Download - FOBAS CSC and CLOUDIAN HyperStore
CLOUDIAN HyperStore®
FOBAS CSCとCLOUDIAN HyperStoreとの連携活用
2015/7/28
Cloudian K.K.
Version 1.3
はじめに
FOBAS CSCとCLOUDIAN HyperStoreとの連携活用
はじめに①
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P3
本資料では、日本国内において多くの稼働実績があり、保守サポートが提供されており、日本のお客様に安心してご使用頂けるプロトコル変換ゲートウェイ製品であるFOBAS クラウドストレージキャッシュ®(以下、CSC)のご紹介をします。
CLOUDIAN HyperStore®(以下、HyperStore)の前面にCSCを配置することにより、経済的かつ容易にスケールアウト可能なHyperStoreのストレージ領域を、ファイルサーバーの領域としてユーザーに提供することができます。CSCのようなプロトコル変換ゲートウェイ製品を導入することにより、ユーザーにはCIFSプロトコルを使用した既存ファイルサーバーと変わらない使用感でファイルサービスを提供することができ、さらに以下のような機能を使用することができるようになります。
データ圧縮機能 重複排除機能 ウィルススキャン機能 クラスター機能 ※HAクラスタとルーズリークラスタの2方式から選択可能
Active Directory認証 等...........
本資料では、バージョン3.1.2のCSCを使用しています。
なお、8月末にCSCの新版(バージョン3.2.0)がリリース予定になっており、新機能の追加や既存機能の強化が図られる予定です。バージョン3.2.0の情報について本資料でも補足しますが、詳細は開発・販売元のFOBASコンサルティング株式会社までお問い合わせください。
はじめに②
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P4
ジオ・クラスター
L/B
Active Directoryサーバー
ロードバランサーによる負荷分散
クラウド ストレージ キャッシュ®S3エコシステム
Windows-OS標準搭載のファイルエクスプローラー
ClamAV(ウィルススキャン) サーバー
データ圧縮
重複排除
ウィルススキャン
AD認証連携
CSCの基本設定
FOBAS CSCとCLOUDIAN HyperStoreとの連携活用
CSC仮想アプライアンスの導入
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P6
FOBAS CSCは主に、仮想アプライアンスとしてOVA (Open Virtualization Format Archive)
ファイル形式で提供されます。
上図の「FOBAS_CSC_Appliance_3.1.2.ova」ファイルを、お使いの仮想環境基盤(VMware ESX/ESXiやCitrix XenServer等)にインポートしてください。
ネットワーク設定①
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P7
CSCのOVAファイルを仮想環境にインポートすると、デフォルトではDHCPによりIPアドレスが取得されます。
CSCをインポートした環境にDHCPサーバーが無い、あるいは固定IPアドレスを割り振りたい場合には、以下の方法で固定IPアドレスを設定してください。
(DHCPがある場合は) DHCPにより割り振られたIPアドレスを確認し、後述する“Web コントロールパネル”から固定IPアドレスを設定する。
(DHCPがない場合は) CSCサーバーにSSHでログインして、LinuxのI/F設定ファイルを編集し固定IPアドレスを設定する。
CSCのIPアドレスが確定したら、Webブラウザでhttp://[ホスト名 or IPアドレス]/CSCWeb/
を開き、管理者アカウント(cscadm)でログインします。
ネットワーク設定②
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P8
CSCサーバーに固定IPアドレスを設定したい場合は、画面左にあるメニュー一覧から「ネットワーク設定」を選択し、「ネットワークの設定【基本】」画面を開きます。
ここでは、DHCPを使用するかの選択や固定IPアドレスの設定、DNSサーバーやNTPサーバーの設定ができます。
HyperStoreとの連携において、時刻同期は非常に重要な設定項目です。NTPサーバーは必ず設定するようにしてください。
CSCをAD連携させたい場合は、必ずADドメインを付加したFQDNを設定してください。
ホスト名がFQDNで設定されていない、あるいは異なるADドメインが設定されている場合は、AD連携設定時にエラーとなります。
ホスト名設定時の注意事項
「ネットワーク設定」を押下します。
CSCの拡張設定
FOBAS CSCとCLOUDIAN HyperStoreとの連携活用
Active Directory 連携設定
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P10
CSCサーバーとActive Directoryを連携させたい場合は、画面左にあるメニュー一覧から「AD連携設定」を選択し、「Active Directory 連携の設定」画面を開きます。
ここでは連携させるADドメイン名、ドメイン認証レルム、ドメインコントローラーのIPアドレス、ドメイン内のユーザーを検索する権限のあるドメインユーザー名とそのパスワードを設定します。
「Active Directory 連携する」をチェックし、[変更を保存]ボタンを押下します。
「AD連携設定」を押下します。
ストレージアカウントの設定①
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P11
CSC経由でユーザーデータをHyperStoreに保存するためには、事前にストレージアカウントの設定を行っておく必要があります。
画面左にあるメニュー一覧から「ストレージ設定」を選択すると、「ストレージアカウントの設定」画面を開きます。ユーザーデータが格納されるストレージ領域としてHyperStoreを設定するために、[新規ストレージアカウントの追加]ボタンを押下します。
「新規ストレージアカウントの追加」ボタンを押下し、次頁の画面でHyperStoreを追加します。
ストレージアカウントの設定②
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P12
前頁の画面で[新規ストレージアカウントの追加]ボタンを押下すると、下図のような画面が表示されます。
「ストレージタイプ」から“クラウディアン Cloudian”を選択し、任意のストレージ名、HyperStoreのS3エンドポイント、S3アクセスのポート番号、CSCのデータが格納されるバケット名修飾子、およびアクセスキー、シークレットキーを設定します。
「ストレージアをテストする」ボタンを押下します。
[データの格納に利用する]をチェックをします。
HyperStoreへのS3アクセスにSSLを構成している場合は、[通信を暗号化する]をチェックします。
全ての項目を設定したら、[ストレージをテストする]ボタンを押下します。
「クラウディアン Cloudian」を選択します。
HyperStoreの設定で、SSLを構成している場合は「通信を暗号化する」をチェックしてください。
ストレージアカウントの設定③
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P13
[ストレージをテストする]ボタンを押下すると、CSCからHyperStoreにアクセス可能かテストが行われます。
テストが成功すると、下図のように画面上部に「ストレージアカウントのテストが成功しました。」と表示されます。テストが成功したら[設定を保存]ボタンを押下します。
テストが失敗する場合は、以下の点を確認してください。
テストが成功したら「設定を保存」ボタンを押下します。
【確認項目】 「サーバ名(IPアドレス)」に正しい
S3エンドポイントが設定されているか?
「ポート番号」は正しいか?※HyperStoreの設定でポート番号を
変更している場合は注意が必要です。
アクセスキー/シークレットキーは正しいか?
S3アクセスのSSL設定をしていないのに、[通信を暗号化する]にチェックしていないか?
ストレージアカウントの設定④
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P14
[設定を保存]ボタンを押下すると、下図のようなメッセージが表示されます。
ストレージサービスが生成されました。生成したサービスの利用にはシステムの再起動が必要です。
生成したストレージサービスを有効にするために、CSCを再起動してください。CSCにSSHで接続してLinuxを再起動させるか、あるいはWeb コントロールパネルの
運用管理画面から再起動させることができます。
新規に追加したストレージサービスは、ここに追加されていきます。
CMCの再起動 (Web コントロールパネル経由)①
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P15
CMCのWeb コントロールパネルからCMCを再起動(あるいは停止)させるには、画面左にあるメニュー一覧から「運用管理」を選択し、画面右側の「サーバの停止・再起動」から操作します。
再起動する場合は、「再起動」にチェックし[実行]ボタンを押下します。
「再起動」にチェックし、[実行]ボタンを押下します。
「運用管理」を押下します。
CMCの再起動 (Web コントロールパネル経由)②
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P16
「サーバの停止・再起動」画面が表示されるので、CSC管理者パスワードを入力し[再起動する]ボタンを押下します。
管理者パスワード入力後、「再起動する」ボタンを押下します。
「サーバの再起動が開始されました。」と表示され、CSCが再起動されます。
CSCにおけるCIFS共有の設定
FOBAS CSCとCLOUDIAN HyperStoreとの連携活用
CIFS共有の設定①
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P18
CSCとActive Directoryを連携させることで、CSCで自動生成される 個々のユーザー用の共有 (※1)
パブリック共有 (※2)
の2つの共有に対するACLを、ADユーザー/グループに対して付与できるようになります。
個々のユーザー用共有(例えばユーザー「IT1」のための個人用ドライブの共有「¥¥{CSCサーバー
名}¥IT1」)は、CSCにより自動的に作成されます。また、パブリック共有(¥¥{CSCサーバー名}¥public)が自動的に作成され、この共有の下に
サブフォルダを作成しADユーザー/グループにACLを付与することにより、ADユーザーやグループに対するアクセス制御を行った共有設定を行うことができます。
【備考】
※1) AD連携後に、各ドメインユーザーでCSCが自動的に作成するユーザー毎の共有にアクセスすると、そのユーザーのみがドライブマップできる領域にアクセスできます。この機能は設定により、無効にすることもできます。
※2) 現行バージョンのCSCでは各ユーザーの個人領域用共有と、全てのユーザーがアクセス可能なパブリック共有の2種類の共有が作成されます。グループ毎に共有領域を作成したい場合は、このパブリック共有以下にサブフォルダを作成し、各グループにACLを付与します。CSCの次バージョンでは、ユーザー任意の共有が作成できるようになります。詳細は、後述「CSC 次バージョンの新機能」をご参照ください。
CIFS共有の設定②
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P19
現行バージョンのCSCで、ADユーザー/グループ単位でアクセス権限を制限した領域を提供したい場合には、CSCによって自動的に作成される”public”共有領域の中にサブフォルダを作成し、そのフォルダに対してADユーザー/グループのACLを設定します。
① “public”共有領域の中に、CSC管理者あるいはAD管理者アカウントでサブフォルダを作成します。作成したフォルダに、ADユーザー/グループのACLを設定します。
② 作成したフォルダにACLを設定するために、[セキュリティ]タブをクリックします。
③ アクセス権を付与したいユーザーやグループを検索し、追加します。
④ 付与したいアクセス権を選択します。
CIFS共有の設定③ - 個人領域用共有 -
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P20
例えば、ドメインユーザー「SHIBUYA¥IT5」でログオンしたクライアントPCから、CSCが自動作成する個人領域用の共有は、下図のように参照できます。
¥¥{CSCサーバー名}¥{ADユーザー名}
「SHIBUYA¥IT5」ドメインユーザーのための個人領域用共有が、CSCによって自動的に作成されます。※この機能は無効にすることもできます。
各ユーザーの個人領域用共有には、¥¥{CSCサーバー名}¥{ADユーザー名}でアクセスすることができます。
CIFS共有の設定④ - グループ領域用共有 -
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P21
特定のドメインユーザーやグループのみがアクセス可能な領域を設定したい場合は、前述の通り、”public”共有領域の中にフォルダを作成し、そのフォルダに対してアクセス権限を設定します。
「SHIBUYA¥Sales」ドメイングループのための共有領域として「Sales」フォルダを作成し、SalesグループにのみACLを付与します。
グループ領域用共有には、¥¥{CSCサーバー名}¥public¥{作成したフォルダ名}でアクセスすることができます。
CIFS共有の設定⑤
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P22
下図は「SHIBUYA¥Sales1」ユーザーでクライアントPCにログオンし、CSC経由でHyperStoreの領域をドライブマップしたイメージです。
なお、このユーザーには、 sales1 (¥¥CSC) (P:) ←「SHIBUYA¥Sales1」ユーザーにのみアクセス権あり
Sales (¥¥CSC¥public) (S:) ←「SHIBUYA¥G_Sales」グループにのみアクセス権あり
Common (¥¥CSC¥public) (Z:) ←「SHIBUYA¥Domain Users」グループにアクセス権あり
の3つのネットワークドライブに対してのみ、アクセス権限が付与されています。
営業部(SHIBUYA¥G_Sales)に所属するユーザーのみがアクセス可能
ユーザー個人(SHIBUYA¥Sales1)のみがアクセス可能
ドメインに所属するユーザー全員(SHIBUYA¥Domain Users) がアクセス可能
HyperStore上でのCSCユーザーデータ
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P23
CSC経由で格納されたデータは下図のように、HyperStore上に幾つかのバケットが作成され、その中にCSCのフォーマットで格納されます。
CSC経由で格納されたデータはCSCにより暗号化されたり、重複排除が行われたりするため、CSC経由でアクセスしなければ内容は判別できません (HyperStoreから直接、データを読み
取ることはできません)。CSCあるいはHyperStoreに障害が発生した際には、事前にダウンロードし保管しているCSCの秘密鍵を使用してサービス復旧させることができます。※HyperStoreは格納されたデータを、ジオクラスター機能により複製しています。
CSCが自動生成する、HyperStore上のバケット
CSC経由でHyperStoreに格納されたデータは、HyperStoreからは読み出せません。※CSC経由で操作します。
CSCにおけるスナップショット機能 (現行バージョン)
FOBAS CSCとCLOUDIAN HyperStoreとの連携活用
現行CSCにおけるスナップショット機能
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P25
CSCには下図のようにスナップショット機能がありますが、この機能はユーザーデータの復旧目的のものではなく、現行バージョンではシステム障害に対応するための機能です。
次バージョンのCSCではスナップショット機能が強化され、ユーザーデータの復旧のために使用できるようになります。
詳細は後述「CSC 次バージョンの新機能」を参照ください。
① 左側のメニューから「運用管理」を選択します。
② [スナップショット管理]ボタンを押下すると、スナップショットの取得/リストア操作を行うことができます。
CSC 次バージョン(v3.2.0)の新機能
FOBAS CSCとCLOUDIAN HyperStoreとの連携活用
CSC 次バージョン(v3.2.0)の新機能①
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P27
2015年8月末に予定されているCSCの次バージョン(v3.2.0)では、新しい機能の追加や既存機能の強化が図られる予定です。
主に、以下のような新機能・機能強化の実装が予定されています。
マルチExportポイント(ユーザー任意のCIFS共有が作成できる機能) CIFS NTFS ACL サポート Web コントロールパネルからのフォルダ作成 Web コントロールパネルからのアクセス権設定
※現行バージョンは、Windows Explorerから管理者がアクセス権を設定する方法のみ
ポイントインタイムリストア ジャストインタイムスナップショット(Microsoft VSS連携機能)
追加予定の新機能のうち、特に運用管理の効率が向上すると思われる“マルチExportポイント”、“Web コントロールパネルからのフォルダ作成”、“Web コントロールパネルからのアクセス権設定”および“ジャストインタイムスナップショット”について、次頁で補足します。
CSC 次バージョン(v3.2.0)の新機能②
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P28
マルチExportポイント Web コントロールパネルからのフォルダ作成 Web コントロールパネルからのアクセス権設定
現行バージョンのCSCでは、ユーザー毎の共有が自動的に作成され、それ以外の共有はデフォルトで作成される共有(public)のみでした。
特定のユーザーやグループのみがアクセスできる共有領域を設定したい場合は、管理者がWindows エクスプローラーでこの”public”共有をマップし、サブフォルダを作成してそのフォルダにACLを設定するという運用手順でした。
新バージョンでは、“マルチExportポイント”機能によりユーザー任意の共有を作成することができ、共有内のフォルダ作成やアクセス権の設定をCSCの管理画面であるWeb コントロールパネル経由で行えるようになります。
ユーザー任意の共有が自由に作成できるようになることで、使用用途により個別の共有を用意することができ、アクセス権の無いユーザーに対して共有レベルでファイルやフォルダの存在を隠ぺいすることができるようになります。
ジャストインタイムスナップショット (Microsoft VSS連携機能)現行バージョンのCSCのスナップショットでは、
リストア操作を実施するとCSCで管理しているファイルシステム全体がリストアされる“システムリカバリ用途”の機能でした。
新バージョンでは、取得したスナップショットとMicrosoft VSS (Volume Shadow Copy Service) が連携する“ジャストインタイムスナップショット”機能が実装され、ユーザーが取得されているスナップショットの中から任意のスナップショットを選択し、過去バージョンのファイルやフォルダをユーザー主導でリストアできるようになります。
★ジャストインタイムスナップショット(“以前のバージョン”のリストア)
CSCで取得したスナップショットが表示され、任意のスナップショットからリストアできるようになります。
(補足) Active Directory Rights Management サービスにより権限設定されたファイルの機能検証
FOBAS CSCとCLOUDIAN HyperStoreとの連携活用
AD RMS機能検証の検証環境①
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P30
Active Directory Rights Management サービス(以下、「AD RMS」)の機能により権限設定されたファイルが、CSC経由でHyperStoreに格納された場合に、AD RMSのアクセス制御がきちんと動作することを、弊社にて下図のような検証環境で確認しました。
【特記事項】 RMSの構成データベースは
別個のSQLデータベースサーバーにホストすることが推奨ですが、本環境は検証環境であるため、Windows Internal Databaseを使用しています。
RMSサーバーとクライアントPC間のSSL通信で使用されるサーバー証明書は、自己署名証明書を使用しています。
AD RMS機能検証の検証環境②
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P31
下表は、本検証環境に構築した各サーバーの情報(OSやソフトウェアのバージョン、役割)を記載したものです。本検証環境のドメイン名は、「SHIBUYA (shibuya.local)」を使用しています。
番号 コンピューター名 OS/ソフトウェアバージョン 役割
① CLOUDIAN-RMS.shsibuya.local Windows Server 2012 R2 SP1AD RMS、IIS 7.0、WWW Publishing Service、メッセージ キュー
② CLOUDIAN-AD1.shibuya.local Windows Server 2012 R2 SP1 Active Directory、DNS
③ CSC.shibuya.local FOBAS CSC v3.1.2 プロトコル変換ゲートウェイ
④ s3.shibuya.local CLOUDIAN HyperStore® 5.1.2 S3互換オブジェクトストレージ
⑤ CLOUDIAN-PC1.shibuya.local Windows 8.1 Office 2013
また、検証環境ドメイン「SHIBUYA」には、検証用のADユーザー/グループが作成されています。
ADグループは、1. SHIBUYA¥G_IT ([email protected])
2. SHIBUYA¥G_Sales ([email protected])
3. SHIBUYA¥G_Finance ([email protected])
4. SHIBUYA¥G_Marketing ([email protected])
の計4つのグループが作成済みで、各グループにはSHIBUYA¥IT1~IT5
のように、計5人のユーザーがメンバーとして登録されています。
AD RMS機能検証の検証環境③
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P32
本検証でRMSの機能を使用し権限設定を行ったドキュメントを格納するネットワークドライブのルートとして設定するフォルダを、CSCで自動生成される“public”共有下に「ADRMS」という名前で作成します。
CSCで自動生成される”public”共有をマップ
「ADRMS」フォルダを作成
この「ADRMS」フォルダを、WindowsクライアントからADユーザーがドライブマップし、RMSで権限設定を行った文書を保存します。「AD RMS機能検証の検証環境③」に記載しているADグループに、このフォルダに対するアクセス権限を付与します。
AD RMS機能検証の検証環境④
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P33
「ADRMS」フォルダの下に「RMS+CSC検証」という名前のサブフォルダを作成し、このフォルダの中にRMSにより権限設定されたドキュメントを保存していきます。
ADユーザーでWindowsクライアントにサインインし、「¥¥CSC¥public¥ADRMS」をドライブマップします。「RMS+CSC検証」フォルダの中に、ドキュメントを保存します。
AD RMS機能検証の検証環境⑤
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P34
CSCのWeb コントロールパネル「ファイル管理」を選択すると、これまでの作業で作成したフォルダの存在を確認できます。
「ADRMS」フォルダ
「RMS+CSC検証」フォルダ
AD RMS機能検証の検証環境⑥
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P35
CSC経由でHyperStoreのストレージ領域に格納されるデータは、CSCの機能によりファイルの暗号化や重複排除が行われます。
HyperStoreにはこれらの処理が行われた後のCSCフォーマットのデータが、CSCによってHyperStore上に作成される複数のバケット内に格納されます。そのため、HyperStoreの管理画面であるCMCからは、そのファイル名や内容を確認することはできません。
CSCにより自動的に作成されるバケット
CSC経由でHyperStoreに格納されたデータは、CSCのフォーマットになっており、HyperStoreからは識別不能です。
検証手順
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P36
準備した検証環境を使用して、以下の手順によりCSC経由でHyperStoreに格納されたドキュメントで、RMSにより権限設定が有効に機能することを検証しました。
1. Windows 8.1クライアントにADユーザー「SHIBUYA¥IT1」でサインインし、CSCの領域(¥¥CSC¥public¥ADRMS)をネットワークドライブ・マップする。
2. Microsoft Word 2013を起動して文書を作成し、[文書の保護]でこの文書にアクセス制限を設定する。設定するアクセス制限は、以下の通り。○ ユーザー「SHIBUYA¥IT1」はこの文書の作成者(フルコントロール)。○ グループ「SHIBUYA¥G_IT」は、この文書を編集できる。△ グループ「SHIBUYA¥G_Sales」は、この文書を閲覧できる。✖ それ以外のユーザー/グループは、編集も閲覧もできない。
3. 上記のアクセス権限を設定後、この文書を「¥¥CSC¥public¥ADRMS¥RMS+CSC検証」フォルダに、「ADRMS検証.docx」という名前で保存する。
4. グループ「SHIBUYA¥G_IT」に所属しているユーザー「SHIBUYA¥IT5」でWindowsクライアントにサインインし、CSCの領域(¥¥CSC¥public¥ADRMS)をネットワークドライブ・マップする。
5. ユーザー「SHIBUYA¥IT1」が作成し、アクセス制限を設定して保存したファイル「¥¥CSC¥public¥ADRMS¥RMS+CSC検証¥ADRMS検証.docx」を、ユーザー「SHIBUYA¥IT5」で開き、RMSによる権限設定が有効に機能しているかを確認する。
6. グループ「SHIBUYA¥G_Sales」に所属しているユーザー「SHIBUYA¥Sales1」でWindowsクライアントにサインインし、CSCの領域(¥¥CSC¥public¥ADRMS)をネットワークドライブ・マップする。
7. 同じく「¥¥CSC¥public¥ADRMS¥RMS+CSC検証¥ADRMS検証.docx」を、ユーザー「SHIBUYA¥Sales1」で開き、RMSによる権限設定が有効に機能しているかを確認する。
8. グループ「SHIBUYA¥G_Finance」に所属しているユーザー「SHIBUYA¥Finance1」でWindowsクライアントにサインインし、CSCの領域(¥¥CSC¥public¥ADRMS)をネットワークドライブ・マップする。
9. 同じく「¥¥CSC¥public¥ADRMS¥RMS+CSC検証¥ADRMS検証.docx」を、ユーザー「SHIBUYA¥Finance1」で開き、RMSによる権限設定が有効に機能しているかを確認する。
AD RMS機能検証①
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P37
1. ユーザー「SHIBUYA¥IT1」で、Windows 8.1クライアントにサインイン
「SHIBUYA」ドメインに参加済みのWindows 8.1クライアント(SHIBUYA¥CLOUDIAN-PC1)に、ユーザー「SHIBUYA¥IT1」でサインインします。このクライアントには、Microsoft Office 2013がインストールされています。
サインイン後、CSCの領域である「¥¥CSC¥public¥ADRMS」を、Windowsファイルエクスプローラーからドライブマップします。
CSCの領域をCIFSプロトコル経由でマップ。
AD RMS機能検証②
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P38
2. Microsoft Wordを起動し、文書を作成してアクセス権限を設定
「SHIBUYA¥IT1」で文書を作成
①Wordを起動して、これからRMSの機能によりアクセス制限を行う文書を作成します。
「アクセス権限あり(R)」を選択
②文書作成後、[ファイル]→[情報]→[文書の保護]→[アクセスの制限(R)]を選択し、「アクセス制限あり(R)」をクリックします。
③[アクセス許可]画面が表示されるので、右図のように設定します。閲覧 … [email protected] (SHIBUYA¥G_Salesグループ)
変更 … [email protected] (SHIBUYA¥G_ITグループ)
AD RMS機能検証③
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P39
2. Microsoft Wordを起動し、文書を作成してアクセス権限を設定
④アクセス権限設定後、[OK]ボタンを押下すると、文書にアクセス制限が設定されます。
⑤アクセス制限が設定された状態の文書を、CSCの領域(¥¥CSC¥public¥ADRMS)をドライブマップしたドライブ直下のフォルダ「RMS+CSC検証」に保存します。ここではこの文書を、「ADRMS検証.docx」という名前で保存しています。
⑥この文書に設定された、アクセス権限を確認します。[権限の変更...]ボタンを押下します。
SHIBUYA¥IT1は、フル コントロールの権限を保有しています。
AD RMS機能検証④
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P40
3. ユーザー「SHIBUYA¥IT5」で、Windows 8.1クライアントにサインイン
次にWindows 8.1クライアント(SHIBUYA¥CLOUDIAN-PC1)に、ユーザー「SHIBUYA¥IT5」でサインインし、CSCの領域である「¥¥CSC¥public¥ADRMS」をドライブマップします。このユーザーはグループ「SHIBUYA¥G_IT」のメンバーであるため、Word文書「ADRMS検証.docx」に対する閲覧や編集権限を保有しています。
①ドライブマップ後、Word文書「ADRMS検証.docx」をダブルクリックします。
②ファイルをダブルクリックすると下図のような[Active Directory Rights Management Services]画面が表示されるので、[OK]ボタンを押下します。
AD RMS機能検証⑤
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P41
3. ユーザー「SHIBUYA¥IT5」で、Windows 8.1クライアントにサインイン
③Wordが起動し、「ADRMS検証.docx」が編集可能な状態で開きます。[権限の表示...]ボタンを押下して、アクセス制限を確認します。
SHIBUYA¥IT5は、閲覧や編集等の権限を保有しています。
AD RMS機能検証⑥
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P42
4. ユーザー「SHIBUYA¥Sales1」で、Windows 8.1クライアントにサインイン
次にWindows 8.1クライアント(SHIBUYA¥CLOUDIAN-PC1)に、ユーザー「SHIBUYA¥Sales1」でサインインし、CSCの領域である「¥¥CSC¥public¥ADRMS」をドライブマップします。このユーザーはグループ「SHIBUYA¥G_Sales」のメンバーであるため、Word文書「ADRMS検証.docx」に対する閲覧権限のみ保有しています。
ドライブマップ後、Word文書「ADRMS検証.docx」をダブルクリックします。Wordが起動し、「ADRMS検証.docx」が下図のように“読み取り専用”の状態で開きます。[権限の表示...]ボタンを押下して、アクセス制限を確認します。
※ 左図スクリーンショットは、違うPCから接続したリモートデスクトップの画面を取得したものです。
※ この文書は「スクリーンショット禁止」になっているため、ユーザーがサインインしたPC上でスクリーンショットを取得すると、下図のように内容が取得できません。
AD RMS機能検証⑦
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P43
4. ユーザー「SHIBUYA¥Sales1」で、Windows 8.1クライアントにサインイン
ユーザー「SHIBUYA¥Sales1」でこの文書に対して保有している権限は、下図のように表示されます。
左図のように、ユーザー「SHIBUYA¥Sales1」には、閲覧権限のみ付与されていることが確認できます。
AD RMS機能検証⑧
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P44
5. ユーザー「SHIBUYA¥Finance1」で、Windows 8.1クライアントにサインイン
次にWindows 8.1クライアント(SHIBUYA¥CLOUDIAN-PC1)に、ユーザー「SHIBUYA¥Finance1」でサインインし、CSCの領域である「¥¥CSC¥public¥ADRMS」をドライブマップします。このユーザーはグループ「SHIBUYA¥G_Finance」のメンバーであるため、Word文書「ADRMS検証.docx」には何の権限も保有していません。
①ドライブマップ後、Word文書「ADRMS検証.docx」をダブルクリックします。
②上述の通り、このユーザーにはこの文書に対する権限は何も与えられていないため、下図のような画面が表示され、ファイルを開くことはできません。
検証結果
June 2, 2014 Copyright © 2010-2014 Cloudian KK. All rights reserved. P45
この検証では、CLOUDIAN HyperStore®とFOBASクラウドストレージキャッシュ®を組み合わせてファイルサーバーを構成し、CSC経由で格納された“AD RMSにより権限設定が行われたドキュメント”のアクセス制限がきちんと機能することを検証しました。
検証結果としては、AD RMSのアクセス制御が有効に機能していることが確認できました。CSCのようなプロトコル変換ゲートウェイ製品とHyperStoreの組み合わせにより、CIFSプロトコル
によりファイルアクセスし動作するアプリケーションを、問題無くご使用頂けます。
注意点としては、FOBAS CSCに特定のアプリケーションと連携するためのエージェントソフトウェアはインストールできませんので、Windowsファイルサーバーにエージェントをインストールしなければならないような「マスター/エージェント型」のアプリケーションには対応していません。
しかしながらこの検証の結果の通り、ファイルサーバーに対して外部のサーバーやアプリケーションがCIFSプロトコル経由でアクセスするタイプのアプリケーションは問題なくご使用頂けます。
THANK YOU www.cloudian.jp
Cloud Storage for Everyone
ホームページ:http://cloudian.jp/
Facebook:https://www.facebook.com/cloudian.cloudstorage.S3
Twitter:https://twitter.com/Cloudian_KK
ブログ:http://www.cloudian-blog.com/
評価版お申込み:http://www.cloudian.jp/cloud-storage-products/cloudian_eval_agr.php
クラウディアン株式会社