存储系统如何提供 null 会话访问

由于 null 会话共享不需要认证，因此需要 null 会话访问的客户端必须拥有自己的 IP 地址映射到存储系统上。

默认情况下，未映射的 null 会话客户端可以访问某些 ONTAP 系统服务，例如共享枚举，但限制访问任何存储系统数据。

注

ONTAP 支持 Windows 限制匿名注册表设置值的 –restrict-anonymous 选项。这可用于控制未映射 null 用户可查看或访问系统资源的程度。例如，可禁用 IPC$ 共享（隐藏的命名管道共享）的共享枚举和访问。有关 –restrict-anonymous 选项的更多信息，请参阅手册页的 vserver cifs options modify 和 vserver cifs options show。

除非另有配置，否则，通过 null 会话需要存储系统访问且正在运行本地程序的客户端将仅是非受限组成员，例如 everyone。要限制 null 会话访问选定的存储系统资源，您可能希望创建所有 null 会话客户端所属的组；创建此组可限制存储系统访问，并设置指定应用于 null 会话客户端的存储系统资源。

ONTAP 提供 vserver name-mapping 命令的映射语法，设置此命令用于指定允许使用 null 用户会话访问存储系统资源的客户端 IP 地址。创建 null 用户组后，可指定存储系统资源的访问限制和仅适用于 null 会话的资源权限。null 用户标识为匿名登录。Null 用户没有权限访问任何主目录。

从映射的 IP 地址分配存储系统的任何 null 用户均授予了映射的用户权限。请考虑相应预防措施，防止对 null 用户映射的存储系统的未经授权访问。为获得最大保护，请将存储系统和所有需要 null 用户存储系统访问的客户端置于单独的网络，以消除 IP 地址伪造的可能性。

提供反馈