Comments
Description
Transcript
EMC® VNX® Series 8.1 VNX NFSの構成
EMC® VNX® Series バージョン 8.1 VNX NFS の構成 P/N 300-014-336 REV. 02 Copyright © 1998-2014 EMC Corporation . All rights reserved.(不許複製・禁無断転載) 7 月, 2014 発行 EMC Corporation は、この資料に記載される情報が、発行日時点で正確であるとみなしています。この情報は予告なく変更される ことがあります。 この資料に記載される情報は、「現状有姿」の条件で提供されています。EMC Corporation は、この資料に記載される情報に関す る、どのような内容についても表明保証条項を設けず、特に、商品性や特定の目的に対する適応性に対する黙示の保証はいたし ません。 EMC²、EMC、および EMC ロゴは、米国およびその他の国における EMC Corporation の登録商標または商標です。他のすべての 名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。 ご使用の製品に関する規制等についての最新情報は、EMC オンライン サポート(https://support.emc.com)を参照してください。 EMC ジャパン株式会社 〒 151-0053 東京都渋谷区代々木 2-1-1新宿マインズタワー http://japan.emc.com お問い合わせは http://japan.emc.com/contact 2 EMC VNX Series 8.1 VNX NFS の構成 目次 7 序文 第1章 9 概要 システム要件................................................................................................ 10 制限..............................................................................................................10 注意事項.......................................................................................................12 ユーザー インターフェイスの選択...................................................................13 関連情報.......................................................................................................13 第2章 15 概念 概要..............................................................................................................16 NFS に対する VDM の複数ドメイン ソリューション........................................... 16 VDM 用 Secure NFS....................................................................................... 18 プランニング時の考慮事項............................................................................ 18 システムのアクセス制御...................................................................18 ユーザー認証...................................................................................19 モード ビットを使用したユーザー アクセス制御.................................. 20 ACL を使用したユーザー アクセス制御..............................................21 国際標準対応.................................................................................. 21 NFSv4 ドメイン名.............................................................................. 22 NFSv4 ファイル デリゲーション.......................................................... 22 ファイル・ロック................................................................................. 23 クライアント コンテキスト................................................................... 24 NFSv4 クライアントのみへのアクセスの制限..................................... 24 第3章 27 構成 はじめの一歩................................................................................................ 28 NFSv4 の有効化...............................................................................28 NFSv4 ドメインの構成....................................................................... 28 ユーザー ファイル システムの作成................................................... 30 ネーム サービスへのアクセスの構成................................................ 30 Unicode の確認または有効化.......................................................... 31 マウント ポイントの作成................................................................................. 32 マウント ポイントの一覧表示.............................................................33 ファイル システムのマウント...........................................................................33 基本的な NFS アクセス用のファイルシステムのマウント.................... 33 NFSv4 アクセス用のファイルシステムのマウント................................34 ファイル システムのアンマウント....................................................... 35 ファイルシステムのエクスポート..................................................................... 35 基本的な NFS アクセス用のファイルシステムのエクスポート..............36 アクセス レベル................................................................................ 37 setuid および setgid ビットのアクセスの防止.................................... 38 マルチ レベルのファイルシステム..................................................... 40 VLAN によるアクセス制限................................................................. 41 NFSv4 アクセスの指定......................................................................41 ユーザー認証方法の指定................................................................ 42 MAC OS での GUI による NFS 共有のマウント.................................................44 EMC VNX Series 8.1 VNX NFS の構成 3 目次 MAC OS での手動による NFS 共有のマウント.................................................44 Windows Kerberos KDC を使用した Secure NFS の構成..................................45 逆引き参照の動的な更新の有効化.................................................. 46 CIFS の構成......................................................................................46 Secure NFS サービス インスタンスの設定..........................................49 NFS のユーザーおよびグループのマッピング サービスの設定...........51 ACE の並べ替え(マルチプロトコル環境のみ)................................... 53 UNIX または Linux の Kerberos KDC を使用した Secure NFS の構成............... 53 Data Mover 名の設定....................................................................... 54 Kerberos 領域の構成....................................................................... 55 Secure NFS サービス インスタンスの設定..........................................56 NFS Kerberos サービス プリンシパルを作成...................................... 58 ユーザー プリンシパル名の UID へのマップ...................................... 61 Solaris マッピング ユーティリティ gsscred の使用........................................... 63 マッピング ファイルのコピー.............................................................. 63 NIS サーバーへのマッピング ファイルのコピー ................................. 63 Data Mover へのマッピング ファイルのコピー ................................... 64 ローカル マッピング ファイルの作成.................................................. 65 クライアント システムへの VNX ファイル システムのマウント........................... 66 第4章 IT リスク 67 NFS の管理................................................................................................... 68 VNX ファイル システムへの NFS パスのアンエクスポート................... 68 VNX 上のすべての NFS パスの再エクスポート.................................. 69 Data Mover 上のすべてのファイルシステムに対する NFS アクセスの無 効化.................................................................................................69 NFS オートマウンタ機能のサポート................................................... 70 NFS エクスポートの非表示................................................................73 NFSv4 の管理................................................................................................74 状態期間の変更.............................................................................. 74 デリゲーション リコール タイムアウトの変更...................................... 75 使用できるノードの数の変更............................................................ 75 NFSv4 サービス ステータスの表示.................................................... 76 NFSv4 サービスの停止.....................................................................76 NFSv4 サービスの再開.....................................................................77 NFSv4 クライアントの表示.................................................................77 NFSv4 クライアント情報の表示......................................................... 78 NFSv4 クライアントの解放.................................................................79 32 ビットおよび 64 ビット NFS クライアントのサポート........................ 79 Secure NFS の管理........................................................................................80 キータブ エントリーの表示................................................................ 80 すべての Secure NFS サービス インスタンスを表示........................... 81 ユーザー属性の表示........................................................................81 ローカル マッピング ファイル内のユーザー情報の表示..................... 82 ローカル マッピング ファイルからユーザーを削除..............................82 サービス プリンシパルの削除........................................................... 83 認証の解除......................................................................................83 第5章 トラブルシューティング 85 EMC E-Lab Interoperability Navigator.............................................................86 VNX ユーザー カスタマイズ ドキュメント.......................................................... 86 NFS V4 のトラブルシューティング....................................................................86 NFSv4 ステータスの表示.................................................................. 86 4 EMC VNX Series 8.1 VNX NFS の構成 目次 NFS 統計の表示............................................................................... 87 Secure NFS のトラブルシューティング............................................................. 88 ファイルシステムにアクセスできません............................................. 89 ユーザー認証の解除........................................................................90 エラー メッセージ........................................................................................... 90 NFS V4 エラー メッセージ............................................................................... 91 EMC トレーニングおよびプロフェッショナル サービス.......................................91 付録 A 93 システム アクセス動作 アクセス モードの組み合わせを指定した場合の動作..................................... 94 ホスト間、サブネット間、ネットグループ間の競合解決のルール...................... 95 ネットグループに対する NFS の特別な検索順序の有効化.............................. 97 デフォルトのアクセス モードとして読み取り専用を指定...................................98 付録 B 99 ユーザー認証動作 セキュリティ オプションを指定するときの全般的なルール............................. 100 ルート アクセス モード..................................................................................100 付録 C PC クライアントの NFS 認証デーモン 103 PC クライアント アクセス...............................................................................104 PC クライアント ソフトウェアのセットアップ.....................................................104 Hummingbird PC NFS クライアントに関する問題点....................................... 105 付録 D VNX for Block での Parallel NFS 107 pNFS について.............................................................................................108 サーバーに対する pNFS の構成.................................................................. 109 pNFS サービスのセットアップ.......................................................... 109 pNFS の停止.................................................................................. 110 pNFS の再起動.............................................................................. 110 pNFS サービス用のファイルシステムのマウント...............................111 pNFS アクセス用のファイルシステムのエクスポート.........................111 pNFS クライアントのセットアップ................................................................... 112 SAN およびストレージの構成....................................................................... 112 ファイバ チャネル スイッチのインストール(FC 構成)........................ 113 SAN スイッチのゾーニング(FC 構成).............................................. 113 iSCSI とファイバ チャネル間のブリッジの構成(iSCSI 構成)..............113 MDS コンソール上での iSCSI の有効化(iSCSI 構成) ......................114 ギガビット Ethernet 用の MDS iSCSI ポートの構成(iSCSI 構成)...... 114 iSCSI ポート プロキシと TCP パラメータの構成(iSCSI 構成).............114 iSCSI プロキシ用に新しいゾーンを作成および構成(iSCSI 構成)..... 115 ゾーンのアクティブ化(iSCSI 構成)..................................................116 SP A および SP B FC インターフェイスの有効化(FC 構成)................ 116 iSCSI/FC 用の VSAN の追加とゾーンの有効化 ............................... 116 VNX for File 上にセキュリティ ファイルを作成...................................117 VNX for block iSCSI ポート構成.......................................................117 Access Logix 構成.......................................................................... 118 121 索引 EMC VNX Series 8.1 VNX NFS の構成 5 目次 6 EMC VNX Series 8.1 VNX NFS の構成 はじめに 製品ラインのパフォーマンスと機能を改善および強化するための努力の一環として、EMC ではハードウェアおよびソフトウェアのリビジョンを定期的にリリースしています。 そのため、 このドキュメントで説明されている機能の中には、現在お使いのソフトウェアまたはハードウ ェアのバージョンによっては、サポートされていないものもあります。 製品機能の最新情報 については、お使いの製品のリリース ノートを参照してください。 製品が正常に機能しない、またはこのマニュアルの説明どおりに動作しない場合には、 EMC の担当者にお問い合わせください。 このマニュアルで使用される特記事項の表記規則 EMC では、特別な注意を要する事項に次の表記法を使用します。 ☀椉 回避されなかった場合、死亡、または重傷につながる危険な状況を示します。 巵⛙ 回避されなかった場合、死亡、または重傷につながる可能性のある危険な状況を示しま す。 㽷㎞ 回避されなかった場合、軽微な、または中程度の怪我につながる可能性のある危険な状況 を示します。 抩䩴 負傷に関連しない作業を示します。 㽷 重要ではあるが、危険ではない情報を表します。 サポート EMC のサポート情報、製品情報、ライセンス情報は、次の場所で入手できます。 製品情報:ドキュメント、リリース ノート、ソフトウェアの更新、または EMC 製品、ライセン ス、サービスに関する情報については、EMC オンライン サポート(登録が必要です) http://Support.EMC.com をご覧ください。 トラブルシューティング:http://support.EMC.com から EMC オンライン サポートに進み ます。 ログインした後、該当する[製品ごとのサポート]ページを検索してください。 テクニカル サポート:テクニカル サポートおよびサービス リクエストについては、EMC オ ンライン サポート(http://Support.EMC.com)の EMC カスタマー サービスにアクセスしま す。 ログインした後、該当する[Support by Product]ページを検索し、[ライブ チャット]ま たは[サービス リクエストの作成]のいずれかを選択します。 EMC Online Support を通 してサービス要求を開始するには、有効なサポート契約が必要です。 有効なサポート契 約の入手方法の詳細や、アカウントに関する質問については、EMC 販売担当者にお問 い合わせください。 EMC VNX Series 8.1 VNX NFS の構成 7 はじめに 㽷 お客様の個別のシステム問題に担当者がすでに割り当てられている場合を除き、特定のサ ポート担当者へのお問い合わせはご遠慮ください。 ご意見 マニュアルの精度、構成および品質を向上するため、お客様のご意見をお待ちしておりま す。 本書についてのご意見を以下のメール アドレスにお送りください。 [email protected] 8 EMC VNX Series 8.1 VNX NFS の構成 第1章 概要 EMC VNX は、NFS(Network File System)プロトコルを含むさまざまなファイル アクセス プロ トコルによるデータへのアクセスを提供します。 NFS は、ネットワーク環境でのファイル共有 を実現する、クライアントまたはサーバーの分散ファイル サービスです。 NFS サーバーとし て VNX を構成すると、バージョン 2、3、4 の NFS プロトコルを使用するクライアントは、VNX ファイル システムにアクセスできるようになります。 このドキュメントは、VNX 情報セットの一部であり、システムでの NFS の構成と管理を担当 するシステム管理者を対象としています。 次のようなトピックが含まれています。 u u u u u システム要件.........................................................................................................10 制限...................................................................................................................... 10 注意事項...............................................................................................................12 ユーザー インターフェイスの選択...........................................................................13 関連情報...............................................................................................................13 概要 9 概要 システム要件 システム要件(10 ページ)では、このドキュメントで説明する NFS の構成に必要な EMC® VNX®のソフトウェア、ハードウェア、ネットワーク、ストレージの構成について説明していま す。 表 1 システム要件 ソフトウェア VNX OE for File 8.1 UNIX または Linux ベースの Kerberos を使用した Secure NFS の場合: Kerberos バージョン 5 を実行する Linux KDC(キー配布センター)または SEAM(Sun Enterprise Authentication Mechanism)ソフトウェア 㽷 その他の UNIX システムの KDC は未テストです。 Windows ベースの Kerberos を使用した Secure NFS の場合: Windows 2000 以降 Secure NFS の場合は、クライアント コンピュータは次のものを実行している必要が ある。 l SunOS バージョン 5.8 以降(NFSv4 の場合は Solaris 10) l Linux カーネル 2.4 以降(NFSv4 の場合は 2.6.12.<X> NFSv4 パッチ) l Hummingbird Maestro バージョン 7 以降(EMC ではバージョン 8 を推奨)、 NFSv4 の場合はバージョン 9 l AIX 5.3 ML3 㽷 その他のクライアントは未テスト。 l DNS l NTP(Network Time Protocol)サーバー Windows 環境の場合は、Active Directory に VNX を構成する必要がある。 pNFS(Parallel NFS)の場合は、使用する Linux カーネルが pNFS ブロックをサポート していることを確認する。 現時点では、Fedora のリリースだけが pNFS ブロックをサ ポートしている。 ハードウェア 固有の要件なし。 ネットワーク IPv6 が導入されている場合、DNS、NIS、NTP サーバーには IPv4 と IPv6 アドレスの 両方を構成する。 こうすることで、何かの理由で IPv6 だけの状況が発生しても、こ れらのサービスは動作を続ける。 IPv6 アドレスだけを含む Data Mover を使用する 場合は、これらのサービスが動作するためには、すべてのサービスで IPv6 アドレス を構成することが必要となる。 ストレージ 固有の要件なし。 制限 VNX はすべての NFS 機能をサポートしますが、次の制限があります。 10 EMC VNX Series 8.1 VNX NFS の構成 概要 u Secure NFS は、NFS V3 および NFS V4 に対してのみサポートされる。 u VNX の FileMover 機能または CDMS を使用する場合、VNX とセカンダリ ストレージの 間の NFS 通信には、UNIX AUTH_SYS 認証が必要であり、NFSv4 はサポートされない。 u VDM にある NFS エンドポイントは、TCP に対してのみ機能する(NFSv3 および NFSv4)。 UDP を使用した NFSv2 および NFSv3 には、VDM を使用できない。 u VDM 上にマウントされたファイル システムの NFS エクスポートは、EMC Unisphere®ソフ トウェアを使用してではなく、CLI の server_export コマンドを使用して実行できる。 u Secure NFS は VDM NFS エンドポイントではサポートされない。 UDP に対してと同様に、 Secure NFS は物理 Data Mover 上のエンドポイントに対してのみ機能する。 u VDM にマウントされたファイル システムの NFS エクスポートは CLI の[server_export] により実行できるが、EMC Unisphere ソフトウェアでは実行できない。 u NFS エクスポートを特定の VDM に制限することはできない。 ただし server_export の VLAN(仮想ローカル エリア ネットワーク)オプションは使用できる。 u VDM にマウントされたファイル システムのデータには、celerra:/root_vdm_x/fs_name を使用して NFS クライアントからアクセスできる。x は、VDM を作成するたびに VNX から 割り当てられる連続番号。 NFS エクスポートのエイリアスを使用して、クライアントでの NFS エクスポートの表示を変更できる。 VNX への NFS V4 の実装では次がサポートされます。 u ネットワーク プロトコル IP V4 経由の NFS V4 u UNIX および Kerberos V5 によるユーザー認証 u UTF-8 および ASCII u Pseudo-root ファイル システム u ACL(アクセス・コントロール・リスト) u ネスト マウント ファイル システム VNX への NFS V4 の実装では次はサポートされません。 u ディレクトリ デリゲーション u ブロッキング ロック機能 u Windows SID を使用するアクセス制御 u 公開鍵ベースの認証(SPKM-3 および Lipkey) u ASCII コード ページ u -alias オプション u Data Mover のサーバー ログに書き込まれる NFSv4 サービス ステータス(起動と停止) を示すログ メッセージ VNX への pNFS の実装では、次のファイル システムのタイプはサポートされません。 u EMC SnapSure™チェックポイント。 u ファイルシステムのレプリケートされたコピー。 u FLR-C ファイルシステム。 u ボリューム レイヤーで整合されていないファイルシステム。 u 状態推移実行中のファイルシステム。 たとえば、チェックポイントからリストア中のファイ ルシステム。 ボリューム レイヤーで整合されていないファイルシステムは、まれにディスク ボリューム上 に直接作成される場合があります。 このため、pNFS で使用するファイルシステムはすべ て、スライス ボリューム上に作成することを推奨します。 制限 11 概要 VDM レプリケーションの制限事項 u u NFS アクセスのファイル システム レプリカには、ソースと同じファイル システム ID が必 要です。 l ワイヤ経由で交換される NFS ファイル ハンドルには、ファイル システム識別子が含 まれます。 l nas_replicate -pool オプションは、ソース ファイル システム ID が、宛先にある既存 のファイル システムと競合する場合を除き、可能な限りこの要件を満たします。 同じ FSID を持たずにファイル システムをレプリケートできます。 ただし、フェイルオーバ ー時には、クライアントは Data Mover エクスポートを再マウントする必要があります。 ESX データストアを使用した NFS 用 VDM の複製 ESX データストアに使用する NFS ファイル システム用 VDM を複製する場合、次の手順を実 行し、VM がオフラインになっていないことを確認する必要があります。 㽷 ここで説明する処理手順を、記載された順序で実行しなかった場合、ESX サーバーはこの データストアにアクセスできなくなります。 次の手順は、NFS データストアが IP アドレスを経由して VNX に接続していると仮定していま す。 u VDM にマウントされている PFS(本番ファイル システム)をフェイルオーバーする u ソース上のインターフェイスを停止する u VDM をフェイルオーバーする u 宛先上のインターフェイスを作動する 㽷㎞ VDM がユーザーのファイル システムの前にフェイルオーバーされると、ESX サーバーはエ ラー NFS3ERR_STALE(無効なファイル ハンドル)を受け取ります。 そのため、ESX クライアン トはファイル システムがダウンとしていると見なします。 このエラーが発生しないようにする には、VDM にマウントされている PFS がフェイルオーバーされたときに、ソースで server_ifconfig コマンドを使用して VDM インターフェイスを停止に設定します。 これで VDM がフェイルオーバーされます。 VDM がレプリケーション サイトで再起動されると、 server_ifconfig コマンドを使用して VDM インターフェイスを作動に設定することができます。 注意事項 この情報について不明な点がある場合は、EMC カスタマー サポート担当者にお問い合わ せください。 セキュリティ NFSv4.1 では、NFSv4.0 に見られるセキュリティ上の問題以外は発生しません。サーバーは 一般的なポート(2049)上でリスンし、ポートマッパーを使用してポートを割り当てることはあ りません。 NFSv4.1 では、NFSv4.0 に内在する 2 点の欠点(クライアントの状態に承認されていない変 更を加えるサービス妨害攻撃、ファイアウォールによるコールバックのブロック)に対する対 応がなされています。 pNFS により、データ セキュリティのリスクが生じます。 セッションのセキュリティ VNX 上で提供され、いずれの対応 NFSv4.0 サーバーにも必ず実装されている RPCSEC_GSS ベースのセキュリティ メカニズムを使用する NFSv4.1 クライアントでは、 ダイ 12 EMC VNX Series 8.1 VNX NFS の構成 概要 ジェストを使用してセッションに対する接続のバインドを保護することで、問題が解決しま す。 ダイジェストは、ハッシュ機能を使用して共有シークレットから計算されます。 セッション セキュリティのレベルおよびハッシュ アルゴリズムは、セッションの作成時にネゴ シエートされます。 クライアントは、SET_SSV コールでシークレット セッション ベリファイヤま たは SSV と呼ばれる共有シークレットを設定します。 このコールは、セッションが作成され た直後、接続がセッションにバインドされる前にコールされる必要があります。 接続がセッシ ョンにバインドされると、BIND_CONN_TO_SESSION の引数に、クライアントのシークレットか ら計算されたダイジェストが含まれます。 これにより、攻撃者は自身の接続をセッションにバ インドすることや、擬似コールでセッションを停止させることができなくなります。 ファイアウォールとコールバック NFSv4.0 では、ファイアウォールによりサーバーがポート接続を開くことができない場合、コ ールバックが失敗する可能性があります。 NFSv4.1 プロトコルでは、クライアントによって開 かれた接続をセッションのバック チャネルにバインドすることで、この問題を回避していま す。 データ セキュリティ ブロック/ボリューム レイアウトの pNFS は、ストレージ デバイスに対して並列アクセスを持 ちます。 ストレージ デバイスにブロックを書き込む権限は、レイアウトを許可または取り消し することで、サーバーにより管理されます。ただし、共同でないクライアントは、レイアウトが 返された後でも書き込むことができ、また、そのクライアントが受け取ったいずれのレイアウ トの境界外にも書き込むことができます。 クライアント側の保護が不十分な場合は、pNFS を使用しないでください。 ユーザー インターフェイスの選択 VNX では、サポート環境やインターフェイス設定に応じてネットワーク ストレージを柔軟に管 理することができます。 このドキュメントでは、CLI(コマンド ライン インターフェイス)を使用し て NFS を構成する方法について説明します。 これらのタスクの一部は、EMC Unisphere ソ フトウェアを使用しても実行できます。 ナビゲーション ペインで、[NFS Exports]を選択してフ ァイルシステムへのパスをエクスポートし、各エクスポートへのアクセスのレベルを指定しま す。 VNX の管理の詳細については、次の資料を参照してください。 u EMC オンライン サポートの EMC VNX ドキュメント u Unisphere オンライン ヘルプ Unisphere の起動手順や、MMC スナップインおよび ADUC 拡張機能のインストール手順に ついては、「VNX 管理アプリケーションのインストール」を参照してください。 VNX の管理アプリケーションに関する最新の追加情報については、「VNX for File リリース ノ ート」を参照してください。 制限事項 Unisphere を使用して次の機能を構成することはできません。 u オートマウンタ u Secure NFS u NFS V4 の機能 u NFS に対する VDM の複数ドメイン ソリューション 関連情報 このドキュメントで解説されている機能に関連する具体的な情報については、次の資料を参 照してください。 ユーザー インターフェイスの選択 13 概要 u 「VNX 用語集」 u 「VNX CIFS の構成と管理 」 u 「VNX でのマルチプロトコル環境の管理」 u 「VNX for File での国際文字セットの使用」 u 「VNX ネーム サービスの構成」 u 「VNX タイム サービスの構成」 u 「Managing Volumes and File Systems for VNX Manually」 u 「EMC VNX for File コマンド ライン インタフェース リファレンス」 u VNX for File man ページ u 「VNX for File パラメータ ガイド」 その他に次の関連資料があります。 u [RFC1094]「Network File System Protocol Specification」(NFS バージョン 2 プロトコルの 仕様)(1989 年 3 月) u [RFC1510]「The Kerberos Network Authentication Service (V5)」(1993 年 9 月) u [RFC1813]「NFS Version 3 Protocol Specification」(1995 年 6 月) u [RFC1964]「The Kerberos Version 5 GSS–API mechanism」(1996 年 6 月) u [RFC2203]「RPCSEC_GSS Protocol Specification」(1997 年 9 月) u [RFC2623]「NFS Version 2 and Version 3 Security Issues and the NFS Protocol’s use of RPCSEC_GSS and Kerberos V5」(1999 年 6 月) u [RFC3530]「Network File System (NFS) Version 4 Protocol」(2003 年 4 月) EMC オンライン サポートの EMC VNX のマニュアル EMC VNX シリーズのカスタマー向け資料一式は、EMC オンライン サポートから入手できま す。 テクニカル ドキュメントを検索するには、http://Support.japan.EMC.com にアクセスし ます。 Web サイトにログインした後、[製品別サポート]をクリックし、[製品の検索]テキスト ボックスに、「[VNX シリーズ]」と入力します。 次に、目的の機能を検索します。 VNX ウィザード Unisphere ソフトウェアでは、セットアップ作業および構成作業を行うためのウィザードが使 用できます。 ウィザードの詳細については、Unisphere のオンライン ヘルプを参照してくださ い。 14 EMC VNX Series 8.1 VNX NFS の構成 第2章 概念 NFS を理解するための概念と計画に関する考慮事項は次のとおりです。 u u u u 概要...................................................................................................................... 16 NFS に対する VDM の複数ドメイン ソリューション................................................... 16 VDM 用 Secure NFS............................................................................................... 18 プランニング時の考慮事項.................................................................................... 18 概念 15 概念 概要 NFS 環境は次のもので構成できます。 u UNIX クライアント u Linux クライアント u NFS クライアント サービスを提供するサード パーティ アプリケーション(Hummingbird な ど)で構成された Windows システム VNX を NFS サーバーとして構成すると、ファイルシステムは Data Mover 上にマウントされ て、そのファイルシステムへのパスがエクスポートされます。 エクスポートされたファイル シ ステムは、ネットワーク全体で使用でき、リモート ユーザーがマウントできます。 NFS ファイルシステムの構成(16 ページ)は、NFS クライアント用に構成した Data Mover を示したものです。 図 1 NFS ファイルシステムの構成 NFS 構成の Data Mover では次の処理を行います。 u IP ネットワークを介して、エクスポートされたファイルシステムへのアクセスを提供する。 u Secure NFS を使用する場合、ユーザーを認証する。 u 許可プロセスは次の処理により実行されます。 l 情報を要求している NFS クライアントのアクセス権と、エクスポートされたファイルシ ステムに定義されているアクセス権を比較する。 l ファイルシステム オブジェクトでユーザー アクセスの制御を行う。 VNX では、バージョン 2、3、4 の NFS プロトコル(NFSv2、NFSv3、NFSv4)がサポートされて います。 NFS バージョン 4 プロトコルは、バージョン 2 および 3 で定義されている NFS プロ トコルをさらに改訂したものです。以前のバージョンの基本的な特性(トランスポート プロトコ ル、オペレーティング システム、ファイル システムに依存しない設計)を保ちつつ、ファイル ロック、強力なセキュリティ、操作の結合、デリゲーション機能を統合することにより、クライ アントのパフォーマンスを向上できます。 㽷 NFS と CIFS の両方をサポートするための VNX の構成に関する詳細については、「VNX での マルチプロトコル環境の管理」を参照してください。 CIFS のみの詳細については、「VNX CIFS の構成と管理」を参照してください。 NFS に対する VDM の複数ドメイン ソリューション VNX では、VDM(仮想 Data Mover)ごとに NFS サーバーを実装することにより、UNIX 環境 で Data Mover に対応するマルチネーミング ドメイン ソリューションが利用できます。 複数 16 EMC VNX Series 8.1 VNX NFS の構成 概念 の VDM をホストしている Data Mover は、各 VDM が一意のネーミング ドメインに対して機 能することを前提として、異なる LDAP または NIS ドメインのメンバーである UNIX クライアン トに対応できます。 CIFS サービスと同様、複数の NFS サーバーが、異なるネーミング ドメイ ンに対する Data Mover のファイルシステム リソースを提供するために Data Mover でエミュ レートされています。 これらの NFS サーバーはそれぞれ 1 つ以上の異なる Data Mover ネ ットワーク インターフェイスに割り当てられます。 以下の要件は、この機能によって満たされます。 u 同じ Data Mover が、異なる LDAP、NIS、DNS の各ドメインに対する NFS サービスをサ ポートします。 u 各ドメインは、Data Mover で構成されたネットワーク インターフェイスのサブセット経由 で対応される、異なる VDM によってサービスを提供されます。 u VDM によってエクスポートされるファイルシステムは、TCP プロトコルを使用した CIFS、 NFSv3、および NFSv4 によってアクセスできます。 VDM ソリューションは、ファイルシス テム リソースを分類します。 その結果、VDM にマウントされたファイルシステムのみが VDM によってエクスポートされます。 u UDP プロトコルを使用した Secure NFS、NFSv2、および NFSv3 は、この機能でサポート されません。 u FTP、SFTP、および FTPS アプリケーションは、VDM 経由ではサポートされません。 これ らのアプリケーションは、物理 Data Mover で有効化できます。 Data Mover にロードされた VDM は、Data Mover で構成されたネットワーク インターフェイ スを使用します。 同じ Data Mover で構成された 2 つの VDM インターフェイスに IP アドレス を複製することはできません。 VDM インターフェイスを割り当てた後は、VDM で NFS エクス ポートを管理できます。 これと同じネットワーク インターフェイスを CIFS と NFS プロトコルの 両方で共有できます。 ただし、特定の論理ネットワーク インターフェイスから扱える NFS エ ンドポイントと CIFS サーバーは 1 つだけとなります。 マルチネーミング ドメイン ソリューションでは、「NFS エンドポイント」という名前の NFS サー バーを VDM ごとに実装します。 VDM は、NFS エンドポイントおよび/または CIFS サーバー によってエクスポートされるファイル システムを含むコンテナとして使用されます。 VDM のこ れらのファイル システムは、VDM に接続された Data Mover ネットワーク インターフェイスの サブセットを通じて表示されます。 同じネットワーク インターフェイスをその VDM 上にある CIFS および NFS プロトコルの両方で共有できます。 NFS エンドポイントおよび CIFS サーバ ーは、その特定の VDM に接続されたネットワーク インターフェイスを通じて対応されます。 㽷 複数ドメイン構成は、VDM ではオプションです。 デフォルトでは、VDM は、VDM をホストす る Data Mover と同じドメインのユーザーに対して機能します。 㽷 Unisphere を使用してこの機能を構成することはできません。 この機能の詳細については、「VNX 仮想 Data Mover の構成」を参照してください。 VDM NFS エクスポート server_export コマンドを使用して、VDM ごとに NFS エクスポートを管理できます。 VDM に 対するすべての NFS エクスポート オプションがサポートされます。 VDM で作成されたエクスポートは、VDM にマウントされたファイルシステムのみエクスポー トできます。 VDM NFS エクスポートは、VDM レプリケーションの一部として、自動的にレプリ ケートされます。 VDM NFS エンドポイントは、VDM スイッチオーバー/フェイルオーバーの 後、デスティネーション サイトで自動的に動作します。 VDM を Data Mover から別の Data Mover に移動すると、ファイルシステムと NFS エクスポートを含む NFS エンドポイント全体が 移動します。 NFS に対する VDM の複数ドメイン ソリューション 17 概念 VDM で NFS エクスポートを管理する方法の詳細については、「VNX 仮想 Data Mover の構 成」を参照してください。 VDM 用 Secure NFS Secure NFS を VDM 用に構成して管理することができます。 server_nfs コマンドを使用 して、VDM 名を NFS プロトコルの mover 名として指定することができます。 Secure NFS サ ービスを構成して管理するタスクは、物理 Data Mover のタスクと同じです。 これに関する詳 細については、Windows Kerberos KDC を使用した Secure NFS の構成(45 ページ)およ び UNIX または Linux の Kerberos KDC を使用した Secure NFS の構成(53 ページ)を参 照してください。 Secure NFS サービスは、VDM が作成されたときと、Data Mover がリブートされたときは常 に、デフォルトで始動します。 ただし、このサービスが CLI によって無効になっている場合 は、リブート後の再始動はありません。 Secure NFS サービスを停止すると、次の状態になります。 u 既存のクライアントのセキュアな接続は、次回の着信要求発生した時点か、この接続が アイドル状態からタイムアウトになった時点の早い方で終了する。 u 新たなクライアントのセキュアな接続は認められない。 u Secure NFS サービスが停止してから再始動すると、既存のクライアント接続は再開せ ず、次回の着信要求発生した時点か、この接続がアイドル状態からタイムアウトになっ た時点の早い方で終了する。 u Secure NFS サービスが停止してから、move またはレプリケーションのフェイルオーバー 後に Data Mover がリブートするか、VDM がリロードされると、このサービスは(再)始動 しない。 server_nfs コマンドの[–secnfs]オプションについては、「EMC Command Line Interface Reference for File」を参照してください。 プランニング時の考慮事項 システム上で NFS を構成する前に、NFS 環境の要件に基づいて次の考慮事項を確認しま す。 u システムのアクセス制御(18 ページ) u ユーザー認証(19 ページ) u モード ビットを使用したユーザー アクセス制御(20 ページ) u ACL を使用したユーザー アクセス制御(21 ページ) u 国際標準対応(21 ページ) u NTFSv4 ドメイン名(22 ページ) u NTFSv4 ファイル デリゲーション(22 ページ) u ファイル・ロック(23 ページ) u クライアント コンテキスト(24 ページ) u NTFSv4 クライアントのみへのアクセスの制限(24 ページ) システムのアクセス制御 NFS クライアント システムのアクセス権を設定するには、server_export コマンドを使用しま す。 エクスポートへのアクセスを許可されるクライアントは、ホスト名、ネットグループ、サブ ネット、IP アドレスにより指定されます。 特定のファイルに対して、クライアント システムには 18 EMC VNX Series 8.1 VNX NFS の構成 概念 読み取り/書き込みアクセスを許可し、特定のユーザーには読み取りアクセスのみを許可す る、といったことができます。 この手順については、基本的な NFS アクセス用のファイルシ ステムのエクスポート(36 ページ)を参照してください。 エクスポートされたファイル システ ムの NFS クライアントに対して設定する読み取り/書き込みアクセスを解釈する方法につい ては、システム アクセス動作(93 ページ)を参照してください。 ユーザー認証 ユーザー認証を使用すると、システムでファイルやサービスなどのリソースまたはオブジェ クトにアクセスしようとしているユーザー、サービス、サーバーの ID を確認できます。 VNX の NFS サービスは、ユーザー認証方法(19 ページ)に示すメカニズムを使用してユーザ ーを認証します。 表 2 ユーザー認証方法 認証方法 説明 UNIX セキュリティ デフォルトのセキュリティとして機能する。 AUTH_SYS セキュリティ モデルを使用すると、NFS クライアント マシンにより NFS ユーザ ーの認証が実行されるものと想定される。 UID と GID が RPC プロ トコルにより送信され、ユーザーが属することのできるグループが 16 に制限されます。 新しいパラメータ security.maxgroups によ り、NFS クライアントの UNIX グループ数を上限のデフォルト値 16 から 128 に増やすことができます。詳細については、「VNX for File パラメータ ガイド」を参照してください。 Secure NFS Kerberos ベースのユーザーおよびデータの認証、データの整合 性、データ プライバシーを提供します。 分散認証サービスである Kerberos は、秘密鍵暗号形式を使用して強力な認証機能を提供 するように設計されています。 Secure NFS サーバーとして機能す るように構成された Data Mover は、RPCSEC_GSS セキュリティ フ レームワークと Kerberos 認証プロトコルを使用して、ユーザーと サービスを確認します。 Secure NFS 環境では、NFS でエクスポー トされたファイルシステムに対するユーザー アクセスは、 Kerberos のプリンシパル名に基づいて許可されます。 ただし、エ クスポートされたファイルシステム内のファイルとディレクトリに対 するアクセス制御は、引き続き UID、GID、ACL のいずれかに基づ く。 ユーザーの Kerberos プリンシパルは、マッピング サービスを 使用して UID にマッピングされる。 㽷 VNX の Secure NFS では、16 を超えるグループがサポートされて いる。 パラメータ security.maxgroups により、NFS クライアントの UNIX グループ数を上限のデフォルト値 16 から 128 に増やすこと ができる。 認証デーモン NFS を使用して VNX にアクセスする Windows システム(PC クラ イアント)の場合は、認証デーモン(通常は rpc.pcnfsd または pcnfsd)を使用して、Windows と UNIX の NFS ユーザー認証方式 の間の違いをブリッジします。 NFS の各バージョンでは、次のユーザー認証方法がサポートされます。 u u NFS のすべてのバージョンで UNIX セキュリティおよび PC 認証デーモンがサポートされ ます。 NFS バージョン 3 および 4 では、UNIX、Linux、Windows のいずれかの Kerberos KDC を使用して Secure NFS がサポートされます。 ユーザー認証 19 概念 server_export コマンドで sec オプションを使用してユーザー認証方法を指定する方法につ いては、ユーザー認証方法の指定(42 ページ)を参考にしてください。 エクスポートされた ファイル システムの NFS クライアントに対して設定されたユーザー認証を解釈する方法に ついては、ユーザー認証動作(99 ページ)を参考にしてください。 認証デーモンの使用方法については PC クライアントの NFS 認証デーモン(103 ページ)を 参考にしてください。 Windows、UNIX、Linux のいずれかの Kerberos を使用して Secure NFS を構成する手順の 詳細については、Windows Kerberos KDC を使用した Secure NFS の構成(45 ページ)お よび UNIX または Linux の Kerberos KDC を使用した Secure NFS の構成(53 ページ)を参 照してください。 モード ビットを使用したユーザー アクセス制御 UNIX、NATIVE、SECURE、MIXED_COMPAT のいずれかのシステム アクセス ポリシーを指定 してファイル システムをマウントすると、 Celerra Network Server は、NFS クライアントに対し てモード ビット ベースのアクセス制御を実行します。 アクセス ポリシーは、server_mount コ マンドの accesspolicy オプションを使用して指定します。 UNIX のアクセス権は、ファイルシステム オブジェクトのモード ビットと呼ばれます。 モード ビ ットは文字列で表され、文字列の各ビットは、ファイルを所有するユーザー、所有者グルー プ、その他のすべてのユーザーに許可されているアクセス モードまたは権限を表します。 UNIX のモード ビットは、次のファイルシステム ディレクトリの例で示されているように、ユー ザーのカテゴリー(ユーザー、グループ、その他)ごとに連結された 3 個の文字 rwx(読み取 り、書き込み、実行)の 3 個のセットとして表されます。 この例では、各行の最初の 10 文字が、ファイル タイプとファイルの権限を示します。 各行 の最初の文字は、ディレクトリの場合は d、シンボリック リンクの場合は l、通常のファイル の場合はダッシュ(-)になります。 次の 3 個の文字は、ユーザー(この例では kcb)がファイルシステム オブジェトの読み取り、 書き込み、実行を行うことができるかどうかを指定します。 次の 3 個の文字は、所有者グル ープ(所有者プライマリ グループ、この例では eng)の権限を指定します。 最後の 3 文字 は、所有者でも所有者グループのメンバーでもない他のすべてのユーザーの権限を指定し ます。 この例では、xyz.doc はシンボリック リンクであり、すべてのユーザーがこれを使用して xyz.htm lファイルを取得できます。 abc.html は通常のファイルで、すべてのユーザーが読 み取りできますが、書き込みできるのはユーザー kcb のみです。 schedule ディレクトリは、 すべてのユーザーが検索して読み取りできますが、ファイルの追加や削除を行うことができ るのはユーザー kcb のみです。 アクセス要求の際には UNIX 認証情報が送信されます。この情報は、UID(ユーザー ID)お よびユーザーが属する、デフォルトでは最大 16 グループの GID(グループ ID)で構成され ます。 新しいパラメータ security.maxgroups により、NFS クライアントの UNIX グループ数を 上限のデフォルト値 16 から 128 に増やすことができます。詳細については、「VNX for File パラメータ ガイド」を参照してください。 ユーザーがファイルシステム オブジェクトへのアクセ スを要求すると、システムは、ユーザーの認証情報とそのオブジェクトに対する権限を比較 します。 NFS に対する VDM の複数ドメイン機能は、UNIX ユーザーに対する Windows スタイルの認 証情報に影響します。 この機能に対する NFS NTcredential ドメインをサポートするには、以 20 EMC VNX Series 8.1 VNX NFS の構成 概念 下の Windows レジストリ エントリーを使用して、VDM 値ごとに同等のパラメータを指定しま す。 VDM では、「nfs NTcred.winDomain」グローバル パラメータが Windows のレジストリ キーに置き換えられます。 [HKEY_LOCAL_MACHINE\Software\EMC\UnixNTCredential] "NetbiosDomainName" = "<domain_name>” VDM の名前解決が VDM に限定される場合、nfs NTcred 機能は VDM レジストリで指定され た Windows ドメインを使用します。 それに応じて、このドメインの CIFS サーバー メンバー は、CIFS ユーザー認証情報を使用して、NFS アクセスを許可するよう、VDM で構成し、適切 な CIFS ドメインに参加させる必要があります。 UNIX ユーザーに対する Windows スタイルの認証情報の詳細は、「VNX でのマルチプロトコ ル環境の管理」で説明されています。 ACL を使用したユーザー アクセス制御 NFSv4 では、ACL(アクセス コントロール リスト)のサポートが追加されました。 ACL を使用す ると、ファイル システム オブジェクトに対し、従来の NFS モード ビットよりさらにきめ細かい ユーザー アクセス制御を行うことができます。 VNX は ACL の単一の実装を備えており、デ ータへのアクセスに使用されるプロトコル(NFS または CIFS)が何であっても、一貫したアク セス制御を実現します。 NT、SECURE、MIXED、MIXED_COMPAT のいずれかの VNX アクセス ポリシーを指定して VNX ファイルシステムをマウントすると、 Celerra Network Server は、NFS クライアントに対し て ACL ベースのアクセス制御を実行します。 NFSv4 クライアントでファイルシステム オブジ ェクトの ACL を管理できるようにするには、アクセス ポリシー MIXED または MIXED_COMPAT を指定してファイルシステムをマウントします。 アクセス ポリシーは、 server_mount コマンドの accesspolicy オプションを使用して指定します。 この手順につい ては、NFSv4 アクセス用のファイル システムのマウント(34 ページ)を参照してください。 VNX アクセス制御ポリシーの構成に関する詳細については、「VNX でのマルチプロトコル環 境の管理」を参照してください。 㽷 NFSv4 の標準では、Windows ACL 文法と似てはいても同じではない ACL 文法が定義され ていますが、各プリンシパルについての ACE の順序や数などのアイテムのリレーションシッ プは定義されていません。 したがって、Windows、UNIX、Linux の各クライアントでは、ファイ ルシステム オブジェクトの ACL の管理方法が異なる場合があります。 場合によっては、 Windows クライアントで設定された ACL が UNIX または Linux クライアントでは使用できな いことがあります。 クライアントは ACL を表示できません。 その場合でも、ファイルシステム オブジェクトに対するアクセス制御には影響ありません。 国際標準対応 VNX は、マルチバイト文字セットを使用する環境のクライアントをサポートします。 マルチバ イト文字セットは、Unicode(汎用文字エンコード規格)を有効化することでサポートされま す。 VNX は、NFSv4 での要件に合わせて、文字エンコードとして UTF-8 仕様もサポートしま す。UTF-8 クライアントの場合、ファイル名とディレクトリ名は受け取ったままの状態で保存さ れます。 ファイル名とディレクトリ名の大文字と小文字が維持されるため、変換は必要あり ません。 非 UTF-8 クライアントでは、ファイルシステム オブジェクト名は UTF-8 仕様に変換さ れます。 ACL を使用したユーザー アクセス制御 21 概念 㽷 Unicode 対応ではないファイルシステムは、NFS V4 クライアントにエクスポートする前に Unicode に変換する必要があります。 さらに、VNX の文字エンコード方法を、デフォルトから UTF-8 に変更する必要があります。 VNX を新規にインストールする場合、ユーザーのファイルおよびディレクトリを作成する前 に、インストール中に Unicode を有効化できます。 既存の VNX を使用する場合、Unicode を有効化してから、ファイルおよびディレクトリを変換する必要があります。 Unicode を構成 および管理する方法については、「VNX for File での国際文字セットの使用」を参照してくださ い。 NFSv4 ドメイン名 ディレクトリやファイルの所有権を識別するため、すべての VNX ユーザーが一意の数値 UID および GID によって識別される必要があります。 VNX はディレクトリ/ファイル所有権に 基づいて、アクセス・パーミッションやクォータ制限を適用します。 NFSv2 および NFSv3 は、UID と GID を使用してユーザーとグループを識別します。 これに より、システムは NFS クライアントによって提供される UID と GID を使用して、ファイルの所 有権とアクセス制御を決定できます。 一方、NFSv4 では、UTF-8 でエンコードされたユーザ ーまたはグループのドメイン名を使用してユーザーとグループを識別します。この場合のド メインは、サーバー、クライアント、ユーザー、グループがメンバーである NFSv4 ドメインにな ります。 NFSv4 のユーザーおよびグループのドメイン名の形式は、user@domain または group@domain です。 これらのユーザーおよびグループのドメイン名は、UID および GID に 変換する必要があります。 㽷 ファイルシステムでは、NFS のバージョンに関係なく、ファイルの所有者および所有者グル ープが数値の UID と GID によって表されます。 VNX で NFSv4 を使用する前に、nfsv4.domain パラメータを使用して NFSv4 のドメイン名を 指定する必要があります。 ドメイン名を指定する方法については、NFSv4 ドメインの構成 (28 ページ)を参照してください。 㽷 サーバーまたは NFSv4 クライアントで NFSv4 ドメイン名が指定されないと、クライアントはデ ータにアクセスできない場合があります。 ファイルとディレクトリの所有権は誰にも設定され ません。 NFSv4 ファイル デリゲーション NFSv4 を使用すると、VNX は、ファイルに対する特定のアクション(具体的には、より積極的 なデータ、メタデータ、ロックのクライアント キャッシュ)をクライアントにデリゲートできます。 デリゲーションにより、NFS クライアントはファイルのデータやメタデータをローカルのバッフ ァに格納し、サーバーに送信する前にそのデータやメタデータに対して操作を実行できるた め、ネットワーク パフォーマンスが向上します。 デリゲーションはファイルシステムごとに構成され、読み取り/書き込みのデリゲーションが デフォルトで有効になります。 EMC は、次の場合にはデリゲーションを無効にすることを推 奨します。 22 u 別のクライアント内のアプリケーションにより、データを頻繁に共有する必要がある。 u クライアントの障害がデータの整合性に影響を与える可能性のある、データベースなど のミッション クリティカルでトランザクション ベースのアプリケーションが、データにアクセ スする。 EMC VNX Series 8.1 VNX NFS の構成 概念 㽷 デリゲーションが行われている間、すべてのデータ操作は NFSv4 クライアントによって実行 され、サーバーに送信されないため、サーバーの UNIX アプリケーションは、クライアントに よって保存された変更を認識しません。 クライアントで障害が発生すると、データに対する すべての変更が失われる場合があります。 VNX は、次のファイル デリゲーション レベルをサポートします。 u なし:ファイルのデリゲーションは許可されない u 読み取り:読み取りのデリゲーションだけが許可される u 読み取り/書き込み:読み取りと書き込みのデリゲーションが許可される デリゲーション レベルを指定する方法については、NFSv4 アクセス用のファイル システムの マウント(34 ページ)を参照してください。 NFSv4 のパラメーターを使用してデリゲーション 操作を変更する方法については、NFSv4 の管理(74 ページ)を参考にしてください。 ファイル・ロック VNX は NFS ファイル ロックをサポートします。 NFSv4 のファイル ロックは、NFSv2 および NFSv3 で使用されていた NLM(ネットワーク ロック マネージャ)プロトコルと似ていますが、 NFSv4 では NFSv4 プロトコルに統合されています。 この統合により、異なるオペレーティン グ システム セマンティクスおよびエラー リカバリのサポートが拡張されています。 アドバイザリおよび強制ロック NFSv2 および NFSv3 では、ロック ルールは協調型です。 ロック プロシージャを使用してい ないクライアントは、別のクライアントがロックしたファイルにアクセスできます。 VNX は、 NFSv2 および NFSv3 のロックをアドバイザリと見なしています。 アドバイザリ ロックは、ファ イルに対する読み取りおよび書き込みアクセスに影響を与えませんが、ファイルがすでに使 用されていることを他のユーザーに通知します。 NFS V4 では、強制ロック、つまりロックしたファイルに対する他のアプリケーションの操作を ブロックする機能が提供されています。 NFSV4 では、パラメータ nfsv4.advisoryLocking を 使用することで、強制ロックがデフォルトで 1 に設定されます。 NFSV4 のアドバイザリ モデ ルに切り替えることができます。 共有予約 共有予約は、ファイルに対するプロセス アクセス(読み取り、書き込み、読み取り/書き込 み)、および同じファイルに対する他のプロセス アクセスを拒否する機能を許可します。 たと えば、アプリケーションは、読み取りと書き込み用にファイルを予約し、他のアプリケーション による書き込みを拒否できます。 NLM は、NFSv2 および NFSv3 ではアドバイザリ共有予約を提供します。NLM の共有予約 は、共同ではないクライアントがファイルにアクセスするのを妨げません。 NFS V4 は、OPEN 操作で強制の共有予約をサポートします。 共有予約は、すべてのファイ ル アクセスに対して適用されます。 範囲ロック このロックは、ファイル内のバイトの範囲に対して適用されます。 この範囲はファイル全体を カバーできます。 範囲ロックはレコード ロックと呼ばれることもあります。 範囲ロックには 2 つのタイプがあります。 u 共有(読み取り)ロック u 排他(書き込み)ロック 複数のプロセスは、特定のファイルに対して読み取りロックを設定できます。 ただし、あるプ ロセスが特定のバイト範囲に対して排他ロックを設定すると、この範囲のロックが解除され るまで、他のプロセスは、このファイルで排他ロックされた範囲の一部を含む範囲に対して ファイル・ロック 23 概念 ロックを設定することはできません。 読み取りロックは、排他ロックに変更できます。 同様 に、排他ロックを読み取りロックに変更することもできます。 リース NFSv2 および NFSv3 では、クライアントが解放するまで、ロックはサーバーによって許可さ れていました。 このアプローチの欠点は、クラッシュしたクライアントが、リカバリするまでロ ックを保持することです(リカバリするとして)。 この欠点を回避するため、NFS V4 のロックは、クライアント リース期間についてのみ許可さ れます。 リース期間内は、クライアントはすべてのロックの維持を保証されます。 リースは、クライアントによる更新の対象になります。 クライアントが何らかの操作を行うと、 リースは更新されます。 リース期限が切れると、サーバーはクライアントで障害が発生した ものと見なします。 猶予期間の後、サーバーは他のクライアントが同じロックを取得するの を許可する場合があります。 サーバーで障害が発生して再起動した場合は、少なくともリー ス期間だけクライアントがロックを再要求するのを待った後、新しいロック要求に応えます。 VNX に基づいてファイル システム上でロックを構成する方法については、ファイルシステム のマウント(33 ページ)を参照してください。 STATD ホストのステータス デーモン STATD デーモンは、NFSv2 および NFSv3 ロックを監視します。 このデーモンの役割の 1 つ は、Data Mover の再起動時に NLM 猶予期間が開始することを NFSv2 および NFSv3 クライ アントに通知することです。 クライアントに送信される通知メッセージに STATD ホスト名が含 まれています。 VDM では、server_ns domains コマンドで VDM ドメイン解決を有効化した場合、STATD ホスト名ファイルが必要です。 server_nis コマンドで VDM ドメインを有効化しない場合、 システムではデフォルトの Data Mover STATD ホスト名(STATD パラメーターで指定)が使用 されます。 VDM ドメイン構成を有効化すると、ホスト名ファイルが作成されます。 STATD ホスト名パラメータの詳細は、「VNX for File パラメータ ガイド」を参照してください。 クライアント コンテキスト ステータスや情報を持たないプロトコルである NFSv2 および NFSv3 とは異なり、NFSv4 プロ トコルは、ファイル サーバーにアクセスするクライアント システムおよび設定されているロッ クについてのコンテキストまたは状態を保持します。 このプロトコルを使用することで、サー バーやクライアントの障害またはネットワークの区分化の後で、クライアントがロック状態を リカバリできるようになります。 NFSv2 および NFSv3 では、クライアント システムはホスト名または IP アドレスによって識別 されます。NFSv4 では、クライアント システムは一意のクライアント ID によって識別され、状 態の ID を割り当てられます。 VNX では、以下の操作を実行できます。 u クライアントの状態のリストを表示する u 特定のクライアントの状態の属性を表示する u クライアントの状態を解放する クライアントの状態を解放すると、すべてのファイル ロックは解除され、クライアントが保持し ている可能性のあるすべてのデリゲーションはリコールされ、そのクライアントによって開か れていたファイルはすべて閉じられます。 server_nfs コマンドの-v4 -client オプションを使用してクライアントの状態を管理する方法に ついては、NFSv4 の管理(74 ページ)を参考にしてください。 NFSv4 クライアントのみへのアクセスの制限 NFSv2 および NFSv3 で使用可能なセキュリティ対策は NFSv4 で使用できるものほど厳しく ないため、システムでは、エクスポートされたファイルシステムに対してだけ NFSv4 を使用 するように指定できます。 この機能により、クライアントが安全性が低い NFS バージョンを 24 EMC VNX Series 8.1 VNX NFS の構成 概念 使用したファイルシステムにアクセスしないようにできます。 server_export コマンドで NFSv4 オプションを指定する方法については、NFSv4 アクセスの指定(41 ページ)を参照してくだ さい。 NFSv4 クライアントのみへのアクセスの制限 25 概念 26 EMC VNX Series 8.1 VNX NFS の構成 第3章 構成 NFS の構成に関するタスクは、次のとおりです。 u u u u u u u u u u はじめの一歩........................................................................................................ 28 マウント ポイントの作成......................................................................................... 32 ファイル システムのマウント...................................................................................33 ファイルシステムのエクスポート............................................................................. 35 MAC OS での GUI による NFS 共有のマウント.........................................................44 MAC OS での手動による NFS 共有のマウント......................................................... 44 Windows Kerberos KDC を使用した Secure NFS の構成..........................................45 UNIX または Linux の Kerberos KDC を使用した Secure NFS の構成....................... 53 Solaris マッピング ユーティリティ gsscred の使用................................................... 63 クライアント システムへの VNX ファイル システムのマウント................................... 66 構成 27 構成 はじめの一歩 NFSv2 または NFSv3 を使用する場合、実行することが必要なタスクはありません。 デフォ ルトでは、NFSv3 が VNX 上でのアクティブな NFS サービスになります。 ただし、NFSv4 を使 用する場合、次のセットアップ手順を実行します。 u クライアントのインストール: クライアント システムに Fedora 15 またはその他の目的の オペレーティング システムをインストールします。 u NFSv4 の有効化(28 ページ) u NFSv4 ドメインの構成(28 ページ) u ユーザー ファイル システムの作成(30 ページ) u ネーム サービスへのアクセスの構成(30 ページ) u Unicode の確認または有効化(31 ページ) NFSv4 の有効化 VNX で NFSv4 のサポートを有効にするには、以下の手順に従います。 手順 1. テキスト エディタで、/nas/server/slot_<x>/config ファイルを開きます。<x>は Data Mover のスロット番号です。 2. nfs config の行で、オプションの hivers=4 を追加します。オプションがすでに存在する場 合は、その値が 4 に設定されていることを確認します。その後、ファイルを保存して閉じ ます。 次に例を挙げます。 nfs config hivers=4 㽷 ファイル内のその他の行やオプションを変更しないでください。 3. 次のコマンド シンタクスを使用して、Data Mover を再起動します。 $ server_cpu[<movername>]-reboot -monitor now ここで、 [<movername>] = Data Mover の名前 NFSv4 ドメインの構成 NFSv4 ドメインを構成する必要があります。 NFSv4 のドメイン名は、ローカルの DNS ドメイン 名と同じにするか、NFSv4 に対して一意にすることができます。NFSv4 ドメインは、ユーザー およびグループのマッピングにのみ使用されます。 NFSv4 のドメイン名を指定するには、ドメイン パラメータを使用します。 domain パラメータ の詳細については、「VNX for File パラメータ ガイド」を参照してください。 㽷 NFS V4 サーバーと、NFS V4 サーバーにアクセスするすべての NFS V4 クライアントでは、同 じ NFS V4 ドメインを使用する必要があります。 パラメータとファシリティの名前は大文字と 小文字が区別されます。 マルチドメイン環境にある VDM での NFSv4 ドメインの構成の詳細については、「EMC VNX for File コマンド ライン インターフェイス リファレンス」を参照してください。 NFSv4 ドメインを構成するには、次の手順に従います。 28 EMC VNX Series 8.1 VNX NFS の構成 構成 u NFSv4 のドメイン名の指定(29 ページ) u ドメイン パラメータの確認(29 ページ) u NFSv4 パラメータの一覧表示(29 ページ) NFSv4 のドメイン名の指定 手順 1. NFS V4 のドメイン名を指定するには、次のコマンドの文法を使用します。 $ server_param [<movername>] -facility nfsv4 -modify domain -value [<new_value>] ここで、 [<movername>] = 指定された Data Mover の名前 [<new_value>] = ドメインの名前 例: ドメイン名を emc.com に設定するには、次のように入力します。 $ server_param server_2 -facility nfsv4 -modify domain -value emc.com 出力: server_2 : done ドメイン パラメータの確認 手順 1. ドメイン パラメータが設定されたかどうかを確認するには、次のコマンド シンタクスを使 用します。 $ server_param[<movername>]-facility nfsv4 -info domain ここで、 [<movername>] = Data Mover の名前 例: ドメイン パラメータが設定されたかどうかを確認するには、次のように入力します。 $ server_param server_2 -facility nfsv4 -info domain 出力: server_2 : name facility_name default_value current_value configured_value user_action change_effective range description = = = = = = = = = domain nfsv4 '' 'emc.com' emc.com none immediate '*' Sets the NFS v4 domain NFSv4 パラメータの一覧表示 手順 1. デフォルト値、現在値、構成値を含むすべての NFSv4 パラメータ値を一覧表示するに は、次のコマンド シンタクスを使用します。 $ server_param[<movername>]-facility nfsv4 -list NFSv4 ドメインの構成 29 構成 ここで、 [<movername>] = Data Mover の名前 例: NFS V4 の全パラメータを一覧表示するには、次のコマンドの文法を使用します。 $ server_param server_2 -facility nfsv4 -list 出力: server_2 : param_name leaseDuration recallTimeout domain nfsv4 vnodePercent 32bitClient facility nfsv4 nfsv4 emc.com nfsv4 nfsv4 default 40 10 current 40 10 80 1 10 1 configured 10 ユーザー ファイル システムの作成 ファイル システムの詳細については、「VNX Automatic Volume Management によるボリューム とファイル システムの管理」を参照してください。 手順 1. ユーザー ファイル システムを作成するには、次のコマンド シンタクスを使用します。 $ nas_fs-name[<name>]-create size=[<integer>][T|G|M] pool= [<pool>] ここで、 [<name>] = ファイル システムの名前 [<size>] = 要求されたファイル システムのサイズを、テラバイト(T)、ギガバイト(G)、メガ バイト(M)のいずれかで指定。 [<pool>] = AVM ストレージ プールの名前 例: ufs1 という名前のユーザー ファイル システムを作成するには、次のように入力します。 $ nas_fs -name ufs1 -create size=100M pool=symm_std -o slice=y 出力: id = 261 name = ufs1 acl = 0 in_use = False type = uxfs volume = v1116 pool = symm_std member_of = root_avm_fs_group_1 rw_servers= ro_servers= rw_vdms = ro_vdms = stor_devs = 000187940268-0074,000187940268-0075,000187940268-0076, 000187940268-0077,000187940268-0078,000187940268-0079,000187940268007A,000187940268-007B disks = d113,d114,d115,d116,d117,d118,d119,d120 ネーム サービスへのアクセスの構成 VNX 上の各 Data Mover には、ユーザー名、パスワード、ホーム ディレクトリ、グループ、ホ スト名、IP アドレス、ネットグループの定義を含む、ユーザーおよびシステムの情報を検索 30 EMC VNX Series 8.1 VNX NFS の構成 構成 するメカニズムが必要です。 Data Mover は、ネーム サービスにクエリーを実行してこの情 報を取得します。 IPv4 および IPv6 の両方の DNS サーバーが構成されているデュアル スタック ドメインでは、 そのドメインのすべての Data Mover 用 NFS サーバーで、各アドレス タイプにつき少なくとも 1 個のインターフェイスが構成されていることを確認する必要があります。 各 Data Mover には、次のネーム サービスのうち 1 つ以上を構成できます。 u ローカル ファイル(パスワード、グループ、ホスト、ネットグループ) u NIS(ネットワーク情報サービス) u ホスト名および IP アドレスの解決のための DNS(Domain Name System) u Sun Java System Directory Server LDAP 㽷 ASCII 以外の名前を持つユーザーおよびグループを使用する環境では、LDAP を使用する 必要があります。 ネーム サービスの構成および管理に関する詳細については、「 VNX ネーム サービスの構 成」を参照してください。 㽷 VNX と、VNX にアクセスするすべての NFSv4 クライアントでは、同じネーム サービスにアク セス可能である必要があります。 ローカル ファイルを使用する場合、Data Mover のパスワ ードとグループのファイルは、クライアントで使用するものと同じコンテンツを共有する必要 があります。 ユーザーおよびグループの名前を解決するように NFSv4 ドメインまたはネーム サービスを 構成しなかった場合、次の問題が発生します。 u ファイルまたはディレクトリを作成できない。 u アクセスが拒否される。 u ファイルシステム オブジェクトの所有権が誰にも設定されない。 VDM NFS 複数ドメイン ソリューションでは、VDM は Data Mover とは異なる名前空間で機能 するように構成されます。 Data Mover にロードされた 1 つ以上の VDM に必要なドメイン は、Data Mover クライアント レゾルバで構成する必要があります。 VDM ドメイン構成は、 VDM の名前空間に名前解決を限定するために、有効化されます。 Data Mover と同様に、VDM はホスト名、ユーザー、グループ、ネットグループのソースとし てローカル ファイルを使用する場合があります。 通常のホスト、パスワード、グループ、ネッ トグループ、および nsswitch.conf ファイルは、server_file コマンドを使用して、VDM ルート ファイル システムの .etc ディレクトリに入れることができます。 これらのファイルは、VDM ド メイン構成が server_nsdomains コマンドで有効化されたときのみ考慮されます。 それ以外 の場合、Data Mover ファイルは、Data Mover と同じ名前空間で機能する VDM によって使 用されます。 VDM ドメイン構成および Data Mover ローカル ファイル セットアップの詳細については、 「VNX 仮想 Data Mover の構成」を参照してください。 Unicode の確認または有効化 NFSv4 では、文字エンコードに UTF-8 が必要です。 デフォルトでは、システムは ASCII Latin-1 文字エンコードを使用するように構成されています。 NFSv4 クライアントからデータ にアクセスするには、文字エンコード方式を Unicode および UTF-8 に変更する必要があり ます。 VNX を新規にインストールする場合、ユーザーのファイルおよびディレクトリを作成する前 に、インストール中に Unicode を有効化できます。 既存の VNX を使用する場合、NFS V4 ク Unicode の確認または有効化 31 構成 ライアントからデータにアクセスする前に、Unicode を有効化してから、ファイルおよびディレ クトリを変換する必要があります。 また、適切な変換ディレクトリが作成され、必要な文字変 換ファイルがインストールされていることを確認する必要があります。 コマンド[$ /nas/ sbin/uc_config -on -mover <movername>]を使用して、1 つ以上の Data Mover の Unicode を有効化できます。 Unicode を構成および管理する方法については、「VNX for File での国際文字セットの使用」を 参照してください。 㽷㎞ いったん Unicode を有効化すると、無効化して ASCII モードに戻すことはできません。 手順 1. システムで Unicode が有効になっていることを確認するには、次のコマンド シンタクスを 使用して、多言語対応(I18N)モードを一覧表示します。 $ server_cifs[<movername>]|head ここで、 [<movername>] = Data Mover の名前。 例: server_2 で I18N モードを一覧表示するには、次のように入力します。 $ server_cifs server_2|head 出力: server_2 : 256 Cifs threads started Security mode = NT Max protocol = SMB2 I18N mode = UNICODE Home Directory Shares ENABLED, map=/.etc/homedir Usermapper auto broadcast enabled Usermapper[0] = [127.0.0.1] state:active (auto discovered) マウント ポイントの作成 エクスポートされた VNX ファイル システムをマウントするには、Data Mover 上でそのファイ ルシステムのマウントポイント(空のディレクトリ)を作成する必要があります。 㽷 このステップはオプションです。 server_mount コマンドはマウント ポイントを作成します。 手順 1. ファイルシステムのマウントポイントを作成するには、次のコマンドの文法を使用します。 $ server_mountpoint[<movername>]-create[<pathname>] ここで、 [<movername>] = Data Mover の名前 [<pathname>] = マウント ポイントへのパス 例: server_2 にマウント ポイント/usf1 を作成するには、次のように入力します。 $ server_mountpoint server_2 -create /ufs1 32 EMC VNX Series 8.1 VNX NFS の構成 構成 出力: server_2 : done マウント ポイントの一覧表示 手順 1. マウント ポイントが作成されたかどうかを確認するには、次のコマンド シンタクスを使用 します。 $ server_mountpoint[<movername>]-list ここで、 [<movername>] = Data Mover の名前 例: マウント ポイントが作成されたかどうかを確認するには、次のように入力します。 $ server_mountpoint server_2 -list 出力: server_2: /.etc_common /ufs1 /ufs1_ckpt1 /ufs2 /ufs3 ファイル システムのマウント マウント ポイントを作成したら、server_mount コマンドを使用してファイル システムを作成し たマウント ポイントにマウントします。 㽷 ファイルシステムは、マウントされると、ローカルのディレクトリ ツリーに組み込まれます。 フ ァイルシステムは、デフォルトでは永続的にマウントされます。 ファイルシステムを一時的に アンマウントした場合、ファイル サーバーを再起動すると、ファイルシステムは自動的に再 マウントされます。 ファイル システムをマウントするには、次の手順を実行します。 u 基本的な NFS アクセス用のファイルシステムのマウント(33 ページ) u NFSv4 アクセス用のファイルシステムのマウント(34 ページ) u ファイル システムのアンマウント(35 ページ) 基本的な NFS アクセス用のファイルシステムのマウント 基本的な NFS アクセス用のファイルシステムをマウントするには、server_mount コマンドを 使用します。 デフォルトでは、server_mount コマンドは NATIVE アクセス ポリシーを使用し てファイルシステムをマウントします。 マウント ポイントは先頭をスラッシュ(/)で始める必要 があります。 手順 1. ファイルシステムを Data Mover にマウントするには、次のコマンド シンタクスを使用しま す。 $ server_mount [<movername>] -option [<options>] [<fs_name>] /[<mount_point>] マウント ポイントの一覧表示 33 構成 ここで、 [<movername>] = Data Mover の名前 [<options>] = マウント オプションをコンマで区切って指定 [<fs_name>] = マウントされるファイルシステム [<mount_point>] = Data Mover のマウント ポイントへのパス 例: server_2 にファイルシステムをマウントするには、次のように入力します。 $ server_mount server_2 ufs1 /ufs1 出力: server_2 : done マウント ポイントの確認 手順 1. マウントが作成されたかどうかを確認するには、次のコマンド シンタクスを使用します。 $ server_mount[<movername>] ここで、 [<movername>] = Data Mover の名前 例: マウントが作成されたかどうかを確認するには、次のように入力します。 $ server_mount server_2 出力: server_2 : root_fs_2 on / uxfs,perm,rw root_fs_common on / .etc_common uxfs,perm,ro ufs1 on /ufs1 uxfs,perm,rw NFSv4 アクセス用のファイルシステムのマウント NFSv4 アクセス用のファイル システムをマウントするには、server_mount コマンドを使用し ます。 server_mount オプションの構成に関する詳細については、プランニング時の考慮事 項(18 ページ)を参考にしてください。 マウント ポイントは先頭をスラッシュ(/)で始める必要 があります。 server_mount コマンドの-option 引数は、NFSv4 クライアントからアクセスしたマウント済み ファイルシステムに対して、次のようなさまざまなオプションを指定します。 u アクセス制御および ACL 管理のタイプ u デリゲーション モード 手順 1. ファイルシステムを Data Mover にマウントするには、次のコマンド シンタクスを使用しま す。 $ server_mount [<movername>] -option [<options>] [<fs_name>] /[<mount_point>] ここで、 [<movername>] = Data Mover の名前 [<options>] = マウント オプションをコンマで区切って指定 34 EMC VNX Series 8.1 VNX NFS の構成 構成 [<fs_name>] = マウントされるファイルシステム [<mount_point>] = Data Mover のマウント ポイントへのパス 例: server_2 にファイルシステムをマウントし、ファイルシステム ufs1 のアクセス ポリシーに MIXED を設定するには、次のように入力します。 $ server_mount server_2 -option accesspolicy=MIXED ufs1 /ufs1 server_2 にファイルシステムをマウントし、ファイルシステム ufs1 の読み取り/書き込み のデリゲーションを無効にするには、次のように入力します。 $ server_mount server_2 -option nfsv4delegation=NONE ufs1 /ufs1 出力: server_2 : done ファイル システムのアンマウント server_umount コマンドを使用すると、ファイル システムを Data Mover から一時的または 永続的にアンマウントすることができます。 特にファイルシステムを永続的にアンマウントす る場合、Data Mover 上のファイルシステムをすべてアンマウントする前に、(server_export unexport オプションを使用して)ファイルシステムの NFS エクスポートをアンエクスポートす ることを推奨します。 ファイルシステムのマウント方法を変更するには、server_umount コマ ンドを使用して Data Mover 上のファイルシステムを永続的にアンマウントしてから、ファイル システムを再マウントします。 㽷 ファイル システムを完全にアンマウントする場合、[server_mountpoint]コマンドを実行し て、古いマウント ポイントを削除することをお勧めします。 ファイル システムのアンマウントの詳細については、「VNX のボリュームとファイル システム の手動による管理」を参照してください。 㽷 server_umount コマンドを使用すると、NFSv4 デリゲーションがすべてリコールされ、未処理 のロックがすべて解除されます。 ファイル デリゲーションのリコールには、数秒かかる場合 があります。 ファイルシステムのエクスポート VNX ファイル システムを NFS ユーザーが使用できるようにするには、server_export コマン ドを使用して、ファイル システムへのパスをエクスポートする必要があります。 server_export コマンドを発行するたびに、エントリーがエクスポート テーブルの既存のエン トリーに追加されます。 テーブルへのエントリーは永続的であり、システムが再起動すると 自動的に再エクスポートされます。 次のような-option 引数を使用して、エクスポートされた各ファイル システムの NFS クライア ントに複数のオプションを指定できます。 u 読み取り/書き込みアクセスのレベル u VLAN によるアクセス制限 u 排他的な NFS V4 アクセス u ユーザー認証方法 ファイル システムのアンマウント 35 構成 これらのオプションの詳細については、プランニング時の考慮事項(18 ページ)を参照してく ださい。 ファイル システムのエクスポートは、次のタスクで構成されます。 u 基本的な NFS アクセス用のファイルシステムのエクスポート(36 ページ) u アクセス レベル(37 ページ) u マルチ レベルのファイルシステム(40 ページ) u setuid および setgid ビットのアクセスの防止(38 ページ) u VLAN によるアクセス制限(41 ページ) u NFSv4 アクセスの指定(41 ページ) u ユーザー認証方法の指定(42 ページ) 㽷 次の手順で説明している server_export コマンドは、[movername]として VDM で適用できま す。 VDM にファイル システムをエクスポートする方法の詳細については、「VNX 仮想 Data Mover の構成」を参照してください。 基本的な NFS アクセス用のファイルシステムのエクスポート 基本的な NFS アクセス用のファイルシステムをエクスポートするには、server_export コマン ドを使用します。 デフォルトでは、server_export コマンドは、すべての NFS クライアント用に ファイルシステムを読み取り/書き込みとしてエクスポートし、UNIX のユーザー認証を使用し ます。 手順 1. クライアント システムからの NFS アクセス用に VNX ファイルシステムをエクスポートする には、次のコマンド シンタクスを使用します。 $ server_export [<movername>]-Protocol nfs [-name [<name>]] [-ignore] [-option [<options>]] [-comment [<comment>]] [<pathname>] ここで、 [<movername>] = Data Mover の名前 [<name>] = オプションの NFS エクスポート名 [<options>] = NFS エクスポートに適用されるオプション [<comment>] = オプションのコメント [<pathname>] = NFS エクスポート パス名 例: NFS アクセス用にファイルシステムをエクスポートするには、次のように入力します。 $ server_export server_2 -Protocol nfs -name nasdocsfs -comment 'NFS Export for ufs1' /ufs1 NFS アクセス用にすべてのファイルシステムをエクスポートするには、次のように入力し ます。 $ server_export server_2 -Protocol nfs -all 出力: server_2: done 36 EMC VNX Series 8.1 VNX NFS の構成 構成 エクスポートしたファイルシステムの確認 手順 1. ファイルシステムがエクスポートされたことを確認するには、次のコマンド シンタクスを使 用します。 $ server_export[<movername>]-list[<pathname>] ここで、 [<movername>] = Data Mover の名前 [<pathname>] = NFS エクスポートのパス名。 パス名を指定しない場合、ファイルシステ ムのエクスポートおよび共有がすべて一覧表示される。 例: ファイルシステムがエクスポートされたかどうかを確認するには、次のように入力しま す。 $ server_export server_2 -list /ufs1 出力: server_2 : export "/ufs1" name=/nasdocsfs comment="NFS Export for ufs1" アクセス レベル エクスポートされた各ファイルシステムの NFS クライアントで利用可能な読み取り/書き込み アクセスのレベルを指定するには、server_export コマンドで-option 引数を使用します。 ク ライアントは、ホスト名、ネットグループ、サブネット、IP アドレスで識別されます。 モード ビットまたは ACL を使用して、個別のユーザー アクセスを指定します。 これらのオプ ションの詳細については、プランニング時の考慮事項(18 ページ)を参照してください。 アクセス オプションについては、NFS エクスポートのアクセス オプション(37 ページ)を参 照してください。 表 3 NFS エクスポートのアクセス オプション 選択肢 説明 ro すべての NFS クライアントに読み取り専用としてパスをエクスポートする。 ro=<clients> 指定した NFS クライアントに読み取り専用としてパスをエクスポートする。 rw=<clients> 指定したクライアントに読み取りまたは書き込みとしてパスをエクスポートす る。 その他のオプションを指定しない場合、すべてのクライアントに読み取り 専用のアクセスが許可される。 access=<clients> 指定したクライアントにデフォルトのアクセスを付与する。 明示的にアクセス 権を付与されていない NFS クライアントに対しては、アクセスを拒否します。 root=<clients> root=にクライアントを指定することで、export コマンドに記述されるクライア ントに root アクセスを指定する。 ただし、ルート アクセスを設定しても、エク スポート自体へのアクセスは付与されない。 ルート アクセスはその他の権 限に追加される。 ro=、rw=、access=、root=のクライアント リストには、ホスト名、ネットグループ、サブネット、 IP アドレスのいずれかを使用でき、スペースなしのコロンで区切る必要があります。 また、 ro=、rw=、access=に対するエントリーの前にダッシュ(-)を使用して、アクセスを除外するこ ともできます。 たとえば、「rw=-host1」のように指定します。 アクセス レベル 37 構成 通常のリリースでは、完全なエクスポート文字列の最大レングスは 8184 バイトであり、NFS エクスポートのアクセス オプション(37 ページ)に一覧表示される各オプションの最大レング スは 2048 バイトです。 㽷 診断ビルドの場合、完全な文字列のレングスは 8160 バイトに削減されています。 アクセス オプションの設定および解釈の方法に関する詳細については、システム アクセス 動作(93 ページ)を参考にしてください。 㽷 sec オプションを使用してユーザー認証方法を定義する場合、アクセス オプションを定義す る前にユーザー認証方法を指定する必要があります。 そうでない場合、エクスポートは失 敗します。 セキュリティ オプションを定義するときに守るべき規則については、ユーザー認 証動作(99 ページ)を参考にしてください。 アクセス レベルの指定 手順 1. エクスポートされたファイルシステム上でアクセス レベルを指定するには、次のコマンド の文法を使用します。 $ server_export[movername]-Protocol nfs [-option[<options>]] [<pathname>] ここで、 [<movername>] = Data Mover の名前 [<options>] = エクスポート オプションをコンマで区切って指定 [<pathname>] = 指定されたパス 例: すべての NFS クライアント用にファイルシステム/ufs1 を読み取り専用としてエクスポー トするには、次のように入力します。 $ server_export server_2 -Protocol nfs -option ro /ufs1 指定した NFS クライアント用にファイルシステム/ufs1 を読み取り専用としてエクスポート するには、次のように入力します。 $ server_export server_2 -Protocol nfs -option ro, access=172.24.102.0/255.255.255.0 /ufs1 指定した NFS クライアント用にファイルシステム/ufs1 を読み取り専用として root 権限を 付与してエクスポートするには、次のように入力します。 $ server_export server_2 -Protocol nfs -option ro, root=172.24.102.240, access=172.24.102.0/255.255.255.0 /ufs1 出力: server_2 : done setuid および setgid ビットのアクセスの防止 setuid および setgid ビットは、そのユーザーとしての認証を行わずに、別のユーザーの権 限を使用して実行可能プログラムを実行できる、UNIX のパーミッション ビットです。 nosuid オプションは、指定した NFS クライアント上のユーザーが、エクスポートされたパス名(直接 エクスポートされたか、setuid または getuid パーミッション ビット セットを使用してファイル 38 EMC VNX Series 8.1 VNX NFS の構成 構成 をコピーあるいは作成してエクスポートされた)にあるファイル上の UNIX setuid および setgid ビットを設定できないようにします。この場合、クライアントに設定されているマウント オプションは無視されます。 クライアント名のリストを指定して nosuid NFS エクスポート オプションを使用すると、setuid ビットと setgid ビットがパーミッションからクリアされた後で、これらのクライアントのエクスポ ートされたパス名にあるファイルにパーミッションが設定されます。 各クライアント名の前に ダッシュ(-)を指定して nosuid NFS エクスポート オプションを使用すると、setuid ビットと setgid ビットがパーミッションからクリアされた後、リストされているクライアント以外のすべ てのクライアントのエクスポートされたパス名にあるファイルにパーミッションが設定されま す。 手順 1. setuid ビットおよび setgid ビットのアクセスを制限するには、次のいずれかのコマンド シ ンタクスを使用します。 $ server_export [<movername>] -Protocol nfs [-option nosuid=[<client>][:[<client>]]...] [<pathname>] OR $ server_export [<movername>] -Protocol nfs [-option nosuid=[<-client>][:[<-client>]]...] [<pathname>] ここで: [<movername>] = Data Mover の名前 [<client>] = ファイルをエクスポートするクライアントの名前。複数の場合はコロンで区切 る [<pathname>] = 指定されたパス 例: クライアント host10 と host11 に対する setuid および setgid ビットのアクセスを制限し て、Data Mover server_2 上の NFS パス名"/users/gary"をエクスポートするには、次の ように入力します。 $ server_export server_2 -Protocol nfs -option nosuid=host10:host11 /users/gary 出力: server_2 : done 例: クライアント host123 に対する setuid および setgid ビットのアクセスを制限して、すべ ての Data Mover 上の NFS パス名"/production1"をエクスポートするには、次のように 入力します。 $ server_export ALL -option nosuid=host123 /production1 出力: server_2 : done 例: setuid および setgid ビットのアクセスに加え root 権限も許可される 10.241.216.239 を 除き、すべてのクライアントに対する setuid および setgid ビットのアクセスを制限して、 すべての Data Mover 上の NFS パス名"/fs1"をエクスポートするには、次のように入力 します。 $ server_export server_2 -Protocol nfs -option root=10.241.216.239,nosuid=-10.241.216.239 /fs1 setuid および setgid ビットのアクセスの防止 39 構成 出力: server_2 : done マルチ レベルのファイルシステム すでにエクスポートされたパスに含まれるサブディレクトリなどの、マルチ レベルのファイル システムのディレクトリをエクスポートするには、server_export コマンドを使用します。 これ を設定するには、ツリー クォータが便利です。 エクスポートされた各ファイルシステムの NFS クライアントが使用できるアクセス権限(読み 取り/書き込みアクセスのレベル)の定義は、エクスポートごとに異なる場合があります。 ア クセス権限が競合する場合は、次のように処理されます。 u NFSv2 および NFSv3 では、エクスポートされたパスをマウントしているクライアントは、 パスに含まれるサブディレクトリがその他の権限でエクスポートされている場合でも、パ ス全体に対して付与されているアクセス権限と同じ権限を持ちます。 クライアントがサブ ディレクトリだけをマウントしており、そのマウント ポイントだけにアクセスする場合は、ク ライアントはエクスポートされたサブディレクトリのアクセス権限を持ちます。 u NFSv2 および NFSv3 のクライアントでは、競合するアクセス権限は NFSv2 および NFSv3 のプロトコル標準とは異なる方法で処理されます。 u NFSv4 では、クライアントがディレクトリを通過するたびにアクセス権限が計算されま す。 たとえば、NFSv2 および NFSv3 のクライアントに対して、/ufs1 への read-only アクセス、/ ufs1/dir1 への読み取り/書き込みアクセスが付与されており、そのクライアントに/ufs1 が マウントされている場合、/ufs1/dir1 を含む/ufs1 内のすべてのデータは読み取り専用にな ります。クライアントに/ufs1/dir1 がマウントされている場合、/ufs1/dir1 内のすべてのデー タは読み取り/書き込み許可になります。 NFSv4 のクライアントは、常にサーバーの仮想ルートにアクセスしてから、マウントするファ イルシステムが見つかるまで移動します。 NFSv4 は実際のマウントを持たないため、ディレ クトリを通過するたびに、アクセス権限が確認されます。 マルチ レベルのファイルシステムのエクスポート 手順 1. クライアント システムからの NFS アクセス用に、マルチ レベルの VNX ファイル システム をエクスポートするには、次のコマンド シンタクスを使用します。 $ server_export [<movername>] -Protocol nfs [-name [<name>]] [-ignore] [-option [<options>]][-comment [<comment>]] [<pathname>] ここでは、 [<movername>] = Data Mover の名前 [<name>] = オプションの NFS エクスポート名 [<options>] = NFS エクスポートに適用されるオプション [<comment>] = オプションのコメント [<pathname>] = NFS エクスポート パス名 例: すべてのクライアントに対して読み取りまたは書き込みアクセス権を付与してファイルシ ステムをエクスポートするには、次のように入力します。 $ server_export server_2 -Protocol nfs /ufs1 40 EMC VNX Series 8.1 VNX NFS の構成 構成 クライアントに read-only アクセスを付与して以前にエクスポートされたパスのサブディレ クトリをエクスポートするには、次のように入力します。 $ server_export server_2 -Protocol nfs -option ro /ufs1/dir1 出力: server_2: done VLAN によるアクセス制限 vlan オプションを設定すると、エクスポートされたファイルシステムのアクセスを特定の VLAN に属するホストに制限することができます。 それ以外の VLAN 上のホストでは、アクセ スが拒否されます。 単一または複数の VLAN を指定できます。 㽷 この手順でエクスポートされたファイルシステムのアクセスをホストに制限することができる のは、UNIX セキュリティ(AUTH_SYS)を使用している NFS ユーザーだけです。 Kerberos 認 証を使用しているユーザーまたはシステムは、この手順を実行できません。 手順 1. 指定した VLAN に含まれているクライアント システムからの NFS アクセス用に VNX ファ イル システムをエクスポートするには、次のコマンド シンタクスを使用します。 $ server_export[<movername>]-Protocol nfs [-option [<options>]] [<pathname>] ここで、 [<movername>] = Data Mover の名前 [<options>] = NFS エクスポートに適用されるオプション [<pathname>] = NFS エクスポート パス名 例: 指定した VLAN に含まれているクライアント システムからの NFS アクセス用にファイルシ ステムをエクスポートするには、次のように入力します。 $ server_export server_2 -Protocol nfs -option vlan=102,103,104 出力: server_2: done NFSv4 アクセスの指定 通常、ファイル システムは NFS プロトコルのすべてのバージョンにエクスポートされます。 フ ァイル システムへのアクセスは、nfsv4only オプションを設定して制限することができます。 netd ファイルで nfs start コマンドの hivers オプションを設定して NFSv4 サービスを有効化 せずに、nfsv4only オプションを使用してファイルシステムをエクスポートすると、問題がログ に記録されますがエクスポートは継続されます。 エクスポートは失敗しませんが、NFSv2、 NFSv3、NFSv4 によるアクセスはブロックされます。 㽷 sec オプションを使用してユーザー認証方法を定義する場合、nfsv4only オプションを定義 する前にユーザー認証方法を指定する必要があります。 そうでない場合、エクスポートは 失敗します。 セキュリティ オプションを定義するときに守るべき規則については、ユーザー 認証動作(99 ページ)を参考にしてください。 VLAN によるアクセス制限 41 構成 手順 1. NFS アクセス用に VNX ファイル システムをエクスポートするには、次のコマンド シンタク スを使用します。 $ server_export[<movername>]-Protocol nfs [-option [<options>]] [<pathname>] ここで、 [<movername>] = Data Mover の名前 [<options>] = NFS エクスポートに適用されるオプション [<pathname>] = NFS エクスポート パス名 例: NFS アクセス用にファイルシステムをエクスポートするには、次のように入力します。 $ server_export server_2 -Protocol nfs -option nfsv4only /ufs1 出力: server_2: done ユーザー認証方法の指定 ファイルシステムをエクスポートする際の、NFS サービスによるユーザーの認証方法を指定 できます。 ユーザーの認証方法は次のいずれかになります。 u UNIX セキュリティ u Kerberos UNIX セキュリティ(AUTH_SYS セキュリティとも呼ばれる)は、すべての標準の NFS クライア ントおよびサーバーで使用するデフォルトの認証方法です。 UNIX セキュリティは、セキュリ ティ オプションの sys を使用して指定します。 Secure NFS では、Kerberos ベースのユーザーおよびデータの認証、整合性、プライバシー を提供します。 Secure NFS では、次のセキュリティ オプションをサポートおよび指定します。 u krb5:Kerberos ユーザーおよびデータ認証。 u krb5i:各 NFS パケットへのシグネチャの追加による、Kerberos による認証およびデータ の整合性。 u krb5p:データをネットワークに送信する前に暗号化する、Kerberos による認証とデータ のプライバシー。 データの暗号化には、システム処理用の追加リソースが必要とされ る。 これらのオプションの詳細については、ユーザー認証(19 ページ)を参照。 㽷 まず、AUTH_SYS を使用して NFS を構成します。 Secure NFS は、NFS サービスが正常に実 行されてから構成してください。 Kerberos 認証を使用してファイルシステムをエクスポートするには、Secure NFS を設定する 必要があります。 Secure NFS の構成に関する詳細については、Windows Kerberos KDC を 使用した Secure NFS の構成(45 ページ)および UNIX または Linux の Kerberos KDC を 使用した Secure NFS の構成(53 ページ)を参照してください。 㽷 VDM に対するすべての NFS エクスポート オプションがサポートされます。 42 EMC VNX Series 8.1 VNX NFS の構成 構成 Kerberos 認証用のファイルシステムのエクスポート デフォルトでは、server_export コマンドは、すべての NFS クライアント用にファイルシステム を読み取り/書き込みとしてエクスポートします。 UNIX 認証情報を提示するユーザーにはア クセスは許可されません。 手順 1. Kerberos 認証を使用して VNX ファイルシステムをエクスポートするには、次のコマンド シンタクスを使用します。 $ server_export[<movername>]-Protocol nfs [-option [<options>]] [<pathname>] ここで、 [<movername>] = Data Mover の名前 [<options>] = NFS エクスポートに適用されるオプション [<pathname>] = NFS エクスポート パス名 例: Kerberos 認証を使用してファイルシステムをエクスポートするには、次のように入力しま す。 $ server_export lngbe245 -Protocol nfs -option sec=krb5 /ufs1 出力: lngbe245: done UNIX および Kerberos の認証のためのファイルシステムのエクスポート この例では、UNIX 認証情報を使用して認証を受けるユーザーには、read-only アクセスが 許可されます。 また、Kerberos を使用して認証を受けるユーザーには、ファイル システム への読み取りまたは書き込みアクセスが許可されます。 手順 1. UNIX および Kerberos の認証を使用して VNX ファイル システムをエクスポートするに は、次のコマンド シンタクスを使用します。 $ server_export[<movername>]-Protocol nfs [-option [<options>]] [<pathname>] ここで、 [<movername>] = Data Mover の名前 [<options>] = NFS エクスポートに適用されるオプション [<pathname>] = NFS エクスポート パス名 例: UNIX および Kerberos 認証を使用してファイルシステムをエクスポートするには、次のよ うに入力します。 $ server_export lngbe245 -Protocol nfs -option sec=krb5,sec=sys:ro /ufs1 出力: lngbe245: done ユーザー認証方法の指定 43 構成 MAC OS での GUI による NFS 共有のマウント はじめに u [Finder]をクリックし、[移動] > [ユーティリティ] > [ターミナル]を選択します。 u 管理者パスワードでログインします。 [Windows ドメインへの MAC の参加 ] 1. 管理ツール ディスクをインストールします(MAC OS クライアントのみに適用可能)。 2. ネットワーク構成を開きます。 [Apple アイコン] > [システム環境設定] > [ネットワーク] をクリックします。 3. [詳細]ボタンをクリックし、[DNS]タブを選択します。 4. Windows DNS IP アドレスを設定し、[検索ドメイン]をお使いの Windows ドメインに設定 します。 5. [アプリケーション ユーティリティ]ウィンドウから、[ディレクトリ ユーティリティ]を起動し ます。 6. [Finder]をクリックし、[移動] > [ユーティリティ] > [ターミナル]を選択します。 7. 変更を行うには、ロック アイコンをクリックしてディレクトリ サービスのロックを解除しま す。 㽷 これらの変更は、ローカル MAC クライアント アドミニストレータが行う必要があります。 8. [サービス]で、[Active Directory]をダブルクリックしてドメインに参加します。 9. Active Directory 情報を入力して、[OK]をクリックします。 10. [検索ポリシー]に Active Directory 含まれており、その検索フィールドに[カスタム パ ス]オプションが指定されていることを確認します。 [Active Directory]を最初の灰色以 外の位置に移動します。 [NFS 共有のマウント] 1. [移動] > [サーバーへ接続]をクリックします。 2. [サーバー アドレス]フィールドに nfs:// [<servername>] /[<sharename>]と入力し、[接 続]をクリックします。 3. ログイン画面が表示されます。 ユーザー名とパスワードを入力し、[接続]をクリックしま す。 4. これで、デスクトップで NFS 共有を参照できます。 㽷 デフォルトのマウントポイントは/Volumes です。 MAC OS での手動による NFS 共有のマウント はじめに 44 u [Finder]をクリックし、[移動] > [ユーティリティ] > [ターミナル]を選択します。 u 管理者パスワードでログインします。 EMC VNX Series 8.1 VNX NFS の構成 構成 㽷 CIFS 共有とは対照的に、NFS 共有は複数のマウントポイントにマウントできます。 デフォル トのマウントポイントは/Volumes です。 手順 1. NFS 共有をマウントするには、次のコマンド シンタクスを使用します。 /sbin/mount-t nfs[<servername>]:/[<sharename>]/ [<mountpoint>] ここで、 [<servername>] = サーバーの名前 [<sharename>] = NFS 共有の名前 [<mount_point>] = サーバーのマウント ポイントへのパス 例: nsx0304el1 に NFS 共有をマウントするには、次のように入力します。 /sbin/mount -t nfs nsx0304el1:/server4fs2/4fs2 㽷 次のようなエラーが返されることがあります。 mount_nfs:<sharename>にアクセスできません: ホストへのルートがありません <sharename>が正しいか確認します。 マウント:実際のパス/マウントポイント: 指定のファイルまたはディレクトリがありません 指定のマウントポイント パスは正しくありません。 出力: nsx0304el1 : done Windows Kerberos KDC を使用した Secure NFS の構成 はじめに Secure NFS は、次のいずれかを使用してサポートされています。 u Windows Kerberos KDC u UNIX Kerberos KDC u Linux Kerberos KDC これらのオプションの詳細については、プランニング時の考慮事項(18 ページ)を参照してく ださい。 Windows 環境で Secure NFS を構成する前に、Windows 2000 以降のドメイン、ならびにタ イム サーバー、ネーム サービス(理想的には NIS)へのアクセスを構成する必要がありま す。 u Data Mover、NFS クライアント、KDC のシステム時間は、すべてをほぼ同じ時刻に設定 する必要があります。これは、領域のすべてのクロックが、Kerberos 認証を実行できる よう同期する必要があるためです。 タイム サービスの構成方法については、「VNX タイ ム サービスの構成」を参照してください。 u UID に対するユーザーおよび GID に対するグループを解決するには、EMC では、 Secure NFS と NIS または iPlanet を併用することを推奨します。 Kerberos KDC、すべて のクライアント、すべての Data Mover は、同じ NIS または iPlanet のドメインのメンバー Windows Kerberos KDC を使用した Secure NFS の構成 45 構成 である必要があります。 NIS と iPlanet のいずれも使用していない場合、Data Mover 上 で/etc/passwd ファイルにすべてのユーザー名を追加し、/etc/group ファイルにグルー プを追加する必要があります。 NIS および iPlanet へのアクセスの構成方法について は、「VNX ネーム サービスの構成」を参照してください。 Windows Kerberos KDC を使用して Secure NFS を構成するには、次の手順に従います。 u 逆引き参照の動的な更新の有効化(46 ページ) u CIFS の構成(46 ページ) u Secure NFS サービス インスタンスの設定(49 ページ) u NFS のユーザーおよびグループのマッピング サービスの設定(51 ページ) u ACE の並べ替え(マルチプロトコル環境のみ)(53 ページ) 逆引き参照の動的な更新の有効化 Data Mover の DNS クライアントに、すべての CIFS サーバーの PTR レコードを動的に更新 するよう指示するには、updatePTRrecord パラメータを設定します。 DNS では、IP アドレスへのホスト名のマッピングを保持します。 また、DNS では、IP アドレス をホスト名にマッピングする PTR(ポインタ)レコードを保持することで逆引き参照を行うことも できます。 updatePTRrecord パラメータの詳細については、「VNX for File パラメータ ガイド」を参照してく ださい。 PTR レコードは、updatePTRrecord パラメータを使用する代わりに手動で更新することもでき ます。 パラメータとファシリティの名前は大文字と小文字が区別されます。 手順 1. Data Mover の DNS クライアントに、すべての CIFS サーバーの PTR レコードを更新する よう指示するには、次のコマンド シンタクスを使用します。 $ server_param[<movername>]-facility dns modifyupdatePTRrecord -value 1 ここで、 [<movername>] = Data Mover の名前 例: Data Mover の DNS クライアントに、すべての CIFS サーバーの PTR レコードを更新する ように指示するには、次のように入力します。 $ server_param server_2 -facility dns -modify updatePTRrecord -value 1 出力: server_2 : done CIFS の構成 Windows KDC を使用している場合、KDC にアクセスするために Data Mover 上で CIFS を構 成する必要があります。 手順 1. 次のコマンド シンタクスを使用して、Data Mover 上で CIFS サーバーを作成します。 $ server_cifs[<movername>]-addcompname=[<comp_name>],domain= [<full_domain_name>] ここで、 46 EMC VNX Series 8.1 VNX NFS の構成 構成 [<movername>] = Data Mover の名前 [<comp_name>] = DNS に登録されるサーバーの名前 [<full_domain_name>] = サーバーが属するドメインの完全な名前。 つまり、少なくとも 1 個のドット(.)が名前に含まれていなければなりません。 例: server_2 上に CIFS サーバー cifsserver を作成するには、次のように入力します。 $ server_cifs server_2 -add compname=cifsserver,domain=emc.com 㽷 server_cifs コマンドの追加のオプションの説明については、「EMC VNX for File コマンド ラ イン インターフェイス リファレンス」を参照してください。 CIFS 構成の詳細については、 「VNX CIFS の構成と管理」を参照してください。 2. 次のコマンド シンタクスを使用して、CIFS サービスを開始し、Data Mover の CIFS プロト コルをアクティブ化します。 $ server_setup[<movername>]-Protocol cifs -option start[= [<n>]] ここで、 [<movername>] = Data Mover の名前 [<n>] = CIFS ユーザーのスレッド数 (Data Mover が 1 GB のメモリを搭載している場合、 スレッドのデフォルト数は 96 です。 1 GB を超えるメモリを搭載している場合、スレッドの デフォルト数は 256 です)。 例: server_2 で CIFS サービスを起動するには、次のように入力します。 $ server_setup server_2 -Protocol cifs -option start 㽷 Secure NFS サービスでは、CIFS のスレッドを追加する必要はありません。 3. まだ参加させていない場合、次のコマンド シンタクスを使用して CIFS サーバーを Windows ドメインに参加させます。 $ server_cifs[<movername>]-Join compname= [<comp_name>],domain=[<full_domain_name>],admin= [<domain_administrator_name>],ou=[<organizational_unit>] ここで、 [<movername>] = Data Mover の名前 [<comp_name>] = DNS に登録されるサーバーの名前 [<full_domain_name>] = サーバーが属するドメインの完全な名前。 つまり、少なくとも 1 個のドット(.)が名前に含まれていなければなりません。 [<domain_administrator_name>] = CIFS サーバーが参加している組織単位内でコンピュ ータ アカウントを作成および管理する権利を持つユーザーのログイン名。 [<organizational_unit>] = Active Directory 内でコンピュータ アカウントが作成される組織 単位またはコンテナを指定します。 デフォルトでは、Computers という組織単位にコンピ ュータ アカウントが作成されます。 例: CIFS の構成 47 構成 管理者アカウントを使用して cifsserver を Active Directory ドメイン emc.com に参加さ せ、このサーバーを Engineering または Computers 組織単位に追加するには、次のよ うに入力します。 $ server_cifs server_2 -Join compname=cifsserver,domain=emc.com,admin=administrator,ou="ou=Compu ters:ou=Engineering" 4. 次のコマンド シンタクスを使用して、コンピュータ アカウントに NFS サービスを追加しま す。 $ server_cifs[<movername>]-Join compname= [<comp_name>],domain=[<full_domain_name>],admin= [<domain_administrator_name>],ou=[<organizational_unit>]option addservice=nfs ここで、 [<movername>] = Data Mover の名前 [<comp_name>] = DNS に登録されるサーバーの名前 [<full_domain_name>] = サーバーが属するドメインの完全な名前。 つまり、少なくとも 1 個のドット(.)が名前に含まれていなければなりません。 [<domain_administrator_name>] = CIFS サーバーが参加している組織単位内でコンピュ ータ アカウントを作成および管理する権利を持つユーザーのログイン名。 [<organizational_unit>] = Active Directory 内でコンピュータ アカウントが作成される組織 単位またはコンテナを指定します。 デフォルトでは、Computers という組織単位にコンピ ュータ アカウントが作成されます。 例: 前のステップで Windows ドメインに参加させたサーバーに NFS サービスを追加するに は、次のように入力します。 $ server_cifs server_2 -Join compname=cifsserver,domain= emc.com,admin=administrator -option addservice=nfs 5. 次のコマンド シンタクスを使用してマウント ポイントを作成します。 $ server_mountpoint[<movername>]-create[<pathname>] ここで、 [<movername>] = Data Mover の名前 [<pathname>] = マウント ポイントへのパス 例: server_2 にマウント ポイント/usf1 を作成するには、次のように入力します。 $ server_mountpoint server_2 -create /ufs1 㽷 このステップはオプションです。 server_mount コマンドはマウント ポイントを作成しま す。 6. マウント ポイントを作成したら、次のコマンド シンタクスを使用してファイルシステムをマ ウントします。 $ server_mount[<movername>]-option[<options>][<fs_name>] [<mount_point>] ここで、 [<movername>] = Data Mover の名前 48 EMC VNX Series 8.1 VNX NFS の構成 構成 [<options>] = マウント オプションをコンマで区切って指定 [<fs_name>] = マウントされるファイルシステム [<mount_point>] = Data Mover のマウント ポイントへのパス 例: server_2 にファイルシステム ufs1 をマウントするには、次のように入力します。 $ server_mount server_2 -option accesspolicy=MIXED ufs1 /ufs1 7. ファイルシステムを NFS ユーザーが使用できるようにするには、ファイルシステムへの パスをエクスポートします。 次のコマンド シンタクスを使用して、NFS アクセス用のファイ ルシステムを作成します。 $ server_export[<movername>]-Protocol nfs[<pathname>] ここで、 [<movername>] = Data Mover の名前 [<pathname>] = マウント ポイントへのパス 例: NFS アクセス用のファイルシステムを作成するには、次のように入力します。 $ server_export server_2 -Protocol nfs -name /ufs1 8. (オプション)NFS のユーザーと CIFS のユーザーを同じファイルシステムにアクセスさせ る環境を使用する場合、CIFS 共用を作成する必要があります。 共有のパス名をエクス ポートして CIFS アクセスの共有を作成するには、次のコマンド シンタクスを使用します。 $ server_export[<movername>]-Protocol cifs -name[<sharename>] [<pathname>] ここで、 [<movername>] = Data Mover の名前 [<sharename>] = CIFS 共有の名前 [<pathname>] = マウント ポイントへのパス 例: server_2 上に cifs_share という名前の共有を作成するには、次のように入力します。 $ server_export server_2 -Protocol cifs -name cifs_share /ufs1 Secure NFS サービス インスタンスの設定 Secure NFS サービスで Kerberos の認証を行ってからユーザー認証を行うには、Secure NFS サービス インスタンスが必要です。 Secure NFS サービス インスタンスの形式は service@server です。ここで、service は NFS、 server は Data Mover ホスト名で、たとえば、nfs@server_2 のように指定します。 VNX をインストールすると、Secure NFS インスタンスは、デフォルトでは、Secure NFS 構成フ ァイルに追加されます。 このインスタンスを使用するか、新しいインスタンスを作成できま す。 Secure NFS の初期構成の表示 手順 1. Secure NFS サービスの構成を表示するには、次のコマンドの文法を使用します。 $ server_nfs[<movername>]-secnfs ここで、 Secure NFS サービス インスタンスの設定 49 構成 [<movername>] = 指定された Data Mover の名前 例: Secure NFS サービスの構成を表示するには、次のように入力します。 $ server_nfs server_2 -secnfs 出力: server_2 : RPCSEC_GSS server stats Credential count: 1 principal: nfs@server_2 Total number of user contexts: 0 Current context handle: 1 Secure NFS サービス インスタンスの作成 手順 1. 次のコマンド シンタクスを使用して、デフォルトの Secure NFS インスタンスを削除: $ server_nfs[<movername>]-secnfs -principal -delete nfs@ [<server>] ここで、 [<movername>] = Data Mover の名前 [<server>] = 領域のタイプ 例: server_2 のデフォルトの Secure NFS インスタンスを削除するには、次のように入力しま す。 $ server_nfs server_2 -secnfs -principal -delete nfs@server_2 出力: server_2 : done 2. 次のコマンド シンタクスを使用して、新しい Secure NFS サービスを追加: $ server_nfs[<movername>]-secnfs -principal -create nfs@ [<server>] ここで、 [<movername>] = Data Mover の名前 [<server>] = 領域のタイプ 㽷 次の両方の形式を使用して、サービスを 2 回追加する必要があります: nfs@<Data_Mover_host_name>および nfs@<Data_Mover_fqdn> 例: 新しいホスト名に Secure NFS サービスを追加するには、次のように入力します。 $ server_nfs server_2 -secnfs -principal -create nfs@cifsserver 出力: server_2 : done サーバーの FQDN(完全修飾ドメイン名)を使用して 2 つ目のサービス インスタンスを追 加するには、次のように入力します。 $ server_nfs server_2 -secnfs -principal -create [email protected] 50 EMC VNX Series 8.1 VNX NFS の構成 構成 3. 次のコマンド シンタクスを使用して、Secure NFS サービスを停止: $ server_nfs[<movername>]-secnfs -service -stop ここで、 [<movername>] = Data Mover の名前 例: server_2 の Secure NFS サービスを停止するには、次のように入力します。 $ server_nfs server_2 -secnfs -service -stop 出力: server_2 : done 4. 次のコマンド シンタクスを使用して、Secure NFS サービスを開始: $ server_nfs[<movername>]-secnfs -service -start ここで、 [<movername>] = Data Mover の名前 例: server_2 の Secure NFS サービスを開始するには、次のように入力します。 $ server_nfs server_2 -secnfs -service -start 出力: server_2 : done NFS のユーザーおよびグループのマッピング サービスの設定 このセクションでは、NFS ユーザーおよびグループのマッピング サービスの設定について説 明します。 Secure NFS 環境では、ユーザー認証は Kerberos プリンシパル名に基づいています。 ただ し、エクスポートされたファイルシステム内のファイルおよびディレクトリへのアクセスは、UID および GID に基づいています。 ユーザーの Kerberos プリンシパル名は、マッピング サービ スを使用して UID にマッピングされます。 ユーザー認証の間、このマッピング情報は、 Kerberos 対応サービスへのデータ アクセスを決定するために使用されます。 Windows Kerberos KDC を使用している場合、マッピングは自動的に実行されます(デフォ ルトの方法)。 自動マッピングを使用する場合、ユーザーの UNIX 名はユーザーの Kerberos プリンシパル名から生成されます。 つまり、UNIX ユーザーのネームスペースは Kerberos ユーザーのネームスペースと必ず同じになるということです。 すべてのユーザー は、Kerberos と UNIX に同じ名前で認識されます。 ユーザー認証中に、ユーザーの UID と プライマリおよびセカンダリの GID は、Secure NFS のマッピング サービスで生成されます。 マッピングは必要に応じて自動的に生成されるため、マッピング ファイルは作成されませ ん。 㽷 このマッピング サービスを、CIFS で使用される VNX の UserMapper 機能と混同しないよう 注意してください。 Kerberos を使用して NFS ユーザーが認証を行うと、ユーザー プリンシパルの領域コンポー ネントは削除され、システムにより、UNIX ユーザー データベース(NIS またはローカル の/etc/passwd ファイル)でユーザー名が検索されます。 たとえば、プリンシパル [email protected] が、Kerberos のセキュリティ オプションを使用 してエクスポートされたファイルシステムにアクセスしようとすると、システムはプリンシパル を認証します。 システムは、ユーザー名 john のみを使用してパスワード データベースでユ NFS のユーザーおよびグループのマッピング サービスの設定 51 構成 ーザーを検索して、ユーザーの UID およびプライマリ GID を取得します。 グループ メンバー シップはグループ データベースから取得されます。 㽷 パスワード ファイルの作成方法については、「VNX ネーム サービスの構成」に説明されてい ます。 マッピング方法の確認 㽷 Config_Gsscred メッセージは、Secure NFS のマッピングの初期化中にのみ表示されます。 手順 1. Secure NFS で使用するマッピング サービスのタイプを確認するには、次のコマンドの文 法を使用します。 $ server_nfs[<movername>]-secnfs -mapper -info ここで、 [<movername>] = Data Mover の名前 例: server_2 のマッピング サービスの一覧を表示するには、次のように入力します。 $ server_nfs server_2 -secnfs -mapper -info 出力: server_2: Current NFS user mapping configuration is: Config_Gsscred::initialize: Reading NFS user mapper configuration: /.etc/gsscred.conf. .. gsscred db = automap gsscred db version = None passwd db = NIS 自動マッピングの設定 㽷 自動マッピングが機能しない場合、server_log にメッセージが送信されます。 手順 1. マッピング方法に自動マッピングを設定するには、次のコマンド シンタクスを使用しま す。 $ server_nfs[<movername>]-secnfs -mapper -set -source auto ここで、 [<movername>] = Data Mover の名前 例: server_2 に自動マッピングを設定するには、次のように入力します。 $ server_nfs server_2 -secnfs -mapper -set -source auto 出力: server_2: done 52 EMC VNX Series 8.1 VNX NFS の構成 構成 ACE の並べ替え(マルチプロトコル環境のみ) ACL を構成する ACE の順序づけには標準の方法はありません。 Solaris などの UNIX クライ アントでは、Windows クライアントとは異なる方法で ACE を順序づけます。 UNIX と Windows の両方のクライアントがファイルシステムにアクセスするマルチプロトコル環境で は、ACE の順序は、プロトコル(NFS または CIFS)セットまたは変更された ACL によって異な る場合があります。 アプリケーションによっては、ACE をアプリケーション固有の順序に設定 する場合があります。 これにより、ファイルシステム オブジェクトの ACL を Windows エクス プローラで開いたときに、望ましい ACE の順序ではない場合は、ACE の順序が正しくないこ とを警告するポップアップが Windows クライアントに表示され、ACE が並べ替えられます。 Windows エクスプローラが要求する順序にオブジェクトの ACE を常に並べ替えるよう、Data Mover に指示するには、acl.sortAces パラメーターを設定します。 acl.sortAces パラメータの詳細については、「VNX for File パラメータ ガイド」を参照してくださ い。 ACE の並べ替え 㽷 パラメータとファシリティの名前は大文字と小文字が区別されます。 手順 1. Windows エクスプローラが要求する順序に ACE を並べ替えるには、次のコマンドの文 法を使用します。 $ server_param[<movername>]-facility cifs -modify acl.sortAces -value 1 ここで、 [<movername>] = Data Mover の名前 例: acl.sortAces パラメータを 1 に設定するには、次のように入力します。 $ server_param server_2 -facility cifs -modify acl.sortAces -value 1 出力: server_2 : done UNIX または Linux の Kerberos KDC を使用した Secure NFS の構成 はじめに Secure NFS は、Windows、UNIX、Linux のいずれかの Kerberos KDC を使用してサポートさ れています。 これらのオプションの詳細については、プランニング時の考慮事項(18 ペー ジ)を参照してください。 Secure NFS を構成する前に、Kerberos KDC のインストールおよび構成と、DNS、タイム サ ーバー、ネーム サービス(NIS が望ましい)へのアクセスを構成する必要があります。 次の 点を考慮してください。 u Kerberos KDC は、SEAM(Sun Enterprise Authentication Mechanism)ソフトウェアを使 用した Solaris Kerberos KDC、または Linux Kerberos KDC のいずれかです。 KDC に関 する詳細については、Sun Web サイトで利用可能な SEAM のマニュアル、または Linux の標準のマニュアルを参照してください。 ACE の並べ替え(マルチプロトコル環境のみ) 53 構成 㽷 その他の UNIX システムの KDC は未テストです。 u KDC の構成後、Kerberos KDC をホストするサーバーのホスト(A)リソース レコードを DNS 構成に追加します。 また、DNS にアクセスするように Data Mover および NFS クラ イアントを構成する必要があります。 u Data Mover、NFS クライアント、KDC のシステム時間は、ほぼ同じ時刻に設定する必要 があります。これは、領域のすべてのクロックが、Kerberos 認証を実行できるよう同期 する必要があるためです。 タイム サービスの構成方法については、「VNX タイム サービ スの構成」を参照してください。 u UID に対するユーザーおよび GID に対するグループを解決するには、EMC では、 Secure NFS と NIS または iPlanet を併用することを推奨します。 Kerberos KDC、すべて のクライアント、すべての Data Mover は、同じ NIS または LDAP のドメインのメンバーで ある必要があります。 NIS と iPlanet のいずれも使用していない場合、Data Mover 上 で/passwd ファイルにすべてのユーザー名を追加し、/group ファイルにグループを追 加する必要があります。 NIS および iPlanet へのアクセスの構成方法については、「VNX ネーム サービスの構成」を参照してください。 Secure NFS を構成するには、次の手順に従います。 u Data Mover 名の設定(54 ページ) u Kerberos 領域の構成(55 ページ) u Secure NFS サービス インスタンスの設定(56 ページ) u NFS Kerberos サービス プリンシパルを作成(58 ページ) u ユーザー プリンシパル名の UID へのマップ(61 ページ) Data Mover 名の設定 Kerberos 領域では、各 Data Mover に一意の名前が必要です。 このため、Data Mover の 名前を設定する必要があります。 ホスト名として Data Mover の名前を使用しており、同じ Kerberos 領域に複数の VNX シス テムが存在する場合、Data Mover の名前を変更する必要があります。 㽷 一意のホスト名と IP アドレスが Data Mover のインターフェイスに関連づけられている場 合、Data Mover の名前を設定する必要はありません。 Data Mover の名前を変更する場 合、必ずその名前を DNS サーバーに追加してください。 手順 1. Data Mover の名前を設定するには、次のコマンド シンタクスを使用します。 $ server_name[<movername> <new_name>] ここで、 [<movername>] = Data Mover の名前 [<new_name>] = Data Mover の新しい名前 例: Data Mover の名前を server_2 から lngbe245 に変更するには、次のように入力しま す。 $ server_name server_2 lngbe245 54 EMC VNX Series 8.1 VNX NFS の構成 構成 出力: server_2 : lngbe245 Kerberos 領域の構成 Kerberos 領域および DNS ドメインに関する情報を Data Mover 上の Kerberos 構成に追加 します。 この構成情報は、Data Mover 上の/krb5.conf ファイルに保存されます。 エラーを 回避するために、この情報は直接編集しません。 server_kerberos コマンドを使用しま す。 Kerberos 領域を構成するには、次の操作が必要です。 u KDC および DNS ドメインを少なくとも 1 つずつ指定する。 u デフォルトの領域として Secure NFS で使用する領域を宣言する。 手順 1. ドメインおよび領域についての情報を入力するには、次のコマンド シンタクスを使用しま す。 $ server_kerberos [<movername>] -add realm=[<realm_name>],kdc=[<fqdn_kdc_name>],kadmin=[<kadmin_ server>],domain=[<domain_name>],defaultrealm ここで、 [<movername>] = Data Mover の名前 [<realm_name>] = KDC 構成に追加する Kerberos 領域の FQDN(完全修飾ドメイン名) [<fqdn_kdc_name>] = 領域に対する KDC の FQDN((完全修飾ドメイン名)) [<kadmin_server>] = kadmin サーバーの FQDN [<domain_name>] = 領域に対する DNS ドメインの完全な名前(領域と DNS ドメインが同 じ場合は省略可能) 例: lngbe245 のドメインおよび領域についての情報を追加するには、次のように入力しま す。 $ server_kerberos lngbe245 -add realm=example.com,kdc= kdc_1.lss.exam.com,kadmin=kdc_1.lss.exam.com,domain=lss.exam.com,de faultrealm 出力: lngbe245 : done 結果の確認 手順 1. 結果を確認するには、次のコマンドの文法を使用します。 $ server_kerberos[<movername>]-list ここで、 [<movername>] = Data Mover の名前 例: server_2 のドメインおよび領域についての情報を一覧表示するには、次のように入力し ます。 $ server_kerberos lngbe24 -list Kerberos 領域の構成 55 構成 出力: Kerberos common attributes section: Supported TGS encryption types: rc4-hmac-md5 des-cbc-md5 Supported TKT encryption types: rc4-hmac-md5 des-cbc-md5 Use DNS locator: yes default_realm: example.com End of Kerberos common attributes. Kerberos realm configuration: realm name: kdc: kadmin: default domain: example.com (default realm) kdc_1.lss.exam.com kdc_1.lss.exam.com lss.exam.com End of Kerberos realm configuration. Kerberos domain_realm section: DNS domain = Kerberos realm .lss.exam.com = example.com Secure NFS サービス インスタンスの設定 Secure NFS サービスで Kerberos の認証を行ってからユーザー認証を行うには、Secure NFS サービス インスタンスが必要です。 Secure NFS サービス インスタンスの形式は service@server です。ここで、service は NFS、 server は Data Mover ホスト名で、たとえば、nfs@server_2 のように指定します。 㽷 VNX をインストールすると、Secure NFS インスタンスは、デフォルトでは、Secure NFS 構成フ ァイルに追加されます。 このため、Data Mover の名前を server_n から変更した場合、構成 情報を変更する必要があります。 Secure NFS の初期構成の表示 手順 1. Secure NFS サービスの構成を表示するには、次のコマンドの文法を使用します。 $ server_nfs[<movername>]-secnfs ここで、 [<movername>] = 指定された Data Mover の名前 例: Secure NFS サービスの構成を表示するには、次のように入力します。 $ server_nfs server_2 -secnfs 出力: server_2 : RPCSEC_GSS server stats Credential count: 1 principal: nfs@server_2 Total number of user contexts: 0 Current context handle: 1 Secure NFS サービス インスタンスの変更 Data Mover の名前を server_n から変更したときに Secure NFS インスタンスを削除および 追加するには、次の手順を実行します。 この例では、Data Mover の名前を server_2 から lngbe245 に変更しています。 56 EMC VNX Series 8.1 VNX NFS の構成 構成 手順 1. 次のコマンド シンタクスを使用して、デフォルトの Secure NFS インスタンスを削除: $ server_nfs [<movername>]-secnfs -principal -delete [<service@server>] ここで、 [<movername>] = Data Mover の名前 [<service@server>] = サービスおよび領域のタイプ 例: server_2 の Secure NFS インスタンスを削除するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -principal -delete nfs@server_2 出力: lngbe245 : done 2. 次のコマンド シンタクスを使用して、新しい Secure NFS サービスを追加: $ server_nfs[<movername>]-secnfs -principal -create nfs@ [<server>] ここで、 [<movername>] = Data Mover の名前 [<server>] = 領域のタイプ 㽷 次の両方の形式を使用して、サービスを 2 回追加する必要があります: nfs@<Data_Mover_host_name>および nfs@<Data_Mover_fqdn> 例: 新しいホスト名に Secure NFS サービスを追加するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -principal -create nfs@lngbe245 サーバーの完全修飾ドメイン名を使用する 2 つ目のサービス インスタンスを追加するに は、次のように入力します。 $ server_nfs lngbe245 -secnfs -principal -create lngbe245.lss.exam.com 出力: lngbe245 : done 3. 次のコマンド シンタクスを使用して、Secure NFS サービスを停止: $ server_nfs[<movername>]-secnfs -service -stop ここで、 [<movername>] = Data Mover の名前 例: lngbe245 の Secure NFS サービスを停止するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -service -stop 出力: lngbe245 : done 4. 次のコマンド シンタクスを使用して、Secure NFS サービスを開始: $ server_nfs[<movername>]-secnfs -service -start Secure NFS サービス インスタンスの設定 57 構成 ここで、 [<movername>] = Data Mover の名前 例: lngbe245 の Secure NFS サービスを開始するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -service -start 出力: lngbe245 : done マルチホーム Data Mover サーバーのホスト名ではなく、サーバーのネットワーク インターフェイス名を使用してクライ アントがアクセスするインストール環境では、マルチホーム Data Mover を使用してサーバ ーのネットワーク インターフェイスに名前を付けることができます。 マルチホーム Data Mover を使用する場合、ネットワーク インターフェイスごとに Secure NFS インスタンスを追 加する必要があります。 たとえば、lngbe245 というホスト名と、lngbe245-1 および lngbe245-2 として認識される 2 個のネットワーク インターフェイスを持つ Data Mover を使用する場合、 nfs@lngbe245、 nfs@lngbe245-1、nfs@lngbe245-2 という 3 個の Secure NFS インスタンスを追加する必要 があります。 㽷 この場合、インターフェイス名は DNS ホスト名になります。 このインターフェイス名は、 server_ifconfig コマンドを使用したときに表示されるインターフェイス名とは異なる場合があ ります。 NFS Kerberos サービス プリンシパルを作成 サービス プリンシパルは、Secure NFS サービス インスタンスを Kerberos で表したもので す。 Secure NFS を動作させるには、次の処理が必要です。 u サービス インスタンスごとに NFS サービス プリンシパルを 2 個作成し、それらを Kerberos プリンシパルのデータベースに追加する。 サービス プリンシパルでは次の形 式を使用。 nfs/<Data_Mover_host_name> nfs/<Data_Mover_fqdn> u これらのサービス プリンシパルに対して暗号化または復号化セキュリティ キーを生成 し、それらを Data Mover のキータブに追加する。 サービス プリンシパルの KDC への追加 㽷 次の手順は、UNIX または Linux の Kerberos KDC を使用している場合にのみ関連します。 サービス プリンシパルは、Secure NFS サービス インスタンスを Kerberos で表したもので す。 これらのプリンシパルの作成方法は、Control Station が KDC にアクセスする方法によ って異なります。 Control Station で Kerberos KDC にネットワーク アクセスが不可能な場合 にサービス プリンシパルを追加するには、次の操作を行います。 58 u Data Mover にキータブ ファイルがあるかどうかを確認する。 u 2 つの NFS サービス プリンシパルを作成する。 EMC VNX Series 8.1 VNX NFS の構成 構成 u 関連づけるセキュリティ キーを生成する。 u キータブ ファイルを Data Mover にコピーする。 キータブ ファイル Data Mover にキータブ ファイルがあるかどうかを確認して、ある場合は Kerberos KDC にそ のキータブ ファイルをコピーします。 手順 1. Data Mover にキータブ ファイル(Windows 構成から)がある場合は、キータブ ファイル (/.etc/krb5.keytab)を Data Mover から Kerberos KDC にコピーします。 キータブ ファイルがない場合は、NFS Kerberos サービス プリンシパルを作成(58 ペー ジ)の説明に従ってサービス プリンシパルを追加します。 server_file コマンドと FTP(バイナリ転送)を使用して、Kerberos KDC 上の/etc ディレクト リにファイルをコピーします。 㽷 server_file コマンドの使用方法の詳細については、「EMC VNX for File コマンド ライン イン ターフェイス リファレンス」を参照してください。 FTP の操作方法については、「VNX での FTP、TFTP、SFTP の使用方法」を参照してください。 サービス プリンシパル 手順 1. Kerberos KDC から NFS サービス プリンシパルを作成するには、次のコマンド シンタクス を使用します。 kadmin: addprinc-randkey[<service_principal>] ここで、 [<service_principal>] = サービス プリンシパルの名前 例: サービス プリンシパルのうちの 1 個を作成するには、Data Mover の名前(nfs/ <Data_Mover_host_name>)を使用して、次のように入力します。 kadmin: add princ -randkey nfs/lngbe245 もう 1 個のサービス プリンシパル(Data Mover の FQDN の nfs/<Data_Mover_fqdn>)を 作成するには、次のように入力します。 kadmin: addprinc -randkey nfs/lngbe245.lss.exam.com 出力: Principal "nfs/[email protected]" created. プリンシパルの確認 㽷 この領域は自動的にサービス プリンシパルに追加されます。 手順 1. プリンシパルが追加されたかどうかを確認するには、次のように入力します。 kadmin: listprincs 出力: kadmin/[email protected] root/[email protected] NFS Kerberos サービス プリンシパルを作成 59 構成 kadmin/[email protected] kadmin/[email protected] root/[email protected] changepw/ [email protected] admin/[email protected] kadmin/[email protected] nfs/[email protected] nfs/[email protected] セキュリティ キーの生成 セキュリティ キーを生成する前に、サービス プリンシパルにキーが存在しないことを確認し ます。 たとえば、[email protected] のキーを生成し、キータブ ファイルの principal: nfs/[email protected] でこのエントリーを表示するには、まず古いエントリーを削除 します。 㽷 サービス プリンシパルのセキュリティ キーは、キー テーブルに追加されます。 手順 1. サービス プリンシパルごとにキーを生成して、これらのキーをキータブ ファイルに追加 するには、次のコマンド シンタクスを使用します。 kadmin: ktadd -k[<keytab_file_path>]nfs/[<name>] ここで、 [<keytab_file_path>] = キータブ ファイルの場所 [<name>] = 以前に作成したサービス プリンシパルの名前 例: lngbe245 用のキーを生成して、これらのキーを tmp/krb5.keytab に追加するには、次 のように入力します。 kadmin: ktadd -k /tmp/krb5.keytab nfs/lngbe245 出力: Entry for principal nfs/lngbe245..lss.exam.com with kvno 5, encryption type DES-CBC-CRC added to keytab WRFILE:/etc/krb5/ krb5.keytab. ファイルのコピー FTP(バイナリ転送)と server_file コマンドを使用して、krb5.keytab ファイルを Kerberos KDC から Data Mover にコピーします。 server_file コマンドの使用方法の詳細については、「EMC VNX for File コマンド ライン インターフェイス リファレンス」を参照してください。 キータブ ファイルの表示 サービス プリンシパルを作成してセキュリティ キーを生成したら、キータブ情報を表示しま す。 手順 1. キータブ情報を表示するには、次のように入力します。 $ server_kerberos lngbe245 -keytab 出力: lngbe245 : Dumping keytab file keytab file major version = 5, minor version 2 60 EMC VNX Series 8.1 VNX NFS の構成 構成 principal : nfs/[email protected] realm :example.com encryption type : des-cbc-crc principal type 1, key version : 2 key length : 8, key : e3a4570dbfb94ce5 principal : nfs/[email protected] realm :example.com encryption type : des-cbc-crc principal type 1, key version : 2 key length : 8, key : c497d3df255ef183 End of keytab entries. ユーザー プリンシパル名の UID へのマップ Secure NFS 環境では、ユーザー認証は Kerberos プリンシパル名に基づいています。 ただ し、エクスポートされた VNX ファイルシステム内のファイルおよびディレクトリへのアクセス は、UID および GID に基づいています。 ユーザーの Kerberos プリンシパル名は、マッピン グ サービスまたはネーム サービスを使用して UID にマッピングされます。 ユーザー認証の 間、このマッピング情報は、Kerberos 対応サービスへのデータ アクセスを決定するために 使用されます。 マッピング方法(61 ページ)に、プリンシパル名を UID にマッピングするために使用できる 3 種類の方法を示します。 表 4 マッピング方法 マッピング方法 技術的および非技術的な問題について、 Automatic すべてのユーザーが同じ Kerberos 領域に存在する場合 マッピング ユーティリティ(gsscred) Solaris 環境で、複数の領域が存在する場合 Data Mover に保存されたローカル マッピ Secure NFS サーバーが 1 台だけ存在する場合のみ ング ファイル ユーザー プリンシパル名の UID への自動マッピング すべてのユーザーが同じ Kerberos 領域に存在する場合は、自動マッピングを使用してくだ さい。 Windows Kerberos KDC を使用している場合は、常に自動マッピングが使用されま す。 自動マッピング Kerberos を使用して NFS ユーザーが認証を行うと、ユーザー プリンシパルの領域コンポー ネントは削除され、システムにより、UNIX ユーザー データベース(NIS またはローカル の/etc/passwd ファイル)でユーザー名が検索されます。 たとえば、プリンシパル [email protected] が、Kerberos のセキュリティ オプションを使用してエクスポートされた ファイルシステムにアクセスしようとすると、システムはプリンシパルを認証してから、ユーザ ー名 john のみを使用してパスワード データベースでユーザーを検索して、ユーザーの UID およびプライマリ GID を取得します。 グループ メンバーシップはグループ データベースから 取得されます。 㽷 パスワード ファイルの作成方法については、「VNX ネーム サービスの構成」に説明されてい ます。 自動マッピングを使用する場合、ユーザーの UNIX 名はユーザーの Kerberos プリンシパル 名から生成されます。 つまり、UNIX ユーザーのネームスペースは Kerberos ユーザーのネ ユーザー プリンシパル名の UID へのマップ 61 構成 ームスペースと必ず同じになり、すべてのユーザーが、Kerberos と UNIX に同じ名前で認識 されるということです。 ユーザー認証中に、ユーザーの UID とプライマリおよびセカンダリの GID は、Secure NFS のマッピング サービスで生成されます。 マッピングは必要に応じて自動的に生成されるた め、マッピング ファイルは作成されません。 㽷 このマッピング サービスを VNX の UserMapper 機能と混同しないよう注意してください。 次のような目的のために、自動マッピングの使用を推奨します。 u ユーザー マッピングの作成(gsscred)および管理に伴う管理オーバーヘッドを回避す る。 u ネットワーク トラフィックを軽減する。 u マッピング データベースにマッピング エントリーが存在しないためにファイルシステムへ のユーザーのアクセスが拒否される可能性を排除する。 マッピング方法の確認 㽷 Config_Gsscred メッセージは、Secure NFS のマッピングの初期化中にのみ表示されます。 手順 1. Secure NFS で使用するマッピング サービスのタイプを確認するには、次のコマンドの文 法を使用します。 $ server_nfs[<movername>]-secnfs -mapper -info ここで、 [<movername>] = Data Mover の名前 例: lngbe245 のマッピング サービスの一覧を表示するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -mapper -info 出力: lngbe245: Current NFS user mapping configuration is: Config_Gsscred::initialize: Reading NFS user mapper configuration: /.etc/gsscred.conf. .. gsscred db = automap gsscred db version = None passwd db = NIS 自動マッピングの使用 㽷 自動マッピングが機能しない場合、server_log にメッセージが送信されます。 手順 1. マッピング方法に自動マッピングを設定するには、次のコマンド シンタクスを使用しま す。 $ server_nfs[<movername>]-secnfs -mapper -set -source auto 62 EMC VNX Series 8.1 VNX NFS の構成 構成 ここで、 [<movername>] = Data Mover の名前 例: lngbe245 に自動マッピングを設定するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -mapper -set -source auto 出力: lngbe245: done Solaris マッピング ユーティリティ gsscred の使用 Solaris 環境では、マッピング ユーティリティ gsscred を使用してユーザー プリンシパル名を UID にマップします。 ユーザー認証の間、このマッピング情報は、Kerberos 対応サービスへ のデータ アクセスを決定するために使用されます。 マッピング ファイルのコピー gsscred を実行して Sun Kerberos クライアントで作成されたマッピング ファイル (gsscred_db)は、NIS サーバーに保存するか(推奨)、Data Mover にローカルで保存するこ とができます。 㽷 このマッピング サービスの使用に関する詳細については、gsscred のマニュアル ページと、 Sun の Web サイトから入手可能な SEAM のマニュアルを参照してください。 マッピング ファイルの保存場所に応じた操作については、マッピング ファイルの場所(63 ページ)を参照してください。 表 5 マッピング ファイルの場所 ファイルの保存場所 をクリックして、 NIS サーバー マッピング ファイル(gsscred_db)を NIS サーバーにコピーする。 Data Mover で構成ファイル(gsscred.conf)の情報変更が必要になる場合があ る。 Data MoverData Mover マッピング ファイル(gsscred_db)を Data Mover にコピーする。 構成ファ イル(gsscred.conf)は変更しない。 㽷 gsscred.conf ファイルは、最初の Secure NFS アクセス時に作成されます。 NIS サーバーへのマッピング ファイルのコピー マッピング ファイル(gsscred_db)を NIS サーバーにコピーした後で、NIS をマッピング情報 ソースとして指定するには、次の手順を実行します。 㽷 NIS と VNX の詳細については、「VNX ネーム サービスの構成」テクニカル モジュールを参照 してください。 Solaris マッピング ユーティリティ gsscred の使用 63 構成 手順 1. マッピング構成を NIS として指定するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -mapper -set -source nis 出力: lngbe245: done 2. パスワード データベースの場所を設定するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -mapper -set -passwddb nis 出力: lngbe245: done 3. NIS のマッピング構成を確認するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -mapper -info 出力: lngbe245: Current NFS user mapping configuration is: Config_Gsscred::initialize: Reading NFS user mapper configuration: /.etc/gsscred.conf. .. gsscred db = NIS gsscred db version = Solaris passwd db = NIS 4. NIS マスター サーバーから、gsscred_db の NIS マップを構築します。 詳細については、 NIS のマニュアルを参照してください。 Data Mover へのマッピング ファイルのコピー Solaris システムから Control Station にマッピング ファイル(/etc/gss/gsscred_db)をコピー するには、FTP を使用します。 㽷 ディレクトリを指定しない場合は、デフォルトで/.etc ディレクトリが使用されます。 また、この ファイルを別の場所にコピーする場合は、gsscred.conf ファイルを手動で変更する必要があ ります。 「VNX での FTP、TFTP、SFTP の使用方法」では、FTP の使用方法について説明します。 㽷 ファイルのコピー後に Data Mover を再起動しないでください。 手順 1. マッピング ファイルを Data Mover にコピーするには、次のコマンド シンタクスを使用しま す。 $ server_file[<movername>]-put[<src_file>][<dst_file>] ここで、 [<movername>] = Data Mover の名前 [<src_file>] = ソース ファイル [<dst_file>] = 宛先ファイル 64 EMC VNX Series 8.1 VNX NFS の構成 構成 例: マッピング ファイル(gsscred_db)を Data Mover にコピーするには、次のように入力しま す。 $ server_file lngbe245 -put gsscred_db gsscred_db 出力: lngbe245 : done ローカル マッピング ファイルの作成 はじめに server_nfs <movername> -secnfs -mapper -mapping コマンドを使用して、マッピング リレー ションシップを作成します。 -mapping オプション(-list、-create、-delete)は、ローカル マッピ ング ファイルを使用する場合のみ有効です。 1 台のみの Secure NFS サーバーしかない場合に、マッピング情報を作成して Data Mover に保存するには、次の方法を使用します。 ただし、EMC では、自動マッピングまたは gsscred ユーティリティを使用してマッピング情報を作成することを推奨しています。 マッピング エントリーの作成 手順 1. マッピング エントリーを作成するには、次のコマンドの文法を使用します。 $ server_nfs [<movername>]-secnfs -mapper -mapping -create {name=<user_name>|uid= <UID>} ここで、 [<user_name>] = ユーザー名 [<UID>] = ユーザー ID [<movername>] = Data Mover の名前 例: ローカル マッピング ファイルにユーザー nfsuser1 のマッピング エントリーを作成するに は、次のように入力します。 $ server_nfs lngbe245 -secnfs -mapper -mapping -create name=nfsuser1 出力: lngbe245 : done 㽷 Solaris と VNX では gsscred_db マップの形式は異なるため、このコマンドを使用して Solaris マップにマッピング エントリーを追加することはできません。 このような処理を実 行すると、次のメッセージが表示されます。 $ server_nfs server_x -secnfs -mapper -mapping -create name=user2 server_x : addUser: Cannot update a Solaris map (would mix formats) Error 4020: server_x : failed to complete command ローカル マッピング ファイルの作成 65 構成 マッピング ファイルの場所の指定 この例では、デフォルトのファイル パス名が使用されています。 デフォルト値を使用する場 合は、ファイル パス名を指定しないでください。 手順 1. マッピング ファイルの場所を指定するには、次のコマンド シンタクスを使用します。 $ server_nfs[<movername>]-secnfs -mapper -set -source [<file>]path=[<file_path>] ここでは、 [<movername>] = Data Mover の名前 [<file_path>] = 指定されたファイルのパス 例: マッピング ファイルの場所を指定するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -mapper -set -source file path=/.etc/gsscred_db 出力: lngbe245 : done マッピング構成の確認 手順 1. マッピング構成を確認するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -mapper -info 出力: lngbe245: Current NFS user mapping configuration is: Config_Gsscred::initialize: Reading NFS user mapper configuration: /.etc/gsscred.conf... gsscred db = File gsscred db version = Dart_V1 passwd db = NIS クライアント システムへの VNX ファイル システムのマウント NFS ユーザーに VNX ファイル システムへのアクセスを許可するには、NFS ツールが使用可 能なクライアント システムに、エクスポートされた VNX ファイル システムをマウントする必要 があります。 NFS を実行しているコンピュータにファイルシステムをマウントする方法についての詳細は、 NFS ソフトウェアのマニュアルを参照してください。 66 EMC VNX Series 8.1 VNX NFS の構成 第4章 IT リスク NFS の管理に関するタスクは、次のとおりです。 u u u NFS の管理........................................................................................................... 68 NFSv4 の管理........................................................................................................74 Secure NFS の管理................................................................................................ 80 IT リスク 67 IT リスク NFS の管理 ファイルシステムに対する基本的な NFS アクセスを管理するタスクは、次のとおりです。 u VNX ファイル システムへの NFS パスのアンエクスポート(68 ページ) u VNX 上のすべての NFS パスの再エクスポート(69 ページ) u Data Mover 上のすべてのファイルシステムに対する NFS アクセスの無効化(69 ペー ジ) u NFS オートマウンタ機能のサポート(70 ページ) VNX ファイル システムへの NFS パスのアンエクスポート VNX ファイルシステムへの NFS クライアント アクセスを停止するには、Data Mover 上の NFS パスをアンエクスポートします。 ファイルシステムへの FNS アクセスは一時的または永続的に停止できます。 デフォルトで は、NFS のアンエクスポートは一時的です。 次にファイル サーバーを再起動すると、エント リーが自動的に再エクスポートされます。 永続的なアンエクスポートを指定すると、エクスポ ート テーブルからエントリーが削除されます。 NFS パスの一時的なアンエクスポート 手順 1. VNX ファイル システムへの NFS パスを一時的にアンエクスポートするには、次のコマン ド シンタクスを使用します。 $ server_export[<movername>]-Protocol nfs -unexport [<pathname>] ここで、 [<movername>] = Data Mover の名前 [<pathname>] = NFS エクスポート パス名 例: NFS パス/ufs1 を一時的にアンエクスポートするには、次のように入力します。 $ server_export server_2 -Protocol nfs -unexport /ufs1 出力: server_2: done NFS パスの永続的なアンエクスポート 手順 1. VNX ファイル システムへの NFS パスを永続的にアンエクスポートするには、次のコマン ド シンタクスを使用します。 $ server_export[<movername>]-Protocol nfs -unexport -perm [<pathname>] ここで、 [<movername>] = Data Mover の名前 [<pathname>] = NFS エクスポート パス名 例: NFS パス/ufs1 を永続的にアンエクスポートするには、次のように入力します。 68 EMC VNX Series 8.1 VNX NFS の構成 IT リスク $ server_export server_2 -Protocol nfs -unexport -perm /ufs1 出力: server_2: done VNX 上のすべての NFS パスの再エクスポート ファイル サーバーを実行中に、VNX 上の VNX ファイル システムへのすべての NFS パスを 再エクスポートできます。 この処理によって、ファイルサーバー上のエクスポート テーブル にあるすべての NFS エントリーが再エクスポートされます。 CLI から一時的にアンエクスポートされたファイルシステムを再エクスポートすると、元の(ア ンエクスポート前の)オプションに新しいエクスポート オプションが追加されます。 パス名の 再エクスポート時には、元のオプションと新しいオプションが使用されます。 一時的にアンエ クスポートした NFS パスを再エクスポートする場合にこの機能を使用します。 手順 1. VNX 上のすべての NFS パスを再エクスポートするには、次のように入力します。 $ server_export ALL -Protocol nfs -all 出力: server_2 : done server_3 : done server_4 : done Data Mover 上のすべてのファイルシステムに対する NFS アクセスの無効化 Data Mover 上のすべての VNX ファイル システムへの NFS クライアント アクセスを停止する には、すべてのファイル システムへの NFS パスを一度にアンエクスポートします。 VNX ファイルシステムへの FNS アクセスを一時的または永続的に停止できます。 デフォル トでは、NFS のアンエクスポートは一時的です。 次にファイル サーバーを再起動すると、フ ァイルシステムが自動的に再エクスポートされます。 永続的なアンエクスポートを指定する と、エクスポート テーブルからエントリーが削除されます。 すべての NFS パスの一時的なアンエクスポート 手順 1. Data Mover 上のすべての NFS パスを一時的にアンエクスポートするには、次のコマンド の文法を使用します。 $ server_export[<movername>]-Protocol nfs -unexport -all ここで、 [<movername>] = Data Mover の名前 例: server_2 上のすべての NFS パスを一時的にアンエクスポートするには、次のように入力 します。 $ server_export server_2 -Protocol nfs -unexport -all 出力: server_2: done すべての NFS パスの永続的なアンエクスポート VNX 上のすべての NFS パスの再エクスポート 69 IT リスク 手順 1. Data Mover 上のすべての NFS パスを永続的にアンエクスポートするには、次のコマンド の文法を使用します。 $ server_export [<movername>] -Protocol nfs -unexport -perm -all ここで、 [<movername>] = Data Mover の名前 例: server_2 上のすべての NFS パスを永続的にアンエクスポートするには、次のように入力 します。 $ server_export server_2 -Protocol nfs -unexport -perm -all 出力: server_2: done NFS オートマウンタ機能のサポート NFS クライアントで NFS オートマウンタ機能を使用する場合、ファイル サーバーからの NFS アクセス用に永続的にエクスポートされた各ファイル システムのエントリーを含む、オートマ ウント マップ ファイルを VNX 上に生成できます。 ファイルを作成し、ファイル内の競合を解 決したら、そのファイルを NFS クライアントまたは NIS サーバーにコピーして、オートマウンタ 構成への入力として使用できます。 このセクションでは、VNX 上にオートマウント マップ ファイルを作成する方法と、ファイル内 の競合を表示および解決する方法について説明します。 オートマウンタ機能の構成および 使用方法については、ご使用の NFS クライアントまたは NIS サーバーのマニュアルを参照 してください。 㽷 このセクションに示すすべてのオートマウンタ機能の例では、内部 Data Mover IP アドレス (192.168.1.x、192.168.2.x)とループバック IP アドレス(127.0.0.1)を含む、不要な IP アド レスがすべて削除されています。 オートマウント マップ ファイルの作成と保存 手順 1. オートマウント マップ ファイルを作成して画面に表示するには、次のように入力します。 $ nas_automountmap -create オートマウント マップ ファイルを作成して保存するには、次のコマンドの文法を使用しま す。 $ nas_automountmap -create -out [<outfile>] ここで、 [<outfile>] = 出力ファイル名 例: automountmap という名前のオートマウント マップ ファイルを作成して保存するには、次 のように入力します。 $ nas_automountmap -create -out automountmap 70 EMC VNX Series 8.1 VNX NFS の構成 IT リスク 㽷 オートマウント マップ ファイルを作成して保存する場合、画面には出力されません。 2. オートマウント マップ ファイルを表示し、保存されたことを確認するには、次のコマンド シ ンタクスを使用します。 $ more[<outfile>] ここで、 [<outfile>] = 出力ファイル名 例: オートマウント マップ ファイルを表示し、automountmap として保存されたことを確認す るには、次のように入力します。 $ more automountmap 出力: ufs1 -rw,intr,nosuid 127.0.0.1,10.172.128.47,192.168.2.2,192.168.1.2:/ufs1 ufs2 -rw,intr,nosuid 127.0.0.1,10.172.128.47,192.168.2.2,192.168.1.2:/ufs2 オートマウント マップ ファイルの更新 追加のファイルシステムをエクスポートする場合、新しいファイルシステムを含むようにオー トマウント マップ ファイルを更新する必要があります。 オートマウント マップ ファイルを更新 する際には、既存のバージョンを指定してファイルを更新します。 更新されたオートマウント マップ ファイルを作成するには、次のコマンドを使用します。 㽷 この例では、ufs3 と ufs4 の 2 個のエントリーが追加されます。ufs3 エントリーが既存のファ イルシステムと競合するため、ファイルシステム名と IP アドレスの組み合わせをエントリー に追加することによって名前が変更されます。 手順 1. 新しいオートマウント マップ ファイル エントリーを作成し、既存のオートマウント マップ フ ァイル<infile>とマージして、マージされた新しいオートマウント マップ ファイルを<outfile> として保存するには、次のコマンド シンタクスを使用します。 $ nas_automountmap -create -in [<infile>]-out[<outfile>] ここで、 [<infile>] = オートマウント マップ ファイルの名前 [<outfile>] = 新しい出力ファイルの名前 次に例を挙げます。 新しいオートマウント マップ ファイル エントリーを作成し、既存のオートマウント マップ フ ァイル(automountmap)とマージして、マージされた新しいオートマウント マップ ファイル を automountmap1 として保存するには、次のように入力します。 $ nas_automountmap -create -in automountmap -out automountmap1 出力: マージされたオートマウント マップ ファイル出力が作成され、保存されます。 画面には出力されません。 NFS オートマウンタ機能のサポート 71 IT リスク 更新されたオートマウント マップ ファイルの表示 手順 1. 更新されたオートマウント マップ ファイルを表示するには、次のコマンドの文法を使用し ます。 $ more[<outfile>] ここで、 [<outfile>] = 出力ファイル名 例: 更新されたオートマウント マップ ファイルを表示するには、次のように入力します。 $ more automountmap1 出力: ufs1 -rw,intr,suid 172.24.101.195:/ufs1 ufs2 -rw,intr,suid 172.24.101.195:/ufs2 ufs3_172.24.101.195 -rw,intr,suid 172.24.101.195:/ufs3 ufs3 -rw,intr,suid 172.24.101.200:/ufs3 ufs4 -rw,intr,suid 172.24.101.200:/ufs4 オートマウント マップ ファイル内で競合するマウント ポイントの表示 オートマウント マップ ファイルを更新すると、ファイル内で同じマウント ポイントを指定するエ ントリーの競合が発生する可能性があります。 オートマウント マップ ファイルに競合するエ ントリーが含まれる場合、そのファイルをオートマウント構成で使用するために NFS クライア ントまたは NIS サーバーにコピーする前に、テキスト エディタを使用して手動で訂正する必 要があります。 手順 1. オートマウント マップ ファイル<infile>内のマウント ポイント エントリーの競合リストをスク リーンに表示するには、次のコマンド シンタクスを使用します。 $ nas_automountmap -list_conflict[<infile>] ここで、 [<infile>] = オートマウント マップ ファイルの名前 例: 競合するマウントポイント エントリーの一覧を表示するには、次のように入力します。 $ nas_automountmap -list_conflict automountmap1 出力: 競合するマウントポイント エントリーの一覧は、画面または出力ファイルのいずれかに 出力されます。 Conflicting lists: ufs1 -rw,intr,suid 172.16.21.202:/ufs1 ufs1_172.16.21.203 -rw,intr,suid 172.16.21.203:/ufs1 オートマウント マップ ファイル内で競合するマウント ポイントの保存 手順 1. 新しいオートマウント マップ ファイル<outfile>内のマウント ポイント エントリーの競合リス トを保存するには、次のコマンド シンタクスを使用します。 72 EMC VNX Series 8.1 VNX NFS の構成 IT リスク $ nas_automountmap -list_conflict [<infile>]-out [<outfile>] ここで、 [<infile>] = オートマウント マップ ファイルの名前 [<outfile>] = 出力ファイル名 例: 新しいオートマウント マップ ファイル(automountmap2)内のマウント ポイント エントリー の競合リストを保存するには、次のように入力します。 $ nas_automountmap -list_conflict automountmap1 -out automountmap2 出力: Conflicting lists: ufs1 -rw,intr,suid 172.16.21.202:/ufs1 ufs1_172.16.21.203 -rw,intr,suid 172.16.21.203:/ufs1 NFS エクスポートの非表示 クライアントの権限にかかわらず、showmount 要求に応答する場合には、エクスポート テ ーブルおよびマウント テーブル情報は、デフォルトではすべて表示されます。 あるエントリ ーに対応するファイルシステムのマウント権限がクライアントに付与されていない場合、 forceFullShowmount パラメータを使用してそのエントリーを除外することができます。 NFS クライアントの権限にかかわらず、showmount 要求に応答する場合には、NFS クライ アントに返される NFS エクスポートおよびマウント テーブル情報は、デフォルトではすべて 表示されます。 この動作は、forceFullShowmount パラメータを使用して、NFS クライアント がアクセス権限を持っているエクスポートおよびマウント エントリーだけ表示されるように変 更できます。 アクセス権限を持っていない NFS クライアントのエクスポートには、エントリー はいっさい返されません。 㽷 forceFullShowmount パラメータの値は 0 または 1 で、デフォルトは 1(すべて表示)です。 手順 1. NFS エクスポートを非表示にするには、次のコマンド シンタクスを使用します。 $ server_param[<movername>]-facility mount -modify forceFullShowmount -value 0 ここで、 [<movername>] = Data Mover の名前 例: NFS エクスポートを非表示にするには、次のように入力します。 $ server_param server_2 -facility mount -modify forceFullShowmount -value 0 出力: server_2 : done forceFullShowmount パラメータ情報の確認 forceFullShowmount パラメータの構成値を確認できます。 forceFullShowmount パラメータ のデフォルト値は 1 です。NFS エクスポートを非表示するには、値を 0 に設定します。 NFS エクスポートの非表示 73 IT リスク 手順 1. forceFullShowmount が設定されたかどうかを確認するには、次のコマンド シンタクスを 使用します。 $ server_param[<movername>]-facility mount -info forceFullShowmount -verbose ここで、 [<movername>] = Data Mover の名前 例: forceFullShowmount が設定されたかどうかを確認するには、次のように入力します。 $ server_param server_2 -facility mount -info forceFullShowmount -verbose 出力: server_2 : name = facility_name = default_value = current_value = configured_value = user_action = change_effective = range = description = fully populate response. forceFullShowmount mount 1 0 0 none immediate (0,1) Forces response to showmount requests to NFSv4 の管理 ファイル システムに対する NFSv4 アクセスを管理するタスクは、次のとおりです。 u 状態期間の変更(74 ページ) u デリゲーション リコール タイムアウトの変更(75 ページ) u 使用できるノードの数の変更(75 ページ) u NFSv4 サービス ステータスの表示(76 ページ) u NFSv4 サービスの停止(76 ページ) u NFSv4 サービスの再開(77 ページ) u NFSv4 クライアントの表示(77 ページ) u NFSv4 クライアント情報の表示(78 ページ) u NFSv4 クライアントの解放(79 ページ) u 32 ビットおよび 64 ビット NFS クライアントのサポート(79 ページ) 状態期間の変更 leaseDuration パラメータとその値に関する追加情報については、「VNX for File パラメータ ガ イド」を参照してください。 パラメータとファシリティの名前は大文字と小文字が区別されま す。 手順 1. サーバーがクライアントの状態を保持する期間を変更するには、次のコマンドの文法を 使用します。 74 EMC VNX Series 8.1 VNX NFS の構成 IT リスク $ server_param[<movername>]-facility nfsv4-modify leaseDuration-value[<new_value>] ここで、 [<movername>] = Data Mover の名前 [<new_value>] = この値は lockd 機能の gpDuration パラメータで指定された猶予期間 未満にする必要があります。 例: サーバーがクライアントの状態を保持する期間を変更するには、次のように入力しま す。 $ server_param server_2 -facility nfsv4 -modify leaseDuration -value 20 出力: server_2 : done デリゲーション リコール タイムアウトの変更 recallTimeout パラメータの詳細については、「VNX for File パラメータ ガイド」を参照してくださ い。 パラメータとファシリティの名前は大文字と小文字が区別されます。 手順 1. デリゲーションをリコールするまでサーバーが待機する期間を変更するには、次のコマ ンドの文法を使用します。 $ server_param[<movername>]-facility nfsv4 modifyrecallTimeout -value[<new_value>] ここで、 [movername] = Data Mover の名前 [new_value] = 秒で表したパラメータの値。 値の範囲は 5~60 です。 例: デリゲーションをリコールするまでサーバーが待機する期間を変更するには、次のよう に入力します。 $ server_param server_2 -facility nfsv4 -modify recallTimeout -value 20 出力: server_2 : done 使用できるノードの数の変更 パーセンテージの範囲は 10~80%です(デフォルト)。 vnodePercent パラメータとその値に 関する追加情報については、「VNX for File パラメータ ガイド」を参照してください。 パラメータ とファシリティの名前は大文字と小文字が区別されます。 㽷 Data Mover を再起動して変更を有効にします。 手順 1. NFSv4 サーバーが使用するノードの最大パーセンテージを変更するには、次のコマンド シンタクスを使用します。 デリゲーション リコール タイムアウトの変更 75 IT リスク $ server_param[<movername>]-facility nfsv4 -modify vnodePercent -value[<new_value>] ここで、 [<movername>] = Data Mover の名前 [<new_value>] = 秒数で表したこのパラメータの値。 値の範囲は 10~80 です。 例: NFSv4 サーバーが使用するノードの最大パーセンテージを 50%に変更するには、次の ように入力します。 $ server_param server_2 -facility nfsv4 -modify vnodePercent -value 50 出力: server_2 : done NFSv4 サービス ステータスの表示 手順 1. NFSv4 サービス ステータスを表示するには、次のコマンド シンタクスを使用します。 $ server_nfs[<movername>]-v4 ここで、 [<movername>] = Data Mover の名前 例: server_2 上の NFSv4 サービス ステータスを表示するには、次のように入力します。 $ server_nfs server_2 -v4 出力: server_2 : --------------nfsv4 server status --------------* Service Started * -------- NFSv4 Clients -------Confirmed Clients : 2 UnConfirmed Clients : 0 ---------------------------------------- NFSv4 State -------Opens : 4 Locks : 0 Delegations : 0 -------------------------------- NFSv4 サービスの停止 デッドロック状態の解決を試みる場合のみ、NFSv4 サービスを停止します。 Linux ベースの クライアントは、このサービスが停止しているとスムーズに応答しません。 クライアント シス テムへの VNX ファイル システムの再マウントが必要になる場合があります。 NFS V4 クライ アントでは、NFS V4 サービスを停止すると、サーバーのシャットダウンまたはネットワーク障 害と同様の状態になります。 すべてのデリゲーションがリコールされ、ロックが解放され、フ ァイルが閉じられて、NFS V4 クライアントの状態がフラッシュされます。 手順 1. NFSv4 サービスを停止するには、次のコマンド シンタクスを使用します。 $ server_nfs[<movername>]-v4 -service -stop ここで、 76 EMC VNX Series 8.1 VNX NFS の構成 IT リスク [<movername>] = Data Mover の名前 例: server_2 で NFSv4 サービスを停止するには、次のように入力します。 $ server_nfs server_2 -v4 -service -stop 出力 server_2 : done NFSv4 サービスの再開 NFSv4 サービスを開始する前に、NFSv4 サービスを有効化する必要があります。 NFSv4 の サポートを有効化する方法については、はじめに(28 ページ)を参照してください。 このコマ ンドは NFSv4 サービスだけを停止します。 その他のバージョンの NFS は引き続き実行され ます。 手順 1. NFSv4 サービスを再開するには、NFSv4 サービスを有効化して次のコマンド シンタクス を使用します。 $ server_nfs[<movername>]-v4 -service -start ここで、 [<movername>] = Data Mover の名前 例: server_2 で NFSv4 サービスを起動するには、次のように入力します。 $ server_nfs server_2 -v4 -service -start 出力: server_2 : done NFSv4 クライアントの表示 手順 1. NFS V4 サーバーと同期化状態にあるすべてのクライアント システムを表示するには、 次のように入力します。 $ server_nfs[<movername>]-v4 -client -list ここで、 [<movername>] = Data Mover の名前 例: server_2 上の NFS サービスと同期化状態にある、すべてのクライアント システムを表示 するには、次のように入力します。 $ server_nfs server_2 -v4 -client -list 出力: server_2 : ------ nfsv4 server client list -----Hostname/ip: Index win901234 : 0xe2400000 10.171.2.76: 0xef400000 NFSv4 サービスの再開 77 IT リスク 㽷 l 最初の列には、NFS V4 クライアントのホスト名または IP アドレスが表示されます。 2 番目の列には、VNX がクライアント接続の識別に使用するインデックス番号が表示さ れます。 l クライアント リストは、NFSv4 クライアントがクライアント ID を設定した回数に基づい ています。 クライアント リストは、サーバー上でロック、共有予約、デリゲーション状 態の作成を必要とする以降のリクエストで、特定のクライアント識別子、コールバッ ク、コールバック識別子を使用する意図をサーバーに通知します。 すべてのユーザ ーとファイルで 1 つのクライアント ID を使用する NFSv4 クライアントもあれば、プロセ スごとに 1 つのクライアント ID を使用する NFSv4 クライアントもあります。 状態を保 持できるのはファイルだけで、ディレクトリはできません。 l NFS V4 クライアントは、アクティブ状態を維持する必要はありません。 クライアントが リースを更新する限り、クライアントのアクティブ状態が維持されます。 クライアントが 同期化状態でなくなると、コマンド出力には表示されなくなりますが、何らかの問題を 示すものではありません。 NFSv4 クライアント情報の表示 ホスト名、IP アドレス、インデックス番号でクライアント システムを識別できます。 インデック ス番号は、-v4 -client -list オプションを使用して取得します。 手順 1. NFS V4 サーバーと同期化状態にあるクライアント システムの情報を表示するには、次 のように入力します。 $ server_nfs[<movername>]-v4 -client -info { index=[<index>] | hostname=[<host>] | IPaddress=[<addr>] } ここで、 [<movername>] = Data Mover の名前 [<index>] = クライアント システムに割り当てられたインデックス番号 [<host>] = クライアント システムのホスト名 [<addr>] = クライアント システムの IP アドレス 例: server_2 上の NFS サービスと同期化状態にある、インデックス番号で識別されるクライ アント システムの情報を表示するには、次のように入力します。 $ server_nfs server_2 -v4 -client -info index=0xe2400000 $ server_nfs server_2 -v4 -client -info index=0xef400000 出力: server_2 : win901234 : 0xe2400000 user: usr1 : inode# 2479 server_2 : 10.171.2.76 : user: usr2 user: usr1 user: -2 : 78 EMC VNX Series 8.1 VNX NFS の構成 0xef400000 : inode# 2478 : inode# 2477 inode# 2476 IT リスク 㽷 出力には、接続されたクライアント ユーザーと、開かれているファイルのリストが表示さ れます。 ファイルは inode 番号で識別されます。 特定の inode 番号と関連づけられた ファイルの名前を特定するには、UNIX ベースの NFS クライアントから、<path-to-startsearch-from> -inum <inode> -print を検索するコマンドを使用します。 たとえば、find /ufs -inum 1103 -print と入力します。 ファイルが複数の名前で認識されている場合がある ので注意してください。 NFSv4 クライアントの解放 NFSv4 サーバーと同期化状態にあるクライアント システムのクライアント ID を解放するに は、次のコマンドを使用します。 クライアント ID を解放すると、すべてのロックが解放され、そのクライアント ID に関連づけら れたすべてのファイルが閉じます。 NFSv4 クライアントによって複数のクライアント ID が作 成されている場合は、1 個のクライアント ID を解放すると、そのクライアント ID に関連づけ られたファイルが閉じます。 㽷 デッドロックの解決を試みる場合のみ、クライアントの状態を解放します。 Linux ベースのク ライアント システムは、状態が解放されるとスムーズに応答しません。 クライアント システ ムへの VNX ファイル システムの再マウントが必要になる場合があります。 NFS V4 クライア ントでは、状態を解放すると、サーバーのシャットダウンまたはネットワーク障害と同様の状 態になります。 すべてのデリゲーションがリコールされ、ロックが解放されて、ファイルが閉 じられます。 手順 1. NFSv4 サーバーと同期化状態にあるクライアント システムのクライアント ID を解放する には、次のコマンド シンタクスを使用します。 $ server_nfs[<movername>]-v4 -client -release { index= [<index>]| hostname=[<host>] | IPaddress=[<addr>] } ここで、 [<movername>] = Data Mover の名前 [<index>] = クライアント システムに割り当てられたインデックス番号 [<host>] = クライアント システムのホスト名 [<addr>] = クライアント システムの IP アドレス 例: server_2 上の NFS サービスと同期化状態にある、インデックス番号で識別されるクライ アント システムを解放するには、次のように入力します。 $ server_nfs server_2 -v4 -client -release index=0xe2400000 出力: server_2 : done 32 ビットおよび 64 ビット NFS クライアントのサポート NFS V4 では標準で 64 ビット属性のサポートが規定されていますが、一部の NFS V4 クライ アント(Solaris 10 など)では、inode などの 64 ビット属性がサポートされていません。 この ため、VNX NFS V4 サーバーはデフォルトで 32 ビットに設定されます。 NFSv4 クライアントの解放 79 IT リスク 32bitClient パラメーターの詳細については、「VNX for File パラメーター ガイド」を参照してくだ さい。 㽷 パラメータとファシリティの名前は大文字と小文字が区別されます。 手順 1. NFS V4 サーバーで 64 ビットのサポートを有効化するには、次のコマンドの文法を使用 します。 $ server_param[<movername>]-facility nfsv4 -modify 32bitClient -value 0 ここで、 [<movername>] = Data Mover の名前 例: NFS V4 サーバーで 64 ビットのサポートを有効化するには、次のように入力します。 $ server_param server_2 -facility nfsv4 -modify 32bitClient -value 0 出力: server_2 : done Secure NFS の管理 Secure NFS を管理するタスクは、次のとおりです。 u キータブ エントリーの表示(80 ページ) u すべての Secure NFS サービス インスタンスを表示(81 ページ) u ユーザー属性の表示(81 ページ) u ローカル マッピング ファイル内のユーザー情報の表示(82 ページ) u ローカル マッピング ファイルからユーザーを削除(82 ページ) u サービス プリンシパルの削除(83 ページ) u 認証の解除(83 ページ) キータブ エントリーの表示 手順 1. キータブ情報を表示するには、次のように入力します。 $ server_kerberos lngbe245 -keytab 出力: lngbe245 : Dumping keytab file keytab file major version = 5, minor version = 2 principal: nfs/[email protected] realm: example.com encryption type: des-cbc-crc principal type 1, key version: 2 key length: 8, key: e3a4570dbfb94ce5 principal: nfs/[email protected] 80 EMC VNX Series 8.1 VNX NFS の構成 IT リスク realm: example.com encryption type: des-cbc-crc principal type 1, key version: 2 key length: 8, key: c497d3df255ef183 End of keytab entries. すべての Secure NFS サービス インスタンスを表示 手順 1. すべての Secure NFS サービス インスタンスを表示するには、次のコマンドの文法を使 用します。 $ server_nfs[<movername>]-secnfs -user -list ここで、 [<movername>] = Data Mover の名前 例: lngbe245 上のすべての Secure NFS サービス インスタンスを表示するには、次のように 入力します。 $ server_nfs lngbe245 -secnfs -user -list 出力: lngbe245: RPCSEC_GSS server stats Credential count: 2 principal: [email protected] principal: nfs@dm112-cge0 Total number of user contexts: 1 Current context handle: 3 PARTIAL user contexts: Total PARTIAL user contexts: 0 USED user contexts: [email protected], [email protected], handle=3, validity=35914s Total USED user contexts: 1 EXPIRED user contexts: Total EXPIRED user contexts: 0 ユーザー属性の表示 認証されたユーザーの属性を表示して、ユーザー認証コンテキストと、Kerberos プリンシパ ルがマッピングされている UID および GID を確認します。 手順 1. Kerberos ユーザー、サービス名、ユーザー認証コンテキスト識別子によって識別され る、認証されたユーザーの属性を表示するには、次のコマンド シンタクスを使用します。 $ server_nfs[<movername>]-secnfs -user -info {principal= [<user_principal>]| handle=[<handle_number>]} ここで、 [<movername>] = Data Mover の名前 [<user_principal>] = ユーザーの名前 すべての Secure NFS サービス インスタンスを表示 81 IT リスク [<handle_number>] = ユーザーの ID 例: 認証されたユーザーの属性を表示するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -user -info handle=38 出力: lngbe245: principal: [email protected] service: [email protected] handle: 38 validity: 6073s GSS flags: mutl conf intg redy tran credential: uid=1944, inuid=1944, gid=2765 ローカル マッピング ファイル内のユーザー情報の表示 次の手順は、Solaris UNIX の KDC と gsscred_db またはローカル マッピング ファイルを使 用している場合にのみ関連します。 ローカル マッピング ファイルの使用の詳細について は、ユーザー プリンシパル名の UID へのマップ(61 ページ)を参照してください。 手順 1. ローカル マッピング ファイル内のユーザー エントリーを表示するには、次のコマンドの 文法を使用します。 $ server_nfs[<movername>] -secnfs -mapper -mapping -list {name=[<user_name>]| uid=[<UID>]} ここで、 [<movername>] = Data Mover の名前 [<user_name>] = ユーザー名 [<UID>] = ユーザー ID 例: ローカル マッピング ファイル内のユーザー nfsuser1 の情報を表示するには、次のよう に入力します。 $ server_nfs lngbe245 -secnfs -mapper -mapping -list name=nfsuser1 出力: lngbe245: 0401000B06092A864886F7120102020000001A7365636E66 737573657231407374617465732E656D632E636F6D 1000 nfsuser1, kerberos_v5 ローカル マッピング ファイルからユーザーを削除 次の手順は、Solaris UNIX の KDC と gsscred_db またはローカル マッピング ファイルを使 用している場合にのみ関連します。 ローカル マッピング ファイルの使用の詳細について は、ユーザー プリンシパル名の UID へのマップ(61 ページ)を参照してください。 手順 1. ローカル マッピング ファイルからユーザー エントリーを削除するには、次のコマンドの文 法を使用します。 $ server_nfs -secnfs -mapper -mapping -delete {name= [<user_name>] | uid=[<UID>]} ここで、 82 EMC VNX Series 8.1 VNX NFS の構成 IT リスク [<user_name>] = ユーザー名 [<UID>] = ユーザー ID 例: ローカル マッピング ファイルからユーザー nfsuser1 を削除するには、次のように入力し ます。 $ server_nfs -secnfs -mapper -mapping -delete name=nfsuser1 出力: lngbe245: done サービス プリンシパルの削除 Secure NFS を使用する必要がなくなった場合、または Secure NFS を変更する必要がある 場合に、サービス プリンシパルを削除できます。 サービス プリンシパルを再開するには、create オプションを使用します。 手順 1. サービス プリンシパルを削除するには、次のコマンドの文法を使用します。 $ server_nfs[<movername>] -secnfs -principal -delete nas@ [<server>] ここで、 [<movername>] = Data Mover の名前 [<server>] = 領域のタイプ 例: サービス プリンシパルを削除するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -principal -delete nfs@lngbe245 出力: lngbe245: done 認証の解除 UID または GID のマッピングの問題を修正するために、認証を解除することができます。 現 在のユーザーとプリンシパルの一覧は、-list オプションを使用して取得します。 手順 1. ユーザーの Secure NFS 認証コンテキストを解除するには、次のコマンド シンタクスを使 用します。 $ server_nfs[<movername>]-secnfs -user -release {principal= [<user_principal>] | handle=[<handle_number>]} ここで、 [<movername>] = Data Mover の名前 [<user_principal>] = 解除するプリンシパルの名前 [<handle_number>] = ユーザーの ID 例: nfsuser1 に対する認証を解除するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -user -release [email protected] サービス プリンシパルの削除 83 IT リスク 出力: lngbe245: done 84 EMC VNX Series 8.1 VNX NFS の構成 第5章 トラブルシューティング 製品ラインのパフォーマンスと機能を継続的に改善および強化するための努力の一環とし て、EMC ではハードウェアおよびソフトウェアの新規バージョンを定期的にリリースしていま す。 そのため、このドキュメントで説明されている機能の中には、現在お使いのソフトウェア またはハードウェアのバージョンによっては、サポートされていないものもあります。 製品機 能の最新情報については、お使いの製品のリリース ノートを参照してください。 製品が正常に機能しない、またはこのドキュメントの説明どおりに動作しない場合には、 EMC カスタマー サポート担当者にお問い合わせください。 「VNX の問題解決ロードマップ」には、EMC オンライン サポートの使用および問題の解決の 詳細が記載されています。 この章のトピックは次のとおりです。 u u u u u u u EMC E-Lab Interoperability Navigator.....................................................................86 VNX ユーザー カスタマイズ ドキュメント.................................................................. 86 NFS V4 のトラブルシューティング............................................................................86 Secure NFS のトラブルシューティング..................................................................... 88 エラー メッセージ................................................................................................... 90 NFS V4 エラー メッセージ....................................................................................... 91 EMC トレーニングおよびプロフェッショナル サービス...............................................91 トラブルシューティング 85 トラブルシューティング EMC E-Lab Interoperability Navigator EMC E-Lab ™ Interoperability Navigator は検索可能な Web ベースのアプリケーションで す。このアプリケーションから、EMC 相互運用性サポート マトリックスにアクセスできます。 これは、EMC オンライン サポート(http://Support.EMC.com)で入手できます。 ログインした 後、[製品/サポート ツール]の下の右側のペインで、[E-Lab Navigator]をクリックしてくださ い。 VNX ユーザー カスタマイズ ドキュメント EMC は、ご使用の環境に合わせたステップごとの計画、設置、およびメンテナンスの手順を 作成できる手段をご用意しています。 VNX ユーザー カスタマイズ ドキュメントを作成するに は、次のアドレスに進みます: https://mydocs.emc.com/VNX にアクセスします。 NFS V4 のトラブルシューティング NFSv4 の使用中に問題が発生した場合、次を確認します。 u config ファイルで、hivers オプションが 4 に設定されていることを確認する。 u server_mount コマンドで、accesspolicy オプションが MIXED または MIXED_COMPAT に 設定されていることを確認する。 u NFSv4 の domain パラメータで次を確認する。 u l domain パラメータは設定されている必要がある。 このパラメータが設定されていな いと、ユーザーやグループがどこにもマッピングされない。 l サーバーとクライアントで同じドメイン名を使用している。 NFSv4 クライアント システムの mount コマンドで、バージョン 4 が指定されていることを 確認する。 次についても確認します。 u 接続性: l Data Mover から KDC に対する ping。 l Data Mover からクライアントに対する ping。 l NIS を使用している場合: – Data Mover から NIS に対する ping。 – 問題のあるユーザーまたはグループが、NIS の passwd ファイル、group ファイ ル、gsscred_db ファイルのいずれかに存在することを確認する。 u ネーム サービスの構成(NFSv4 サーバーとクライアントが同じ情報にアクセスする必要 がある)。 NFSv4 ステータスの表示 手順 1. NFSv4 サービス ステータスを表示するには、次のコマンド シンタクスを使用します。 $ server_nfs[<movername>]-v4 ここで、 [<movername>] = Data Mover の名前 86 EMC VNX Series 8.1 VNX NFS の構成 トラブルシューティング 例: server_2 上の NFSv4 サービス ステータスを表示するには、次のように入力します。 $ server_nfs server_2 -v4 出力: server_2: ---------- nfsv4 server status ---------* service started * ----- nfsv4 clients ----configured clients: 5 unconfirmed clients: 0 ----------------------------- nfsv4 state ----opens: 8 locks: 4 delegations: 0 NFS 統計の表示 手順 1. NFS の統計情報を表示するには、次のコマンドの文法を使用します。 $ server_nfs[<movername>]-stats ここで、 [<movername>] = Data Mover の名前 例: NFS の統計情報を表示するには、次のように入力します。 $ server_nfs server_2 -stats 出力: server_2: Server nfs(v2): proc ncalls null getattr setattr root lookup readlink read wrcache write create remove rename link symlink mkdir rmdir readdir fsstat 10 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 %totcalls ms/call 100.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 %totcalls ms/call failures 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 Server nfs (v3): proc ncalls v3null v3getattr v3setattr v3lookup 4 366 5 177 0.4 38.5 0.5 18.6 3.0 0.7 4.0 0.0 failures 0 0 0 0 NFS 統計の表示 87 トラブルシューティング v3access 326 v3readlink 0 v3read 4 v3write 12 v3create 10 v3mkdir 1 v3symlink 0 v3mknod 0 v3remove 8 v3rmdir 0 v3rename 1 v3link 0 v3readdir 13 v3readdirplus 2 v3fsstat 6 v3fsinfo 15 v3pathconf 0 v3commit 0 34.3 0.0 0.4 1.3 1.1 0.1 0.0 0.0 0.8 0.0 0.1 0.0 1.4 0.2 0.6 1.6 0.0 0.0 0.0 0.0 0.0 4.7 7.2 16.0 0.0 0.0 0.5 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 nfsv4 stats Proc Calls Max RWMax Ticks ---------- --------Null: 103 0 0 0 v4Null: 51 7106300 0 14194070 v4Compound: 13674 13213 0 3560727 v4Close: 3 57 0 165 v4Create: 80 4252 0 283343 v4GetAttr: 97 9337 0 47144 v4GetFh: 50 3 0 110 v4Lookup: 035 8777 0 148343 v4Open: 37 4883 0 142310 v4Open_Conf: 33 33 0 758 v4PutFh: 266 69 0 7309 v4PutrootFh: 531 939 0 2655 v4ReadDir: 13 8461 0 22995 v4Remove: 79 11098 0 121760 v4Renew: 12792 43 0 157575 v4SetAttr: 126 4182 0 176486 v4SetClntid: 35 40 0 732 v4Clntid_Conf: 35 22 0 666 v4Write: 5 13117 0 16417 ---------- -----------Total: 30045 18883565 Failed -----0 0 0 0 12 22 0 1 0 0 0 0 0 4 14 251 0 0 0 ----304 microsec/call ------------0 278315 260 55 3541 486 2 72 3846 22 27 5 1768 1541 12 1400 20 19 3283 ------628 Max active nfs threads: 9, bad read stream 0 Total NFS procs; 13725, time 19245, ave 1 Time in readStream 870991 usec (ave 0) Time in writeStream 63 usec (ave 80) Server lookupcache: nHit 1736 nFind 6603 nNegadd 13 nChecked 1736 Server rpc: ncalls 256947 nBadRpcData 1 nDuplicates 0 nResends 0 nBadAuths 0 Secure NFS のトラブルシューティング Secure NFS の使用中に問題が発生した場合は、次を確認します。 88 u 領域の構成 u Secure NFS の構成 u 暗号化または復号化キー EMC VNX Series 8.1 VNX NFS の構成 トラブルシューティング u Data Mover のサーバー ログ(server_log <movername>) u Data Mover およびクライアントでの DNS および NIS の構成 u NFS ユーザー マッピングの構成 u 時間同期のセットアップ u セキュリティ オプションを指定している server_mount コマンドのシンタクス u server_export コマンドのシンタクス u ネットワーク トレース u クライアントのチケット キャッシュ(klist) u クライアントの KDC ログ、デフォルトの場所は/var/krb5/kdc.log(UNIX/Linux KDC を使 用している場合のみ) 次の点を検証します。 u u サービスのステータス: l gssd デーモン l KDC サービス l DNS サービス 接続のチェック: l Data Mover から KDC に対する ping。 l Data Mover からクライアントに対する ping。 l NIS を使用している場合: – Data Mover から NIS に対する ping。 – 問題のあるユーザーまたはグループが、NIS の passwd ファイル、group ファイ ル、gsscred_db ファイルのいずれかに存在することを確認する。 u NFS クライアント: l Data Mover から、指定された共有を Kerberos を使用せずにエクスポートする。 l 指定された共有を NFS クライアントからマウントする。 ファイルシステムにアクセスできません ユーザーがファイルシステムにアクセスできない場合は、ユーザーが有効なセキュリティ コ ンテキストを持っていることを確認します。 手順 1. ユーザーとプリンシパルの一覧を取得するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -user -list 出力: server_lngbe245 : RPCSEC_GSS server stats Credential count: 1 principal: nfs@lngbe245 Total number of user contexts: 2 Current context handle: 5 PARTIAL user contexts: Total PARTIAL user contexts: 0 USED user contexts: ファイルシステムにアクセスできません 89 トラブルシューティング principal=root/[email protected], service=nfs@lngbe245, handle=1, validity=28028s [email protected], service=nfs@lngbe245, handle=4, validity=28510s Total USED user contexts: 2 EXPIRED user contexts: Total EXPIRED user contexts: 0 ユーザー認証の解除 ユーザーが一覧に含まれる場合は、そのユーザーに対する認証を解除した後、ユーザーに 再びファイルシステムにアクセスさせるようにします。 手順 1. ユーザーに対する認証を解除するには、次のコマンドの文法を使用します。 $ server_nfs[<movername>]-secnfs -user -release principal= [<user_principal>] ここで、 [<movername>] = Data Mover の名前 [<user_principal>] = 解除するプリンシパル 例: nsfuser1 に対する認証を解除するには、次のように入力します。 $ server_nfs lngbe245 -secnfs -user -release [email protected] 出力: lngbe245: done エラー メッセージ すべてのイベント メッセージ、アラート メッセージ、ステータス メッセージには、問題の状況 のトラブルシューティングに役立つ詳細情報と推奨されるアクションが提供されています。 メッセージの詳細を表示するには、次のいずれかの方法を使用します。 u Unisphere ソフトウェア: l u CLI(コマンド ライン インタフェース) l u このガイドで、それ以前のリリースのメッセージ形式でのメッセージに関する情報を 見つけます。 EMC オンライン サポート: l 90 nas_message -info <MessageID>と入力します。<MessageID>は、メッセージの ID 番 号です。 「 Celerra Error Messages Guide」: l u イベント、アラート、ステータス メッセージを右クリックして選択し、[Event Details]、 [Alert Details]、[Status Details]を表示します。 エラー メッセージの簡単な説明のテキストまたはメッセージの ID を使用して、EMC オンライン サポートのナレッジベースを検索します。 EMC オンライン サポートログイ EMC VNX Series 8.1 VNX NFS の構成 トラブルシューティング ンした後、適切な[製品ごとのサポート]ページにアクセスし、エラー メッセージを見 つけます。 NFS V4 エラー メッセージ NFS エラー番号は、複合要求内の失敗した操作に割り当てられます。 複合要求には複数 の NFS 操作が含まれ、その結果は複合応答のシーケンス内にエンコードされます。 成功し た操作の結果は、NFS4_OK ステータスの後に操作のエンコードされた結果を付加して示さ れます。 NFS 操作が失敗した場合は、エラー ステータスが応答に表示され、複合要求は中 止されます。 㽷 次の説明と RFC 3530 の間に相違がある場合は、RFC の説明が優先されます。 EMC トレーニングおよびプロフェッショナル サービス EMC カスタマー エデュケーション コースは、インフラストラクチャに対する投資全体の効果 を最大限に高めるために、自社の環境内で EMC ストレージ製品群を連携させる方法につ いて学ぶのに役立ちます。 EMC カスタマー エデュケーションの利点は、世界各国に設置さ れた便利な最新のラボで、オンライン トレーニングや実地トレーニングを受けられることで す。 EMC カスタマー トレーニング コースは、EMC のエキスパートによって開発および提供さ れています。 http://Support.EMC.com から EMC オンライン サポートにアクセスし、コース と登録の詳細をご確認ください。 EMC プロフェッショナル サービスは、システムの効率的な導入を支援します。 コンサルタン トがお客様のビジネス、IT プロセス、およびテクノロジーを評価し、所有する情報を最大限に 活かせる手法をお勧めします。 ビジネス プランから導入まで、IT スタッフを酷使したり新た な人材を採用したりせずに、必要な各種サポートを受けることができます。 詳細については EMC カスタマー サービス担当者にお問い合わせください。 NFS V4 エラー メッセージ 91 トラブルシューティング 92 EMC VNX Series 8.1 VNX NFS の構成 付録 A システム アクセス動作 この付録では、server_export コマンドに-option 引数を使用して、エクスポートされたファイ ルシステムの NFS クライアントに対して設定する読み取り/書き込みアクセスを解釈する方 法について説明します。 クライアントは、ホスト名、ネットグループ、サブネット、IP アドレスで 識別されます。 次のようなトピックが含まれています。 u u u u アクセス モードの組み合わせを指定した場合の動作............................................. 94 ホスト間、サブネット間、ネットグループ間の競合解決のルール.............................. 95 ネットグループに対する NFS の特別な検索順序の有効化...................................... 97 デフォルトのアクセス モードとして読み取り専用を指定...........................................98 システム アクセス動作 93 システム アクセス動作 アクセス モードの組み合わせを指定した場合の動作 アクセス モードの組み合わせ(94 ページ)は、server_export コマンドにアクセス モードの 組み合わせを指定した場合の結果を示したものです。 表の列の X は、そのアクセス モード を指定したことを意味します。 表 6 アクセス モードの組み合わせ ro ro= rw= access= 結果の動作 1 X X X 同じエクスポートで ro と ro=の両方を指定することはできない。 ro オプションは無視される。 ア クセスは 9 行目と同じ。 2 X X X 3 X X 4 X X 5 X X 6 X X 7 X 8 X X アクセス リストのホストには読み取り専用、読み取り/書き込みリストのホストには読み取り/書き 込み。 他のすべてのホストに対するアクセスは拒否されます。 読み取り/書き込みリストのホストには読み取り/書き込み。 他のすべてのホストには読み取り専 用アクセス。 X アクセス リストのホストには読み取り専用アクセス。 他のすべてのホストに対するアクセスは拒 否されます。 すべてに読み取り専用アクセス。 X 10 か 所 X X 11 X 12 X X 同じエクスポートで ro=と access=の両方を指定することはできない。 読み取り専用リストとアク セス リストのホストには読み取り専用。 読み取り/書き込みリストのホストには読み取り/書き込 み。 他のすべてのホストに対するアクセスは拒否されます。 読み取り/書き込みリストのホストには読み取り/書き込み、読み取り専用リストのホストには読 み取り専用。 他のすべてのホストに対するアクセスは拒否されます。 X 同じエクスポートで ro=と access=の両方を指定することはできない。 読み取り専用リストとアク セス リストのホストには読み取り専用。 他のすべてのホストに対するアクセスは拒否されます。 読み取り専用リストのホストには読み取り専用。 他のすべてのホストに対するアクセスは拒否さ れます。 13 X 14 X 94 同じエクスポートで ro と ro=の両方を指定することはできない。 ro オプションは無視される。 ア クセスは 11 行目と同じ。 同じエクスポートで ro と ro=の両方を指定することはできない。 ro オプションは無視される。 ア クセスは 12 行目と同じ。 X 16 同じエクスポートで ro と ro=の両方を指定することはできない。 ro オプションは無視される。 ア クセスは 10 行目と同じ。 X 9 15 X X 読み取り/書き込みリストのホストには読み取り/書き込み、アクセス リストのホストには読み取り 専用。 他のすべてのホストに対するアクセスは拒否されます。 読み取り/書き込みリストのホストには読み取り/書き込み。 他のすべてのホストには読み取り専 用。 X アクセス リストのホストには読み取り/書き込みアクセス。 他のすべてのホストに対するアクセス は拒否されます。 すべてのホストに読み取り/書き込み。 EMC VNX Series 8.1 VNX NFS の構成 システム アクセス動作 ホスト間、サブネット間、ネットグループ間の競合解決のルール ホストが複数のネットグループに属し、server_export コマンドを使用してこれらのネットグル ープに異なるタイプのアクセスが設定される場合は、一定のルールが適用されます。 競合 解決のルール(95 ページ)は、これらのルールについての説明と例を示しています。 この 例の中の host1 は、すべてのサブネットとネットグループのメンバーです。 表 7 競合解決のルール ルール 例 アクセス・ デフォルトでは、ホストとサブネットがネット グループより優先される。 rw=host1, ro=netgrp1 Host1 は、読み取り/書き込みアクセスを許可 される。 netgrp1 に属する他のすべてのホストは、 read-only アクセスを許可される。 rw=netgrp1, ro=subnet1 Host1 は、read-only アクセスを許可される。 host1 を含め subnet1 に属するすべてのホス トは、read-only アクセスを許可される。 host1 を除き netgrp1 に属するすべてのホス トは、読み取りまたは書き込みアクセスを許可 される。 spExportLookup パラメータを指定して、ホ rw=netgrp1, ro=subnet1 ストとネットグループがサブネットより優先 されるように設定できる。 このパラメーター の設定に関する詳細については、ネットグ ループに対する NFS の特別な検索順序の 有効化(97 ページ)を参照。 パラメータが設定されている場合、host1 を含 め netgrp1 に属するすべてのホストは、読み 取り/書き込みアクセスを許可される。 rw=subnet1, ro=netgrp1 host1 を含め subnet1 に属するすべてのホス トは、読み取り/書き込みアクセスを許可され る。 host1 を除き subnet1 に属するすべてのホス トは、read-only アクセスを許可される。 host1 を除き netgrp1 に属するすべてのホス トは、read-only アクセスを許可される。 パラメータが設定されている場合、host1 を含 め netgrp1 に属するすべてのホストは、readonly アクセスを許可される。 host1 を除き subnet1 に属するすべてのホス トは、読み取り/書き込みアクセスを許可され る。 rw=-subnet1:netgrp1 host1 を含め subnet1 に属するすべてのホス トは、read-only アクセスを許可される。 host1 を除き netgrp1 に属するすべてのホス トは、読み取り/書き込みアクセスを許可され る。 パラメータが設定されている場合、host1 を含 め netgrp1 に属するすべてのホストは、読み 取り/書き込みアクセスを許可される。 host1 を除き subnet1 に属するすべてのホス トは、read-only アクセスを許可される。 ホスト間、サブネット間、ネットグループ間の競合解決のルール 95 システム アクセス動作 表 7 競合解決のルール (続き) ルール 例 アクセス・ 㽷 この例では、否定が使用される。 ro=-subnet1:netgrp1 host1 は除外リストに含まれるためアクセスが 拒否される。 パラメータが設定されている場合、host1 は netgrp1 に属するため、read-only アクセスが 許可される。 㽷 この例では、否定が使用される。 読み取りまたは書き込みアクセスと read- rw=host1, ro=host1 only アクセスを使用した場合は、読み取 り/書き込みアクセスがデフォルトで許可さ ro=subnet1, rw=subnet1 れる。 デフォルトのアクセスとして read-only を指 定するには、secureExportMode パラメータ を指定する。 このパラメーターの設定については、デフ ォルトのアクセス モードとして読み取り専 用を指定(98 ページ)を参照。 ホストとサブネットを使用すると、最初に一 致するエントリーがアクセスの許可に使用 される。 rw=-subnet1:host1 host1 は、読み取りまたは書き込みアクセスを 許可される。 subnet1 に属するすべてのホストは、読み取 り/書き込みアクセスを許可される。 㽷 パラメータが設定されている場合、host1 は read-only アクセスを許可される。 Host1 は、読み取り/書き込みアクセスを拒否 される。 host1 を含め subnet1 に属する他のすべての ホストは、読み取り/書き込みアクセスを拒否 される。 rw=host1:-subnet1 Host1 は、読み取り/書き込みアクセスを許可 される。 subnet1 に属する他のすべてのホストは、読 み取り/書き込みアクセスを拒否される。 㽷 この例では、否定が使用される。 ホストが 2 つある場合は、最初に一致する rw=-host1:host1 エントリーがアクセスの許可に使用され る。 rw=host1:-host1 Host1 は、読み取り/書き込みアクセスを拒否 される。 Host1 は、読み取り/書き込みアクセスを許可 される。 㽷 この例では、否定が使用される。 サブネットが 2 つある場合は、最初に一致 rw=-subnet1:subnet2 するエントリーがアクセスの許可に使用さ れる。 96 EMC VNX Series 8.1 VNX NFS の構成 Host1 は、読み取り/書き込みアクセスを拒否 される。 システム アクセス動作 表 7 競合解決のルール (続き) ルール 例 アクセス・ subnet1 に属する他のすべてのホストは、読 み取り/書き込みアクセスを拒否される。 subnet2 に属する他のすべてのホストは、読 み取り/書き込みアクセスを許可される。 rw=subnet2:-subnet1 Host1 は、読み取り/書き込みアクセスを許可 される。 subnet2 に属する他のすべてのホストは、読 み取り/書き込みアクセスを許可される。 subnet1 に属する他のすべてのホストは、読 み取り/書き込みアクセスを拒否される。 㽷 この例では、否定が使用される。 ネットグループが 2 つある場合は、最初に 一致するエントリーがアクセスの許可に使 用される。 rw=-netgrp1:netgrp2 Host1 は、読み取り/書き込みアクセスを拒否 される。 netgrp1 に属する他のすべてのホストは、読 み取り/書き込みアクセスを拒否される。 netgrp2 に属する他のすべてのホストは、読 み取り/書き込みアクセスを許可される。 rw=netgrp2:-netgrp1 Host1 は、読み取り/書き込みアクセスを許可 される。 netgrp2 に属する他のすべてのホストは、読 み取り/書き込みアクセスを許可される。 netgrp1 に属する他のすべてのホストは、読 み取り/書き込みアクセスを拒否される。 㽷 この例では、否定が使用される。 ネットグループに対する NFS の特別な検索順序の有効化 NFS クライアントのサブネットに対するアクセス権限よりも、NFS クライアントのホストとネット グループ メンバーシップに対するアクセス権限の優先度を高くすることができます。 デフォ ルトでは、ネットグループ メンバーシップで決定されるアクセス権限よりも、ホスト名および サブネットで決定されるアクセス権の方が、優先度が高くなっています。 spExportLookup パラメータの詳細については、「VNX for File パラメータ ガイド」を参照してく ださい。 パラメータとファシリティの名前は大文字と小文字が区別されます。 㽷 デフォルトでは、このパラメータの値は 0 です。 ネットグループに対する NFS の特別な検索順序の有効化 97 システム アクセス動作 手順 1. spExportLookup をオンにするには、次のコマンド シンタクスを使用します。 $ server_param[<movername>]-facility nfs -modify spExportLookup -value 1 ここで、 [<movername>] = Data Mover の名前 例: NFS spExportLookup パラメータを設定するには、次のように入力します。 $ server_param server_2 -facility nfs -modify spExportLookup -value 1 出力: server_2 : done デフォルトのアクセス モードとして読み取り専用を指定 クライアント、サブネット、ネットグループが server_export -option リスト内に存在するとき に、読み取り/書き込みアクセス権と read-only アクセス権のどちらを付与するかで競合が 生じる場合、デフォルトでは、読み取り/書き込みアクセス権が付与されます。 secureExportMode パラメータを変更することによって、競合が存在する場合に read-only アクセス権を有効化するパラメータを設定できます。 詳細については、ホスト間、サブネット 間、ネットグループ間の競合解決のルール(95 ページ)を参照してください。 secureExportMode パラメータの詳細については、「VNX for File パラメータ ガイド」を参照して ください。 パラメータとファシリティの名前は大文字と小文字が区別されます。 手順 1. セキュア エクスポート モードをオンにするには、次のコマンドの文法を使用します。 $ server_param[<movername>]-facilitynfsmodifysecureExportMode-value 1 ここで、 [<movername>] = Data Mover の名前 例: NFS secureExportMode パラメータを 128 に設定するには、次のように入力します。 $ server_param server_2 -facility nfs -modify secureExportMode -value 1 出力: server_2 : done 98 EMC VNX Series 8.1 VNX NFS の構成 付録 B ユーザー認証動作 この付録では、server_export コマンドに sec オプションを使用して、エクスポートされたファ イルシステムの NFS クライアントに対して設定するセキュリティを解釈する方法について説 明します。 次のようなトピックが含まれています。 u u セキュリティ オプションを指定するときの全般的なルール..................................... 100 ルート アクセス モード..........................................................................................100 ユーザー認証動作 99 ユーザー認証動作 セキュリティ オプションを指定するときの全般的なルール セキュリティ オプションを指定する場合は、セキュリティ オプション ルールの指定(100 ペ ージ)に示されているルールが適用されます。 㽷 アクセス モードにはスペースを含めず、各アクセス モードをコンマ(,)で区切ります。 表 8 セキュリティ オプション ルールの指定 ルール 例 セキュリティ オプションが指定されない場合、ファイルシステム は AUTH_SYS 方式を使用してエクスポートされる。 server_export lngbe245 Protocol nfs -option ro /ufs アクセス モードを指定してからセキュリティ オプションを指定す ると、エクスポートは失敗する。 server_export lngbe245 Protocol nfs -option rw=client1:client2, sec=krb5:ro=client3 /ufs1 セキュリティ オプションの値を繰り返すと、エクスポートは失敗 する。 server_export lngbe245 Protocol nfs -option sec=krb5 :rw=client1, sec=krb5 :ro=client2 /ufs1 同じコマンドで複数のセキュリティ オプションを使用できる。 こ の例では、UNIX 証明書を使用して認証されたユーザーには読 み取り専用のアクセスが許可され、Kerberos を使用して認証さ れたユーザーは読み取り/書き込みアクセスが許可される。 server_export lngbe245 Protocol nfs -option sec=krb5,sec=sys :ro / ufs1 1 つのセキュリティ オプションで複数のモードを利用できる。 こ の例では、クライアントはすべて Kerberos を使用して認証さ れ、client1 と client2 には読み取り/書き込みアクセス、client3 と client4 には読み取り専用のアクセスが許可される。 server_export lngbe245 Protocol nfs -option sec=krb5: rw=client1:client2, ro=client3:client4 /ufs1 ルート アクセス モード root=アクセス モードは、指定したホスト名、ネットグループ、サブネット、IP アドレスの root ユーザーにのみ適用されます。 セキュリティ モードは、ファイルシステムに付与されるアク セス権には影響しません。 ただし、root ユーザーが受け取るアクセスのタイプは、ルート ア クセスと Secure NFS(100 ページ)に説明するように、認証で使用されるセキュリティ メカニ ズムによって異なります。 表 9 ルート アクセスと Secure NFS 100 コマンド例 説明 server_export lngbe245 -Protocol nfs -option sec=krb5:root=client1,sec=sys: ro /ufs1 client1 の root ユーザーはファイルシステムにアクセ スできる。 EMC VNX Series 8.1 VNX NFS の構成 Kerberos セキュリティを使用して認証された root ユ ーザーには、読み取り/書き込みアクセス権が付与さ れる。 ユーザー認証動作 表 9 ルート アクセスと Secure NFS (続き) コマンド例 説明 デフォルトのセキュリティを使用して認証されたユー ザーには、read-only アクセス権が付与される。 server_export lngbe245 -Protocol nfs -option sec=krb5:root=client1, sec=sys:access=client1 /ufs1 server_export lngbe245 -Protocol nfs -option sec=krb5:access=client1, root=client2 /ufs1 Kerberos を使用して認証されたすべてのクライアント には、読み取り/書き込みアクセス権が付与される。 client1 の root ユーザーのアクセス権には、root 権 限も付与される。 client1 のみがファイルシステムにアクセスできる。 client2 を含む、その他のクライアントはすべてアクセ スを拒否される。 client2 がアクセスできるようにする には、client2 をアクセス リストに含める必要がある。 ルート アクセス モード 101 ユーザー認証動作 102 EMC VNX Series 8.1 VNX NFS の構成 付録 C PC クライアントの NFS 認証デーモン この付録では、PC クライアント ソフトウェアのセットアップ方法および Hummingbird PC NFS クライアントに関する問題点について説明します。 次のようなトピックが含まれています。 u u u PC クライアント アクセス.......................................................................................104 PC クライアント ソフトウェアのセットアップ.............................................................104 Hummingbird PC NFS クライアントに関する問題点............................................... 105 PC クライアントの NFS 認証デーモン 103 PC クライアントの NFS 認証デーモン PC クライアント アクセス UNIX および Linux のネイティブ クライアントと同様に、NFS を使用して VNX ファイルシステ ムにアクセスする PC クライアントについては、PC クライアント アクセス(104 ページ)に示 すように適切な認証を行ってから VNX へのアクセスを許可する必要があります。 図 2 PC クライアント アクセス PC 環境と UNIX 環境では、NFS ユーザー認証方法が異なります。 認証デーモン(通常、 rpc.pcnfsd または pcnfsd)を利用することによってこの違いを埋めます。 認証デーモンは顧客の環境にあるホスト上(推奨)または Data Mover 上で実行され、次の サービスを行います。 1. デーモンは、PC クライアントによって提供されたユーザー名とパスワードを受け取って 検証します。 2. デーモンは、PC クライアントに対して、ユーザーまたはパスワードの組み合わせごとに ユーザー ID とグループ ID(UID または GID)を割り当てます。 3. PC クライアントは、割り当てられた UID または GID を使用してシステムにアクセスしま す。 通常、PC クライアント上の NFS ソフトウェアは、システム上で実行中の認証デーモンと変更 なしで通信できます。 NFS ソフトウェアが PC ソフトウェアの構成に含まれていない場合に、その PC を利用して NFS プロトコルにより VNX ファイル システムにアクセスするときは、Hummingbird Communications Ltd.の PC NFS ソフトウェアまたは NFS Maestro ソフトウェアなどの、PC ク ライアント用 NFS ソフトウェア パッケージを購入すると良いでしょう。 PC クライアント ソフトウェアのセットアップ このセクションでは、VNX にネットワーク アクセスするために、PC クライアント ソフトウェア パッケージを設定する方法について説明します。 次の例では、PC NFS と NFS Maestro を使 用しています。 104 EMC VNX Series 8.1 VNX NFS の構成 PC クライアントの NFS 認証デーモン 㽷 u ここからは、PC クライアントがマウント要求を発行すると、常にユーザー認証が行われ、 認証後の処理はクライアントとサーバーを行き来する通常の純粋な NFS トラフィックとな ります。 u この時点でセットアップまたはログインに必要な操作の詳細については、ベンダーの対 応するユーザー マニュアルを参照してください。 たとえば、PC NFS ではサブネット内で pcnfsd を実行中のシステムを検出することができ、NFS Maestro ではシステムの名前 を指定するオプションを利用できます。 手順 1. ユーザー アカウントをセットアップします。詳細については、server_user コマンドを参照 してください。 NIS サーバーを使用してユーザーを作成することもできます。 2. テキスト エディタで/nas/server/server_<x>/netd ファイルを開き、nfs 開始行の後の別の 行に pcnfs を追加して、ファイルを保存します。 または NIS サーバーの場合は、NIS サーバーを使用して Data Mover をマッピングします。 $ server_nis server_[<x>][<IP address of NIS server>] ここで、 [<x>] = Data Mover の番号 3. Data Mover を再起動します。 4. ユーザーがアクセスできるように、ファイルシステムをエクスポートします。 詳細について は、ファイル システムのエクスポート(35 ページ)を参照してください。 5. PC 上で、PC NFS ソフトウェアまたは NFS Maestro ソフトウェアを起動します。 6. ソフトウェア パッケージに応じてユーザー名およびパスワードを入力します。 ユーザー名とパスワードが pcnfsd を実行している Data Mover に送信され、これにより PC クライアントの UID または GID 番号が返されます。 Hummingbird PC NFS クライアントに関する問題点 CIFS クライアントと Hummingbird PC NFS クライアントの両方が、Microsoft Word ファイルま たは Corel WordPerfect ファイルにアクセスする環境において、相互運用性の問題が確認さ れています。 u 範囲ロック:CIFS クライアントが Microsoft Word ファイルを開いているときに、 Hummingbird(または任意の PC NFS)クライアントがそのファイルを削除しようとすると、 CIFS クライアントがファイルを開いた時点で削除拒否のロックが設定されているため、 通常、この削除要求は拒否されます。 ファイルにも範囲ロックが設定されますが、そのオフセット値はファイルの先頭または末 尾からの値ではありません。 したがって、範囲ロックで指定された範囲の外側のファイ ル部分については書き込み可能です。 範囲ロック内への書き込み要求は拒否されま す。 範囲ロックがファイルのどの部分に設定されているのかを判別する手段がないた め、予測不能の結果になることがあります。 u 共有の認証:Hummingbird ユーザーは、VNX(またはその他の)ドライブがクライアント 上にマウントされた場合、オプションでこれらのドライブの共有の認証を上書きすること ができます。 この場合、CIFS クライアントと Hummingbird クライアントによるファイルへ のコンカレント アクセスが生じます。 Hummingbird PC NFS クライアントに関する問題点 105 PC クライアントの NFS 認証デーモン u 106 ディレクトリのロック:CIFS クライアントが Windows エクスプローラでディレクトリを開いて いるときに、Hummingbird クライアントが同じディレクトリで WordPerfect ファイルを開 き、そのファイルを閉じる場合、Hummingbird クライアントはこのファイルのロックを試 みます。 このファイルは Windows エクスプローラで開かれたため、ロックは存在し、 Hummingbird のロック要求は拒否されます。 Hummingbird クライアントは、CIFS クライ アントがディレクトリを閉じてそのロックを解放するまで、サーバーに対してロック要求を 発行し続けます。 EMC VNX Series 8.1 VNX NFS の構成 付録 D VNX for Block での Parallel NFS この付録では、EMC VNX for Block system で pNFS(Parallel NFS)を構成および管理する方 法について説明します。 次のようなトピックが含まれています。 u u u u pNFS について.....................................................................................................108 サーバーに対する pNFS の構成.......................................................................... 109 pNFS クライアントのセットアップ........................................................................... 112 SAN およびストレージの構成............................................................................... 112 VNX for Block での Parallel NFS 107 VNX for Block での Parallel NFS pNFS について pNFS は NFS バージョン 4.1 の一部で、これによりクライアントはストレージ デバイスに直接 または並列でアクセスできるようになります。 pNFS サービスは、NFSv4 が起動すると自動 的に開始されます。NFSv4.1 では、特定の機能を追加し、ファイルへの並列アクセスをサポ ートすることにより、明確性と固有性を追加しているため、弱点および見落としの修正が容 易です。 VNX は、pNFS をサポートするために、NFSv4.1 を適合実装しています。 pNFS アー キテクチャにより、現在導入されている NFS サーバーに関連する拡張性およびパフォーマ ンスの問題が排除されます。 これは、Parallel NFS(108 ページ)に示すように、データとメタ データを分けて、メタデータをデータ パス外のメタデータ サーバーに移動することにより実 現します。 図 3 Parallel NFS 㽷 NFSv4.1/pNFS の実装により、IPv6 ネットワーク(iSCSI プロトコルを含む)がサポートされま す。 pNFS をサポートするために、VNX では、RFC 3530 による小さいエクステントおよび修正の 一部を含め、すべての NFSv4.1 の必須機能を完全にサポートしています。 pNFS では、異なるプロトコルを使用してデータ アクセスが可能です。 データにアクセスする ために使用されるプロトコルは、「レイアウト タイプ」として知られています。 NFS 4.1 関連 RFC では、次の 3 つの pNFS レイアウト タイプが使用できます: ファイル、ブロック、および オブジェクト。 VNX は、ブロック レイアウトをサポートします。 レイアウトは、ファイル データへの直接アクセスは直接クライアントによって実行できること、 およびレイアウトが保持される限り、そのアクセスとの整合性がないデータの場所は変更さ れないことを所有者に保証するリコール可能なオブジェクトです。 108 EMC VNX Series 8.1 VNX NFS の構成 VNX for Block での Parallel NFS NFSv4.1 の必須機能 NFSv4.1 には、NFSv4.0 仕様とは異なる 2 個の新しい必須機能が導入されています。 セッション モデル NFSv4.1 プロトコルでは、セッションを開始するために使用される処理を除いて、すべての処 理に対してセッションが必要とされます。 NFSv4.1 プロトコルには、セッション ID およびセッ ション管理に関連するその他のパラメータを伝送する SEQUENCE 処理が導入されていま す。 任意のクライアント ホストに、複数の NFSv4.1 セッションを持たせることができます。 各セッ ションには、1 個または 2 個の通信チャネル (プロトコル要求を発行するフォア チャネルと、 コールバックを受信するオプションのバック チャネル)を使用できます。 各チャネルには、配信接続を 0 個以上関連づけることができます。 チャネルに複数の接続 をバインドすることにより、クライアントでトランキングが可能になります。 複数のセッションを 使用しているものの、予約、ロック、デリゲーション、レイアウトなどの状態情報はクライアン トに関連づけられており、特定のセッションには関連づけられていません。 このため、いず れかのセッションに属するバック チャネル経由でコールバックを発行することができます。 クライアントは、不必要なサーバー リソースの使用を避けるために、アイドル時にセッション を終了することができます。 状態の回収 NFSv4.1 では、クライアントがすべてのロック(場合によってはクライアントが回収するロック ではないもの)を回収したときに、クライアントが RECLAIM_COMPLETE と呼ばれる処理をコ ールして、回収モデルをファイルシステム移行に拡張する場合があります。 このような処理 は、ファイルシステムを移行するサーバーに影響を及ぼします。 サーバーがロックを所有するクライアント(ただし完全ロック状態ではないもの)のリストを安 定したストレージで保持している場合は、そのようなクライアントが回収処理を完了したこと を宣言すると、そのサーバーはすみやかに猶予期間を終了することができます。 NFSv4.1 では、サーバーはクライアントに対して猶予期間中だけロックを回収することを許可してお り、猶予期間中に STATE を回収しているもの以外の OPEN 処理は、すべて拒否されます。 サーバーに対する pNFS の構成 pNFS の構成に関するタスクは、次のとおりです。 u pNFS サービスのセットアップ(109 ページ) u pNFS の停止(110 ページ) u pNFS の再起動(110 ページ) u pNFS サービス用のファイルシステムのマウント(111 ページ) u pNFS アクセス用のファイルシステムのエクスポート(111 ページ) pNFS サービスのセットアップ pNFS サービスは、ご使用のサーバーを NFSv4 用に構成すると、自動的に開始されます。 サーバーを NFSv4 用に構成するには、次の手順を実行します。 手順 1. /nas/server/slot_<x>/config ファイル(<x>は Data Mover のスロット番号)の hivers が 4 に設定されていることを確認します。/nas/server/slot_<x>/config ファイルの nfs エントリーは、次のように表示されます。 nfs config hivers=4 2. hivers=4 が欠如している場合は、nfs config 行の最後に手動で追加します。 サーバーに対する pNFS の構成 109 VNX for Block での Parallel NFS 3. Data Mover を再起動し、hivers を有効にするには、次のコマンド シンタクスを使用しま す。 $ server_cpu[<movername>]-reboot -monitor now ここで、 [<movername>] = Data Mover の名前 4. NFSv4 サービスを起動するには、次のコマンド シンタクスを使用します。 $ server_nfs { [<movername>] | ALL} -v4 -service -start ここで、 [<movername>] = Data Mover の名前 例: server_2 で NFSv4 サービスを起動するには、次のように入力します。 $ server_nfs server_2 -v4 -service -start 出力: server_2: done pNFS の停止 pNFS サービスを一時的に停止するには、次のコマンドを使用します。 㽷 pNFS サービスが停止すると、許可されたレイアウトはすべてリコールされ、新しいレイアウ トの要求は拒否されます。 手順 1. pNFS サービスを停止するには、次のコマンド シンタクスを使用します。 $ server_nfs { [<movername>] | ALL} -pnfs -service -stop ここで、 [<movername>] = Data Mover の名前 例: server_2 で pNFS サービスを停止するには、次のように入力します。 $ server_nfs server_2 -pnfs -service -stop 出力: server_2: done pNFS の再起動 pNFS サービスを一時的に停止した場合、このコマンドを使用してサービスを再開します。 NFSv4 サービスが実行中であることを確認します。 手順 1. pNFS サービスを再開するには、次のコマンド シンタクスを使用します。 $ server_nfs { [<movername>] | ALL} -pnfs -service -start ここで、 [<movername>] = Data Mover の名前 例: 110 EMC VNX Series 8.1 VNX NFS の構成 VNX for Block での Parallel NFS server_2 で pNFS サービスを再開するには、次のように入力します。 $ server_nfs server_2 -pnfs -service -start 出力: server_2: done pNFS サービス用のファイルシステムのマウント pNFS アクセス用のファイルシステムをマウントするには、server_mount コマンドを使用しま す。 マウント ポイントは先頭をスラッシュ(/)で始める必要があります。 手順 1. pNFS サービス用ファイルシステムを Data Mover にマウントするには、次のコマンド シン タクスを使用します。 $ server_mount [<movername>] -option pnfs [<fs_name>] /[<mount_point>] ここで、 [<movername>] = Data Mover の名前 [<fs_name>] = マウントされるファイルシステム [<mount_point>] = Data Mover のマウント ポイントへのパス 例: pnfs option を使用して server_2 にファイルシステムをマウントするには、次のように入 力します。 $ server_mount server_2 -option pnfs s2fs1 /s2mt1 出力: server_2 : done pNFS アクセス用のファイルシステムのエクスポート pNFS アクセス用のファイルシステムをエクスポートするには、server_export コマンドを使用 します。 デフォルトでは、server_export コマンドは、すべての NFS クライアント用にファイル システムを読み取り/書き込みとしてエクスポートし、UNIX のユーザー認証を使用します。 手順 1. pNFS アクセス用にファイルシステムをエクスポートするには、次のコマンド シンタクスを 使用します。 $ server_export [<movername>] -Protocol nfs [<fs_name>] /[<mount_point>] ここで、 [<movername>] = Data Mover の名前 [<fs_name>] = マウントされるファイルシステム [<mount_point>] = Data Mover のマウント ポイントへのパス 例: pNFS アクセス用にファイルシステムをエクスポートするには、次のように入力します。 $ server_export server_2 -Protocol nfs s2fs1 /s2mt1 出力: pNFS サービス用のファイルシステムのマウント 111 VNX for Block での Parallel NFS server_2: done pNFS クライアントのセットアップ pNFS ファイル システムをマウントする前に、pNFS クライアントが正しくインストールされてい ることを確認します。 手順 1. pNFS ファイル システムを Data Mover にマウントするには、次のコマンド シンタクスを使 用します。 # mount -type nfs4 -option minorversion=1 [<movername>]:/[<fs_name>] /[<mount_point>] ここで、 [<movername>] = Data Mover の名前 [<fs_name>] = マウントされるファイルシステム [<mount_point>] = Data Mover のマウント ポイントへのパス 㽷 エラー メッセージが表示されなければ、正常にマウントされています。 例: server_2 に pNFS ファイルシステムをマウントするには、次のように入力します。 # mount -type nfs4 -option minorversion=1 server_2:/fs1_pnfs /mnt1_pnfs 2. マウントが作成されたことを確認するには、次のコマンドを実行します。 # grep LAYOUT /proc/self/mountstats 出力: PNFS_LAYOUTGET: 0 0 0 0 0 0 0 0 PNFS_LAYOUTCOMMIT: 0 0 0 0 0 0 0 0 PNFS_LAYOUTRETURN: 0 0 0 0 0 0 0 0 㽷 出力に 0 以外の値が含まれている場合は、/var/log/messages でエラー メッセージを 確認します。 3. iSCSI を使用している場合は、クライアントで iSCSI をセットアップする必要があります。 手順は、使用しているオペレーティング システムによって異なります。 結果として、IQN (iSCSI 修飾名)を使用して iSCSI イニシエータを作成する必要があります。 ファイバ チャネルを使用している場合は、HBA(ホスト バス アダプタ)をセットアップする 必要があります。 SAN およびストレージの構成 このセクションでは、SAN スイッチの構成方法および VNX for Block 固有の構成情報につい て説明します。 ストレージ システムとして、EMC Symmetrix®を使用することもできます。 pNFS に対する EMC Symmetrix®の構成方法の詳細については、EMC オンライン サポート Web サイト(http://Support.EMC.com)にアクセスし、関連テクニカル ドキュメントを検索しま す。 112 EMC VNX Series 8.1 VNX NFS の構成 VNX for Block での Parallel NFS ブロックに Unipshere を使用して、pNFS クライアントに対してストレージ グループをセットア ップします。 ブロックに Unipshere を使用して pNFS クライアントをセットアップする間に作成した iSCSI ホ ストを登録します。 ファイバ チャネル スイッチのインストール(FC 構成) ファイバ チャネル スイッチをセットアップするには、次のタスクを実行します。 㽷 シングル イニシエータとしてゾーニングを構成します。これにより、各 HBA ポートは独自の ゾーンを持つことになり、そのゾーンの中では各 HBA ポートが唯一の HBA ポートになりま す。 手順 1. ファイバ チャネル スイッチをインストールします(インストールされていない場合)。 2. 各 HBA ファイバ チャネル ポートとスイッチ ポートをケーブルで接続します。 3. HBA ポートに接続されたスイッチ ポートの LED で、HBA とスイッチの接続を確認します。 SAN スイッチのゾーニング(FC 構成) ファイバ チャネル スイッチを構成およびゾーニングするには、次の手順を実行します。 㽷 u 詳細については、ファイバ チャネル スイッチに同梱されているドキュメントを参照してく ださい。 u 各ターゲットが SP A および SP B ポートにゾーニングされるように、VNX for Block を構 成します。 Symmetrix が単一のファイバ チャネル ダイレクタにゾーニングされるように、 Symmetrix を構成します。 手順 1. 接続されたすべてのポート WWN(World Wide Name)を記録します。 2. CLI コマンドまたは Fabric Manager を使用して、iSCSI とファイバ チャネル間のブリッジま たは MDS ファイバ チャネル スイッチ コンソールにログインします。 3. ファイバ チャネル HBA ポートおよび関連するファイバ チャネル ターゲットに対してそれ ぞれゾーンを作成します。 iSCSI とファイバ チャネル間のブリッジの構成(iSCSI 構成) iSCSI 構成での iSCSI とファイバ チャネル間のブリッジの作成およびゾーニングに関する概 要について説明します。 これらの手順では、ご使用のサイト固有のパラメータを使用しま す。 iSCSI 構成で iSCSI とファイバ チャネル間のブリッジを構成する場合は、次の点に注意しま す。 u iSCSI 経由の EMC VNX pNFS 構成では、EMC VNX iSCSI ターゲット機能は使用されませ ん。 ファイバ チャネルへのトラフィックをブリッジするために、iSCSI ターゲットとして iSCSI イニシエータおよび IP-SAN 互換のスイッチが使用されます。 u IP-SAN スイッチの要件を確認して、サポートされているスイッチ モードを特定します。 ファイバ チャネル スイッチのインストール(FC 構成) 113 VNX for Block での Parallel NFS pNFS 環境では、iSCSI とファイバ チャネル間をブリッジできるファイバ チャネル スイッチが 必要です。 次のスイッチ特性が必要です。 u pNFS アーキテクチャをサポートする iSCSI とファイバ チャネル間のブリッジ。 u pNFS IP-SAN スイッチが適切に動作するには、特定のファームウェア レビジョンが必 要。 u サポートされたバージョンに対する E-Lab Interoperability Navigator を備えた SAN OS バージョン。 次のいずれかの IP-SAN(iSCSI IPS)モジュールをインストールします。 u 8GE IPS ブレード u 14FC/2/GE マルチ プロトコル サービス モジュール u 18FC/4/GE マルチ プロトコル サービス モジュール 㽷 VNX NAS(ネットワーク接続型ストレージ)製品でサポートされるソフトウェアおよびハードウ ェアに関する最新の情報については、E-Lab Interoperability Navigator を参考にしてくださ い。 MDS コンソール上での iSCSI の有効化(iSCSI 構成) MDS コンソール上で iSCSI を有効化するには、次の手順を実行します。 手順 1. iSCSI を有効化して、VSAN に iSCSI インターフェイスを追加します。 switch # config t switch(config)# iscsi enable switch(config)# iscsi interface vsan-membership 2. ファイバ チャネル ターゲットをインポートして、MDS コンソールが iSCSI イニシエータと通 信できるようにします。また、認証を設定します。 switch(config)# iscsi import target fc switch(config)# iscsi authentication none ギガビット Ethernet 用の MDS iSCSI ポートの構成(iSCSI 構成) MDS iSCSI ポートを通常のギガビット Ethernet ポートとして構成します。 switch(config)# interface GigabitEthernet2/1 switch(config-if)# <port ip address> <subnet mask> switch(config-if)# iscsi authentication none switch(config-if)# no shutdown switch(config-if)# exit switch(config)# ip routing switch(config)# 㽷 iSCSI とファイバ チャネル間のブリッジは、Fabric Manager の GUI でも構成および管理でき ます。 iSCSI ポート プロキシと TCP パラメータの構成(iSCSI 構成) すべてのイニシエータに対して、VNX for block に WWN を構成する必要がないように、 iSCSI とファイバ チャネル間のブリッジを構成してプロキシ イニシエータとして機能させま す。 114 EMC VNX Series 8.1 VNX NFS の構成 VNX for Block での Parallel NFS 手順 1. プロキシ イニシエータして機能するように、iSCSI とファイバ チャネル間のブリッジを設定 します。 switch(config)# interface iscsi2/1 switch(config-if)# switchport proxy-initiator switch(config-if)# 2. TCP パラメータを設定します。 switch(config-if)# tcp send-buffer-size 16384 switch(config-if)# no shutdown switch(config-if)# exit switch(config)# exit switch # 3. 次のように入力して、システム割り当ての WWN を取得します。 switch # show interface iscsi2/1 出力: Hardware is GigabitEthernet Port WWN is 21:d9:00:0d:ec:01:5f:40 Admin port mode is ISCSI Port vsan is 2 iSCSI initiator is identified by name Number of iSCSI session: 0 (discovery session: 0) Number of TCP connection: 0 Configured TCP parameters Local Port is 3260 PMTU discover is enabled, reset timeout is 3600 sec Keepalive-timeout is 60 sec Minimum-retransmit-time is 300 ms Max-retransmissions 4 Sack is enabled QOS code point is 0 Maximum allowed bandwidth is 1000000 kbps Minimum available bandwidth is 70000 kbps Estimated round trip time is 1000 usec Send buffer size is 16384 KB Congestion window monitoring is enabled, burst size is 50 KB Configured maximum jitter is 500 us Forwarding mode: store-and-forward TMF Queueing Mode: enabled Proxy Initiator Mode: enabled nWWN is 20:10:00:0d:ec:01:5f:42 (system-assigned) pWWN is 20:11:00:0d:ec:01:5f:42 (system-assigned) 5 minutes input rate 0 bits/sec, 0 bytes/sec, 0 frames/sec 5 minutes output rate 0 bits/sec, 0 bytes/sec, 0 frames/sec iSCSI statistics Input 0 packets, 0 bytes Command 0 pdus, Data-out 0 pdus, 0 bytes, Unsolicited 0 bytes Output 0 packets, 0 bytes Response 0 pdus (with sense 0), R2T 0 pdus Data-in 0 pdus, 0 bytes iSCSI プロキシ用に新しいゾーンを作成および構成(iSCSI 構成) iSCSI プロキシ用に新しいゾーンを作成する前に、システムの SP A および SP B に接続され た FC ポートを確認します。 次の例では、SP A はポート FC4/2 に、SP B はポート FC4/4 に 接続されています。 原則的に、各プロキシで 2 個のポートがゾーニングされています。 ただし、iSCSI のスルー プットは依然として 1 Gb です。 高可用性を実現するために、各 SP には 1 個のポートを接 続する必要があります。 iSCSI プロキシ用に新しいゾーンを作成および構成(iSCSI 構成) 115 VNX for Block での Parallel NFS Navicli または Unisphere を使用して、SP A および SP B 用に pWWN を取得します。iSCSI ポートの名前を使用して新しいゾーンを作成します。 次の例では、PROXY2-1 が使用されて います。 switch # config t switch(config)# zone switch(config-zone)# switch(config-zone)# switch(config-zone)# switch(config-zone)# name PROXY2-1 vsan 2 member pwwn 50:06:01:60:10:60:20:35 member pwwn 50:06:01:60:10:60:20:3e member pwwn 20:11:00:0d:ec:01:5f:42 exit ゾーンのアクティブ化(iSCSI 構成) ゾーンを作成したら、そのゾーンがスイッチに認識されるように、ゾーンをアクティブ化しま す。 新しく作成されたゾーンをアクティブなゾーンに含めてアクティブ化するには、次のように設 定します。 switch(config)# zoneset switch(config-zoneset)# switch(config-zoneset)# switch(config)# zoneset name PROXIES vsan 2 member PROXY2-1 exit activate name PROXIES vsan 2 㽷 これらのスイッチに関する具体的な情報は、ベンダーのマニュアルに記載されています。 SP A および SP B FC インターフェイスの有効化(FC 構成) ストレージ プロセッサのファイバ チャネル ポートを有効化します。 次のコマンドを実行しま す。 switch(config)# interface fc4/2 switch(config-if)# no shutdown switch(config-if)# exit switch(config)# interface fc4/4 switch(config-if)# no shutdown switch(config-if)# exit iSCSI/FC 用の VSAN の追加とゾーンの有効化 次の例を使用して、スロット 2 のポート 1 にある iSCSI ブレードおよびスロット 4 のポート 2 とポート 4 にある FC(ファイバ チャネル)ブレードを MDS VSAN 2 に追加します。次に、デフ ォルト ゾーンを有効化して 1~4093 の VSAN を許可します。 手順 1. iSCSI およびファイバ チャネル用の VSAN を iSCSI とファイバ チャネル間のブリッジに追 加します。 switch(config)# show vsan database switch(config-vsan-db)# vsan 2 switch(config-vsan-db)# vsan 2 interface iscsi2/1 switch(config-vsan-db)# vsan 2 interface fc4/4 switch(config-vsan-db)# vsan 2 interface fc4/2 switch(config-vsan-db)# exit 2. iSCSI とファイバ チャネル間のブリッジ上のゾーンを有効化します。 switch(config)# zone default-zone permit vsan 1-4093 3. iSCSI とファイバ チャネル間のブリッジまたは MDS ファイバ チャネル スイッチ コンソー ルからログオフします。 switch(config)# exit 116 EMC VNX Series 8.1 VNX NFS の構成 VNX for Block での Parallel NFS VNX for File 上にセキュリティ ファイルを作成 システムは、ストレージ システムの有効なユーザー アカウントを持っているユーザーが発行 したコマンドでない限り、Secure CLI コマンドを認識しません。 Unisphere 6.X セキュリティ フ ァイルを構成して、サーバー上で Secure CLI コマンドを発行できます。 Secure CLI コマンド では、各コマンド ラインにサーバー(またはパスワード プロンプト)が必要ですが、セキュリ ティ ファイルを作成する場合は、これらをコマンド ラインに指定する必要はありません。 セキュリティ ファイルを作成するには、次の手順を実行します。 手順 1. NAS 管理者として Control Station にログインします。 2. スイッチ上と同様に、ユーザー名およびパスワードに同じ設定を使用する場合は、次の ように入力します。 /nas/sbin/naviseccli -h [<hostname:IP address>] security -AddUserSecurity -scope 0 -user nasadmin -password nasadmin 㽷 ホスト名は SP A または SP B と指定します。 3. コンテンツをセキュア モード以外で実行している状態で、NAS v5.5 がインストールされた 新しい VNX for block CX3 または CX4 シリーズ システムを使用している場合は、次のよ うに入力します。 /nas/sbin/naviseccli -h [<hostname:IP address>] security -AddUserSecurity -scope 0 -user emc -password emc VNX for block iSCSI ポート構成 このセクションでは iSCSI 構成に対して VNX for block をセットアップする方法について説明 します。 㽷 すべてのシステムの IP アドレス<hostname:IP address>は、Control Station の/etc/hosts フ ァイルにあります。 複数のシステムを使用している場合は、EMC ではそれらのシステム を/etc/hosts ファイルに登録することを推奨します。 手順 1. 次の naviseccli コマンドを使用して、ストレージ アレイ上で iSCSI ターゲット ホスト名 SP A、ポート IP アドレス 0 を構成します。 /nas/sbin/naviseccli -h [<hostname:IP address>] connection -setport -sp a -portid 0 -address [<port IP address>] -subnetmask [<subnet mask>] -gateway [<gateway IP address>] It is recommended that you consult with your Network Manager to determine the correct settings before applying these changes. Changing the port properties may disrupt iSCSI traffic to all ports on this SP. Initiator configuration changes may be necessary to regain connections. Do you really want to perform this action (y/n)? y 2. 続けて SP A のポート 1~3、SP B のポート 0~3 を構成します。 VNX for File 上にセキュリティ ファイルを作成 117 VNX for Block での Parallel NFS /nas/sbin/naviseccli -h [<hostname:IP address>] connection -setport -sp a -portid 1 -address [<port IP address>] -subnetmask [<subnet mask>] -gateway [<gateway IP address>] /nas/sbin/naviseccli -h [<hostname:IP address>] connection -setport -sp a -portid 2 -address [<port IP address>] -subnetmask [<subnet mask>] -gateway [<gateway IP address>] /nas/sbin/naviseccli -h [<hostname:IP address>] connection -setport -sp a -portid 3 -address [<port IP address>] -subnetmask [<subnet mask>] -gateway [<gateway IP address>] /nas/sbin/naviseccli -h [<hostname:IP address>] connection -setport -sp b -portid 0 -address [<port IP address>] -subnetmask [<subnet mask>] -gateway [<gateway IP address>] /nas/sbin/naviseccli -h [<hostname:IP address>] connection -setport -sp b -portid 1 -address [<port IP address>] -subnetmask [<subnet mask>] -gateway [<gateway IP address>] /nas/sbin/naviseccli -h [<hostname:IP address>] connection -setport -sp b -portid 2 -address [<port IP address>] -subnetmask [<subnet mask>] -gateway [<gateway IP address>] /nas/sbin/naviseccli -h [<hostname:IP address>] connection -setport -sp b -portid 3 -address [<port IP address>] -subnetmask [<subnet mask>] -gateway [<gateway IP address>] Access Logix 構成 このセクションでは、EMC Access Logix™構成のセットアップ方法、ストレージ グループの作 成方法、LUN の追加方法、failovermode と arraycommpath の設定方法について説明しま す。 [Access Logix を使用した failovermode と arraycommpath の設定] naviseccli failovermode コマンドは、フェイルオーバー ソフトウェアに必要なトレスパスのタ イプを有効化または無効化します。 -failovermode を設定するこの方法が機能するのは、 Access Logix を備えたストレージ システムだけです。 failovermode の現在の設定を検出するには、port-list-failovermode コマンドまたは portlist-all コマンドを使用します。 㽷㎞ failovermode の設定を変更すると、システムが強制的に再起動される場合があります。 failovermode モードを間違った値に変更すると、ストレージ グループは接続されたすべて のサーバーにアクセスできなくなります。 1. failovermode を 1 に設定するには(統合ネットワーク ストレージのみ)、次のように入力 します。 /nas/sbin/naviseccli -h [<hostname:IP address>] failovermode 1 WARNING: Previous Failovermode setting will be lost! DO YOU WISH TO CONTINUE (y/n)? y 118 EMC VNX Series 8.1 VNX NFS の構成 VNX for Block での Parallel NFS 2. arraycommpath を 1 に設定するには(統合ネットワーク ストレージのみ)、次のように入 力します。 /nas/sbin/naviseccli -h [<hostname:IP address>] arraycommpath 1 WARNING: Previous arraycommpath setting will be lost! DO YOU WISH TO CONTINUE (y/n)? y これらのコマンドにより、システムで failovermode および arraycommpath が有効になり ます。 [ストレージ グループの作成と LUN の追加] このセクションでは、ストレージ グループの作成方法、ストレージ グループへの LUN の追加 方法、ストレージ グループの構成方法について説明します。 すべてのシステムの IP アドレス<hostname:IP address>は、Control Station の/etc/hosts フ ァイルにあります。 複数のシステムを使用している場合は、EMC ではそれらのアレイ を/etc/hosts ファイルに登録することを推奨します。 㽷 ホスト名は SP A または SP B と指定します。 1. ホスト名は SP A または SP B と指定します。 $ /nas/sbin/navicli -h [<hostname:IP address>] storagegroup -create -gname PNFS_Clients 2. ストレージ グループに LUN を追加します。 $ /nas/sbin/navicli -h [<hostname:IP address>] storagegroup -addhlu -gname PNFS_Clients -hlu 0 -alu 16 3. 続けてすべての LUN を追加します。 $ /nas/sbin/navicli -h [<hostname:IP address>] storagegroup -addhlu -gname PNFS_Clients -hlu 1 -alu 17 Access Logix 構成 119 VNX for Block での Parallel NFS 120 EMC VNX Series 8.1 VNX NFS の構成 索引 数字 32bitClient パラメーター 79 A acl.sortAces パラメーター 53 ACL(アクセス コントロール リスト) 21 C CDMS 10 CIFS パラメーター acl.sortAces 53 D DNS Secure NFS の構成 53 パラメーター updatePTRrecord 46 E EMC E-Lab Navigator 86 H hivers オプション 28 K Kerberos Secure NFS で UNIX または Linux の KDC を使用 53 Secure NFS で Windows KDC を使用 45 L Linux Kerberos KDC、Secure NFS の構成 53 N nas_automountmap 70 netd ファイル 28 NFS PC クライアントの認証 19 Secure NFS の管理 80 アクセスの無効化 69 管理 68 国際標準対応 21 定義 9 統計の表示 87 ファイル システムのエクスポート 36 ファイル システムのマウント 33 ファイル ロック 23 マウント ポイントの作成 32 NFS setuid ビットおよび setgid ビットのアクセスの防止 38 NFSv4 recallTimeout 75 Secure NFS の管理 80 Unicode 31 アクセス コントロール リスト 21 エラー メッセージ 91 管理 74 クライアント コンテキスト 24 セットアップ手順 28, 35 デリゲーション 22 統計の表示 87 トラブルシューティング 86 ネーム サービス 30 パラメーター 32bitClient 79 ファイル システムのエクスポート 35, 36 ファイル システムのマウント 34 マウント ポイントの作成 32 NFS アクセスの無効化 69 NIS Secure NFS の構成 45, 53 R recallTimeout パラメーター 75 S Secure NFS UNIX または Linux の Kerberos KDC を使用 53 Windows Kerberos KDC を使用 45 secureExportMode パラメーター 98 server_export Kerberos 42 Kerberos セキュリティ 42 NFSv4 NFSv4 クライアントのみのアクセス 41 UNIX セキュリティ 42 VLAN アクセス 41 アクセス オプション 37 アクセス レベルの設定 37 server_kerberos サービス プリンシパルの作成 58 領域の作成 55 server_mountpoint 32 server_mountt 33 server_name 54 server_nfs Kerberos ユーザー プリンシパル名を UID にマッピング 51 NFSv4 クライアントの解放 79 NFSv4 クライアントの表示 77 NFSv4 ステータスの表示 86 NFSv4 の開始 77 NFSv4 の停止 76 Secure NFS サービス インスタンスの設定 49, 56 認証の解除 83 EMC VNX Series 8.1 VNX NFS の構成 121 索引 プリンシパルの削除 83 マッピング エントリーの表示 82 ユーザー属性の表示 81 server_umount 35 Solaris Kerberos KDC、NFSLinux Kerberos KDC の構成、 Secure NFS の構成 53 UNIX ベース 19 た タイム サービス、Secure NFS の構成 53 タイム サービス,Secure NFS の構成 45 て U デリゲーション 22 UID、ユーザー プリンシパル名へのマップ 61 Unicode 31 UNIX セキュリティ 19 updatePTRrecord パラメーター 46 UTF-8 21 と V 認証 トラブルシューティング 85 に VLAN、アクセスの指定 41 VNX の FileMover 機能 10 あ アクセス、NFS の無効化 69 アンエクスポート 69 アンエクスポート、ファイル システム 68 アンマウント 35 え エクスポート Kerberos 認証を使用 42, 43 UNIX および Kerberos 認証を使用 43 UNIX 認証を使用 42 エラー メッセージ 90 お オートマウンタ機能 70 か 管理 68 く クライアント コンテキスト 24 こ 国際標準対応 21 さ サービス プリンシパル KDC を使用して追加 59 再エクスポート 69 PC クライアント用 19 UNIX および Linux クライアント用 19 ね ネーム サービス 30 は パラメーター 32bitClient 79 acl.sortAces 53 recallTimeout 75 secureExportMode 98 updatePTRrecord 46 ふ ファイル システム Kerberos 認証でエクスポート 42, 43 UNIX および Kerberos 認証でエクスポート 43 UNIX 認証でエクスポート 42 マウント 33 ファイル システムの再エクスポート 69 ファイル ロック 23 プリンシパル UID へのマップ 61 サービス プリンシパルの追加 58 プロトコル NFS 9 ま マウント ファイル システム 33 マップ ファイル コピー 70 作成 70 マルチホーム Data Mover 58 し システム アクセス 18 システムのアクセス制御 18 め せ も セキュリティ Kerberos ベース 19 122 EMC VNX Series 8.1 VNX NFS の構成 メッセージ、エラー 90 モード ビット 20 索引 ゆ ユーザー マッピング 51 ユーザー認証 19 EMC VNX Series 8.1 VNX NFS の構成 123 索引 124 EMC VNX Series 8.1 VNX NFS の構成