「Windows ACLs を利用して共有を設定する」の版間の差分

提供:雑廉堂Wiki
← 古い編集新しい編集 →
18行目: 18行目:


共有を作成する前にSambaを設定する必要があります。 どのタイプのSambaサーバーが必要かに応じて、以下を参照してください:
共有を作成する前にSambaを設定する必要があります。 どのタイプのSambaサーバーが必要かに応じて、以下を参照してください:
* [[SambaをActive Directoryドメインメンバとして構成する]]
* [[SambaをActive Directoryドメインコントローラとして設定する]]
* [[SambaをActive Directoryドメインコントローラとして設定する]]
* [[Active_Directory_Domain_Controller|Setting up Samba as AD DC]]
* [[Setting_up_Samba_as_an_NT4_PDC_(Quick_Start)|Setting up Samba as an NT4 PDC (Quick Start)]]
* [[Setting_up_Samba_as_an_NT4_PDC_(Quick_Start)|Setting up Samba as an NT4 PDC (Quick Start)]]
* [[Setting_up_Samba_as_an_NT4_BDC|Setting up Samba as an NT4 BDC]]
* [[Setting_up_Samba_as_an_NT4_BDC|Setting up Samba as an NT4 BDC]]
26行目: 26行目:




== File System Support ==
== ファイルシステムのサポート ==


The file system, the share will be created on, must support:
共有が作成されるファイルシステムは、次のものをサポートしている必要があります。:
* user and system <code>xattr</code> name spaces.
* ユーザーとシステムの <code>xattr</code> 名前空間。
* extended access control lists (ACL).
* 拡張されてアクセスコントロールリスト (ACL).


For further details, see [[File_System_Support|File system support]].
For further details, see [[File_System_Support|File system support]].
36行目: 36行目:




== Samba Extended ACL Support ==
拡張ACL(Access Control List)をサポートする共有を作成するには、<code> smbd </code>サービスがACLサポートを有効にして構築されている必要があります。 Active Directory(AD)ドメインコントローラ(DC)として機能するSambaホストは、拡張ACLサポートにより常に有効になっています。
 
To create a share with extended access control list (ACL) support, the <code>smbd</code> service must have been built with ACL support enabled. A Samba host working as an Active Directory (AD) domain controller (DC), is always enabled with extended ACL support.


To verify if Samba has been built with ACL support, enter:
To verify if Samba has been built with ACL support, enter:
53行目: 51行目:




== Enable Extended ACL Support in the <code>smb.conf</code> File ==
== <code> smb.conf </code>ファイルで拡張ACLサポートを有効にする</code> File ==


To configure shares using extended access control lists (ACL), you must enable the support in the <code>smb.conf</code> file. To enable extended ACL support globally, add the following settings to the <code>[global]</code> section of your <code>smb.conf</code> file:
拡張アクセス制御リスト(ACL)を使って共有を設定するには、<code> smb.conf </code>ファイルでサポートを有効にする必要があります。 拡張ACLサポートをグローバルに有効にするには、<code> smb.conf </code>ファイルの<code> [global] </code>セクションに次の設定を追加します。


  vfs objects = acl_xattr
  vfs objects = acl_xattr
66行目: 64行目:
}}
}}


Alternatively, to enable extended ACL support only for a specific share, add the parameters to the share's section.
あるいは、特定の共有に対してのみ拡張ACLサポートを有効にするには、共有のセクションにパラメータを追加します。


For further details about the parameters, see the <code>smb.conf(5)</code> man page.
For further details about the parameters, see the <code>smb.conf(5)</code> man page.
74行目: 72行目:
== Granting the <code>SeDiskOperatorPrivilege</code> Privilege ==
== Granting the <code>SeDiskOperatorPrivilege</code> Privilege ==


Only users and groups having the <code>SeDiskOperatorPrivilege</code> privilege granted can configure share permissions.
<code> SeDiskOperatorPrivilege </code>権限を付与されたユーザーとグループのみが共有権限を設定できます。


To grant the privilege to the <code>Domain Admins</code> group, enter:
<code> Domain Admins </code>グループに権限を付与するには、次のように入力します。


  # net rpc rights grant "SAMDOM\Domain Admins" SeDiskOperatorPrivilege -U "SAMDOM\administrator"
  # net rpc rights grant "SAMDOM\Domain Admins" SeDiskOperatorPrivilege -U "SAMDOM\administrator"
84行目: 82行目:
{{Imbox
{{Imbox
| type = note
| type = note
| text = It is recommended to grant the privilege to a group instead of individual accounts. This enables you to add and revoke the privilege by updating the group membership.
| text = 個々のアカウントではなくグループに特権を付与することをお勧めします。 これにより、グループメンバーシップを更新することで特権を追加したり取り消したりできます。
}}
}}


To list all users and groups having the <code>SeDiskOperatorPrivilege</code> privilege granted, enter:
<code> SeDiskOperatorPrivilege </code>特権が付与されているすべてのユーザーとグループを一覧表示するには、次のように入力します。


  # net rpc rights list privileges SeDiskOperatorPrivilege -U "SAMDOM\administrator"
  # net rpc rights list privileges SeDiskOperatorPrivilege -U "SAMDOM\administrator"

2019年2月26日 (火) 16:45時点における版

はじめに

Extended access control lists (ACL) enable you to set permissions on shares, files, and directories using Windows ACLs and applications. Samba supports shares using extended ACLs on: 拡張アクセス制御リスト(ACL)を使用すると、WindowsのACLおよびアプリケーションを使用して、共有、ファイル、およびディレクトリに対するアクセス許可を設定できます。Sambaは、以下で拡張ACLを使用して共有をサポートします。

  • ドメインメンバ
  • Active Directory (AD) ドメインコントローラ (DC)
  • NT4 プライマリドメインコントローラ (PDC)
  • NT4 バックアップドメインコントローラ (BDC)
  • スタンドアローンホスト

拡張ACLの代わりに、POSIX ACLを使用して共有を設定できます。 詳細については、 POSIX ACLs を利用して共有を設定するを見てください。. {{#invoke:Message box|imbox}}

ホストの準備

共有を作成する前にSambaを設定する必要があります。 どのタイプのSambaサーバーが必要かに応じて、以下を参照してください:


ファイルシステムのサポート

共有が作成されるファイルシステムは、次のものをサポートしている必要があります。:

  • ユーザーとシステムの xattr 名前空間。
  • 拡張されてアクセスコントロールリスト (ACL).

For further details, see File system support.


拡張ACL(Access Control List)をサポートする共有を作成するには、 smbd サービスがACLサポートを有効にして構築されている必要があります。 Active Directory(AD)ドメインコントローラ(DC)として機能するSambaホストは、拡張ACLサポートにより常に有効になっています。

To verify if Samba has been built with ACL support, enter: 

# smbd -b | grep HAVE_LIBACL
   HAVE_LIBACL

If no output is displayed:



smb.conf ファイルで拡張ACLサポートを有効にする File

拡張アクセス制御リスト(ACL)を使って共有を設定するには、 smb.conf ファイルでサポートを有効にする必要があります。 拡張ACLサポートをグローバルに有効にするには、 smb.conf ファイルの [global] セクションに次の設定を追加します。 

vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes

{{#invoke:Message box|imbox}}

あるいは、特定の共有に対してのみ拡張ACLサポートを有効にするには、共有のセクションにパラメータを追加します。

For further details about the parameters, see the smb.conf(5) man page.


Granting the SeDiskOperatorPrivilege Privilege

SeDiskOperatorPrivilege 権限を付与されたユーザーとグループのみが共有権限を設定できます。

Domain Admins グループに権限を付与するには、次のように入力します。 

# net rpc rights grant "SAMDOM\Domain Admins" SeDiskOperatorPrivilege -U "SAMDOM\administrator"
Enter SAMDOM\administrator's password:
Successfully granted rights.

{{#invoke:Message box|imbox}}

SeDiskOperatorPrivilege 特権が付与されているすべてのユーザーとグループを一覧表示するには、次のように入力します。 

# net rpc rights list privileges SeDiskOperatorPrivilege -U "SAMDOM\administrator"
Enter administrator's password:
SeDiskOperatorPrivilege:
  BUILTIN\Administrators
  SAMDOM\Domain Admins

{{#invoke:Message box|imbox}}

Adding a Share

To share the /srv/samba/Demo/ directory using the Demo share name:

  • As the root user, create the directory:
# mkdir -p /srv/samba/Demo/
  • To enable other accounts than the domain administrator to set permissions on Windows, grant Full control (rwx) to the user or group you granted the SeDiskOperatorPrivilege privilege. For example:
# chown root:"Domain Admins" /srv/samba/Demo/
# chmod 0770 /srv/samba/Demo/
  • Add the [Demo] share definition to your smb.conf file:
[Demo]
       path = /srv/samba/Demo/
       read only = no
Further share-specific settings and file system permissions are set using the Windows utilities.
{{#invoke:Message box|imbox}}
  • Reload the Samba configuration:
# smbcontrol all reload-config



Setting Share Permissions and ACLs

When you configure a share with extended access control lists (ACL) support, you set the share permissions using Windows utilities instead of adding parameters to the share section in the smb.conf file.

To set permissions and ACLs on the Demo share:

  • Log on to a Windows host using an account that has the SeDiskOperatorPrivilege privilege granted. e.g. SAMDOM\Administrator or SAMDOM\john where john is a member of Domain Admins.
  • Click Start, enter Computer Management, and start the application.
  • Select Action / Connect to another computer.
  • Enter the name of the Samba host and click OK to connect the console to the host.
  • Open the System Tools / Shared Folders / Shares menu entry.
  • Right-click to the share and select Properties.
  • Select the Share Permissions tab and check the share permissions, you need to see Everyone. For example:
Samba stores share permissions in the /usr/local/samba/var/locks/share_info.tdb database.
  • Select the Security tab.
  • Click the Edit button and set the file system ACLs on the share's root directory. For example:
For details about using the SYSTEM account on a Samba share see The SYSTEM Account.
For details where the ACLs are stored, see File System ACLs in the Back End.
  • Click the Add button.
  • Click Advanced button
  • Click Find Now
  • Select a user or group from the list, Domain Users for instance.
  • Click OK
  • Click OK
  • Select permissions to grant, Full control for instance.
  • A windows security box should open, asking if you want to continue, Click Yes
  • If you check the list of Group or user names, you should find Domain Users listed
  • Click OK to close the Permissions for Demo window.
  • Click OK to store the updated settings.

For further details about configuring share permissions and ACLs, see the Windows documentation.



Setting ACLs on a Folder

To set file system permissions on a folder located on a share that uses extended access control lists (ACL):

  • Log on to a Windows host using an account that has Full control on the folder you want to modify the file system ACLs.
  • Navigate to the folder.
  • Right-click to the folder and select Properties.
  • Select the Security tab and click the Edit button.
  • Set the permission. For example:
ファイル:Folder Permissions.png
For details about using the SYSTEM account on a Samba share see The SYSTEM Account.
For details where the ACLs are stored, see File System ACLs in the Back End.
  • Click OK to close the Permissions for Folder window.
  • Click OK to store the updated settings.

For further details about setting ACLs, see the Windows documentation.



File System ACLs in the Back End

Samba stores the file system permissions in extended file system access control lists (ACL) and in an extended attribute. For example:

  • To list the extended ACLs of the /srv/samba/Demo/ directory, enter:
# getfacl /srv/samba/Demo/
# file: srv/samba/Demo/
# owner: root
# group: root
user::rwx
user:root:rwx
group::---
group:root:---
group:domain\040users:rwx
group:domain\040admins:rwx
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:group::---
default:group:root:---
default:group:domain\040users:rwx
default:group:domain\040admins:rwx
default:mask::rwx
default:other::---
  • To list the security.NTACL extended attribute of the /srv/samba/Demo/ directory, enter:
# getfattr -n security.NTACL -d /srv/samba/Demo/
# file: srv/samba/Demo/
security.NTACL=0sBAAEAAAAAgAEAAIAAQC4zK0lHchKFvwXwbPR/h8P8sXMj5dNIT5QQuWsYwO3RAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAcG9zaXhfYWNsAEbGxuGu39MBuiZRk2pYxeL5ZWc4au0ikqRAk53MkjVd2b4quyk2WwcAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEABJy0AAAA0AAAAAAAAADsAAAAAQUAAAAAAAUVAAAASSVmaZneO8cxOHk/9AEAAAEFAAAAAAAFFQAAAEklZmmZ3jvHMTh5P0oIAAACAMQABwAAAAALFACpABIAAQEAAAAAAAEAAAAAAAAUAAAAEAABAQAAAAAAAQAAAAAACxQA/wEfAAEBAAAAAAADAAAAAAALFACpABIAAQEAAAAAAAMBAAAAAAMkAP8BHwABBQAAAAAABRUAAABJJWZpmd47xzE4eT9KCAAAAAAkAP8BHwABBQAAAAAABRUAAABJJWZpmd47xzE4eT/0AQAAAAMkAL8BEwABBQAAAAAABRUAAABJJWZpmd47xzE4eT8BAgAA

The previous example of file system ACLs and the extended attribute is mapped to the following Windows ACLs:

Principal Permissions Applies to
Domain Users (SAMDOM\Domain Users) Modify, Read & execute, List folder contents, Read, Write (This folder, subfolders and files)
Domain Admins (SAMDOM\Domain Admins) Full control (This folder, subfolders and files)
  • To get the ACL in a more readable form, enter:
# samba-tool ntacl get /usr/local/samba/var/locks/sysvol --as-sddl
# O:BAG:SYD:PAI(A;OICIIO;WOWDGRGWGX;;;CO)(A;OICIIO;GRGX;;;AU)(A;;0x001200a9;;;AU)(A;OICIIO;GA;;;SY)(A;;0x001f01ff;;;SY)(A;OICIIO;WOWDGRGWGX;;;BA)(A;;0x001e01bf;;;BA)(A;OICIIO;GRGX;;;SO)(A;;0x001200a9;;;SO)



Troubleshooting

For troubleshooting, see:



http://www.rough-and-cheap.jp/mediawiki/index.php?title=Windows_ACLs_を利用して共有を設定する&oldid=9780」から取得