NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

Clustered ONTAP で CIFS 共有

移動ユーザープロファイルの検証のため、久しぶりに Simulate ONTAP 8.3.2で、CIFS サーバーを構築しました。ドメイン参加に失敗する問題があったのでメモしておきます。

Aggregate 作成

storage aggregate create -aggregate aggr1 -raidtype raid_dp -diskcount 5 -nodes cluster1-01 -maxraidsize 22
storage aggregate show

SVM 作成

vserver create -vserver svm1 -rootvolume vol0 -aggregate aggr1 -rootvolume-security-style unix -language C
vserver show 

LIF 作成

network interface create lif0 -role cluster-mgmt -home-node cluster1-01 -home-port e0c -address 192.168.1.200 -netmask 255.255.255.0 
network interface create -vserver svm1 -lif lif1 -role data -data-protocol cifs -home-port e0a -address 192.168.1.201 -netmask 255.255.255.0

Volume 作成

volume create -vserver svm1 -volume vol1 -aggregate aggr1 -size 2g -security-style ntfs -space-guarantee none -junction-path /vol1
volume show

CIFS 設定

vserver services dns create -vserver svm1 -domains example.com -name-servers 192.168.1.100
vserver services dns show
cifs create -cifs-server svm1_cifs -domain example.com -vserver svm1
vserver cifs show

cifs create コマンドを使用して、ドメイン参加する際、以下のエラー発生しました。

Unable to connect to LSA service on ad.example.com
(Error: RESULT_ERROR_KERBEROS_SKEW)

調べてみると、AD と NetApp 間で時刻がずれている場合に発生するようです。

時刻とタイムゾーンの設定

system date modify -timezone Japan -date 8/7/2016 15:00:00
system date show

CIFS 共有設定

vserver cifs share create -vserver svm1 -share-name profiles -path /vol1
vserver cifs share show 

以上で、CIFS 共有したボリュームにアクセスが可能となります。
f:id:FriendsNow:20160807155715p:plain

AD ドメイン上のユーザーで、SVM へのアクセスを許可する場合は、以下を設定します。
※移動ユーザープロファイルのプロファイルパスに SVM を指定する場合、必須のコマンドです。

security login domain-tunnel create -vserver svm1
security login domain-tunnel show

ドメイン「EXAMPLE」内のグループ「group01」に所属するユーザーで SSH 接続を許可することも可能です。
設定は以下のとおりです。

security login create -vserver cluster1 -user-or-group-name EXAMPLE\group01 -application ssh -authmethod domain
security login show -vserver cluster1

※なお、ADDNS の A レコードは、ドメイン参加時に登録される「ホスト名」と異なる名前でないと、名前による CIFS 接続に失敗するといった問題が発生しました。(IP アドレスでは正常に接続可能)原因については調査中です。