「Windows ACLs を利用して共有を設定する」の版間の差分

提供: 雑廉堂Wiki
(共有許可とACLの設定)
(ホストの準備)
 
(同じ利用者による、間の22版が非表示)
11行目: 11行目:
 
拡張ACLの代わりに、POSIX ACLを使用して共有を設定できます。 詳細については、 [[POSIX ACLs を利用して共有を設定する]]を見てください。.
 
拡張ACLの代わりに、POSIX ACLを使用して共有を設定できます。 詳細については、 [[POSIX ACLs を利用して共有を設定する]]を見てください。.
 
{{Imbox
 
{{Imbox
| type = note
+
| type = notice
 
| text = SambaはDC上でのPOSIX ACLの使用をサポートしていません。 WindowsのACLを使用する必要があります。
 
| text = SambaはDC上でのPOSIX ACLの使用をサポートしていません。 WindowsのACLを使用する必要があります。
 
}}
 
}}
22行目: 22行目:
 
* [[Setting_up_Samba_as_an_NT4_PDC_(Quick_Start)|Setting up Samba as an NT4 PDC (Quick Start)]]
 
* [[Setting_up_Samba_as_an_NT4_PDC_(Quick_Start)|Setting up Samba as an NT4 PDC (Quick Start)]]
 
* [[Setting_up_Samba_as_an_NT4_BDC|Setting up Samba as an NT4 BDC]]
 
* [[Setting_up_Samba_as_an_NT4_BDC|Setting up Samba as an NT4 BDC]]
* [[Setting_up_Samba_as_a_Standalone_Server|Setting up Samba as a Standalone Server]]
+
* [[Setting_up_Samba_as_a_Standalone_Server|Samba をスタンドアローンサーバーとして構成する]]
  
  
38行目: 38行目:
 
拡張ACL(Access Control List)をサポートする共有を作成するには、<code> smbd </code>サービスがACLサポートを有効にして構築されている必要があります。 Active Directory(AD)ドメインコントローラ(DC)として機能するSambaホストは、拡張ACLサポートにより常に有効になっています。
 
拡張ACL(Access Control List)をサポートする共有を作成するには、<code> smbd </code>サービスがACLサポートを有効にして構築されている必要があります。 Active Directory(AD)ドメインコントローラ(DC)として機能するSambaホストは、拡張ACLサポートにより常に有効になっています。
  
To verify if Samba has been built with ACL support, enter:
+
SambaがACLサポート付きでビルドされたかどうかを確認するには、次のように入力:
  
 
  # smbd -b | grep HAVE_LIBACL
 
  # smbd -b | grep HAVE_LIBACL
 
     HAVE_LIBACL
 
     HAVE_LIBACL
  
If no output is displayed:
+
出力が表示されない場合
* Samba was built using the <code>--with-acl-support=no</code> parameter.
+
* Sambaは<code> --with-acl-support = no </code>パラメータを使って構築されました。
* The Samba <code>configure</code> script was unable to locate the required libraries for ACL support. For details, see [[Package Dependencies Required to Build Samba]].
+
* Sambaの<code> configure </code>スクリプトは、ACLサポートに必要なライブラリを見つけることができませんでした。 詳細は[[Sambaをビルドするのに必要なパッケージ依存関係]]を参照してください。
  
 
+
== <code>smb.conf</code>ファイルで拡張ACLサポートを有効にする</code> ==
 
 
 
 
 
 
== <code> smb.conf </code>ファイルで拡張ACLサポートを有効にする</code> File ==
 
  
 
拡張アクセス制御リスト(ACL)を使って共有を設定するには、<code> smb.conf </code>ファイルでサポートを有効にする必要があります。 拡張ACLサポートをグローバルに有効にするには、<code> smb.conf </code>ファイルの<code> [global] </code>セクションに次の設定を追加します。
 
拡張アクセス制御リスト(ACL)を使って共有を設定するには、<code> smb.conf </code>ファイルでサポートを有効にする必要があります。 拡張ACLサポートをグローバルに有効にするには、<code> smb.conf </code>ファイルの<code> [global] </code>セクションに次の設定を追加します。
60行目: 56行目:
  
 
{{Imbox
 
{{Imbox
| type = important
+
| type = content
| text = On a Samba Active Directory (AD) domain controller (DC), extended ACL support is automatically enabled globally. You must not enable the support manually.
+
| text = Samba Active Directory(AD)ドメインコントローラ(DC)では、拡張ACLサポートは自動的にグローバルに有効になります。 手動でサポートを有効にしないでください。
 
}}
 
}}
  
 
あるいは、特定の共有に対してのみ拡張ACLサポートを有効にするには、共有のセクションにパラメータを追加します。
 
あるいは、特定の共有に対してのみ拡張ACLサポートを有効にするには、共有のセクションにパラメータを追加します。
 
+
パレメータの詳細については <code>smb.conf(5)</code> のマニュアルページを見てください。
For further details about the parameters, see the <code>smb.conf(5)</code> man page.
 
 
 
 
 
  
 
== <code>SeDiskOperatorPrivilege</code> 権限の付与 ==
 
== <code>SeDiskOperatorPrivilege</code> 権限の付与 ==
81行目: 74行目:
  
 
{{Imbox
 
{{Imbox
| type = note
+
| type = notice
 
| text = 個々のアカウントではなくグループに特権を付与することをお勧めします。 これにより、グループメンバーシップを更新することで特権を追加したり取り消したりできます。
 
| text = 個々のアカウントではなくグループに特権を付与することをお勧めします。 これにより、グループメンバーシップを更新することで特権を追加したり取り消したりできます。
 
}}
 
}}
94行目: 87行目:
  
 
{{Imbox
 
{{Imbox
| type = important
+
| type = content
| text = You need to grant the <code>SeDiskOperatorPrivilege</code> privilege on the Samba server that holds the share.
+
| text = 共有を保持しているSambaサーバー上で<code> SeDiskOperatorPrivilege </code>特権を付与する必要があります。
 
}}
 
}}
  
 
= 共有を追加 =
 
= 共有を追加 =
  
<code> Demo </code>共有名を使用して<code> / srv / samba / Demo / </code>ディレクトリを共有するには、次の手順を実行します。
+
<code> Demo </code>共有名を使用して<code>/srv/samba/Demo/</code>ディレクトリを共有するには、次の手順を実行します。
  
 
* <code> root </code>ユーザーとして、ディレクトリを作成します。
 
* <code> root </code>ユーザーとして、ディレクトリを作成します。
106行目: 99行目:
 
  # mkdir -p /srv/samba/Demo/
 
  # mkdir -p /srv/samba/Demo/
  
*ドメイン管理者以外のアカウントがWindowsで権限を設定できるようにするには、<code> SeDiskOperatorPrivilege </ codeを付与したユーザーまたはグループに<code>フルコントロール</code>(<code> rwx </code>)を付与します。 >特権 例えば:
+
*ドメイン管理者以外のアカウントがWindowsで権限を設定できるようにするには、<code>SeDiskOperatorPrivilege</code>特権を付与したユーザーまたはグループに<code>フルコントロール</code>(<code> rwx </code>)を付与します。 例えば:
  
 
  # chown root:"Domain Admins" /srv/samba/Demo/
 
  # chown root:"Domain Admins" /srv/samba/Demo/
120行目: 113行目:
  
 
:{{Imbox
 
:{{Imbox
| type = important
+
| type = content
 
| text = <code> force user </code>などの追加の共有パラメータを設定しないでください。 それらを共有定義に追加すると、共有を構成または使用できなくなる可能性があります。
 
| text = <code> force user </code>などの追加の共有パラメータを設定しないでください。 それらを共有定義に追加すると、共有を構成または使用できなくなる可能性があります。
 
}}
 
}}
139行目: 132行目:
 
* Sambaホストの名前を入力し、<code> OK </code>をクリックしてコンソールをホストに接続します。
 
* Sambaホストの名前を入力し、<code> OK </code>をクリックしてコンソールをホストに接続します。
 
* <code>システムツール</code> / <code>共有フォルダ</code> / <code>共有</code>メニューを開きます。
 
* <code>システムツール</code> / <code>共有フォルダ</code> / <code>共有</code>メニューを開きます。
 
 
:[[Image:Computer_Management_Shares.png]]
 
:[[Image:Computer_Management_Shares.png]]
 
+
*共有を右クリックして、<code>プロパティ</code>を選択します。
* Right-click to the share and select <code>Properties</code>.
+
* [<code>共有アクセス権</code>]タブを選択し、共有アクセス権を確認します。<code> Everyone </code>が表示される必要があります。 例えば:
 
 
* Select the <code>Share Permissions</code> tab and check the share permissions, you need to see <code>Everyone</code>. For example:
 
 
:[[Image:share.png]]
 
:[[Image:share.png]]
 
+
: Sambaは<code> /usr/local/samba/var/locks/share_info.tdb </code>データベースに共有許可を保存します。
: Samba stores share permissions in the <code>/usr/local/samba/var/locks/share_info.tdb</code> database.
+
* [<code>セキュリティ</code>]タブをクリックします。
 
+
* <code>編集</code>ボタンをクリックして、共有のルートディレクトリにファイルシステムのACLを設定します。 例えば:
* Select the <code>Security</code> tab.
 
 
 
* Click the <code>Edit</code> button and set the file system ACLs on the share's root directory. For example:
 
 
 
 
:[[Image:Demo_Share_Security.png]]
 
:[[Image:Demo_Share_Security.png]]
 +
: Samba共有で<code> SYSTEM </code>アカウントを使うことについての詳細は[[SYSTEMアカウント]]を見てください。
 +
: ACLが格納される場所の詳細については、[[#バックエンドのファイルシステムACL |バックエンドのファイルシステムACL]]を参照してください。
  
: For details about using the <code>SYSTEM</code> account on a Samba share see [[The SYSTEM Account]].
+
* <code>追加</code>ボタンをクリックしてください。
 
 
: For details where the ACLs are stored, see [[#File_System_ACLs_in_the_Back_End|File System ACLs in the Back End]].
 
 
 
* Click the <code>Add</code> button.
 
  
* Click <code>Advanced</code> button
+
* <code>詳細</code>ボタンをクリック
  
* Click <code>Find Now</code>
+
* [<code>今すぐ検索</code>]をクリックします
  
* Select a user or group from the list, <code>Domain Users</code> for instance.
+
*リストからユーザーまたはグループを選択します(例:<code> Domain Users </code>)。
  
* Click <code>OK</code>
+
* [<code> OK </code>]をクリックします
  
* Click <code>OK</code>
+
* [<code> OK </code>]をクリックします
  
* Select permissions to grant, <code>Full control</code> for instance.
+
*付与する権限を選択します。たとえば、<code>フルコントロール</code>です。
  
* A windows security box should open, asking if you want to continue, Click <code>Yes</code>
+
*続行するかどうかを尋ねるウィンドウズのセキュリティボックスが開きます。<code> Yes </code>をクリックしてください。
  
* If you check the list of <code>Group or user names</code>, you should find <code>Domain Users</code> listed
+
* <code>グループ名またはユーザー名</code>のリストを確認すると、<code> Domain Users </code>がリストされているはずです。
  
* Click <code>OK</code> to close the <code>Permissions for Demo</code> window.
+
* [<code> OK </code>]をクリックして[<code>デモのアクセス許可</code>]ウィンドウを閉じます。
  
* Click <code>OK</code> to store the updated settings.
+
*更新した設定を保存するには、[<code> OK </code>]をクリックします。
  
For further details about configuring share permissions and ACLs, see the Windows documentation.
+
共有権限とACLの設定について詳しくは、Windowsの資料を参照してください。
  
= Setting ACLs on a Folder =
+
= フォルダにACLを設定する =
  
To set file system permissions on a folder located on a share that uses extended access control lists (ACL):
+
拡張アクセス制御リスト(ACL)を使用する共有上にあるフォルダーにファイルシステムのアクセス許可を設定するには
  
* Log on to a Windows host using an account that has <code>Full control</code> on the folder you want to modify the file system ACLs.
+
*ファイルシステムのACLを変更するフォルダに<code>フルコントロール</code>を持つアカウントを使用してWindowsホストにログオンします。
  
* Navigate to the folder.
+
*フォルダに移動します。
  
* Right-click to the folder and select <code>Properties</code>.
+
*フォルダを右クリックして、<code>プロパティ</code>を選択します。
  
* Select the <code>Security</code> tab and click the <code>Edit</code> button.
+
* [<code>セキュリティ</code>]タブを選択し、[<code>編集</code>]ボタンをクリックします。
  
* Set the permission. For example:
+
*許可を設定してください。 例えば:
  
 
:[[Image:Folder_Permissions.png]]
 
:[[Image:Folder_Permissions.png]]
  
: For details about using the <code>SYSTEM</code> account on a Samba share see [[The SYSTEM Account]].
+
:Samba共有で<code> SYSTEM </code>アカウントを使うことについての詳細は[[SYSTEMアカウント]]を見てください。
  
: For details where the ACLs are stored, see [[#File_System_ACLs_in_the_Back_End|File System ACLs in the Back End]].
+
:ACLが格納される場所の詳細については、[[#バックエンドのファイルシステムACL |バックエンドのファイルシステムACL]]を参照してください。
  
* Click <code>OK</code> to close the <code>Permissions for Folder</code> window.
+
* [<code> OK </code>]をクリックして[<code>フォルダのアクセス許可</code>]ウィンドウを閉じます。
  
* Click <code>OK</code> to store the updated settings.
+
*更新した設定を保存するには、[<code> OK </code>]をクリックします。
  
For further details about setting ACLs, see the Windows documentation.
+
ACLの設定について詳しくは、Windowsの資料を参照してください。
  
 +
= バックエンドのファイルシステムACL =
  
 +
Sambaはファイルシステムのアクセス権を拡張ファイルシステムのアクセス制御リスト(ACL)と拡張属性に格納します。 例えば:
  
 
+
* <code>/srv/samba/Demo/</code>ディレクトリの拡張ACLを一覧表示するには、次のように入力します。:
 
 
= File System ACLs in the Back End =
 
 
 
Samba stores the file system permissions in extended file system access control lists (ACL) and in an extended attribute. For example:
 
 
 
* To list the extended ACLs of the <code>/srv/samba/Demo/</code> directory, enter:
 
  
 
  # getfacl /srv/samba/Demo/
 
  # getfacl /srv/samba/Demo/
240行目: 220行目:
 
  default:other::---
 
  default:other::---
  
* To list the <code>security.NTACL</code> extended attribute of the <code>/srv/samba/Demo/</code> directory, enter:
+
* ディレクトリ、<code>/srv/samba/Demo/</code><code>security.NTACL</code>の拡張属性の一覧を表示するには、次のように入力:
  
 
  # getfattr -n security.NTACL -d /srv/samba/Demo/
 
  # getfattr -n security.NTACL -d /srv/samba/Demo/
246行目: 226行目:
 
  security.NTACL=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
 
  security.NTACL=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
  
The previous example of file system ACLs and the extended attribute is mapped to the following Windows ACLs:
+
ファイルシステムACLと拡張属性の前の例は、次のWindows ACLにマップされています:
  
 
{| class="wikitable"
 
{| class="wikitable"
262行目: 242行目:
 
|}
 
|}
  
* To get the ACL in a more readable form, enter:
+
* もっと読みやすい形式でACLを取得するには、次のように入力します。:
  
 
  # samba-tool ntacl get /usr/local/samba/var/locks/sysvol --as-sddl
 
  # samba-tool ntacl get /usr/local/samba/var/locks/sysvol --as-sddl
 
  # O:BAG:SYD:PAI(A;OICIIO;WOWDGRGWGX;;;CO)(A;OICIIO;GRGX;;;AU)(A;;0x001200a9;;;AU)(A;OICIIO;GA;;;SY)(A;;0x001f01ff;;;SY)(A;OICIIO;WOWDGRGWGX;;;BA)(A;;0x001e01bf;;;BA)(A;OICIIO;GRGX;;;SO)(A;;0x001200a9;;;SO)
 
  # O:BAG:SYD:PAI(A;OICIIO;WOWDGRGWGX;;;CO)(A;OICIIO;GRGX;;;AU)(A;;0x001200a9;;;AU)(A;OICIIO;GA;;;SY)(A;;0x001f01ff;;;SY)(A;OICIIO;WOWDGRGWGX;;;BA)(A;;0x001e01bf;;;BA)(A;OICIIO;GRGX;;;SO)(A;;0x001200a9;;;SO)
  
 +
= トラブルシューティング =
  
 
+
トラブルシューティングは、次の項目を参照してください:
 
+
* [[Sambaドメインメンバーのトラブルシューティング | Sambaドメインメンバーのトラブルシューティング]]
= Troubleshooting =
+
* [[Samba AD DCトラブルシューティング| Samba AD DCトラブルシューティング]]
 
 
For troubleshooting, see:
 
* [[Troubleshooting_Samba_Domain_Members|Troubleshooting Samba Domain Members]]
 
* [[Samba_AD_DC_Troubleshooting|Samba AD DC Troubleshooting]]
 
  
  

2020年2月20日 (木) 11:50時点における最新版

はじめに

Extended access control lists (ACL) enable you to set permissions on shares, files, and directories using Windows ACLs and applications. Samba supports shares using extended ACLs on: 拡張アクセス制御リスト(ACL)を使用すると、WindowsのACLおよびアプリケーションを使用して、共有、ファイル、およびディレクトリに対するアクセス許可を設定できます。Sambaは、以下で拡張ACLを使用して共有をサポートします。

  • ドメインメンバ
  • Active Directory (AD) ドメインコントローラ (DC)
  • NT4 プライマリドメインコントローラ (PDC)
  • NT4 バックアップドメインコントローラ (BDC)
  • スタンドアローンホスト

拡張ACLの代わりに、POSIX ACLを使用して共有を設定できます。 詳細については、 POSIX ACLs を利用して共有を設定するを見てください。.

ホストの準備

共有を作成する前にSambaを設定する必要があります。 どのタイプのSambaサーバーが必要かに応じて、以下を参照してください:


ファイルシステムのサポート

共有が作成されるファイルシステムは、次のものをサポートしている必要があります。:

  • ユーザーとシステムの xattr 名前空間。
  • 拡張されてアクセスコントロールリスト (ACL).

For further details, see File system support.


拡張ACL(Access Control List)をサポートする共有を作成するには、 smbd サービスがACLサポートを有効にして構築されている必要があります。 Active Directory(AD)ドメインコントローラ(DC)として機能するSambaホストは、拡張ACLサポートにより常に有効になっています。

SambaがACLサポート付きでビルドされたかどうかを確認するには、次のように入力: 

# smbd -b | grep HAVE_LIBACL
   HAVE_LIBACL

出力が表示されない場合

smb.confファイルで拡張ACLサポートを有効にする

拡張アクセス制御リスト(ACL)を使って共有を設定するには、 smb.conf ファイルでサポートを有効にする必要があります。 拡張ACLサポートをグローバルに有効にするには、 smb.conf ファイルの [global] セクションに次の設定を追加します。 

vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes

あるいは、特定の共有に対してのみ拡張ACLサポートを有効にするには、共有のセクションにパラメータを追加します。 パレメータの詳細については smb.conf(5) のマニュアルページを見てください。

SeDiskOperatorPrivilege 権限の付与

SeDiskOperatorPrivilege 権限を付与されたユーザーとグループのみが共有権限を設定できます。

Domain Admins グループに権限を付与するには、次のように入力します。 

# net rpc rights grant "SAMDOM\Domain Admins" SeDiskOperatorPrivilege -U "SAMDOM\administrator"
Enter SAMDOM\administrator's password:
Successfully granted rights.

SeDiskOperatorPrivilege 特権が付与されているすべてのユーザーとグループを一覧表示するには、次のように入力します。 

# net rpc rights list privileges SeDiskOperatorPrivilege -U "SAMDOM\administrator"
Enter administrator's password:
SeDiskOperatorPrivilege:
  BUILTIN\Administrators
  SAMDOM\Domain Admins

共有を追加

Demo 共有名を使用して/srv/samba/Demo/ディレクトリを共有するには、次の手順を実行します。

  • root ユーザーとして、ディレクトリを作成します。
# mkdir -p /srv/samba/Demo/
  • ドメイン管理者以外のアカウントがWindowsで権限を設定できるようにするには、SeDiskOperatorPrivilege特権を付与したユーザーまたはグループにフルコントロール rwx )を付与します。 例えば:
# chown root:"Domain Admins" /srv/samba/Demo/
# chmod 0770 /srv/samba/Demo/
  • [Demo] 共有定義を smb.conf ファイルに追加します。
[Demo]
       path = /srv/samba/Demo/
       read only = no
共有固有の詳細設定とファイルシステムのアクセス許可は、Windowsのユーティリティを使用して設定します。
  • Sambaの設定を再読み込みする:
# smbcontrol all reload-config

共有許可とACLの設定

拡張アクセス制御リスト(ACL)をサポートする共有を設定するときは、 smb.conf ファイルの共有セクションにパラメータを追加するのではなく、Windowsユーティリティを使用して共有アクセス権を設定します。

Demo 共有にアクセス許可とACLを設定するには:

  • SeDiskOperatorPrivilege 権限が付与されているアカウントを使用してWindowsホストにログオンします。 例えば SAMDOM \ Administrator または SAMDOM \ john john Domain Admins のメンバーです。
  • [開始]をクリックし、コンピュータの管理と入力してアプリケーションを起動します。
  • [操作 / 別のコンピュータに接続]を選択します。
  • Sambaホストの名前を入力し、 OK をクリックしてコンソールをホストに接続します。
  • システムツール / 共有フォルダ / 共有メニューを開きます。
Computer Management Shares.png
  • 共有を右クリックして、プロパティを選択します。
  • [共有アクセス権]タブを選択し、共有アクセス権を確認します。 Everyone が表示される必要があります。 例えば:
Share.png
Sambaは /usr/local/samba/var/locks/share_info.tdb データベースに共有許可を保存します。
  • [セキュリティ]タブをクリックします。
  • 編集ボタンをクリックして、共有のルートディレクトリにファイルシステムのACLを設定します。 例えば:
Demo Share Security.png
Samba共有で SYSTEM アカウントを使うことについての詳細はSYSTEMアカウントを見てください。
ACLが格納される場所の詳細については、バックエンドのファイルシステムACLを参照してください。
  • 追加ボタンをクリックしてください。
  • 詳細ボタンをクリック
  • [今すぐ検索]をクリックします
  • リストからユーザーまたはグループを選択します(例: Domain Users )。
  • [ OK ]をクリックします
  • [ OK ]をクリックします
  • 付与する権限を選択します。たとえば、フルコントロールです。
  • 続行するかどうかを尋ねるウィンドウズのセキュリティボックスが開きます。 Yes をクリックしてください。
  • グループ名またはユーザー名のリストを確認すると、 Domain Users がリストされているはずです。
  • [ OK ]をクリックして[デモのアクセス許可]ウィンドウを閉じます。
  • 更新した設定を保存するには、[ OK ]をクリックします。

共有権限とACLの設定について詳しくは、Windowsの資料を参照してください。

フォルダにACLを設定する

拡張アクセス制御リスト(ACL)を使用する共有上にあるフォルダーにファイルシステムのアクセス許可を設定するには

  • ファイルシステムのACLを変更するフォルダにフルコントロールを持つアカウントを使用してWindowsホストにログオンします。
  • フォルダに移動します。
  • フォルダを右クリックして、プロパティを選択します。
  • [セキュリティ]タブを選択し、[編集]ボタンをクリックします。
  • 許可を設定してください。 例えば:
ファイル:Folder Permissions.png

:Samba共有で SYSTEM アカウントを使うことについての詳細はSYSTEMアカウントを見てください。

:ACLが格納される場所の詳細については、バックエンドのファイルシステムACLを参照してください。

  • [ OK ]をクリックして[フォルダのアクセス許可]ウィンドウを閉じます。
  • 更新した設定を保存するには、[ OK ]をクリックします。

ACLの設定について詳しくは、Windowsの資料を参照してください。

バックエンドのファイルシステムACL

Sambaはファイルシステムのアクセス権を拡張ファイルシステムのアクセス制御リスト(ACL)と拡張属性に格納します。 例えば:

  • /srv/samba/Demo/ディレクトリの拡張ACLを一覧表示するには、次のように入力します。:
# getfacl /srv/samba/Demo/
# file: srv/samba/Demo/
# owner: root
# group: root
user::rwx
user:root:rwx
group::---
group:root:---
group:domain\040users:rwx
group:domain\040admins:rwx
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:group::---
default:group:root:---
default:group:domain\040users:rwx
default:group:domain\040admins:rwx
default:mask::rwx
default:other::---
  • ディレクトリ、/srv/samba/Demo/security.NTACLの拡張属性の一覧を表示するには、次のように入力:
# getfattr -n security.NTACL -d /srv/samba/Demo/
# file: srv/samba/Demo/
security.NTACL=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

ファイルシステムACLと拡張属性の前の例は、次のWindows ACLにマップされています:

Principal Permissions Applies to
Domain Users (SAMDOM\Domain Users) Modify, Read & execute, List folder contents, Read, Write (This folder, subfolders and files)
Domain Admins (SAMDOM\Domain Admins) Full control (This folder, subfolders and files)
  • もっと読みやすい形式でACLを取得するには、次のように入力します。:
# samba-tool ntacl get /usr/local/samba/var/locks/sysvol --as-sddl
# O:BAG:SYD:PAI(A;OICIIO;WOWDGRGWGX;;;CO)(A;OICIIO;GRGX;;;AU)(A;;0x001200a9;;;AU)(A;OICIIO;GA;;;SY)(A;;0x001f01ff;;;SY)(A;OICIIO;WOWDGRGWGX;;;BA)(A;;0x001e01bf;;;BA)(A;OICIIO;GRGX;;;SO)(A;;0x001200a9;;;SO)

トラブルシューティング

トラブルシューティングは、次の項目を参照してください:



http://www.rough-and-cheap.jp/mediawiki/index.php?title=Windows_ACLs_を利用して共有を設定する&oldid=10066」から取得