TOPサーバ構築・運用> ユーザ共有の作成を制御する
Samba 4.0
Samba最新動向

第4回:Samba 3.0.20以降の新機能を追え(3)

著者:たかはしもとのぶ   2007/8/27
前のページ  1  2  3  次のページ
ユーザ共有の作成を制御する

   ある意味便利なユーザ共有ですが、特に「usershare owner only = no」の環境では任意のディレクトリが共有可能ですので、セキュリティ上は問題な場合もあるでしょう。

   そのようなとき「usershare prefix allow list」および「usershare prefix deny list」というパラメータに、共有を許可・拒否するディレクトリを「,」で区切ったリストで指定することで、自身が所有者か否かに関わらず、共有可能な領域を制限することが可能です。

   例えば下記のように設定した場合「/home」以下(のみ)が共有可能となります。
[global]
  ...
  usershare prefix allow list = /home
  usershare prefix deny list = /home/administrator

   ただしその場合でも、/home/administratorの共有は禁止されます。allowとdenyが競合した場合はdeny側の設定が優先されます。


ユーザ共有のアクセス許可を制御する

   前述したようにユーザ共有のデフォルトのアクセス許可はeveryone:F(全員が読み取り)ですが、net usershare addコマンドのオプションで変更することも可能です。例えば下記のように指定することで、local01アカウントにフルコントロールを付加することが可能です。

$ net usershare add usershare1 /tmp/a comment1 everyone:R,local01:F

   アクセス許可の設定はコメントを意味する引数に引き続き指定する必要があり、「ユーザ名:パーミッション」の組合せをコンマ(,)で区切った形式で指定します。

   「パーミッション」については、以下の3つから選択します。

R:読み取り専用
D:拒否
F:フルコントロール

   アクセス許可の指定に引き続き、guest_ok=yもしくはguest_ok=nの設定を行うことで、ゲストアクセスの許諾を制御できます。ただしゲストアクセスを許可する場合は、smb.confで「usershare allow guests = yes」の設定が行われている必要があります。


IdMap機能の拡張:Samba 3.0.25〜

   Winbindには、WindowsユーザのSIDとUNIXユーザのUIDとのマッピングを行う「IdMap機能」が存在します。第3回でSamba 3.0.23からIdMap機能が拡張され、ドメインごとにマッピング情報の取得先を変更することが可能となったことを説明しました。Samba 3.0.25では関連するパラメータが大きく変更され、それに伴ってドメインごとに取得先を変更する際の設定方法も変更となっています。

   下記に新しいIdMap機能のパラメータを用いた設定例を示します。

IdMap関連パラメータの設定例
  idmap domains = AD1 AD2
  idmap config AD1:backend = tdb
  idmap config AD1:default = yes
  idmap config AD1:range = 10000-15000

  idmap config AD2:backend = nss
  idmap config AD2:readonly = yes

  idmap alloc backend = tdb
  idmap alloc config:range = 10000-15000

   idmap domainsパラメータにIdMap機能が制御するドメイン名を列挙した上で、「idmap config ドメイン名:backend」パラメータでドメインごとに利用するマッピング情報の取得先を設定します。取得先としては、表2の種類が存在します。なお上のパラメータではAD1ドメインの取得先としてTDB、AD2ドメインの取得先としてNSSを各々指定しています。

意味 従来のパラメータ
tdb 対応付けをTDBに格納 idmap backend = tdb
ldap 対応付けをLDAPに格納 idmap backend = ldap
ad 対応付けをActive Directoryに格納 idmap backend = ad
rid 対応先SIDをUIDからの計算で生成 idmap backend = rid
nss UNIXアカウントが存在している場合のみ、そのアカウントに対応づける winbind trusted domains only = yes

表2:サポートされている取得先

   各backendパラメータごとの詳細オプションは、各々idmap_ad(8)、idmap_ldap(8)、idmap_nss(8)、idmap_rid(8)、idmap_tdb(8)を参照してください。なお従来のidmap backendパラメータも引き続き利用できますので、単一ドメイン環境の場合は無理して新しいパラメータに移行する必要はないでしょう。

前のページ  1  2  3  次のページ


たかはしもとのぶ
著者プロフィール
たかはしもとのぶ
1970年生まれ。1993年早稲田大学第一文学部哲学科卒。同年NTTデータ通信株式会社(現:株式会社NTTデータ)に入社。
クライアント・サーバシステム全般に関する技術支援業務を長く勤める。UNIX・Windows等のプラットフォームやインターネットなどを中心とした技術支援業務を行なう中で、接点ともいうべきMicrosoftネットワークに関する造詣を深める。
現在は「日本Sambaユーザ会」スタッフなどを務め、オープンソース、Microsoft双方のコミュニティ活動に関わるとともに、各種雑誌への記事執筆や、講演などの活動を行なっている。


INDEX
第4回:Samba 3.0.20以降の新機能を追え(3)
  GNOMEやKDEから一般ユーザによる共有の作成を可能とする:Samba 3.0.23〜
ユーザ共有の作成を制御する
  Windows Vistaからアクセスした際のパフォーマンス向上:Samba 3.0.25〜