見出し画像

FSx for ONTAP におけるマルチプロトコルアクセスについてLDAPを使用しないケース


はじめに


こんにちは。株式会社SHIFTでインフラエンジニアをしているn.hikです。

タイトルに記載した内容について、実際に触れる機会がありましたので紹介したいと思います。

環境情報


  • Amazon FSx for NetApp ONTAP

  • RHEL8(EC2) - NFSv4でマウント

  • Windows2019(EC2) - SMBでマウント

  • AWS Managed Microsoft AD

  • FSxボリュームのセキュリティスタイルはUNIX

どんな構成か


  • RHELサーバ、WindowsサーバにてFSx領域をマウント

  • LDAP無しのため、RHELはローカルユーザでFSx領域を操作

  • WindowsサーバはADに参加する。FSx領域はドメインユーザで操作

RHELサーバはOSローカルユーザでのアクセス、Windowsサーバはドメインユーザでのアクセスを行うことになります。

LDAPがあればRHEL、Windows間でユーザがユニークになりますが、無い場合は個別対応が必要になります。

設定方法


こちらはLDAPが存在するパターンとなりますが、AWS公式ブログで紹介されている手順です。

Amazon FSx for NetApp ONTAP によるマルチプロトコルワークロードの実現

今回はこの手順の他、FSxローカルユーザの作成を実施します。

これによりRHEL、WindowsのユーザがFSx上でマッピングされ、適切なアクセス権やセキュリティ設定が可能となります。

なお運用上、「RHEL上のユーザとFSx上のユーザでユーザ名、グループ名、UID、GIDを揃える」「ドメインユーザとFSx上のユーザでユーザ名を揃える」 のが望ましいです。

イメージはこんな感じです。


まずはユーザーマッピングの設定から紹介していきたいと思います。

1.ONTAP CLIに接続します。

SSH fsxadmin@<management-IP-address>

2.現在のユーザーマッピング設定を確認します。

name-mapping show

3.WinからUNIX方向へのネームマッピングを作成します。

-patternでWindowsドメインユーザの名前を検索し、-replacementで置き換える、という動きになります。

"<domain_name>\\(.+)"は全てのドメインユーザを指すことになります。

"\1"は、パターンで検索されたものを返します。

これにより、FSxとしては、例えばtestdomain.com\testuserというドメインユーザは、testuserというユーザで認識することになります。

vserver name-mapping create -vserver <vserver_name> -direction win-unix -position 1 -pattern "<domain_name>\\(.+)" -replacement "\1"

4.ユーザーマッピング設定を確認します。

name-mapping show

続いてFSxローカルユーザ/グループを作成します。

1.現在登録されているユーザを確認します。

vserver services unix-user show -vserver <vserver_name>

2.現在登録されているグループを確認します。

vserver services unix-group show -vserver <vserver_name>

3.グループを作成します。

vserver services unix-group create -vserver <vserver_name> -name <group_name> -id <GID>

4.ユーザを作成します。

vserver services unix-user create -vserver <vserver_name> -user <user_name> -id <UID> -primary-gid <GID>

これで設定が完了しました。 なお設定は即時反映されなさそうなので、マッピングできるまで10分程度待った方が良いです。

設定が完了したら、RHEL、Windowsでそれぞれファイルを作成し、ユーザ名等が適切か確認してください。 FSx上では以下のコマンドで確認可能です。

vserver security file-directory show -vserver <vserver_name> -path <file_full_path>

以上です。
あまり無いケースかもしれませんが参考になれば幸いです。


執筆者プロフィール:n.hik
SES事業者にてインフラエンジニアとして従事後、SHIFTにジョイン。
現在はインフラ設計業務に携わっている。AWS勉強中。

お問合せはお気軽に
https://service.shiftinc.jp/contact/

SHIFTについて(コーポレートサイト)
https://www.shiftinc.jp/

SHIFTのサービスについて(サービスサイト)
https://service.shiftinc.jp/

SHIFTの導入事例
https://service.shiftinc.jp/case/

お役立ち資料はこちら
https://service.shiftinc.jp/resources/

SHIFTの採用情報はこちら
https://recruit.shiftinc.jp/career/

PHOTO:UnsplashKari Shea