ADユーザとグループに対するクラスタおよびSVMへのアクセスの許可

Active Directory(AD)ドメイン ユーザおよびグループに対し、クラスタおよびSVMへのアクセスを許可することができます。ADグループにアクセスを許可すると、そのグループ内のすべてのADユーザがクラスタまたは指定したSVMにアクセスできるようになります。

始める前に

手順

  1. クラスタ アクセス用にADユーザまたはグループを設定する場合は、次のいずれかの手順を実行します。
    • CIFSサーバが作成されているデータSVMがすでにクラスタにある場合は、security login domain-tunnel createコマンドの-vserverパラメータをそのデータSVMに設定することで、データSVMを認証トンネルとして使用できます。

      security login domain-tunnel showコマンドは、指定された認証トンネルを表示します。

    • CIFSサーバが作成されているデータSVMがクラスタにない場合は、クラスタ内の任意のデータSVMをドメインに追加することができます。そのためには、vserver active-directory createコマンドの-vserverパラメータをそのデータSVMに設定します。

      データSVMをドメインに追加してもCIFSサーバは作成されません(CIFSライセンスは必要ありません)。ただし、SVMまたはクラスタ レベルでのADユーザとグループの認証が可能になります。

  2. security login createコマンドに-authmethodパラメータをdomainに設定して使用し、ADユーザまたはグループにクラスタまたはSVMへのアクセスを許可します。

    -user-or-group-nameパラメータの値は、domainname\usernameの形式で指定する必要があります。domainnameはCIFSドメイン サーバの名前、usernameはアクセスを許可するADユーザまたはグループの名前です。

    ADユーザ認証とADグループ認証の場合、-applicationパラメータに指定できる値はsshontapiのみです。

    認証トンネルを削除すると、クラスタはADログイン セッションを認証できなくなり、ADユーザとグループはクラスタにアクセスできません。認証トンネルを削除する前に認証されたオープン セッションは影響を受けません。

ADユーザまたはグループに対するクラスタまたはSVMへのアクセス許可例

次の例では、クラスタでADユーザまたはグループの認証に使用するトンネルとして「vs1」データSVMを指定してから、認証トンネルを表示します。

cluster1::> security login domain-tunnel create -vserver vs1

cluster1::> security login domain-tunnel show
	Tunnel Vserver: vs1

次のコマンドを実行すると、「DOMAIN1」ドメインの「Administrator」 ADユーザが、SSHを使用してクラスタにアクセスできるようになります。

cluster1::> security login create -vserver cluster1  
-user-or-group-name DOMAIN1\Administrator -application ssh 
-authmethod domain

次のコマンドを実行すると、「DOMAIN1」ドメイン内の「group1」 ADグループのすべてのユーザが、SSHを使用してクラスタにアクセスできるようになります。

cluster1::> security login create -vserver cluster1 
-user-or-group-name DOMAIN1\group1 -application ssh 
-authmethod domain

次のコマンドを実行すると、「DOMAIN1」ドメインの「Administrator」 ADユーザが、SSHを使用して「vs1」 SVMにアクセスできるようになります。

cluster1::> security login create -vserver vs1 
-user-or-group-name DOMAIN1\Administrator -application ssh 
-authmethod domain

次のコマンドを実行すると、「DOMAIN1」ドメイン内の「group1」 ADグループのすべてのユーザが、SSHを使用して「vs2」 SVMにアクセスできるようになります。

cluster1::> security login create -vserver vs2 
-user-or-group-name DOMAIN1\group1 -application ssh 
-authmethod domain