Azure NetApp Files 用に NFSv4.1 ドメインを構成する
NFSv4 では、認証ドメインの概念が導入されています。 Azure NetApp Files は、現在、サービスから NFS クライアントへのルート専用ユーザー マッピングをサポートしています。 Azure NetApp Files で NFSv4.1 機能を使用するには、NFS クライアントを更新する必要があります。
ユーザー/グループ マッピングの既定の動作
NFSv4 ドメインは既定では localdomain
に設定されているため、ルート マッピングの既定値は nobody
ユーザーになります。 Azure NetApp Files NFSv4.1 ボリュームをルートとしてマウントすると、次のようなファイルのアクセス許可が表示されます。
上の例に示ように、file1
のユーザーは root
であるべきですが、既定では nobody
にマップされています。 この記事では、idmap Domain
設定を defaultv4iddomain.com
に変更することによって、file1
ユーザーを root
に設定する方法について説明します。
NFSv4.1 ドメインを構成する
NFS クライアントで
/etc/idmapd.conf
ファイルを編集します。
行#Domain
をコメント解除し (つまり、行から#
を削除する)、値localdomain
を次のように変更します。- ボリュームが LDAP に対して有効になっていない場合は、
Domain = defaultv4iddomain.com
を設定します。 - ボリュームで LDAP が有効になっている場合は、
Domain
を NetApp アカウントの Active Directory 接続で構成されているドメインに設定します。 たとえば、contoso.com
が NetApp アカウントで構成されているドメインの場合は、Domain = contoso.com
を設定します。
次の例は、変更前の
/etc/idmapd.conf
の初期構成を示しています。[General] Verbosity = O Pipefs—Directory = /run/rpc_pipefs # set your own domain here, if it differs from FQDN minus hostname # Domain = localdomain [Mapping] Nobody-User = nobody Nobody-Group = nogroup
次の例は、非 LDAP NFSv4.1 ボリュームの更新された構成を示しています。
[General] Verbosity = O Pipefs—Directory = /run/rpc_pipefs # set your own domain here, if it differs from FQDN minus hostname Domain = defaultv4iddomain.com [Mapping] Nobody-User = nobody Nobody-Group = nogroup
次の例は、LDAP 対応の NFSv4.1 ボリュームの更新された構成を示しています。 この例では、
contoso.com
は NetApp アカウントで構成されているドメインです。[General] Verbosity = O Pipefs—Directory = /run/rpc_pipefs # set your own domain here, if it differs from FQDN minus hostname Domain = contoso.com [Mapping] Nobody-User = nobody Nobody-Group = nogroup
- ボリュームが LDAP に対して有効になっていない場合は、
現在マウントされている NFS ボリュームをマウント解除します。
/etc/idmapd.conf
ファイルを更新します。ホストで
rpcbind
サービスを再起動する (service rpcbind restart
) か、単にホストを再起動します。必要に応じて NFS ボリュームをマウントします。
「Windows または Linux の VM のボリュームをマウントする」を参照してください。
次の例は、結果として得られるユーザー/グループの変更を示しています。
この例に示すように、ユーザー/グループは nobody
から root
に変更されました。
他の (ルート以外の) ユーザーとグループの動作
Azure NetApp Files は、NFSv4.1 ボリューム内のファイルまたはフォルダーに関連付けられたアクセス許可を持つローカル ユーザー (ホスト上でローカルに作成されたユーザー) をサポートします。 ただし、このサービスでは、複数のノード間でのユーザー/グループのマッピングは現時点ではサポートされていません。 したがって、あるホスト上に作成されたユーザーは、既定で別のホスト上に作成されたユーザーにマップされません。
次の例で、Host1
には 3 つの既存のテスト ユーザー アカウント (testuser01
、testuser02
、testuser03
) があります。
Host2
で、テスト ユーザー アカウントは作成されていないが、同じボリュームが両方のホストにマウントされていることに注意してください。