファイルは、次の変更が行われるまで再スキャンされません。ウイルススキャンは、ウイルスを取り込みやすい SMB クライアントに対して主に行われます。NFS クライアントもウイルススキャンを使用できますが、NFS プロトコルの動作方法のために、SMB クライアントの場合ほど迅速にウイルスが検出されない可能性があります。
SMB は、タイミング攻撃を防ぐための遅延エンジンを実装していません。これは、Oracle Solaris 暗号化フレームワークに依存しています。
SMB サービスで使用される SMB プロトコルのバージョン 1 では、ネットワーク上でのデータ暗号化はサポートされていません。