서버 메시지 블록(SMB) 클라이언트 파일 시스템

온라인 편집

SMB 클라이언트 파일 시스템은 SMB 프로토콜 버전 2.1과 버전 3.0.2를 기반으로 합니다. SMB 클라이언트 파일 시스템을 사용하여 SMB 서버의 파일에 액세스할 수 있습니다.

SMB 서버는 Windows Server 2012, Windows Server 2016또는 Windows Server 2019운영 체제를 실행하는 서버입니다. 이러한 각 서버 운영 체제 유형에서 디렉토리를 공유로 내보낼 수 있습니다. 이 공유는 SMB 클라이언트 파일 시스템을 사용하여 AIX® 논리 파티션에 마운트할 수 있습니다. SMB 클라이언트 파일 시스템을 사용하여 AIX 논리적 파티션에서 로컬 파일 시스템으로 SMB 서버의 공유에 액세스할 수 있습니다. SMB 클라이언트 파일 시스템을 사용하여 SMB 서버에서 파일 및 디렉토리를 작성, 삭제, 읽기 및 쓸 수 있고, 이러한 파일 및 디렉토리에 대한 액세스 지속 시간을 수정할 수도 있습니다. 그러나 이러한 파일 및 디렉토리의 소유자 또는 액세스 권한은 변경할 수 없습니다.
주: SMB 클라이언트 파일 시스템은 WPAR 파티션에서 지원되지 않습니다.
다음 SMB 프로토콜 3.0.2 기능은 SMB 클라이언트 파일 시스템에서 사용할 수 있습니다.
SMB 3.0.2 안전한 방언 조정

SMB 프로토콜 버전 3.0.2를 사용하여 SMB 서버에서 AIX 가상 파일 시스템(VFS)으로 공유를 마운트할 수 있습니다.

SMB 3.0.2 방언 서버는 보안 위험으로부터 보호하기 위해 안전한 방언 조정을 제공합니다. SMB 3.0.2 방언이 조정되면 SMB 클라이언트는 필수 서명 요청을 전송하여 조정 정보를 유효성 검증해야 합니다.

SMB 3.0.2 서명
SMB 프로토콜 3.0.2에서는 서명을 위해 최신 암호화 알고리즘을 사용합니다. 발신 메시지에 서명하고 수신 메시지의 유효성을 검사하여 SMB 클라이언트와 SMB 서버 간에 주고받은 메시지의 무결성을 보장하기 위한 고급 암호화 표준(AES)-암호 기반 메시지 인증 코드(CMAC), AES-128-CMAC입니다.
SMB 3.0.2 암호화

SMB 암호화는 SMB 데이터의 종단 간 암호화를 제공하고 신뢰할 수 없는 네트워크에서 도청이 발생하지 않도록 데이터를 보호합니다. SMB 암호화는 공유 기반으로 또는 전체 파일 서버에 대해 구성할 수 있으며, 데이터가 신뢰할 수 없는 네트워크를 통과하는 다양한 시나리오에 대해 사용할 수 있습니다.

변경 시작SMB 3.0.2 파일 이름 및 디렉터리 이름 대/소문자 구분 안 함변경 끝
변경 시작SMB 3.0.2 클라이언트는 Windows 기반 SMB 서버와 인라인으로 연결된 파일 또는 디렉터리 이름 중 대소문자를 구분하지 않는 이름만 지원합니다. 변경 끝
유니코드(또는 범용 코드 문자 집합) 변환 형식 8비트(3.0.2)변경 끝SMB UTF-8에 대한 지원변경 시작
변경 시작SMB 3.0.2는 UTF-8 코드 집합을 지원하며 SMB 서버에 필요한 UTF-16 코드 집합의 변환을 허용합니다. AIX 운영 체제는 UTF-8 코드 집합을 지원하므로 AIX 논리 파티션에서 전송되는 텍스트 데이터는 UTF-8 형식으로 전송됩니다. AIX SMB 3.0.2 클라이언트는 텍스트 데이터를 SMB 서버로 보내기 전에 UTF-8 코드 세트를 UTF-16 코드 세트로 변환하고 SMB 서버로부터 텍스트 데이터를 받은 후에는 UTF-16 코드 세트를 UTF-8로 변환합니다.변경 끝
변경 시작SMB 3.0.2 라이브 업데이트 작업 지원변경 끝
변경 시작SMB 3.0.2는 제한된 기능으로 라이브 업데이트 작업을 지원합니다. SMB 3.0.2 클라이언트에서 라이브 업데이트 작업은 SMB 공유가 마운트되지 않은 경우에만 허용되며, 그렇지 않으면 라이브 업데이트 작업은 실패합니다. 따라서 라이브 업데이트 조작을 시작하기 전에 모든 SMB 공유를 마운트 해제하고 라이브 업데이트 조작이 완료된 후에 SMB 공유를 마운트해야 합니다. 라이브 업데이트 작업 중에는 SMB 공유를 마운트하지 않아야 합니다. 변경 끝
서비스 프린시펄 이름 수정을 위한 SMB 3.0.2 지원
서비스 주체 이름(SPN)은 서비스 인스턴스의 고유 식별자입니다. SPN은 Kerberos 인증에서 서비스 인스턴스를 서비스 로그온 계정과 연관시키는 데 사용됩니다. 기본적으로 SPN은 SMB 클라이언트 파일 시스템에 의해 자동으로 cifs/<smbServerHostName>로 구성됩니다. SMB 클라이언트 파일 시스템을 마운트할 때 기본 SPN의 값을 수정할 수 있습니다.

SMB 클라이언트 파일 시스템 설치

AIX 운영 체제의 SMB 클라이언트 파일 시스템에서 SMB 프로토콜 버전 2.1 또는 버전 3.0.2를 사용하여 사용자 인증 세션을 시작하려면 Kerberos기반 GSSAPI가 필요합니다. AIX 운영 체제에서 GSSAPI는 IBM® Network Authentication Service (NAS) 버전 1.16.1.0이상 파일 세트의 사용자 공간 라이브러리에서 제공됩니다. SMB 버전 3.0.2에서는 서명 및 암호화를 위한 키 생성에 AIX OpenSSL 라이브러리를 사용합니다.

따라서 다음 AIX 운영 체제용 openssl.base 파일 세트의 OpenSSL 버전 1.0.2.2002 를 설치해야 합니다.
  • IBM AIX 7.2, 이후 기술 수준 5, 서비스 팩 6이 적용된 IBM AIX 7.2까지 지원됩니다.
  • IBM AIX 7.1

기술 레벨 1 이상의 IBM AIX 7.3의 경우 openssl.base 파일 집합의 OpenSSL 버전 3.0.5를 설치해야 합니다. 이러한 파일 세트는 IBM AIX 확장 팩 및 AIX 웹 다운로드 팩 프로그램에 포함되어 있습니다.

AIX 논리 파티션에 SMB 클라이언트 파일 시스템을 설치하려면 다음 단계를 완료하십시오.

  1. AIX 웹 다운로드 팩 프로그램 웹 페이지로 이동하여 IBMid와 비밀번호를 사용하여 로그인합니다.
  2. 변경 시작 SMB 클라이언트 for AIX 3.0.2 옵션을 선택하고 계속을 클릭합니다. 변경 끝
  3. 변경 시작요구 사항에 따라 AIX 버전 7.1용 SMB 클라이언트 파일 세트, AIX 버전 7.2부터 7.2 TL5 SP6까지의 SMB 클라이언트 파일 집합입니다, AIX 버전 7.2 TL5 SP7부터 AIX 버전 7.3 TL0까지의 SMB 클라이언트 파일 집합입니다 또는 AIX 버전 7.3 TL1 이후용 SMB 클라이언트 파일 세트를 선택한 후 다운로드를 클릭합니다.
    참고: IBM 신임 정보는 SMB 클라이언트 파일 시스템 패키지를 다운로드할 수 있는 자격이 있어야 합니다. 그렇지 않으면 패키지를 다운로드할 수 없습니다.
    변경 끝
  4. installp 명령을 사용하여 smbc.rte 패키지를 설치하십시오.

    smbc.rte 패키지가 설치되면 nsmbc0 장치가 작성됩니다. 이 장치에서는 SMB 클라이언트 프로토콜 버전 2.1 또는 버전 3.0.2를 사용하여 mount 명령으로 SMB 서버와 SMB 클라이언트 파일 시스템 사이의 연결을 설정할 수 있습니다.

로컬 마운트 위치로서 SMB 클라이언트 파일 시스템 마운트

다음 명령을 사용하여 SMB 클라이언트 파일 시스템을 마운트할 수 있습니다.
mount -v smbc -n windows_server/Kerberos_username/password_for_Kerberos_user    \
-o wrkgrp=workgroup,[[port=139|445],[signing=required|enabled],[pver=2.1|3.0.2|auto],  \
[encryption=desired|required|disabled],[secure_negotiate=desired|required|disabled]   \
[spn=cifs/<smbServerHostName>] share_point_to_mount_created_on_windows local_mount_point
예를 들면 다음과 같습니다.
mount -v smbc -n llm140.xyz.com/cec102usr1/Passw0rd    \
-o "wrkgrp=SMB_302.test,port=445,signing=required,encryption=required,    \
secure_negotiate=desired,pver=auto,spn=cifs/llm140.xyz.com" /some_share /mnt

mount 명령의 -o 플래그를 사용하여 다음 매개변수를 지정할 수 있습니다. 매개변수는 쉼표로만 구분되어야 합니다. 쉼표 앞뒤에 공백을 넣지 마십시오.

fmode
액세스 권한을 위해 파일 또는 디렉토리를 8진 모드로 설정합니다. 디폴트 값은 755입니다.
uid
마운트 조작 중에 파일에 사용자 ID를 지정합니다. 디폴트 값은 root입니다.
gid
마운트 조작 중에 파일에 그룹 ID를 지정합니다. 디폴트 값은 system입니다.
wrkgrp
SMB 서버가 속하는 작업 그룹을 지정합니다. 이 매개변수는 SMB 클라이언트 파일 시스템을 마운트하는 데 필수입니다.
포트
포트 번호를 지정합니다. 유효한 값은 445와 139입니다. 디폴트 값은 445입니다. 포트 139는 지정된 서버 주소가 IPv4 형식인 경우에만 지원됩니다.
pver
SMB 서버와 통신하는 데 사용되는 SMB 프로토콜 버전을 지정합니다. 올바른 값은 2.1, 3.0.2및 auto입니다. auto 값을 지정하는 경우 지정된 SMB 서버를 기반으로 SMB 프로토콜 버전 2.1 또는 버전 3.0.2가 사용됩니다.
signing
SMB 클라이언트 파일 시스템에 통신을 위한 디지털 서명이 필요한지 여부를 지정합니다. 유효한 값은 enabledrequired입니다. signing 매개변수가 enabled로 설정되면, SMB 서버 파일 시스템에 통신을 위한 디지털 서명이 필요한 경우가 아니면 SMB 클라이언트 파일 시스템은 데이터 패킷에 디지털로 서명하지 않습니다. signing 매개변수가 required로 설정되면 SMB 클라이언트 파일 시스템은 통신을 위해 데이터 패킷에 디지털로 서명해야 합니다. mount 명령을 사용하여 signing 매개변수의 값을 지정하지 않으면 smbctune 명령을 사용하여 설정된 커널 조정 가능 매개변수 값에서 디폴트 값이 사용됩니다.
secure_negotiate
SMB 클라이언트 파일 시스템에 보안 다이얼렉트 조정 기능이 필요한지 여부를 지정합니다. 유효한 값은 desired, requireddisabled입니다. mount 명령에 이 매개변수를 지정하지 않으면, smbctune 명령을 사용하여 설정된 커널 조정 가능 매개변수 값에서 디폴트 값이 사용됩니다.
encryption
SMB 클라이언트 파일 시스템에 암호화가 필요한지 지정합니다. 유효한 값은 desired, requireddisabled입니다. mount 명령에 이 매개변수를 지정하지 않으면, smbctune 명령을 사용하여 설정된 커널 조정 가능 매개변수 값에서 디폴트 값이 사용됩니다.
스탠
SMB 클라이언트 마운트 지점에서 사용해야 하는 서비스 주체 이름(SPN)을 지정합니다. spn 매개변수의 형식은 cifs/<smbServerHostName>입니다. 여기서 smbServerHostName 은 SMB 서버의 완전한 도메인 이름 (FQDN) 또는 Kerberos 가 SMB 서버로 해석하는 이름입니다. 기본적으로 SPN은 SMB 클라이언트 파일 시스템에 의해 자동으로 cifs/<smbServerHostName>로 구성됩니다.

SMB 클라이언트 파일 시스템의 Kerberos 인증

SMB 클라이언트 파일 시스템을 마운트하려면 Kerberos 사용자 이름과 Kerberos 비밀번호를 제공하여 SMB 서버에 인증해야 합니다. 이 사용자 이름 및 비밀번호는 SMB 서버에서 필요한 모든 파일 조작을 수행하는 데 사용됩니다. 비밀번호를 제공하지 않으면 표준 AIX 비밀번호 프롬프트를 통해 비밀번호를 입력하도록 프롬프트가 표시됩니다.
주: SMB 클라이언트 파일 시스템을 마운트하는 데 사용되는 암호의 길이는 최대 255자입니다. 비밀번호는 특수 문자를 포함할 수 있습니다.

SMB 클라이언트 마운트 위치에서 파일에 대해 read 명령과 같은 파일 시스템 명령을 실행하면 요청은 파일을 읽기 위해 SMB 서버로 전송됩니다. 인증된 세션 ID도 이 read 요청의 일부로서 전송됩니다. SMB 서버는 이 세션 ID를 사용하여 사용자가 서버에 대해 인증되는지 여부를 판별하고 파일에서의 읽기 작업을 수행합니다. 그러므로, SMB 서버는 파일에 대한 액세스 권한을 부여하고 조작이 파일에서 수행될 수 있는지를 제어합니다.

mount 명령의 fmode 옵션을 사용하면 SMB 클라이언트 파일 시스템의 루트 사용자가 SMB 서버를 조회하기 전에 SMB 서버의 파일에 대한 액세스를 제어할 수 있습니다. fmode 옵션 값을 지정하지 않으면 fmode 옵션에서 디폴트 값 755를 사용합니다. 다음 표에서는 fmode 옵션이 다양한 조작에서 작업하는 방법을 설명합니다.

표 1. SMB 서버의 파일 또는 디렉토리에 대해 지정된 액세스 권한을 기반으로 사용자에게 액세스가 허용되거나 거부되는 경우
케이스 번호 SMB 서버에 인증된 사용자 쓰기 액세스를 요청하는 클라이언트 시스템의 사용자 마운트 소유자, 그룹 및 액세스 모드 SMB 서버의 파일 또는 디렉토리 소유자, 그룹 및 SMB 서버의 액세스 모드 액세스 권한
케이스 1 user1 user2
user1, 스태프,
rwxr-xr-x
user1, 스태프,
rwxrwxr-x
 아니요
케이스 2 user1 root
user1, 스태프,
rwxr-xr-x
user2, 스태프,
rwxr-xr-x
 아니요
케이스 3 user1 user1
user1, 스태프,
rwxr-xr-x
user2, 스태프,
rwxrwxr-x
케이스 4 user1 user1
user1, 스태프,
rwxr-xr-x
루트, 시스템,
rwx ------
 아니요
케이스 5 user1 user1
user1, 스태프,
rwxr-xr-x
루트, 시스템,
rwxrwxrwx

케이스 1의 경우 SMB 클라이언트의 마운트 위치에서는 마운트 소유자, 그룹 및 모드가 user2에 대한 쓰기 액세스를 제공하지 않았으므로 user2에 대해 파일 또는 디렉토리에 대한 액세스가 거부되었습니다.

케이스 2의 경우 root 사용자가 SMB 클라이언트에 대한 모든 액세스 권한을 가지고 있더라도 SMB 서버 인증 사용자인 user1은 SMB 서버 파일에 대한 액세스 권한을 가지고 있지 않으므로 파일 또는 디렉토리에 대한 액세스가 루트 사용자에 대해 거부됩니다.

케이스 3에서는 마운트 조작 중에 user1 가 마운트 소유자이고 SMB 서버에서 staff 그룹의 구성원인 user1가 서버의 파일에 액세스할 수 있으므로 user1 가 파일 또는 디렉토리에 액세스할 수 있습니다.

케이스 4에서 파일 또는 디렉토리에 대한 액세스가 user1에 대해 거부됩니다. 마운트 조작 중에 user1 가 소유자인 경우에도 파일은 SMB 서버의 root 사용자가 소유하며 그룹 구성원 및 기타 사용자에게는 액세스 권한이 없습니다.

케이스 5의 경우 지정된 액세스 모드가 모든 그룹 멤버 및 기타 사용자에 대한 모든 액세스 권한을 지정하므로 user1은 파일 및 디렉토리에 액세스할 수 있습니다.

참고: 마운트된 파일 시스템에서는 파일 이름에 백슬래시 키 (\), 슬래시 키 (/), 콜론 (:), 별표 (*), 물음표 (?), 미만 키 (<), 초과 키 (>) 및 수직 막대 키 (|) 와 같은 문자를 사용할 수 없습니다.

저장된 비밀번호

SMB 클라이언트 파일 시스템은 SMB 클라이언트 파일 시스템을 마운트할 때 비밀번호를 자동으로 검색할 수 있도록 서버 이름, 사용자 이름 및 비밀번호 신임 정보를 /etc/smbcred 파일에 저장할 수 있습니다. /usr/sbin/ 디렉토리에 있는 lssmbcred, mksmbcred, chsmbcredrmsmbcred 명령을 사용하여 /etc/smbcred 파일에서 신임 정보를 보고, 추가하고, 변경하고, 제거할 수 있습니다. /etc/smbcred 파일에 추가되는 비밀번호는 암호화됩니다. 비밀번호를 지정하지 않고 SMB 클라이언트 파일 시스템을 마운트하는 경우, /etc/smbcred 파일에서 일치하는 신임 정보를 검색합니다. 일치 항목이 발견되면 /etc/smbcred 파일에 저장된 비밀번호가 사용됩니다. 그렇지 않으면 표준 AIX 비밀번호 프롬프트를 통해 비밀번호를 입력하도록 프롬프트가 표시됩니다.

저장된 비밀번호에 대해 다음 제한사항을 고려하십시오.
  • 저장된 비밀번호를 검색하려면 서버 이름 지정 규칙이 일관되어야 합니다. 예를 들어 신임 정보가 호스트 이름 또는 완전한 도메인 이름(FQDN)이 아닌 IP 주소를 사용하여 추가되는 경우, IP 주소를 사용하여 SMB 클라이언트 파일 시스템을 마운트할 때에만 비밀번호를 검색할 수 있습니다.
  • smbc.rte 파일 세트를 설치 제거하기 전에 /etc/filesystems 파일에서 신임 정보 항목을 제거하십시오.

/etc/filesystems 파일 지원

SMB 클라이언트 파일 시스템은 시스템 시작 조작 중 파일 시스템의 자동화된 마운트 조작을 허용하는 /etc/filesystems 파일을 지원합니다. /etc/filesystems 파일은 파일 시스템을 마운트할 때 저장된 서버 이름, 사용자 이름, 비밀번호 및 구성 데이터에 대한 액세스도 제공합니다.

변경 시작 /etc/filesystems 파일에서 SMB 클라이언트 파일 시스템을 관리하려면 lssmbcmnt, mksmbcmnt, chsmbcmntrmsmbcmnt 명령어를 사용할 수 있습니다. SMB 클라이언트 파일 시스템 항목을 수동으로 추가할 수도 있습니다. /etc/filesystems 파일에 SMB 클라이언트 파일 시스템 항목을 수동으로 추가하는 경우, /etc/smbcred 파일에 SMB 클라이언트 파일 시스템 자격 증명을 저장해야 합니다.변경 끝

예:
$cat /etc/filesystems
.....................
.....................
.....................

/mnt1:
dev = /fvt_share
vfs = smbc
mount = true
options = "wrkgrp=SMB_21.FVT" 
nodename = <servername>/<username>

/mnt:
dev = /fvt_share
vfs = smbc
mount = true
options = "wrkgrp=SMB_21.FVT,signing=required" 
nodename = <servername>/<username>
변경 시작

SMIT 인터페이스 지원

SMIT 인터페이스를 사용하여 다음 태스크를 수행할 수 있습니다.
  • SMB 클라이언트 마운트 포인트를 나열하십시오.
  • SMB 클라이언트 조정 가능 매개변수를 표시합니다.
  • SMB 클라이언트 신임 정보를 구성하십시오.
  • SMB 클라이언트 파일 시스템을 추가하거나 마운트하십시오.
  • SMB 클라이언트 파일 시스템을 제거하거나 마운트 해제하십시오.
  • SMB 클라이언트 파일 시스템을 변경하십시오.
SMIT 인터페이스에서 커뮤니케이션 애플리케이션 및 서비스 > AIX용 SMB 클라이언트으로 이동하여 SMB 클라이언트 파일 시스템 옵션에 액세스합니다. 다음 SMIT 단축 경로를 사용할 수도 있습니다.
smit smbc
변경 끝