 |
||||||||||||||||||
|
||||||||||||||||||
| 前のページ 1 2 3 次のページ | ||||||||||||||||||
|
||||||||||||||||||
| ユーザ共有の作成を制御する | ||||||||||||||||||
|
ある意味便利なユーザ共有ですが、特に「usershare owner only = no」の環境では任意のディレクトリが共有可能ですので、セキュリティ上は問題な場合もあるでしょう。 そのようなとき「usershare prefix allow list」および「usershare prefix deny list」というパラメータに、共有を許可・拒否するディレクトリを「,」で区切ったリストで指定することで、自身が所有者か否かに関わらず、共有可能な領域を制限することが可能です。 例えば下記のように設定した場合「/home」以下(のみ)が共有可能となります。
[global]
ただしその場合でも、/home/administratorの共有は禁止されます。allowとdenyが競合した場合はdeny側の設定が優先されます。 |
||||||||||||||||||
| ユーザ共有のアクセス許可を制御する | ||||||||||||||||||
|
前述したようにユーザ共有のデフォルトのアクセス許可はeveryone:F(全員が読み取り)ですが、net usershare addコマンドのオプションで変更することも可能です。例えば下記のように指定することで、local01アカウントにフルコントロールを付加することが可能です。
$ net usershare add usershare1 /tmp/a comment1 everyone:R,local01:F
アクセス許可の設定はコメントを意味する引数に引き続き指定する必要があり、「ユーザ名:パーミッション」の組合せをコンマ(,)で区切った形式で指定します。 「パーミッション」については、以下の3つから選択します。
R:読み取り専用
D:拒否 F:フルコントロール アクセス許可の指定に引き続き、guest_ok=yもしくはguest_ok=nの設定を行うことで、ゲストアクセスの許諾を制御できます。ただしゲストアクセスを許可する場合は、smb.confで「usershare allow guests = yes」の設定が行われている必要があります。 |
||||||||||||||||||
| IdMap機能の拡張:Samba 3.0.25〜 | ||||||||||||||||||
|
Winbindには、WindowsユーザのSIDとUNIXユーザのUIDとのマッピングを行う「IdMap機能」が存在します。第3回でSamba 3.0.23からIdMap機能が拡張され、ドメインごとにマッピング情報の取得先を変更することが可能となったことを説明しました。Samba 3.0.25では関連するパラメータが大きく変更され、それに伴ってドメインごとに取得先を変更する際の設定方法も変更となっています。 下記に新しいIdMap機能のパラメータを用いた設定例を示します。 IdMap関連パラメータの設定例
idmap domains = AD1 AD2
idmap domainsパラメータにIdMap機能が制御するドメイン名を列挙した上で、「idmap config ドメイン名:backend」パラメータでドメインごとに利用するマッピング情報の取得先を設定します。取得先としては、表2の種類が存在します。なお上のパラメータではAD1ドメインの取得先としてTDB、AD2ドメインの取得先としてNSSを各々指定しています。
表2:サポートされている取得先 各backendパラメータごとの詳細オプションは、各々idmap_ad(8)、idmap_ldap(8)、idmap_nss(8)、idmap_rid(8)、idmap_tdb(8)を参照してください。なお従来のidmap backendパラメータも引き続き利用できますので、単一ドメイン環境の場合は無理して新しいパラメータに移行する必要はないでしょう。 |
||||||||||||||||||
|
前のページ 1 2 3 次のページ |
||||||||||||||||||
|
|
||||||||||||||||||
|
|
||||||||||||||||||
|
||||||||||||||||||
|
|
||||||||||||||||||
|
||||||||||||||||||
|
|
||||||||||||||||||
|
||||||||||||||||||
-
-
連載
