どうも。
キクです。
前回のNetApp記事で紹介したエクスポートポリシーでの設定項目の中に
”スーパーユーザのアクセスを許可する|許可しない”
というものがあります。
スーパーユーザが何かは分かるのですが、それを許可するかしないかとはどういうことなのかという曖昧な理解だったので、調べてみました。
せっかくなので備忘録として残しておこうと思います!
今回書くテーマは上記の通り「スーパーユーザのアクセス許可設定」について
下記の3点について触れていこうと思います!
・スーパーユーザでアクセスを許可するとどうなるの?
・そもそも何の設定なの?
・許可されるまでのフローはどんな感じなの?
「読み取り専用権限とか他の権限設定もあるけど、結局どれが適用されるの?」
というような疑問がある方への参考になる情報であれば嬉しいです。
それでは、よろしくお願いします。
スーパーユーザでアクセスを許可するとどうなるの?
スーパーユーザとはすなわちrootユーザのことであり、
"なんでもできちゃう力を持っている人"
のことを指します。
スーパーユーザはシステムに対して無制限のアクセス権を持っているということです。
「間違えて全データを削除してしまった」なんてことにもなりかねません。
それを許可するということはリスクが高いということを認識しておかなければいけませんね。
ちなみにデフォルトは「許可しない」状態なので、許可したい場合には明示的に設定してあげる必要があります。
そもそも何の設定なの?
冒頭でも述べましたが、「スーパーユーザのアクセス許可設定」はエクスポートポリシーでの設定項目です。
そのため、ここでいう「アクセス許可」というのはボリュームに対するアクセス許可になります。
※エクスポートポリシーについては以前書いた記事で少し触れています。
”ボリュームに対してスーパーユーザとしてアクセスおよび操作をしてもいいか”
これを設定しています。
ちなみに「許可する|許可しない」の他に、
「どのような認証方式でアクセスしてきたスーパーユーザであれば許可するか」
という設定項目もあります。
認証方式は下記から選択します
・any
・krb 5
・ntlm
・sys
・none ※デフォルト
エクスポートルールの他の条件をクリアした上で、上記の中で指定した認証方式でスーパーユーザとしてアクセスしてきたクライアントには
「スーパーユーザとしてアクセスしていいよ」
という許可が下ります。
もし、「許可されていない認証方式でアクセスしてきた」もしくは「スーパーユーザアクセスを許可していない」場合には”匿名ユーザ”としてその他の権限付与判定のステップに移ります。
許可されるまでのフローはどんな感じなの?
スーパーユーザのアクセスアクセス許可設定の他にも
・読み取り専用権限
・読み取り/書き込み権限
についてもエクスポートルール内で設定することができます。
許可の流れは以下のような感じです。
・許可したIPアドレスからのアクセスですか?
└YES:次のステップ
└NO:アクセスを拒否
・使っているプロトコルは許可されたものですか?
└YES:次のステップ
└NO:アクセスを拒否
・スーパーユーザとしてのアクセスですか?
└YES:スーパーユーザでの認証方式確認
└NO:読み取り専用権限の付与判定ステップへ
・スーパーユーザとしてどの認証方式でのアクセスですか?
└指定した認証方式:スーパーユーザとしてのアクセスを許可
└指定以外の認証方式:匿名ユーザとして読み取り専用権限付与判定ステップへ
・どの認証方式でのアクセスですか? ※読み取り専用権限付与判定
└指定した認証方式:読み取り権限を付与
└指定以外の認証方式:読み取り権限は与えない
・どの認証方式でのアクセスですか? ※読み取り/書き込み権限付与判定
└指定した認証方式:読み取り/書き込み権限を付与
└指定以外の認証方式:読み取り/書き込み権限は与えない
アクセス要求してきたクライアントは上記のフローを辿り、
無事に許可された権限でボリュームに対するアクセスを許可されます。
さいごに
いかがでしたでしょうか。
今回は備忘録的要素が強くなってしまいましたが、
・スーパーユーザアクセスを許可するとはどういうことなのか
・読み取り/書き込みの許可設定との絡みはどんななのか
という部分について少し整理できたのではないかと思います。
僕自身「スーパーユーザの許可」「読み取り権限の許可」「読み取り/書き込み権限の許可」の中で結局どれが適用されるのかというのが分かっていなかったので、今回の調査を通して理解が深まって良かったです。
ではでは!