ストレージ コミュニティ

ベリリウム

UnityXT マルチプロトコルNASを使用するにおいて

いつもお世話になっております。


SMB(CIFS)とNFSでのマルチプロトコル環境のNASを作りたいと思っておりますが、
マルチプロトコル及びNFS環境についてあまり知見がなくご質問させてください。


・そもそもの話で恐縮ですが、マルチプロトコル環境というのは
Unity上のNASのファイルに対してWindows環境(SMB接続)からでも
Linux環境(NFS接続)からでも読み込んだり書き込んだりすることができる
環境のNASという理解で正しいでしょうか?


・こちらもそもそもの話で恐縮ですがマルチプロトコルNASを作成するにおいて、
Windows環境でユーザや権限を管理するサーバとしてADが必須だと思いますが、
Linux側にもユーザや権限を管理するADのようなサーバ(LDAPサーバ?)が
別途あるものでしょうか?
また、マルチプロトコルNAS利用時にはLinux環境にもそいういう
サーバが必須でしょうか?


・例えばAというユーザがいたとして、ADに登録されているWindows環境での
ユーザ名が「UserA-Windows」、Linux環境でのユーザ名が
「UserA-Linux」だったとします。
この時、UnityのNASのファイルにwindows環境からUserA-Windowsで
アクセスした時と、Linux環境からUserA-Linuxでアクセスした時について、
Unityはこの2つのアカウントは同一人物だと認識できるのでしょうか?
もしそうだとしたら、どういった仕組みや流れでこの2つの環境のアカウントを
同一人物だと判断するのでしょうか?


以上、よろしくお願いいたします。

解決策 (2)

受理された解決策
MOD
MOD

tanboi_3さん

マルチプロトコル環境というのはUnity上のNASのファイルに対してWindows環境(SMB接続)からでもLinux環境(NFS接続)からでも読み込んだり書き込んだりすることができる
環境のNASという理解で正しいでしょうか?
⇒正しいです。

・こちらもそもそもの話で恐縮ですがマルチプロトコルNASを作成するにおいて、Windows環境でユーザや権限を管理するサーバとしてADが必須だと思いますが、
Linux側にもユーザや権限を管理するADのようなサーバ(LDAPサーバ?)が別途あるものでしょうか?また、マルチプロトコルNAS利用時にはLinux環境にもそいういう
サーバが必須でしょうか?
⇒Unity でのマルチプロトコル環境の条件は以下になります。そのためLinux側ではlocal filesでのユーザ権限設定、もしくはUnix Directory Service (UDS)でのユーザー設定が
必要になります。そのためご質問の回答としてはYes となります。(太字の部分)

オンラインヘルプ(Overview of configuring NAS servers)から・・・
1. Make sure an NTP server is configured for the system.
2. Do the following in the Create a NAS Server wizard:
o On the Sharing Protocols tab, select Multiprotocol.
o Join the NAS server to a Windows Active Directory domain.
o Configure local files, a Unix Directory Service (UDS), or both. If you configure local files with a UDS , the system queries the local files first. The UDS can be LDAP or NIS.
o Configure DNS.
3. Optionally customize the mappings between Windows user accounts and Unix user accounts by modifying and uploading a user mapping file with advanced naming rules (ntxmap). You only need to do this when the names of the same users follow different naming rules in Windows and Unix.

参考:Dell EMC Knowledge Article 000036495 : Using Multi-Protocol for Unity [MASTER]For Multiprotocol setup in Unity either Unix Directory Services (UDS) or LDAP must be configured to map users

・例えばAというユーザがいたとして、ADに登録されているWindows環境でのユーザ名が「UserA-Windows」、Linux環境でのユーザ名が「UserA-Linux」だったとします。この時、UnityのNASのファイルにwindows環境からUserA-Windowsでアクセスした時と、Linux環境からUserA-Linuxでアクセスした時について、Unityはこの2つのアカウントは同一人物だと認識できるのでしょうか?もしそうだとしたら、どういった仕組みや流れでこの2つの環境のアカウントを同一人物だと判断するのでしょうか?
⇒マルチプロトコル環境でのユーザの紐づけはシステムが自動でUNIXのUIDとWindowsのSIDを使って紐づけ(User Mapping)をします。
任意で紐づけのルールを設定したい場合は user mapping file (ntxmap)を使用することも可能になります。

オンラインヘルプ(Configuring user mappings for multiprotocol NAS servers)から
A multiprotocol environment requires the following types of user mappings:
• In order to access a file system configured with a Unix access policy, a Windows user name must map to a corresponding Unix user name. In addition, the storage system must be able to resolve that Unix user name to a UID.
• A Unix user name must map to a corresponding Windows user name when using NFS to access a file system configured with a Windows access policy.
• A Unix user does not have to map to a corresponding Windows user when using NFS to access a file system configured with a Unix or native access policy.

The system automatically creates a mapping between a Windows and Unix user user when the same user name is defined to the Unix Directory Service (UDS) or local password file, and the Windows Active Directory (AD). Unix user names are case sensitive. For example, Windows User1 will automatically map to Unix User1. If the user names are different, you can upload a customized user mapping file (ntxmap) to create custom mapping rules. These rules can be bidirectional, or they can map Windows users to Unix users or Unix users to Windows users. The rules support wildcards and substitutions.
To allow users with unmapped user names to access a file system, you can set default Unix and default Windows accounts for the NAS server.

そのほかマルチプロトコル環境についての資料(ここにあるチャートを見るとわかりやすいです)
で流れがみえると思います。

元の投稿で解決策を見る

コミュニティ 受理解決策
MOD
MOD

tanboi_3さん


・user mapping file (ntxmap)というのはどこから入手するのでしょうか?
Passwdファイルテンプレートのことでしょうか。
⇒ntxmap.confは任意でWindows userと UNIX userの紐づけをするファイルになります。
Unisphere からもダウンロード、もしくはアップロード可能です。 
参考:Dell EMC Unity: Downloading or uploading the user mapping file "ntxmap.conf" via uemcli. (User Corre... 
User mapping file can be downloaded / uploaded via Unisphere when navigating to NAS server properties -> multiprotocol -> advanced mapping rules.
To download / upload ntxmap.conf via UEMCLI

参考:Unity-ローカルユーザーのntxmapへの記載方法
Unityのntxmapファイルに正規表現は使えますか

・前回の例でいうとADに登録されているWindows環境でのユーザ名が「UserA-Windows」、Linux環境でのユーザ名が「UserA-Linux」だったとした場合は、それぞれユーザ名が
違うので手動でマッピングファイルに記載してこれらのアカウントをマッピングする必要がある。両環境で同じユーザ名を使用している場合はUnityが自身に登録されているADとLDAPやNISサーバ(もしくはNASローカルユーザ)と通信して自動でマッピングする、という理解でよいでしょうか?
⇒はい


・Unityに登録しているADやLDAPサーバに障害が起きた時についての挙動を教えていただきたいのですが、ADサーバとLDAPサーバがある環境で適切にマルチプロトコル
NASを構築したとして、そのNASのファイルシステムにWindows環境から「A」というファイルを作成したとします。正常にマッピングされていればLinux環境からでもこのファイル「A」にアクセスできると思いますが、例えばこのときLDAPサーバに障害が起きてLDAPサーバと通信できなくなった場合、このファイル「A」にはWindows環境からはアクセス可能だがLinux環境からはアクセス不可の挙動になるのでしょうか?逆にADに障害が起きてADと通信不可になった場合、Windows環境からはファイル「A」にアクセス不可、Linux環境からはアクセス可能、になるのでしょうか?


⇒Unityに登録しているADやLDAPサーバに障害が起きた場合、初めてそのドメインへログインしようとしたクライアントはアクセスできません。(Mappingされていないので)
しかしすでにログインしてアクセスができていたクライアントに関しては問題は生じないです。

 

参考:UNITYでマルチプロトコル使用時のAD停止した場合の挙動について 

元の投稿で解決策を見る

コミュニティ 受理解決策
返答(返信) (4)
MOD
MOD

tanboi_3さん

マルチプロトコル環境というのはUnity上のNASのファイルに対してWindows環境(SMB接続)からでもLinux環境(NFS接続)からでも読み込んだり書き込んだりすることができる
環境のNASという理解で正しいでしょうか?
⇒正しいです。

・こちらもそもそもの話で恐縮ですがマルチプロトコルNASを作成するにおいて、Windows環境でユーザや権限を管理するサーバとしてADが必須だと思いますが、
Linux側にもユーザや権限を管理するADのようなサーバ(LDAPサーバ?)が別途あるものでしょうか?また、マルチプロトコルNAS利用時にはLinux環境にもそいういう
サーバが必須でしょうか?
⇒Unity でのマルチプロトコル環境の条件は以下になります。そのためLinux側ではlocal filesでのユーザ権限設定、もしくはUnix Directory Service (UDS)でのユーザー設定が
必要になります。そのためご質問の回答としてはYes となります。(太字の部分)

オンラインヘルプ(Overview of configuring NAS servers)から・・・
1. Make sure an NTP server is configured for the system.
2. Do the following in the Create a NAS Server wizard:
o On the Sharing Protocols tab, select Multiprotocol.
o Join the NAS server to a Windows Active Directory domain.
o Configure local files, a Unix Directory Service (UDS), or both. If you configure local files with a UDS , the system queries the local files first. The UDS can be LDAP or NIS.
o Configure DNS.
3. Optionally customize the mappings between Windows user accounts and Unix user accounts by modifying and uploading a user mapping file with advanced naming rules (ntxmap). You only need to do this when the names of the same users follow different naming rules in Windows and Unix.

参考:Dell EMC Knowledge Article 000036495 : Using Multi-Protocol for Unity [MASTER]For Multiprotocol setup in Unity either Unix Directory Services (UDS) or LDAP must be configured to map users

・例えばAというユーザがいたとして、ADに登録されているWindows環境でのユーザ名が「UserA-Windows」、Linux環境でのユーザ名が「UserA-Linux」だったとします。この時、UnityのNASのファイルにwindows環境からUserA-Windowsでアクセスした時と、Linux環境からUserA-Linuxでアクセスした時について、Unityはこの2つのアカウントは同一人物だと認識できるのでしょうか?もしそうだとしたら、どういった仕組みや流れでこの2つの環境のアカウントを同一人物だと判断するのでしょうか?
⇒マルチプロトコル環境でのユーザの紐づけはシステムが自動でUNIXのUIDとWindowsのSIDを使って紐づけ(User Mapping)をします。
任意で紐づけのルールを設定したい場合は user mapping file (ntxmap)を使用することも可能になります。

オンラインヘルプ(Configuring user mappings for multiprotocol NAS servers)から
A multiprotocol environment requires the following types of user mappings:
• In order to access a file system configured with a Unix access policy, a Windows user name must map to a corresponding Unix user name. In addition, the storage system must be able to resolve that Unix user name to a UID.
• A Unix user name must map to a corresponding Windows user name when using NFS to access a file system configured with a Windows access policy.
• A Unix user does not have to map to a corresponding Windows user when using NFS to access a file system configured with a Unix or native access policy.

The system automatically creates a mapping between a Windows and Unix user user when the same user name is defined to the Unix Directory Service (UDS) or local password file, and the Windows Active Directory (AD). Unix user names are case sensitive. For example, Windows User1 will automatically map to Unix User1. If the user names are different, you can upload a customized user mapping file (ntxmap) to create custom mapping rules. These rules can be bidirectional, or they can map Windows users to Unix users or Unix users to Windows users. The rules support wildcards and substitutions.
To allow users with unmapped user names to access a file system, you can set default Unix and default Windows accounts for the NAS server.

そのほかマルチプロトコル環境についての資料(ここにあるチャートを見るとわかりやすいです)
で流れがみえると思います。

元の投稿で解決策を見る

コミュニティ 受理解決策

ayasさん


ご解説ありがとうございます。かなりイメージできました。
すいません、いくつか確認させていただきたいのですが、


・user mapping file (ntxmap)というのは
どこから入手するのでしょうか?
Passwdファイルテンプレートのことでしょうか。


・前回の例でいうとADに登録されているWindows環境での
ユーザ名が「UserA-Windows」、Linux環境でのユーザ名が
「UserA-Linux」だったとした場合は、それぞれユーザ名が
違うので手動でマッピングファイルに記載してこれらのアカウントを
マッピングする必要がある。

両環境で同じユーザ名を使用している場合はUnityが自身に
登録されているADとLDAPやNISサーバ(もしくはNASローカル
ユーザ)と通信して自動でマッピングする、という理解でよいで
しょうか?


・Unityに登録しているADやLDAPサーバに障害が起きた時
についての挙動を教えていただきたいのですが、
ADサーバとLDAPサーバがある環境で適切にマルチプロトコル
NASを構築したとして、そのNASのファイルシステムにWindows
環境から「A」というファイルを作成したとします。
正常にマッピングされていればLinux環境からでもこの
ファイル「A」にアクセスできると思いますが、例えばこのとき
LDAPサーバに障害が起きてLDAPサーバと通信できなくなった場合、
このファイル「A」にはWindows環境からはアクセス可能だが
Linux環境からはアクセス不可の挙動になるのでしょうか?
逆にADに障害が起きてADと通信不可になった場合、
Windows環境からはファイル「A」にアクセス不可、Linux環境からは
アクセス可能、になるのでしょうか?


以上、よろしくお願いいたします。

MOD
MOD

tanboi_3さん


・user mapping file (ntxmap)というのはどこから入手するのでしょうか?
Passwdファイルテンプレートのことでしょうか。
⇒ntxmap.confは任意でWindows userと UNIX userの紐づけをするファイルになります。
Unisphere からもダウンロード、もしくはアップロード可能です。 
参考:Dell EMC Unity: Downloading or uploading the user mapping file "ntxmap.conf" via uemcli. (User Corre... 
User mapping file can be downloaded / uploaded via Unisphere when navigating to NAS server properties -> multiprotocol -> advanced mapping rules.
To download / upload ntxmap.conf via UEMCLI

参考:Unity-ローカルユーザーのntxmapへの記載方法
Unityのntxmapファイルに正規表現は使えますか

・前回の例でいうとADに登録されているWindows環境でのユーザ名が「UserA-Windows」、Linux環境でのユーザ名が「UserA-Linux」だったとした場合は、それぞれユーザ名が
違うので手動でマッピングファイルに記載してこれらのアカウントをマッピングする必要がある。両環境で同じユーザ名を使用している場合はUnityが自身に登録されているADとLDAPやNISサーバ(もしくはNASローカルユーザ)と通信して自動でマッピングする、という理解でよいでしょうか?
⇒はい


・Unityに登録しているADやLDAPサーバに障害が起きた時についての挙動を教えていただきたいのですが、ADサーバとLDAPサーバがある環境で適切にマルチプロトコル
NASを構築したとして、そのNASのファイルシステムにWindows環境から「A」というファイルを作成したとします。正常にマッピングされていればLinux環境からでもこのファイル「A」にアクセスできると思いますが、例えばこのときLDAPサーバに障害が起きてLDAPサーバと通信できなくなった場合、このファイル「A」にはWindows環境からはアクセス可能だがLinux環境からはアクセス不可の挙動になるのでしょうか?逆にADに障害が起きてADと通信不可になった場合、Windows環境からはファイル「A」にアクセス不可、Linux環境からはアクセス可能、になるのでしょうか?


⇒Unityに登録しているADやLDAPサーバに障害が起きた場合、初めてそのドメインへログインしようとしたクライアントはアクセスできません。(Mappingされていないので)
しかしすでにログインしてアクセスができていたクライアントに関しては問題は生じないです。

 

参考:UNITYでマルチプロトコル使用時のAD停止した場合の挙動について 

元の投稿で解決策を見る

コミュニティ 受理解決策

ayasさん

ご回答ありがとうございます。

ADやLDAPサーバ等に障害が起きた時でも、すでにNASにアクセス済みで

マッピングが完了しているのであれば両環境からアクセス可能なのですね。

勉強になりました。

トップコントリビューター
最新のソリューション