System Administration Guide Data ONTAP® Mode

Transcription

1 CA ServerView with Data ONTAP-v TM System Administration Guide Data ONTAP Mode

2

3 目次 著作権に関する注意事項 商標に関する注意事項 このガイドについて 対象ユーザー Data ONTAP マニュアルページへのアクセス 用語 コマンドの入力場所 キーボード表記と表記規則 特記事項 NetApp ストレージへの導入 ストレージシステムのコンポーネント 内部コンポーネント スロットとポート ディスクシェルフとディスク サードパーティ製ストレージ Data ONTAP の機能 ネットワークファイルサービス マルチプロトコルのファイルおよびブロック共有 データストレージ管理 データの階層的管理 データアクセス管理 データ移行管理 データ保護 システム管理 AutoSupport Data ONTAP によるインターフェース ストレージシステムの管理方法 Data ONTAP のコマンドラインインターフェース ヒストリ機能の使用 コマンドラインエディタの使用 オンラインによるコマンドラインヘルプ 異なる特権レベルでの Data ONTAP コマンド 異なるセッションで適用される特権のレベルの違い 初期状態の特権レベル... 31

4 特権レベルの設定 ストレージシステムへのアクセス方法 ストレージシステムへのアクセス方法 システムの管理方法 ( ライセンスは不要 ) データの管理および取得の方法 ( ライセンスが必要 ) コンソールセッションの共有の制御 コンソール Telnet SSH 対話形式セッションに適用されるルール e0m インターフェース コンソールからストレージシステムにアクセスする方法 シリアルポートによるストレージシステムへのアクセス リモート管理デバイスによるシステムコンソールへのアクセス セキュアなプロトコルおよびストレージシステムへのアクセス デフォルトのセキュリティ設定 SSH プロトコル SSL プロトコル セキュアプロトコルが有効かどうかの確認 セキュアプロトコルの有効化または無効化 Telnet セッションとストレージシステムへのアクセス Telnet セッションの開始 Telnet セッションの終了 Telnet セッションの設定 リモートシェル接続を使用したストレージシステムへのアクセス方法 ユーザー名とパスワードを使用した RSH コマンドを使用するタイミング RSH による UNIX クライアントからストレージシステムへのアクセス Remote Shell アプリケーションによる Windows クライアントからストレージシステムへのアクセス RSH 使用時に実行できないコマンド RSH を使用したデフォルト値へのオプションのリセット方法 RSH のセッション情報の表示 FilerView を使用したストレージシステムへのアクセス方法 FilerView によるクライアントからストレージシステムへのアクセス FilerView のインターフェース FilerView への読み取り専用アクセス 管理ホストからのアクセスの管理方法 管理ホストとしてワークステーションを指定する理由 管理ホストの特権 クライアントの使用要件 管理ホストの指定方法 管理ホストの追加... 75

5 管理ホストの削除 ストレージシステムへのアクセス制御方法 ホスト名による Telnet アクセスの制御 プロトコルによるアクセスの制限 マウント特権の制御 ファイル所有権の変更特権の制御 匿名 CIFS ユーザーによる共有参照の制御 セキュリティの維持に役立つオプション ストレージシステムに対してセキュアなアクセスのみを許可 ルートボリュームの管理方法 ルートボリュームに関する推奨事項 ルート FlexVol のサイズ要件 ルートボリュームのデフォルトディレクトリ デフォルトディレクトリの権限 etc ディレクトリ ストレージシステム上のデフォルトディレクトリへのアクセス方法 NFS クライアントから /etc ディレクトリへのアクセス CIFS クライアントから /etc ディレクトリへのアクセス FTP による /etc ディレクトリへのアクセス NFS クライアントから /home ディレクトリへのアクセス CIFS クライアントから /home ディレクトリへのアクセス FTP による /home ディレクトリへのアクセス HTTP または HTTPS を使ったログファイルへのアクセス ルートボリュームの変更 ストレージシステムの起動および停止方法 ストレージシステムのブート方法 ストレージシステムのブート方法 ストレージシステムプロンプトからのストレージシステムのブート プロンプトから Data ONTAP のブート リモートからの Data ONTAP のブート 壊れたブートデバイスイメージからのリカバリ 有効な Data ONTAP バージョンの確認 ストレージシステムのリブート システムコンソールからのストレージシステムのリブート ストレージシステムをリモートからリブート ストレージシステムの停止 管理者アクセスおよび診断アクセスの管理方法 管理者アカウントを作成する理由

6 ユーザー グループ ロール 機能の定義 ユーザーに機能を割り当てる方法 ユーザー グループ およびロール命名要件 Windows の特殊グループ 他のグループおよびロールの機能の変更について ストレージシステムへの root アクセス ストレージシステムへの root アクセスの無効化 root アクセスの状態の表示 ユーザーの管理方法 ユーザーの作成とグループへの割り当て Windows ドメインユーザーへのアクセスの許可 MMC でのアクセスを許可する方法 別のユーザーの機能の変更について グループの管理方法 事前定義グループ グループの作成または変更によるグループへのロールの割り当て グループ名の変更 lclgroups.cfg ファイルからグループのロード ユーザーが所属できる補助 UNIX グループの最大数の設定 ロールの管理方法 事前定義されたロール サポートされる機能の種類 ロールの新規作成とロールへの機能の割り当て 既存のロールまたは機能の変更 ユーザー グループ およびロール ユーザー ドメインユーザー グループ またはロールを一覧表示するコマンド ユーザー ドメインユーザー グループ またはロールを削除するコマンド 管理ユーザーの作成例 カスタム機能を持つユーザーの作成例 管理機能を持たないユーザーの作成例 セキュリティのためのパスワード管理の方法 ストレージシステムパスワードの変更 ローカルユーザーアカウントのパスワードの変更 パスワードルールの管理オプション 診断アカウントと systemshell 診断アカウントの有効化と無効化 診断用アカウントに対するパスワードの設定 systemshell へのアクセス システム全般のメンテナンス

7 特殊なシステムファイル アグリゲート Snapshot コピーの管理 アグリゲート Snapshot コピーの作成方法 アグリゲート Snapshot リザーブ アグリゲート Snapshot コピーの自動削除 アグリゲート Snapshot コピーの自動作成を無効にする手順 ライセンスの管理方法 ライセンスの追加 現在のライセンスコードの表示 ライセンスの無効化 システムの日付と時間の設定 システム時間の同期 timed のオプション システムのタイムゾーンの表示および設定 コアファイル コアダンプの書き込み システムリブート時のテクニカルサポートへの自動通知 メッセージロギング etc/syslog.conf ファイル サンプル /etc/syslog.conf ファイル メッセージロギングの設定 監査ログギング 監査ロギングの設定 読み取り専用の API 監査の有効化または無効化 ストレージシステムのスタートアップ構成 etc/rc ファイルについて etc/rc ファイルの編集 etc/rc エラーからの復旧 ストレージシステム構成のバックアップとクローニング ストレージシステム構成のバックアップ ストレージシステム構成のクローニング ストレージシステム構成のリストア ストレージシステム構成ファイルとバックアップ構成ファイルの比較 ストレージシステム上のファイルの書き込みと読み取りについて WAFL ファイルの書き込み WAFL ファイルの読み取り UPS の管理 UPS シャットダウンのオプション UPS シャットダウンプロセス ユーザー環境の UPS シャットダウンイベントタイミングに影響を及ぼす要因

8 AutoSuppor 機能 AutoSupport 機能の概要 AutoSupport の転送プロトコル AutoSupport の設定 AutoSupport オプション AutoSupport のテスト AutoSupport トラブルシューティングタスク HTTP または HTTPS を使用した AutoSupport のトラブルシューティング SMTP を使用した AutoSupport のトラブルシューティング AutoSupport メッセージのサイズの制御 AutoSupport メッセージ AutoSupport メッセージの説明の取得 AutoSupport イベントメッセージの内容 ストレージシステムのリモート管理 RLM を使用したリモートシステム管理 RLM の機能 RLM の設定方法 RLM へのログイン方法 RLM によるストレージシステムの管理方法 Data ONTAP による RLM の管理方法 ストレージシステムおよび RLM に関する情報の表示方法 リアルタイム情報を表示する RLM CLI コマンド Data ONTAP と RLM コマンドの比較 RLM を搭載したストレージシステムのトラブルシューティング方法 RLM ファームウェアの更新方法 RLM の問題のトラブルシューティング方法 BMC を使用したリモートシステム管理 BMC の機能 BMC の設定方法 Data ONTAP による BMC の管理方法 BMC および AutoSupport オプション BMC へのログイン方法 BMC によるストレージシステムの管理方法 ストレージシステムおよび BMC に関する情報の表示方法 Data ONTAP と BMC コマンドの比較 BMC を搭載したストレージシステムのトラブルシューティング方法 BMC ファームウェアの更新方法 BMC の問題のトラブルシューティング方法 ファームウェアのアップグレードとしてのリモートサポートエージェント

9 システム情報 ストレージシステムの構成情報の取得 ストレージシステム内の各ディスクの製品情報が表示されます ストレージサブシステムの情報表示するコマンド アグリゲート情報の取得 ボリューム情報の取得 ファイルの統計の要約の取得 filestats コマンドにオプションを指定しない例 filestats コマンドに ages オプションを指定した場合の例 filestats コマンドに sizes オプションを指定した場合の例 filestats コマンドを使用してボリューム容量を判別する例 ストレージシステム環境情報 環境ステータス情報の取得 監視対象の UPS デバイスの指定 UPS デバイスの監視の有効化と無効化 ファイバチャネル情報の取得 SAS アダプタとエクスパンダの情報の取得 ストレージシステムの情報および stats コマンド 使用可能なカウンターの一覧表示 カウンターについての詳細情報の取得 stats コマンドの単独モードでの対話的な使用 stats コマンドのリピートモードでの対話的な使用 バックグラウンドモードで stats コマンドを使用してシステム情報を収集する方法 stats コマンドの出力の変更 stats プリセットファイルについて perfmon を使用したシステム情報の収集方法 perfstat を使用したシステム情報の収集方法 ストレージのパフォーマンスおよびリソース FlexShare を使用したストレージシステムリソースの管理方法 FlexShare を使用するタイミング FlexShare の使用方法 WAFL キャッシュメモリの増加方法 WAFL 拡張キャッシュの有効化または無効化 標準のユーザーデータブロックのキャッシング プライオリティが低いユーザーデータブロックのキャッシング システムメタデータのみのキャッシュ FlexShare バッファーキャッシュポリシーと WAFL 拡張キャッシュオプションの統合 272 WAFL 拡張キャッシュ設定の表示 WAFL 拡張キャッシュの利用率およびアクセスに関する情報の表示

10 ストレージシステムのパフォーマンスの改善方法 ネットワークインターフェース上の NFS トラフィックの分散について TCP を使用して NFS トラフィックの信頼性を確保する方法 ディスクバウンドされたアグリゲートへのディスクの追加 アグリゲートの適切なサイジングについて 適切なスロットへのカードの挿入について 一定の空きブロックと空き inode の維持 LUN ファイル およびボリュームのレイアウトの最適化について CIFS ストレージシステムでの oplock の使用 CIFS または NFS の TCP ウィンドウサイズの増加 qtree を使用したバックアップについて LUN ファイル ボリューム およびアグリゲートのレイアウトを最適化する方法 再配置スキャンの概要 LUN ファイル またはボリュームの再配置スキャンを使用する理由 アグリゲートの再配置スキャンを使用する理由 物理的な再配置スキャンを使用する理由 再配置スキャンの動作 再配置スキャンの管理方法 再配置スキャンの使用効率を最大化する方法 読み取りパフォーマンスを向上させる方法 読み取り再配置について Microsoft Exchange の読み取りパフォーマンスの向上 トラブルシューティングツール ストレージシステムのパニック ストレージシステムのパニックへの対応 エラーメッセージ Syslog Translator によるエラーメッセージの詳細情報の参照 FilerView を使用した Syslog Translator へのアクセス NOW サイトを利用してエラーを解決する方法 リモート管理デバイスを使用したシステムのトラブルシューティング方法 用語集 索引

11 Copyright information 11 著作権に関する注意事項 Copyright NetApp, Inc. All rights reserved. Printed in the U.S.A. このマニュアルは著作権によって保護されています 著作権所有者の書面による事前承諾がある場合を除き 画像媒体 電子媒体 および写真複写 記録媒体 テープ媒体 電子検索システムへの組み込みを含む機械媒体など いかなる形式および方法による複製も禁止します NetApp の著作物から派生したソフトウェアは 次に示す使用許諾条項および免責条項の対象となります このソフトウェアは NetApp によって 現状のまま 提供されています 明示的または商品性および特定目的に対する適合性の黙示性の黙示的保証を含み かつこれに限定されないいかなる暗示的な保証も放棄します NetApp は 代替品または代替サービスの調達 使用不能 データ損失 利益損失 業務中断を含み かつこれに限定されない このソフトウェアの使用により生じたすべての直接的損害 間接的損害 偶発的損害 特別損害 懲罰的損害 必然的損害の発生に対して 損失の発生の可能性が通知されていたとしても その発生理由 根拠とする責任論 契約の有無 厳格責任 不法行為 ( 過失またはそうでない場合を含む ) に関わらず 一切の責任を放棄します NetApp は ここに記載されているすべての製品に対する変更を随時 予告なく行う権利を保有します NetApp による明示的な書面による合意がある場合を除き ここに記載されている製品の使用により生じる責任および義務に対して NetApp は責任を放棄します この製品の使用または購入は NetApp の特許権 商標権 または他の知的所有権に基づくライセンスの供与とはみなされません このマニュアルに記載されている製品は 1 つ以上の米国特許 外国特許 および係属中の出願によって保護されている場合があります 権利の制限について : 政府による使用 複製 開示は DFARS (1988 年 10 月 ) の Rights in Technical Data and software( 技術データおよびコンピュータソフトウェアに関する諸権利 ) 条項の (c)(1)(ii) 項 および FAR (1987 年 6 月 ) に規定された制限が適宜適用されます

12 商標に関する注意事項 12 商標に関する注意事項 NetApp NetApp のロゴ Network Appliance のロゴ Bycast Cryptainer Cryptoshred DataFabric Data ONTAP Decru Decru DataFort FAServer FilerView FlexCache Flexclone FlexShare FlexVol Fpolicy gfiler Go further, faster Manage ONTAP Multistore Nearstore NetCache NOW (NetApp on the Web) ONTAPI RAID-DP SANscreen SecureShare Simulate ONTAP SnapCopy SnapDrive SnapLock SnapManager SnapMirror SnapMover Snaprestore SnapValidator SnapVault Spinnaker Networks Spinnaker Networks のロゴ SpinAccess SpinCluster SpinFlex SpinFS SpinHA SpinMove SpinServer SpinStor storagegrid storevault SyncMirror Topio vfiler VFM WAFL は 米国 その他の国 またはその両方におけるNetApp, Inc. の登録商標です Network Appliance Snapshot The evolution of storage は米国 その他の国 またはその両方におけるNetApp, Inc. の商標 および一部の国における登録商標です StoreVault のロゴ ApplianceWatch ApplianceWatch PRO ASUP AutoSupport ComplianceClock DataFort Data Motion FlexScale FlexSuite Lifetime Key Management LockVault NOW MetroCluster OpenKey ReplicatorX SecureAdmin Shadow Tape SnapDirector SnapFilter SnapMigrator SnapSuite Tech OnTap Virtual File Manager Vpolicy Web Filer は 米国 その他の国 またはその両方におけるNetApp, Inc. の商標です Get Successful Select は米国における NetApp, Inc. の役務商標です IBM IBM のロゴ ならびに ibm.com は 米国 その他の国 またはその両方における International Business Machines Corporation の登録商標です その他のすべてのIBM 商標の最新のリストは Webサイト ( から入手できます Apple は米国 その他の国 またはその両方におけるApple, Inc. の登録商標です QuickTime は米国 その他の国 またはその両方におけるApple, Inc. の商標です Microsoft は米国 その他の国 またはその両方におけるMicrosoft Corporationの登録商標でです Windows Media は 同社の米国 その他の国 またはその両方における商標です RealAudio RealNetworks RealPlayer RealSystem RealText ならびに RealVideo は 米国 その他の国 またはその両方におけるRealNetworks, Inc. の登録商標です SureStream は米国 その他の国 またはその両方におけるRealNetworks, Inc. の商標です その他すべてのブランドおよび製品は それを所有する各社の商標または登録商標であり 相応の取り扱いが必要です NetApp, Inc. は CompactFlash ならびに CF Logo の商標に対する使用許諾を有しています NetApp, Inc. の NetCache は RealSystem の認定互換製品です

13 13 Data ONTAP-v 8.0 System Administration Guide このガイドについて この文書の対象読者ならびにこの文書が情報を掲載するために用いている表記規約を理解すれば お使いの製品をより効果的に使用できます この文書は Data ONTAP ソフトウェアの構成 操作 及びこれを実行するソフトウェアの構成 操作 及びこれを実行するストレージシステムの管理方法について説明しています メモ : このマニュアルは V-シリーズシステムを含めた Data ONTAP 8.x 7-Mode を実行するシステムに適用されます Data ONTAP 8.x 7-Mode 製品名での 7-Mode は Data ONTAP または 7.3 リリースファミリを使用していた場合 このリリースがこれまで使用していた機能と特徴を備えていることを意味します Data ONTAP 8.x Cluster-Mode を使用している場合 nodeshell から 7- Mode コマンドでアクセスする機能については Data ONTAP 8.x Cluster-Mode のマニュアルと Data ONTAP 8.x 7-Mode のマニュアルを使用してください. 次のトピック 対象 Data ONTAP マニュアルページへのアクセス用語コマンドの入力場所キーボード表記と表記規則特記事項 対象ユーザー本書では 対象ユーザーに次の技術的な知識や経験があることを想定しています 本書は ストレージシステムのクライアント上で実行されている UNIX ならびに Windows などのオペレーティングシステムに精通しているシステム管理者を対象としています このマニュアルで使用するには ストレージシステムの構成方法や Network File System (NFS) Common Internet File System(CIFS) Hypertext Transport Protocol(HTTP) File Transport Protocol(FTP) および Web-based Distributed Authoring and Versioning(WebDAV) を使用したファイル共有またはファイル転送に関する詳しい知識も必要です このマニュアルでは 基本システムやネットワーク管理のトピック (IP アドレスの指定 ルーティング ならびに ネットワークトポロジなど ) については説明せず ストレージシステムの特徴に重点を置いています

14 このガイドについて 14 Data ONTAP マニュアルページへのアクセス Data ONTAP マニュアル (man) ページで技術情報にアクセスすることができます このタスクについて次のタイプの情報について Data ONTAP マニュアルページが用意されています これらのページは UNIX の標準命名規則に従って 複数のセクションに分類されています 情報のタイプ マニュアルページセクション コマンド 1 特殊ファイル 4 ファイル形式および表記規則 5 システム管理およびサービス 8 ステップ 1. 下記の手順でマニュアルページをご覧ください コンソールコマンドに下記のコマンドを入力します man command_or_file_name FilerView ユーザーインターフェイスの Data ONTAP メインナビゲーションページの [manual pages] ボタンをクリックします メモ : Data ONTAP 8.x 7-Mode のすべてのマニュアルページは システム上で他のマニュアルページと区別するために名前の先頭に na_ が付加されたファイルに保管されています これらの接頭辞付きの名前は マニュアルページの NAME フィールドに表示されていることがありますが これらの接頭辞はコマンド名 ファイル名 およびサービス名の一部ではありません 用語 このガイドに記載された概念を理解するには 特定の用語の使用方法を理解する必要があります アレイ LUN Logical Unit Number(LUN: 論理 サードパーティ製のストレージアレイが Data ONTAP ソフトウェアを実行しているストレージシステムに提供するストレージのことです 1つのアレイ LUN は ネーティブディスクシェルフ上の 1 ディスクに相当します 番号で識別されるストレージの論理ユニットのことです ユニット番号 ) ネイティブディスク Data ONTAP ソフトウェアを実行するストレージシステム用のローカルストレ ージとして販売されているディスクのことです

15 15 Data ONTAP-v 8.0 System Administration Guide ネイティブディスクシェルフストレージコントローラストレージシステムサードパーティ製ストレージコントローラ Data ONTAP ソフトウェアを実行するストレージシステム用のローカルストレージとして販売されているディスクシェルフのことです Data ONTAP オペレーションシステムを実行してディスクサブシステムを制御するストレージシステムのコンポーネントを表します ストレージコントローラはまた コントローラ ストレージアプライアンス ストレージエンジン ヘッド CPU モジュール またはコントローラモジュールと呼ばれることもあります Data ONTAP を実行し ネーティブディスクシェルフ サードパーティ製ストレージ または その両方との間でデータの送受信を行うハードウェアデバイスのことです Data ONTAPを実行するストレージシステムは ファイラー アプライアンス ストレージアプライアンス Vシリーズシステム またはシステムと呼ばれることもあります Data ONTAPを実行しているストレージシステムにストレージを提供する IBM Hitachi Data Systems および HPなどのバックエンドのストレージアレイのことです コマンドの入力場所このガイドでの情報の説明に使用されているコマンド表記を理解すると 製品をより効率的に使用できるようになります 一般的な管理者向け作業を 次の1つ以上の方法で実行できます コマンドは システムコンソール または Telnet または Secure Socket Shell (SSH) セッションを使用してストレージシステムにアクセスできる任意のクライアントコンピュータから入力できます コマンド実行を示している例では オペレーティングシステムのバージョンによってコマンドの構文および出力が異なる場合があります Filer View グラフィカルユーザーインターフェースを使用できます キーボード表記と表記規則 このガイドでの情報の説明に使用されているキーボード表記と表記規則を理解すると 製品をより効 率的に使用できるようになります キーボード規約 表記規則 NOW サイト 意味 NetApp On the Web ( ) をご参照ください Enter, enter キャリッジリターン ( 改行 ) キーです キーボードによっては Return キーと呼ばれています キーボード上の 1 つ以上のキーを押して Enter キーを押すこと または クラフィカル

16 このガイドについて 16 表記規則 意味 インターフェースのフィールドをクリックして情報をフィールドに入力することを示すために使用します ハイフン (-) タイプ ( 入力 ) 複数キーの組み合わせを示します 例えば Ctrl-D は Ctrlキーを押しながらDキーを押すことを意味します キーボード上の 1 つ以上のキーを押すことを示すために使用します 表記規則 規約 意味 斜体フォント 特別な注意を必要とする語句 ユーザーが入力する必要がある情報のプレースホルダ たとえば マニュアルに arp - d hostname コマンドを入力すると記載されている場合は "arp- d" という文字の後に実際のホスト名を入力します クロスリファレンスで表記されるブックタイトル 等幅フォント コマンド名 オプション名 キーワード およびデーモン名 システムコンソールまたは他のコンピュータモニタに表示される情報 ファイルのコンテンツ ファイル パス およびディレクトリ名 太字等幅フォント ユーザー入力する語句入力する語または文字は プログラムが大文字と小文字を区別し かつ大文字で入力する必要がある場合を除いて すべて小文字で示しています 特記事項このガイドでは 読者の注意を喚起するため 次のようなメッセージを使用しています メモ : メモには システムのインストールや操作を効率的に行うのに役立つ重要な情報が記述されています 注意 : 注意には システムクラッシュ データ損失 または装置へのダメージを回避するために従う必要のある指示が記述されています

17 NetApp ストレージへの導入 17 NetApp ストレージへの導入 NetApp ストレージシステムは データの保管および検索機能を提供する ハードウェアおよびソフトウェアベースのストレージシステムです このシステムは クライアントからのネットワーク要求に従って ディスクアレイへのデータの書き込み またはディスクアレイからのデータの読み出しを行います このストレージシステムにはモジュール型のハードウェアアーキテクチャが備わり Data ONTAP オペレーティングシステムおよび Write Anywhere File Layout(WAFL) ソフトウェアを実行します NetApp ストレージシステムの全モデルについては NetApp 製品およびテクノロジ ページを参照してください Data ONTAP は すべての NetApp ストレージシステムに使用されるオペレーティングシステムです Data ONTAP は コマンドラインインターフェイスや FilerView インターフェイス DataFabric Manager インターフェイス ( ライセンスが必要 ) を通じて また Remote LAN Module(RLM) または Baseboard Management Controller(BMC) が搭載されたストレージシステムではシステムコンソールへの RLM または BMC イーサネット接続を通じて 包括的なストレージ管理ツールを提供します 次のトピック ストレージシステムのコンポーネント Data ONTAP の機能 関連情報 ネットアップ製品概要 ページ - ストレージシステムのコンポーネント Data ONTAP を実行するストレージシステムには データの送受信を行うハードウェアデバイスであるメインユニットがあります プラットフォームによって ストレージシステムは ディスクシェルフ上のストレージ サードパーティ製ストレージ またはその両方を使用します Data ONTAP を実行するストレージシステムは 次のコンポーネントから構成されます ストレージシステムメインユニット またはシャーシ ( ストレージエンジンと呼ばれることもある ) これは データの送受信を行うハードウェアデバイスです このユニットは ストレージシステムコンポーネントを収容するとともに ハードウェア及びハードウェア構成 ストレージシステムコンポーネント 動作状態 ハードウェア障害 エラー状況に関する情報を検知し 収集します 環境に関するエラーコードの詳細については Now のサイトの 診断ガイド を参照してください ディスクシェルフは ストレージシステムのメインユニットに接続されるディスクや関連するハードウェア ( 電源 コネクタ ケーブルなど ) を収容するコンテナ ( つまり デバイスキャリア ) です

18 18 Data ONTAP System Administration Guide メモ : V シリーズシステムの場合 IBM Hitach Data Systems HP などのバックエンドストレージアレイがデータ用のストレージを提供します NetApp V-Series システムは バックエンドストレージアレイのディスクシェルフまたは Logical Unit Number (LUN) からのクライアントの要求に対応します 具体的には ストレージシステムには 内部コンポーネント スロット及びポート ディスクを収容するディスクシェルフが含まれます 次のトピック内部コンポーネントスロットとポートディスクシェルフとディスクサードパーティ製ストレージ関連概念ストレージシステム環境情報関連情報 Now のサイト - 内部コンポーネント システムは 次のストレージシステムの内部コンポーネントによって機能します 次の表に ストレージシステムの内部コンポーネントを示します コンポーネント システムボード システムメモリ NVRAM ( 不揮発性 RAM) ブートデバイス LCD と LED 環境アダプタ Remote Management 説明 システムボードは ストレージシステムのメインボードとも呼ばれます システムボードのファームウェアはアップグレードすることができます すべてのコンポーネントはシステムボードに接続されています システムメモリは情報を一時的に格納します Data ONTAP はデータの整合性を確保するために NVRAM を使用してネットワーク処理のログを作成します システム故障または電源障害が発生した場合は Data ONTAP は NVRAM の内容を使用してネットワークデータをディスクにリストアします ストレージシステムは CompactFlash Card などのブートデバイスに格納されている Data ONTAP リリースから自動的にブートします また ブートデバイスには Data ONTAP のバックアップバージョンも格納され 非常時にはこのバージョンからシステムをブートすることもできます LCD 及び LED には ストレージシステムのステータス情報が表示されます 環境アダプターは次の機能を実行します ストレージシステムの温度とファンの監視 クリティカルな情報をストレージシステムの LCD に送信 情報のログを作成 温度が許容範囲を超えた場合 またはファンの運転が停止した場合に ストレージシステムをシャットダウン RMC は down filer 通知など 高度な AutoSupport 機能を提供します

19 NetApp ストレージへの導入 19 コンポーネント 説明 Controller (RMC) ( ストレージシステムによっては非搭載 ) Remote LAN Module (RLM) や Baseboard Management Controller (BMC) などのリモート管理デバイス RLM および BMC はストレージシステムにリモートプラットフォーム管理機能を提供します この機能により ネットワーク経由でストレージシステムコンソールにリモートからアクセスしたり ストレージシステムの電源を動作状態に関係なく オンまたはオフにしたりすることができます また RLM および BMC は ストレージシステムのハードウェアイベントログの監視および維持や システムステータスに基づくアラートの生成も行います 関連するコンセプト RLM を使用したリモートシステム管理 BMC を使用したリモートシステム管理 スロットとポートストレージシステムには 外部接続用のスロットと コンソールおよび診断ハードウェア用のポートが装備されています ご使用のストレージシステム用のホストアダプターの設定方法については System Configuration Guide を参照してください 次の表に ストレージシステムのスロットとポートを示します コンポーネント スロット シリアルポート 説明 ストレージシステムには 以下のホストアダプター用の拡張スロットが装備されています NetWork Interface Card (NIC: ネットワークインターフェースカード ) ディスクシェルフアダプタ, テープドライブアダプタ Performance Acceleration Module ファミリー NVRAM アダプタ 次の2つのシリアルポートがあります コンソールとして使用するシリアル端末にストレージシステムを接続するコンソールポートリモート管理または診断のためのポート Data ONTAP 管理や ストレージシェルフの Environmental Monitoring Unit (EMU) などの 診断機器の接続に使用されます ディスクシェルフとディスクディスクシェルフはディスクの存在 ファンの状態 電源の状態 および温度に関する情報を収集します これらのパラメータが動作条件の許容範囲を超えている場合 ディスクシェルフはコンソールにメッセージを送信します ディスクシェルフの詳細については お使いのディスクシェルフ用のハードウェアサービスマニュアルを参照してください ディスク管理の詳細については Data ONTAP7-Mode Storage Management Guide を参照してください

20 20 Data ONTAP System Administration Guide V-Series システムに接続されているディスクシェルフについては V-Series Systems Implementation Guide for Native Disk Shelves と ディスクシェルフマニュアルを参照してください サードパーティ製ストレージ V シリーズシステム上で Data ONTAP は IBM Hitachi Data Systems HP および EMC のストレ ージアレイを含む異機種混在ファイバチャネル (FC)SAN ストレージアレイに格納されたデータに対す るユニファイド NAS および SAN アクセスを提供します Data ONTAP は 1 つの V シリーズシステム 上で 同じモデルまたは異なるモデルで構成される複数のストレージアレイをサポートします Data ONTAP ソフトウェアは ディスクシェルフにあるストレージアレイおよびストレージの LUN を簡 単に管理できるようにする統合ストレージソフトウェアです システムを中断することなく 必要なときに 必要な場所にストレージを追加できます サポートされているストレージアレイモデルについては V-Series Support Matrix を参照してくださ い Data ONTAP で管理する個々のストレージアレイの設定については V シリーズの実装ガイドを 参照してください Data ONTAP と作動するストレージアレイの設定については V-Series Systems Implementation Guide を参照してください Data ONTAP の機能 Data ONTAP では ネットワークファイルサービス マルチプロトコルのファイル及びブロック共有 データストレージ管理 データの階層的管理 データアクセス管理 データ移行管理 データ保護 シ ステム管理 および AutoSupport 向けの各機能が提供されます 次のトピック ネットワークファイルサービス マルチプロトコルのファイルおよびブロック共有 データストレージ管理 データの階層的管理 データアクセス管理 データ移行管理 データ保護 システム管理 AutoSupport ネットワークファイルサービス Data ONTAP を使用すると クライアントワークステーション ( ホスト ) 上のユーザーは ストレージシステムに保管されているファイルまたはブロックの作成 削除 編集 およびアクセスすることが可能になります ストレージシステムを Network-Attached Storage (NAS: ネットワーク接続型ストレージ ) 環境また

21 NetApp ストレージへの導入 21 は Storage Area Network(SAN: ストレージエリアネットワーク ) 環境に配置すると 様々なプラットフォーム上のユーザーが社内の多様なデータにアクセスできるようになります ストレージシステムはお使いのデータストレージ要件およびデータ管理要件に応じて ファブリック接続 ネットワーク接続 もしくは直接接続が可能であり NFS,CIFS HTTP,FTP( ファイル転送プロトコル ) を使用したファイルアクセスに対応できます また Internet SCSI(iSCSI) を使用して すべてのデータを TCP/IP 上で転送してブロックストレージアクセスを行うことも Fibre Channel Protocol (FCP) 上で SCSI を使用して (SCSI over FCP) ブロックストレージアクセスを行うこともできます クライアントワークステーションは 直接接続 TCP/IP ネットワーク接続 FCP 接続 またはファブリック接続によってストレージシステムに接続します ストレージシステムを NAS ネットワーク型に構成する方法については システム構成マニュアル 及び Data ONTAP 7-Mode Network Management Manual を参照してください ストレージシステムを SAN ファブリック型に構成する方法については NetApp 互換性マトリックス及び Data ONTAP 7- Mode Block Access Management Manual for iscsi and FC を参照してください 関連情報 NetApp 互換性マトリックス- マルチプロトコルのファイルおよびブロック共有さまざまなプロトコルを使用して ストレージシステム上のデータにアクセスすることができます NFS (Network File System) UNIX システムで使用 (PC)NFS (Personal Computer NFS) PC で NFS にアクセスするために使用 CIFS (Common Internet File System) Windows クライアントで使用 FTP (File Transfer Protocol) ファイルのアクセス及び取得に使用 HTTP (HyperText Transmission Protocol) World Wide Web 及び企業のイントラネットでの使用 WebDAV (Web-based Distributed Authoring and Versioning) HTTP クライアントが分散型の Web コンテンツオーサリングに使用 FCP (Fibre Channel Protocol) SAN でのブロックアクセスに使用 iscsi (Internet Small Computer System Interface) SAN でのブロックアクセスに使用 あるプロトコルを使用して作成されたファイルは 他のプロトコルを使用するクライアントからもアクセスできます ( システムでそれぞれのライセンスが有効になっている場合 ) たとえば NFS クライアントは CIFS クライアントによって作成されたファイルにアクセスでき CIFS クライアントは NFS クライアントによって作成されたファイルにアクセスできます また あるプロトコルを使用して作成されたブロックに 他のプロトコルを使用するクライアントからアクセスすることもできます されます NAS ファイルアクセスプロトコルについては Data ONTAP 7Mode File Access and Protocols Management Guide を参照してください

22 22 Data ONTAP System Administration Guide SAN ブロックアクセスプロトコルについては DataONTAP 7-Mode Block Access Management Guide for iscsi and FC を参照してください データストレージ管理 Data ONTAP はストレージシステムに接続されているディスクシェルフのディスクにデータを格納します もしくは他のサードパーティのストレージアレイ上のストレージを使用します ネイティブストレージの場合 Data ONTAP は RAID-DP グループまたは RAID 4 グループを使用して パリティの保護を提供します サードパーティ製ストレージの場合 Data ONTAP は RAID 0 グループを使用して パフォーマンスとストレージ利用率を最適化します ストレージアレイは サードパーティ製ストレージに対してパリティの保護を提供します Data ONTAP RAID グループはプレックス単位で編成され プレックスはアグリゲート単位で編成されます データの階層的管理 Data ONTAP は SAN 環境において ユーザーファイル システムファイル およびディレクトリ内のデータを ボリュームと呼ばれるファイルシステムで管理します また データの格納にはオプションとして qtree および Logical Unit Numbers (LUN) にも使用されます アグリゲートは 複数のボリュームを収容する物理的なストレージです 詳細は Data ONTAP 7-Mode Storage Management Guide 及び DataONTAP 7-Mode Block Access Management Guide for iscsi and FC を参照してください Data ONTAP が工場出荷時にストレージシステムにインストールされる時点では ルートボリュームは /vol/vol0 として設定され システムファイルは /etc ディレクトリ内に保管されます 関連するコンセプトルートボリュームの管理方法 データアクセス管理 Data ONTAP はデータに対するアクセス管理をすることができます Data ONTAP は次の操を行うことによって データへのアクセスを管理します ファイルアクセス権とファイルアクセス要求を照合 書き込み操作をあらかじめ設定したファイルおよびディスクの使用率クォータと照合 詳細は Data ONTAP 7-Mode File Access and Protocols Management Guide を参照してください 消去または上書きされたファイルにユーザーがアクセスできるように Snapshot コピー作成してユーザーに提供 Snapshot コピーはファイルシステム全体の読み取り専用コピーです Snapshot コピーの詳細は Data ONTAP 7-Mode Data Protection Online BackUp and Recovery Guide Data Protection OnlineBackup and Recovery Guide を参照してください

23 NetApp ストレージへの導入 23 データ移行管理 Data ONTAP を使用して データ移行を管理することができます Data ONTAP では 次のデータ移 行管理機能を使用できます Snapshot コピー 非同期ミラーリング 同期ミラーリング テープへのバックアップ アグリゲートの複製 ボリュームの複製 FlexClone ndmp copy データ保護ストレージシステムは さまざまな種類のデータ保護機能を備えています たとえば aggrcopy MetroCluster NDMP NVFAIL SnapMirror SnapRestore Snapshot SnapVault SyncMirror テープのバックアップとリストア ウイルススキャンサポート vol copy といった機能が利用できます 次の表に これらの機能を示します 機能 aggr copy MetroCluster NDMP (Network Data Management Protocol) 説明 アグリゲートに保管されているデータの迅速なブロックコピーを行うコマンドです この機能を使用すると 保管されているシステムデータブロックをアグリゲート間複製できます アグリゲート及び aggr copy については Data ONTAP 7Mode Storage Management Guide を参照してください MetroCluster は 500m から 30km の距離の隣接ボリュームミラーリングによって 災害復旧用に SyncMirror 機能を強化します MetroCluster を使用した災害対策については Data ONTAP 7Mode High-Availability Configuration Guide を参照してください NDMP サポートは NDMP を使ってシステムデータのテープバックアップ作業を管理する他メーカーのアプリケーションを有効化します ndmpcopy コマンドは NDMP 対応のバックアップ及び復元を実行します セキュリティログインにより NDMP 操作へのアクセスが制限されます NDMP については Data ONTAP Data Protection Tape Backup and Recovery Guide7-Mode Data Protection Tape Backup and Recovery Guide をご覧ください NVFAIL SnapMirror ソフトウェア ( ライセンスが必要 ) nvfail オプションを使用すると 不揮発性 RAM (NVRAM) の障害によるデータ破損を防止できます NVFAIL については Data ONTAP 7-Mode DataProtection Tape Backup and Recovery Guide を参照してください システム間での Snapshot ミラーリングにより 一方のストレージシステム上の Snapshot コピーをパートナーシステムにミラーリングできます この機能を使用すると 元のストレージシステムが使用不能になった場合に 最後に作成された Snapshot コピーからデータを迅速に復元できます

24 24 Data ONTAP System Administration Guide 機能 SnapRestore ソフトウェア ( ライセンスが必要 ) Snapshot ソフトウェア SnapVault ソフトウェア ( ライセンスが必要 ) SyncMirror ( ハイアベイラビリティコンフィグレーションが必要 ) ` テープのバックアップおよびリストアと復元 ウイルススキャンサポート 説明 SnapMirror については Data ONTAP 7-Mode DataProtection Tape Backup and Recovery Guide を参照してください SnapRestore 機能を使用すると 要求に応じて Snapshot コピーのバックアップからボリューム全体を迅速にリストアできます SnapRestore については Data ONTAP7-Mode DataProtection Tape Backup and Recovery Guide を参照してください 追加ディスク容量を最小限の抑え パフォーマンスを低下させることなく複数のデータバックアップ ( もしくは Snapshot コピー ) を手動または自動でスケジュール設定できます Data ONTAP のデータ構成及び管理方法については Data ONTAP7-Mode Storage Management Guide を参照してください Snapshot コピーについては Data ONTAP 7-Mode DataProtection Tape Backup and Recovery Guide を参照してください SnapVault は Snapshot スケジュールと Qtree SnapMirror を組み合わせることで NetApp ストレージシステムのディスクベースのデータ保護を実現します NetApp 以外のシステムに Open Systems SnapVault エージェントをインストールすることもできます これにより これらのシステムでのデータのバックアップやリストアに SnapVault を使用できるようになります SnapVault を使用すると 選択した Snapshot コピーを複数のクライアント NetApp ストレージシステムから SnapVault サーバー上の共通 Snapshot コピーに定期的に複製できます サーバー上の Snapshot コピーがバックアップとして機能します このとき SnapVault サーバのデータをいつテープにダンプするかを設定できます この結果 テープドライブの帯域幅に制限されることなく また データを迅速にリストアできます プライマリストレージからフルダンプを実行しなくて済むので バックアップ間隔をスケジュールする必要がありません SnapVault については Data ONTAP 7-Mode DataProtection Tape Backup and Recovery Guide を参照してください SyncMirror ソフトウェアは 同一のストレージシステムヘッドに物理的に接続されている 2 つの個別のプレックスに対し RAID レベル つまり RAID4 又は RAID-DP (RAID ダブルパリティ ) のデータミラーリングをリアルタイムに実行します 一方のプレックスに回復不能なディスクエラーが発生した場合は ミラーリングされたプレックスにアクセスが自動的に切り替わります 同様に SyncMirror は他メーカーのストレージのミラーリングに使用されます 回復不可能なエラーがあった場合には Data ONTAP が自動的にアクセスを別のストレージアレイ上のミラー化されたプレックスに変換します Data ONTAP は RAID0 をアレイ LUN 上のストレージ管理に使用しますが ストレージアレイは他メーカーのための RAID 保護を提供します サポートされている RAID レベル及びプレックスについては Data ONTAP7-Mode Storage Management Guide を参照してください SyncMirror については Data ONTAP 7-Mode DataProtection Tape Backup and Recovery Guide を参照してください テープバックアップの dump 及び restore コマンドを使用すると システムまたは SnapVault の Snapshot コピーをテープにバックアップできます アクティブなファイルシステムではなく Snapshot コピーがテープにバックアップされるので テープバックアップの動作中も ストレージシステムは通常の機能を継続できます テープバックアップについては Data ONTAP Data Protection Tape Backup and Recovery Guide7-Mode Data Protection Tape Backup and Recovery Guide を参照してください Data ONTAP では CIFS クライアントからアクセスされるファイルに対して サードパーティ製スキャンニングソフトウェアの使用をサポートしています CIFS のウィルス対策については Data ONTAP 7-Mode DataProtection Tape

25 NetApp ストレージへの導入 25 機能 vol copy 説明 Backup and Recovery Guide を参照してください ボリュームに保管されているデータの迅速なブロックコピーを行うコマンドです この機能を使用すると 保管されているシステムデータのブロックをボリューム間で複製できます ボリューム及び vol copy については Data ONTAP 7-Mode DataProtection Tape Backup and Recovery Guide を参照してください システム管理 Data ONTAP は ストレージシステムの動作やパフォーマンスの監視に使用できる多様なシステム管理コマンドを備えています Data ONTAP を使用すると 次のシステム管理タスクを実行できます ネットワーク接続の管理 アダプターの管理 プロトコルの管理 1 組のストレージシステムをフェールオーバー対応のハイアベイラビリティ構成 SharedStorage ストレージシステムをコミュニティに構成 ストレージとクォータの管理 データのテープへのダンプおよび ストレージシステムへのリストア ボリュームのミラーリング ( 同期または非同期 ) vfiler ユニットを作成してください vfiler ユニットについては Data ONTAP7-Mode MultiStore Management Guide を参照してください すべての Data ONTAP コマンドについては Data ONTAP 7-Mode Commands: Manual Page Reference Volume 1 及び Data ONTAP 7-Mode Commands: Manual Page Reference Volume 2 を参照してください AutoSupport AutoSupport を使用すると ストレージシステム問題に関する AutoSupport メール通知がテクニカルサポートおよび指定された受信者に自動的に送信されます 関連するコンセプト AutoSuppor

26 26 Data ONTAP モードシステムアドミニストレーションマニュアル Data ONTAP によるインターフェース Data ONTAP を使用してストレージシステムを管理することができます 次のトピックストレージシステムの管理方法 Data ONTAP のコマンドラインインターフェース異なる特権レベルでの Data ONTAP コマンド ストレージシステムの管理方法ストレージシステムは RLM BMC Windows 構成ファイル FilerView System Manager Data Fabric Manager ソフトウェアまたは Manage ONTAP Developer SDK ソフトウェアを使用して管理できます ストレージシステムの CLI からのコマンド実行ストレージシステムの CLI からは DataONTAP のすべての管理コマンドを実行できます ただし Windows サーバの一部の管理コマンドはこの方法では実行できません Data ONTAP のコマンドラインは 最大 2046 文字まで入力することができ 1つのコマンドに対し最大 255 の引数を入力することができます ストレージシステムのコマンドラインには 次の方法でアクセスできます ストレージシステムのコンソールポートに接続されているシリアル端末 ストレージシステムのリモート管理デバイスへのイーサネット接続 ( プラットフォームによっては非対応 ) ストレージシステムへの Telnet セッション UNIX RSH のユーティリティのようなリモートシェルプログラム ( 限定されたコマンドへのアクセスが可能 ) SSH UNIX 用 OpenSSH などのセキュアなシェルアプリケーションプログラム リモート管理デバイスをからのコマンド実行リモート管理デバイスのリダイレクト機能を使用すると Data ONTAP のすべての管理コマンドをリモートから実行できます Windows からのコマンド実行 Windows コマンドを使用して Windows ネットワーク操作に関するシステム管理タスクを実行できます また PuTTY のようなセキュアシェルアプリケーションプログラムも使用できます サーバマネージャならびにユーザーマネージャなどのネイティブな Windows 管理ツールを使用して ストレージシステムに適用される Windows コマンドを実行できます

27 Data ONTAP によるインターフェース 27 構成ファイルの編集構成ファイルを編集して Data ONTAP が特定のタスクを実行するために必要とする情報を提供できます 構成ファイルにアクセスするには ストレージシステムのルートディレクトリを UNIX クライアント上マウントするか また管理共有 (C$) を Windows クライアント上のドライブにマッピングして クライアントから構成ファイルを編集します メモ : ストレージシステムのファイルにアクセスするために Windows クライアントを使用できます CIFS を設定する方法については Data ONTAP 7-ModeSoftware Setup Guide を参照してください FilerView からのコマンド実行 FilerView を使用すると ほとんどの管理タスクを Web ベースのインターフェースから実行できます FilerView は HTTP プロトコルのライセンスを購入していなくても使用できます System Manager System Manager は SAN 環境および NAS 環境に対するセットアップと管理を Microsoft Windows システムから行うための機能を備えています System Manager を使用すると シングルまたはハイアベイラビリティ構成のストレージシステムを迅速に効率よくセットアップすることができます また NFS CIFS FCP や iscsi などあらゆるプロトコルの設定 ファイル共有やアプリケーションのプロビジョニング ストレージシステムの監視と管理も System Manager を使用して行うことができます System Manager の詳細については NOW サイトを参照してください DataFabric Manager ソフトウェア DataFabric Manager は 企業のストレージおよびコンテンツ配信インフラストラクチャを包括的に管理するため シンプルな中央集中管理ツールです このツールスイートは管理サーバー上で実行され 通常であれば 別々の手順が必要になる複数のタスクを一元管理します また オプションのモジュールを組み合わせることで 特定の追加機能を実現することもできます この製品の使用には DataFabric Manager のライセンスを購入する必要があります DataFabric Manager の詳細については NOW サイトの DataFabric Manager Information Library を参照してください Manage ONTAP SDK ソフトウェア Manage ONTAP SDK には ストレージシステムを監視および管理するサードパーティ製アプリケーションの開発に必要となる 各種リソースが含まれています Manage ONTAP SDK キットは NOW ユーザーはダウンロードできます このキットには 新しい ONTAPI プログラミングインターフェースセットに対応した ライブラリ サンプルコード および Java のバインディング C および Perl のライブラリが含まれます また 個別のディストリビューションとしても提供される NetApp ストレージシステムシミュレータは Linux または Solaris 上で動作し NetApp ストレージシステムを細かくシミュレートします 詳細については Manage ONTAP SDK のページを参照してください

28 28 Data ONTAP モードシステムアドミニストレーションマニュアル 関連コンセプト ストレージシステムのリモート管理 ルートボリュームのデフォルトディレクトリ 関連情報 NOW サイト - Manage ONTAP SDK - Data ONTAP のコマンドラインインターフェース Data ONTAP には コマンドラインでコマンドを入力するときに いくつかの機能を使用できます Data ONTAP コマンドラインを使用する場合は 次の一般的ルールに留意してください スペースを含むエレメントでコマンドを入力する場合は そのエレメントを引用符で囲む必要があります 例えば 次のようになります toaster> environment status chassis "Power Supply" コマンド文字列には # 記号を使用しないでください # 記号は 残りの行をコメントアウトすることを意味するので Data ONTAP は # 以降の情報を無視します 次のトピックヒストリ機能の使用コマンドラインエディタの使用オンラインによるコマンドラインヘルプ ヒストリ機能の使用ヒストリ機能を使用すると 最近入力したコマンドのスクロール可能なリストを表示することができます 手順 1. 次のコマンドのいずれかを実行します 目的 コマンドの後方スクロール コマンドの前方スクロール 操作 キーを押すか または Ctrl キーを押しながら P を押します 下矢印キーを押すか Ctrl キーを押しながら -N を押し

29 Data ONTAP によるインターフェース 29 ます コマンドラインエディタの使用 コマンドラインエディタは 部分的に入力したコマンドのどの部分にでもカーソルを置くことができ カ ーソルの位置に文字を挿入することができます このタスクについて 下記の表に示すように 同じ行の中でカーソルを移動し コマンドを編集するために様々なキーの組み合わせを使用することができます 手順 1. 次のいずれかの操作を行います 目的 押すキー カーソルを 1 つ右へ移動 Ctrl F キーまたは キー カーソルを 1 つ左へ移動 Ctrl B キーまたは キー カーソルを行末へ移動 Ctrl-E キー カーソルを行頭へ移動 Ctrl-A キー カーソル位置から行末までのすべての文字を消去 Ctrl-K キー カーソルの左側にある文字を削除し カーソルを 1 つ左へ移動 Ctrl-H キー 行を消去 Ctrl-U キー 単語を1つ消去 Ctrl-W キー 同じ行を入力 Ctrl-R キー 現在のコマンドを中止 Ctrl-C キー オンラインによるコマンドラインヘルプコマンドラインの構文に関するヘルプを表示するには コマンドラインでコマンド名に続けて help を入力するか または疑問符 (?) を入力します 構文ヘルプに使用されるフォントおよび記号は次の通りです keyword は 表示されているとおりに入力する必要があるコマンド名またはオプション名です < > ( より小 より大記号 ) は かっこ内の変数を 特定の値に置き換える必要があることを示します ( パイプ記号 ) は この記号で区切られた要素のいずれか1つを選択する必要があることをしめし

30 30 Data ONTAP モードシステムアドミニストレーションマニュアル ます [ ]( 角括弧 ) は この中の要素が省略可能であることを示します { }( 中括弧 ) は この中の要素が必須であることを示します コマンドラインで疑問符を入力すると 現在の管理レベル ( 管理者またはアドバンスレベル ) で使用可 能なすべてのコマンドが一覧表示されます 次の例は ストレージシステムコマンドラインで environment help コマンドを入力した場合の出力 結果を示します toaster> environment help Usage: environment status [status] [shelf [<adapter>]] [status] [shelf_log] [status] [shelf_stats] [status] [shelf_power_status] [status] [chassis [all list-sensors Fan Power Temp Power Supply RTC Battery NVRAM4-temperature-7 NVRAM4-battery-7]] 関連コンセプト 異なる特権レベルでの Data ONTAP コマンド 異なる特権レベルでの Data ONTAP コマンド Data ONTAP では 設定された特権レベルに応じての 2 セットのコマンドが提供されます 管理者レベルでは ストレージシステムを管理するために必要なコマンドにアクセスできます アドバンスドレベルでは 管理者レベルで利用できるすべてのコマンドに加え トラブルシューティングのためのコマンドが利用できます 注意 : アドバンスドレベルだけで使用できるコマンドは テクニカルサポートの指示に従って使用する必要があります 一部のアドバンスレベルのコマンドを テクニカルサポートの指示を受けずに実行すると データが失われる場合があります 次のトピック異なるセッションで適用される特権のレベルの違い初期状態の特権レベル特権レベルの設定

31 Data ONTAP によるインターフェース 31 異なるセッションで適用される特権のレベルの違いコンソール Telnet セキュアシェルアプリケーションを通じて開いたセッションは 同じ特権設定を共有します ただし RSH を呼び出すごとに異なる特権レベルを設定することもできます たとえば コンソールで特権レベルを advanced に設定した場合 Telnet を使用してストレージシステムに接続している管理者もアドバンスレベルのコマンドを使用できます ただし コンソールの特権レベルが管理者レベルになっているときに 別の管理者が RSH を使用して特権レベルを advanced に設定した場合でも コンソールにおける元の特権レベルは変更されません 初期状態の特権レベル初期状態では コンソールと各 RSH セッションの特権レベルは管理者レベルです Data ONTAP は RSH セッションごとに 特権レベルを管理者レベルにリセットします 複数の RSH 接続を起動するスクリプトを実行し それぞれの接続でアドバンスレベルのコマンドを実行するには RSH セッションごとに特権レベルをアドバンスレベルに設定する必要があります 初回の RSH セッションだけで特権レベルをアドバンスレベルに設定した場合は 以降の RSH セッションでは アドバンスレベルのコマンドが実行されません これは 2 回目以降のセッションの特権レベルは管理者レベルにリセットされるためです 特権レベルの設定特権レベルを使用して 管理者レベルまたはアドバンスレベルのいずれかで コマンドにアクセスします 手順 1. 次のコマンドを入力します priv set [-q] [admin advanced] admin を指定すると 特権レベルが管理者レベルに設定されます advanced を指定すると 特権レベルがアドバンスレベルに設定されます - q を指定すると quiet モード ( 抑制モード ) が有効になります このモードでは 通常 特権レベルをアドバンスレベルに設定する際に表示される警告が表示されません メモ : 引数を指定しない場合は デフォルトで admin が適用されます 例ストレージシステムの名前が sys1 であるとします ストレージシステムのプロンプトは sys1> であり 次の例のように表示されます sys1> priv set advanced

32 32 Data ONTAP モードシステムアドミニストレーションマニュアル 次のメッセージが表示されてから アドバンスモードのストレージシステムプロンプトが表示され ます Warning: These advanced commands are potentially dangerous; use them only when directed to do so by technical personnel. sys1*>

33 ストレージシステムへのアクセス方法 33 ストレージシステムへのアクセス方法 ストレージシステムには コンソール Telnet セッション リモートシェル接続 セキュアシェルクライアントアプリケーション または FilerView を使用して アクセスすることができます 次のトピックストレージシステムへのアクセス方法コンソールからストレージシステムにアクセスする方法セキュアなプロトコルおよびストレージシステムへのアクセス Telnet セッションとストレージシステムへのアクセスリモートシェル接続を使用したストレージシステムへのアクセス方法 FilerView を使用したストレージシステムへのアクセス方法管理ホストからのアクセスの管理方法ストレージシステムへのアクセス制御方法 ストレージシステムへのアクセス方法ストレージシステムにアクセスするのに必要となるのは ストレージシステムへのネットワーク接続と認証特権のみで ライセンスは必要ありません ストレージシステムに対するデータの保存および取得を行うには NFS または CIFS ライセンスをインストールする必要があります 次のトピックシステムの管理方法 ( ライセンスは不要 ) データの管理および取得の方法 ( ライセンスが必要 ) コンソールセッションの共有の制御コンソールセッションの共有を制御コンソール Telnet SSH 対話形式セッションに適用されるルール e0m インターフェース システムの管理方法 ( ライセンスは不要 ) 管理を行うストレージシステムにアクセスするには シリアルコンソールまたはストレージシステムに搭載された NIC を使用します ストレージシステムへのアクセスには次の方法が使用できます ライセンスは必要ありません

34 34 Data ONTAP System Administration Guide ケーブルによってストレージシステムのシリアルポートに接続されているコンソールからのアクセス ストレージシステムにプリインストールされているイーサネットネット NIC からのアクセス TCP/IP ネットワークに接続してストレージシステムを管理するには このカードを使用してください Telnet セッションを使用して任意のクライアントからのアクセス リモートシェル接続を使用した 任意のクライアントからのアクセス Web ブラウザおよび FilerView インターフェースを使用した任意のクライアントからのアクセス SSH UNIX ホスト用 OpenSSH または Windows ホスト用 PuTTY などの セキュアシェルクライアントアプリケーションを使用した 任意のクライアントからのアクセス データの管理および取得の方法 ( ライセンスが必要 ) ストレージシステムにアクセスして管理を行うには シリアルコンソールまたはストレージシステムに搭載された NIC を使用します ストレージシステムへのアクセスには次の方法が使用できます ライセンスが必要です ケーブルによってストレージシステムのシリアルポートに接続されているコンソールからアクセス ストレージシステムにプリインストールされているイーサネット NIC からのアクセス TCP / IP ネットワークに接続してストレージシステムを管理するには このカードを使用してください Telnet セッションを使用した NFS クライアントまたは CIFS クライアントからのアクセス リモートシェル接続を使用した NFS クライアントまたは CIFS クライアントからのアクセス Web ブラウザおよび FilerView インターフェースを使用した NFS クライアントまたは CIFS クライアントからのアクセス SSH UNIX ホスト用 OpenSSH または Windows ホスト用 PuTTY などの セキュアシェルクライアントアプリケーションを使用した NFS クライアントまたは CIFS クライアンからのアクセスメモ : wrfile コマンドを使用して入力を非インタラクティブ SSH へリダイレクトさせると 次の場合にコマンドは失敗します SSH が自動的に EOF を送信するように構成されている SSH に-n オプションが使用されており メッセージの最初に EOF が送信される Web ブラウザおよび DataFabric Manager インターフェースを使用した NFS クライアントまたは CIFS クライアントからのアクセス (DataFabric Manager ライセンスが必要 ) Windows 環境において SnapDrive 機能をサポートする CIFS クライアントからのアクセス

35 ストレージシステムへのアクセス方法 35 SAN 環境において ファイバチャネルスイッチを管理する NFS クライアントまたは CIFS クライアントからのアクセス管理 NFS クライアントまたは CIFS クライアントから Internet SCSI( iscsi ) プロトコルまたは Fibre Channel (FC) のプロトコルを使用して SAN 環境の LUN にアクセスコンソールセッションの共有の制御コンソールセッションは Telnet セッションまたは SSH インタラクティブセッションと共有したり または Telnet セッションおよび SSH インタラクティブセッションとは切り離されたユーザー環境にしたりすることができます タスク概要 telnet.distinct.enable オプションを使用すると コンソールセッションを Telnet または SSH インタラクティブセッションと同時共有するのか またはコンソールセッションを Telnet セッションおよび SSH インタラクティブセッションとは切り離されたユーザー環境にするのかを制御できます セキュリティを高めるには オプションを on に設定し コンソールセッションを Telnet セッションまたは SSH インタラクティブセッションと切り離す必要があります ご使用のストレージシステムにリモート管理デバイスが搭載されている場合は telnet.distinct.enable オプションが設定されていても コンソールセッションは常にリモート管理デバイスのセッションと共有されます 手順 1. コンソールセッションの共有を制御するには 次のコマンドを入力します options telnet.distinct.enable [on off] options telnet.distinct.enable オプションを on に設定すると コンソールセッションは Telnet セッションまたは SSH 対話形式セッションとは切り離され セキュリティを強化します Data ONTAP 8.0 以降により出荷したストレージシステムでは このオプションのデフォルトの設定値は on です この options telnet.distinct.enable オプションを off にすると コンソールセッションは Telnet セッションまたは SSH インタラクティブセッションと共有されます ユーザーが現在 Compliance Administrators グループに割り当てられている場合は このオプションを off に設定できません Telnet セッションまたは SSH インタラクティブセッションの実行中に telnet.distinct.enable オプションの設定を変更した場合 その変更は次回の Telnet セッションまたは SSH のログインまで有効になりません Data ONTAP 8.0 以降へのアップグレードした後にこのオプションの設定を変更した場合 システムが前の Data ONTAP バージョンに戻してもその変更は維持されます メモ : コマンドを入力せずにセッションを開くと SSH インタラクティブセッションを開始することができます 例えば 次のコマンドを入力します

36 36 Data ONTAP System Administration Guide ssh storage_system -l root:"". 次のコマンドを入力すると 非インタラクティブセッションが開始されます ssh storage_system -l root:"" command 関連コンセプトセキュリティの維持に役立つオプション事前定義グループ事前定義されたロールサポートされる機能の種類関連タスクユーザーの作成とグループへの割り当て コンソール Telnet SSH 対話形式セッションに適用されるルール一度に複数の Telnet セッションおよび SSH 対話形式セッションを開くことはできません Telnet セッションと SSH 対話形式セッションを両方同時に開くことはできません 次のルールは コンソール Telnet および SSH 対話形式セッションに適用されます コンソールセッションの共有 telnet.distinct.enable オプションが off に設定されている場合 コンソールは Telnet セッションまたは SSH 対話形式セッションと1つのセッションを共有します この場合には 次のルールが適用されます コンソール または Telnet または SSH 対話形式セッションのいずれかで入力されたコマンドは ほかの場所にエコーされます どこからコマンドを入力しても Ctrl - C キーを押すことによって現行コマンドを中止できます メッセージは両方に表示されます 次の例のように 監査ログエントリは すべてのコンソールコマンドを "console shell" として識別されます Fri Feb 18 12:51:13 GMT [toaster: rc:debug]: root:in:console shell:df 監査ログエントリは すべての Telnet セッションおよび SSH インタラクティブコマンドを "telnet shell" として識別されます Autologout プログラムは autologout.telnet.timeout オプションで指定された時間 ( 分 ) が経過すると ユーザーを Telnet セッションまたは SSH インタラクティブセッションからログアウトします タイムアウトカウンターは Enter キーまたは Return キーが押されるとカウントを開始します たとえば autologout.telnet.timeout オプションの指定が 10 分の場合 ユーザーが Enter キーを押すたびに タイムアウトカウンターがカウントを開始します ユーザーが再

37 ストレージシステムへのアクセス方法 37 度 Enter キーを押す前に 10 分が経過すると そのユーザーは autologout プログラムによりログアウトされます コンソールセッションの非共有 telnet.distinct.enable オプションが on に設定されていると コンソールセッションのユーザー環境が切り離され 次のルールが適用されます どちらか一方で入力されたコマンドは もう一方にエコーされません メッセージが両方に表示されることはありません コンソールセッションと Telnet および SSH 対話形式セッション間でユーザー権限は共有されません 監査ログエントリには すべてのコンソール Telnet SSH インタラクティブコマンドを "console shell" として識別します autologout プログラムは autologout.telnet.timeout オプションで指定された時間 ( 分 ) が経過すると ユーザーを Telnet または SSH インタラクティブからログアウトします タイムアウトカウンターは コマンド実行後にカウントを開始します アドミニストレーションホストからコマンドを開始するために rsh コマンドを使い コンソールにおいて または Telnet または SSH セッションを介して コマンドを中止されることを防ぐことができます autologout.telnet.enable オプションおよび autologout.telnet.timeout オプションが Telnet および SSH 対話形式セッションの自動タイムアウトを制御します ストレージシステムへの Telnet 接続を無効にしても autologout.telnet.enable オプションを on に設定し autologout.telnet.timeout オプションを希望するタイムアウト時間に設定することで SSH インタラクティブセッションの自動タイムアウト時間を有効化および構成できます e0m インターフェースストレージシステムモデルによっては e0m というインターフェースを備えているものがあります e0m は Data ONTAP の管理作業専用のインターフェースです e0m により ストレージシステムで管理トラフィックとデータトラフィックが分離されているため セキュリティとスループットを確保することができます e0m インターフェースを搭載したストレージシステムでは シャーシ背面にあるレンチマークのついたイーサネットポートが 内部イーサネットスイッチに接続されます 内部イーサネットスイッチにより e0m インターフェースと RLM または BMC などのリモート管理デバイスに接続できます 次の図は 接続の状態を示します

38 38 Data ONTAP System Administration Guide e0m インターフェースを搭載したシステムをセットアップすると Data ONTAP のセットアップスクリプ トにより管理トラフィックとデータトラフィックを分離する専用 LAN を用いる環境の場合 管理 LAN 用 のインターフェースとして e0m を推奨する旨のメッセージが表示されます 次にセットアップスクリプト では e0m を設定するように要求されます e0m 設定は RLM の設定とは別に行われます イーサ ネットスイッチでトラフィックが e0m インターフェースまたはリモート管理デバイスのいずれかに転送で きるよう どちらの設定にも 固有の IP アドレスが必要になります e0m インターフェースをセットアッ プする方法については Data ONTAP 7-ModeSoftware Setup Guide を参照してください e0m インターフェースのセットアップを完了すると このインターフェースから次のプロトコルを使用して ストレージシステムにアクセスすることができます Telnet RSH HTTP or HTTPS SSH SNMP 次のトピック e0m インターフェースを使用して Data ONTAP 管理タスクの実行 e0m インターフェースおよびリモート管理デバイスの違い

39 ストレージシステムへのアクセス方法 39 関連コンセプト RLM を使用したリモートシステム管理 e0m インターフェースを使用して Data ONTAP 管理タスクの実行 e0m インターフェースでストレージシステムにアクセスして DataONTAP を管理することができます 手順 1. クライアント上でTelnet RSH またはSSHのセッションを開きます SNMPでのe0Mインターフェースの使用方法ついては Data ONTAP 7 - Mode Network Management Guideを参照してください 2. e0mインターフェースのアドレスを使用してストレージシステムに接続します 3. 適切なユーザー名と有効なパスワードで ストレージシステムにログインします 4. ストレージシステムのプロンプトに Data ONTAP CLIコマンドを入力します 例 Data ONTAPバージョン情報を入手するには version を入力します 関連コンセプト Telnet セッションとストレージシステムへのアクセスリモートシェル接続を使用したストレージシステムへのアクセス方法 SSH を管理する方法デフォルトのセキュリティ設定 e0m インターフェースおよびリモート管理デバイスの違い e0m インターフェースおよびリモート管理デバイス ( ストレージシステムモデルに応じて RLM または BMC の場合がある ) は 様々な機能を提供しています e0m インターフェースは 管理トラフィックの専用のインターフェースとして機能する一方で RLM は リモート管理機能を提供します e0m インターフェースは 管理トラフィック専用の LAN を備えた環境のみに使用するものです e0m インターフェースは Data ONTAP の管理タスクに使用できます 一方 RLM は Data ONTAP の管理だけでなく コンソールへのリモートアクセス 監視 トラブルシューティング ロギング 警告などを含み ストレージシステム用のリモート管理機能も提供します RLM は ストレージシステムの動作状態や Data ONTAP の稼動状況に関係なく 継続して機能します

40 40 Data ONTAP System Administration Guide e0m インターフェースおよび RLM はいずれも シャーシ背面にあるレンチのマークのついたイーサネ ットポートに接続された内部イーサネットスイッチに接続します コンソールからストレージシステムにアクセスする方法 シリアルポート RLM または BMC などのリモート管理デバイスにより コンソールにアクセスしてスト レージシステムを管理することができます 次の option コマンドの値を変更した場合は この値を有効にするには コンソールセッションを再確立 する必要があります autologout.console.enable autologout.console.timeout autologout.telnet.enable autologout.telnet.timeout これらのオプションの詳細については na_options(1) のマニュアルページを参照してください 次のトピック シリアルポートによるストレージシステムへのアクセス リモート管理デバイスによるシステムコンソールへのアクセス 関連コンセプト コンソール Telnet SSH 対話形式セッションに適用されるルール シリアルポートによるストレージシステムへのアクセス ケーブルによってシステムのシリアルポートに接続されているコンソールから ストレージシステムに 直接アクセスすることができます 手順 1. コンソールで Enterキーを押します ストレージシステムで ログインプロンプトまたはパスワードプロンプトが表示されます 2. ストレージシステムでログインプロンプトが表示された場合は 次のいずれかの処理を実行します システムアカウントを使用してストレージシステムにアクセスする場合は 次のアカウント名を入力します root

41 ストレージシステムへのアクセス方法 41 別の管理ユーザーカウントを使用してストレージシステムにアクセスする場合は 次のアカウ ント名を入力します username username は管理ユーザーカウントです パスワードプロンプトが表示されます 3. root または管理ユーザーカウントのパスワードを入力します 使用するアカウントにパスワードが 定義されていない場合は Enter キーを押します 4. システムプロンプトに続いてシステムメッセージが表示される場合は Enter キーを押すと システ ムプロンプトが表示されます 例 toaster> Thu Aug 5 15:19:39 PDI [filer: telnet_0:info]: root logged in from host: unix_host12.xxx.yyy.com Enter キーを押します toaster> メモ : コンソールから入力したコマンドは Ctrl C キーを押すことによって中止できます リモート管理デバイスによるシステムコンソールへのアクセス RLM または BMC のシステムコンソールリダイレクション機能を使用すると システムコンソールにアクセスすることができます タスク概要 RLM へのログインには RLM naroot アカウントを使用するか admin ロールのクレデンシャルを持つ Data ONTAP ユーザーカウントを使用します BMC へのログインには root naroot または Administrator アカウントを使用できます 手順 1. アドミニストレーションホストから 次のコマンドを入力して リモート管理デバイスにログインします ssh username@ip_for_remote_management_device ストレージシステムは リモート管理デバイスに対してCLIプロンプトを表示して応答します 2. リモート管理デバイスのCLIプロンプトで次のコマンドを入力します system console 3. ログインプロンプトが表示された場合は 次のいずれかの処理を実行します

42 42 Data ONTAP System Administration Guide ストレージシステムへのアクセス方法 システム root アカウントを使用する場合 別の管理者ユーザーカウントを使用する場合 操作 root username メモ : username は管理ユーザーカウントです 4. アカウントのパスワードを入力するか パスワードが定義されていない場合は Enterキーを押します ストレージシステムプロンプトが表示されます 5. コンソールを終了するには 次のいずれかを行います コンソールリダイレクションセッション終了し RLMプロンプトに戻るには Ctrl - Dを押します コンソールリダイレクションセッション終了し BMCプロンプトに戻るには Ctrl - Gを押します 関連コンセプトストレージシステムのリモート管理 RLM へのログイン方法 BMC へのログイン方法 セキュアなプロトコルおよびストレージシステムへのアクセスセキュアプロトコルを使用すると パスワードおよびすべての管理通信が暗号化されるため ストレージシステムの管理者のパスワードをネットワーク上で傍受することがきわめて困難になり ストレージシステムのセキュリティが強化されます ストレージシステムでセキュアプロトコルが有効になっていない場合は SecureAdmin を設定することにより SSH または SSL またはその両方のプロトコルを使用してクライアントとストレージシステムの間のセキュアな通信チャネルを提供できます メモ : 出荷時に Data ONTAP 8.0 以降がインストールされたストレージシステムでは SecureAdmin が自動的に設定されています Secure Shell (SSH) プロトコル SSH は セキュリティ保護されたリモートシェルおよび双方向ネットワークセッションを実現します Secure Sockets Layer(SSL) プロトコル SSL は FilerView および Data ONTAP API に対して セキュリティ保護された Web アクセスを実現します 次のトピックデフォルトのセキュリティ設定 SSH プロトコル

43 ストレージシステムへのアクセス方法 43 SSL プロトコル セキュアプロトコルが有効かどうかの確認 セキュアプロトコルの有効化または無効化 デフォルトのセキュリティ設定 Data ONTAP 8.0 以降がインストールされているストレージシステムでは デフォルトで セキュアプ ロトコルが有効化され 非セキュアプロトコルは無効化されます 出荷時に Data ONTAP 8.0 以降がインストールされたストレージシステムでは SecureAdmin が自 動的に設定されています これらのシステムのデフォルトのセキュリティ設定は 次のとおりです セキュアプロトコル (SSH SSL および HTTPS など ) はデフォルトで有効です 非セキュアプロトコル (RSH Telnet FTP HTTP など ) はデフォルトで無効です 出荷時に Data ONTAP 8.0 以降がインストールされたストレージシステムでは SSH および SSL の デフォルトのオプション設定は次の通りです options ssh.enable on options ssh2.enable on options ssh1.enable off options ssh.passwd_auth.enable on options ssh.pubkey_auth.enable on options httpd.admin.ssl.enable on また 出荷時に Data ONTAP 8.0 以降がインストールされたストレージシステムにおける非セキュア プロトコルのデフォルトのオプション設定は 次のとおりです options ftpd.enable off options httpd.admin.enable off options httpd.enable off options rsh.enable off options telnet.distinct.enable on options telnet.enable off メモ : これらのデフォルト設定は 出荷時に Data ONTAP 8.0 以降がインストールされたストレー ジシステムにのみ適用されます 前のバーションから DATA ONTAP 8.0 以降にアップグレード したストレージシステムには適用されません アップグレードしたこれらのストレージシステムの 場合 アップグレード後も設定は変更されません また Data ONTAP 8.0 以降にアップグレード したあとでセキュリティ設定を変更した場合 前のバージョンの Data ONTAP に戻しても その変 更内容は保存されます 関連タスク セキュアなプロトコルおよびストレージシステムへのアクセス

44 ストレージシステムへのアクセス方法 44 SSH プロトコル SSH は ストレージシステムでのクライアントの認証手段として使用できます また クライアントとスト レージシステム間のデータを暗号化するためのセッションキーが生成されるため セキュリティが向上します SSH は ホストキーとサーバキーを使用した公開鍵暗号を実行します Data ONTAP はパスワード認証 および公開鍵による認証をサポートします rhosts ファイルの使用 または RSA ホスト認証での.rhosts ファイルの使用はサポートされません Data ONTAP は次の暗号アルゴリズムをサポートします RSA/DSA (1024 ビット ) 3 DES (CBC モード ) HMAC-SHA1 HMAC-MD5 Data ONTAP は SSH 1.x プロトコルおよび SSH 2.0 プロトコルをサポートします Data ONTAP は 次の SSH クライアントをサポートします OpenSSH クライアント バージョン 3.8p1 および 4.4p1 (UNIX プラットフォーム ) SSH Communications Security クライアント (SSH Tectia クライアント ) バージョン (Windows プラットフォーム ) Vandyke SecureCRT バージョン (Windows プラットフォーム ) PuTTY バージョン (Windows プラットフォーム ) F - Secure SSH クライアント バージョン (UNIX プラットフォーム ) SSH では 次の 3 つのキーを使用してセキュリティを向上します ホストキー SSH では ホストキーを使用してセッションキーを暗号化および復号化します ホストキーのサイズを指定すると SecureAdmin を設定するときに Data ONTAP によってホストキーが生成されます メモ : 出荷時に Data ONTAP 8.0 以降がインストールされたストレージシステムでは SecureAdmin が自動的に設定されています サーバキー SSH では セッションキーの暗号化および復号化にサーバキーも使用します SecureAdmin の設定時に サーバキーのサイズを指定します SSH が有効になっている場合は 次のイベントが発生したときに Data ONTAP によってサーバキーが生成されます SecureAdmin の開始時 1 時間が経過した時点 ストレージシステムの再起動時 セッションキー SSH では クライアントとストレージシステムの間で送信されるデータを セッションキーによって

45 45 Data ONTAP Mode System Administration Guide 暗号化します セッションキーは クライアントによって作成されます クライアントはセッションキーを使用する場合に ホストキーおよびサーバーキーを使用してセッションキーを暗号化し 暗号化したセッションキーをストレージシステムに送信します ストレージシステムでは ホストキーおよびサーバキーを使用してこれを復号化します セッションキーが復号化されたあとは クライアントとストレージシステムの間で暗号化データをやり取りできるようになります Data ONTAP は 次の表に示す方法で ストレージシステムとクライアントの間にセキュリティ保護されたセッションを確立します ステージクライアントの動作ストレージシステムの動作 1 クライアントが SSH 要求をストレージシステムに送信 ストレージシステムがクライアントからの SSH 要求を受信 2 ストレージシステムは ホストキーの公開部分 およびサーバキー (SSH 1.x を使用している場合 ) をクライアントに送信 3 クライアントはホストキーの公開部分を 今後ホストの認証に使用するために保管 4 クライアントは ランダムセッションキーを生成 5 クライアントは ホストキーの公開部分 およびサーバキー (SSH 1.x を使用している場合 ) を使用してセッションキーを暗号化し ストレージシステムに送信 6 ストレージシステムは ホストキーの非公開部分 およびサーバキー (SSH 1.x を使用している場合 ) を使用して セッションキーを複合化 7 ストレージシステムおよびクライアントは セッションキーを使用して 送受信する情報を暗号化および復号化 クライアント上で root ユーザー以外のユーザーカウントにログインして ssh <ip address>? コマンドを使用して ストレージシステムでサポートされている SSH コマンドの一覧を要求するときに 一部の SSH クライアントでは?( 疑問符 ) をストレージシステムに送信しないことがあります クライアントが?( 疑問符 ) を送信するようにするには? を引用符で囲みます ( 例えば ssh <ip address>? ) メモ :?,., * および ^などの文字は クライアント上で実行しているコマンドインタープリタによって 特別な意味に解釈されることがあります クライアント上のコマンドインタープリタにより そのような文字は環境に固有な値に変換されて SSH プログラムに送られる可能性があります 交換されないようにするには 次の文字の前にエスケープシーケンス ( 例えば, ssh <ip address> \? など ) を入れるか またはその文字を引用符で囲みます 次のトピック SSH を管理する方法 SSH の設定および開始 SSH の再初期化 SSH の有効化と無効化公開鍵ベースの認証 SSH 要求の実行

46 ストレージシステムへのアクセス方法 46 現在の SSH 設定の表示 SSH を管理する方法ストレージシステムで SSH を有効にしていない場合 SecureAdmin を設定することで SSH を使用してセキュリティ保護されたセッションを利用できるようになります いくつかのオプションを使用して パスワードベースの認証や公開鍵の認証の制御 ストレージシステムに対するアクセスの制御 およびストレージシステムへのポート番号の割り当てを行うことができます 出荷時に Data ONTAP 8.0 以降がインストールされたストレージシステムでは SecureAdmin が自動的に設定されています SecureAdmin は 次のオプションを使用して SSH によるセキュリティ保護されたセッションを実現します options ssh.passwd_auth.enable -- パスワードベース認証を制御 デフォルトは on です options ssh.pubkey_auth.enable -- 公開鍵認証を制御 デフォルトは on です options ssh.access-- ストレージシステムへのアクセスを制御 デフォルト値を指定すると ストレージシステムへのアクセスが全ユーザーに許可されます options ssh.port -- ストレージシステムへのポート番号の割り当て デフォルト値は 22 です SSH オプションの詳細については マニュアルの na_options(1) のマニュアルページを参照してください メモ : SSH では force コマンドはサポートされません ロールベースの内部アクセス制御もサポートされていません アクセス制御は 管理ロール機能によって行われます 関連コンセプト管理ホストからのアクセスの管理方法デフォルトのセキュリティ設定関連タスクプロトコルによるアクセスの制限 SSH の設定および開始 SSH セットアップ処理を実行すると ホストキーおよびサーバーキーが生成されます ホストキーおよびサーバキーのサイズを指定する場合は 次のガイドラインに従ってください SSH 1.x プロトコルを使用する場合は ホストキーおよびサーバキーのサイズは 384~2,048 ビットの範囲で指定します SSH 2.0 プロトコルを使用する場合は ホストキーおよびサーバキーのサイズは 768 2,048 ビットの範囲で指定します サイズを大きくすると セキュリティも強化されますが 新しい SecureAdmin セッションの開始に時間がかかるようになり ストレージシステムのパフォーマンスが低下する可能性があります ホストキーは サーバキーのサイズと 128 ビット以上差のあるサイズに設定する必要があります どちらのキーが大きくても構いません

47 47 Data ONTAP Mode System Administration Guide SSH 1.x プロトコルを使用している場合は ホストキーは /etc/sshd/ssh_host_key ファイルに保管されます SSH 2.0 プロトコルを使用している場合は RSA ホストキーは /etc/sshd/ssh_host_rsa_key ファイルに DSA ホストキーは /etc/sshd/ssh_host_dsa_key ファイルにそれぞれ保管されます メモ : セットアップ処理では 使用するプロトコルの種類に関係なく SSH 1.x プロトコルおよび SSH 2.0 プロトコルの両方のキーサイズの入力が要求されます 例えば SSH 2.0 プロトコルを使用する予定であっても SSH 1.x ホストキーおよびサーバーキーのサイズの値も入力する必要があります 使用しないほうのキーのサイズは デフォルト値のままにしておくことができます 手順 1. 次のコマンドを入力します secureadmin setup [-f] [-q] ssh - fオプションを使用すると SSHサーバがすでに設定されていても 強制的にセットアップが実行されます - qオプションを使用すると SSHセットアップ用の非インタラクティブモードです 詳細については na_secureadmin (1) のマニュアルページを参照してください 2. プロンプトに従い SSH 1.x プロトコルを使用する場合のホストキーのサイズを入力します ホストキーのデフォルトサイズは 768 ビットです 3. プロンプトに従い SSH 1.x プロトコルを使用する場合のサーバキーのサイズを入力します サーバキーのデフォルトサイズは 512 ビットです 4. プロンプトに従い SSH 2.0 プロトコルを使用する場合のホストキーのサイズを入力します ホストキーのデフォルトサイズは 768 ビットです 5. プロンプトに従い 指定したパラメータを確定します SecureAdminによってホストキーがバックグラウンドで生成されます 1 2 分経つと setupプログラムによって SSHの設定が完了したことを通知するsyslogメッセージが表示されます 6. yslogメッセージが生成されたら 次のコマンドを入力して ホストキーおよびサーバキーを有効にし化します secureadmin enable {ssh1 ssh2} ssh1.x クライアントのSSHサービスを有効にするにはssh1 を SSH 2.0 クライアントのSSHサービスを有効にするにはssh2 を使用します SSH の再初期化 SSH を再初期化することで 既存のホストキーおよびサーバキーのサイズを変更できます

48 ストレージシステムへのアクセス方法 48 手順 1. SSH デーモンを停止して 既存のホストキーおよびサーバキーをキャンセルします これには次のコマンドを入力します secureadmin disable {ssh1 ssh2} SSH 1.x クライアントの SSH サービスを無効にするには ssh1 を SSH2.0 クライアントの SSH サー ビスを無効にするには ssh2 を使用します 2. 次のコマンドを入力します secureadmin setup [-f] [-q] ssh - f オプションを使用すると SSH サーバがすでに設定されていても 強制的にセットアップが実行されます - q オプションは SSH セットアップ用の非インタラクティブモードです 詳細については na_secureadmin (1) のマニュアルページを参照してください 3. プロンプトに従い SSH 1.x プロトコルを使用する場合のホストキーのサイズを入力します 4. プロンプトに従い SSH 1.x プロトコルを使用する場合のサーバキーのサイズを入力します 5. プロンプトに従い SSH 2.0 プロトコルを使用する場合のホストキーのサイズを入力します 6. 次のコマンドを入力して 新しいホストキーおよびサーバーキーサイズを有効にします secureadmin enable {ssh1ssh2} SSH 1.X クライアントの SSH サービスを有効にするには ssh1 を SSH2.0 クライアントの SSH サ ービスを有効にするには ssh2 を使用します 変更前のホストキーコピーを持っているクライアントは ストレージシステムから新しいキーを受け取 WARNING: HOST IDENTIFICATION IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that the host key has just been changed. Please contact your system administrator. Add correct host key in /u/sisa/.ssh/known_hosts to get rid of this message. Agent forwarding is disabled to avoid attacks by corrupted servers. Are you sure you want to continue connecting (yes/no)? SSH の有効化と無効化 SSH を設定したあとで SSH サービスを有効化して開始するか 無効化して停止することができます 手順

49 49 Data ONTAP Mode System Administration Guide 1. SSH を無効化または有効化するには 次のコマンドを入力します secureadmin {enabledisable} {ssh1ssh2} SSH サービスを再開するには enable を使用し 停止するには disable を使用します SSH1.X クライアントを管理するには ssh1 を SSH2.0 クライアントを管理するには ssh2 を使用します SSH 2.0 クライアントでのSSHサービス有効化の例次のコマンドは SSH 2.0 クライアントのSSHサービスを有効にします secureadmin enable ssh2 関連タスク SSH の設定および開始 公開鍵ベースの認証キーベースの認証を設定するには ホストキーおよびサーバキーのほか RSA キーペア ( 秘密鍵と公開鍵 ) が必要です 公開鍵ベースの認証の仕組みは SSH のバージョンによって異なります SSH 1.x では RSA キーペアが使用されますが SSH 2.0 では RSA キーペアの他に DSA キーのペアも使用されます どちらの SSH バージョンでも キーペアを生成し 公開鍵をストレージシステムに複製する必要があります 次のトピック SSH 1.x での RSA キーペアの生成 SSH 2.0 でのキーペアの生成 SecureCRT および ssh.com クライアントによって生成された公開鍵の編集 SSH 1.x での RSA キーペアの生成 SSH 1.x を使用した公開鍵ベースの認証には RSA キーペアが必要です 手順 1. SSH 1.x クライアントを使用して RSAキーペアを生成します クライアント上で公開鍵と秘密鍵のRSAキーペアが生成され クライアントに保管されます 2. 生成された公開鍵をストレージシステムのルートボリュームに複製し /etc/ sshd/user_name/.ssh/authorized_keys ファイルに追加します RSAキーペアの生成例

50 次に OpenSSH UNIX クライアント上で RSA キーペアを生成する例を示します ストレージシステムへのアクセス方法 50 % ssh-keygen -t rsa1 -b 1024 Generating public/private rsa1 key pair. Enter file in which to save the key (/u/john/.ssh/identity): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /u/john/.ssh/identity Your public key has been saved in /u/john/.ssh/identity.pub The key fingerprint is: 6a:c7:93:7c:b5:f4:12:87:81:56:5e:a2:62:40:07:8a john@unix1 この例では id_rsa.pub と id_dsa.pub ファイルが ストレージシステムのルートボリュームに複製する公開鍵ファイルです 次のコマンドは この公開鍵をストレージシステム sys1 の /etc/sshd/user_name/.ssh/ authorized_keys2 ファイルに追加します % mount sys1:/ /mnt_sys1 % cat identity.pub >> /mnt_sys1/etc/sshd/john/.ssh/ authorized_keys SSH 2.0 でのキーペアの生成 SSH 2.0 におけるキーペアの生成では RSA キーペアと DSA キーペアの生成する必要があります OpenSSH 以外の SSH 2.0 クライアントを使用する場合 使用する前に公開鍵の編集が必要となる可能性があります 手順 1. SSH 2.0 クライアントを使用して RSA キーペアを生成します クライアント上で公開鍵と秘密鍵の RSA キーペアが生成され クライアントに保管されます 2. SSH 2.0 クライアントを使用して DSA キーペアを生成します クライアント上で公開鍵と秘密鍵の DSA キーペアが生成され クライアントに保管されます 3. 生成された公開鍵をストレージシステムのデフォルトディレクトリに複製し /etc/sshd/user_name/.ssh/authorized_keys2 ファイルに追加します RSA キーペアおよび DSA キーペアの生成例 次に OpenSSH UNIX クライアント上で RSA と DSA キーペアを生成する例を示します % ssh-keygen -t rsa -b 1024 Generating public/private rsa key pair. Enter file in which to save the key (/u/john/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /u/john/.ssh/id_rsa

51 51 Data ONTAP Mode System Administration Guide Your public key has been saved in /u/john/.ssh/id_rsa.pub % ssh-keygen -t dsa -b 1024 Generating public/private dsa key pair. Enter file in which to save the key (/u/john/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /u/john/.ssh/id_dsa Your public key has been saved in /u/john/.ssh/id_dsa.pub この例では id_rsa.pub および id_dsa.pub ファイルが ストレージシステムのルートボリュームに複製 する公開鍵ファイルです 次のコマンドは 公開鍵を ストレージシステム sys1 の /etc/sshd/user_name/.ssh/ authorized_keys2 ファイルに追加します mount sys1:/ /mnt_sys1 cat id_rsa.pub >> /mnt_sys1/etc/sshd/john/.ssh/ authorized_keys2 cat id_dsa.pub >> /mnt_sys1/etc/sshd/john/.ssh/ authorized_keys2 関連タスク SecureCRT および ssh.com クライアントによって生成された公開鍵の編集 SecureCRT および ssh.com クライアントによって生成された公開鍵の編集 SecureCRT および ssh.com クライアントによって生成された SSH 2.0 の公開鍵には コメントや改行が含まれているため 公開鍵として使用できません SecureAdmin で使用できるようにするには 生成された公開鍵を編集する必要があります 手順 1. 公開鍵の一部ではないすべてのテキストを削除します 2. 公開鍵が1つの連続文字となるように 改行とスペースを削除します 3. 公開鍵テキストの先頭に ssh-rsaとスペースを続けて追加します SecureCRT によって生成された鍵の編集例 次に SecureCRT クライアントによって生成された SSH 2.0 の公開鍵の例を示します 生成された公 開鍵には各行に余計なテキストが含まれ 各行末には改行が付いています ---- BEGIN SSH2 PUBLIC KEY ---- Subject: john Comment: "john@johnnt" AAAAB3NzaC1yc2EAAAADAQABAAAAgQDJhJ6nk

52 +2hm5iZnx737ZqxFgksPl3+OY1cP80s 1amXuUrwBp3/MUODEP5E51lzqjO0w5kyJlvPjCiLg9UqS7JeY5yd/ 6xyGarsde26De1E rbvj1uqnxyaolv9a1hjbe8tbi+lyybh +WezT0nySix6VBQTAWhv43r9lSudswYV80Q== ---- END SSH2 PUBLIC KEY ---- ストレージシステムへのアクセス方法 52 次に この公開鍵から公開鍵の内容以外のテキストを削除し 各行末の改行を削除し 先頭に ssh-rsa を追加したものを示します ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDJhJ6nk +2hm5iZnx737ZqxFgksPl 3+OY1cP80s1amXuUrwBp3/MUODEP5E51lzqjO0w5kyJlvPjCiLg9UqS7JeY5yd/ 6xy Garsde26De1ErbVJ1uqnxyAOlV9A1hjBE8TbI+lyYBH +WezT0nySix6VBQTAWhv43r 9lSudswYV80Q== SSH 要求の実行 SecureAdmin が有効になっている場合は ストレージシステムに対して SSH 要求を実行して 管理タスクを実行できます Data ONTAP 8.0 以降がインストールされているストレージシステムでは SecureAdmin が自動的に設定され SSH がデフォルトで有効になっています 他のストレージシステムでは SSH 要求を実行する前に SecureAdmin が設定されて有効になっていることを確認してください Data ONTAP では 24 の同時 SSH 管理セッションを実行できます ただし 一度に複数の SSH インタラクティブセッションを開くことはできません 手順 1. UNIX クライアントで 次のいずれかの形式でssh コマンドを入力します ssh [-1-2] hostname} [command] または ssh [-1-2] -l username {IP_addr hostname} [command] オプション -1 を指定すると SSH はプロトコルのバージョン 1 のみを使用します オプション -2 を指定すると SSH はプロトコルのバージョン 2 のみを使用します デフォルトでは SSH はプロトコルのバージョン 2 を使用します SSH インタラクティブセッションの場合 command は必要ありません SSH 要求の例次の例は mysystem という名のストレージシステムに設定された Joe という名前のユーザーがSSH 要求を実行する方法を示します

53 53 Data ONTAP Mode System Administration Guide ssh version ssh version ssh -l joe version ssh -1 version ssh -2 version 関連する概念 SSH を管理する方法 コンソール Telnet SSH 対話形式セッションに適用されるルール 現在の SSH 設定の表示 SSH が有効にした場合 ストレージシステムの現在の SSH 設定は ssh オプションを使用して表示できます 手順 1. 現在のSSH 設定を表示するには ストレージシステムプロンプトで 次のコマンドを入力します options ssh SSH のオプションとそのデフォルト値の詳細については na_options(1) マニュアルページを参照してください ストレージシステムの現在の SSH 設定が表示されます Options ssh の出力例 mysystem> options ssh ssh.access * ssh.enable on ssh.idle.timeout 600 ssh.passwd_auth.enable on ssh.port 22 ssh.pubkey_auth.enable on ssh1.enable on ssh2.enable on mysystem> SSL プロトコル SSL プロトコルは デジタル証明書の提供によってセキュリティを向上します デジタル証明書は スト

54 ストレージシステムへのアクセス方法 54 レージシステムの認証 およびシステムとブラウザ間で送信されるデータの暗号化に使用されます SSL はすべての主要ブラウザに組み込まれています したがって ストレージシステムにデジタル証明書をインストールすることで システムとブラウザ間で SSL 機能を有効にできます FilerView を使用してストレージシステムのパスワードをプレーンテキストで送信する場合と異なり SSL および Secure FilerView を使用すると ブラウザからシステムを管理する際に 管理者パスワードおよびすべての管理通信を暗号化できるので セキュリティが向上します Data ONTAP では SSLv2 および SSLv3 がサポートされます SSLv3 は以前の SSL バージョンよりもセキュリティ保護が強化されているので SSLv3 を使用してください セキュリティ上の脆弱性 CVE に対する対策として Data ONTAP では SSL ネゴシエーション機能が無効になっています 次のトピック SSL の管理方法 SSL の設定と開始認証局によって署名された証明書のインストール証明書のテスト SSL の再初期化 SSL の有効化と無効化 SSLv2 または SSLv3 の有効化と無効化 SSL の管理方法 SSL では ストレージシステムと Web ブラウザの間にセキュリティ保護された接続を確立するために 証明書を使用します ストレージシステムで SSL が有効になっていない場合は SecureAdmin を設定して SSL を有効にし HTTPS を使用した管理要求が正しく処理されるようにすることができます 出荷時に Data ONTAP 8.0 以降がインストールされたストレージシステムでは SecureAdmin が自動的に設定されています このシステムでは セキュアプロトコル (SSH SSL HTTPS など ) が既定で有効にされており 非セキュアプロトコル (RSH Telnet FTP HTTP など ) が既定で無効にされています 自己署名証明書 と 認証局によって署名された証明書 という 2 種類の証明書を使用します 自己署名証明書 Data ONTAP によって生成される証明書です 自己署名証明書はそのままで使用できますが ブラウザは この証明書の署名者を検証できないため 認証局によって署名された証明書よりも安全性は低くなります つまり 認証されていないサーバのなりすましによってシステムがアクセスされる可能性があります 認証局によって署名された証明書 認証局によって署名された証明書は 自己署名証明書を認証局に送り 署名してもらうものです 認証局によって署名された証明書の場合 クライアントが接続しようとしているシステムの ID が

55 55 Data ONTAP Mode System Administration Guide ブラウザに対して証明されているという利点があります 関連する概念 デフォルトのセキュリティ設定 SSL の設定と開始 SSL を設定すると Data ONTAP で自己署名証明書を生成することができます 手順 1. ストレージシステムプロンプトに従って 次のコマンドを入力します secureadmin setup ssl 2. ストレージシステムに対して SSL が既に設定されている場合は 続行するかどうかの確認を求められます SSL の設定を変更する場合は Y を入力します SSL の設定を終了する場合は N を入力します 3. Data ONTAP のプロンプトに従い 情報を入力します 次の情報を入力するように求められます 国名または都道府県 会社名または組織名 ドメイン名 管理者の電子メール 有効期限までの日数 キーの長さデフォルト設定を使用するには プロンプトに対し Enter キーを押します SSL 設定が完了すると Data ONTAP は secureadmin.pem ファイルが生成され /etc/keymgr ディレクトリ内の適切なサブディレクトリ (cert key および csr) に保存されます 関連タスク認証局によって署名された証明書のインストール証明書のテスト 認証局によって署名された証明書のインストール 認証局によって署名された証明書の場合 クライアントが接続しようとしているシステムの ID がブラウ ザに対して証明されているという利点があります

56 ストレージシステムへのアクセス方法 56 手順 1. 証明書の署名要求 ( secureadmin.pem ) を証明局に送信します このファイルは ストレージシステムの /etc/keymgr/cert ディレクトリ内に保管されています メモ : このプロセスには数日間かかることがあります 2. secureadmin.pem ファイルを複製し バックアップを作成します 3. 認証局から署名入りの証明書が返送されたら ストレージシステムの一時的な場所にこの証明書を複製します 4. 次のコマンドを入力して 証明書をインストールします secureadmin addcert ssl directory_path directory_path は 証明書の完全パスです 例次のコマンドでは 現在 tempdir ディレクトリにある証明書 secureadmin.pem を /etc/keymgr ディレクトリにインストールします secureadmin addcert ssl /etc/tempdir/secureadmin.pem 5. SSL を無効にするには 次のコマンドを入力します secureadmin disable ssl 6. SSL を有効にするには 次のコマンドを入力します secureadmin enable ssl 関連タスク証明書のテスト 証明書のテスト自己署名 または認証局によって署名された証明書をインストールしたら 証明書をテストして 正しくインストールされているかどうか確認します 手順 1. Web ブラウザを起動します 2. 次の URL を入力します systemname は ストレージシステム名です 3. FilerView をクリックします Secure FilerView が 新しいブラウザウィンドウで起動します

57 57 Data ONTAP Mode System Administration Guide 4. セキュリティで保護された接続が確立されているかどうか ブラウザを確認してください メモ : ほとんどのブラウザでは セキュリティ保護された接続によって適切にサーバに接続している場合には ステータスバーに小さな南京錠のアイコンが表示されます 南京錠のアイコンが表示されない場合は セキュリティ保護された接続で接続されていない可能性があります SSL の再初期化ストレージシステムのドメイン名を変更した場合は SSL を再初期化する必要があります ストレージシステムのドメイン名を変更すると 証明書に記録されたドメイン名は無効になります その結果 接続が暗号化されたままであっても ドメイン名が変更されるとストレージシステムは認証されなくなります 次回システムに接続すると ブラウザは システムのドメイン名が証明書のレコードと一致しないことを示す警告を発行します SSL を使用するストレージシステムのドメイン名を変更する場合は 認証局によって署名された新たな証明書が必要になるため 時間と費用がかかる場合があります 手順 1. 次のコマンドを入力して SecureAdmin を無効にします secureadmin disable ssl 2. secureadmin setup ssl コマンドを使用して SSL を再初期化します 関連タスク SSL の設定と開始 SSL の有効化と無効化 SSL を有効にすると HTTPS を使用したすべての管理要求が正しく処理されます SSL を無効にすると HTTPS を使用したすべての管理要求が拒否されます SSL を初めて有効にするには あらかじめ SSL をセットアップし 認証局によって署名された証明書をインストールしておく必要があります 手順 1. SSL の有効化または無効化するには 次のコマンドを入力します secureadmin {enable disable} ssl 2. SSL をオフにするには disable を使用し SSL をオンにするには enable を使用します 関連タスク SSL の設定と開始

58 ストレージシステムへのアクセス方法 58 認証局によって署名された証明書のインストール 証明書のテスト SSLv2 または SSLv3 の有効化と無効化ストレージシステムの SSL プロトコルが有効の場合は 使用する SSL バージョン ( 複数可 ) を指定することができます SSL のバージョンのみを有効にしても ストレージシステム用に SSL プロトコルが有効になっていません SSL を使用するには プロトコルがストレージシステムでも有効になっていることを確認してください SSLv3 は SSLv2 に比べセキュリティ保護が強化されているため SSLv3 を推奨します 両方の SSL バージョンを有効にしておくことも そのうちの 1 つを無効にすることもできます SSL プロトコルを有効にする以外にも 通信に SSL を使用する場合にはストレージシステムの SSL を少なくとも 1 つのバージョンは有効にしておく必要があります 手順 1. 次のコマンドを入力して SSLv2 のまたは SSLv3 を有効化または無効化します SSLのバージョン操作 : SSLv2 options ssl.v2.enable {on off} SSLv3 options ssl.v3.enable {on off} 次のオプションがオンになっている場合は オプションをオン ( デフォルト ) に設定すると HTTPS と LDAPSSL バージョンを有効化します httpd.admin.ssl.enable (HTTPS) ldap.ssl.enable (LDAP) オプションがオフになっている場合は HTTPS と LDAP 接続の SSL バージョンを無効化します オプションについての詳細については na_options(1) マニュアルページをご参照ください LDAP についての詳細については Data ONTAP 7-Mode File Access and Protocols Management Guide 参照してください 関連タスク SSL の設定と開始 セキュアプロトコルが有効かどうかの確認 Data ONTAP では セキュアプロトコルが有効かどうかを示す情報が表示されます この情報は ストレージシステムとクライアント間での管理用トランザクションが暗号化されているかどうかを判断するのに役立ちます

59 59 Data ONTAP Mode System Administration Guide 手順 1. 次のコマンドを入力します secureadmin status 次のような情報が表示されます ssh2 ssh1 ssl - active - inactive - active 関連する概念 デフォルトのセキュリティ設定 セキュアプロトコルの有効化または無効化 secureadmin コマンドを使用すると SSH と SSL を有効化または無効化できます 手順 1. 次のコマンドを入力します secureadmin {enable disable} all SSH と SSL の両方を開始するには enable all を 両方を停止するには disable all を使用しま す Telnet セッションとストレージシステムへのアクセス Telnet を有効にした場合 Telnet セッションを使用してクライアントからストレージシステムにアクセス することができます 次の options コマンドを有効にするには 事前に Telnet セッションを再確立する必要があります autologout.console.enable autologout.console.timeout autologout.telnet.enable autologout.telnet.timeout telnet.distinct.enable これらのオプションの詳細については na_options(1) マニュアルページを参照してください 次のトピック Telnet セッションの開始 Telnet セッションの終了 Telnet セッションの設定

60 ストレージシステムへのアクセス方法 60 関連する概念デフォルトのセキュリティ設定コンソール Telnet SSH 対話形式セッションに適用されるルール Telnet セッションの開始 Telnet セッションを開始すると ストレージシステムに接続されます 開始する前に Telnet セッションを使用してストレージシステムに接続するには 次の要件を満たす必要があります Telnet.enable option オプションを on に設定します このオプションが on になっているかどうかを確認するには options telnet コマンドを入力します このオプションを on に設定するには options telnet.enable on コマンドを入力します 詳細については na_options(1) のマニュアルページを参照してください ストレージシステムに定義されたプロトコルアクセス管理で Telnet アクセスが許可されるように telnet.access オプションを設定します 詳細については na_options(1) および na_protocolaccess(8) マニュアルページを参照してください このタスクについて一度にアクティブにできる Telnet セッションは 1 つだけです ただし Telnet セッションと同時にコンソールセッションを1つ開くことができます 手順 1. クライアント上でTelnetセッションを開きます 2. ストレージシステムに 名前を使用して接続します 3. ログインプロンプトが表示された場合は 次のいずれかの処理を実行します システムアカウントを使用してストレージシステムにアクセスする場合は 次のアカウント名を入力します root 別の管理ユーザーカウントを使用してストレージシステムにアクセスする場合は 次のアカウント名をします username username は 管理のユーザーカウントです パスワードプロンプトが表示されます 4. rootまたは管理ユーザーカウントのパスワードを入力します メモ : 使用するアカウントにパスワードが定義されていない場合は [Enter] キーを押します 5. ストレージシステムプロンプトに続いてシステムメッセージが表示される場合は Returnキーを押

61 61 Data ONTAP Mode System Administration Guide すと ストレージシステムプロンプトが表示されます 例 toaster> Thu Aug 5 15:19:39 PDI [toaster: telnet_0:info]: root logged in from host: unix_host12.xxx.yyy.com [Enter] キーを押します toaster> メモ : Telnet セッションを通じて入力したコマンドは [Ctrl-C] キーを押すことによって中止できます 関連する概念コンソール Telnet SSH 対話形式セッションに適用されるルール 関連タスクプロトコルによるアクセスの制限 Telnet セッションの終了 Telnet セッションを終了すると ストレージシステムへの切断が切断されます 手順 1. システムプロンプトまたはコンソールで ストレージシステムからログアウトするには 次のいずれかの操作を行います Ctrl-] キーを押します 次のコマンドを入力します logout telnet Ctrl - D を押して Telnet セッションを終了します メモ : リモートシェル接続の場合は 次のコマンドを入力します rsh -l username:password hostname logout telnet Telnet セッションの設定 Telnet セッションの設定により バナーメッセージを表示させたり タイムアウト期間を指定したりできます 次のトピックバナーメッセージの構成タイムアウト時間の有効化と無効化

62 ストレージシステムへのアクセス方法 62 タイムアウト時間の変更 バナーメッセージの構成ストレージシステムへの Telnet セッションの開始時にバナーメッセージを表示するように設定することができます 管理ホストのルートボリュームの / etc ディレクトリに issue という名前のファイルを作成することにより ストレージシステムへの Telnet セッションの開始時に表示されるバナーメッセージを設定できます このメッセージが表示されるのはセッションの開始時だけです メッセージは ログイン試行時に複数回失敗しても 繰り返し表示されることはありません 以下に /etc/issue 内のメッセージ表示例を示します ここでは issue ファイルの内容が This system is for demonstrations only であるとします admin_host% telnet mysystem Trying Connected to mysystem.xyz.com Escape character is ^]. This system is for demonstrations only. Data ONTAP <mysystem.xyz.com> Login: タイムアウト時間の有効化と無効化 Telne セッションのタイムアウト時間を有効または無効にすることができます タイムアウト期間が有効な場合は Telnet 接続は autologout.telnet.timeout オプションの値で指定された時間 ( 分 ) の経過後に切断されます 手順 1. TelnetまたはSSHインタラクティブセッションのタイムアウト期間を有効または無効にするには 次のコマンドを入力します options autologout.telnet.enable [on off] デフォルト値は on であり autologout.telnet.timeout の値で指定した分単位の時間が経過したあとで Telne 接続は切断されます このオプションの変更名今日は ログアウトしないと有効になりません

63 63 Data ONTAP Mode System Administration Guide タイムアウト時間の変更 Telnet セッションのタイムアウト時間は変更することができます デフォルトでは Telnet セッションのタイムアウト時間は 60 分です autologout.telnet.timeout を有効にするには autologout.telnet.enable オプションがオンに設定されていることを確認してください 手順 1. 次のコマンドを入力します options autologout.telnet.timeout minutes minutes は タイムアウト時間の長さです minutes の有効値の範囲は 分です 最大数は約 596 時間 (25 日弱 ) に相当します デフォルト時間は 60 分です リモートシェル接続を使用したストレージシステムへのアクセス方法 rsh.enable オプションがオンに設定されている場合は リモートシェル (RSH) 接続を使用してストレージシステムにアクセスし 管理タスクを実行できます RSH 接続で ルートボリュームの /etc/hosts.equiv ファイルに一覧表示されている信頼されたホストを使用して ストレージシステムにアクセスできます また ユーザー名とパスワードを使用して /etc/hosts.equiv ファイルに一覧表示されていない管理ホストから RSH 接続を確立することもできます ただし この方法でパスワードを指定することにはセキュリティ上のリスクがあり 特に UNIX クライアントではリスクが高くなります 多くの UNIX クライアントでは rsh コマンドの実行時に ps プログラムを実行している他のストレージシステムユーザーが このコマンドの内容を表示できる可能性があります どのクライアント上でも パスワードはネットワーク経由でプレーンテキストとして表示されます パスワードの送信時に ネットワークトラフィックが何らかのプログラムによって捕捉されると パスワードがそのプログラムに記録されます RSH コマンドを発行する場合にこのようなパスワードの漏洩を防止するには ストレージシステムの /etc/hosts.equiv ファイルに一覧表示されているクライアントで root としてログインすることをお勧めします 1 つのストレージシステムで同時に実行できる RSH セッションの最大数は 24 であり 1 つの vfiler ユニットで同時に最大 4 つの RSH セッションを実行できます 次のトピックユーザー名とパスワードを使用した RSH コマンドを使用するタイミング RSH による UNIX クライアントからストレージシステムへのアクセス Remote Shell アプリケーションによる Windows クライアントからストレージシステムへのアクセス

64 ストレージシステムへのアクセス方法 64 RSH 使用時に実行できないコマンド RSH を使用したデフォルト値へのオプションのリセット方法 関連する概念デフォルトのセキュリティ設定管理ホストの指定方法公開鍵ベースの認証 関連タスクプロトコルによるアクセスの制限管理ホストの追加管理ホストの削除 ユーザー名とパスワードを使用した RSH コマンドを使用するタイミング使用する UNIX ホストおよび UNIX ホストへのログイン方法に応じて ストレージシステムで RSH プロトコルを使用してコマンドを実行するときに ユーザー名とパスワードの入力が必要になる場合があります 使用する UNIX ホストがストレージシステムの /etc/hosts.equiv ファイルに表示されていない場合は RSH プロトコルを使用してストレージシステムでコマンドを実行するときに ユーザー名とパスワードの両方を入力する必要があります 使用する UNIX ホストがストレージシステムの /etc/hosts.equiv ファイルに表示され root として UNIX ホストにログインした場合は RSH プロトコルを使用してストレージシステムでコマンドを実行するときにユーザー名またはパスワードを入力する必要はありません 使用する UNIX ホストがストレージシステムの /etc/hosts.equiv ファイルに表示され root 以外のユーザーとして UNIX ホストにログインした場合は RSH プロトコルを使用してストレージシステムでコマンドを実行するときに次のルールが適用されます ユーザー名がホスト名とともに /etc /hosts.equiv ファイルに表示されている場合は 必要に応じてユーザー名を入力します パスワードを入力する必要はありません ユーザー名がホスト名とともに /etc /hosts.equiv ファイルに表示されていない場合は ユーザー名とパスワードの両方を入力する必要があります ユーザー名には root またはストレージシステム上で定義されている管理者ユーザーの名前を指定できます メモ : PC からリモートシェル接続を使用してコマンドを実行する場合は 常にストレージシステムの /etc/hosts.equiv ファイルに指定された PC のユーザー名を入力する必要があります 詳

65 65 Data ONTAP Mode System Administration Guide 細については na_hosts.equiv(5) のマニュアルページをご参照ください RSH による UNIX クライアントからストレージシステムへのアクセス RSH 接続を使用して UNIX クライアントからストレージシステムにアクセスし 管理タスクを実行できます 開始する前に rsh.enable オプションが on に設定されていることを確認します 手順 1. 次のいずれかを実行します 使用する UNIX ホスト名またはユーザー名がストレージシステムのルートボリュームにある /etc/hosts.equiv ファイルに指定されていない場合は 次の形式で rsh コマンドを入力します rsh hostname_or_ip -l username:password command 使用する UNIX ホスト名およびユーザー名が ストレージシステムのルートボリュームにある /etc/hosts.equiv ファイルに指定されている場合は 次の形式で rsh コマンドを入力します rsh hostname_or_ip [-l username] command hostname_or_ipは ストレージシステムのホスト名またはIPアドレスです メモ :rsh.access オプションを使って IPアドレスを指定することができます commandは RSHの接続で実行するData ONTAPのコマンドです RSH 要求の例 次の rsh コマンドは ユーザー名 (carl) およびパスワード (mypass) を使用してストレージ システム (myfiler) にアクセスし Data ONTAP version コマンドを実行しています rsh myfiler -l carl:mypass version 次のrsh では ユーザー名 (carl) パスワード(mypass) を使用してIPアドレスが のストレージシステムにアクセスし Data ONTAP versionコマンドを実行します rsh l carl:mypass version 次の rsh コマンドは ストレージシステムのmyfiler の / etc / hosts.equiv ファイルに指定されているUNIXホストからData ONTAP versionコマンドを実行します rsh myfiler version

66 ストレージシステムへのアクセス方法 66 関連タスク プロトコルによるアクセスの制限 Remote Shell アプリケーションによる Windows クライアントからストレージシステムへのアクセスリモートシェルアプリケーションを使用して Windows クライアントからストレージシステムにアクセスし 管理タスクを実行できます 開始する前に rsh.enable オプションが on に設定されていることを確認します 使用する Windows クライアントが ストレージのシステムのルートボリューム上の /etc /hosts.equiv ファイルで指定された信頼できるホストであることを確認します 手順 1. Windowsクライアント上でリモートシェルアプリケーションを実行します 2. リモートシェルアプリケーションから rshコマンドを次の形式で入力します rsh hostname_or_ip [-l username:password] command hostname_or_ip は ストレージシステムのホスト名または IP アドレスです メモ :rsh.access オプションを使って IP アドレスを指定することもできます command は RSH 接続で実行する Data ONTAP コマンドです RSH 要求の例次のrshコマンドでは ユーザー名 (carl) とパスワード (mypass) を使用してストレージシステム (myfiler) にアクセスし Data ONTAP versionコマンドを実行しています rsh myfiler -l carl:mypass version 次のrshでは ユーザー名 (carl) とパスワード (mypass) を使用してIPアドレスが のストレージシステムにアクセスし Data ONTAP versionコマンドを実行しています rsh l carl:mypass version 関連タスク プロトコルによるアクセスの制限 RSH 使用時に実行できないコマンド RSH を使用する場合 実行できないコマンドがいくつかあります RSH の使用時に実行できないコマンドを次に示します

67 67 Data ONTAP Mode System Administration Guide arp orouted ping routed savecore setup traceroute RSH を使用したデフォルト値へのオプションのリセット方法 RSH を使用して オプションをデフォルト値にリセットする場合は 引用符 (") の前にエスケープ文字 (\) を置く必要があります たとえば Windows ホストからコンソールセッションを使用して CIFS ホームディレクトリパスをリセットする場合は 次のコマンドを入力します c:\> toaster options cifs.home_dir "" しかし RSH のセッションを使用する場合は 次のコマンドを入力する必要があります c:\> rsh toaster options cifs.home_dir \"\" RSH のセッション情報の表示 rshstat コマンドは 起動された RSH のセッションの数 現在アクティブな RSH のセッション数 同時にアクティブになった RSH セッションの最大数など RSH セッションに関する情報を表示します 手順 1. 次のコマンドを入力します rshstat [ -a -t ] オプションを指定しない場合は rshstat により 次の情報が表示されます ストレージシステムをブート後に起動された RSH セッション数 現在アクティブな RSH セッションの数 ストレージシステムのブート後に 同時にアクティブになった RSH セッションの最大数 許容される同時 RSH セッション数の最大値 -aオプションを指定すると 次の追加情報が表示されます RSH セッション数 RSH セッションが実行しているコマンドメモ : コマンドフィールドの rsh shell は RSH のセッションがまもなく開始されることを意味します RSH セッションのリモートクライアントの IP アドレス RSH セッションの監査ログに書き込まれた最後の文字列 -t オプションを指定すると -a オプションによって表示される情報のほか コマンドが実行されている時間 ( ミリ秒単位 ) も表示されます この情報には次の時間も含まれます

68 ストレージシステムへのアクセス方法 68 コマンドの実行に要した時間の合計 プロトコル接続の時間 ホスト参照 (gethost) 情報の時間 例 toaster> rshstat Session Invocations: 9 Current Active Sessions: 2 Active High Sessions: 3 Maximum Available Sessions: 24 toaster> rshstat -a Session Invocations: 9 Current Active Sessions: 2 Active High Sessions: 3 Maximum Available Sessions: 24 0: sysstat [from ] (50% >60 ) : nfsstat [from 2001:0DB8:85A3:0:0:8A2E:0370:99] ( ) toaster> rshstat -t Session Invocations: 9 Current Active Sessions: 2 Active High Sessions: 3 Maximum Available Sessions: 24 0: sysstat [from ] (50% >60 ) Command Time: 123ms Connection Time: 123ms Gethost Time: 123ms : nfsstat [from 2001:0DB8:85A3:0:0:8A2E:0370:99] ( ) Command Time: 3490ms Connection Time: 3490ms Gethost Time: 3490ms FilerView を使用したストレージシステムへのアクセス方法 FilerView を使用してストレージシステムにアクセスできます FilerView は Web ベースのグラフィカル管理インターフェイスです これを使用すると コンソール Telnet セッション または RSH セッションを使用してコマンドを入力したり スクリプトや構成ファイルを使用したりしなくても ストレージシステムの大部分の機能を Web ブラウザから管理できます また FilerView を使用することで ストレージシステム 物理的なストレージユニット ( アダプタ ディス

69 69 Data ONTAP Mode System Administration Guide ク RAID グループなど ) データストレージユニット ( アグリゲート ボリューム LUN など ) についての 情報も表示できます ネットワークトラフィックに関する統計を表示することもできます FilerView のヘ ルプには Data ONTAP の機能やその使用方法についての説明があります FilerView は次のブラウザをサポートしています Microsoft Internet Explorer 6 および 7 Mozilla Firefox 2.0 Mozilla Suite 1.7 以降 FileView へのアクセスを制御するオプションは 次のとおりです httpd.admin.access FilerView に対する HTTP のアクセスを制限します この値が設定されている場合 FilerView ア クセスの trusted.hosts は無視されます httpd.admin.enable FilerView に対する HTTPS アクセスを有効にします httpd.admin.ssl.enable FileView への HTTPS アクセスを有効にします httpd.admin.top-page.authentication FilerView 管理 Web ページのトップページでユーザー認証を要求するプロンプトを表示するかど うかを指定します メモ : 出荷時に Data ONTAP 8.0 以降がインストールされたストレージシステムでは セキュアプ ロトコル (SSH SSL および HTTPS など ) がデフォルトで有効にされており 非セキュアプロトコ ル (RSH Telnet FTP HTTP など ) がデフォルトで無効になっています これらのオプションの使用方法については na_options(1) のマニュアルページを参照してください secureadmin コマンドを使用して Secure Sockets Layer (SSL) を設定する方法の詳細については na_secureadmin(1) のマニュアルページを参照してください 次のトピック FilerView によるクライアントからストレージシステムへのアクセス FilerView のインターフェース FilerView への読み取り専用アクセス 関連する概念 デフォルトのセキュリティ設定

70 ストレージシステムへのアクセス方法 70 FilerView によるクライアントからストレージシステムへのアクセス FileView を使用して ほとんどのストレージシステム機能を管理し ストレージシステムに関する情報を表示することができます 作業を始める前にブラウザでは Java および JavaScript を有効になっている必要があります 使用しているバージョンの Microsoft Windows に Java のサポートが含まれていない場合は 別途 Java Runtime Environment (JRE) をダウンロードして FilerView 機能が適切に動作するようにする必要があります HTTP で FilerView を使用するには httpd.admin.enable オプションを on に設定します HTTPS で FilerView を使用するには httpd.admin.ssl.enable オプションを on に設定します 手順 1. Web ブラウザを起動します 2. [FileView] の URL を次のずれかの形式で入力します 使用プロトコル HTTP HTTPS 操作 エラー! ハイパーリンクの参照に誤りがあります name_or_ip/na_admin filer_name_or_ip には 次のいずれかを指定できます ストレージシステムの短い名前 ストレージシステムの完全修飾名 ストレージシステムの IPv4 アドレス HTTPS 形式を使用すると FilerView に安全にアクセスできます 出荷時に Data ONTAP 8.0 以降がインストールされているストレージシステムの場合 セキュアなプロトコル (SSH SSL および HTTPS) がデフォルトで有効になっており セキュアでないプロトコル (RSH Telnet FTP および HTTP) がデフォルトで無効になっています 使用中のストレージシステムでセキュアプロトコルが有効になっていない場合 secureadmin コマンドを使用して SSL を有効にすることができます 3. httpd.admin.top - page.authentication オプションが onオン ( デフォルト ) に設定されている場合は ログインダイアログボックスが表示され 最上レベルのFilerView 管理 Webページにアクセスするために必要なユーザー認証を行うよう求められます ユーザー名とパスワードを入力します 次に [OK] をクリックします メモ :httpd.admin.top - page.authentication オプションが off に設定されている場合 ユーザー認証が行われずに最上レベルの FilerView 管理 Web ページが表示されます 4. [FilerView] をクリックします

71 71 Data ONTAP Mode System Administration Guide ストレージシステムがパスワードによってで保護されている場合は ユーザー名とパスワードの入力を求めるメッセージが表示されます ストレージシステムがパスワードで保護されていない場合 FilerView が起動してウィンドウが開き 左側ペインにカテゴリの一覧が表示され 右側ペインに System Status 情報が表示されます FileView URLの例 次のFilerView URLの場合 ストレージシステムの名前 (mysystem) とHTTPを使用してストレージシステムにアクセスできます 次のFileView URLの場合 ストレージシステムの完全修飾名 (mysystem.mycompany.com) と HTTPSを使用してストレージシステムにアクセスします 次のFileViewURLの場合 ストレージシステムのIPv4 アドレス ( ) とHTTPを使用してストレージシステムにアクセスします 関連する概念 SSL の管理方法 デフォルトのセキュリティ設定 FilerView のインターフェース FilerView のインターフェースは 左側ペイン 右側ペイン タイトルペイン [Help] ボタンで構成されています 左側ペイン左側ペインには 次のカテゴリの一覧が表示されます この一覧は展開できる形式になっています : ほとんどのカテゴリは管理機能を表します Real Time Statusカテゴリからは システムのパフォーマンスを監視するさまざまなツールを選択して起動できます ウィザードカテゴリからは システムのセットアップ CIFSセットアップ vfilerのセットアップを行うそれぞれのウィザードを選択して起動できます 右側ペイン左側ペインから [Manage] [Configure] または [Report] の各機能を選択すると 右側ペインに システム構成についての情報を示すフォームが表示されます 各フィールドにデータを入力するか または一覧からデータを選択することで システム構成を変更することができます

72 ストレージシステムへのアクセス方法 72 タイトルペインタイトルペインには 左側ペインから選択した機能の名前 およびこの機能へのパスが続けて表示されます 例として [Volumes] カテゴリから [Report] を選択すると タイトルペインには Volumes > Report という形式でパスが表示されます Help ボタン Helpボタンは 左側ペインとタイトルペイン内の 各カテゴリの隣に 疑問符 (?) として表示されます ヘルプでは 機能の説明 機能で使用される各フィールドの説明 および機能を使用して実行できるタスクの手順に関する情報を参照できます カテゴリの隣にある [Help] ボタンをクリックすると ペインが 2 つある [Help] ウィンドウが表示されます 左側ペインには展開可能な目次が表示され その上部には [Index] [Search] という名前のタブが表示されます FilerView への読み取り専用アクセス FilerView-readonly の権限を持つ機能を持つユーザーは FilerView に読み取り専用でアクセスすることができます FilerView への読み取り専用のアクセス権があるユーザーは FilerView で管理するストレージシステムのオブジェクトを参照することができます FilerView でオブジェクトの追加や変更を行うことはできません 関連する概念サポートされる機能の種類 管理ホストからのアクセスの管理方法 管理ホストには ネットワーク上で NFS クライアントまたは CIFS クライアントとして使用されている任 意のワークステーションを使用できます 次のトピック管理ホストとしてワークステーションを指定する理由管理ホストの特権クライアントの使用要件管理ホストの指定方法管理ホストの追加管理ホストの削除 管理ホストとしてワークステーションを指定する理由 ワークステーションを管理ホストとして指定する目的は ストレージシステムの root ファイルシステム

73 73 Data ONTAP Mode System Administration Guide に対するアクセスを制限する 構成ファイルを編集するためのテキストエディタを提供する またはストレージシステムのリモートで管理機能を提供するためです セットアッププロセス実行中に ネットワーク上のワークステーションを管理ホストとして指定するように求めるプロンプトが表示されます セットアッププロセスの詳細については Data ONTAP 7- ModeSoftware Setup Guide をご参照ください ワークステーションを管理ホストに指定すると 指定されたワークステーションだけがストレージシステムの root ファイルシステム ( デフォルトでは / vol/vol0) にアクセス可能となります アクセス方法は次のとおりです 共有名 C$ にアクセス ( ストレージシステムにCIFS プロトコルがライセンス供与されている場合 ) NFS マウント ( ストレージシステムにNFS プロトコルがライセンス供与されている場合 ) 管理ホストとなるワークステーションを指定しないと ストレージシステムの root ファイルシステムがネットワーク上のすべてのワークステーションから利用可能になります この結果 すべてのユーザーがストレージシステムの root ファイルシステムにアクセスできるようになり /etc ディレクトリ内のストレージシステム構成ファイルを変更したり削除したりできるようになります セットアップ後は ストレージシステムの NFS エクスポートや CIFS 共有を変更することにより アドミニストレーションホストを追加できます 管理ホストの特権ストレージシステムは セットアップ処理完了の後 アドミニストレーションホストに root 権限を与えます 使用する管理ホストが NFS クライアントである場合 次のタスクを実行する権限が与えられます 管理ホストからストレージシステムの root ディレクトリをマウントし 構成ファイルを編集 RSH 接続 ( ストレージシステムで RSH が有効になっている場合 ) と SSH 接続 ( ストレージシステムの SSH が有効な場合 ) を使って Data ONTAP コマンドを入力使用する管理ホストが CIFS クライアントである場合は ストレージシステムに root または Administrator として接続している間 任意の CIFS クライアントから構成ファイルを編集する権限が与えられます クライアントの使用要件 NFS クライアントまたは CIFS クライアントは ストレージシステムを管理するための要件を満たしている必要があります NFS クライアントを使用して ストレージシステムを管理するには NFS クライアントが次の要件を満たしている必要があります 改行文字で終わる行を含むテキストファイルを表示および編集できるテキストエディタをサポートしていること

74 ストレージシステムへのアクセス方法 74 telnet と rsh コマンドをサポートしていること NFS プロトコルを使用してディレクトリをマウントできること CIFS クライアントを使用してストレージシステムを管理するには この CIFS クライアントが telnet および rsh コマンドをサポートしている必要があります 管理ホストの指定方法管理ホストは /etc/hosts.equiv ファイルで指定します 管理ホストは 次のいずれかの形式で指定します hostname_or_ip [username] or hostname_or_ip ["user name"] ( ホスト上のユーザー ) +@netgroup [username] ( ホストのグループ ) メモ :/etc/ hosts.equiv ファイルある管理ホストから RSH を使用してストレージシステムにアクセス する場合は 認証メカニズムが迂回されるので root 特権があります また /etc/auditlog プログラ ムによって root コマンドを実行しているユーザーが表示されます /etc/hosts.equiv ファイルのエントリには次のルールが適用されます 同じホスト上の複数のユーザーがリモートシェルを通じてストレージシステムへのアクセスを必 要とする場合は hostname_or_ip [username] のように 一つのホストに対する各ユーザーのエ ントリを指定します +@netgroup [username] を使用して ホストのグループを指定することによ り 特定のユーザーに対しホストグループからのストレージシステムへのアクセスを許可すること もできます hostname_or_ip は NFS クライアントを指定する場合 または +@netgroup に NFS ホストの グループを指定する場合 ユーザー名を省略できます ユーザー名を指定しない場合 rsh コマ ンドを使用して Data ONTAP コマンドを実行するには その NFS クライアントの root ユーザー である必要があります hostname_or_ip に CIFS クライアントを指定する場合は CIFS クライアントのユーザー名を入 力する必要があります /etc/hosts.equiv ファイルの内容の例を示します nfsclient1 client1 carl client1 peter client2 lena client2 root client3 fred client3 root +@sysadmins joe smith 詳細については na_hosts.equiv(5) マニュアルページを参照してください

75 75 Data ONTAP Mode System Administration Guide 管理ホストの追加 /etc/hosts.equiv ファイルを編集して 追加の NFS クライアントまたは CIFS クライアントを管理ホストとして指定することができます 手順 1. エディタを使用して /etc/hosts.equiv 構成ファイルを開きます 2. 管理ホストとして指定するホストのグループ またはクライアントのホスト名とユーザー名を追加します 3. /etc/hosts.equiv ファイルを保存します 管理ホストの削除 /etc/ hosts.equiv ファイルを編集して NFS クライアントまたは CIFS クライアントを管理ホストのリス トから削除することができます 手順 1. エディタを使用して /etc/hosts.equiv 構成ファイルを開きます 2. 削除するホストのグループ またはホスト名とユーザー名のエントリを見つけて 削除します 3. /etc/hosts.equiv ファイルを保存します ストレージシステムへのアクセス制御方法 Data ONTAP では 管理者がストレージシステムにアクセスする方法を制御できます 管理者がどこから どのようにログオンできるかを制限することで ストレージシステムのセキュリティを高めることができます 次のトピックホスト名による Telnet アクセスの制御プロトコルによるアクセスの制限マウント特権の制御ファイル所有権の変更特権の制御匿名 CIFS ユーザーによる共有参照の制御セキュリティの維持に役立つオプションストレージシステムに対してセキュアなアクセスのみを許可 関連する概念デフォルトのセキュリティ設定

76 ストレージシステムへのアクセス方法 76 ホスト名による Telnet アクセスの制御すべてのホストに対してTelnet アクセスを無効にしたり Telnetアクセスをホストまでに制限したり すべてのホストにTelnetアクセスを許可することができます 手順 1. コンソールまたはTelnet セッションから ストレージシステムのコマンドラインにアクセスします 2. 次のコマンドのいずれかを実行します 状況または条件 操作 すべてのホストに対して Telnet アクセスを禁止する場合 次のコマンドを入力します options trusted.hosts - Telnet アクセスを最大 5 台のホストに制限する場合 次のコマンドを入力します options trusted.hosts host1[,...,host5] すべてのホストに対して Telnet アクセスを許可する場合 次のコマンドを入力します : options trusted.hosts * プロトコルによるアクセスの制限 Data ONTAP に対してプロトコルが有効な場合 ホスト名 IP アドレス またはネットワークインターフェース名を指定することにより そのプロトコルを使用したストレージシステムへのアクセスを制限できます 手順 1. ストレージシステムプロンプトに従い 次のいずれかのコマンドを入力します プロトコルによるストレージシステムへのアクセスを制限するために使用するパラメータホスト名または IP アドレスネットワークインターフェース名 入力コマンド options protocol.access host=[hostname IP_address] options protocol.access if=interface_name protocol は ストレージシステムへのアクセスを許可したいプロトコルの名前です それは rsh telnet ssh httpd httpd.admin snmp ndmpd snapmirror または snapvault です hostname は protocol を使ったアクセスを許可するホスト名です IP_address は protocol を使ったアクセスを許可するホストの IP アドレスです interface_name は protocol を使ったアクセスを許可するネットワークインターフェースの名前です メモ : telnet.access オプションが legacy に設定しない場合 Telnet の trusted.hosts オプションが無視されます httpd.admin.access オプションを legacy に設定しない場合 httpd.admin の trusted.hosts オプションが無視されます snapmirror.access オプションを legacy に設定しない場合 SnapMirror のデスティネーション検査時に /etc/snapmirror.allow

77 77 Data ONTAP Mode System Administration Guide ファイルが無視されます 複数のホスト名, IP アドレス, ネットワークインターフェースを使ったストレージシステムへのアクセスを制限する方法については na_protocolaccess(8) のマニュアルページを参照してください SNMP については Data ONTAP 7-Mode Network Management Guide を参照してください NDMP については Data ONTAP 7-Mode Data Protection Tape Backup and Recovery Guide を参照してください SnapMirror または SnapVault の詳細については Data ONTAP 7-Mode Data Protection Online BackUp and Recovery Guide を参照してください 関連タスク セキュアなプロトコルおよびストレージシステムへのアクセス マウント特権の制御 特権ポートを使用する root ユーザーのみにマウント特権を限定して ストレージシステムのボリュー ムの NFS マウント特権を制御することができます このタスクについて一部の PC クライアント および UNIX ワークステーションに実装された NFS の一部の古いバージョンでは 要求の送信に非特権ポートを使用します サイトにこのようなクライアントがある場合 mount_rootonly オプションを無効にするか またはクライアントソフトウェアをアップグレードします 手順 1. コンソールまたはTelnet セッションから ストレージシステムのコマンドラインアクセスします 2. 次のいずれかを実行します 目的 特権ポート ( ポート 1 ~ 1024) を使用する root ユーザーのみにマウント特権を限定する場合 すべてのポートのすべてのユーザーにマウント特権を許可する場合 操作 options nfs.mount_rootonly on options nfs.mount_rootonly off ファイル所有権の変更特権の制御 ディレクトリやファイル所有権を変更する特権を どのユーザーに付与するかを管理することができま す

78 ストレージシステムへのアクセス方法 78 このタスクについて所有権の変更には 次の動作が適用されます root 権限を持たないユーザーがファイルの所有者を変更すると set-user-id および set-groupid ビットはクリアされます root 権限を持たないユーザーがファイルの所有者の変更を試みた場合 変更によってファイルの受信者がクォータを超えると この試みは失敗します 手順 1. コンソールまたはTelnet セッションから ストレージシステムのコマンドラインにアクセスします 2. 次のいずれかを実行します 状況または条件 ディレクトリおよびファイル所有権変更の特権を root ユーザーに限定する場合 ディレクトリおよびファイル所有権変更の特権をすべてのユーザーに許可する場合 操作 次のコマンドを入力します options wafl.root_only_chown on 次のコマンドを入力します options wafl.root_only_chown off 匿名 CIFS ユーザーによる共有参照の制御匿名 CIFS ユーザーがストレージシステム上の CIFS 共有 ユーザー またはグループを参照できるかどうかを制御することができます 手順 1. コンソールまたはTelnet セッションから ストレージシステムのコマンドラインにアクセスします 2. 次のいずれかを実行します 状況または条件 共有を参照する匿名ユーザーに対するアクセス制限を設定しない場合 ユーザーおよび共有の一覧の参照を許可しない場合 匿名ユーザーによる共有の参照を完全に制限する場合 入力するコマンド options cifs.restrict_anonymous 0 options cifs.restrict_anonymous 1 options cifs.restrict_anonymous 2 cifs.restrict_anonymous オプションのデフォルト値は 0 です この制限は マップされた null のユーザーには適用されません 詳細については na_options(1) マニュアルページを参照してください セキュリティの維持に役立つオプション ストレージシステムのセキュリティを維持するために 利用できるオプションがいくつかあります 次の表に セキュリティの維持に役立つオプションを示します

79 79 Data ONTAP Mode System Administration Guide オプション trusted.hosts 説明 管理を目的として ストレージシステムへの Telnet RSH 管理 HTTP (FileView) アクセスを許可するホストを最大 5 つまで指定します デフォルトの設定値はアスタリスク (*) で すべてにストレージシステムへのアクセスを許可します telnet.access オプションが設定されている場合 telnet に関しては この値は無視されます また httpd.admin.access オプションが設定されていると 管理 HTTP アクセスについても無視されます telnet.access 管理を目的として Telnet セッションを通じてストレージシステムにアクセスできるホストを制御します ホスト名 IP アドレス またはネットワークインターフェース名を指定することで ストレージシステムへの Telnet アクセスを制限することができます この値が設定されている場合 Telnet に対する trusted.hosts オプションは無視されます telnet.distinct.enable rsh.access Telnet 環境および SSH 環境をコンソール環境と共有するか コンソール環境とは分離するかを制御します このオプションが off に設定されている場合 Telnet または SSH セッションはコンソールセッションと共有されます Telnet SSH およびコンソールユーザーは 互いの入出力を表示でき 最後にログインした Telnet SSH またはコンソールユーザーの権限を取得します オプションを on に設定することで Telnet 環境および SSH 環境をコンソール環境から分離させておくことができます Telnet または SSH セッション中にこのオプションの設定を変更しても 次の Telnet または SSH ログインまでは変更は有効になりません 管理を目的としてリモートシェルセッションを通じてストレージシステムにアクセスできるホストを制御します ホスト名 IP アドレス またはネットワークインターフェース名を指定することによって ストレージシステムへのリモートシェルアクセスを制限できます ssh.access 管理を目的としてセキュアシェルを通じてストレージシステムにアクセスできるホストを制御します ホスト名 IP アドレス またはネットワークインターフェース名を指定することによって ストレージシステムへの Secure Shell アクセスを制限できます nfs.mount_rootonly wafl.root_only_chown NFS クライアントからのストレージシステムのボリュームのマウントが 特権ポート ( ポート 1~1,023) 上の root ユーザーにのみ許可されるのか またはすべてのポートのすべてのユーザーに許可されるのかを制御します このオプションは NFS プロトコルがライセンスされている場合のみ有効です ディレクトリおよびファイル所有権の変更が すべてのユーザーに許可されるか または root ユーザーにのみ許可されるかを制御します このオプションは NFS プロトコルがライセンスされている場合のみ有効です

80 ストレージシステムへのアクセス方法 80 オプション cifs.restrict_anonymous 説明 匿名 CIFS ユーザーがストレージシステム上の CIFS 共有 ユーザー またはグループを参照できるかを制御します このオプションは CIFS プロトコルがライセンスされている場合のみ有効です この表にあるオプションの詳細については na_options(1) と na_protocolaccess(8) マニュアルペー ジをご参照ください 関連タスク セキュアなプロトコルおよびストレージシステムへのアクセス ストレージシステムに対してセキュアなアクセスのみを許可ストレージシステムへのセキュアアクセスのみ許可するには セキュアなプロトコルを有効にし セキュアでないプロトコルを無効にします さらに パスワードルールのオプションを設定して パスワードのセキュリティを強化します このタスクについて Data ONTAP 8.0 以降がインストールされているストレージシステムでは デフォルトでセキュアプロトコル (SSH SSL HTTPS など ) が有効化され 非セキュアプロトコル (RSH Telnet FTP HTTP を含む ) は無効化されます 手順 1. secureadmin コマンドを使用して セキュアプロトコルのSSH およびSSLを設定して有効にします SecureAdmin を設定して SSHおよびSSLを有効にしたら 次のオプションをonに設定します options ssh.enable options ssh2.enable (SecureAdmin の設定時に SSHv2 を有効にした場合 ) options ssh.passwd_auth.enable options ssh.pubkey_auth.enable options httpd.admin.ssl.enable 2. 非セキュアプロトコルを無効にします 無効にするストレージシステムへのアクセス RSH Telnet FTP HTTP ストレージシステムプロンプトで入力するコマンド options rsh.enable off options telnet.enable off options ftpd.enable off options httpd.enable off

81 81 Data ONTAP Mode System Administration Guide 無効にするストレージシステムへのアクセス ストレージシステムプロンプトで入力するコマンド メモ : このオプションでは ストレージシステムに対する HTTP アクセスを制御します HTTP access to FileView SSHv1 options httpd.admin.enable off メモ : このオプションでは FileView に対する HTTP アクセスを制御します HTTPS を使用して FileView に安全にアクセスするには httpd.admin.ssl.enable オプションが on に設定されていることを確認してください httpd.admin.enable オプションと httpd.admin.ssl.enable オプションの両方が off に設定されている場合は FileView を使用してストレージシステムにアクセスできません options ssh1.enable off メモ : ssh.enable オプションと ssh2.enable オプションが on に設定されていることを確認してください 3. 次のパスワードオプションが設定されていることを確認してください options security.passwd.rules.everyone on このオプションにより root および Administrator を含む全てのユーザーに対して パスワードの 複雑さのチェックが実行されます options security.passwd.rules.history 6 このオプションにより ユーザーは最近使用した 6 個前までのパスワードを再度利用できなく なります 関連する概念セキュアなプロトコルおよびストレージシステムへのアクセスデフォルトのセキュリティ設定 FilerView を使用したストレージシステムへのアクセス方法パスワードルールの管理オプション

82 ストレージシステムへのアクセス方法 82 ルートボリュームの管理方法 ストレージシステムのルートボリュームには ご使用のストレージシステムの管理に役立つ特殊なディレクトリと構成ファイルが格納されています ストレージシステムには 工場出荷時に初期出荷設定されたときに作成されるルートボリュームがあります ディスクシェルフとともに注文された FAS システム及び V-Series システムにインストールされます メモ : ディスクシェルフのない V-Series システムには 他メーカーのストレージにルートボリュームをインストールする必要があります FlexVol ボリュームをルートボリューム用に使う場合 volume 容量を確保してください 詳細は Data ONTAP 7-Mode Software Setup Guide を参照してください セットアップ時にインストーラが固有のボリューム名を指定しなかった場合 デフォルトのルートボリューム名には /vol/vol0 が使われます ルートアグリゲートにはルートボリュームが含まれます ストレージシステムは 32bit アグリゲートのルートボリュームにより出荷されます 別のボリュームを新しいルートボリュームに指定することも可能です Data ONTAP 以降では 64bit ボリュームをルートボリュームに使用できます デフォルトでは ストレージシステムは Hard Disk Drive (HDD) のアグリゲートをルートアグリゲートとしてセットアップされます HDD が利用できないときは システムは solid-state drive (SSD) をルートアグリゲート用に使用するためにセットアップされます ルートアグリゲートを変更したい場合は 対応するディスクドライブがシステムで利用可能なら (aggr options aggr_name root を使用 )HDD アグリゲートもしくは SSD アグリゲートのいずかをルートアグリゲートに選択できます 従来型ボリューム及び FlexVol ボリュームについて詳細は Storage Management Guide -Mode Storage Management Guide を参照してください 次のトピックルートボリュームに関する推奨事項ルート FlexVol のサイズ要件ルートボリュームのデフォルトディレクトリストレージシステム上のデフォルトディレクトリへのアクセス方法ルートボリュームの変更

83 83 Data ONTAP Mode System Administration Guide ルートボリュームに関する推奨事項ルートボリュームに使用するボリュームの種類を選択する際には 留意する必要がある推奨事項と考慮事項があります 次に ルートボリュームに関する一般的な推奨事項を示します ルートボリュームは FlexVol またはトラディショナルボリュームのどちらにも使用できます メモ : Data ONTAP 8.0 以降でブートメニューから作成できるのは新しいFlexVolルートボリュームのみで 新しいトラディショナルルートボリュームは作成できません ただし 既存のトラディショナルルートボリュームは引き続きサポートされます 耐障害性よりもコストが重視される小規模なストレージシステムでは 通常のアグリゲート上に FlexVol ベースのルートボリュームを作成するほうが適切な場合があります ルートボリュームに使用するボリュームのタイプには関係なく ルートボリュームにユーザーデータを保存することは避けてください ディスクシェルフが付属している V シリーズシステムでは ルートボリュームはディスクシェルフ上に配置することも ( 推奨 ) サードパーティ製ストレージ上に配置することもできます ディスクシェルフが付属していない V シリーズシステムでは ルートボリュームはサードパーティ製ストレージ上に配置されます V シリーズシステムがストレージに使用するストレージアレイまたはディスクシェルフの数に関係なく 1 つの V シリーズシステムに対してインストールできるルートボリュームは 1 つだけです 次に ルートボリュームがディスクシェルフ上にある場合の追加の情報と考慮事項を示します Data ONTAPは RAID 4 とRAID-DPの 2 つのレベルのRAID 保護をサポートしています RAID 4 では 最低でも 2 台のディスクが必要で 単一ディスク障害に対する保護機能が提供されます RAID-DPでは 最低でも 3 台のディスクが必要で 二重ディスク障害に対する保護機能が提供されます ルートボリュームは スタンドアロンの 2 ディスク構成のトラディショナルボリューム (RAID 4) または 3 ディスク構成のトラディショナルボリューム (RAID-DP) として存在できます また ルートボリュームは より大きなホスティングアグリゲートに含まれるFlexVolとして存在することもできます より小さなスタンドアロンのルートボリュームでは 一般的なアプリケーションストレージからの障害の切り分けが提供されます 一方 FlexVolでは 2 台または 3 台のディスクをルートボリュームとその小規模なストレージ要件専用にする必要がないため 全体的なストレージ利用率への影響は比較的小さくなります FlexVolをルートボリュームに使用した場合 ファイルシステム整合性確認とリカバリ操作に要する時間が 2 または 3 ディスク構成のトラディショナルルートボリュームの場合に比べ 長くなることがあります FlexVolのリカバリコマンドはアグリゲートレベルで動作するため アグリゲートの全ディスクが操作の対象となります この影響を低減するための 1 つの方法は ルートボリュームを含むFlexVolを収める少数のディスクで構成される小規模なアグリゲートを使用することです 実際 FlexVol 上にルートボリュームを設定すると 非常に大容量のストレージシステムよりも比較的容量の少ないストレージシステムで大きな違いが生じます 大容量のストレージシステムの場合 ルートボリューム専用に 2 台のディスクを割り当ててもほとんど影響はありません

84 ストレージシステムへのアクセス方法 84 耐障害性を強化するには 独立した 2 ディスク構成のルートボリュームを使用します メモ : ディスクファームウェア更新時には 2ディスクのルートボリュームを RAID-DP ボリュームに変換することを推奨します ディスクファームウェアの更新を無停止モードで実行するには RAID-DPが必要になるからです ディスクファームウェア及びData ONTAP の更新が完了したら ルートボリュームを RAID4 に変換できます Data ONTAP 7.3 以降の場合 トラディショナルルートボリュームに対するデフォルト RAID タイプは RAID-DP です トラディショナルルートボリュームの RAID タイプとして RAID4を使用して 必要なディスク台数を最小限にしたい場合は vol options vol0 raidtype raid4 を使用して RAID タイプを RAID-DP から RAID4 に変更することができます ルートボリュームがストレージアレイ上にある場合は 次の要件が適用されます ルートボリュームがストレージアレイ上にあるストレージシステムでは ルートボリュームがトラディショナルボリュームと FlexVol ボリュームであるかに関係なく 1つのアレイ LUN のみがルートボリュームで必要になります 関連する概念ルート FlexVol のサイズ要件 関連するタスクルートボリュームの変更 ルート FlexVol のサイズ要件 ルートボリュームには システムファイル ログファイル コアファイルを格納できるだけの十分なスペースが必要です システムに問題が発生した場合に テクニカルサポートを得るにはこれらのファイルが必要となります ディスクシェルフのトラディショナルボリュームとは異なり FlexVol は ルートボリュームとして使用できないような小さいサイズで作成することが可能です Data ONTAP では ご使用のストレージシステムモデルのルートボリュームの最小サイズよりも小さい FlexVol には root オプションを設定できません また Data ONTAP では ルートボリュームのサイズを 許容される最小サイズを下回るサイズに変更したり ルートボリュームのスペースギャランティを変更したりすることもできません ルート FlexVol の最小サイズは ストレージシステムのモデルによって異なります 次の表に ルートボリュームの所要最小サイズを示します ルートボリュームとして使用される FlexVol が最小サイズ要件を満たしていることを確認してください サードパーティ製ストレージを使用している場合は ルートボリュームに使用しているアレイ LUN が ルートボリュームの最小サイズ要件を満たすのに十分な大きさであることを確認します

85 85 Data ONTAP Mode System Administration Guide ストレージシステムの機種 FAS 2040 FAS 3070 FAS 3140 FAS 3160 FAS 3170 FAS 6030 FAS 6040 FAS 6070 FAS 6080 FAS 3070 SA 300 SA 600 ルート FlexVol の最小サイズ 160 GB 160 GB 230 GB 160 GB 240 GB 250 GB 250 GB 250 GB 250 GB 250 GB 230 GB 250 GB メモ : ルートボリュームの容量が 利用可能なアグリゲートサイズの 95% を超えることはできません df -A の出力には システム内のアグリゲートが使用している容量が表示されます V-Series Support Matrix に示されているアレイ LUN の最小サイズは ルートボリュームには適用されません ルートボリュームのデフォルトディレクトリルートボリュームには ストレージシステムセットアップ時に作成された /etc ディレクトリと /home ディレクトリが含まれます /etc ディレクトリはストレージシステムの動作に必要な構成ファイルが含まれています /home ディレクトリは データを格納するために使用するデフォルトの場所です ディスクシェルフが付属している V-Series システムでは ルートボリュームはディスクシェルフ上に配置することも ( 推奨 ) サードパーティ製ストレージ上に配置することもできます ディスクシェルフが付属していない V シリーズシステムでは ルートボリュームはサードパーティ製ストレージ上に配置されます V シリーズシステムのサードパーティ製ストレージアレイの数に関係なく 各 V シリーズシステムで保持できるルートボリュームは 1 つだけです 次のトピックデフォルトディレクトリの権限 /etc ディレクトリ デフォルトディレクトリの権限 set up が完了すると デフォルトディレクトリに権限が割り当てられます 次の表に アクセス許可を示します

86 ストレージシステムへのアクセス方法 86 ディレクトリアクセス元のクライアント権限 /etc ディレクトリ NFS 管理ホスト上のルートユーザーに対する完全な権限 (-rwx) 他のユーザーまたはホストに対して権限なし CIFS root パスワードを使用してストレージシステムにログインした管理ユーザーに対する全ファイルへの読み取りおよび書き込み権限 (Full Control) 他のユーザーに対しては権限なし /home ディレクトリ NFS CIFS UNIX セキュリティデータベースによって個別のユーザー及びグループに関連つけられている権限 HOME$ 共有については Everyone に対して Full Control の権限 /etc ディレクトリ /etc ディレクトリは ルートディレクトリ内にあります このディレクトリに ストレージシステムの構成ファイル システムのブートに必要な実行ファイル および一部のログファイルが格納されます 注意 : テクニカルサポート担当者の指示がない限り /etc ディレクトリ内のディレクトリはいずれも削除しないでください 次のトピック構成ファイル構成ファイルの編集方法 NFS クライアントによる構成ファイルの編集の設定 CIFS クライアントからの構成ファイルの編集 /etc/messages ファイル /etc/usermap.cfg ファイルおよび /etc/quotas ファイル 構成ファイル /etc ディレクトリ内の一部の構成ファイルを変更すると ストレージシステムの動作を変更することができます システム管理者が変更を加えることのできる構成ファイルについては ご使用のストレージシステムのマニュアルページのセクション5を参照してください 構成ファイルの変更は 管理ホスト上のエディターを使用します quotas ファイルの詳細は Data ONTAP 7-Mode Storage Management Guide Storage Management Guide を参照してください 変更可能なその他の構成ファイルについては マニュアルページを参照してください

87 87 Data ONTAP Mode System Administration Guide 構成ファイルの編集方法 Data ONTAP にはエディターが付いていません システムコンソールから またはストレージシステムへの Telnet セッションからはファイルを編集できません ストレージシステムの構成ファイルを編集するには NFS クライアント又は CIFS クライアントからエディタを使用する必要があります Data ONTAP では 以下のファイルの末尾に改行 ( キャリッジリターン ) が必要となります これらのファイルを編集する際は 入力の最後に必ず改行をいれてください /etc/passwd /etc/group /etc/netgroup /etc/shadow 注意 : Data ONTAP を構成すると 編集すべきではないファイルがいくつか生成されます 次の構成ファイルは編集しないでください cifsconfig.cfg cifssec.cfg cluster_config/* lclgroups.cfg filesid.cfg sysconfigtab registry.*

88 次の表に /etc ディレクトリ内の一部の構成ファイルのハードリミットを示します ストレージシステムへのアクセス方法 88 ファイル名 /etc/exports リミット エントリの最大サイズは 4,096 文字 エントリ最大数は 10,240 /etc/group 行の最大サイズは 256 文字 ファイルサイズのリミットはなし /etc/hosts 行の最大サイズは 1,022 文字 エイリアスの最大数は 34 ファイルサイズのリミットはなし /etc/netgroup エントリの最大サイズは 4,096 文字 ネットグループネスティングの最大リミットは 1,000 ファイルサイズのリミットはなし ネットグループは大文字と小文字の区別を検索し DNS や NIS サーバがホスト検索に使用するケースと一致する必要がある /etc/passwd 行の最大サイズは 256 文字 ファイルサイズのリミットはなし /etc/resolv.conf 行の最大サイズは 256 ネームサーバの最大数は 3 ドメイン名の最大長は 256 検索ドメインの最大リミットは 6 すべての検索ドメインの文字総数は 256 までファイルサイズのリミットはなし NFS クライアントによる構成ファイルの編集の設定 NFS クライアントから構成ファイルを編集するには クライアントはルートファイルシステムへのアクセスが許可されている必要があります NFS クライアントがセットアップ時にアドミニストレーションホストとして指定された場合 またはセットアップの完了後にアドミニストレーションホストとして追加された場合は ルートファイルシステムへのアクセスが許可されています ルートファイルシステムへのアクセスを承認する次の手順は アドミニストレーションホストとして指定されていない NFS クライアント向けです

89 89 Data ONTAP Mode System Administration Guide 手順 1. ストレージシステムのルートボリュームを管理ホストにマウントします 2. 管理ホストから ルートボリューム上の / etc/exports ファイルを編集して クライアントにroot 権限を与えます 3. ストレージシステムのコンソール Telnet クライアント またはrsh コマンドを使用して ストレージシステムに対して以下のコマンドを実行します exportfs 4. ストレージシステムのルートボリュームをクライアントにマウントします 5. クライアントからテキストエディタを使用して /etc ディレクトリ内のファイルを編集します CIFS クライアントからの構成ファイルの編集 CIFS クライアントを使用して ストレージシステムの C$ 共有にアクセスし 編集するファイルを選択することができます setup の完了後 ルートボリューム上のデフォルトの /etc/passwd 及び /etc/group ファイルがセットアップされ Administrator としてストレージシステム上のファイルを共有できるようになります ストレージシステムのルートディレクトリは 自動的に C$ として共有されます Administrator アカウントは 共有に対して読み取り 書き込み および実行の権限を持ちます 手順 1. Administrator としてCIFS クライアントからストレージシステムに接続します 2. ストレージシステムのC$ 共有の内容を表示し 編集するファイルを選択します メモ : C$ 共有は 隠された 共有です C$ 共有にアクセスするには手動でパスを指定する必要があります ( たとえば \\filer\c$ と指定します ) [ ネットワークコンピュータ ] アイコンからはアクセスできません /etc/messages ファイルデフォルトでは INFO レベル以上のすべてシステムメッセージがコンソールおよび /etc/messages ファイルに送信されます これにより ストレージシステムでのイベントの表示およびスクリプトを使用した特定イベントの解析を行えるようになります /etc/messages ファイルは 1 週間に 1 度入れ替わり 6 週間分のメッセージが保持されます システムメッセージの明示的な作成や送信には logger コマンドを使用します logger コマンドの詳細は na_logger(1) のマニュアルページを参照してください /etc/messages に送信されるメッセージのレベルを変更する場合は /etc/syslog.conf を編集します メッセージレベルおよび /etc/syslog.conf ファイルの詳細については na_syslog.conf(5) のマニュアルページを参照してください

90 ストレージシステムへのアクセス方法 90 関連する概念 メッセージロギング ストレージシステム上のデフォルトディレクトリへのアクセス方法 関連するタスク HTTP または HTTPS を使ったログファイルへのアクセス /etc/usermap.cfg ファイルおよび /etc/quotas ファイル /etc/usermap.cfg ファイルは Data ONTAP によるユーザー名のマッピングに使用されます /etc/quotas ファイルは qtree グループ またはユーザーに対するデフォルトまたは明示的なスペースや ファイル quota 制限を指定する各エントリで構成されます /etc/usermap.cfg 及び /etc/quotas files では Unicode 及びルートボリューム UNIX エンコーディングの2 種類のエンコーディングがサポートされます その結果 PC 又は UNIX ワークステーションのどちらからでもファイルを編集できます Data ONTAP は ファイルがメモ帳など Unicode に対応したエディタによって編集および保存されているかどうかを検出できます ファイルが Unicode に対応したエディタによって編集および保存されている場合 Data ONTAP は ファイル内の全てのエントリを Unicode であると見なします そうでない場合 Data ONTAP は エントリがルートボリューム UNIX エンコーディングであると見なします Standard Generalized Markup Language (SGML) エンティティは ルートボリューム UNIX エンコーディングのみ有効です ストレージシステム上のデフォルトディレクトリへのアクセス方法 NFS クライアント CIFS クライアントから または FTP を使用して デフォルトディレクトリにアクセスできます HTTP または HTTPS を使えばログフィルにもアクセスできます 次のトピック NFS クライアントから /etc ディレクトリへのアクセス CIFS クライアントから /etc ディレクトリへのアクセス FTP による /etc ディレクトリへのアクセス NFS クライアントから /home ディレクトリへのアクセス CIFS クライアントから /home ディレクトリへのアクセス FTP による /home ディレクトリへのアクセス HTTP または HTTPS を使ったログファイルへのアクセス NFS クライアントから /etc ディレクトリへのアクセス NFS クライアントから /etc ディレクトリにアクセスして ストレージシステムを管理できます 手順

91 91 Data ONTAP Mode System Administration Guide 1. 次のパスをマウントします filer:/vol/vol0 filer は トレージシステムの名前です ストレージシステムのルートディレクトリにアクセスできます 2. 次のコマンドを入力して ストレージシステムの /etcディレクトリに切り替えます cd mountpoint/etc mountpoint は NFS クライアント上のストレージシステムのマウントポイントの名前です CIFS クライアントから /etc ディレクトリへのアクセス CIFS クライアントから /etc ディレクトリにアクセスして ストレージシステムを管理することができます 手順 1. ドライブを次のパスにマッピングします \\filer\c$ filerはストレージシステム名です ストレージシステムのルートディレクトリにアクセスできます 2. コンテンツにアクセスするには /etc フォルダをダブルクリックします FTP による /etc ディレクトリへのアクセス ファイル転送プロトコル (FTP) を使用して ストレージシステムの /etc ディレクトリにアクセスすることが できます 手順 1. ストレージシステム上でFTP アクセスを有効にします options ftpd.enable on 2. 次のコマンドを入力し デフォルトのホームディレクトリを /etc に設定します options ftpd.dir.override /vol/vol0/etc FTPの詳細は Data ONTAP 7-Mode ファイルアクセスとプロトコルアドミニストレーションマニュアル及びna_options(1) のマニュアルページを参照してください

92 ストレージシステムへのアクセス方法 FTP を使用して クライアントからストレージシステムに接続します 4. FTP get コマンドを使用して ストレージシステムからクライアントにファイルを複製して 編集できるようにします 5. FTP put コマンドを使用して 編集済みのファイルをクライアントからストレージシステムに複製します 関連する概念 デフォルトのセキュリティ設定 NFS クライアントから /home ディレクトリへのアクセス NFS クライアントから /home ディレクトリにアクセスして ストレージシステムを管理することができます 手順 1. 次のパスをマウントします filer:/vol/vol0/home filer はストレージシステムの名前です CIFS クライアントから /home ディレクトリへのアクセス CIFS クライアントから /home ディレクトリにアクセスして ストレージシステムを管理することができます 手順 1. ドライブを次のパスにマッピングします \\filer\home filer は ストレージ名前です メモ : [ ネットワークコンピュータ ] を参照して ストレージシステムと /home ディレクトリの場所を探すこともできます FTP による /home ディレクトリへのアクセス FTP を使用してストレージシステムの /home ディレクトリにアクセスすることができます 手順 1. 次のコマンドを入力して ストレージシステム上でFTPアクセスを有効にします Options ftpd.enable on

93 93 Data ONTAP Mode System Administration Guide 2. 次のコマンドを入力して デフォルトホームディレクトリを設定します options ftpd.dir.override /vol/vol0/home FTPの詳細については Data ONTAP 7-Mode File Access and Protocols Management Guide の na_options(1) のマニュアルページを参照してください 3. クライアントからストレージシステムに FTPを使用して接続します 4. FTP get コマンドを使用して ストレージシステムからクライアントにファイルを複製して 編集できるようにします 5. FTP put コマンドを使用して 編集済みのファイルをクライアントからストレージシステムに複製します 関連する概念デフォルトのセキュリティ設定 HTTP または HTTPS を使ったログファイルへのアクセスストレージシステムで有効化されている HTTP や HTTPS を使用して ログファイルにアクセスできます 始める前に httpd.autoindex.enable オプションが on に設定され 管理アクセスを許可するように httpd.admin.access オプションが設定されていることを確認してください これらのオプションの使用方法については na_options(1) のマニュアルページを参照してください 手順 1. 次の場所をブラウザに指定します http(s)://<system_name>/na_admin/logs/ system_name は ストレージシステムの名前です 関連する概念デフォルトのセキュリティ設定 FilerView を使用したストレージシステムへのアクセス方法 関連するタスク ストレージシステムに対してセキュアなアクセスのみを許可 ルートボリュームの変更すべてのストレージシステムにルートボリュームが必要です 従って常に 1 つのボリュームをルートボリュームとして指定する必要があります ストレージシステムでルートボリュームとして使用するボリュームを変更できます

94 ストレージシステムへのアクセス方法 94 始める前にボリュームを新しいルートボリュームとして指定する前に ボリュームが最小サイズ要件を満たしていることを確認します ルートボリュームに必要な最小サイズは ストレージシステムモデルによって 異なります Data ONTAP では サイズが小さすぎて新しいルートボリュームにすることができないボリュームには root オプションは設定できません Data ONTAP からは 64bit のボリュームをルートボリュームとして使えるようになりました ボリュームを新しいルートボリュームに指定する前に ボリュームに少なくとも 2GB の空きスペースがあることを確認してください ルートボリュームに FlexVol ボリュームを使用する場合は その FlexVol のスペースギャランティが volume であることを確認します このタスクについてたとえば ルートボリュームをトラディショナルボリュームから FlexVol に移行する場合などに ストレージシステムのルートボリュームの変更が必要になることがあります ルートボリュームをトラディショナルボリュームから FlexVol に変更する場合 または FlexVol からトラディショナルボリュームに変更する場合は Data ONTAP 7-Mode Storage Management Guide に記載されている手順を実行してください 手順 1. 新しいルートボリュームとして使用する既存のボリュームを特定するか または vol create コマンドを使用して ルートボリュームを新規作成します ボリューム作成の詳細については Data ONTAP 7-Mode Storage Management Guide を参照してください 2. ndmpcopy を使用して 現在のルートボリューム内の /etc ディレクトリおよびその下のすべてのサブディレクトリを 新しいルートボリュームに複製します ndmpcopy の詳細については Data ONTAP 7- Mode Data Protection Tape Backup and Recovery Guideを参照してください 3. 次のコマンドを入力します vol options vol_name root vol_name は 新しいルートボリュームの名前です ボリュームに少なくても 2 GB の空きスペースがない場合 コマンドは失敗し エラーメッセージが表示されます ルートボリュームとして指定したボリュームは オフラインにしたり 制限モードにすることはできません メモ : ストレージシステムの次回リブート後のルートボリュームにするボリュームを決定する ボリュームの root オプションのほかに アグリゲートの root オプションもあります アグリゲート root オプションは 何らかの理由で ストレージシステムがルートボリュームを決定でき

95 95 Data ONTAP Mode System Administration Guide ない場合のみ使用されます ルートボリュームを現在のルートアグリゲートの外に移動する場合は ルートボリュームを含むアグリゲートがルートアグリゲートとなるように (aggr options aggr_name root を使用して ) 保守モードでアグリゲートの root オプションの値も変更する必要があります Data ONTAP からは 64bit アグリゲートをルートアグリゲート用に使うことができます ルートアグリゲートを変更すると ルートボリュームとして指定されている FlexVol がアグリゲートにまだ含まれていない場合 およびアグリゲートに少なくとも 2 GB の空きスペースがある場合のみ その後のブート中に新しいルートボリュームが作成されます アグリゲートの root オプションの詳細については na_aggr(1) のマニュアルページを参照してください 4. 次のコマンドを入力してストレージシステムを再起動します reboot ストレージシステムが再起動を完了すると ルートボリュームは指定されたボリュームに変更されます 5. httpd.rootdir オプションを更新し 新しいルートボリュームを指定します 関連する概念ルートボリュームに関する推奨事項ルート FlexVol のサイズ要件

96 ストレージシステムの起動および停止方法 さまざまな方法でストレージシステムを起動することができます ストレージシステムは システムの プロンプトから起動できます リモートでもストレージシステムを起動することもできます システムの 再起動は 停止したのちブートすることで実行できます 次のトピックストレージシステムの起動および停止方法ストレージシステムのリブートストレージシステムの停止 ストレージシステムのブート方法ストレージシステムは PC CompactFlash カードなどのブートデバイスから Data ONTAP を自動的にブートします 現在の Data ONTAP リリースおよび診断カーネルがインストールされているシステムのブートデバイスには アップグレードカーネルのための十分なスペースがあります ストレージシステムは 最新の Data ONTAP リリースにアップグレードできます 新しいソフトウェアをインストールする際 download コマンドによってブートカーネルがブートデバイスにコピーされます 詳細については Data ONTAP 7-Mode Upgrade Guide を参照してください 次のトピックストレージシステムのブート方法ストレージシステムプロンプトからのストレージシステムのブートプロンプトから Data ONTAP のブートリモートからの Data ONTAP のブート壊れたブートデバイスイメージからのリカバリ有効な Data ONTAP バージョンの確認 ストレージシステムのブート方法ストレージシステムは ストレージシステムのプロンプト ブート環境プロンプト リモートマネージメントデバイスの CLI プロンプトから起動できます ストレージシステムは たとえば toaster> のようなストレージシステムのプロンプトから起動できます リモートマネージメントデバイスの CLI プロンプトでは たとえば RLM toaster> または bmc shell -> のようなプロンプトからリモートで Data ONTAP を起動することができます 次のブートオプションでブート環境プロンプトからもストレージシステムをブートできます boot_ontap ブートデバイスに格納されている現在の Data ONTAP ソフトウェアリリースをブートします (PCCompactFlash カードなど ) デフォルトでは 基本メニューから他のオプションを選択しない

97 97 Data ONTAP Mode System Administration Guide 場合 ストレージシステムは自動的にこのリリースをブートします boot_primary ブートデバイスに格納されている Data ONTAP リリースを プライマリカーネルとしてブートしま す ファームウェアの AUTOBOOT_FROM 環境変数が PRIMARY 以外に設定されている場合 は このオプションによって上書きされます デフォルトでは boot_ontap 及び boot_primary コ マンドは同じカーネルをロードします boot_backup ブートデバイスから Data ONTAP のバックアップリリースをブートします バックアップリリー スは ソフトウェアアップグレードを初めて実行したとき ストレージシステム出荷時のカーネルを 保存する目的で作成されます これは プライマリイメージの自動ブートに失敗した場合に 正 常起動時 のリリースとして ストレージシステムのブートに使用できます boot_diags Data ONTAP の診断カーネルをブートします 詳細については 診断ガイドを参照してください その他のブートオプションは テクニカルサポート担当者の指示があった場合のみに使用してく ださい メモ : Data ONTAP 8.0 では PC CompactFlash カード等のブートデバイスに DataONTAP イメージをリストアしない限り ネットブートはサポートされません リモートサー バに格納されている Data ONTAP イメージからストレージシステムを起動する必要がある 場合 テクニカルサポートにお問い合わせ下さい PC CompactFlash カードを交換する方 法 またはカード上の Data ONTAP イメージをリストアする方法については ご使用の Data ONTAP バージョンの Replacing a CompactFlash Card マニュアルを参照してください ストレージシステムプロンプトからのストレージシステムのブートストレージシステムは PC CompactFlash カード等のブートデバイスから起動するように構成されています ストレージシステムプロンプトからストレージシステムを起動できます このタスクについてストレージシステムをリブートすると デフォルトでは通常モードでリブートします 以下の目的で ブートメニューを起動してその他のリブートモードを選択することもできます 構成の問題を修正する場合 パスワードを回復する場合 特定のディスク構成の問題を修正する場合 ストレージシステムの再導入のためにディスクを初期化し システムの構成をリセットする場合 ブートデバイスに構成情報をリストアする場合手順 1. ストレージシステムプロンプトで次のコマンドを入力します reboot

98 ストレージシステムがブートプロセスを開始します 2. ストレージシステムを通常モードで自動的にブートする場合は ストレージシステムが中断され ずにリブートされるようにします 次のメッセージにより 実行した操作が表示されます root logged in from console 3. その他のブートモードのメニューから選択する場合 表示される指示に従って Ctrl-C キーを押し 特別なブートメニューを表示します 次のブートメニューが表示されます 1) Normal Boot. 2) Boot without /etc/rc. 3) Change password. 4) Clean configuration and initialize all disks. 5) Maintenance mode boot. 6) Update flash from backup config. 7) Install new software first. 8) Reboot node. Selection (1-8)? 4. 対応する番号を入力して ブートタイプのいずれかを選択します 目的 選択するタイプ ストレージシステムを通常モードでブートする場合 1) Normal Boot トラブルシューティングを行い構成の問題を修復する場合 2) Boot without /etc/rc メモ : Boot without /etc/rc を選択すると デフォルトのオプション設定だけが使用されます /etc/rc 保存したすべてのオプション設定は無視され syslog などの一部のサービスが無効になります ストレージシステムのパスワードを変更する場合 3) Change Password 4) Clean configuration and initialize all disks 注意 : このメニューオプションはディスク上の全データを消去し システム構成を工場出荷時のデフォルト設定にリセットされます すべてのディスクを初期化し FlexVol ルートボリュームを作成する場合 システムセットアップに使用される 現在の設定値 ( システム IP アドレス ゲートウェイアドレス DNS サーバアドレス等 ) の保護が必要な場合 このメニューオプションを選択する前に設定値をメモしてください 現在のセットアップ設定は ストレージシステムプロンプトで setup と入力すると表示されます このメニューオプションは ディスクの初期化前にストレージシステムを再起動します ディスクシェルフのある V-Series システムについては このメニューオプションはアレイ LUN を初期化せず ディスクシェルフ上のディスクのみを初期化します ディスクシェルフの無い V-Series システムについては このメニューオプ

99 99 Data ONTAP Mode System Administration Guide 目的 選択するタイプ ションはストレージアレイ上のルートボリュームを初期化します 初期化が完了すると セットアップスクリプトが開始され 構成情報を入力するように求められます ストレージシステムのセットアップについては Data ONTAP 7-ModeSoftware Setup Guide を参照してください メモ : Data ONTAP 8.0 以降では ブートメニューから新しいトラディショナルルートボリュームを作成できません ただし 既存のトラディショナルルートボリュームは引き続きサポートされます 特定のアグリゲート操作及びディスク操作を実行し アグリゲートおよびディスクに関する詳細情報を取得する場合 5) Maintenance mode boot メモ : 保守モードは次に示す理由により 特別なモードとなります ファイルシステム操作を含む 通常の機能のほとんどが無効になります ディスクおよび アグリゲートまたはボリュームの問題を診断 修復するための 限られたコマンドセットだけを使用できます メンテナンスモードは halt コマンドで終了します ストレージシステムを再起動するには ファームウェアプロンプトの後ろに boot と入力します ルートボリュームから PC CompactFlash カードなどのブートデバイスに構成情報を保存する場合 6) Update flash from backup config メモ : Data ONTAP は一部のシステム設定情報をブートデバイスに格納します ストレージシステムの起動時 ブートデバイスにある情報は自動的にルートボリュームにバックアップされます ブートデバイスに障害があるか交換が必要な場合は このメニューオプションにより設定情報をルートボリュームからブートデバイスへリストアします 新しいソフトウェアを V-Series システムにインストールする場合 7) Install new software first ブートデバイス上の Data ONTAP ソフトウェアが ルートボリュームに使いたいストレージレイのサポートを含まれない場合は このメニューオプションを使用して ストレージアレイをサポートするソフトウェアのバージョンを手に入れ システムにインストールします メモ : このメニューオプションは Data ONTAP ソフトウェアの新しいバージョンを ルートボリュームがインストールされていない V シリーズシステムにインストールするときにのみ使用します FAS システムまたは V シリーズシステムのどちらかの Data ONTAP ソフトウェアをアップグレードする場合は このメニューオプションを使用しないでください ストレージシステムの再起動 8) Reboot node ブートメニューの詳細については na_floppyboot(1) マニュアルページを参照してください プロンプトから Data ONTAP のブート プロンプトから Data ONTAP の現在のリリースまたはバックアップリリースを起動することができます

100 ステップ 1. ストレージシステムプロンプトからの場合は 次のコマンドを入力します halt ストレージシステムのコンソールに プロンプトが表示されます 2. プロンプトに 次のコマンドのいずれかを入力します ブート対象 Data ONTAP の現在のリリース Data ONTAP プライマリカーネル 入力コマンド boot_ontap boot_primary Data ONTAP バックアップカーネル boot_backup メモ : ブートプロンプトから使用できるコマンドの詳細については ファームウェアプロンプトで help と入力してコマンド一覧を表示するか help command を入力して各コマンドの詳細を表 示してください リモートからの Data ONTAP のブート リモートマネージメントデバイスを使い Data ONTAP をリモートでブートできます 手順 1. 次のコマンドを入力して 管理ホストからリモートマネージメントデバイスにログインします ssh username@ip_for_remote_management_device リモートマネージメントデバイス用の CLI プロンプトが表示されます ストレージシステムモデルにより 次のうちの 1 つが表示されます RLM toaster> bmc shell> 2. ストレージシステムの電源がオフの場合は リモートマネージメントデバイス用の CLI プロンプトで次のコマンドを入力します system power on 3. システムコンソールにアクセスするには リモートマネージメントデバイス用のCLIプロンプトで次のコマンドを入力します system console ストレージシステムプロンプトが表示されます

101 101 Data ONTAP Mode System Administration Guide 4. ストレージシステムを通常モードで自動的に起動しない場合 ブート環境プロンプトで次のコマ ンドのいずれかを入力します ブート対象 Data ONTAP の現在のリリース Data ONTAP のプライマリカーネル Data ONTAP のバックアップカーネル 入力コマンド boot_ontap boot_primary boot_backup 関連する概念ストレージシステムのブート方法ストレージシステムのリモート管理 RLM へのログイン方法 BMC へのログイン方法 壊れたブートデバイスイメージからのリカバリ リモートマネージメントデバイスを使用したストレージシステムのブートデバイス (CompactFlash カ ードなど ) のイメージが壊れている場合 そのイメージからリカバリできます 手順 1. 管理ホストで次のコマンドを入力し リモートマネージメントデバイスにログインします ssh username@ip_for_remote_management_device リモートマネージメントデバイス用の CLI プロンプトが表示されます ご使用のストレージシステム機種により 次のいずれかが表示されます RLM toaster> bmc shell> 2. リモートマネージメントデバイス用のCLI プロンプトで次の手順のいずれかを実行します プライマリイメージを使用してストレージシステムをリブートするには 次のコマンドを入力します system reset primary バックアップイメージを使用してストレージシステムをリブートするには 次のコマンドを入力します system reset backup メモ : BMC では system reset コマンドはアドバンスドモードのコマンドです アドバンスドモードのコマンドは テクニカルサポートから指示があった場合にのみ使用してください

102 次のプロンプトが表示されます This will cause a dirty shutdown of your appliance. Continue? [y/n] 3. y を入力し 作業を続けます ストレージシステムは即座にシャットダウンします NVRAM にデータがある場合は 赤色の 内部 LED が点滅します ( システムのフェースプレートを通して見えます ) システムのリブー ト時に NVRAM は自動的かつ透過的にデータトランザクションを再生します 関連する概念ストレージシステムのブート方法ストレージシステムのリモート管理 RLM へのログイン方法 BMC へのログイン方法 有効な Data ONTAP バージョンの確認アップグレードが失敗した場合 またはカーネル診断を実行する必要がある場合は 現在ブートされているカーネルと ブートデバイス (Compact Flash カードなど ) で使用可能なほかのカーネルを確認する必要があります このタスクについて デフォルトでは ストレージシステムは プライマリカーネルから現在のリリースの Data ONTAP をブートします 手順 1. 次のいずれかを実行します 確認する内容 現在ブートされている Data ONTAP のバージョン ブートデバイスで使用可能な Data ONTAP ` のバージョン ストレージシステムコンソールで入力するコマンド version version -b Version を入力すると 現在実行中の Data ONTAP のバージョン番号がコンソールに表示されます Version b を入力すると ブートデバイスの情報がコンソールに表示されます その内容は プライマリカーネル セカンダリカーネル ( 使用している場合 ) 診断カーネル およびファームウェアの名前とバージョン番号などです 詳細については na_version(1) マニュアルページを参照してください

103 103 Data ONTAP Mode System Administration Guide ストレージシステムのリブートストレージシステムのリブートは ストレージシステムを停止したのちブートするのと同じです リブートを行うと ストレージシステムの NVRAM の内容がディスクにフラッシュされ ストレージシステムは CIFS クライアントに警告メッセージを送信します 次のトピック システムコンソールからのストレージシステムのリブート ストレージシステムをリモートからリブート システムコンソールからのストレージシステムのリブートストレージシステムのコンソールにコマンドプロンプトが表示されている場合は システムをリブートできます 手順 1. 事前に CIFS ユーザーに警告を送信して ファイルを保存しアプリケーションをすべて閉じるよう 指示します 注意 : ストレージシステムを停止して CIFS サービスを中断する場合には 必ず事前に CIFS ユーザーに警告する必要があります CIFS ユーザーに対し 変更を保存するための十分な時間を与えずに CIFS サービスを停止すると データ失われる可能性があります 2. ストレージシステムプロンプトで 次のコマンドを入力します reboot [-t minutes] -t minute は リブートが実行されるまでの経過時間です ストレージシステムをリモートからリブート ストレージシステムにリモートマネージメントデバイスが搭載されている場合は リモートで リブートすることができます 手順 1. 管理ホストから次のコマンドを入力して リモートマネージメントデバイスにログインします ssh username@ip_for_remote_management_device これはストレージシステム機種により次のいずれかが表示されます RLM toaster> bmc shell> 2. システムコンソールにアクセスするにはリモートマネージメントデバイスの CLI プロンプトで次

104 のコマンドを入力してください system console ストレージシステムプロンプトが表示されます toaster> 3. ストレージシステムのコンソールプロンプトで 次のコマンドを入力してください reboot 関連コンセプトストレージシステムのリモート管理 RLM へのログイン方法 BMC へのログイン方法 ストレージシステムの停止 halt コマンドを使用すると 正規のシャットダウンが実行されて ファイルシステムの更新がディス クにフラッシュされ NVRAM がクリアされます このタスクについてストレージシステムは 受信した要求を NVRAM に格納します 次の理由からストレージシステムの電源を切る前には必ず halt コマンドを実行する必要があります halt コマンドを使用すると メモリのすべてのデータがディスクにフラッシュされるので 障害の可能性を少なくできます halt コマンドを使用すると CIFS クライアントでのデータ損失の可能性を回避できます CIFS クライアントがストレージシステムから切断されると ユーザーのアプリケーションは終了し 開いているファイルに対して最後の保存以降におこなった変更は失われます 注意 : ストレージシステムを停止して CIFS サービスを中断する場合には 必ず事前に CIFS ユーザーに警告する必要があります CIFS ユーザーに対し 変更を保存するための十分な時間を与えずに CIFS サービスを停止すると データが失われる可能性があります Windows 95 または Windows for Workgroups を使用しているクライアントは クライアントの WinPopup プログラムがメッセージを受信するように設定されている場合のみ CIFS シャットダウンメッセージを表示できます Windows NT と Windows XP には ストレージシステムからのメッセージを表示する機能が組み込まれています 手順 1. 次のコマンドを入力します halt [-d dump_string] [-t interval] [-f] - d dump_string を指定すると ストレージシステムは停止前にコアダンプを実行します

105 105 Data ONTAP Mode System Administration Guide dump_string を使用すると コアダンプの理由が説明されます コアダンプのメッセージは dump_string で指定された理由が含まれます 注意 : halt -d を使用すると ストレージシステムが正常にシャットダウンされないことがあります ( ダーティーシャットダウン ) 通常のメンテナンスのためのシャットダウンには halt -d を使用しないでください 詳細については na_halt(1) マニュアルページを参照してください -t interval を指定すると ストレージシステムは interval によって指定された時間 ( 分 ) の経過後に停止します -f を指定すると ストレージシステムの停止後 高可用性構成にあるペアの一方のパートナーは他方のパートナーによってテイクオーバされなくなります ブートプロンプトが表示されます ブートプロンプトが表示されると 電源をオフにすることができます

106 管理者と診断用アクセスの管理方法 106 管理者アクセスおよび診断アクセスの管理方法 Data ONTAP では ストレージシステムへのアクセスを制御することによって セキュリティおよび監査機能を高めることができます また ストレージシステム上のパスワード機能を通じてセキュリティを確保することもできます 次のトピック管理者アカウントを作成する理由ストレージシステムへの root アクセスユーザーの管理方法ユーザーの管理方法グループの管理方法ロールの管理方法ユーザー グループ およびロール管理ユーザーの作成例セキュリティのためのパスワード管理の方法診断アカウントと systemshell 管理者アカウントを作成する理由ストレージシステムの管理には デフォルトのシステム管理アカウント (root) を使用できます また 管理者ユーザーアカウントを追加することもできます 管理者アカウントを作成する理由には次のようなものがあります ストレージシステムへの管理アクセスレベルを 管理者および管理者グループごとに指定できます 特定のストレージシステム上の管理アカウントだけを管理者に与えることにより 管理者アクセスをこれらのシステムだけに制限できます 複数の管理ユーザーを作成した場合は ストレージシステム上でどの管理ユーザーがどのコマンドを実行しているかを表示できます 監査ログファイルには 管理者によってストレージシステム上で実行されたすべての操作 その操作を行った管理者 および権限不足や入力ミスにより失敗したすべての操作が記録されます 各管理者を1つ以上のグループによって割り当てますが そのグループに割り当てられているロール ( 機能セット ) によって その管理者がストレージシステム上で実行を許可される操作を制御できます CIFS を実行しているストレージシステムが あるドメインまたは Windows ワークグループのメンバーである場合 その Windows ドメインで認証されたドメインユーザーカウントは Telnet RSH SSH FilerView Data ONTAP API Windows Remote Procedure Calls (RPC) を使用してストレージシステムにアクセスできます 次のトピックユーザー グループ ロール 機能の定義

107 107 Data ONTAP Mode System Administration Guide ユーザーに機能を割り当てる方法ユーザー グループ およびロール命名要件 Windows の特殊グループ他のグループおよびロールの機能の変更について ユーザー グループ ロール 機能の定義 ストレージシステムのユーザーに対し異なるレベルの管理アクセスを許可するために ユーザー グルー プ ロール 機能とは何かを理解しておく必要があります ユーザー : ストレージシステムで認証されるアカウントです ドメインユーザー : Windows ドメインに属し ドメインによって認証される 非ローカルユーザーです この種類のユーザーをストレージシステムグループに追加すると ストレージシステムに対する機能を与えることができます これはストレージシステムに CIFS がセットアップされている場合にのみ有効です グループ : ユーザーとドメインユーザーの集合であり 1 つ以上のロールを与えることができます グループは事前定義することも 新たに作成することも または修正することもできます ロール : グループに割り当てることができる機能のセットです ロールは事前定義することも 新たに作成することも または修正することもできます 機能 : 機能の種類 : コマンド実行 または他の指定の操作を実行するためにロールに許可された権限 機能には次の種類があります ロールに権限を与えた場合 コマンドを実行したり 他の指定されたアクションを実行します 機能の種類が含まれます ログオンの権限 Data ONTAP CLI ( コマンドラインインターフェース ) の権限 Data ONTAP API ( アプリケーションプログラミングインターフェース ) の権限 セキュリティの権限 ユーザーに機能を割り当てる方法管理ユーザーまたはドメインユーザーには 管理ロールまたは管理機能を直接割り当てることはできません この場合は ユーザーに実行を許可しようとする機能と一致するロールを与えられたグループに ユーザーを割り当てます 機能セットをロールに割り当ててから このロールをグループに割り当てることができます 次に 管理ユーザーに許可しようとする管理ロールおよび管理機能を持つグループに この管理ユーザーを追加します ユーザーに実行を許可するロールと同じデフォルトロールを持つ事前定義されたグループに ユーザーとドメインユーザーを割り当てることもできます

108 管理者と診断用アクセスの管理方法 108 ユーザー グループ およびロール命名要件ユーザー グループ およびロールに名前を付ける場合は 命名要件を満たす必要があります ネーミングの要件は次のとおりです 名前の大文字と小文字は区別されません 名前は任意の英数字 空白 ( スペース ) 記号を使用できますが 以下の文字は使用できません " * +, / \: ; < = >? [ ] メモ : 名前に空白または特殊文字が含まれる場合は このコマンドでこの名前を使用するときに 名前を二重引用符 (" ") で囲んで指定する必要があります ユーザーとグループに同じ名前を使用することはできません Windows の特殊グループ Windows には セキュリティおよび管理を目的として使用する特殊グループがいくつかあります Windows の特殊グループと同じ名前の管理グループをストレージシステム上に作成しないでください Windows 特殊グループの名前は以下の通りです : System Everyone Interactive Network Creator/Owner Creator Group Anonymous Logon Authenticated Users Batch Dialup Service Terminal User 他のグループおよびロールの機能の変更について管理者は 自分が属しているグループにあたえられている機能と同じか それ以下の機能を持つ他のグループに対して変更を加えることができます 次の変更を行うことができます 他のグループの機能の変更 他のグループ内のロールに割り当てられた機能の変更 他のグループメンバシップの変更

109 109 Data ONTAP Mode System Administration Guide ストレージシステムへの root アクセスデフォルトでは ストレージシステムへの root アクセスが有効です ストレージシステムに対する root アカウントのアクセスを無効にして root アカウントによるシステムへのログインやすべてのコマンドの実行を防止することができます security-complete-user-control セキュリティ機能を持つ root 以外のユーザーが root アカウントによるシステムへのログインやすべてのコマンドの実行を防止するには security.passwd.rootaccess.enable オプションを off に設定して root アクセスを無効にします オプションを変更するごとに EMS メッセージが送信されます security.passwd.rootaccess.enable オプションを on( デフォルト ) にリセットして root アクセスを有効にする場合 ユーザーは root アカウントのパスワードを変更する必要があります Telnet RSH SSH httpadmin NDMP またはシリアルコンソールを介してストレージシステムにアクセスする場合は root アクセスを有効化 / 無効化するオプションがサポートされます 次のトピック ストレージシステムへの root アクセスの無効化 root アクセスの状態の表示 関連コンセプト サポートされる機能の種類 ストレージシステムへの root アクセスの無効化 root アカウントのストレージシステムへのアクセスを無効にすると root アカウントは システムにログイン できず どのコマンドも実行できなくなります このタスクについて security-complete-user-control セキュリティ機能を持つ非 root ユーザーは Telnet RSH SSH HTTP Admin NDMP またはシリアルコンソール経由でストレージシステムにアクセスする場合は root アクセスを無効にできます ストレージシステムの root アカウントはリモートマネージメントデバイス ( RLM または BMC の場合 ) の naroot アカウントにマッピングされます ストレージシステムへの root アクセスを無効にすると ストレージシステムへの root アクセスは お使いのシステムが RLM を使用している場合 自動的に無効化されます 手順 1. 次のコマンドを入力します

110 管理者と診断用アクセスの管理方法 110 options security.passwd.rootaccess.enable off デフォルトは on です メモ : security.passwd.rootaccess.enable オプションを on にリセットして root アクセスを有効にするには 最初に非 root ユーザーが root アカウントのパスワードを変更する必要があります root アクセスの状態の表示 root アカウントの状態には 現在 ストレージシステムにアクセスできるかどうかが表示されます 手順 1. 次のコマンドのいずれかを入力します options security.passwd.rootaccess.enable useradmin user list root root アクセスの状態の表示例 次の例では root アクセスが現在 無効であることを示しています toaster> options security.passwd.rootaccess.enable security.passwd.rootaccess.enable off toaster> useradmin user list root Name: root Info: Default system administrator. Rid: 0 Groups: Full Name: Allowed capabilities: * Password min/max age in days: 0/never Status: disabled ユーザーの管理方法 ユーザーの作成 ユーザーへのストレージシステムに対するアクセスの許可 ユーザーの機能の変更を 行うことができます 次のトピックユーザーの作成とグループへの割り当て Windows ドメインユーザーへのアクセスの許可 MMC でのアクセスを許可する方法別のユーザーの機能の変更について

111 111 Data ONTAP Mode System Administration Guide ユーザーの作成とグループへの割り当て ユーザーを作成または変更して 1 つ以上の事前定義グループまたはカスタムグループに割り当てること で それらのグループに関連付けられたロールや機能をそのユーザーに付与することができます このタスクについて useradmin user modify コマンドを使用して 既存のユーザーが割り当てられていたグループを変更する と それまで割り当てられていたすべてのグループは コマンドで指定されたグループに置き換えられます ユーザー名は大文字と小文字は区別されません すでに Fred という名前のユーザーがいる場合は fred という名前のユーザーは作成できません 1 つのストレージシステムには 最大 96 人の管理ユーザーを作成できます 手順 1. 次のコマンドを入力します useradmin user {add modify} user_name [-c comments] [-n full_name] [-p password] -g group1[,group2,group3,..] [-m password_min_age] [-M password_max_age] useradmin user add を使用して 新規ユーザーを作成できます useradmin user modify コマン ドを使用して 既存ユーザーの属性を変更します user_name は カスタムグループまたは事前定義グループに割り当てるユーザーの名前です ユーザー名は 32 文字以内で指定できます 大文字と小文字は区別されません user_name に空白が含まれる場合 user_name を二重引用符 (" ") で囲みます comments には 最大 128 文字のコメントを指定します コメントは useradmin user list コマン ドによって表示できます コメントにコロン (:) を使用することはできません full_name はユーザーのフルネームを指定します password は指定管理ユーザーに要求されるパスワードです (RSH アクセスでのみ使用されま す ) security.passwd.rules.enable オプションが on に設定されている場合 パスワードは security.passwd.rules.* オプションにより指定されたルールに従う必要があります group は useradmin group コマンドにより割り当てられたロールを持つ事前定義グループまたは カスタムグループです ユーザーをコンプライアンス管理者グループに割り当てるには telnet.distinct.enable オプションが on になっていることを確認します password_min_age は ユーザーが 1 つのパスワードを設定したあと 変更できるようになるまで の最小日数を指定します デフォルト値は 0 です 4,294,967,295 を超える値を指定しても そ の値は 4,294,967,295 に設定されます password_max_age は ユーザーが 1 つのパスワードを変更せずに維持できる最大日数を指定 します デフォルト値は 4,294,967,295 です 4,294,967,295 を超える値を指定しても その値は

112 管理者と診断用アクセスの管理方法 112 4,294,967,295 に設定されます パスワードは 有効期限日の GMT タイムソーンの午前 0 時に有効期限が切れます 2. 操作が正常に完了したかを確認するには 次のコマンドを入力します useradmin user list user_name 指定ユーザーに対し このユーザーが継承したグループ ロール および機能の一覧が表示されます useradmin user add molly -n "Molly Mulberry" -c Filer administrator in Corp IT -g Administrators ユーザー作成例次のコマンドは 事前定義された Administrators グループおよびロール定義を使用して molly という名前のユーザーを作成します このユーザーには 全種類の管理機能 ( ログイン CLI API およびセキュリティ ) を実行できる権限を与えます useradmin user add molly -n "Molly Mulberry" -c Filer administrator in Corp IT -g Administrators 関連コンセプト 事前定義グループ ユーザー グループ およびロール命名要件 関連タスク グループの作成または変更によるグループへのロールの割り当て Windows ドメインユーザーへのアクセスの許可非ローカルの管理ユーザーに対して ストレージシステム自体の認証ではなく Windows ドメインコントローラでの認証のあとに ストレージシステムへの管理アクセスが可能になるように指定することができます このタスクについて デフォルトでは ドメイン管理者アカウントにシステムへのフルアクセス権が与えられます このアカウント にアクセスするには 適切なパスワードを使用し domain administrator としてログインします 手順 1. Windows ドメインユーザーをカスタムまたは事前定義グループに割り当てるには次のコマンドを入力 します useradmin domainuser add win_user_name -g {custom_group Administrators "Backup Operators" Guests "Power Users" Users}[,...] win_user_name は カスタムグループまたは事前定義グループに割り当てる Windows ドメインユー

113 113 Data ONTAP Mode System Administration Guide ザーの名前または Security ID (SID) です この値は 次のいずれかの形式で指定できます name メモ : ドメイン名を指定しない場合 このユーザーのドメインはストレージシステムとなります また 同じユーザー名を持つ Windows ドメインユーザーとは別のユーザーとみなされます domain\name textual_sid_s-x-y-z これらの形式の詳細については na_cifs_lookup(1) マニュアルページを参照してください custom_group は useradmin group コマンドによって割り当てられたロールを持つカスタムグルー プです Administrators "Backup Operators" Guests "Power Users" Users は デフォルトのロールと 機能を持つ Data ONTAP の事前定義グループです 例 次のコマンドは MyDomain ドメイン内の userjoe というユーザーを Power Users グループに追加 します このグループは すべての管理機能が許可されたロールが割り当てられているので このコマンドにより MyDomain\userjoe ユーザーには実質的にすべての管理機能が許可されます useradmin domainuser add MyDomain\userjoe -g "Power Users" 2. 処理が成功したかどうかを確認するには 次のコマンドを入力します useradmin domainuser list -g {custom_group Administrators "Backup Operators" Guests "Power Users" Users} このコマンドによって出力される一覧の中に 指定したユーザーの SID が表示されます 関連コンセプト グループの管理方法 事前定義グループ MMC でのアクセスを許可する方法 Microsoft Management Console (MMC) を使用してストレージシステムにアクセスする場合 ユーザーはローカルの Administrator グループに属していなければなりません Domain Admins グループは Administrator グループ中に含まれるため Domain Admins グループのユーザーにも MMC でのアクセスが許可されます ユーザーを管理者グループに追加して MMC にアクセスできるようにする方法を示します useradmin user modify username -g Administrators コマンドを使用して ローカルユーザー ( ストレージシステム上で作成するユーザー ) を追加します useradmin domainuser add domain\username -g Administrators コマンドを使用して 非ローカルユーザー ( ドメイン上に存在するユーザー ) を追加します

114 管理者と診断用アクセスの管理方法 114 ドメイン上で MMC を使用して domain\username を Domain Admins グループに追加します 関連タスク ユーザーの作成とグループへの割り当て Windows ドメインユーザーへのアクセスの許可 別のユーザーの機能の変更について他のユーザーの機能 またはアカウント情報を変更するには 自分が管理者であり そのユーザーが属するグループが 変更対象のユーザーが割り当てられたグループより多くの機能を持っている必要があります 次の変更を行うことができます ユーザー機能の変更 ユーザーについてのコメントの変更 ユーザーのフルネームの変更 ユーザーのパスワードの有効期間の変更 グループ名の変更メモ : 自分より多くの機能をもつグループ ユーザー またはロールを作成または変更することはできません 他のユーザーのパスワードを変更するには 上記の条件の他 security-password-change-others 機能を持つグループにアカウントが割り当てられている必要があります グループの管理方法 Data ONTAP で事前定義されたグループを使用できるほか グループを作成または変更できます 次のトピック事前定義グループグループの作成または変更によるグループへのロールの割り当てグループ名の変更 lclgroups.cfg ファイルからグループのロードユーザーが所属できる補助 UNIX グループの最大数の設定 事前定義グループユーザーまたはドメインユーザーを Data ONTAP で事前定義されたグループおよびロールに割り当てることができます 事前定義されたグループには Administrators, Power Users, Compliance Administrators, Backup Operators, Users, Guests, 及び Everyone があります

115 115 Data ONTAP Mode System Administration Guide 次の表で 事前定義グループについて説明します 定義済みグループデフォルトロールデフォルト特権 Administrators Admin CLI API ログイン セキュリティ機能を付与 Power Users power 以下を実行する機能を付与 : cifs exportfs nfs useradmin の CLI コマンドの実行 cifs と nfs の API 呼び出し Telnet HTTP RSH SSH セッションへのログイン Compliance Administrators compliance コンプライアンス関連操作を実行する機能を付与 メモ :telnet.distinct.enable オプションが off に設定されている場合はユーザーをこのグループには割り当てることができません Backup Operators backup NDMP 要求を行う機能を付与 Users audit snmp-get と snmp-get-next API 呼び出しを行う機 能を付与 Guests none なし Everyone none なし 関連コンセプト 事前定義されたロール サポートされる機能の種類 グループの作成または変更によるグループへのロールの割り当てグループを作成または変更して 1 つ以上の事前定義ロールまたはカスタムロールに関連付けられた機能をそのグループに付与することができます このタスクについて useradmin group modify コマンドを使用して既存グループを変更する場合は このグループにそれまで割り当てられていたすべてのロールが コマンドで指定されたロールに置き換えられます 手順 1. 次のコマンドを入力して useradmin group add コマンドで新しいグループを作成するか useradmin group modify コマンドでグループを変更します

116 管理者と診断用アクセスの管理方法 116 useradmin group {add modify} group_name [-c comments] [-r {custom_role root admin power backup compliance audit}[,...]] group_name は 作成するグループ または 1 つ以上のロールを割り当てるグループです グルー プ名は 256 文字以内で指定できます 大文字と子文字は区別されません メモ : Windows 特殊グループまたは既存ユーザーと同じ名前のグループを作成しないでください custom_role は useradmin role add コマンドにより割り当てられた機能を持つカスタムされたロー ルです root, admin, power, backup, compliance, audit は デフォルト機能を備えた Data ONTAP の事 前定義ロールです 例 次のコマンドは admin users グループに admin ロールと関連付けられた権限を付与し admin_users グループに直前に割当てられたロールを削除します useradmin group modify "admin users" -r admin 2. 次のコマンドを入力して 処理が成功したかどうかを確認します useradmin group list group_name コマンドの出力結果には 指定したグループに割り当てられているロールおよび機能が一覧表示され ます 関連コンセプトユーザー グループ およびロール命名要件 Windows の特殊グループ事前定義されたロール グループ名の変更 既存グループの名前を変更することができます 手順 1. 次のコマンドを入力します useradmin group modify group_name -g new_group_name group_name は 名前を変更するグループの名前です new_group_name は 名前変更後の新しい名前です メモ : グループの名前を Windows 特殊グループと同じ名前に変更しないでください 関連コンセプト

117 117 Data ONTAP Mode System Administration Guide Windows の特殊グループ lclgroups.cfg ファイルからグループのロードグループが作成されると lclgroups.cfg ファイルに保存されます 通常 このファイルは管理者専用です システムメモリへのグループの再読込みには使用しません ただし ストレージシステムまたは vfiler ユニットを移行時など Data ONTAP でこのファイルを再読込みさせる必要な場合もあります このタスクについてこの手順により 現在のグループがメモリからアンロードされた後 新しいファイルがロードされます 現在のグループは 新しいファイルで設定されていない限り 使用できなくなります lclgroups.cfg ファイルを直接編集して グループの追加や削除を実行しないでください グループ管理には useradmin group コマンドを使用します 手順 1. クライアントを使用して 新しい lclgroups.cfg ファイルを /etc ディレクトリに別の名前で複製します 2. 次のコマンドを入力します : useradmin domainuser load new_lclgroups.cfg_filename 現在の lclgroups.cfg ファイル内のグループがメモリからアンロードされ 新しい lclgroups.cfg ファイル内のグループがメモリにロードされます さらに 現在の lclgroups.cfg ファイルは lclgroups.cfg.bak に移動され 指定したファイルから新しい lclgroups.cfg ファイルが作成されます ユーザーが所属できる補助 UNIX グループの最大数の設定 Kerberos V5 認証を使用する場合 ユーザーがメンバーとなることができる UNIX 補助グループの最大数はデフォルトでは 32 です nfs.max_num_aux_groups オプションを 256 に設定すれば最大値を 256 グループに引き上げることができます このタスクについて Kerberos V5 認証を使用しない場合 ユーザーがメンバーとなることができる UNIX 補助グループの最大数は 16 です 手順 1. ユーザーがメンバーとなることができる UNIX 補助グループの最大数を変更するには 次のコマンドを入力してください : options nfs.max_num_aux_groups [32 256] デフォルト値は 32 です

118 管理者と診断用アクセスの管理方法 118 メモ : FlexCache のセットアップでは Data ONTAP によって このオプションの設定値に関係なく FlexCache ボリュームに対して補助 UNIX グループが最大で 32 個サポートされます nfs.max_num_aux_groups オプションの詳細については na_options(1) のマニュアルページを参照してください ロールの管理方法 Data ONTAP で事前定義されたロールを使用できるほか 新しくロールを作成できます また 既存ロールの変更することもできます 次のトピック事前定義されたロールサポートされる機能の種類ロールの新規作成とロールへの機能の割り当て既存のロールまたは機能の変更 事前定義されたロール Data ONTAP で事前定義されたロールには root admin power backup compliance audit none が含まれます 次の表に Data ONTAP で事前定義されたロールを示します ロール デフォルトの機能の割り当て デフォルトで付与されている機能の概要 root * 有効なすべての機能を付与 admin cli-*, api-*, login-*, security-* すべての CLI API ログイン セキュリティ機能を付与 power cli-cifs*, cli-exportfs*, cli-nfs*, cliuseradmin*, api-cifs-*, api-nfs-*, login-telnet, login-http-admin, loginrsh,login-ssh,api-system-api-* 以下を実行する機能を付与 すべての cifs exportfs nfs useradmin CLI コマンドの実行 すべての cifs と nfs の API の呼び出し Telnet HTTP RSH SSH セッションを使用したログイン backup login-ndmp NDMP 要求を行う機能を付与 compliance cli-cifs*, cli-exportfs*, cli-nfs*, cliuseradmin*, api-cifs-*, api-nfs-*, login-telnet, login-http-admin, loginpower ロールにより付与されすべての機能に加え コンプライアンス関連機能を付与

119 119 Data ONTAP Mode System Administration Guide rsh, login-ssh, api-systemapi-*, cli-snaplock*, api-snaplock-*, api-file-*, compliance-* メモ : compliance ロールは Compliance Administrators グループ用のデフォルトロールです compliance ロールを Compliance Administrators グループから削除したり他のグループには追加できません audit api-snmp-get, api-snmp-get-next snmp-get と snmp-get-next の API 呼び出しの実行機能を付与 none 無し 管理機能の付与なし 関連コンセプト 事前定義グループ サポートされる機能の種類 関連タスク グループの作成または変更によるグループへのロールの割り当て サポートされる機能の種類 Data ONTAP でサポートされる機能の種類は login cli security api compliance filerview です 次の表に サポートされる機能の種類を示します 機能の種類 説明 login 指定したロールに各種ログイン機能を付与します login-* と指定すると 指定のロールに対し サポートされるすべてのプロトコルを使用したログイン機能が付与されます login-protocol と指定すると 指定のロールに対し 指定のプロトコルを使用したログイン機能が付与されます login-console - 指定のロールに対し コンソールを使用したストレージシステムへのログイン機能を付与 login-http-admin - 指定のロールに対し HTTP を使用したストレージシステムへのログイン機能を付与 login-ndmp - 指定のロールに対し RSH を使用したストレージシステムへのログイン機能を付与 login-snmp - 指定のロールに対し SNMPv3 を使用したストレージシステムへのログイン機能を付与 login-sp - 指定のロールに対し SSH を使用した RLM へのログイン機能を付与 login-ssh - 指定のロールに対し SSH を使用したストレージシステムへのログイン機能を付与

120 管理者と診断用アクセスの管理方法 120 機能の種類 説明 login-telnet - 指定のロールに対し Telnet を使用したストレージシステムへのログイン機能を付与 Cli security 指定のロールに対し 1 つ以上の Data ONTAP CLI コマンドを実行する機能を与えます cli-* と指定すると 指定のロールに対し サポートされるすべての CLI コマンドを実行する機能が付与されます cli-cmd* と指定すると 指定のロールに対し CLI コマンド cmd に関連付けられたすべてのコマンドを実行する機能が付与されます たとえば 次のコマンドは指定のロールに対し すべての vol コマンドを実行する機能を与えます useradmin role modify status_gatherer -a cli-vol* メモ : cli 機能を持つユーザーが CLI コマンドを実行するには 1 つ以上の login 機能の必要です 指定のロールに対し 他のユーザーのパスワード変更 CLI priv set advanced コマンドの実行など セキュリティ関連の機能を与えます security-* と指定すると 指定のロールに対しすべてセキュリティ機能が付与されます security-capability と指定すると 指定のロールに対し 次の特定セキュリティ機能の いずれかが付与されます security-api-vfiler 指定ロールに ONTAP API を物理ストレージシステムから実行用の vfiler ユニットに転送またはトンネルする機能を付与します security-passwd-change-others 指定のロールに対し 自分と同じかそれ以下の機能を持つすべてのユーザーのパスワードを変更する機能が付与されます security-priv-advanced 指定のロール対し アドバンスレベルの CLI コマンドにアクセスする機能が付与されます security-load-lclgroups 指定のロール対し lclgroups.cfg ファイルをリロードする機能が付与されます security-complete-user-control 指定のロールに対し 自分以上の機能を持つユーザー グループ ロールを作成 修正 削除する機能が付与されます api 指定のロールに対し Data ONTAP API コールを実行する機能を与えます api-* を指定すると 指定のロールに対し すべての API 機能が付与されます api-api_call_family-* と指定すると 指定のロールに対し api_call_family 内のすべての API ルーティンを呼び出す機能が付与されます api-api_call を指定すると 指定のロールに対し API ルーティン api_call を呼出す機能が付与します メモ :api 機能を使用すると サブコマンド機能も付与できるため コマンドセットをよりきめ細かく制御できます api 機能を持つユーザーが API 呼び出しを実行するには login-http-admin も必要です compliance 指定のロールに対し コンプライアンス関連の処理を実行する機能を付与します

121 121 Data ONTAP Mode System Administration Guide 機能の種類 説明 compliance-* と指定すると ロールに対しコンプライアンス関連の全ての操作を実行する機能を付与します compliance-privileged-delete 指定ロールにコンプライアンスデータの優先的削除を実行する機能を付与します メモ : compliance 機能 (compliance-*) は compliance ロールのデフォルト機能に含まれています compliance 機能は compliance ロールから削除したり他のロールに追加することはできません filerview 指定ロールに FilerView への読み取り専用アクセスを付与します この機能の種類には filerview-readonly 機能のみ含まれます これが指定ロールに対し FilerView に管理するシステム上の管理対象オブジェクトを表示する機能が与えられますが 変更することはできません メモ : FilerView への読み取り専用アクセスについて事前定義されたロールまたはグループはありません まずロールに filerview-readonly 機能を割り当て さらにロールをグループに割当ててから グループでユーザーを作成する必要があります 関連コンセプト別のユーザーの機能の変更について事前定義されたロール事前定義グループ 関連タスク lclgroups.cfg ファイルからグループのロードロールの新規作成とロールへの機能の割り当てグループの作成または変更によるグループへのロールの割り当て ロールの新規作成とロールへの機能の割り当て新しいロールを作成して そのロールに必要な機能を付与することができます 手順 1. 次のコマンドを入力します useradmin role add role_name [-c comments] -a capability1[,capability2...] role_name は 作成するロールの名前です ロール名は大文字と小文字は区別されず 1~32 文字を使用できます comments は このロールの説明として使用できる短い文字列です capability パラメータは 新規作成したロールに付与する機能の種類です 例 API コマンドファミリの API 機能も付与できます 例えば myrole ロールには CIFS コマンドを実行

122 管理者と診断用アクセスの管理方法 122 する機能のみを付与する場合 次のコマンドを使用します useradmin role add myrole -a api-cifs-* 2. 処理が成功したかどうかを確認するには, 次のコマンドを入力します useradmin role list role_name 指定のロールに許可された機能が一覧表示されます 関連コンセプト 別のユーザーの機能の変更について ユーザー グループ およびロール命名要件 既存のロールまたは機能の変更既存のロールの機能またはコメントは 変更することができます このタスクについて useradmin role modify コマンドを使用して既存のロールを変更すると このグループにそれまで割り当てられていたすべてのロールは コマンドで指定されたロールに置き換えられます 手順 1. 次のコマンドを入力します useradmin role modify role_name [-c comments] -a capability1[,capability2...] [-f] role_name は 変更するロールの名前です comments は このロールの説明として使用できる短い文字列です capability パラメータは このロールに与える機能の種類を意味します -f オプションを指定すると 警告なしで強制的に変更が行われます 例次のコマンドラインでは class2loginrights というロールに Telnet 機能 コンソールログイン機能 およびすべての CLI 機能を付与し それまでこのロールに許可されていた他のすべての機能を削除します useradmin role modify class2loginrights -c This role is for telnet and console logins -a login-telnet,login-console,cli-* 2. 処理が成功したかどうかを確認するには, 次のコマンドを入力します useradmin role list role_name 指定のロールに許可された機能が一覧表示されます

123 123 Data ONTAP Mode System Administration Guide ユーザー グループ およびロール 既存のユーザー グループ またはロールの情報を表示できます また それらを削除することもできます 次のトピック ユーザー ドメインユーザー グループ またはロールを一覧表示するコマンド ユーザー ドメインユーザー グループ またはロールを削除するコマンド ユーザー ドメインユーザー グループ またはロールを一覧表示するコマンド ユーザー ドメインユーザー グループ または ロールについての情報を表示するには useradmin コマ ンドを使用します 次の表で コマンドについて説明します コマンド 説明 useradmin whoami useradmin user list useradmin user list user_name useradmin user list -x useradmin user list -g grp_name 現在使用しているアカウントのユーザー名を表示します このストレージシステムに対して設定されたすべての管理ユーザーを一覧表示します 各ユーザーエントリには ユーザー名 コメント情報 DataONTAP によって生成されたユーザー ID 番号 および各ユーザーが所属するグループが表示されます 特定の管理者についての詳細情報を表示します この詳細情報には ユーザー名 コメント情報 ユーザーが所属するグループ Windows ベース の名前 ( このユーザーが持っている場合 ) Data ONTAP によって生成されたユーザー ID 番号 許可されている有効な機能 およびユーザーアカウントのステータスが表示されます すべての管理者についての詳細情報を表示します この詳細情報には ユーザー名 コメント情報 ユーザーが所属するグループ Windows ベースの名前 ( このユーザーが持っている場合 ) Data ONTAP によって生成されたユーザー ID 番号 許可されている有効な機能 およびユーザーアカウントのステータスが表示されます 特定グループに割当てられたすべてのユーザーの情報を表示します useradmin domainuser list -g group_name 特定のグループに割り当てられたすべての Windows ドメイン管理ユーザーの SID を表示します ユーザー名 コメント情報 および各ユーザーが所属するグループもあわせて表示するには このコマンドに続けて cifs lookup および useradminuser list コマンドを実行します メモ : Administrator ユーザーの 500 という Rid 値は Administrator ユーザー SID の最後の番号に相当します useradmin group list このストレージシステムに対して設定されたすべての管理ユーザーグループを一覧表示します 各グループエントリには グループ名 コメント情報 Data ONTAP によって生成されたユーザー ID 番号 およびこのグループに関連付けられたすべてのロールが表示されます

124 管理者と診断用アクセスの管理方法 124 コマンド useradmin group list group_name useradmin role list useradmin role list role_name 説明 特定の 1 つのグループについての詳細情報を表示します 1 つのグループについての詳細エントリには グループ名 コメント情報 このグループに割り当てられたロール および許可された機能が表示されます このストレージシステムに対して設定されたすべてのロールを一覧表示します 各ロールエントリには ロール名 コメント情報 および許可された機能が表示されます 特定の 1 つのロール名についての情報を表示します useradmin whoami の出力例 toaster> useradmin whoami Administrator useradmin user list の出力例 toaster> useradmin user list Name: root Info: Default system administrator. Rid: 0 Groups: Name: administrator Info: Built-in account for administering the filer Rid: 500 Groups: Administrators Name: fred Info: This is a comment for fred. Rid: Groups: Users... useradmin user list user_name の出力例 toaster> useradmin user list fred Name: fred Info: This is a comment for fred Rid: Groups: Users Full Name: Allowed capabilities: login-http-admin,api-snmp-get,api-snmp-get-next Password min/max age in days: 0/ Status: enabled useradmin user list user_name の出力例

125 125 Data ONTAP Mode System Administration Guide toaster> useradmin user list fred Name: fred Info: This is a comment for fred Rid: Groups: Users Full Name: Allowed capabilities: login-http-admin,api-snmp-get,api-snmp-get-next Password min/max age in days: 0/ Status: enabled useradmin user list -x の出力例 toaster> useradmin user list -x Name: administrator Info: Built-in account for administering the filer Rid: 500 Groups: Administrators Full Name: Allowed capabilities: login-*,cli-*,api-*,security-* Password min/max age in days: 0/ Status: enabled Name: fred Info: This is a comment for fred Rid: Groups: Users Full Name: Allowed capabilities: login-http-admin,api-snmp-get,api-snmp-get-next Password min/max age in days: 0/ Status: enabled... useradmin user list -g grp_name の出力例 toaster> useradmin user list -g Administrators Name: Administrator Info: Built-in account for administering the filer Rid: 500 Groups: Administrators Name: marshall Info: Rid: Groups: Administrators... useradmin domainuser list -g group_name の出力例 toaster> useradmin domainuser list -g administrators List of SIDS in administrators S S

126 管理者と診断用アクセスの管理方法 126 For more information about a user, use the 'cifs lookup' and 'useradmin user list' commands. toaster> cifs lookup S name = MBS-LAB\Domain Admins toaster> cifs lookup S name = ZND\Administrator toaster> useradmin user list Administrator Name: Administrator Info: Built-in account for administering the filer Rid: 500 Groups: Administrators Full Name: Allowed capabilities: login-*,cli-*,api-*,security-* useradmin group list の出力例 toaster> useradmin group list Name: Administrators Info: Members can fully administer the filer Rid: 544 Roles: admin Name: Backup Operators Info: Members can bypass file security to backup files Rid: 551 Roles: none... useradmin group list group_name の出力例 toaster> useradmin group list Administrators Name: Administrators Info: Members can fully administer the filer. Rid: 544 Roles: admin Allowed capabilities: login-*,cli-*,api-*,security-* useradmin role list の出力例 toaster> useradmin role list Name: admin Info: Allowed capabilities: login-*,cli-*,api-*,security-* Name: audit Info: Allowed capabilities: login-http-admin,api-snmp-get,api-snmp-get-next Name: none Info: Allowed capabilities:...

127 127 Data ONTAP Mode System Administration Guide useradmin role list role_name の出力例 toaster> useradmin role list admin Name: admin Info: Default role for administrator privileges. Allowed capabilities: login-*,cli-*,api-*,security-* ユーザー ドメインユーザー グループ またはロールを削除するコマンドユーザー ドメインユーザー グループ または ロールを削除するには useradmin コマンドを使用します 次の表で コマンドについて説明します コマンド 説明 useradmin user delete user_name ストレージシステムから指定ユーザーを削除します useradmin user delete コマンドは root 以外のすべてのローカルユーザーを削除します ユーザー名は大文字小文字を区別されません メモ : 自分より多くの機能を持つユーザーは削除または変更できません useradmin domainuser delete win_user_name -g group1,[group2,...] 指定グループ (1 つ以上 ) から指定ユーザーを削除します ユーザー名の大文字と小文字は区別されません この このコマンドでは ユーザーはドメインからは削除されません メモ : ユーザーをストレージシステムから完全に削除するには useradmin user delete コマンドを使用します useradmin group delete group_name ストレージシステムから指定グループを削除します グループ名の大文字と小文字は区別されません メモ : グループを削除する前に このグループのユーザーをすべて削除しておく必要があります useradmin role delete role_name ストレージシステムから指定のロールを削除します ロール名の大文字と小文字は区別されません メモ : 現在いずれかのグループに割り当てられているロールは削除できません 管理ユーザーの作成例 カスタム権限を持つユーザーや管理機能を持たないユーザーを作成することにより ユーザーの管理アク セスを制御することができます

128 管理者と診断用アクセスの管理方法 128 次のトピック カスタム機能を持つユーザーの作成例 管理機能を持たないユーザーの作成例 カスタム機能を持つユーザーの作成例 限定かつ特化した管理者機能のセットを持つユーザーを作成できます コマンドの処理内容は 次のとおりです 以下のロールの作成 : only_ssh は ssh だけによるログインが許可されます qtree_commands は CLI ですべての qtree コマンドを実行できます 以下のグループの生成 : ssh_qtree_admins グループは 前のステップで作成した 2 つのロールによって ssh だけに よるログイン および CLI での qtree コマンドの実行が許可されます wilma というユーザーを作成し ssh_qtree_admins グループに割当てます ssh_qtree_admins グループに所属することで wilma ユーザーはこのグループに割り当てられ たロールの機能を継承します 新しいユーザー wilma の詳細情報と継承した機能を表示します toaster> useradmin role add only_ssh -a login-ssh Role <only_ssh> added. Thu Apr 22 10:50:05 PDT [toaster: useradmin.added.deleted:info]: The role 'only_ssh' has been added. toaster> useradmin role add qtree_commands -a cli-qtree*,api-qtree-* Role <qtree_commands> added. Thu Apr 22 10:51:51 PDT [toaster: useradmin.added.deleted:info]: The role 'qtree_commands' has been added. toaster> useradmin group add ssh_qtree_admins -r only_ssh,qtree_commands Group <rsh_qtree_admins> added. Thu Apr 22 10:53:07 PDT [toaster: useradmin.added.deleted:info]: The group 'ssh_qtree_admins' has been added. toaster> useradmin user add wilma -g ssh_qtree_admins New password: Retype new password: User <wilma> added. Thu Apr 22 10:54:43 PDT [toaster: useradmin.added.deleted:info]: The user 'wilma' has been added. toaster> useradmin user list wilma Name: wilma Info: Rid: Groups: ssh_qtree_admins Full Name: Allowed capabilities: login-ssh,cli-qtree*,api-qtree-*

129 129 Data ONTAP Mode System Administration Guide 管理機能を持たないユーザーの作成例 CIFS 環境では トレージシステム上のローカルグループには所属しても ストレージシステムでのコンソールアクセス権や管理機能を持たないユーザーを作成できます このようなユーザーの場合も ローカルグループから許可されたファイルアクセス権は持ちます 手順 1. 次のコマンドを入力します useradmin user add user_name -g "Guests" user_name は 新規ユーザーの名前です 2. プロンプトの指示に従い ユーザーのパスワードを入力します 3. 機能を持たないユーザーを作成したことを確認するため 次のコマンドを入力します useradmin user list user_name Allowed capabilities の欄は空白になっています セキュリティのためのパスワード管理の方法 Data ONTAP では お使いのストレージシステムのパスワードポリシーが会社のセキュリティ要件を確実に満たすための複数の方法を提供します 以下にこれらの方法を示します パスワードルール security.passwd.rules オプションを使用すると 有効なパスワードルールを指定できます security.passwd.rules.enable が on ( デフォルト ) に設定されている場合 すべてのアカウントのデフォルトのパスワードルールは次のとおりです パスワードは 8 文字以上である必要があります パスワードには 1 つ以上の数字が含まれている必要があります パスワードには 2 つ以上の英文字が含まれている必要があります メモ : Data ONTAP 8.0 以降がインストールされたストレージシステムの最初のセットアップ時に 次のパスワードルールに従って root アカウントのパスワードをセットアップするように求められます 次回の setup コマンドの実行時には root アカウントのパスワードをセットアップするように求められることはありません ストレージシステムのセットアップの詳細については Data ONTAP 7-Mode Software Setup Guide を参照してください security.passwd.rules オプションを使用することで パスワードルールを変更できます パスワードルールオプションの詳細については na_options(1) のマニュアルページを参照してください パスワードのヒストリ

130 管理者と診断用アクセスの管理方法 130 パスワードヒストリ機能は 毎回同じパスワードを使用するのではなく ユーザーに新しいパスワード ( 以前使用した指定された数のパスワードとは異なるもの ) を作成するよう要求できるようにします security.passwd.rules.history オプションを使用して パスワードを再使用できるようになるまでにユーザーが作成する必要のあるパスワードの数を指定します 出荷時に Data ONTAP 8.0 以降がインストールされたストレージシステムでは デフォルトの値は 6 です この場合 ユーザーが作成するパスワードは ユーザーが最近使用した 6 つのパスワードとは異なるものでなければなりません 以前のリリースから Data ONTAP 8.0 以降にアップグレードされたストレージシステムでは security.passwd.rules.history オプションの設定はアップグレード前の状態が維持されます 詳細については na_options(1) のマニュアルページを参照してください パスワードの有効期限 ( 最大日数 ) パスワードの有効期限機能は 指定された日数が経過する前にパスワードを変更するようにユーザーに求めることができます useradmin user add または useradmin user modify コマンドの-M オプションを使用して 個別のユーザーについてパスワードの最長期間を指定できます デフォルト値は 4,294,967,295 です 詳細については na_useradmin(1) のマニュアルページを参照してください メモ : パスワードの有効期限機能を使用する前に ストレージシステムの日時が正しく設定されていることを確認してください 日時を正しく設定する前にパスワード有効期限を使用すると アカウントの有効期間が目的の有効期限日の前やあとに切れる可能性があります パスワードの最小日数パスワード最小日数 ( 各パスワードが有効な 指定された最小期間 ) は ユーザーのパスワードの変更が早くなりすぎないように ( 以前使用されたパスワードを早く使いまわしてしまわないように ) します useradmin user add または useradmin user modify コマンドの-m オプションを使用して 個別のユーザーについてパスワードの最短期間を指定できます デフォルト値は 0 です デフォルトでは最小パスワード日数は適用されません 詳細については na_useradmin(1) のマニュアルページを参照してください メモ : パスワードの最小日数機能を使用する前に ストレージシステムの日時が正しく設定されていることを確認してください パスワード最小日数の設定後にシステムの時間を変更すると 不測の結果を招く可能性があります パスワードロックアウトパスワードロックアウト機能は 指定された回数のログイン試行が失敗すると ユーザー (root アカウントを除く ) をロックアウトできるようにします これにより 不正ユーザーによるパスワードの推測を防止できます security.passwd.lockout.numtries オプションを使用すると システムからロックアウトされるまでにユーザーが試行できる回数を指定できます デフォルト値は 4,294,967,295 です 詳細については na_options(1) のマニュアルページを参照してください パスワードリセット要求

131 131 Data ONTAP Mode System Administration Guide パスワードリセット要求を使用すると すべての新規ユーザー (root を除く ) に対し 初回ログイン時にパスワードをリセットするように設定できます 管理者がパスワードを変更したあとに 初めてログインするときにもパスワードをリセットしなければなりません この要件を有効にするには security.passwd.firstlogin.enable オプションを on に設定します デフォルト値は off です 詳細については na_options(1) のマニュアルページを参照してください 次のトピックストレージシステムパスワードの変更ローカルユーザーアカウントのパスワードの変更パスワードルールの管理オプション ストレージシステムパスワードの変更ストレージシステムのパスワードは変更することができます このパスワードは ルートユーザーカウントのパスワードでもあります このタスクについてリモートマネージメントデバイスにログインできる naroot ユーザーアカウントはストレージシステム root パスワードを使用します ストレージシステムパスワードを変更すると naroot のパスワードも変わります 手順 1. 次のいずれかを実行します ストレージシステムの管理に使用している接続方法 操作 Telnet セッションまたはコンソール 1. ストレージシステムプロンプトで次のコマンドを入力します passwd 2. ストレージシステムのアカウント名を入力します root 3. 既存のストレージシステムのパスワードを入力します (root としてログインした場合 または security-passwd-change-others 機能を持っている場合は必要ありません 4. 新しいパスワードを入力し 確認のためにもう一度入力します リモートシェル接続 UNIX ホストで 次のコマンドを入力します rsh system_name -l root:root_password passwd old_password new_password root セキュアシェル接続 UNIX ホストから次のコマンドを入力します ssh -l root system_name passwd old_password new_password root

132 管理者と診断用アクセスの管理方法 132 関連コンセプト デフォルトのセキュリティ設定 ローカルユーザーアカウントのパスワードの変更 Telnet セッション コンソール セキュアシェル接続 またはリモートシェル接続を使用して ローカルユーザーアカウントのパスワードを変更できます 手順 1. 次のいずれかを実行します ストレージシステムの管理に使用している接続方法 操作 Telnet セッションまたはコンソール a. 次のコマント を入力します passwd b. Data ONTAP でメッセージが表示されたら パスワードを変更するローカルユーザーの名前を入力します c. Data ONTAP でメッセージが表示されたら パスワードを変更するローカルユーザーの名前を入力します d. 確認のため もう一度新しいパスワードを入力します リモートシェル接続 セキュアシェル接続 次のコマンドを入力します rsh system_name -l username:password passwd old_password new_password username 次のコマンドを入力します ssh -l username system_name passwd old_password new_password username 関連コンセプト デフォルトのセキュリティ設定 パスワードルールの管理オプション Data ONTAP は パスワードルールを制御するためのオプションを提供しています options コマンドにより パスワードの複雑さのチェック方法 パスワードの最大文字数や最小文字数など パスワードに適用する要件を指定することができます 次の表に パスワードルールの管理に使用できるオプションを示します パスワードルールオプション オプションの機能 (options コマンドで使用 )

133 133 Data ONTAP Mode System Administration Guide パスワードルールオプション (options コマンドで使用 ) オプションの機能 security.passwd.firstlogin.enable{on off} 新規ユーザー および他のユーザーによるパスワード変更後に初めてログインしているユーザーにパスワードの変更を強制するかどうかを指定します このオプションのデフォルト値は off です メモ : このオプションを有効にする場合は すべてのグループに login-telnet と cli-passwd* の機能が必要です この機能がないグループのユーザーはストレージシステムにログインできません security.passwd.lockout.numtries num 非 root ユーザーのアカウントが無効になる前の最大ログイン試行回数を指定します このオプションのデフォルト値は 4,294,967,295 です security.passwd.rules.enable {on off} 新規のパスワードを指定した場合に パスワードの複雑さを実行するかどうかを指定します このオプションが on に設定すると この表に示すルールにパスワードが準拠しているかどうかがチェックされ 準拠していないパスワードは拒否されます このオプションのデフォルト値は on です security.passwd.rules.everyone が off に設定されている場合 このオプションは root ユーザーまたは Administrator (NT 管理者アカウント ) には適用されません security.passwd.rules.everyone {on off} security.passwd.rules.history num root と Administrator ユーザーを含め すべてのユーザーに対してパスワードの複雑さのチェックを実行するかどうかを指定します このオプションが off に設定されている場合 root ユーザーまたは Administrator ユーザーに対してチェックは行われません security.passwd.rules.enable オプションも off に設定されていないかぎり その他すべてのユーザーに対してチェックが行われます 出荷時に Data ONTAP 8.0 以降がインストールされたストレージシステムの場合 このオプションのデフォルト値は on です Data ONTAP 8.0 より前のリリースからアップグレードされたストレージシステムの場合 このオプションの設定はアップグレード前の設定のままです 再利用を防ぐため 新しいパスワードと比較される 以前のパスワードの数を指定します 出荷時に Data ONTAP 8.0 以降がインストールされたストレージシステムの場合 このオプションのデフォルト値は 6 です この場合 前の 6 つのパスワードはいずれも再利用できません

134 管理者と診断用アクセスの管理方法 134 パスワードルールオプション (options コマンドで使用 ) オプションの機能 Data ONTAP 8.0 より前のリリースからアップグレードされたストレージシステムの場合 このオプションの設定はアップグレード前の設定のままです security.passwd.rules.enable オプションが off に設定されている場合 このオプションは無視されます security.passwd.rules.maximum max_num パスワードの最大文字数を指定します このオプションのデフォルト値は 256 です メモ : このオプションは 17 以上の値に設定することも可能ですが パスワードの照合に使用される最大文字数は 16 です 15 文字以上のパスワードを使用するユーザーは Windows インターフェイスを通じてログインできません したがって Windows を使用している場合は このオプションを 14 以下に設定してください security.passwd.rules.enable オプションが off に設定されている場合 このオプションは無視されます security.passwd.rules.minimum min_num パスワードに必要な最小文字数を指定します このオプションのデフォルト値は 8 です security.passwd.rules.enable オプションが off に設定される場合 このオプションは無視されます security.passwd.rules.minimum.alphabetic min_num パスワードに必要な英字の最小数を指定します このオプションのデフォルト値は 2 です security.passwd.rules.enable オプションが off に設定されている場合 このオプションは無視されます security.passwd.rules.minimum.digit min_num パスワードに必要な数字の最小数を指定します これには 0~9 の値を指定します このオプションのデフォルト値は 1 です security.passwd.rules.enable オプションが off に設定されている場合 このオプションは無視されます security.passwd.rules.minimum.symbol min_num パスワードに必要な記号 ( スペース 句読記号 ) の最小数を指定します このオプションのデフォルト値は 0 です security.passwd.rules.enable オプションが off に設定されている場合 このオプションは無視されます

135 135 Data ONTAP Mode System Administration Guide 診断アカウントと systemshell ストレージシステムには diag という名前の診断用アカウントが用意されています 診断用アカウントを有効にすることによって systemshell からトラブルシューティングタスクを実行できます 診断用アカウントおよび systemshell は 深層部の診断を目的としたものです テクニカルサポートの指示の下でのみ使用してください 診断用アカウントは アドバンスモードのコマンド systemshell で systemshell へのアクセスに使用できる唯一のアカウントです デフォルトでは 診断用アカウントは無効になっています このアカウントを使用するには アカウントを有効にしてパスワードを設定する必要があります 診断用アカウントと systemshell は 一般的な管理を目的としていません 次のトピック診断アカウントの有効化と無効化診断用アカウントに対するパスワードの設定 systemshell へのアクセス 診断アカウントの有効化と無効化テクニカルサポートの指示の下で 診断用アカウントを有効化し systemshell にアクセスして 深層部の診断およびトラブルシューティングタスクを実行できます また いつでも診断用アカウントを無効化して systemshell へのアクセスを拒否することもできます 手順 1. ストレージシステムプロンプトで次のコマンドを入力して 特権レベルを advanced に設定します priv set advanced 2. 次のいずれかを実行します 目的 操作 診断アカウントの情報およびステータスの表示診断用アカウントの有効化診断用アカウントの無効化 useradmin diaguser show デフォルトでは 診断アカウントは無効になっています メモ : 診断アカウントのユーザー名 diag, は useradmin user list コマンドの一部としては表示されません アカウント情報を表示するには useradmin diaguser show を使用する必要があります useradmin diaguser unlock useradmin diaguser lock useradmin diaguser コマンドの出力例 次の例は useradmin diaguser コマンドを使用して診断用アカウントを表示および有効化する方法を示しています nodename*>useradmin diaguser show

136 管理者と診断用アクセスの管理方法 136 Name: diag Info: Account for access to systemshell Locked: yes nodename*>useradmin diaguser unlock nodename*>useradmin diaguser show Name: diag Info Account for access to systemshell Locked: no 診断用アカウントに対するパスワードの設定 診断アカウントの有効にした後 そのアカウントを使用して systemshell にアクセスする際は あらかじめ そのアカウントのパスワードを設定しておく必要があります 手順 1. ストレージシステムプロンプトで次のコマンドを入力して 特権レベルを advanced に設定します priv set advanced 2. ストレージシステムプロンプトで次のコマンドを入力して 診断用アカウントのパスワードを設定します useradmin diaguser password 診断アカウントに次のパスワードルールが適用されます パスワードはユーザー名を含めることはできません パスワードは 8 文字以上である必要があります パスワードには 1 文字以上のアルファベットと 1 文字以上の数字が含まれている必要があります 直近の 6 個のパスワードと同じパスワードは使用できません useradmin diaguser password コマンドの出力例 次の例は useradmin diaguser password コマンドを使用して 診断用アカウントのパスワードを 設定する方法を示しています nodename*>useradmin diaguser password Please enter a new password: Please enter it again: systemshell へのアクセス systemshell は 深層部の診断を目的としたものです

137 137 Data ONTAP Mode System Administration Guide 開始する前に systemshell にアクセスできるのは diag という名前の診断用アカウントユーザーのみです systemshell にアクセスする前に (useradmin diaguser unlock を使用して ) 診断用アカウントが有効に なっており (useradmin diaguser password を使用して ) パスワードが設定されていることを確認してく ださい このタスクについて systemshell は 一般的な管理を目的としていません テクニカルサポートの指示の下でのみ使用してくだ さい systemshell は使い方を誤ると システム障害およびデータの損失や破損が発生する可能性があり ます 手順 1. 必要に応じて ストレージシステムのプロンプトで次のコマンドを入力して 特権レベルを advanced に変更します priv set advanced 2. 次のコマンドを入力して systemshell に入ります systemshell このコマンドは引数を取りません このコマンドにより 診断用アカウントのログインが実行されます メモ : 診断アカウントが無効になっている場合 または パスワードが設定されていない場合 systemshell へのログインは失敗します 3. systemshell を終了して ストレージシステムプロンプトに戻るには 次のコマンドを入力してください exit systemshell コマンドの出力例 次に 診断用アカウントが有効になっており パスワードが設定されている場合の systemshell コマ ンドの画面出力の例を示します nodename*>systemshell Data ONTAP/i386 (nodename) (ttyp0) login: diag Password: Last login: Thu Mar 26 19:35:55 from localhost WARNING: The systemshell provides access to low-level diagnostic tools that can cause irreparable damage to the system if not used properly. Use this environment only when directed to do so by support personnel. %whoami Diag %exit Logout

138 管理者と診断用アクセスの管理方法 138 nodename*> 次の例は診断アカウントが無効化されているときの systemshell コマンドの画面出力を示しています nodename*>useradmin diaguser lock nodename*>useradmin diaguser show Name: diag Info: Account for access to systemshell Locked: yes nodename*>systemshell Data ONTAP/i386 (nodename) (ttyp0) login: diag Password: Login incorrect login: diag Password: Login incorrect (CTRL-C) nodename*> 関連タスク診断アカウントの有効化と無効化診断用アカウントに対するパスワードの設定

139 139 Data ONTAP Mode System Administration Guide システム全般のメンテナンス ストレージシステムの管理を実施する上で必要となる一般的な保守作業には アグリゲートSnapshotコピーの管理 ライセンスの管理 システムの日付と時間の設定 システム時間の同期化 コアファイルの管理 メッセージロギングの設定 監査ロギングの設定 ストレージシステムのスタートアップの設定 ストレージシステム構成のバックアップとクローニング UPSの管理などがあります 次のトピック特殊なシステムファイルアグリゲート Snapshot コピーの管理ライセンスの管理方法システムの日付と時間の設定システム時間の同期システムのタイムゾーンの表示および設定コアファイルメッセージロギング監査ログギングストレージシステムのスタートアップ構成ストレージシステム構成のバックアップとクローニングストレージシステム上のファイルの書き込みと読み取りについて UPS の管理 特殊なシステムファイル Data ONTAP 8.0 より前のリリースからアップグレードされたストレージシステムでは システムのす べてのボリュームに いくつかのシステムファイルが存在します テクニカルサポートから指示されな いかぎり これらのファイルは削除または変更しないでください これらのファイルを使用すると Data ONTAP 8.0 より前のリリースにリバートする場合に Snapshot コピー内の LUN をリストアできます 次のシステムファイルは ルートボリュームを含むすべてのボリュームのルートレベルに存在しま す.vtoc_internal.bplusvtoc_internal アグリゲート Snapshot コピーの管理アグリゲート Snapshot コピーは ある瞬間の読み取り戦勝のアグリゲートのイメージです ボリュームの Snapshot コピーに似ていますが 特定のボリュームではなく アグリゲート全体の内容をキャプチャします アグリゲート Snapshot コピーは アグリゲート全体の内容を記録する必要がある場合に使用します ただし アグリゲート Snapshot コピーから直接 データをリストアすることはできません データのリストアには ボリューム Snapshot コピーを使用します

140 システム全般のメンテナンス 140 アグリゲート Snapshot コピーは次の場合に使用します MetroCluster または RAID SyncMirror を使用していて ミラーを削除する必要のある場合は あとでミラーの再同期化にかかる時間が短縮されるように ミラーを削除する前にアグリゲート Snapshot コピーが自動的に作成されます ストレージシステムに全体的な変更を行う場合 変更前にアグリゲート Snapshot コピーを作成しておけば その変更によって望ましくない結果が生じた場合にシステム全体の状態をリストアすることができます アグリゲートファイルシステムに不整合が生じた場合でも アグリゲート Snapshot コピーを使用してファイルシステムを整合性のある状態にリストアすることが可能です 本作業の実施に際しては 事前に保守契約先の窓口にご相談ください Snapshot コピーについて詳細については Data ONTAP 7 Mode Data Protection Online Backup and Recovery Guide を参照してください 次のトピックアグリゲート Snapshot コピーの作成方法アグリゲート Snapshot リザーブアグリゲート Snapshot コピーの自動削除アグリゲート Snapshot コピーの自動作成を無効にする手順 アグリゲート Snapshot コピーの作成方法通常 アグリゲート Snapshot コピーを手動で作成する必要はありません スケジュールが自動的に設定されて 新しいアグリゲート Snapshot コピーを定期的に生成されます ほとんどの場合 アグリゲート Snapshot コピーのスケジュールを変更する必要はありません アグリゲート Snapshot コピーを手動で作成する必要がある場合 ボリューム Snapshot コピー用の同じコマンドに-A フラッグを追加して実行します Snapshot コピー作成の詳細については Data ONTAP 7Mode Data protection online backup and recovery Guide または na_snap(1) のマニュアルページを参照してください アグリゲート Snapshot リザーブボリューム内にボリューム Snapshot コピー用のスペース ( ボリューム Snapshot のリザーブ ) が確保されるように アグリゲート内にはアグリゲート Snapshot コピー用のスペースが確保されます このスペースをアグリゲート Snapshot リザーブといいます 通常はデフォルトの 5% のアグリゲート Snapshot のリザーブで十分です 状況によっては アグリゲート Snapshot のリザーブを増やした方がよい場合もあります アグリゲート Snapshot リザーブのデフォルトサイズは アグリゲートサイズの 5% です たとえば アグリゲートサイズが 500 GB なら アグリゲート Snapshot コピー用として 25 GB が確保されます メモ : ボリューム Snapshot コピーとは異なり アグリゲート Snapshot コピーは アグリゲート Snapshot コピー自動削除が有効化されている場合 その Snapshot リザーブ以外のスペースを使

141 141 Data ONTAP Mode System Administration Guide 用することはできません アグリゲート Snapshot コピーの自動削除が無効化されている場合 アグリゲート Snapshot コピーは その Snapshot リザーブ以外のスペースも使用できます 次の場合 アグリゲート Snapshot の増加を検討する必要があります アグリゲート Snapshot コピーの作成と削除が頻繁に行われているために システムのパフォーマンスに影響が生じている場合 書き込み頻度が非常に高いアグリゲートで ミラーの再同期を実行する必要がある この場合 アグリゲート Snapshot リザーブのデフォルト容量ですべての再同期 Snapshot コピーを保持できないために 再同期を完了できない可能性があります アグリゲートSnapshotコピーを含めてアグリゲート用にリザーブされたスペースがシステムでどのように利用されているのかについては aggr show_spaceコマンドを使用してください 詳細については na_aggr(1) のマニュアルページを参照してください メモ : アグリゲートSnapshotコピーの自動作成を有効にしている場合は アグリゲートSnapshotリザーブを 5% のデフォルト値未満に縮小することは推奨できません アグリゲートSnapshotリザーブに使用されているスペースを回復する必要がある場合は アグリゲートSnapshotコピーの自動作成を無効にします 関連するタスクアグリゲート Snapshotコピーの自動作成を無効にする手順 アグリゲート Snapshot コピーの自動削除 アグリゲート内のデータブロックの変更が増えるにつれて アグリゲート Snapshot リザーブは徐々にフルになります 通常 アグリゲート Snapshot コピーは長期間保管する必要はないので ( 多くの場合 必要なのは最新のアグリゲート Snapshot コピーのみ ) アグリゲート Snapshot リザーブ内のスペースを回復するために Data ONTAP は最も古いアグリゲート Snapshot コピーを自動的に削除します アグリゲート Snapshot コピーが自動的に削除されると 次のようなメッセージが記録されます Sun May 23 15:10:16 EST [wafl.snap.autodelete:info]: Deleting snapshot nightly.0 in aggregate aggr1 to recover storage ほとんどの場合 アグリゲート Snapshot コピーの自動削除は有効にしておきます あるアグリゲートに対してこのオプションをオフにした場合 ボリュームのスペースギャランティを満たすためには そのアグリゲート内のすべてのボリュームに そのサイズの最大 2 倍のスペースが必要となります ただし 状況によっては アグリゲート Snapshot コピーの自動削除を一時的に無効にしなければならない場合もあります たとえば RAID SyncMirror アグリゲートのプレックスのいずれかをしばらくの間 オフラインにする必要がある場合は SyncMirror ベースの Snapshot コピーが自動的には削除されないようにしておいてください アグリゲート Snapshot コピーの自動削除を無効にするには aggr options コマンドを使用します たとえば アグリゲート myaggr に対してアグリゲート Snapshot コピーの自動削除を無効にするには

142 システム全般のメンテナンス 142 次のコマンドを使用します aggr options myaggr snapshot_autodelete off メモ : : アグリゲート Snapshot コピーの自動削除を無効にするときに 新しいスペース要件を満たすことができる空きスペースがアグリゲート内にない場合 1 つ以上のボリュームについてスペースギャランティが無効になります したがって なるべく早くアグリゲート Snapshot コピーの自動削除を有効に戻すようにしてください アグリゲート Snapshot コピーの自動作成を無効にする手順ボリューム Snapshot コピーの場合と同じ nosnap オプションを使用すれば 特定のアグリゲートに対して アグリゲート Snapshot コピーの自動作成を無効にできます アグリゲート Snapshot コピーの自動作成を無効にすると アグリゲート Snapshot リザーブに使用されているスペースが回復されます しかし 下位のファイルシステムの修復が必要になった場合に備えて アグリゲート Snapshot コピーの自動作成を有効にしておくことを推奨します このタスクについて MetroCluster 構成を使用している場合 または RAID SyncMirror を使用している場合 アグリゲート Snapshot コピーの作成が予定されていないことを確認してください Snapshot の作成が予定されていると アグリゲート Snapshot コピー用のスペースが不足する可能性を軽減するために アグリゲート Snapshot コピーの作成予定を取り消すように エラーメッセージが表示されます 手順 1. 次のコマンドを入力して アグリゲート Snapshot コピーの自動作成を無効にします aggr options aggr_name nosnap on aggr_name は Snapshot コピーの自動作成を無効にするアグリゲートの名前です 2. 次のコマンドを入力して アグリゲート内の全てのSnapshot コピーを削除します snap delete -A -a aggr_name 3. 次のコマンドを入力して アグリゲート Snapshotリザーブを 0% に設定します snap reserve -A aggr_name 0 ライセンスの管理方法ライセンスコードは ABCDEFG といった文字列で 各サービスに固有のものです 購入したすべてのプロトコル及びオプション ( サービス ) に対してライセンスコードが提供されます ライセンスは追加したり 無効にしたりできます またストレージシステムのライセンス情報を表示することもできます 購入した全ライセンスコードの全てが 工場から出荷されるまで ストレージ`システムにインストールされるわけではなく システムのセットアップ後にインストールする必要のあるものがあります ライセンスコードは追加のサービスを利用できるようにするために 随時購入できます ライセンスコードの保存先を忘れた場合 テクニカルサポートからコピーを入手できます 次のタスクを実行してライセンスを管理します ライセンスの追加

143 143 Data ONTAP Mode System Administration Guide すべてのサービス ( インストールされているライセンスを含む ) の表示 ライセンスの削除 次のトピックライセンスの追加現在のライセンスコードの表示ライセンスの無効化 ライセンスの追加 サービスがライセンスを要求する場合 サービス使用前にストレージシステムにライセンスコードを追 加する必要があります 手順 1. 次のコマンドを入力します license add <code1> <code2>... code は 販売員やテクニカルサポートから提供されたライセンスコードです 現在のライセンスコードの表示ストレージシステム用に有効化されている 全サービス用のライセンス情報を表示できます 手順 1. パラメータを指定せずに 次のコマンドを入力してください license Data ONTAP は 有効なライセンスとそのコードの一覧が表示されます ライセンスの無効化ライセンスされたサービスを無効にして ストレージシステムで利用できないようにすることができます このタスクについてディスクの完全消去機能のライセンスは 一度有効にすると その後無効にすることはできません 手順 1. 次のコマンドを入力します License delete service service は 有効なサービスのいずれか 1 つです

144 システム全般のメンテナンス 144 システムの日付と時間の設定ストレージシステムが要求を適切に処理するためには システムの日付と時間を正しく維持することが重要です このタスクについて SnapMirror の実行中に date 又は rdate コマンドを使用してストレージシステムの日付を戻すと Snapshot コピーの順序が乱れる可能性があります この場合 SnapMirror は 古い日付の Snapshot コピーが新しい日付のものよりも前に生成されたとみなし 増分の転送を実行する前に 新規の完全な転送を行うよう要求します この問題は次の方法によって回避できます ストレージシステムが変更を完了するまで SnapMirror をオフにします 次にスケジュールされている SnapMirror の転送が実行される前に日付を変更します 手順 1. コンソール又は Telnet セッションを通して ストレージシステムのコマンドラインにアクセスします 2. 次のコマンドを入力します 通知文字列には現在の日付と時間を入力します date [-u] [[[CC]yy]mmddhhmm[.ss]] -u を指定すると 日付と時間はローカル時間ではなくグリニッジ標準時に設定します CC は 現在の年の最初の 2 桁です yy は 現在の年の最後の 2 桁です mm は現在の月です 月を省略した場合 デフォルトは現在の月になります dd は現在の日です 日を省略した場合 デフォルトは現在の日付になります hh は 24 時間制で表した現在の時間です mm は現在の分です ss は現在の秒です 秒を省略した場合 デフォルトは 0 です 例 次のコマンドは 日付と時間を 2002 年 5 月 22 日の午前 9 時 25 分に設定します date メモ : 年の最初の 2 桁を省略した場合 デフォルトは 20 です 年のすべての桁を省略した場合 デフォルトは現在の年です 夏時間と標準時の時間の変更や 閏秒と閏年は自動的に処理されます

145 145 Data ONTAP Mode System Administration Guide システム時間の同期 timed デーモンを使用すると ストレージシステムの時間とタイムサーバの同期が自動的に維持されます ストレージシステムのクロックが不正確だと問題が生じることがあるので この機能の利用を推奨します このタスクについてストレージシステムの時間の同期を自動的にとるようにするには タイムサーバの名前を 1 つ以上指定する必要があります タイムサーバが使用できなくなった場合に備えて 複数のタイムサーバを指定することを推奨します 時間の同期には Network Time Protocol(NTP) プロトコルを使用します パブリック NTP タイムサーバの一覧は NTP.Servers Web( から入手できます 手順 1. ストレージシステムの現在の時間が実際の時間と大きく違っている場合は dateコマンドを使用してシステムの時間を正しく設定します 2. ストレージシステムのプロンプトで options コマンドを使用し 適切な timed オプションを設定してください 最低限 timed.proto オプションを ntp に設定し timed.servers オプションで有効なタイムサーバを少なくとも 1 つ設定する必要があります また timed.enable オプションは on に設定されている必要があります timed オプションの詳細については na_options(1) のマニュアルページを参照してください 関連するタスクシステムの日付と時間の設定 timed のオプション timed のオプションは 時間の同期や それに使用するサーバの特定等の機能をサポートします 次の表で timed オプションについて説明します オプション機能値デフォルト timed.enable 時間の同期化を有効にします on off on timed.log 時間変更をコンソールにログするかどうか指定します on off off timed.proto 時間の同期化に使用されるプロトコルを指定します ntp ntp timed.servers timed 機能で使用するタイムサーバを最大 5 つ指定します 例えば times1, times2.company.com, null 文字列

146 システム全般のメンテナンス 146 timed オプションの詳細については na_options(1) のマニュアルページを参照してください 時刻同期の例 次の例では NTP プロトコルを使用するように timed を設定します toast> date Thu Dec 9 13:49:10 PST 2004 toast> options timed.proto ntp toast> options timed.servers pool.ntp.org, toast> options timed.enable on システムのタイムゾーンの表示および設定 Data ONTAP では システムのタイムゾーンを表示することができます また システムのタイムゾー ンを設定して 次回のブート時に使用できるように保存することもできます 手順 1. コンソールや Telnet セッションから ストレージシステムのコマンドラインにアクセスします 2. 次のコマンドを入力します timezone [name] name 引数には 使用するタイムゾーンを指定します 各タイムゾーンは ストレージシステムの /etc/zoneinfo ディレクトリ内のファイルで定義されます name 引数には /etc/zoneinfo にある 使用するタイムゾーンのファイル名を指定します 引数を指定しない場合は 現在のタイムゾー ン名が表示されます 詳細については na_timezone(1) のマニュアルページを参照してください 次に タイムゾーンを /etc/zoneinfo/america/los_angeles タイムゾーンファイルに設定し 設定 済みのタイムゾーンを表示する例を示します toaster> timezone America/Los_Angeles toaster> timezone Current time zone is America/Los_Angeles コアファイルハードウェア障害またはソフトウェア障害によってストレージシステムがパニック状態になると システムはコアファイルを生成します これは テクニカルサポートによるトラブルシューティングに使用されます ストレージシステムのコアファイルは ルートボリュームの /etc/crash ディレクトリに格納されます savecore コマンドはルートボリューム上のデフォルトの /etc/rc ファイルに含まれており 次の処理を実行します

147 147 Data ONTAP Mode System Administration Guide core.n.nz ファイルの作成 ファイル名の n は数字です 文字列 nz は ファイルが圧縮されていることを示します システムコンソール上にメッセージを表示 メッセージをルートボリュームの /etc/messages に記録 次のトピック コアダンプの書き込み システムリブート時のテクニカルサポートへの自動通知 コアダンプの書き込みコアダンプファイルには メモリおよび NVRAM( 不揮発性 RAM) の内容が含まれます コアダンプは ローカルストレージシステムの所有するいずれかの作業ディスクの予約領域に書き込まれます 十分なスペースがある場合 作成されたコアダンプは圧縮されていない形式で格納されます 十分なスペースがない場合 作成されたコアダンプは圧縮形式で格納されます 圧縮形式でもコアダンプを完全に保存できるスペースが不足している場合は コアダンプはキャンセルされます メモ : 障害の発生したストレージシステムがハイアベイラビリティ構成であり cf.takeover.on_panic オプションが有効になっている場合 そのシステムのスペアディスクにコアダンプファイルが書き込まれます コアがディスク上で開始される位置はリリースによって異なるため コアダンプファイルは異なる Data ONTAP リリース間での互換性がありません この非互換性のため Data ONTAP は異なるリリースによってダンプされたコアダンプファイルを認識できない場合があります coredump.dump.attempts オプションを使用して コアダンプファイルを作成する際の試行回数を指定します デフォルト値は 2 です これらのオプションの詳細については na_options(1) のマニュアルページを参照してください システムリブート時のテクニカルサポートへの自動通知 AutoSupport 機能が有効で正しく設定されていれば ストレージシステムは リブート時に毎回 テクニカルサポートに E メールを自動送信します テクニカルサポートは AutoSupport メッセージとコアファイルを使用して 問題のトラブルシューティングを行います AutoSupport E メールを無効にしている場合は システムがコアファイルを作成したときに テクニカルサポートに連絡する必要があります メッセージロギングストレージシステムは メッセージをルートボリューム上の /etc/messages ファイルで保持します ストレージシステムが /etc/messages ファイルに記録する情報のレベルは /etc/syslog.conf ファイルで設定できます

148 システム全般のメンテナンス 148 /etc/messages ファイルへは NFS または CIFS のクライアントを使用して あるいは HTTP(S) を使用してアクセスできます メモ : :/etc/messages ファイルを毎日調べて 重要なメッセージがないかどうかを確認する必要があります /etc/messages を定期的に検索し 重要なイベントがあれば管理者に警告するスクリプトを管理ホスト上に作成すると このファイルの確認を自動化できます 毎週日曜日の午前 0 時に /etc/messages ファイルが /etc/messages.0 に複製され /etc/messages.0 ファイルが /etc/messages.1 に複製されます 以降の複製も同様です システムは最大 6 週間分のメッセージを保存するので 最大 7 つのメッセージファイルが生成されます (/etc/messages.0 から /etc/messages.5 と現在の /etc/messages ファイル ) メッセージロギングは syslogd デーモンによって実行されます システムメッセージのログ記録方法は ストレージシステムのルートボリューム上の /etc/syslog.conf 構成ファイルによって定義されます メッセージはその重要度および送信元に応じて 次のいずれかに送信されます コンソール ファイル リモートシステムデフォルトでは 全てのシステムメッセージは ( 重要度が debug レベルのものを除く ) はコンソールへ送信され /etc/messages ファイルにログされます 次のトピック /etc/syslog.conf ファイルサンプル /etc/syslog.conf ファイルメッセージロギングの設定 関連する概念 /etc/messages ファイル ストレージシステム上のデフォルトディレクトリへのアクセス方法 関連するタスク HTTP または HTTPS を使ったログファイルへのアクセス /etc/syslog.conf ファイル /etc/syslog.conf ファイルは ストレージシステムで記録される情報のレベルを設定します また メッセージ送信元のサブシステム メッセージの重要度 およびメッセージの送信先を指定します /etc/syslog.conf ファイルは タブで区切られた ( スペース区切りではない )2 つのフィールドがある行で構成されます 形式は次のとおりです facility.level action facility パラメータには メッセージの送信元のサブシステムを指定します 次の表に facility パラメータのキーワードを示します

149 149 Data ONTAP Mode System Administration Guide キーワード 説明 auth 認証システムからのメッセージ ( 例 : login) cron 内部 cron ファシリティからのメッセージ Daemon ストレージシステムのデーモンからのメッセージ ( 例 :rshd) kern ストレージシステムカーネルからのメッセージ * すべてのファシリティからのメッセージ level パラメータには メッセージの重要度を指定します 次の表に level パラメータのキーワードを重 要度の高い順に示します レベル emerg 説明 通常サービスを停止させるパニック状態 alert ただちに修正する必要がある状態 ( 例 : 障害ディスク ) crit クリティカルな状態 ( 例 : ディスクエラー ) err エラー ( 例 : 構成ファイルの不良によるエラー ) warning 修正しないとエラーになる可能性がある状態 notice エラーではないが 特別な処理を必要とする可能性がある状態 info 情報 ( 例 : 1 時間ごとのアップタイムメッセージ ) debug 診断目的に使用 * すべてのレベルエラー action パラメータには メッセージの送信先を指定します 指定したレベルまたはそれ以上のレベルの メッセージが メッセージの送信先へ送信されます 次の表に 可能な送信先とそれぞれの例を示しま す 操作 パスによって指定されたファイルにメッセージを送信 記号が付いているホスト名へメッセージを送信 例 コンソールへメッセージを送信 /dev/console または * syslog.conf についての詳細は na_syslog.conf(5) マニュアルページを参照してください サンプル /etc/syslog.conf ファイル 次に カスタマイズされた /etc/syslog.conf ファイルの例を示します # Log anything of level info or higher to /etc/messages. *.info /etc/messages # Log all kernel messages of levels emerg, alert, crit, # and err to /etc/messages. kern.err /etc/messages

150 システム全般のメンテナンス 150 # Log all kernel messages, and anything of level err or # higher to the console. *.err;kern.* /dev/console # Log all kernel messages and anything of level err or # higher to a remote loghost system called adminhost. # Log messages from the authentication system of level notice # or higher to the /etc/secure.message file. This file has # restricted access. auth.notice /etc/secure.message メッセージロギングの設定 /etc/syslog.conf ファイルを編集して ストレージシステムのメッセージロギングを変更できます 手順 1. クライアントから エディタを使用して /etc/syslog.conf ファイルを開きます 2. 次のフォーマットで行を 1 行以上追加します facility.level <tab> action 3. /etc/syslog.conf ファイルを保存し 閉じます syslog.conf ファイルに加えた変更が自動的に読み込まれ メッセージロギングに反映されます 関連する概念 /etc/syslog.conf ファイル 監査ログギング監査ログは コンソール Telnet シェル SSH シェル または rsh コマンドで実行されたコマンドの記録です ソースファイルスクリプトで実行されたコマンドもすべて 監査ログに記録されます また FilerView の使用などによって実行される管理 HTTP 操作 ストレージシステムにアクセスするための全ログイン試行 ( 成功または失敗 ) も 監査ログに記録されます また 構成ファイルおよびレジストリファイルに対する変更も監査されます 読み取り専用 API は デフォルトでは監査されませんが auditlog.readonly_api.enable オプションを指定すると監査を有効にできます デフォルトでは Data ONTAP は監査ログを保存するように設定されています 監査ログデータは /etc/log ディレクトリにある auditlog という名前のファイルに記録されます 設定が変更された場合 監査ログには次の情報が示されます どの構成ファイルにアクセスしたか いつ構成ファイルにアクセスしたか時刻

151 151 Data ONTAP Mode System Administration Guide 構成ファイルで何が変更されたかコンソール Telnet シェル SSH シェル または rsh コマンドを介してコマンドが実行された場合 監査ログには次の情報が示されます 実行されたコマンド コマンドの実行者 コマンドの実行時刻監査ログファイルの最大サイズは auditlog.max_file_size オプションによって指定されます 監査ログファイルの監査エントリの最大サイズは 200 文字です 監査エントリがサイズ制限を超えた場合は 200 文字に切り捨てられます 毎週土曜日の午前 0 時に /etc/log/auditlog ファイルが /etc/log/auditlog.0 に複製され /etc/log/auditlog.0 が /etc/log/auditlog.1 に複製されます 以降の複製も同様です これは 監査ログファイルが auditlog.max_file_size によって指定された最大サイズに達した場合も同じです いずれの監査ログファイルも最大サイズに達しない場合は 6 週間分の監査ログファイルが保存されます 最大サイズに達した場合は 最も古い監査ログファイルが破棄されます 監査ログファイルへは NFS または CIFS のクライアントを使用して あるいは HTTP を使用してアクセスできます メモ : 使用するファイルアクセスプロトコルに固有の監査を設定することもできます 詳細については Data ONTAP 7-Mode File Access and Protocols Management Guide を参照してください 監査ログをリモート syslog ホストに転送する方法については na_auditlog(5) のマニュアルページを参照してください 次のトピック監査ロギングの設定読み取り専用の API 監査の有効化または無効化 関連する概念 ストレージシステム上のデフォルトディレクトリへのアクセス方法 監査ロギングの設定監査ログファイルの最大サイズを変更できます 手順 1. 監査ログがオフになっている場合 次のコマンドを入力して 監査ロギンググをオンにします options auditlog.enable on 2. 監査ログファイルの最大サイズを変更するには 次のコマンドを入力します

152 システム全般のメンテナンス 152 options auditlog.max_file_size value value は最大サイズ ( バイト単位 ) です デフォルト値は 10,000,000 ( 約 10 MB) です 読み取り専用の API 監査の有効化または無効化 Data ONTAP では API の監査をロールに基づいてコントロールできるようになります API が情報の取得に限定して使用され システムの状態の変更には使用されない場合 読み込み専用 API は監査されないようにデフォルト設定されています このタスクについて読み取り専用 API の監査を有効または無効にするには auditlog.readonly_api. enable オプションを使用します auditlog.readonly_api.enable オプションのデフォルト値は off です 読み込み専用 API の監査をすると 監査ログが膨大になることがあるため このオプションを無効のままにすることを推奨します 手順 1. 読み取り専用 API の監査を有効または無効にするには 次のコマンドを入力します options auditlog.readonly_api.enable {on off} デフォルトは off です ストレージシステムのスタートアップ構成ストレージシステムのブート構成ファイル ( ルートディレクトリにある /etc/rcファイル) を編集することで システムのスタートアップ方法をカスタマイズすることができます 次のトピック /etc/rc ファイルについて /etc/rc ファイルの編集 /etc/rc エラーからの復旧 /etc/rc ファイルについてストレージシステムのスタートアップコマンドは /etc/rc ファイルに格納されています /etc/rc ファイルには ストレージシステムがブート時にシステム設定に使用するコマンドが含まれています スタートアップコマンドは setup コマンドまたはセットアップウィザードを実行したあと 自動的に /etc/rc ファイルに格納されます /etc/rc ファイル内のコマンドは 次の動作を行うようにストレージシステムを設定します ネットワーク上での通信 NIS および DNS サービスの使用 ストレージシステムがブート完了前にパニック状態になった場合は 既存のコアダンプの保存

153 153 Data ONTAP Mode System Administration Guide 一部のコマンドは /etc/rc ファイルに保存できません /etc/rc ファイルには このファイルの実行時にまだ使用可能になっていないサブシステムで実行されるコマンドを保存できます たとえば iscsi コマンドは /etc/rc ファイルに保存できません 保存すると ストレージシステムのブートに失敗します setup コマンドを実行すると /etc/rc ファイルが書き換えられます システムの初期セットアップのあとで setup コマンドを再度実行する必要がある場合 /etc/rc ファイルをバックアップしてください サンプル /etc/rc ファイルサンプル /etc/rc ファイルにデフォルトのスタートアップコマンドを示します ルートボリューム上の /etc/rc ファイルで使用されるコマンドを理解するために 次に デフォルトのスタートアップコマンドからなるサンプル /etc/rc ファイル示します #Auto-generated /etc/rc Tue May 30 14:51:36 PST 2000 hostname toaster ifconfig e0 `hostname`-0 ifconfig e1 `hostname`-1 ifconfig f0 `hostname`-f0 ifconfig a5 `hostname`-a5 route add default MyRouterBox routed on savecore 次の表に サンプル /etc/rc ファイルについての説明を示します 記述 hostname toaster 説明 ストレージシステムのホスト名を toaster に設定します ifconfig e0 `hostname`-0 ifconfig e1 `hostname`-1 ifconfig f0 `hostname`-f0 ifconfig a5 `hostname`-a5 route add default MyRouterBox routed on デフォルトのネットワークマスクを使用して ストレージシステムのネットワークインターフェイスの IP アドレスを設定します セットアップ中にホスト名として toaster を指定した場合 単一引用符で囲まれた引数が toaster に展開されます 実際の IP アドレスは ストレージシステムのルートボリューム上の /etc/hosts ファイルから取得されます ルートボリュームの /etc/rc に IP アドレスを直接入力して /etc/rc ファイルに実際の IP アドレスを登録することもできます デフォルトのルータを指定します /etc/rc ファイルに route コマンドを追加することで ストレージシステムの静的ルートを設定できます MyRouterBox のネットワークアドレスは ルートボリューム上の /etc/hosts に含まれている必要があります ルーティングデーモンを起動します Savecore システムパニック時に作成されたコアファイルがある場合 コアファイルをルートボリューム上の /etc/crash ディレクトリに保存します コアファイルは システムパニック後の最初のブート中にのみ作成されます

154 システム全般のメンテナンス 154 ifconfig コマンドおよびルーティングの詳細については idata ONTAP 7-Mode Network Management Guide を参照してください 関連する概念コアファイル /etc/rc ファイルの編集 ストレージシステムの起動構成ファイル (/etc/rc ファイル ) を編集して システムのボート時に実行され るコマンドを変更することができます このタスクについてストレージシステムのブート構成ファイルは rc という名前で システムのデフォルトボリュームの /etc ディレクトリに置かれています ( デフォルトは /vol/vol0/etc/rc) 手順 1. /etc/rc ファイルのバックアップコピーを作成します 2. /etc/rc ファイルを編集します メモ : /etc/rc に CIFS コマンドを追加しないでください /etc/rc に CIFS コマンドを追加すると CIFS が完全に初期化されていない場合 または /etc/rc ファイルと CIFS 間でコマンドのデッドロックが生じている場合に ストレージシステムのブート時に問題が発生する可能性があります 3. 編集したファイルを保存します 4. ストレージシステムを再起動し 新しい構成をテストします 新しい構成が希望通りに動作しない場合 手順 2 から手順 4 を繰り返します /etc/rc エラーからの復旧 ストレージシステムはエラーによっては管理ホストにアクセス不能になることがあります システ ムが再びアクセスできるように /etc/rc エラーから復旧できます このタスクについて次に システムをアクセス不能にする可能性のある /etc/rc エラー原因の例を示します ifconfig コマンドで指定したネットワークアドレスが間違っている場合 ストレージシステムがそのネットワーク上にないため アクセスできません 管理ホストとなっている NFS クライアントに対し ストレージシステムのディレクトリを不適切にエクスポートした場合 ストレージシステムのルートディレクトリを NFS クライアント上にマウントできないため システムはアクセスできません

155 155 Data ONTAP Mode System Administration Guide 手順 1. コンソール上で次のコマンドのいずれかを入力し 正しいアドレスでインターフェイスを設定します 使用する環境 NFS 環境 CIFS 環境 操作 exportfs コマンドを入力して ストレージシステムのルートディレクトリを管理ホストにエクスポートします 共有をストレージシステムのルートディレクトリに追加します 2. 管理ホストからストレージシステムの /etc/rc ファイルを編集します 3. ストレージシステムをリブートします 4. この変更によって問題が解決しない場合は 手順 1 から手順 3 を繰り返します ストレージシステム構成のバックアップとクローニングストレージシステム構成のバックアップ操作では 指定した名前のファイルにシステムの構成情報を保存します 構成のバックアップファイルを作成しておくことで 災害または非常事態が発生したときにストレージシステム構成をリストアできます また 構成のクローニングによって 既存のストレージシステム構成を新しいシステムにクローニングできます 次のトピックストレージシステム構成のバックアップストレージシステム構成のクローニングストレージシステム構成のリストアストレージシステム構成ファイルとバックアップ構成ファイルの比較 ストレージシステム構成のバックアップ ストレージシステム構成をバックアップすると システムの構成は 指定した名前の1つのファイルに保存されます デフォルトでは バックアップ構成ファイルは /etc/ configs ディレクトリに作成されます 手順 1. 次のコマンドを入力します config dump [-f] [-v] config_file -f を指定すると 既存のバックアップが新しいファイルによって強制的に上書きされます -v を指定すると Data ONTAP がボリューム固有の構成もバックアップされます config_file は 作成するバックアップファイルの名前 または名前とパスです

156 システム全般のメンテナンス 156 config dump コマンドの例 次に示すconfig dumpコマンドの使用例では デフォルトのディレクトリを使用して ストレージシステム固有の構成を /etc/configs/08_02_2004 ファイルにバックアップします config dump 08_02_2004 次の例は 指定したディレクトリを使用した config dump コマンドを示しています config dump /home/users/08_02_2004 ストレージシステム構成のクローニング あるストレージシステム構成を他のシステムにクローニングできます 手順 1. 次のコマンドを入力します config clone filer username:password filer は 構成のクローン元となるリモートのストレージシステム名です username は リモートストレージシステム上の管理用ユーザーのログイン名です password は リモートのユーザーパスワードです config clone コマンドの例次に示すconfig cloneコマンドの使用例では tpubs-dot 構成をストレージシステム toasterにクローニングします config clone tpubs-dot root:hello ストレージシステム構成のリストアバックアップ構成ファイルからストレージシステム構成情報をリストアすることができます このタスクについて config restore -v を使用してボリューム固有の構成をリストアする場合に構成ファイル内に不当なエントリがあると リストアに失敗し エラーメッセージが表示されることがあります この場合は デフォルトの /etc/configs ディレクトリにある構成ファイルを編集して 不当なエントリを削除します たとえば 構成ファイルに options.vols.vol_name.raidsize という文字列が含まれていると FlexVol である vol_name での無効な処理を示すエラーメッセージが表示されます vol_name はトラディショナルボリュームではなく 不正なエントリとなるので 構成ファイルから削除する必要があります

157 157 Data ONTAP Mode System Administration Guide 手順 1. 次のコマンドを入力します config restore [-v] config_file -v を指定すると ストレージシステム固有の構成ファイルとともにボリューム固有の構成ファイルもリストアできます 2. システムを再起動して /etc/rcファイル内でコマンドを実行します config restore コマンド例次の例では config restoreコマンドでバックアップ構成ファイルをデフォルトの /etc/configsディレクトリからリストアします config restore 08_02_2004 ストレージシステム構成ファイルとバックアップ構成ファイルの比較ストレージシステムの現在の構成をバックアップ構成ファイルと比較して違いを見ることができます また 2 つのバックアップ構成ファイルの違いを比べることもできます 手順 1. 次のコマンドを入力します config diff [-o output_file] config_file1 [config_file2] output_file は 相違点が出力されるファイルの名前です このパラメータを省略すると コマンドの結果はコンソールに出力されます config_file1 は 比較する最初の構成ファイルの名前です config_file2 は 比較する 2 番目の構成ファイルの名前です config diff コマンドの例次の例では ストレージシステムの現在の構成とバックアップファイル内の構成情報を比較します config diff 11_15_2004 次の例は 2 つのバックアップファイルの構成情報を比較します config diff -o diff.txt 11_05_ _15_2004 ストレージシステム上のファイルの書き込みと読み取りについて Data ONTAP は ストレージシステム上の特定のファイルに書き込んだり またはそのファイルからの読み込みをできるようにするコマンドがあります しかし このようなコマンドを使うときには セキュリティ問題やデータ破損に伴う潜在的な問題について注意する必要があります

158 システム全般のメンテナンス 158 次のトピック WAFL ファイルの書き込み WAFL ファイルの読み取り WAFL ファイルの書き込み Data ONTAP により 標準入力からデータを読み取り 指定したファイルに書き込むことができます このタスクについて wrfile コマンドを実行できるユーザーは ストレージシステム上のすべてのファイルに対し 上書きを行ったり データを追加したりすることができます wrfile コマンドを使用する場合は セキュリティおよびデータの破損について十分に注意することが必要です 手順 1. 次のコマンドを入力します wrfile [-a] filename [...] filename は 上書きまたはデータの追加を行うファイルの名前です これは 完全に限定されたパス名である必要があります filename に指定したファイルが存在しない場合は wrfile コマンドによって作成されます -a オプションを使用すると filename に続く コマンドラインの残りの部分をファイルに付加できます -a オプションを使用しない場合は wrfile コマンドにより 入力ストリームから EOF がファイルに読み込まれると ファイルが閉じます またはファイルがコンソールで実行されている場合は 割り込み文字による割り込みがあったときに閉じます メモ :-a オプションの使用には 特殊文字の #( ナンバー記号 ) `( 逆チェックマーク ) "( 二重引用符 ) の制限があります 通常は -a オプションを使用する場合に 書き込む行を引用符で囲みます 割り込み文字は Ctrl+C です wrfile がコンソールから実行されている場合 wrfile に割り込みが入ると 割り込み文字と同じ行に入力された文字はすべて失われます また ストレージシステムが interrupted system call というエラーメッセージを表示します wrfile コマンドの例 次に wrfileを使用して /etc/testファイルを作成する例を示します このファイルには line#1 と #line#2 という 2 行が含まれます toaster> wrfile /etc/test line#1

159 159 Data ONTAP Mode System Administration Guide Enter キーを押したあと 割り込み文字 (Ctrl-C) を入力します read: error reading standard input: Interrupted system call toaster> wrfile -a /etc/test "line#2" toaster> そのほかの例については na_wrfile(1) マニュアルページを参照してください 関連タスク WAFL ファイルの読み取り WAFL ファイルの読み取り Data ONTAP により ストレージシステムからのファイルを読み込んだり 標準出力にその内容を書 き込んだりできるようになります このタスクについて rdfile コマンドを実行できるユーザーは ストレージシステム上のすべてのファイルも読み込むことが 可能です rdfile コマンドを使用する場合は セキュリティについて十分注意することが必要です 手順 1. 次のコマンドを入力します rdfile filename filename は内容を読み取るファイルの名前です これは 完全に限定されたパス名である必要 があります メモ : 非 ASCII 文字を含むファイルは 表示が乱れる場合があります rdfile コマンドの例 次の例では rdfile コマンドを使用して line#1 と #line#2 という 2 行から成る /etc/test ファル の内容を読み取ります toaster> rdfile /etc/test line#1 line#2 toaster> 関連するタスク WAFL ファイルの読み取り

160 システム全般のメンテナンス 160 UPS の管理 Data ONTAP では ストレージシステムに使用する Uninterruptible Power Supply(UPS; 無停電電源装置 ) の状態の記録や監視が可能です また 電源障害時における Data ONTAP イベントのタイミングを設定することもできます ups コマンドの詳細については na_ups(1) のマニュアルページを参照してください 次のトピック UPS シャットダウンのオプション UPS シャットダウンプロセスユーザー環境の UPS シャットダウンイベントタイミングに影響を及ぼす要因 UPS シャットダウンのオプション Data ONTAP では 停電時のストレージシステムの管理に役立つ設定値が 2 つあります (warningtime および criticaltime) warningtime warningtime オプションでは Data ONTAP が警告の SNMP トラップ AutoSupport メッセージ ログメッセージを生成する時期を指定します warningtime オプションのデフォルト値は 300 秒 (5 分 ) です criticaltime criticaltime オプションでは Data ONTAP がもう一度 SNMP トラップ AutoSupport メッセージ そしてログメッセージを生成して ストレージシステムをシャットダウンする時期を指定します criticaltime オプションの規定値は 60 秒 (1 分 ) です メモ : ups set-limits コマンドを使って 全ての UPS デバイス又は特定の UPS デバイス (IP アドレスで指定 ) の UPS デバイスのクリティカル時 (criticaltime) および警告時 (warningtime) を指定できます UPS バッテリーの criticaltime および warningtime を表示するには ups print-limits コマンドを使用します 詳しくは na_ups(1) のマニュアルページを参照してください 多くの環境では warningtime に 5 分 criticaltime に 1 分というデフォルト値をそのまま使用できます しかし 停電時のデータ消失を防ぐために これらの値がご使用の環境に適しているかどうか確認することを推奨します warningtime 値には システムのシャットダウン前に必要な手動プロセスを実行するのに十分な時間を指定する必要があります また criticaltime の値には システムがクリーンシャットダウンを実行するのに十分な時間を指定する必要があります これらの値を変更する必要があると判断した場合は registry コマンドで値を変更することができます メモ : シャットダウンのイベントのタイミングを変更する際には 事前にテクニカルサポートにご連絡ください

161 161 Data ONTAP Mode System Administration Guide UPS シャットダウンプロセス停電が発生すると UPS のバッテリからストレージシステムへの給電が開始されます UPS のバッテリー残量が十分あれば ストレージシステムに電源供給されるため その間にストレージシステムのクリーンシャットダウンを実行できます 次に シャットダウンプロセスを示します 1. 停電が発生すると 停電の発生を通知するためにSNMPトラップ AutoSupportメッセージ ログメッセージが生成されます メモ : AutoSupportを有効化していない場合 AutoSupport メッセージは生成されません 2. UPS のバッテリ残量がwarningtime に指定されている秒数まで減少すると Data ONTAPはもう一度 SNMP トラップ AutoSupport メッセージ およびログメッセージを生成します 3. UPSのバッテリ残量がcriticaltime に指定されている秒数まで減少すると Data ONTAPはさらにもう一度 SNMPトラップ AutoSupport メッセージ ログメッセージを生成し ストレージシステムのシャットダウンを開始します メモ : システムの負荷によっては criticaltime 通知が送信されないこともあります ユーザー環境の UPS シャットダウンイベントタイミングに影響を及ぼす要因シャットダウンのイベントタイミングに影響を及ぼす要因には UPS バッテリの容量 ストレージシステムの負荷 企業の方針や手順などがあります UPSバッテリの容量ご使用のUPS がデフォルトのタイミングまで継続して電力を供給できないと ストレージシステムはクリーンシャットダウンを実行できません ストレージシステムの負荷ユーザー数やCIFSセッション数が多い場合 またはシャットダウンに長い時間を要するようなその他の負荷要因がある場合は warningtimeおよびcriticaltime の値を増やして システムがクリーンシャットダウンを実行するのに十分な時間を設定する必要があります 会社の方針と手順会社の規則や要件に従って シャットダウンイベントのタイミングを変更しなければならない場合もあります

162 ストレージシステムのリモート管理 162 AutoSuppor 機能 AutoSupport 機能を使用すると Data ONTAP からテクニカルサポートおよび指定した他の受信者に ストレージシステムについての情報が自動的に送信されます この機能は システムのパフォーマン スを監視するための リアルタイムのカスタマイズサポートを実現します 次のトピックス AutoSupport 機能の概要 AutoSupport の設定 AutoSupport オプション AutoSupport のテスト AutoSupport トラブルシューティングタスク AutoSupport メッセージ AutoSupport 機能の概要 AutoSupport 機能は ストレージシステムの動作を監視し テクニカルサポートに自動的にメッセージを送信して システムの潜在的な問題を警告します テクニカルサポートは必要に応じて ユーザーの電子メールアドレスにメールを送信し 潜在的な問題を解決できるよう支援します AutoSupport についての重要事項を以下にまとめます ストレージシステムのデフォルトの設定では autosupport 機能が有効になっています AutoSupport は ストレージシステムの初回設定時に デフォルトで有効になります AutoSupport がテクニカルサポートへのメッセージ送信を開始するのは AutoSupport を有効にしてから 24 時間後となります システムをアップグレードまたはリバートした場合や AutoSupport 構成を変更した場合 あるいは 24 時間経過後の時刻にシステム時刻を変更した場合 この期間 (24 時間 ) が短くなる場合があります メモ :autosupport.enable オプションを使用すれば いつでも AutoSupport を無効にできますが この機能を有効にしておくことを推奨します AutoSupport を有効な状態にすると ストレージシステムに問題が発生したときに 迅速に原因を判断し解決できます テクニカルサポートへの AutoSupport メッセージはデフォルトで有効になりますが 社内のサポート組織にメッセージが送信されるようにするには 適切なオプションが設定されていることと 有効なメールホストが存在していることが必要となります AutoSupport メッセージは 次の場合に生成されます システム管理者またはテクニカルサポートによる対処が必要なイベントがストレージシステムに発生した場合 ストレージシステムのリブート時 autosupport.doit オプションを使用して テストメッセージを送信した場合

163 163 Data ONTAP Mode System Administration Guide 週に一回 日曜日の早朝 ( 午前 0 時から午前 1 時の間 ) この時間に3 件の AutoSupport メッセージが生成されます 1 つは 週ごとの AutoSupport メッセージで 通常の AutoSupport メッセージと同じ情報が送信されます. 次に パフォーマンス AutoSupport メッセージで 直前 1 週間のストレージシステムの包括的なパフォーマンス情報をテクニカルサポートに伝えます このパフォーマンスメッセージは 非常にサイズが大きいため デフォルトの設定では テクニカルサポートのみに送信されます 続いて NetApp Health Trigger (NHT) が 障害の発生しているディスクドライブに関する情報を伝えます 直前 1 週間のに発生した障害ドライブがない場合は 週ごとの NHT メッセージは送信されません デフォルト設定では ドライブ NHT メッセージはテクニカルサポートだけに送信されます AutoSupport メッセージの送信には SMTP HTTP または HTTPS(Hypertext Transfer Protocol over Secure Sockets Layer) を使用できます デフォルトは HTTPS です 可能な限り HTTPS を使用してください AutoSupport メッセージを正常に送信できない場合は SNMP トラップが生成されます AutoSupport に関する詳細は NOW サイトを参照して下さい 関連情報 AutoSupport の転送プロトコル AutoSupport は AutoSupport メッセージをテクニカルサポートに配信するための転送プロトコルとして HTTPS HTTP および SMTP をサポートしています 社内のサポート組織に対して AutoSupport メッセージを有効にした場合 これらのメッセージは SMPT で送信されます AutoSupport は 次の種類の転送プロトコルをサポートしています HTTPS (AutoSupport で使用されるデフォルトトランスポートプロトコルです 可能な限りこのプロトコルを使用して下さい HTTP SMTP SMTP を使用すると メッセージや行の長さが制限される可能性があるため AutoSupport の転送プロトコルにはなるべく HTTPS または HTTP を使用してください HTTP はポート 80 HTTPS はポート 443 を使用します ネットワーク接続で HTTPS または HTTP を使用できない場合は SMTP を使用するように AutoSupport を設定する必要があります SMTP はポート 25 を使用します HTTP または HTTPS で AutoSupport メッセージを送信するには HTTP または HTTPS のプロキシを設定しなければならない場合があります

164 ストレージシステムのリモート管理 164 SMTP を使用する場合 AutoSupport は外部のメールホストが必要です ストレージシステムはメールホストとしては機能しないため ユーザーサイトでのメールを送信には外部メールホストが必要となります メールホストは SMTP ポート (25) を監視するメールサーバを実行するホストです 次に メールサーバの例を示します sendmail プログラムなどの SMTP サーバを実行する UNIX ホスト Microsoft ExchangeServer を実行している Windows NT サーバストレージシステムは メールホストのメールサーバを使用して システムの状態ついての電子メールメッセージをテクニカルサポートへ定期的に自動送信します AutoSupport は 1 つ以上のメールホストを使用するように設定できます メモ :AutoSupport 電子メールの配信経路にあるメールホストに 8ビット Multipurpose Internet Mail Extensions (MIME) エンコーディングの送受信が設定されていることを確認して下さい AutoSupport の設定 AutoSupport を設定するため AutoSupport 各オプションを指定します この作業について AutoSupport オプションに加えた変更は ほとんどの場合リブート後も保持されますが autosupport.doit autosupport.performance_sata.doit autosupport.support.to および autosupport.support.url の各オプションは例外です 手順 1. 次のコマンドを入力して下さい options autosupport.option [arguments] optionは 設定するAutoSupportプションです argumentsは optionの必須の引数または省略可能な引数です 関連概念 AutoSupport オプション AutoSupport オプション AutoSupport 機能を設定するには AutoSupport オプションを使用します 次の表にAutoSupportの主なオプションを示します 詳細については na_options(1) および na_autosupport(8) のマニュアルページを参照して下さい

165 165 Data ONTAP Mode System Administration Guide AutoSupport オプション autosupport.cifs.verbose [on off] autosupport.content [complete minimal] autosupport.doit [message] autosupport.enable [on off] autosupport.from sender autosupport.local.nht_data.enable autosupport.local.performance_data.enable 説明 CIFS セッション機能およびと共有情報を AutoSupport メッセージに含めるかどうかを指定します デフォルトは off です AutoSupport メッセージの内容の種類を指定します デフォルト値は complete です メモ :complete 設定を維持する必要があります 設定を minimal に変更すると テクニカルサポートによる問題への迅速な対応が制限されます complete から minimal に変更すると 完全な内容の未送信 AutoSupport メッセージは送信メッセージスプールから消去され その旨を伝えるメッセージがコンソールに表示されます AutoSupport 通知をすぐに送信するように autosupport に指示します Message には 1 つの単語 または単一引用符で囲んだ文字列を使用できます これは AutoSupport 通知の件名として表示されるので 通知理由の説明となるテキストを指定する必要があります Call Home Check 機能を利用すると AutoSupport が機能しているかどうかを確認できます この機能では autosupport.doit メッセージに TEST または TESTING などの語を含む件名をつけて送信します このようなメッセージが NetApp に送信されると メールハンドラは指定の受信者アドレスに自動応答を送信し テスト用の AutoSupport メッセージが正常に受信されたことを知らせます AutoSupport 通知を有効無効にします デフォルトは on です 通知の送信者となるユーザーを定義します 例えば postmaster@mycompany.com などのアドレスを指定します デフォルトは "Postmaster@xxx" で ここで xxx はシステム名です NetApp Health Trigger (NHT) ディスクデータのコピーをカスタマー "to" リストに送信します デフォルトは off です このオプションを使用する場合は autosupport.mailhost でメールホストを指定し autosupport.to オプションでアドレスを指定する必要があります 週ごとのパフォーマンス AutoSupport メッセージを autosupport.to オプションで指定したすべての受信者に送信するか またはテクニカルサポートだけに送信するかを決定します デフォルトは off です このオプションを使用する場合は autosupport.mailhost でメールホストを指定し autosupport.to オプションでアドレスを指定する必要があります

166 ストレージシステムのリモート管理 166 AutoSupport オプション an autosupport.mailhost host1[,..., host5] autosupport.minimal.subject.id [hostname systemid] autosupport.nht_data.enable autosupport.noteto address1[,...,address5] autosupport.partner.to address1[,..., address5] autosupport.performance_data.doit any_string autosupport.performance_data.enable 説明 最大 5 つのメールホスト名を定義します ホスト名はカンマで区切ったリストとして入力し 間にスペースをいれません デフォルトは, mailhost です 指定したメールホストは AutoSupport メッセージの送信に使用されます autosupport.content に minimal が設定されている場合に AutoSupport メッセージタイトル内でのシステム識別方法を定義します デフォルトは systemid です です NetApp Health Trigger (NHT) ディスクドライブデータのコピーをテクニカルサポートに送信します デフォルトは on です AutoSupport ショートノート E メールの受信者一覧を定義します ショートノート E メールは 携帯電話や他のテキストデバイスで表示しやすいように AutoSupport メッセージの件名のみで構成されます 最大 5 つの E メールアドレスを指定できます アドレスはカンマで区切ったリストとして入力し 間にスペースを入れません デフォルトは空白のリストであり ショートノート E メールが無効になっていることを意味します 内部のサポート組織に AutoSupport メッセージを送信するには このオプション ( または autosupport.to オプション ) を設定し 有効なメールホストを指定します 重要度に関係なく すべての AutoSupport E メール通知を受信する受信者一覧を定義します 最大 5 つの E メールアドレスを指定できます アドレスはカンマで区切ったリストとして入力し 間にスペースを入れません デフォルトでは リストは定義されていません このオプションは autosupport.support.enable オプションの設定に影響されません 任意の文字列が追加された場合に パフォーマンス Snapshot AutoSupport メッセージを送信します 週ごとのパフォーマンス AutoSupport メッセージについて テクニカルサポートへの送信を有効にします このオプションは必ず on に設定する必要があります 週ごとのパフォーマンス AutoSupport メッセージを autosupport.to オプションで指定したリストの全受信者に送信しない場合は autosupport.local.performance_data.enable オプションを無効にします デフォルトは on です autosupport.periodic.tx_window time 定期的な AutoSupport メッセージのランダム遅延ウインドウを指定

167 167 Data ONTAP Mode System Administration Guide AutoSupport オプション 説明 します 値は 0 秒 ~240 分 (4 時間 ) の範囲です デフォルトは 60 (1 時間 ) です 数を 0 に設定すると ボトルネックの防止することを目的として ランダム遅延を防止します autosupport.retry.count#retries autosupport.retry.interval interval autosupport.support.enable [on off] autosupport.support.proxy [user:pass@]proxyhost.com[:port][/] AutoSupport 通知の送信に失敗した場合に ストレージシステムが再送信する回数を指定します 再試行回数は 5~4,294,967,294 の間で デフォルトはは 15 です AutoSuppor 通知の送信に失敗した場合に 送信を試みる前に待機する時間を定義します この値の後ろに s m または h を付けて それぞれ秒 分または時間の単位を指定できます 単位を指定しない場合 値は秒であるとみなされます 数値の範囲は 30 秒から 24 時間の範囲で指定できます 省略値は 4m(4 分 ) です テクニカルサポートへの AutoSupport 通知を有効または無効にします デフォルトは on です 必要に応じて HTTP プロキシを設定できます このオプションが有用なのは autosupport.support.transport を http または https に設定している場合だけです このオプションのデフォルト値は空の文字列です このオプションは プロキシ認証のユーザー名とパースワードを指定するのに使用します URL は または プレフィックスを含めずに入力します その例を以下に示します options autosupport.support.proxy myusername:mypassword@myhost.com options autosupport.support.proxy myusername:mypassword@myhost.com:9090 options autosupport.support.proxy myhost.com options autosupport.support.proxy myhost.com:9090 メモ : このオプションで使用する値は サイトによって異なります 正しい値は ご使用のサイトを管理している IT 担当者に確認して下さい メモ : ポートを指定しない場合 プロキシ設定のデフォルトのポートは 3128 です autosupport.support.to autosupport.support.transport が smtp に設定されている場合に AutoSupport 通知の送信先を表示します このオプションは読み取り専用であり 参照用として表示されます autosupport.support.transport [http https smtp] autosupport.support.url AutoSupport 通知の配信方法を定義します デフォルト設定は https です autosupport.support.transport が http または https に設定されている場合に AutoSupport 通知の送信先を表示します.. このオプシ

168 ストレージシステムのリモート管理 168 AutoSupport オプション 説明 ョンは読み取り専用であり 参照用として表示されます autosupport.throttle [on off] autosupport.to address1[,..., address5] ごく短時間に同じ種類の AutoSupport メッセージが大量に送信された時に 以降のメッセージを削除します デフォルトは on です AutoSupport E メール通知の受信者一覧を定義します このオプションで定義された受信者は重要な AutoSupport E メール通知のみを受信します ただし 読み取り専用の autosupport.support.to オプションによって表示されるとおりに テクニカルサポートには すべての AutoSupport 通知がその重要度に関係なく引き続き送信されます リストには最大 5 つの E メールアドレスを指定できますが リストを空白にすることもできます アドレスはカンマで区切ったリストとして入力し 間にスペースを入れません デフォルトではリストはありません アドレスには システム管理者または管理者グループを含める必要があります 内部のサポート組織に AutoSupport メッセージを送信するには このオプション ( または autosupport.noteto オプション ) を設定し 有効なメールホストを指定します 関連概念 AutoSupport トラブルシューティングタスク AutoSupport のテスト AutoSupport のテストを行うと AutoSupport が適切に設定されているかを確認できます 手順 1. 次のコマンドを入力します options autosupport.doit message message は テスト用 AutoSupport 電子メールの件名です Message に TEST キーワードを使用すると AutoSupport プロセスが正常に機能していることを知らせる返信メッセージが送信されます 関連概念 AutoSupport オプション

169 169 Data ONTAP Mode System Administration Guide AutoSupport トラブルシューティングタスク AutoSupport テストメッセージが送信されてない場合は トラブルシューティング作業を実行して解決する必要があります 実行するトラブルシューティングタスクは ご使用の AutoSupport 転送プロトコルによって異なります 次のトピックス HTTP または HTTPS を使用した AutoSupport のトラブルシューティング SMTP を使用した AutoSupport のトラブルシューティング AutoSupport メッセージのサイズの制御 HTTP または HTTPS を使用した AutoSupport のトラブルシューティング HTTP または HTTPS を使用している場合に AutoSupport テストメッセージが送信されないときは DNS が有効で 正しく設定されていること およびシステムが正常にインターネットにルーティングされていることを確認します 手順 1. DNSが有効であり 正しく設定されているかどうかを確認するために ストレージシステムで次のコマンドを入力します dns info 2. 次のコマンド入力して システムから接続がインターネットに正しくリーティングされているかどうかを確認します traceroute -p port support.netapp.com portは通常 HTTPを使用している場合は 80 HTTPSを使用している場合は 443 となります SMTP を使用した AutoSupport のトラブルシューティング SMTP を使用している場合に AutoSupport テストメッセージが送信されないときは 指定されたメールホストがストレージシステムと通信可能であること およびこのホストで SMTP 要求を処理できることを確認します 手順 1. /etc/ syslog.conf fileファイルに次の行を記述して syslog.confファイルのデバッグレベルを設定します *.debug /etc/messages

170 ストレージシステムのリモート管理 autosupport.doitオプションを使用して AutoSupportを開始します AutoSupportエラーメッセージが表示されます 3. ストレージシステムで次のコマンドを入力して オプションに指定したメールホストが ストレージシステムから接続できるホストかどうか確認します ping mailhost_name mailhost_nameは AutoSupportオプションで指定されたメールホストの名前です 4. メールホストとして指定されたホストにログオンして 次のコマンドを入力して このホストが SMTP 要求を処理できるかどうかを確認します (25 はこのホストのSMTPポート番号 ) netstat -aan grep 25 次のようなメッセージが表示されます ff64878c tcp 0 0 *.25 *.* LISTEN. 5. 次のコマンドを入力して 別のホストからこの SMTP ポートに telnet 接続します telnet mailhost 25 次のようなメッセージが表示されます Connected to filer. Escape character is '^]'. 220 filer.yourco.com Sendmail 4.1/SMI-4.1 ready at Thu, 30 Nov 95 10:49:04 PST 6. この時点で まだ問題が解決しない場合は LAN トレースを使用してください AutoSupport メッセージのサイズの制御 AutoSupport メッセージのサイズを制御する必要があります 特に SMTP トランスポートプロトコルを使用している場合は そのようにすることで問題を防ぐことができます この作業について AutoSupport メッセージには /etc ディレクトリ内のさまざまなファイルの内容とシステムに関する情報が含まれています プロトコルとして SMTP を使用している場合 E メールサーバのサイズ制限により メッセージが削除されることがあります ステップ 1. AutoSupport メッセージのサイズを制御するには 次の 1 つ以上の作業を行います

171 171 Data ONTAP Mode System Administration Guide /etc/messages ファイルが指定通りに毎週循環していることを確認します 必要な場合は 手動でファイルを循環させます WARNING 以上のレベルのシステムメッセージだけが /etc/syslog.conf ファイルにキャプチャされるように /etc/messages ファイルが設定されていることを確認します / etc/syslog.conf ファイルの詳細については na_syslog.conf(5) マニュアルページを参照して下さい AutoSupport トランスポートプロトコル用に HTTP または HTTPS を使用することを検討します 2. 上記の手順を実行しても問題が解決しない場合は autosupport.contentオプションをminimal に設定する方法もあります ただし テクニカルサポートの質に影響が生じる場合があるので minimal 設定への変更は推奨できません AutoSupport メッセージ AutoSupport メッセージは ストレージシステムのステータスや動作の理解に役立ちます AutoSupport メッセージには テクニカルサポートが割り当てた優先度を示すログレベルが含まれています 優先度の割り当てを示すログレベルは次のいずれかです CRITICAL 優先順位 1 CRITICAL 優先順位 2 WARNING 優先順位 3 NOTICE 通知のみ 応答不要 NOTICE 通知のみ 応答不要 DEBUG 通知のみ 応答不要 AutoSupport をローカルで使用している場合 これらのログレベルは 受信した AutoSupport 電子メールの件名の行に表示されます 次のトピックス AutoSupport メッセージの説明の取得 AutoSupport イベントメッセージの内容 AutoSupport メッセージの説明の取得 受信した AutoSupport メッセージの説明を取得するにはオンラインの Message Matrices ページを使 用します ステップ 1. NOW サイトに進み Message Matrices ページをご覧下さい 2. Message Matrices ページの [Select a Release] で 使用している Data ONTAP のバージョン

172 ストレージシステムのリモート管理 172 を選択して [View Matrix] をクリックします すべてのAutoSupport メッセージの説明が 件名のアルファベット順に一覧表示されます 関連情報 AutoSupport イベントメッセージの内容 AutoSupport メッセージには 日付 バージョン番号 シリアル番号などの各種情報が含まれています 各 AutoSupport メッセージには次の種類の情報が含まれています メモ : 次のリスト内で 1 つのアステリスク (*) の付いている項目は autosupport.content minimal 形式で表示さます 2 つのアステリスク (**) が付いている項目は autosupport.content minimal 形式では部分的に表示されます メッセージの日付と時間 Data ONTAP ソフトウェアのバージョン ストレージシステムのシリアル番号 暗号化されたソフトウェアライセンス * ストレージシステムのホスト名 * SNMP の担当者の名前と住所 ( 指定されている場合 )* コンソールのエンコードの種類メモ : パーサーを使って AutoSupport メッセージを監視するには 一部のコマンドの出力が Data ONTAP の最後のリリース以降に変更された可能性があること また将来のリリースで変更される可能性があることに注意してください 個々のコマンドの詳細については Data ONTAP のマニュアルページを参照してください チェックサムステータス Error-Correcting Code(ECC) メモリスクラビングの統計 HA pairconfiguration がライセンスされる場合 次の情報が含まれます ** HA pairにおけるパートナーのシステムid HA pairにおけるパートナーのホスト名 HA pairノードのステータス (HA pairモニタおよび HA pair 構成インターコネクト統計など ) 選択された /etc ディレクトリファイルの内容 システムのすべての SnapLock ボリュームの有効期限日 * レジストリ情報 利用情報 * サービス統計 Boot 時間統計 * NVLOG 統計 *

173 173 Data ONTAP Mode System Administration Guide WAFL チェックグ 変更された設定 X ヘッダー情報 ブートデバイスに関する情報 (CompactFlash カードなど ) また /etc/messages および /etc/log/ems ファイルの内容は 各 AutoSupport メッセージとともに.gz 接続として送信されます autosupport.content オプションの値を complete または minimal に指定して イベントメッセージおよび週次レポートの詳細レベルを制御することができます 通常のテクニカルサポートには 詳細レベルが complete の AutoSupport メッセージが必要です 詳細レベルが minimal の AutoSupport メッセージでは 機密情報とみなされるセクションや値が省略され 送信される情報の量が限定されます minimal を選択すると 受けられるサポートのレベルに大きな影響があります

174 ストレージシステムのリモート管理 174 ストレージシステムのリモート管理 リモート管理デバイスを使用してストレージシステムをリモート管理できます リモート管理デバイスとして ストレージシステムのモデルによって Remote LAN Module (RLM) または Baseboard Management Controller (BMC) があります リモート管理デバイスは ストレージシステムの動作状態に関係なく常時作動しています このデバイスは リモートアクセス モニタリング トラブルシューティング ロギング 警報機能を含むリモートプラットフォーム管理機能を提供します RLM は 30xx 31xx 60xx ストレージシステムに内蔵されています BMC は 20xx ストレージシステムに内蔵されています 更に Remote Support Agent (RSA) が RLM のファームウェアアップグレードとしてダウンロードできます 次のトピックス RLM を使用したリモートシステム管理 BMC を使用したリモートシステム管理ファームウェアのアップグレードとしてのリモートサポートエージェント RLM を使用したリモートシステム管理 Remote LAN Module (RLM) は リモートアクセス 監視 トラブルシューティング ロギング 警告など リモートプラットフォーム管理機能を提供するリモート管理カードで 30xx 31xx 60xx ストレージシステムでサポートされています RLM は ストレージシステムの動作状態に関係なく 継続して機能します スタンバイ電圧で動作するので ストレージシステムの電源装置の少なくとも 1 つに電力が供給されていれば使用できます RLM には RLM ボードの周囲温度を検知する温度センサーが1つあります このセンサーが生成するデータは システムや RLM の環境ポリシーには使用されません このデータは ストレージシステムの問題のトラブルシューティング時に 参照用としてのみ使用されます たとえば このデータから リモートシステムの管理者は システム内の過度な温度変化によってシステムがシャットダウンしたのかどうかを判断できます ストレージシステムへの RLM の接続方法については Installing or Replacing a Remote LAN Module を参照してください 以下の図は ストレージシステムと RLM にアクセス方法を示したものです

175 175 Data ONTAP Mode System Administration Guide RLMが搭載されていない場合 シリアルコンソールを通じて またはサポートされているネットワークインターフェースを使してイーサネット接続からストレージシステムにローカルでアクセスできます ストレージシステムの管理には Data ONTAP CLIを使用します RLMを使用する場合は シリアルコンソールを通じて ストレージシステムにリモートからアクセスできます RLMはシリアルコンソールを通じてストレージシステムに直接接続されています ストレージシステムおよびRLMの管理にはData ONTAP CLIを使用します RLMを使用すると セキュアシェルクライアントアプリケーションを使用してイーサネット接続でストレージシステムにアクセスすることもできます ストレージシステムの監視およびトラブルシューティングにはRLM CLIを使用します 管理トラフィックとデータトラフィックのネットワークが分離されているデータセンター構成がある場合は 管理ネットワーク上で RLM を設定できます RLM は Operations Manager によってサポートされています 詳細については Operations Manager のオンラインヘルプを参照して下さい 次のトピックス RLM の機能 RLM の設定方法 RLM へのログイン方法 RLM によるストレージシステムの管理方法 Data ONTAP による RLM の管理方法ストレージシステムおよび RLM に関する情報の表示方法リアルタイム情報を表示する RLM CLI コマンド Data ONTAP と RLM コマンドの比較 RLM を搭載したストレージシステムのトラブルシューティング方法 RLM ファームウェアの更新方法 RLM の問題のトラブルシューティング方法

176 ストレージシステムのリモート管理 176 関連概念 e0m インターフェース 関連情報 NOW サイト -- RLM の機能 RLM コマンドラインターフェース (CLI) コマンドにより ストレージシステムにリモートからアクセスして管理したり エラー状態を診断したりできます また RLM では AutoSupport メッセージを通じてアラートや通知を送信することにより AutoSupport 機能の機能を拡張します RLM CLI コマンドを使用すると 次の機能を実行できます RLM のシステムコンソールリダイレクション機能を利用することにより Data ONTAP CLI を使用してストレージシステムをリモートから管理できます たとえストレージシステムに障害が発生しても 次の作業を実行することにより リモートからストレージシステムにアクセスして エラー状態を診断できます RLM のコンソールログ内にキャプチャされたストレージシステムのコンソールメッセージを表示する RLM のシステムイベントログにキャプチャされたストレージシステムイベントを表示する ストレージシステムのコアーダンプを開始する ストレージシステムの電源をオフにし 再度オンにする ストレージシステムをリセットする ストレージシステムを再起動する ストレージシステムが停止した場合 RLM は そのストレージシステムが AutoSupport メッセージを送信できるかどうかに関係なく AutoSupport メッセージを通じて 警告および down system または down filter 通知を送信し AutoSupport 機能を実行します RLM は 停止したシステムの代わりにこれらのメッセージを生成し AutoSupport メッセージに追加診断情報を添付する以外には ストレージシステムの AutoSupport 機能にまったく影響を及ぼしません システムの AutoSupport 動作は RLM が搭載されていない場合と同じです AutoSupport の設定値やメッセージ内容に関する RLM の動作は Data ONTAP から継承されます SNMP が有効になっていると RLM では AutoSupport メッセージに加え すべての down system または down filer イベントについて 設定されたトラップホストに対して SNMP トラップが生成されます

177 177 Data ONTAP Mode System Administration Guide RLM がサポートされ RLM モジュールが搭載およびセットアップされたシステムではハードウェアによるテイクオーバが可能です ハードウェアによるテイクオーバの詳細については Data ONTAP 7Mode High-Availability Configuration Guide を参照して下さい RLM は UNIX クライアントからの CLI アクセス用として SSH プロトコルを PC クライアントからの CLI アクセス用として PuTTY をサポートしています RLM は telnet と RSH はサポートされていません telnet および RSH プロトコルは RLM では使用できません メモ : RLM では autologout.telnet.timeout と autologout.console.timeout オプションが無視されます これらのオプションの設定値は RLM には影響しません 関連概念 RLM を搭載したストレージシステムのトラブルシューティング方法 AutoSuppor 機能 RLM の設定方法 RLM を使用する前に RLM をストレージシステムとネットワークに設定する必要があります RLM の設定は 既に RLM が搭載された新しいストレージシステムのセットアップ時 すでに RLM が搭載された新しいストレージシステムのセットアップ後 または既存のストレージシステムに RLM を追加するときに実行できます RLM は次のいずれかの方法で設定できます RLM が搭載されているストレージシステムを初期化する ストレージシステムのセットアッププロセスが完了すると rlm setup コマンドが自動的に実行されます セットアッププロセス全体の詳細については Data ONTAP Mode Software Setup Guide を参照して下さい Data ONTAP setup スクリプトを実行する setup スクリプトの終了時に rlm setup コマンドが開始されます Data ONTAPrlm setup コマンドを実行する rlm setup スクリプトが開始されると ネットワークやメールホストの情報を入力するように求めるプロンプトが表示されます 次のトピックス RLM を設定するための前提条件 RLM の設定

178 ストレージシステムのリモート管理 178 RLM を設定するための前提条件 RLM を設定する前に ネットワークおよび AutoSupport の設定に関する情報が必要です 必要な情報は次のとおりです ネットワーク情報 RLM は DHCP または静的アドレッシングを使用して設定できます 静的 IP アドレスを使用する場合 次の情報が必要です 使用可能な静的 IP アドレス ネットワークのネットマスク ネットワークのゲートウェイ AutoSupport 情報 RLM は 次の AutoSupport 設定値に基づいてイベント通知を送信します autosupport.to autosupport.mailhost RLM を設定する前に autosupport.to オプションが正しく設定されていることを確認してください RLM を設定時には AutoSupport メールホストの名前または IP アドレスを入力する必要があります メモ :RLM は通知の送信に ストレージシステムの autosupport.support.transport オプションを使用しません RLM は Simple Mail Transport Protocol (SMTP) を使用します 関連作業 AutoSupport の設定 RLM の設定 setup コマンドまたは rlm setup コマンドを使用して RLM を設定できます RLM を設定する前に AutoSupport を設定する必要があります Data ONTAP は AutoSupport 設定を自動的に RLM に送り RLM が AutoSupport メッセージを通じて警告や通知を送信することを可能にします RLM の設定には静的アドレスか DHCP アドレスを使用する必要があります 静的アドレスまたは DHCP アドレスが設定されていない場合 RLM はネットワークに接続されません 手順 1. ストレージシステムのプロントで次のコマンドのいずれかを入力します

179 179 Data ONTAP Mode System Administration Guide setup rlm setup setup を入力すると setup コマンドの実行後に rlm setup スクリプトが自動的に開始されます 2. RLM セットアップ実行中に RLM を設定するかどうか確認されたら y を入力します 3. RLM セットアップ中に RLM で DHCP を有効にするかどうか確認されたら 次のいずれかの処 理を実行します DHCP アドレス指定を使用する場合は y を入力する 静的アドレス指定を使用する場合は n を入力する 4. RLM で DHCP を有効にしない場合は 静的 IP 情報を入力するように求められます プロンプトが表示されたら 次の情報を入力します RLM の IP アドレス RLM のネットマスク RLM ゲートウェイの IP アドレス AutoSupport に使用するメールホストの名前または IP アドレス (setup コマンドを使用する場 合 ) 5. ストレージシステムのプロンプトに次のコマンドを入力して RLM ネットワーク設定が正しいことを 確認します rlm status 6. ストレージシステムのプロンプトに次のコマンドを入力して RLM AutoSupport 機能が適切に動 作していることを確認します rlm test autosupport メモ : RLM は Data ONTAP が AutoSupport に使用しているものと同じメールホスト情報を使用 します rlm test autosupport コマンドを使用するには autosupport.to オプションを適切に設定 する必要があります 次のメッセージは Data ONTAP で表示される出力の例です Sending messages via SMTP server at mailhost@companyname.com. If autosupport.enable is on, then each address in autosupport.toshould receive the test message shortly.

180 ストレージシステムのリモート管理 180 RLM の設定と設定情報表示の例 以下に 静的 IP アドレスを使用するように RLM を設定する例を示します storage-system> rlm setup The Remote LAN Module(RLM) provides remote management capabilities including console redirection, logging and power control. It also extends autosupport by sending additional system alerts. Your autosupport settings are used for sending these alerts via over the RLM LAN interface. Would you like to configure the RLM? y Would you like to enable DHCP on the RLM LAN interface? n Please enter the IP address for the RLM []: Please enter the netmask for the RLM []: Please enter the IP address for the RLM gateway []: Verifying mailhost settings for RLM use... 以下に DHCP を使用するように RLM を設定する例を示します storage-system> rlm setup The Remote LAN Module(RLM) provides remote management capabilities including console redirection, logging and power control. It also extends autosupport by sending additional system alerts. Your autosupport settings are used for sending these alerts via over the RLM LAN interface. Would you like to configure the RLM? y Would you like to enable DHCP on the RLM LAN interface? y Verifying mailhost settings for RLM use... 次の例は RLM の状態と設定情報を表示します storage-system> rlm status Remote LAN Module Status: Online Part Number: Revision: A0 Serial Number: Firmware Version: 3.0 Mgmt MAC Address: 00:A0:98:01:7D:5B Ethernet Link: up, 100Mb, full duplex, auto-neg complete Using DHCP: no IP Address: Netmask: Gateway: 関連概念 RLM を設定するための前提条件 AutoSuppor 機能 RLM へのログイン方法 RLM にログインするためには Secure Shell クライアントアプリケーションをインストールし ストレージシステム上に管理者権限が与えられていることを確認する必要があります RLM にログインするための前提条件は 次のとおりです

181 181 Data ONTAP Mode System Administration Guide SSH UNIX ホスト用の OpenSSH または Windows ホスト用の PuTTY など ご使用の管理ホスト用に適した Secure Shell クライアントアプリケーションをインストールします RLM は SSH 接続のみを受け付けます その他のプロトコルには応答しません admin ロールのクレデンシャルを持つ RLM の naroot アカウントまたは Data ONTAP ユーザーアカウント全ての通信を15 分間中断します 通信は15 分後に再開し RLM へのログインを再度試行します 稼働中の RLM のファームウェアバージョンが 4.0 以降で RLM が IPv4 アドレスを使用するように設定されている場合は RLM は SSH ログイン要求を拒否し SSH によるログインが 10 分間に 5 回連続で失敗したあとで その IP アドレスを使用したすべての通信を 15 分間中断します 通信は 15 分後に再開され RLM へのログインを再度試行できるようになります 次のトピックス RLM にアクセスできるアカウント UNIX ホストからの RLM へのログイン Windows ホストからの RLM へのログイン RLM CLI セッションとシステムコンソール 関連概念 管理ホストからのアクセスの管理方法 セキュアなプロトコルおよびストレージシステムへのアクセス RLM にアクセスできるアカウント RLM には naroot というアカウントが用意されています RLM にログインできるのは RLM の naroot アカウントと admin ロールのクレデンシャルを持つ Data ONTAP ユーザーアカウントだけです これらのユーザーは RLM で使用できるすべてのコマンドを実行できます セキュリティを高めるため RLM では Data ONTAP アカウント名の root を使用したログインは許可されません Data ONTAP の root アカウントは RLM の naroot アカウントにマッピングされます RLM にログインするには RLM の naroot アカウントと Data ONTAP の root のパスワードを使用します メモ : ストレージシステムに対する root アカウントのアクセスを無効にした場合 ストレージシステムに対する RLM naroot のアクセスも自動的に無効化されます ユーザーアカウントを RLM から直接作成することはできません ただし Data ONTAP で作成された admin ロールのクレデンシャルを持つユーザーは RLM にログインすることができます ストレージシステム上でユーザーアカウントのクレデンシャルを変更すると RLM のユーザーアカウント情報も自動的に更新されます RLM にアクセスする際 以下に示した汎用的な名前をアカウント名として使用することはできません したがって これらの名前については Data ONTAP のアカウント名として使用したり admin ロール

182 ストレージシステムのリモート管理 182 を持つ Data ONTAP グループに割り当てたりすることはできるだけ避けてください adm bin cli daemon ftp games halt lp mail man netapp news nobody operator shutdown sshd sync sys uucp www 関連概念管理者アクセスおよび診断アクセスの管理方法事前定義されたロールサポートされる機能の種類 関連作業ロールの新規作成とロールへの機能の割り当て既存のロールまたは機能の変更ストレージシステムへの root アクセスの無効化 UNIX ホストからの RLM へのログイン Unix ホストに Secure Shell アプリケーションがインストールされている場合 UNIX ホストから RLM にログインすることができます Unix ホストに Secure Shell アプリケーションがインストールされていることを確認します RLM ファームウェアバージョン 4.0 以降では RLM に対する SSHv2 アクセスのみが許可されます RLM にアクセスするために使用する UNIX ホストで SSHv2 がサポートされていることを確認する必要があります

183 183 Data ONTAP Mode System Administration Guide 手順 1. UNIX ホストから次のコマンドを入力します ssh UNIX ホストから RLM にアクセスする例次の例に naroot として RLM にアクセスする方法を示します ssh 次の例に ストレージシステムに設定された joe というユーザーカウントで RLM にログインする方法を示します ssh Windows ホストからの RLM へのログイン PuTTY などの Windows 用 Secure Shell アプリケーションをインストールしている場合 Windows ホストから RLM にログインできます RLM ファームウェアバージョン 4.0 以降では RLM に対する SSHv2 アクセスのみが許可されます RLM にアクセスするために使用する Windows ホストで SSHv2 がサポートされていることを確認する必要があります 手順 1. Secure Shell アプリケーションの Windows セッションを開始します 例 [PuTTY Configuration] ウインドウを使用して RLM にログインできます

184 ストレージシステムのリモート管理 RLM の IP アドレスを入力します 3. SSH プロトコルが選択されていることを確認します 4. [Open] をクリックして下さい 5. プロンプトが表示されたら admin ロールのクレデンシャルを持つ RLM naroot アカウントまたは DataONTAP ユーザーアカウントを使用して RLM にログインします RLM CLI セッションとシステムコンソールアクティブな RLM CLI セッションにログインできる管理者は一度に 1 人だけです ただし RLM では RLM CLI セッションと別の RLM リダイレクトシステムコンソールセッションを両方同時に開くことができます RLM プロンプトには RLM とその後にストレージシステムのホスト名が表示されます たとえば ストレージシステムの名前が toaster の場合 ストレージシステムのプロンプトは toaster> となり RLM セッションのプロンプトは RLM toaster> となります RLM CLI セッションが現在開いている場合 そのセッションを開いた管理者または RLM へのログイン権限を持つ他の管理者は 開いている RLM CLI セッションを閉じてから 新しい RLM CLI セッションを開くことができます この機能は あるコンピュータから RLM セッションにログインし セッションを閉じるのを忘れたまま別のコンピュータでの作業を開始してしまった場合や 別の管理者が別のコンピュータから管理作業を引き継ぐ場合に便利です RLM の system console コマンドを使用して RLM からストレージシステムコンソールに接続した

185 185 Data ONTAP Mode System Administration Guide 場合 システムコンソールセッションをアクティブにしたまま RLM CLI の別個の SSH セッションを開始できます Ctrl+D キーを押して ストレージシステムコンソールを終了すると RLM CLI セッションに自動的に戻ります RLM CLI セッションがすでに存在する場合は 次のメッセージが表示されます User username has an active CLI session. Would you like to disconnect that session, and start yours [y/n]? y を入力すると username で開かれたセッションは切断され 新しいセッションが開始されます このアクションは RLM のシステムイベントログに記録されます RLM によるストレージシステムの管理方法 RLM では RLM CLI を使用してストレージシステムを管理することができます RLM CLI では Data ONTAP CLI と同じ機能を使用できます CLI の機能は次のとおりです ヒストリ コマンドラインエディター オンラインコマンドラインヘルプ Data ONTAP CLI と同様 RLMCLI には 2 つの特権レベル (admin レベルと advanced レベル ) があり それぞれ異なるコマンドセットが用意されています メモ : オンラインコマンドラインマニュアルページには RLM CLI コマンドについての説明はありません 次のトピックス RLM CLI でのオンラインヘルプの使用 RLM 管理者モードで使用できる機能 RLM 管理者モードコマンド構文の概要 RLM アドバンスモードで表示できる情報 RLM からストレージシステムコンソールへの接続 RLM からのストレージシステムの電源制御 関連概念 Data ONTAP のコマンドラインインターフェース 異なる特権レベルでの Data ONTAP コマンド RLM CLI でのオンラインヘルプの使用 RLM プロンプト画面で疑問符 (?) または help を入力すると RLM オンラインヘルプによって使用可能 な RLM コマンドとオプションがすべて表示されます

186 ストレージシステムのリモート管理 186 手順 1. RLM コマンドのヘルプ情報を表示するには RLM プロンプト画面で次のいずれかを入力します help? 例 次に RLM CLI オンラインヘルプの例を示します RLM toaster> help date - print date and time exit - exit from the RLM command line interface events - print system events and event information help - print command help priv - show and set user mode rlm - commands to control the RLM rsa - commands for Remote Support Agent system - commands to control the system version - print RLM version RSA コマンドの詳細は Remote Support Agent Concepts and Customer Usage Guide を参照 して下さい 2. RLM コマンドのオプションのヘルプ情報を表示するには RLM プロンプトで次のコマンドを入力し ます help RLM_command 例 次に RLM event コマンドの RLM CLI オンラインヘルプの例を示します RLM toaster> help events events all - print all system events events info - print system event log information events newest - print newest system events events oldest - print oldest system events events search - search for and print system events 関連概念 ファームウェアのアップグレードとしてのリモートサポートエージェント RLM 管理者モードで使用できる機能 RLM 管理者モードでは RLM コマンドを使用して 大部分のタスクを実行できます

187 187 Data ONTAP Mode System Administration Guide 管理者モードでは RLM コマンドを使用して 次のことが実行できます ストレージシステムコンソールへの接続 (system console) ストレージシステムの電源制御 (system power) 次の情報の表示 使用可能なコマンド (help または?) ストレージシステムで発生するイベント (events subcommand) ストレージシステのコンソールログ (system log) ストレージシステムの電源状態 (system power status) 特権レベル (priv show) RLM の状態 (rlm status) RLM のバージョン (version) 特定のコマンドの構文の使用方法 (help command) ストレージシステムのコアのダンプとストレージシステムのリセット (system core) RLM CLI の終了 (exit) 指定したファームウェア (primary, backup, or current) を使用したストレージシステムのリセット (system reset firmware) RLM のリブート (rlm reboot) ユーザーモードの特権レベルの設定 (priv set level) RLM ファームウェアの更新 (rlm update path) Remote Support Agent (RSA) がストレージシステムにインストールされている場合 その管理 (rsa) 関連概念 ファームウェアのアップグレードとしてのリモートサポートエージェント RLM 管理者モードコマンド構文の概要 管理者モードの RLM コマンドでは RLM でサポートされる大部分のタスクを実行することができます 次の一覧に 管理者モードで使用できる RLM コマンドを示します date events {all info newest oldest search string} Exit help [command] システムの日付と時間を表示します RLM により記録されたストレージシステムイベントが表示されます RLM CLI が終了します 使用可能なコマンドの一覧が表示されます コマンドを指定した場合は そのコマンドで使用できるサブコマンドか またはそのコマンドの構文の使用方法が表示されま

188 ストレージシステムのリモート管理 188 す priv set {admin advanced diag} priv show rlm reboot rlm sensors [-c] 指定モードにアクセスするための特権レベルを設定します 現在の特権レベルが表示されます RLM がリブートされます この動作には約 1 分間かかります RLM 環境センサーの状態が表示されます -c オプションを指定すると 保存されている値ではなく現在の値が表示されます 表示には数秒かかります rlm status[-v -d] RLM の状態が表示されます -v オプションは 詳細な統計を表示します -d オプションは RLM デバッグ情報を表示します メモ : Data ONTAP sysconfig コマンドを使用すると ストレージシステムと RLM の両方の状態が表示されます rlm update path [-f] Rsa system console system core RLM ファームウェアを更新されます -f オプションは フルイメージを更新します RSA がストレージシステムにインストールされている場合は RSA を管理します メモ : RSA の詳細については Remote Support Agent Concepts and Customer Usage Guide を参照して下さい Data ONTAP CLI にログインします 終了する場合は Ctrl-D を使用します ストレージシステムコアダンプおよびストレージシステムをリセットが実行されます このコマンドの機能は ストレージシステムで Non-maskable Interrupt (NMI) ボタ ンを押した場合と同じです メモ :RLM は ストレージシステムへの宮殿が遮断されない限り 動作可能な状態を 保ちます system power {on off cycle} system power {on off cycle} system reset {primary backup current} ストレージシステムをオンオフまたは 電源再投入が実行されます スタンバイ電源は維持されます system power コマンドを使用するとストレージシステムが正常にシャットダウンされないことがあります 電源再投入の場合は 電源は一時的に停止した後 再度オンになります 各電源装置の存在 入力パワー 出力パワーなどの状態が表示されます ファームウェアイメージを指定してストレージシステムをリセットします

189 189 Data ONTAP Mode System Administration Guide メモ : RLM は ストレージシステムへの給電が遮断されない限り 動作可能な状態 を維持します version ハードウェア及びファームウェア情報など RLM のバージョン情報が表示されます 関連概念 ファームウェアのアップグレードとしてのリモートサポートエージェント RLM アドバンスモードで表示できる情報 RLM アドバンスモードのコマンドを使用すると RLM コマンドヒストリ RLMデバッグ 環境センサーの一覧 RLM 統計など 管理モードの場合よりも多くの情報が表示されます 次の表に アドバンスモードで使用できるRLMコマンドを示します rlm log audit rlm log debug rlm log messages system sensors rlm status -v RLM コマンドのヒストリが表示されます RLM デバッグファイルが表示されます RLM メッセージファイルがダンプされます 環境センサー およびその状態と現行値の一覧が表示されます RLM 統計が表示されます 関連タスク 特権レベルの設定 RLM からストレージシステムコンソールへの接続 RLM の system console コマンドを使用して RLMからストレージシステムにログインすることができます 手順 1. RLM プロンプト画面で次のコマンドを入力します system console Type Ctrl-D to exit というメッセージが表示されます 2. Enter キーを押すとストレージシステムのプロンプトが表示されます ストレージシステムコンソールを終了して RLM CLI に戻るには Ctrl-D キーを使用します ストレージシステムプロンプトが表示され Data ONTAP コマンドを入力します

190 ストレージシステムのリモート管理 190 RLM からストレージシステムコンソールへの接続の例次の例は RLMプロンプト画面で system console コマンドの入力結果を示しています ストレージシステムのプロンプトで vol status コマンドを入力し RLMプロンプトに戻ります RLM toaster> system console Type Ctrl-D to exit. (Enter キーを押すとストレージシステムのプロンプトが表示されます ) toaster> toaster> vol status ( 既存の全てのボリュームに関する情報が表示されます ) ( ストレージシステムコンソールを終了して RLM CLI に戻るには Ctrl+D キーを押します ) RLM toaster> RLM からのストレージシステムの電源制御 RLM の system power コマンドを使用して ストレージシステムの電源をリモートからオンまたはオフ にしたり 再投入したりすることができます system power cycle コマンドを使用すると システムの電源は自動的にオフになってから 再度オン に戻ります ストレージシステムがオフの状態でも 電源装置からは常にスタンバイ電圧が供給されま す これにより RLM を常時稼動させることができます 但し ストレージシステムの電源オフや電源 再投入を実行すると ストレージシステムが適切にシャットダウンされないことがあります ( ダーティシャ ットダウン ) 手順 1. RLM プロンプトで次のコマンドを入力します system power cycle 例 RLM toaster> system power cycle This will cause a dirty shutdown of your appliance. Continue? [y/n] system power コマンドの実行は Data ONTAP の halt コマンドを使用したグレースフルシャットダウンとは異なることを示す警告メッセージが表示されます 2. ストレージシステムをオフにするには y を入力します 数秒後 ストレージシステムの電源が再びオンになり プロンプトが表示されます RLM プロンプトが表示されれば コマンドを入力できます

191 191 Data ONTAP Mode System Administration Guide Data ONTAP による RLM の管理方法ストレージシステムから RLM を管理するには Data ONTAP rlm コマンドを使用して RLM で使用する AutoSupport の設定値を変更します SNMP が有効な場合 RLM はすべての down system ( システム停止 ) または down filer (Filer 停止 ) イベントに関する SNMP トラップも生成して 設定されたトラップホストに送信します 次のトピック RLM 用の Data ONTAP コマンド RLM と AutoSupport のオプション RLM と SNMP のオプション Data ONTAP および RLM に対する SNMP オプションの変更 RLM 限定の SNMP オプションの変更 RLM 用の Data ONTAP コマンド Data ONTAP には RLM のセットアップ RLM のリブート RLM のステータス表示 及び RLM のファームウェア更新等を含む RLM を管理するための rlm コマンドがあります 以下の表は RLM のための Data ONTAP のコマンドについて説明します これらのコマンドは na_rlm(1) のマニュアルページにも説明があります メモ : これらのコマンドの中には 入力するとストレージシステムが RLM にクエリを実行し 数秒間応答が戻らないものがあります これは正常な動作です RLM 用の Data ONTAP のコマンド rlm help rlm reboot rlm setup rlm status 解説 現在の Data ONTAP リリースで使用できる rlm コマンドの一覧が表示されます RLM がリブートし RLM のセルフテストが実行されます RLM を通じたコンソール接続はすべて切断されます 対話形式 RLM セットアップスクリプトが開始されます RLM の現在のステータスが表示されます rlm test autosupport autosupport.to オプションで指定されたすべての受信者にテストメールが送信されます rlm test snmp rlm update RLM で SNMP のテストを実施して snmp traphost コマンドで指定した全てのトラップホストにテスト SNMP トラップを強制的に送信します SNMP トラップの初期化については Data ONTAP 7-Mode Network Management Guide を参照してください RLM のファームウェアが更新します RLM ファームウェアをダウンロードして更新する方法は Data

192 ストレージシステムのリモート管理 192 RLM 用の Data ONTAP のコマンド 解説 ONTAP 7-Mode Upgrade Guide を参照してください 関連概念 RLM の設定方法 RLM と AutoSupport のオプション RLM は AutoSupport メッセージを通じて警告と通知を送信することによって AutoSupport 機能を拡 張します AutoSupport イベントメッセージと警告を管理する場合は AutoSupport オプションを使用 します 次のオプションを使用すると AutoSupport イベントメッセージおよび警告を管理できます autosupport.to autosupport.mailhost autosupport.content オプションを使用すると Data ONTAP 及び RLM の AutoSupport コマンドが 表示する情報量を変更できます 関連コンセプト AutoSupport イベントメッセージの内容 AutoSupport オプション RLM と SNMP のオプション SNMP が有効な場合 RLM は 全ての dowm system ( システム停止 ) または down filer (Filer 停 止 ) イベントに関する SNMP トラップも生成して 設定されたトラップホストに送信します Data ONTAP および RLM に対する SNMP オプションの変更 snmp.enable. オプションを使用し Data ONTAP と RLM の両方に対応する SNMP トラップを有効または無効にすることができます コマンド options snmp.enable は Data ONTAP と RLM の両方に対応する SNMP トラップを有効または無効にするマスタコントローラとして機能します Data ONTAP と RLM の両方に対応する SNMP トラップを有効にするには snmp.enable オプションを on に設定しておきます 手順 1. 次のコマンドを入力して Data ONTAP と RLM 用の SNMP トラップを有効または無効にします options snmp.enable [on off]

193 193 Data ONTAP Mode System Administration Guide デフォルトオプションは on です メモ : ストレージシステムで SNMP トラップを有効に設定していても 現在インストールされている RLM ファームウェアで SNMP がサポートされていない場合は RLM ファームウェアのアップグレードを要求する EMS メッセージが記録されます ファームウェアのアップグレードが実行されるまで RLM 上で SNMP トラップはサポートされません RLM ファームウェアのダウンロード方法および更新する方法については Data ONTAP 7-Mode Upgrade Guide を参照して下さい 関連タスク Data ONTAP および RLM に対する SNMP オプションの変更 RLM 限定の SNMP オプションの変更 RLM に対してのみ SNMP トラップを無効にして Data ONTAP に対応した SNMP トラップを有効な まま残すことができます 手順 1. RLM 限定の SNMP トラップを無効にするには 次のコマンドを入力します options rlm.snmp.traps off デフォルトオプションは on です rlm.snmp.traps オプションが off に設定されている場合は システムがブートするたびに EMS メッセージが表示されて RLM に関する SNMP トラップサポートが現在無効であること および rlm.snmp.traps オプションを on に設定すれば このサポートを有効にできる という内容が通知されます この EMS メッセージは therlm.snmp.traps オプションが off に設定されていて Data ONTAP コマンドを実行して SNMP トラップを RLM で送信しようとした場合にも表示されます Data ONTAP の SNMP トラップが無効になっている場合には RLM についてのみ SNMP トラップを有効にすることはできません options snmp.enable のオプションを off に設定すると options rlm.snmp.traps が on に設定されていても Data ONTAP と RLM の両方で SNMP トラップの送信が停止します つまり 次のコマンドシーケンスを実行しても RLM 限定の SNMP トラップは有効になりません options snmp.enable off options rlm.snmp.traps on 関連タスク Data ONTAP および RLM に対する SNMP オプションの変更

194 ストレージシステムのリモート管理 194 ストレージシステムおよび RLM に関する情報の表示方法 RLM を使用すると いくつかの方法でストレージシステムと RLM 自体についての情報を表示できます admin モードかアドバンスモードのコマンドを使用して リアルタイムの情報を表示することも RLM の SEL( システムイベントログ ) またはコンソールログに保存されている情報を表示することもできます RLM が作成した AutoSupport メッセージに表示される情報を表示することもできます ほとんどの情報は SEL 内またはキャプチャされたコンソールのメッセージ内に保存されています すべてのログエントリは Coordinated Universal Time(UTC) で記録ます メモ :RLM では ストレージシステムのタイムゾーンの設定値は使用されません 次のトピックリアルタイム情報を表示する RLM CLI コマンド電源再投入中のストレージシステムの監視方法システムイベントログと RLM コンソールログおよび RLM RLM が搭載されたシステムの AutoSupport メッセージ リアルタイム情報を表示する RLM CLI コマンド管理者モードで RLM CLI コマンドを使用すると ストレージシステムの電力状態 RLM のステータス 及び RLM のバージョンを表示できます アドバンスモードで RLM CLI コマンドを使用した場合は 内部 RLM 統計と RLM 環境センサーを表示できます 管理者モードで RLM CLI コマンドを使用すると 次の情報を表示できます ストレージシステムの電力状態 (system power status) RLM のステータス (rlm status) RLM のバージョン (version) アドバンスモードで RLM CLI コマンドを使用すると 次の情報を表示できます 内部 RLM の統計 (rlm status -v) RLM 環境センサー (rlm sensors) 管理者モードの RLM CLI 以下の例は RLM 管理者モードのプロンプトでコマンドを使用して情報を表示する方法を示しています

195 195 Data ONTAP Mode System Administration Guide RLM toaster> system power status Power supply1 status: Present: yes Turned on by Agent: yes Output power: yes Input power: yes Fault: no Power supply 2 status: Present: yes Turned on by Agent: yes Output power: yes Input power: yes Fault: no RLM toaster> rlm status eth0 Link encap:ethernet HWaddr 00:A0:98:01:9C:4B inet addr: Bcast: Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:8972 errors:0 dropped:0 overruns:0 frame:0 TX packets:72 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes: (608.1 kb) TX bytes:8765 (8.5 kb) Interrupt:15 RLM toaster> version serial#= part# rev#12 Agent revision: 12 Primary- RLM_version=x.y (date) Backup- RLM_version=x.y (date) Booted primary image アドバンスモードの RLM CLI 次の例は RLM アドバンスモードのプロンプトでコマンドを使用して情報を表示する方法を示しています (... は詳細が省略されていることを表します ) RLM toaster*> rlm status -v eth0 Link encap:ethernet HWaddr 00:A0:98:01:9C:4B inet addr: Bcast: Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:8972 errors:0 dropped:0 overruns:0 frame:0 TX packets:72 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes: (608.1 kb) TX bytes:8765 (8.5 kb) Interrupt:15 packet reader daemon

196 ストレージシステムのリモート管理 restarts 1 port config errors 0... packet writer daemon restarts 0 port config errors 0... console logger daemon logger restarts 0 logger input packets 0... downbeat daemon Downbeat restarts 0 Downbeat packets 0... upbeat daemon Upbeat restarts 1 Upbeat packets 93 ECC memory total corrections 0 totat uncorrectable errors 0... Watcher daemon watcher restarts 0 agentd restarts 0... RLM toaster*> rlm sensors Sensor Sensor Sensor Critical Warning Warning Critical Name State Reading Low Low High High ======== ===== ====== ====== ====== ====== ===== Temperature Normal 19C N/A 0C 45C 60C 電源再投入中のストレージシステムの監視方法ストレージシステムの電源再投入時には RLM コンソールにブートの進行に関するリアルタイムメッセージは表示されません 電源再投入中にストレージシステムを監視するには SSH を使用して RLM CLI へログインし Data ONTAP とのシステムコンソールのセッションを開始します このシステムコンソールをアクティブにしたまま RLM CLI を使用して 2 つ目の SSH セッションを開始します これで RLM CLI を操作しながら システムコンソールを通じてストレージシステムにアクセスできます RLM を使用してストレージシステムの電源再投入を実行すると システムーコンソールへのアクティブセッションを通じて システムブートの進行状況など システムからのリアルタイム出力を表示できます

197 197 Data ONTAP Mode System Administration Guide システムイベントログと RLM RLM には SEL ( システムイベントログ ) に最大 4,000 件までのシステムイベントを保存する不揮発性メモリバッファーがあります SEL には 各監査ログエントリが監査イベントとして保存されます SEL は RLM のオンボードフラッシュメモリに格納されます バッファーが満杯になると 最も古いレコードが新しいレコードによって上書きされます SEL に保存された監査ログエントリおよびその他の保存イベントは events コマンドを入力することで表示できます ただし また rlm log audit コマンドを使用すると SEL から監査ログを簡単に検索できます ただし デバッグログとメッセージログは RLM 上の RAM に個別に保存され RLM ファームウェアのデバッグデータに使用されます SEL に保存されるのは プラットフォーム固有のイベントです このログは 自己完結型であり Syslog Translator はサポートしていません このログは システム問題の診断に役立てることを主な目的としています このログのイベント一覧は RLM によって AutoSupport 電子メールに添付され 指定された受信者に自動的に送信されます このレコードは 次のデータが含まれています RLM が検出したハードウェアイベント 例えば 電源装置 電圧またはその他のコンポーネントについてのシステムセンサーの状態など RLM が検出したエラー ( ストレージシステムまたは RLM が生成したもの ) 例えば 通信エラー ファン障害 メモリまたは CPU エラー または boot image not found メッセージなど ストレージシステムが RLM に送信した重大なソフトウェアイベント 例えば システムパニック 通信障害 不測のブートローダプロンプト ブート障害 system reset または system power cycle コマンド入力の結果として生じたユーザー起因の down system ( システム停止 ) など メモ : SEL は RLM のクロックを使用してイベントのタイムスタンプを生成します RLM は ストレージシステムが起動するとすぐに ストレージシステムとクロックの同期をとります 但し 同期化には数秒かかります その数秒間にイベントが発生した場合 それらのタイムスタンプは1970 年 1 月 1 日になります 次の例は RLM events コマンドの入力結果を示します RLM toaster> events search WD Record 5: Tue Mar 29 07:39: [Agent Event.warning]: FIFO 0x8FFF - Agent XYZ, L1_WD_TIMEOUT asserted. Record 6: Tue Mar 29 07:39: [Agent Event.critical]: FIFO 0x8FFE - Agent XYZ, L2_WD_TIMEOUT asserted コンソールログおよび RLM RLM は 管理者がコンソールにログインまたはコンソール接続の有無に関わらず ストレージシステムコンソールを監視します コンソールにストレージシステムメッセージが送信されると RLM はそれをコンソールログに保存します コンソールログは RLM メインメモリ内のバッファ (96KB) に配置され

198 ストレージシステムのリモート管理 198 ています コンソールログは 約 2,000 行のシステムコンソールメッセージを保存できます バッファーが満杯になると 最も古いメッセージが新しいメッセージによって上書きされます ストレージシステムのいずれかの電源装置から RLM に給電されていれば コンソールログの機能は維持されます RLM はスタンバイ電源で動作するので ストレージシステムの電源再投入時または電源オフ時にも使用可能です autosupport.content オプションが complete に設定されていている場合に down filer (filer 停止 ) システムハングまたはリーブトループ状態が発生すると RLM が送信する AutoSupport メッセージにコンソールログが添付されます コンソールログの内容を表示するには RLM CLI の system log コマンドを使用します RLM が搭載されたシステムの AutoSupport メッセージ RLM が搭載されたストレージシステムの場合は さらに2 種類の AutoSupport メッセージが生成されます 1つは RLM によって生成されるストレージシステムに関する AutoSupport メッセージ もう1つはストレージシステムによって生成される RLM に関する AutoSupport メッセージです RLM によって生成される AutoSupport メッセージは次の情報が含まれます 件名行 ストレージシステムの RLM からのシステム通知 その AutoSupport メッセージの送信原因となったシステム条件またはイベント およびログレベル メッセージ本文 RLM の設定及びバージョン情報 ストレージシステムの ID シリアル番号 モデルおよびホスト名 gzip 化された添付ファイル システムイベントログ RLM が判断したシステムセンサー状態 コンソールログ (autosupport.content オプションを minimal に設定することにより コンソールログは省略可能 ) 通常 RLM が生成する AutoSupport メッセージは次の条件下で生成されます ストレージシステムが突然リブートした場合 ストレージシステムが RLM との通信を停止した場合 watchdog リセットが発生した場合 watchdog は ハードウェアのビルドインセンサーで ストレージシステムの停止や無応答状態を監視します watchdog ではこのような状態を検地するとストレージシステムをリセットするため システムが自動的にリブートして動作を開始します この機能は 自動サーバリスタートと呼ばれることもあります RLM はストレージシステム上で watchdog 生成イベントの発生を検出すると このイベントを記録します さらに必要に応じて このイベントに関する AutoSupport アラートを送信します ストレージシステムの電源再投入が行われた場合 ファームウェアの POST エラーが発生した場合

199 199 Data ONTAP Mode System Administration Guide ユーザー起因の AutoSupport メッセージが発生した場合ストレージシステムによって生成される AutoSupport メッセージには次の情報が含まれます 件名行 RLM が搭載されたストレージシステム ( 名前 ) からのシステム通知 その AutoSupport メッセージの送信原因となった RLM 条件またはイベントの説明 およびログレベル メッセージ本文 タイムスタンプ ストレージシステムのソフトウェアのバージョン ストレージシステム ID ホスト名 sysconfig a コマンドからの出力 Gzip 化された添付ファイル EMS, rc, exports, hosts, resolv_conf, nsswitch_conf, cm_stats からのメッセージ通常 RLM に関してストレージシステムが生成する AutoSupport メッセージは 次の条件下で生成されます RLM がストレージシステムとの通信を停止した場合 RLM ソフトウェアに障害が発生した場合 RLM ハードウェアに障害が発生した場合 関連概念 AutoSupport イベントメッセージの内容 AutoSupport メッセージ Data ONTAP と RLM コマンドの比較 RLM を管理するために Data ONTAP コマンドまたは RLM コマンドのどちらを使用するかは 実行するタスクの内容によって異なります 次の表に RLM の管理に使用される Data ONTAP コマンドとストレージシステムの管理に使用される RLM コマンドを示します 動作 Data ONTAP コマンドまたは手順 RLM コマンド 新しいストレージシステムの RLM をセットアップする 既存のストレージシステムの RLM を再設定する RLM の AutoSupport 設定をテストする RLM で SNMP テストを実施する Data ONTAP の rlm コマンドを表示する 新しいストレージシステムの電源を on にします ストレージシステム設定プロセスが完了すると rlm setup コマンドが自動的に実行し RLM 設定情報を表示します setup または rlm setup メモ :setup コマンドを使用している場合 setup が実行を終了すると rlm setup コマンドが開始されます rlm test autosupport rlm test snmp rlm help

200 ストレージシステムのリモート管理 200 動作 Data ONTAP コマンドまたは手順 RLM コマンド RLM にログインする RLM CLI コマンドを表示する RLM がログに記録した最新の 20 件のイベントを表示する イベントログ内のレコードについての要約を表示する UNIX ホストで次のように入力します ssh help または? events newest 20 events info RLM が設定されているかどうかを表示する RLM の設定を表示する RLM が収集した統計値情報を表示 ストレージシステムのリソースを管理するためにシステムにログイン ストレージシステムのシステムコアをダンプおよびリセットを実行する options rlm.setup メモ : RLM は setup または rlm setup コマンドで設定されます rlm status or sysconfig -v メモ : sysconfig v はアドバンスモードのみ実行できます rlm status -v メモ : アドバンスモードのみ実行できます rlm status rlm status -v system console メモ : RLM CLI へ戻る場合は Ctrl-D を使用します system core RLM のリセットする rlm reboot rlm reboot RLM ファームウェア software install -f を更新する rlm update[-f] メモ : rlmupdate コマンドの -f オプションはアドバンスモードでのみ実行できます -f オプションの使用タイミングについての詳細は Data ONTAP 7- Mode Upgrade Guide を参照してください rlm update [-f] メモ : -f オプションを指定すると フルイメージの更新が行われます RLM を搭載したストレージシステムのトラブルシューティング方法ストレージシステムに問題が生じた場合は ストレージシステムのファームウェアが壊れていても RLM を使用して問題についての情報の表示 システムコアダンプ およびストレージシステムのリブートを実行できます ストレージシステムのトラブルシューティングに使用できるコマンドについて 次の表を参照してください メモ : AutoSupport 機能が設定されている場合 RLM からストレージシステムと RLM の両方に関する

201 201 Data ONTAP Mode System Administration Guide 状態メッセージが送信されます 現象 目的 RLM CLI プロンプトに入力するコ マンド ストレージシステムが適切に応答しない パニックまたはダウンしたハードウェアコンポーネントまたはストレージシステムの障害など 発生中または発生したイベントについての AutoSupport メッセージを受信した ストレージシステムが停止している ストレージシステムのファームウェアが破損した ストレージシステムのコンソールシステムにアクセスする ストレージシステムコンソールで発生したイベントの表示する 最新のものからすべてのイベントを表示する 特定の数の最新イベントを表示する SEL 内の特定のイベントを検索する ストレージシステムコアをダンプし システムをリブートする ストレージシステムの電源を再投入する ストレージシステムのファームウェアのバックアップコピーを使用してブートする system console system log events all events newest number events search string system core system power cycle system reset backup RLM ファームウェアの更新方法 RLM ファームウェアをダウンロードして更新するには Data ONTAP CLI または RLM CLI を使用します RLM ファームウェアのダウンロード方法と更新方法および RLM ファームウェアの更新問題をトラブルシュートする方法については Data ONTAP 7-Mode Upgrade Guide を参照して下さい RLM の問題のトラブルシューティング方法 RLM の問題は 通信問題 設定問題 接続問題 RLM ハードウェア障害 または RLM ファームウェア更新に関する問題が原因であると考えられます 次のトピックス RLM の通信問題のトラブルシューティング RLM の設定問題のトラブルシューティング RLM 接続問題のトラブルシューティング RLM ハードウェア障害のトラブルシューティング

202 ストレージシステムのリモート管理 202 RLM の通信問題のトラブルシューティング ストレージシステムと RLM と間の通信障害により RLM の問題が発生する場合があります 手順 1. ストレージシステムと RLM の間の通信に障害が発生した場合は 次のタイトルの EMS イベントを検索します [rlm.orftp.failed:warning]: RLM communication error, (reason) RLM の設定問題のトラブルシューティング RLM の設定に問題がある場合は IP 設定が正しいかどうかを確認します 手順 1. ストレージシステムのプロンプトで次のコマンドを入力して RLM がオンライン状態になっていること および IP 接続が正しいことを確認します rlm status 2. RLM が DHCP を通じて設定されている場合は ストレージシステムのプロンプトで次のコマンドを入力し 静的 IP アドレスを使用して RLM を再設定します rlm setup RLM 接続問題のトラブルシューティング RLM への接続に問題がある場合は セキュアシェルクライアントを使用していて IP の設定が正し いことを確認します 手順 1. RLM への接続にセキュアシェルクライアントを使用していることを確認します 2. ストレージシステムのプロンプトで次のコマンドを入力して RLM がオンライン状態になっていること および IP の設定が正しいことを確認します rlm status 3. 管理ホストから 次のコマンドを入力して RLM のネットワーク接続をテストして下さい ping rlm_ip_address 4. ping が失敗した場合は 次のいずれかの操作を実行します

203 203 Data ONTAP Mode System Administration Guide ストレージシステムの背面にある RLM ネットワークポートにケーブルが接続され アクティブな状態になっていることを確認します 詳細については ご使用のストレージシステムの設置およびセットアップ説明書を参照してください RLM の IP アドレスが有効であることを確認します ストレージシステムのプロンプトで rlm setup コマンドを入力して DHCP を使用するか または有効な IP アドレスを割り当てます 管理ホストに RLM への経路が設定されていることを確認します 5. ストレージシステムのプロンプトから次のコマンドを入力して RLM をリブートします rlm reboot メモ :RLM のリブートには約 1 分間かかります 6. RLM が再起動しない場合 手順 2 から5までを再度実行します それでも RLM が再起動しない場合は テクニカルサポートに連絡して下さい 関連概念 RLM へのログイン方法 RLM ハードウェア障害のトラブルシューティング RLM で発生したハードウェア障害が RLM の問題を引き起こす場合があります RLM に障害が発生すると 次のような EMS イベントが見つかります [rlm.heartbeat.stopped:warning]: Have not received a Heartbeat from the Remote LAN Module in the last n seconds, (reason) 手順 1. プロンプトから次のコマンドを入力して診断を実行します boot_diags 診断のメインメニュが表示されます all mb mem agent cf-card fcal stress Run all system diagnostics motherboard diagnostic main memory diagnostic agent & rlm diagnostic CompactFlash controller diagnostic FCAL controller diagnostic System wide stress diagnostic Commands: Config (print a list of configured PCI devices) Default (restore all options to default settings) Exit (exit diagnostics and return to firmware prompt) 2. メインメニュから 次のオプションを入力します agent

204 ストレージシステムのリモート管理 204 例 Enter Diag, Command or Option: agent Agent Diagnostic : Comprehensive test 2: Appl-Agent interface test 3: Appl PS On-Off test 70: Show Agent ring buffer info 4: RLM Memory test 71: Show RLM info 5: RLM Sensor test 72: Show Restart reason 6: RLM-Agent interface test 7: RLM IRQ test 8: RLM NMI test 91: Enable/disable looping 92: Stop/continue on error 11: RLM PS On-Off test 93: Extended/Normal test 99: Exit Select test or feature by number [0]: 3. RLM の診断プロンプトに テスト番号 1 を入力します 例 Select test or feature by number [0]: 1 メモ : このテスト完了には約 10 分かかります この手順によって テスト2~8および11を含む全体的なテストが開始されます 各テストの結果が表示されます 4. 手順 3の結果に基づき 問題を診断します 問題が解決されない場合は RLM を取り外してから取り付け直し 手順 1~4を再度実行します それでも問題が持続する場合は RLM を交換します BMC を使用したリモートシステム管理 Baseboard Management Controller(BMC) は FAS20xx ストレージシステムのマザーボードに内蔵されたリモート管理デバイスです BMC はリモートアクセス 監視 トラブルシューティング ロギング 警告など リモートプラットフォーム管理機能を提供します BMC ファームウェアでは Intelligent Platform Management Interface(IPMI) バージョン 2.0 がサポートされます このインターフェースでは コンソールリダイレクションにおいて Serial Over LAN をデフォルトでサポートされます BMC は ストレージシステムの動作状態に関係なく 継続して機能します BMC および専用のイーサネット NIC では いずれもスタンバイ電圧を利用することで高可用性に対応します ストレージシス

205 205 Data ONTAP Mode System Administration Guide テムの電源装置の少なくとも 1 台に電力が供給されている限り BMC は利用可能です BMC は ストレージシステム不揮発性メモリ (NVMEM) バッテリ マザーボード および CPU の温度センサーや ストレージシステムの電圧レベルのセンサーといった環境センサーを監視します BMC により 環境センサーの状態が正常範囲外であることが検出されると AutoSupport メッセージが生成され ストレージシステムがシャットダウンされます センサーが生成したデータは ストレージシステムの問題のトラブルシューティング時に参考基準として利用できます 例えば このデータから リモートのシステムの管理者はシステム内の過度な温度変化によってシステムがシャットダウンしたのかどうかを判断できます BMC では BIOS 電源 CPU シリアル接続 SCSI(SAS) ディスクの状態を対象とした非環境センサも監視されます これらのセンサーは BMC により記録され サポート担当者が利用することができます 次の表は BMC が監視する各センサーの名前と説明を示します センサー名 内容 1.1V ボード ボードの 1.1V センサー 1.2V ボード ボードの 1.2V センサー 1.5V ボード ボードの 1.5V センサー 1.8V ボード ボードの 1.8V センサー 2.5V ボード ボードの 2.5V センサー 3.3V ボード ボードの 3.3V センサー CPU 1.2V ボード CPU の 1.2V センサー 12.0V ボード電源の 12V センサー BIOS Status Board Temp Top Board Temp Bot CPU Status CPU Temp Power Status Batt Amp Batt Capacity Charger Amp Charger Cycles Charger Volt Batt Temp Batt Run Time BIOS ステータスが正常かボード上部の温度ボード下部の温度 CPU の状態の正常値 CPU の温度電源オン / オフバッテリ電流バッテリ容量バッテリ充電電流バッテリ充電サイクルバッテリ電流電圧バッテリ温度バッテリ稼動時間

206 ストレージシステムのリモート管理 206 センサー名 Batt 8.0V NVMEM 1.8V NVMEM 8.0V SAS Status 内容 メモ :Batt Run Time センサーが表示するデータ保存時間は予想時間で 正確な数値ではありませんので ご注意ください バッテリ 8.0 V NVMEM 1.8 V NVMEM 8.0 V SAS の状態の正常値 次の図は ストレージシステムと BMC へのアクセス方法を示したものです BMC を使用した場合 ストレージシステムに次の方法でアクセスできます セキュアシェルクライアントアプリケーションによりイーサネット接続を使用 : セキュアシェルクライアントアプリケーションを使用したイーサネット接続ストレージシステムの監視およびトラブルシューティングには BMC CLI を使用します シリアルコンソールを使用 : ストレージシステムおよび BMC の管理には Data ONTAP CLI を使用します 管理トラフィックとデータトラフィックのネットワークが分離されているデータセンタ構成の場合は 管理ネットワーク上に BMC を設定できます 次のトピックス BMC の機能 BMC の設定方法 Data ONTAP による BMC の管理方法 BMC および AutoSupport オプション BMC へのログイン方法 BMC によるストレージシステムの管理方法

207 207 Data ONTAP Mode System Administration Guide ストレージシステムおよび BMC に関する情報の表示方法 Data ONTAP と BMC コマンドの比較 BMC を搭載したストレージシステムのトラブルシューティング方法 BMC ファームウェアの更新方法 BMC の問題のトラブルシューティング方法 BMC の機能 BMC のコマンドラインインターフェース (CLI) コマンドにより ストレージシステムにリモートからアクセスして管理したり エラー状況を診断したりできます また BMC では AutoSupport メッセージを通じてアラートや通知を送信することにより AutoSupport の機能を拡張します BMC は ストレージシステムに次のリモート管理機能を提供します 以下の機能の実行には BMC CLI コマンドを使用します BMC のシステムコンソールリダイレクション機能を使用することにより Data ONTAP CLI を使用してストレージシステムを管理できます たとえストレージシステムに障害が発生ししても 次のタスクを実行することにより ストレージステムにアクセスして エラー状態を診断できます BMC のシステムコンソールログ内にキャプチャされたストレージシステムのコンソールメッセージを表示する BMC のシステムイベントログ内にキャプチャされたストレージシステムのイベントを表示する ストレージシステムのコアダンプを開始する ストレージシステムの電源をオフにし 再度オンにする コントローラモジュールと NVMEN バッテリに対する環境センサー と環境以外のセンサーを監視できます ストレージシステムのプライマリファームウェアハブのイメージが壊れた場合に プライマリとバックアップのファームウェアハブを切り替えることで ブートおよびリカバリ作業に役立てることができますストレージシステムが停止した場合 BMC はそのストレージシステムが AutoSupport メッセージを送信できるかどうかに関係なく AutoSupport メッセージを通じて警告および down system または down filer 通知を送信し AutoSupport 機能を実行します BMC は停止したシステムの代わりにこれらのメッセージを生成し AutoSupport メッセージに追加診断情報を添付する以外には ストレージシステムの AutoSupport 機能には影響を及ぼしません システムの AutoSupport 動作は BMC が搭載されていない場合と同じです BMC の AutoSupport 設定値やメッセージ内容に関する BMC の動作は Data ONTAP から継承されます BMC は UNIX クライアントからの CLI アクセス用として SSH プロトコルと PC クライアントからの CLI アクセス用として PuTTY をサポートしています Telnet と RSH はサポートされていません これらのプロトコルは BMC では使用できません また これらのプロトコルを有効または無効にするシステムオプションは BMC には影響しません

208 ストレージシステムのリモート管理 208 メモ : BMC では autologout.telnet.timeout と autologout.console.timeout オプションを無視され ます これらのオプションの設定値は BMC には影響しません 関連概念 BMC を搭載したストレージシステムのトラブルシューティング方法 AutoSuppor 機能 BMC の設定方法 BMC を使用する前に ストレージシステムおよびネットワークに BMC を設定する必要があります BMC の設定は すでに BMC が搭載された新しいストレージシステムのセットアップ時 またはすでに BMC が搭載された新しいストレージシステムのセットアップ後に実行できます BMC が搭載されているストレージシステムを初期化するストレージシステムのセットアッププロセスが完了すると bmc setup コマンドが自動的に開始されます セットアッププロセス全体の詳細については Data ONTAP 7-Mode Software Setup Guide を参照して下さい Data ONTAP setup スクリプトを実行する Setup スクリプトの終了時に bmc setup コマンドが開始されます Data ONTAP bmc setup コマンドを実行する bmc setup スクリプトが開始されると ネットワークやメールホストの情報を入力するよう求めるプロンプトが表示されます 次のトピックス BMC を設定するための前提条件 BMC の機能 BMC を設定するための前提条件 BMC を設定する前に ネットワークと AutoSupport 設定に関する情報が必要です 必要な情報は次の通りです ネットワーク情報 BMC は DHCP または静的アドレス使用して設定できます DHCP アドレスを使用する場合は BMC の MAC アドレスが必要です BMC の MAC アドレスは Bmc status コマンドを使用するか または BMC の MAC アドレスラベルから調べることができます メモ : 指定された BMC MAC アドレスが有効でないと システムのブート中 あるいは bmc

209 209 Data ONTAP Mode System Administration Guide status コマンドや setup コマンドの実行時に EMS メッセージが表示されます 静的 IP アドレスを使用する場合は 次の情報が必要です 使用可能な静的 IP アドレス ネットワークのネットマスク ネットワークのゲートウェイ AutoSupport 設定 BMC では Data ONTAP が AutoSupport に使用するのと同じメールホスト情報が使用されます BMC には 独自のメールホスト設定がありません BMC は 次の Data ONTAP AutoSupport 設定に基づいてイベント通知を送信します autosupport.to autosupport.mailhost BMC を設定する前に autosupport.to オプションが正しく設定されていることを確認してください メモ : BMC は 通知の送信に ストレージシステムの autosupport.support.transport オプションを使用しません BMC は Simple Mail Transport Protocol(SMTP) を使用します 関連タスク AutoSupport の設定 BMC の設定 setup コマンドか bmc setup コマンドを使用して BMC を設定できます BMC を設定する前に AutoSupport 設定する必要があります Data ONTAP が AutoSupport 設定を自動的に BMC に送信し BMC は AutoSupport メッセージを通じて警告や通知を送信することができます 手順 1. ストレージシステムのプロンプト画面で 次のコマンドのいずれかを入力します setup bmc setup setup コマンドの実行後に bmc setup スクリプトが自動的に起動します 2. BMC setup が BMC を設定する場合は y を入力します 3. BMC の DHCP を使用する場合は 次のいずれかを入力します DHCP アドレス指定を使用する場合 y を入力します

210 ストレージシステムのリモート管理 210 静的アドレス指定を使用する場合 n を入力します メモ : DHCPv6 サーバは現在サポートされていません 4. BMC で DHCP を有効にしない場合は 静的な IP 情報を入力するように求められます プロンプトが表示されたら 次の情報を入力します BMC の IP アドレス BMC のネットマスク BMC ゲートウェイの IP アドレス AutoSupport に使用するメールホストの名前または IP アドレスメモ : BMC との接続に現在使用できるのは IPv4 アドレスのみです 5. BMC の Address Resolution Protocol (ARP) インターバルの入力を求めるメッセージが表示された場合は 入力します 6. システムのリブートを求めるメッセージが表示されたら ストレージシステムのプロンプトで次のコマンドを入力します reboot 7. BMC のネットワーク設定が適切であることを確認するために ストレージシステムのプロンプトで 次のコマンドを入力します bmc status 8. ストレージシステムのプロンプトで 次のコマンドを入力して BMC の AutoSupport 機能が正しく作動していることを確認して下さい bmc test autosupport メモ : BMC は Data ONTAP が AutoSupport に使用するものと同じメールホスト情報を使用します bmc test autosupport コマンドが autosupport.to オプションを正しく設定されていることを確認する必要があります BMC の AutoSupport 機能のセットアップが正常に設定されている場合 次のメッセージが出力されます BMC 次の例は BMC が静的 IP アドレスを使用するように設定されていることを示します The Baseboard Management Controller (BMC) provides remote management capabilities including console redirection, logging and power control. It also extends autosupport by sending down filer event alerts. Would you like to configure the BMC [y]: y Would you like to enable DHCP on the BMC LAN interface [y]: n Please enter the IP address for the BMC []: Please enter the netmask for the BMC []: Please enter the IP address for the BMC Gateway []: Please enter gratuitous ARP Interval for the BMC [10 sec (max 60)]:

211 211 Data ONTAP Mode System Administration Guide The mail host is required by your system to enable BMC to send ASUP message when filer is down Please enter the name or IP address of the mail host []: You may use the autosupport options to configure alert destinations. Now type 'reboot' for changes to take effect. 以下に DHCP を使用するように BMC を設定する例を示します The Baseboard Management Controller (BMC) provides remote management capabilities including console redirection, logging and power control. It also extends autosupport by sending down filer event alerts. Would you like to configure the BMC [y]: y Would you like to enable DHCP on the BMC LAN interface [y]: y Please enter gratuitous ARP Interval for the BMC [10 sec (max 60)]: The mail host is required by your system to enable BMC to send ASUP message when filer is down Please enter the name or IP address of the mail host: You may use the autosupport options to configure alert destinations. Now type 'reboot' for changes to take effect. 以下に BMC のステータスおよび設定情報の例を示します Baseboard Management Controller: Firmware Version: 1.0 IPMI version: 2.0 DHCP: off BMC MAC address: ff:ff:ff:ff:ff:ff IP address: IP mask: Gateway IP address: BMC ARP interval: 10 seconds BMC has (1) user: naroot ASUP enabled: on ASUP mailhost: mailhost@companyname.com ASUP from: postmaster@companyname.com ASUP recipients: recipient@companyname.com Uptime: 0 Days, 04:47:45 関連概念 BMC を設定するための前提条件 Data ONTAP による BMC の管理方法ストレージシステムから BMC を管理するには Data ONTAP bmc コマンドを使用し BMC で使用される AutoSupport の設定値を変更します 次のトピック Data ONTAP による BMC の管理方法 BMC および AutoSupport オプション

212 ストレージシステムのリモート管理 212 BMC 用の Data ONTAP コマンド Data ONTAP には BMC を管理するために bmc コマンドがあります このコマンドで BMC のセットアップ 再起動 ステータス表示 ファームウェア更新などができます 次の表で BMC で使用する Data ONTAP コマンドについて説明します これらのコマンドについては na_bmc(1) マニュアルページにも説明があります メモ : コマンドのなかには入力するとストレージシステムが BMC にクエリを実行し 数秒間応答が戻らないものもあります これは正常な動作です BMC 用の Data ONTAP コマンド bmc help bmc setup bmc status bmc test autosupport 説明 現在の Data ONTAP リリースで使用できる bmc コマンドの一覧が表示されます LAN の構成を設定する対話形式 BMC setup プログラムを開始します BMC のステータスが表示されます メモ :The Data ONTAP sysconfig コマンド を使用すると ストレージシステムと BMC の両方の状態が表示されます 次のオプションで指定されたすべての受信者にテスト用の電子メールが送信されます autosupport.enable autosupport.support.enable autosupport.mailhost autosupport.from autosupport.to autosupport.noteto autosupport.support.to bmc reboot BMC がリブートし BMC のセルフテストが実行されます BMC を通じたコンソール接続はすべて切断されます メモ :BMC がリブートされると BMC を通じたコンソール接続が一時的に中断します コンソールウィンドウが数秒フリーズすることがあります 関連コンセプト BMC の設定方法 BMC および AutoSupport オプション BMC は AutoSupport メッセージで警告および通知を送信することにより AutoSupport 機能を拡張

213 213 Data ONTAP Mode System Administration Guide します AutoSupport イベントメッセージと警告を管理する場合は AutoSupport オプションを使用します BMC は 次のオプションの設定を使用して イベントメッセージおよび警告を送信します autosupport.to autosupport.mailhost autosupport.content オプションを使用すると DataONTAP および BMC の AutoSupport コマンドで 表示される情報量を変更できます AutoSupport オプション AutoSupport イベントメッセージの内容 BMC へのログイン方法 BMC にログインする前に セキュアシェルクライアントアプリケーションをインストールし ストレージシステムに対する管理者権限が与えられていることを確認する必要があります BMC にログインするための前提条件を次に示します SSH UNIX ホスト用の OpenSSH または Windows ホスト用の PuTTY など ご使用の管理ホストに適したセキュアシェルクライアントアプリケーションをインストールします root naroot または Administrator アカウントこれら 3 つアカウント名のパスワードは Data ONTAP の root パスワードを使用します メモ :BMC は SSH による LAN からのアクセスを許可するのに Data ONTAP の root パスワードを使用します SSH を使用して BMC にアクセスするには Data ONTAP root パスワードを設定する必要があります BMC で使用できるパスワードの文字数は最大 16 文字です 次のトピックコンソールから BMC へのアクセス UNIX ホストから BMC へのログイン Windows ホストからの BMC へのログイン BMC CLI とシステムコンソールのセッション 関連コンセプト管理者アクセスおよび診断アクセスの管理方法コンソールから BMC へのアクセスシステムのシリアルポートにケーブル接続されたコンソールから BMC にアクセスすることができます 手順

214 ストレージシステムのリモート管理 ストレージシステムプロンプトで Ctrl-G キーを押します メモ :BMC からコンソールに戻るには BMC プロンプトで system console を入力します BMC プロンプトが表示されます UNIX ホストから BMC へのログイン UNIX ホストにセキュアシェルアプリケーションがインストールされている場合は UNIX ホストから BMC にログインできます セキュアシェルアプリケーションが UNIX ホストにインストールされていることを確認します 手順 1. UNIX ホストのプロンプトで 次のコマンドを入力します secure_shell_app username には root naroot または Administrator を指定できます 例 BMC に naroot としてログインする方法を次の例に示します ssh Windows ホストからの BMC へのログイン PuTTY などの Windows 用のセキュアシェルアプリケーションがインストールされている場合は Windows ホストから BMC にログインできます 手順 1. セキュアシェルアプリケーションの Windows セッションを開始します 例 [PuTTY Configuration] ウィンドウを使用して BMC にログインできます

215 215 Data ONTAP Mode System Administration Guide 2. BMC の IP アドレスを入力します 3. SSH プロトコルが選択されていることを確認します 4. [Open] をクリックします 5. メッセージが表示されたら root naroot Administrator アカウントを使用して BMC にログインします これら 3 つアカウント名のパスワードは Data ONTAP の root パスワードと同じです BMC CLI とシステムコンソールのセッションアクティブな BMC CLI セッションにログインできる管理者は一度に 1 人だけです ただし BMC では BMC CLI セッションと別個の BMC-redirected システムコンソールセッションの両方を同時に開くことができます BMC CLI を使用してシステムコンソールセッションを開始すると BMC CLI は中断され システムコンソールセッションが開始します システムコンソールセッションを終了すると BMCCLI セッションが再開します BMC プロンプトに bmc shell -> と表示されます たとえば ストレージシステムの名前が toaster の場合 ストレージシステムのプロンプトは toaster> となり BMC セッションのプロンプトは bmc shell - > となります