しかし、ユーザー権限を付与するごとに共有フォルダを作成すると、共有フォルダだらけになり、一般的によく起きゆるファイルサーバーの無法地帯化の一歩に近づいてしまっている気がします。
そのため、共有フォルダを1つ作成しその中のサブフォルダで細かい権限を設定し、共有フォルダの数を減らしつつ、セキュアな環境を作成したいと思います。
まず、Prism画面で、前回までに作成したDivisionShareの設定変更を行います。
FileServerの項で、「DivisionShare」選択し、Updateをクリックします。
オプションとして、「Enable Access Based Enumeration(ABE)」と「Self Service Restore」にチェックを入れ、Saveをクリックします。
では、この状態で2つのフォルダを作成し、権限付与をしたいと思います。
「\\afs01\DivisionShare」の配下に以下のフォルダを作成します。
「のび太の100点テストPDF」フォルダ
こちらは、権限設定で管理者とのび太くんのみが見えるように設定します。
ここで必要になることは、このフォルダはDivisionShareの配下にあるフォルダのため、前フォルダの権限情報を継承しています。
そのため、DivisionShareフォルダは以下に、管理者権限でWindowsPCから、フォルダ「のび太の100点テストPDF」を作成し、プロパティを開きます。
セキュリティタブから「詳細設定ボタン」をクリックします。
このフォルダは、その権限を継承しないため、継承の無効化をクリックします。
その後許可ユーザーを制限し、OKをクリックし反映させます。
同様の要領で、 「静香の焼き芋データーベース」も作成し、静香ちゃんとシステム管理者だけがアクセスできる権限を付与します。
▼管理者から見た「\\afs01\DivisionShare」を確認しておきましょう。
では、実際にクライアントからアクセスしてみましょう。
まずは、suneoアカウントでログインをし、「\\afs01\divisionshare」配下を見てみます。
▼suneoアカウントから見た「\\afs01\divisionshare」配下
▼nobitaアカウントから見てみましょう。
のび太くんからは、静香ちゃんの焼き芋データーベースフォルダは表示されていません。
では、shizukaアカウントから見てみましょう。
このように、共有フォルダ配下にフォルダを作成し、個別の権限を設定した場合、Enable Access Based Enumeration(ABE)機能が有効になり、必要のないフォルダが表示から除外されます。
では、Prism上から「DivisionShare」のABE機能をオフにしてみましょう。
それで、もう一度shizukaユーザーから、「\\afs01\DivisionShare」を見てみましょう。
すると、先ほどと異なりすべてのフォルダが見えることがわかります。
ここでは、静香ちゃんがアクセス許可されていない、「のび太の100点テストPDF」フォルダを開いてみましょう。
▼shizukaユーザーからアクセス権限のないフォルダをアクセスしたところ
ABEをオフにするとすべてのフォルダが見えてしまいますので、セキュアな環境を作成するという観点から考えると、ABEの機能は有効にしておいたほうがメリットがあるように思います。
また、従来のSamba2.xのように、サブフォルダに別の権限が付与できないといったこともありませんし、ABEを利用することで、従来の単体のWindowsサーバーでは難しかったフォルダを必要に応じて隠すこともできます。
ファイルサーバーとして利用するには必要十分な機能が実装されていることが今回わかりました。
次回は、ファイルリストアの機能を確認してみたいと思います。
0 件のコメント:
コメントを投稿