第10章ファイルとプリントのセキュリティ

ファイルやプリントのサービスにおいて重要なものに，ファイルのセキュリティがあります。 OpenVMS のファイル・セキュリティに加えて NT ACL のファイル・セキュリティを提供する Advanced Server for OpenVMS とは異なり，HP CIFS Server は，OpenVMS のファイル・セキュリティのみを Windows クライアントに提供します。つまり，ファイルおよびディレクトリに適用される Windows セキュリティを OpenVMS ファイル・セキュリティにマッピングします。ファイル・セキュリティは，どの CIFS ドメイン・ユーザあるいはグループにも設定できます。 CIFS はファイルおよびディレクトリ監査機能を提供しませんが，OpenVMS 標準の監査機能がこの目的に使用できます。 CIFS のファイル・セキュリティは，次の 2 つの手順で構成されます。

ユーザとグループのマッピング
アクセス許可のマッピング

この章では，以下の内容について説明します。

第6章「ユーザとグループのマッピング」および第7章「WINBIND のサポート」で，CIFS のファイル・セキュリティの概要と，CIFS ドメイン・ユーザおよびグループの OpenVMS ユーザ名およびリソース識別子へのマッピングについて説明しています。第10章では，CIFS Server がリソースへのアクセスを管理する方法に加え，Windows のアクセス許可を OpenVMS ファイル・セキュリティにマッピングする方法について説明します。

HP CIFS Server はプリンタ・オブジェクトでアクセス制御リスト (ACL) もサポートしており，これについては 10.8 項「プリント・セキュリティ」で説明しています。

10.1 ファイル・アクセス許可のマッピング

Windows から OpenVMS へのファイル・アクセス許可のマッピングでは，Windows ファイル・アクセス許可の OpenVMS ファイル・セキュリティへのマッピングが行なわれます。この章では，HP CIFS Server の構成パラメータによって，新しいファイルおよびディレクトリで OpenVMS の RMS アクセス許可コードがどのように制御されるかについても説明しています。

10.1.1 Windows から OpenVMS へのアクセス許可のマッピング

OpenVMS では，ユーザがオブジェクトに対して，読み取り(R)，書き込み(W)，実行(E)，削除(D)，制御(C)，あるいはこれら RWEDC の組み合わせでアクセス許可を指定することができます (後述の注記を参照)。一方 Windows 標準のアクセス許可では，「セキュリティ」ダイアログ・ボックスを使用して，フルコントロール，変更，読み取りと実行，ファイルの内容の一覧表示(ディレクトリのみ)，読み取り，および，書き込みなどの，一連のアクセス許可をオブジェクトに対して設定できます。また Windows では，「プロパティ」ページの「セキュリティ」タブの「詳細設定」ボタンにより，特別なアクセス許可を設定する機能が提供されます。

表 10-1 に，CIFS によって Windows のアクセス許可がどの OpenVMS アクセス許可にマッピングされるかを示します。カッコで囲んで詳細設定と記述しているアクセス許可は，そのアクセス許可が Windows の「セキュリティの詳細設定」ダイアログ・ボックスでのみ提供されることを示します。フルコントロールと読み取りのアクセス許可に関しては，詳細設定ダイアログ・ボックスで表示される特別なアクセス許可だけでなく標準のアクセス許可にも含まれます。

表 10-1 Windows アクセス許可と OpenVMS アクセス許可のマッピング

Windows アクセス許可	OpenVMS アクセス許可
フルコントロール	RWEDC
変更	RWED
読み取りと実行	RE
読み取り	R
書き込み	W
フルコントロール (詳細設定)	RWEDC
フォルダのスキャン/ファイルの実行 (詳細設定)	E
フォルダ一覧/データの読み取り (詳細設定)	R
属性の読み取り (詳細設定)	R
拡張属性の読み取り (詳細設定)	R
フォルダの作成/データの書き込み (詳細設定)	W
フォルダの作成/データの追加 (詳細設定)	W
属性の書き込み (詳細設定)	W
拡張属性の書き込み (詳細設定)	W
サブフォルダとファイルの削除 (詳細設定)	サポートされない
削除 (詳細設定)	D
アクセス許可の読み取り (詳細設定)	R
アクセス許可の変更 (詳細設定)	ACCESS=NONE アクセス制御指示子が存在する場合はこれも考慮されますが，HP CIFS Server は，Windows からアクセス許可を設定する場合に使用可能な `DENY` アクセス許可オプションをサポートしません。

10.1.2 Windows から OpenVMS への継承値のマッピング

Windows システムでは，ディレクトリでアクセス許可を設定する場合，そのディレクトリにのみ設定するか，その下のサブディレクトリおよびファイルに設定するか，あるいはそれらを組み合わせて設定するかを指定することができます。

同様に OpenVMS では，ディレクトの ACE によってディレクトリへのアクセスが制御される一方で，そのディレクトリの下に作成されるサブディレクトリとファイルに対してのみ適用される DEFAULT ACL を提供します。

たとえば，OpenVMS で親ディレクトリが以下のようなセキュリティに設定されているとします。

PROJECTS.DIR;1       	[SYSTEM]                   (RWE,RWE,E,E)
DEFAULT_PROTECTION,SYSTEM:RWED,OWNER:RWED,GROUP:,WORLD:)
IDENTIFIER=ADMIN_USER,ACCESS=READ+WRITE+EXECUTE+DELETE)
IDENTIFIER=ADMIN_USER,OPTIONS=DEFAULT,ACCESS=READ+WRITE+EXECUTE+DELETE)

通常の OpenVMS 特権を持っているユーザに対しては，PROJECTS.DIR ディレクトリへのアクセスは ACE (IDENTIFIER=ADMIN_USER,ACCESS=READ+WRITE+EXECUTE+DELETE) で制御されます。

親ディレクトリ PROJECTS.DIR に新たに作成されたすべてのファイルおよびディレクトリに対しては ACE (IDENTIFIER=ADMIN_USER,OPTIONS=DEFAULT,ACCESS=READ+WRITE+EXECUTE+DELETE) が適用されます。

表 10-2 に， CIFS によって Windows から OpenVMS へ継承されるマッピングを示します。

表 10-2 Windows から OpenVMS へ継承されるマップング値

Windows の継承値	OpenVMS への継承マッピング
このフォルダのみ	ACCESS ACE にマッピング
このフォルダ，サブフォルダ，およびファイル	ACCESS ACE と OPTIONS=DEFAULT ACE の両方にマッピング
このフォルダとサブフォルダ	ACCESS ACE にマッピング
このフォルダとファイル	ACCESS ACE にマッピング
サブフォルダとファイルのみ	このディレクトリに OPTIONS=DEFAULT ACE にマッピング
サブフォルダのみ	サポートされません。無視されます。
ファイルのみ	サポートされません。無視されます。

10.1.3 Windows アクセス許可への OpenVMS RMS 保護コードのマッピング

OpenVMS の RMS 保護コードは，システム，所有者，グループ，ワールドの 4 つのユーザ・カテゴリに対する，読み取り許可，書き込み許可，実行許可，および削除許可で構成されます。典型的な RMS 保護コードは (S:RWED,O:RWED,G:RE,W) で，これは，システムおよび所有者カテゴリのメンバーは読み取り，書き込み，実行，および削除アクセスが可能で，グループ・カテゴリのメンバーは読み取りおよび実行アクセスのみが可能で，ワールド・カテゴリのメンバーは何もアクセス権を持たないことを示しています。すべてのオブジェクトは，作成時に RMS 保護コードを取得します。 RMS 保護マスクを割り当てる OpenVMS のセキュリティ・ルールは本書の対象外で，『HP OpenVMS システム・セキュリティ・ガイド』で詳しく説明しています。

ただし，一般に新しいディレクトリは RMS 保護コードを親ディレクトリから継承します。新しいファイルに適用される RMS 保護コードは，実質的にそのファイルを作成するプロセスの RMS 保護マスクをベースにします。デフォルトの RMS 保護マスクは，SYSGEN パラメータ RMS_FILEPROT によって制御されます(ただし SET PROTECTION/DEFAULT コマンドで変更できます)。 RMS_FILEPROT のデフォルト値は，(S:RWED,O:RWED,G:RE,W) の RMS 保護マスクになります。

さらに OpenVMS は，DEFAULT_PROTECTION ACE を提供します。この ACE は，ディレクトリ上に存在する場合，(新しいディレクトリに対してではなく) ディレクトリに作成された新しいファイルに対して適用される RMS 保護コードを決定します。 DEFAULT_PROTECTION ACE は，ディレクトリ内に作成された新しいディレクトリのアクセス制御リストに伝えられますが，それらの新しいディレクトリに適用される RMS 保護マスクに影響することはありません。

Windows にはこれと同様の保護コードの概念はありませんが，ある程度似た機能を提供します。 Windows は，OpenVMS と同じようにオブジェクトの所有者を管理します。 Windows は， OpenVMS の RMS 保護コードのワールド・カテゴリと同じような概念の Everyone と呼ばれる特別なグループを持っています。ディレクトリに対しては，Windows は CREATOR OWNER および CREATOR GROUP に対するアクセス許可も管理します。 CREATOR OWNER と CREATOR GROUP は，それぞれ，ファイル所有者の新しいオブジェクトに適用されるアクセス許可，およびファイル所有者のプライマリ・グループに関する新しいオブジェクトに適用されるアクセス許可を表します。

表 10-3 に，RMS 保護コード・カテゴリと Windows のセキュリティ概念について示します。

表 10-3 OpenVMS RMS 保護コードと Windows セキュリティのマッピング

RMS 保護コード・カテゴリ	Windows マッピング
所有者および SYSTEM	所有者
グループ	Unix のグループとして表示される
ワールド	Everyone
DEFAULT_PROTECTION_ACE における所有者	そのディレクトリ上で CREATOR OWNER
DEFAULT_PROTECTION_ACE におけるグループ	そのディレクトリ上で CREATOR GROUP
DEFAULT_PROTECTION_ACE におけるワールド	サブフォルダおよびファイルに対して Everyone

10.1.4 CREATOR OWNER および CREATOR GROUP への RMS 保護マスク RMS_FILEPROT のマッピング

Windows は，ディレクトリに CREATOR OWNER アクセス許可が存在していることを必要とします。 Windows システムからディレクトリのアクセス許可を表示および設定する際，DEFAULT_PROTECTION ACE がディレクトリに存在しない場合，CIFS Server は，表 10-4 に示すように，CREATOR OWNER および CREATOR GROUP に OpenVMS の SYSGEN パラメータ RMS_FILEPROT の保護マスクをマップングします。

表 10-4 RMS 保護マスク RMS_FILEPROT の Windows へのマッピング

RMS 保護マスク RMS_FILEPROT	Windows マッピング
RMS_FILEPROT の所有者	そのディレクトリ上の CREATOR OWNER
RMS_FILEPROT のグループ	そのディレクトリ上の CREATOR GROUP
RMS_FILEPROT のワールド	サブフォルダおよびファイルに対して Everyone

10.1.5 構成パラメータによる RMS 保護コードの制御

HP CIFS Server は，新しいオブジェクトの作成あるいは Windows アクセス許可の設定の際に適用される RMS 保護コードに影響を与えるのに使用可能な，いくつかの構成パラメータを提供します。パラメータの名前は Samba 管理者にとってはお馴染みのものですが，その実装は (もともとは UNIX のセキュリティ・モデルをベースにした) オープンソース版の Samba とは大きく異なります。

デフォルトでは，HP CIFS Server は，OpenVMS の標準のセキュリティ・ルールに基づいて新しいオブジェクトのセキュリティ・プロファイルを決定します。構成パラメータにデフォルト値以外が指定されている場合，HP CIFS Server はセキュリティを調整します。




	注記: HP CIFS Server は，新しいディレクトリの所有者に削除アクセスを与えます。これにより，作成者が新しいフォルダの名前変更および削除することが可能な Windows の標準の動作と同じになります(OpenVMS の標準の動作では，ディレクトリが親ディレクトリから RMS 保護マスクを継承する場合，すべての削除アクセスは削除されます)。

以下の構成パラメータを使用して，OpenVMS が適用するセキュリティを修正できます。

inherit owner

デフォルト値は no です。 yes が設定されている場合，HP CIFS Server は，新しいオブジェクトの RMS 所有者に親ディレクトリの所有者を設定します。




	注記: `inherit owner = no` と設定されており，親ディレクトリがリソース識別子により所有されている場合，このディレクトリへの WRITE アクセスを持たない特権のないユーザが新しいファイルを作成すると，HP CIFS Server は，リソース識別子ではなく，そのファイルを作成したユーザの UIC をその所有者に設定します。 OpenVMS の動作を残すには (すなわち，リソース識別子を所有者として設定するには)， `SMB.CONF` ファイルの適切な [share] セクションに `inherit owner = yes` を追加します。

inherit vms rms protections
これは新しいパラメータで，デフォルト値は no です。 yes が設定されている場合，HP CIFS Server は次のように動作します。
- RMS 保護コードを親ディレクトリのものに設定します。
- DEFAULT_PROTECTION ACE が存在する場合これを無視します。
- SYSGEN パラメータ RMS_FILEPROT によって指定された RMS 保護マスクを無視します。
- SMB.CONF ファイルで指定されたマスクおよびモードのパラメータ値を無視します。

表 10-5 に示すのは，HP CIFS Server がサポートするマスクおよびモード・パラメータ値です。

表 10-5 マスクおよびモード・パラメータ

パラメータ名	RMS 保護コードに作用するタイミング
create mask	新しいファイルの作成時
force create mode	新しいファイルの作成時
directory mask	新しいディレクトリの作成時
directory security mask	Windows のユーザおよびアプリケーションがそのディレクトリでセキュリティを変更した時
force directory security mode	Windows のユーザおよびアプリケーションがそのディレクトリでセキュリティを変更した時




	注記: CIFS for OpenVMS は，Windows のユーザおよびアプリケーションがファイルのセキュリティを変更する際に，構成パラメータ `security mask` および `force security mode` を使用しません。 `create mode` パラメータは `create mask` と同じ意味です。混乱を避けるため，`create mask` を使用することをお勧めします。

10.1.5.1 変更できない構成パラメータ

表 10-6 に示す構成パラメータの値はデフォルト値から変更できません(変更は無視されます)。

表 10-6 変更できない構成パラメータ

inherit acls	デフォルトは yes です。 ACL の継承は無効にできません。
inherit permissions	inherit vms rms protections パラメータで置き換えられます。
security mask	サポートされません
force security mode	サポートされません

10.1.5.2 マスクおよびモードのパラメータ値

HP CIFS Server で導入された重要なファイル・セキュリティの変更の 1 つに，新しいオブジェクトの RMS 保護コードでの削除アクセスの付与に関するものがあります。以前は，種々のマスクおよびモード・パラメータが削除アクセスを書き込みビットと結び付けていました。つまり，書き込みアクセスを有効にすると，削除アクセスを有効にすることにもなりました。しかし，削除および書き込みアクセス許可は以下のように区別されます。

マスクおよびモード・パラメータの値は次のような意味を待ちます。

<mask or mode parameter name>= 0dogw

0= 値が 8 進数であることを示します。

d = RMS 保護コードのすべてのカテゴリに対する削除アクセスの付与を制御します。 (DELETE を参照)

o = RMS 保護コードの所有者カテゴリに対する読み取り，書き込み，および実行アクセスの付与を制御します。

g = RMS 保護コードのグループ・カテゴリに対する読み取り，書き込み，および実行アクセスの付与を制御します。

w = RMS 保護コードのワールド・カテゴリに対する読み取り，書き込み，および実行アクセスの付与を制御します。




	注記: RMS 保護コードのシステム・カテゴリは，所有者カテゴリと同じアクセス許可を受け取ります。この動作を変更するためのオプションはありません。

削除アクセスは次のような値のビットマスクを使用して示されます。

4 ― RMS 保護コードの所有者カテゴリに削除アクセスを付与します。

2 ― RMS 保護コードのグループ・カテゴリに削除アクセスを付与します。

1 ― RMS 保護コードのワールド・カテゴリに削除アクセスを付与します。

所有者，グループ，およびワールド・アクセス値は，以下のアクセスを示すビットマスクでもあります。

4 ― READ アクセスを付与します。

2 ― 書き込みアクセスを付与します。

1 ― EXECUTE アクセスを付与します。

また，マスクおよびモード・パラメータのデフォルト値は，OpenVMS が自身に適用するセキュリティを(明記したものを除き)これらのパラメータが調整しないように変更されています。

結果として得られる RMS 保護コードを生成するための AND & OR 操作を実行するために，以下のマスクとモード・パラメータが関連付けられています。

create mask と force create mode
directory mask と force directory mode
directory security mask と force directory security mode

適切な mask パラメータの値が，OpenVMS が提供する RMS 保護コードの結果と AND 処理されます。その後この結果が，適切な mode パラメータの値と OR 処理されます。

mask パラメータのデフォルト値は 07777 で， mode パラメータのデフォルト値は 00000 です。ただし，force directory mode は例外です。 HP CIFS V1.2 以降，force directory mode のデフォルト値は 04000 です。これは，新しいディレクトリを作成した場合に，保護コードの所有者カテゴリに対する削除アクセスを許可するためです。

10.2 DOS 属性の保管

HP CIFS Server は，ファイルの DOS 属性 SYSTEM，HIDDEN，ARCHIVE，あるいは READ-ONLY を保管する機能をサポートします。デフォルトでは，この機能は無効になっています。 DOS 属性の保管を有効にするには，以下のように指定します。

store dos attributes = yes

store dos attributes パラメータは共有レベルのパラメータで，個々の共有ごとに設定できます。

RMS 保護コードで DOS 属性の保管をマッピングした以下の構成パラメータは，サポートされません。

map system
map hidden
map archive
map readonly

10.3 CIFS ファイル・セキュリティを適用する際の ACL の順序

OpenVMS システムでは，Windows と比べると，ACL における ACE の順序がアクセスを判断する際の重要な要素となります。これらはファイルとディレクトリに対して適用され，Windows システムがそれらを保持しないのに比べると，非常に重要です。

Windows と OpenVMS との間で対照的な ACL 処理の違いがあるため，オブジェクトにセキュリティを設定する際に HP CIFS Server が適用する ACE の順序を理解しておくことが重要になります。オブジェクトに OpenVMS ACE を適用する際，HP CIFS Server は既存の OpenVMS 固有の ACE を，(理想的には元の順序で)保管しておく必要があります (後述の注記を参照)。 Windows システムからオブジェクトのセキュリティを適用する場合，HP CIFS Server により以下のような設計で実現されます。

アクセス許可リストに新しいエントリが追加される場合，対応する ACE は ACL の最上位に置かれます。
既存のアクセス許可リスト・エントリが変更される場合，ACL の順序は影響を受けません。
OpenVMS 固有のすべての ACE は，既存の順序のまま残されます。




	注記: OpenVMS 固有の ACE には，保護された ACE あるいは隠された ACE の他，Audit ACE，Alarm ACE， IDENTIFIER=* を含む ACE があります。このような ACE は，WIndows システムを使用して表示，変更，あるいは削除することはできません。

10.4 ファイル・セキュリティ・マッピングに起因する制限事項

本章のはじめの項で，Windows ファイル・セキュリティが OpenVMS ファイル・セキュリティにどのようにマッピングされるかを説明しています。Windows システムと OpenVMS システムとでは，オブジェクトへのアクセス付与のためのオブジェクトの ACL 処理方法が大きく異なるため，このマッピング・メカニズムは制限事項が無いわけではありません。HP CIFS Server が提供するファイル・セキュリティ・マッピングの制限事項としては，以下のようなものがあります。

10.4.1 オブジェクト・アクセスの制限事項

ユーザが特に権限を持っていない場合，Windows システムは，そのオブジェクトに対する累積したアクセス許可をもとにオブジェクトへのアクセスを許可します。たとえば，あるユーザが，あるオブジェクトに対する読み取り許可のみを持つグループのメンバーであると同時に，書き込み許可のみを持つグループのメンバーである場合，そのユーザは，読み取りおよび書き込みの両方のアクセス許可を持つことになります。このため，ACL の順序は，Windows では関係なくなります(DENY アクセス許可は例外です)。

OpenVMS システムでは，オブジェクトで ACL が現れる順序は非常に重要です。ユーザが特に特権を持っていたりファイルの所有者であったりしなければ，OpenVMS は，ACE リストの上位から最初に一致する ACE を基に，オブジェクトにアクセスを付与します。

この動作は，予想外のアクセスエラーになることがあります。たとえば，あるユーザが，あるオブジェクトに対する読み取り許可のみを持つグループのメンバーであると同時に，書き込み許可のみを持つグループのメンバーである場合，そのユーザは，読み取りおよび書き込みのどちらかのアクセスを許可されます。両方ではありません。ユーザが読み取りと書き込みのどちらのアクセス許可を受け取るかは，どちらのアクセス許可エントリが最初にリストされているかによって決まります。このような状況あるいはその他の状況では，Windows ではなく SET SECURITY などの OpenVMS コマンドを使用して，『HP OpenVMS システム・セキュリティ・ガイド』の推奨事項に従って，付与するアクセス数の多い ACE が少ないものよりリストの上位に置かれるように管理理者がオブジェクトのセキュリティを管理する必要がある場合があります。 Windows システムからアクセス許可を設定した場合に同じ結果が得られるように，管理者は，上から下へ表示したときにエントリがアクセス数の多いものから少ないものの順に並ぶように管理しなければなりません。このようにするために，既存のすべてのエントリを削除して，新しいエントリをリストに追加する際に再度追加する必要があるかも知れません。

10.4.2 継承されない OpenVMS ACE に関する制限事項 (ファイルのみ)

ファイルの ACL が明示的かつ単独に (親ディレクトリで OPTIONS=DEFAULT ACE から継承されたのではなく) 追加されたOpenVMS 固有の ACE (Audit，Alarm，Protected あるいは Hidden ACE など) を含む場合，このファイルが変更されると HP CIFS Server はこれらの OpenVMS 固有の ACE を残しません。この制限事項はディレクトリ・ファイルには適用されません。

たとえば，対応する継承可能な ACE を親ディレクトリに設定せずに，単一のファイルに対して明示的に Audit ACE を設定した場合を考えます。ユーザがこのファイルを変更した場合，このファイルに対して明示的に設定された Audit ACE は，ファイルをクローズしたときに失われる場合があります。この状況は，Microsoft Office アプリケーションを使用してファイルを変更した場合に特に発生します。このようなファイルで OpenVMS 固有の ACE が失われる可能性を排除するために，ディレクトリ内で作成された新しいファイルにOpenVMS 固有 ACE が適用されるように，継承可能な OPTIONS=DEFAULT ACE を親ディレクトリに適用します。ただし，この設定では，その ACE はそのディレクトリで作成されるすべての新しいファイルに適用されます。

10.4.3 組み込み管理者グループの制限事項

HP CIFS V1.1 ECO1 よりも前のバージョンでは，組み込みローカル Administrators グループのすべてのメンバーに 2 つの特別な OpenVMS 特権，BYPASS および SYSPRV が付与されました。これによりローカルの管理者は，ファイルのセキュリティ管理という本来の目的ために Windows クライアントからすべての共有のすべてのファイルにアクセスすることが可能でした。ただしこの動作は，明示的に許可されているリソースにのみ管理者がアクセスできるという Windows の標準の動作とは矛盾します。

本バージョンでは，Administrators グループのメンバーに BYPASS および SYSPRV 特権は付与されません。この結果，ローカルの Administrators グループのメンバーは引き続きその他の管理業務は行えますが，権限を付与されるまではファイルおよびフォルダのセキュリティを設定することはできません。特権の設定に必要なアクセス許可については，10.5 項を参照してください。

10.4.4 Windows の継承値のマッピングに関する制限事項

Windows システムからディレクトリのアクセス許可を設定する場合，Windows はアクセス許可の伝搬を制御するための複数のオプションを提供します。HP CIFS Server は，サブフォルダのみのオプションだけでなく，ファイルのみのオプションもサポートしません。HP CIFS Server が他のオプションを処理する方法については，表 10-2を参照してください。

10.4.5 Windows の特別なアクセス許可に関する制限事項

HP CIFS Server は，Windows の特別なアクセス許可 Delete Subfolders and Files をサポートしません。このオプションを設定すると，アクセス拒否エラーが発生する場合があります。

10.4.6 ディレクトリあるいは共有に対するアクセス許可を表示する際の制限事項

Windows システムからディレクトリあるいは共有のアクセス許可を表示する場合，「Security」ダイアログ・ボックスに表示されるアクセス許可はそのオブジェクトに設定されているアクセス許可が正しく反映されていない場合があるため，「Advanced Security Settings」ウィンドウを使用する必要があります。この制限事項はファイルには適用されません。

Security プロパティ・ダイアログ・ウィンドウで「Advanced」ボタンをクリックして，「Advanced Security Settings」ウィンドウをオープンします。

10.5 ファイル・セキュリティの設定に必要なアクセス許可と特権

Windows からファイル・セキュリティを設定するには，そのユーザは一定のアクセス許可あるいは特権を持っている必要があります。この項では，これらのアクセス許可および特権について説明します。

10.5.1 Windows からのファイルに対する管理者アクセスの提供

管理者は，以下のいずれか 1 つの条件に当てはならない限り，Windows システムからファイル・アクセス許可を設定することはできません。

そのファイルへのアクセスが許可されているローカルの Administrators グループにメンバーとして属している。このローカルの Administrators グループは HP CIFS Server により作成され，OpenVMS リソース識別子 CIFS$ADMINISTRATORS にマッピングされる。 Grant the CIFS$ADMINISTRATORS 識別子に対し，少なくともそのディレクトリおよびファイルに対して読み取りアクセスが付与されている。この方法により，ファイルごとにアクセスが制御されます。
admin user 構成パラメータにそのユーザがリストされている。この方法は，共有ごと，すなわちすべての共有か個々の共有のどちらかで実現され，その共有内のすべてのファイルに適用される(詳しくは後述します)。
OpenVMS アカウントがマッピングされたユーザが，BYPASS，GRPPRV，READALL，あるいは SYSPRV などの OpenVMS の特別なデフォルト特権を持っている。この場合，アクセスはそのユーザがアクセスするすべての共有のすべてのファイルに適用される。

10.5.2 admin user 構成パラメータ

サーバー・ワイドあるいは共有ごとのどちらかでユーザに Administrator アクセスを与えるための別の方法として，構成ファイル・パラメータ admin users を使用する方法があります。admin users は共有レベルのパラメータで，リストされたユーザに対してフルアクセス権を与えるために個々の共有セクションで指定される一方，すべての共有のすべてのファイルに対してフルアクセスを与えるとともにそのユーザがユーザ，グループ，共有を管理できるように完全な管理者権限を与えるためには [global] セクションで指定されます。




	注記: このパラメータにリストされているユーザあるいはグループの構文は，そのサーバーの役割に依存します。あるドメイン内のメンバーサーバーの場合，そのドメインの名前がユーザ名あるいはグループ名の一部として含まれていなければなりません。サーバーの役割がそれ以外の場合は，ユーザあるいはグループが，信頼されているドメインからのものである場合のみ，ドメイン名が必要になります。

たとえば，OPERS ドメインを信頼する CORPDOM ドメイン内のメンバーサーバーで，ローカル・ユーザ CIFSADMIN，CORPDOM ドメインのユーザの ANITA，および OPERS グループの "Domain Admins" を PROJECTS 共有の管理者として指定したい場合，HP CIFS Server 構成ファイルの [PROJECTS] セクションに次のような行を追加します。

admin users = CIFSADMIN, CORPDOM\ANITA, OPERS\"DOMAIN ADMINS"

10.5.3 Windows の Change Permissions および Take Ownership アクセス許可

Windows の Change Permissions アクセス許可と Take Ownership アクセス許可は，どちらも OpenVMS のControl アクセスにマッピングされます。このため，Change Permissions あるいは Take Ownership のどちらかが付与されたユーザは，アクセス許可の変更と所有権の取得が可能です。

10.6 ファイルのセキュリティ

この項では，Windows システムあるいは OpenVMS システムからファイルのアクセス許可を設定する手順の概要を説明します。例に上げるユーザおよびグループ・アカウントがシステムに存在するものと仮定して説明します。

10.6.1 Windows システムからのファイル・セキュリティの変更

Windows 2003 システムからファイル・アクセス許可の表示および管理を行うには，以下のガイドラインに従います(他のバージョンの Windows システムでは手順が多少異なります)。

10.6.1.1 既存のアクセス許可の表示

オブジェクトに対するアクセス許可の既存の設定を表示するには，以下の手順に従います。

接続を確立します。
オブジェクトの変更アクセス許可を変更する権限を持つユーザとして認識されている HP CIFS Server に接続します。たとえば，その HP CIFS Server で管理者特権を持つユーザとしてドメインにログインしている場合，「Start」から「Run」をクリックしてサーバー名を入力します。利用できる共有ディレクトリの一覧が表示されます。ただし，その HP CIFS Server で管理者特権を持つユーザとしてドメインにログインしていない場合，Connect As 機能を使用して管理者アクセス許可を持つユーザを指定して HP CIFS Server に対する新しいセッションを確立します。その後，「Start」から「Run」をクリックして，共有フォルダの一覧を取得するためにサーバー名を入力します。
フォルダを選択するか，目的のフォルダまで移動してフォルダまたはファイルを選択します。
オブジェクトで右クリックし，「Properties」を選択します。
「Properties」ウィンドウで「Security」タブを選択します。
「Security」ウィンドウで「Advanced」ボタンをクリックして「Advanced Security Settings」ウィンドウをオープンします。
図 10-1 Advanced Security Settings ウィンドウ

10.6.1.2 アクセス許可の管理

以下の手順で，ディレクトリ/フォルダのアクセス許可の設定および管理を行います。

アクセス許可の追加

Add ボタンを追加して「Select User, Computer, or Group」ダイアログ・ボックスを表示します。
必要であれば，「Locations」ボタンをクリックし，適切なアカウントの場所を選択します。
図 10-2 アクセス許可の追加
「Enter the object name to select」のセクションにユーザあるいはグループ名を指定して，「Check Names」ボタンをクリックします。
「Multiple Names Found 」ウィンドウが表示されたら，ユーザあるいはグループを選択して，「OK」をクリックして「Select User, Computer, or Group」ダイアログ・ボックスに戻ります。
図 10-3 ユーザあるいはグループの選択
「OK」をクリックします。 Windows はそのオブジェクトに対する「Permission Entry」ウィンドウを表示します。必要な Allow アクセス許可を選択します。
図 10-4 アクセス許可
フォルダを選択した場合，適切であれば「Apply these permissions to objects and/or containers within this container only」オプションを選択します。
「OK」をクリックして「Advanced Security Settings」ウィンドウへ戻ります。
変更をすぐに保管してアクセス許可の変更を続けるには，「Apply」をクリックします。そうでない場合は，「OK」をクリックして「Properties」ダイアログボックスへ戻り，操作を確定します。
「OK」をクリックし「Properties」ウィンドウを終了させます。

既存のアクセス許可の変更

「Advanced Security Settings」ウィンドウにあるアクセス許可エントリ・リストからエントリを選択し，「Edit」をクリックします。　
オブジェクトに対して表示される「permission Entry」ウィンドウから，目的とするアクセス許可に変更します。
そのオブジェクトがフォルダの場合，それが適切であれば「Apply these permissions to objects and/or containers within this container only」オプションを選択します。
「OK」をクリックして「Advanced Security Settings」ウィンドウへ戻ります。
「Apply」をクリックして変更をすぐに保管し，アクセス許可の変更を続けます。そうでない場合は，「OK」をクリックして「Properties」ダイアログボックスに戻り，操作を確定します。
「Properties」ウィンドウで「OK」をクリックし，終了します。

アクセス許可の削除

リストからエントリを選択し，「Remove」ボタンをクリックします。
「Apply」をクリックして変更をすぐに保管し，アクセス許可の変更を続けます。そうでない場合は，「OK」をクリックして「Properties」ダイアログボックスに戻り，操作を確定します。
「Properties」ウィンドウで「OK」をクリックし，終了します。

10.6.2 所有権の取得と割り当て

場合によっては，オブジェクトの所有者の変更が必要になる場合があります。デフォルトでは，オブジェクトに対するTake Ownership 特権を持つ非管理者ユーザが，そのオブジェクトの所有者として割り当てることができるのは自分自身のみです。管理者とバックアップ・オペレータは，他のユーザおよびグループに対して所有権を割り当てることができます。Windows 2003 システムからオブジェクトの所有権を割り当てるには，以下の手順で行います(この手順は使用する Windows のバージョンによってわずかに異なります)。

オブジェクト上で右クリックし，「Properties」を選択します。
「Properties」ウィンドウから，「Security」タブを選択します。
「Advanced」ボタンをクリックします。
「Owner」タブを選択します。
図 10-5 Owner タブ
「Change owner to」セクションにユーザあるいはグループの名前がリストされている場合は，ユーザを選択します。リストされない場合，「Other Users or Groups」ボタンをクリックして名前を指定し，「OK」をクリックします。
「Multiple Names Found」ウィンドウが表示されたら，リストから名前を選択し，「OK をクリックします。
「Apply」をクリックして変更内容をすぐに保管します。
「OK」をクリックして「Properties」ウィンドウへ戻ります。
「OK」をクリックして終了します。

10.6.3 OpenVMS ホストからのファイル・セキュリティの変更

この項では，OpenVMS ホストからファイル・セキュリティを設定する方法について間単に説明します。

アクセスを認める OpenVMS アカウントあるいはリソース識別子の名前を確認します。マップピングされた OpenVMS アカウントあるいはリソース識別子がわからない場合は，WBINFO を使用して，ドメイン名とアクセス許可を付与するWindows アカウント名あるいはグループ名を指定します。アカウントあるいはグループが CIFS サーバーにローカルに存在する場合，ドメイン名は無視します(後述の注意を参照)。

たとえば，CORPDOM ドメインの ACCTNG グループにマッピングされたOpenVMS リソース識別子の名前を確認するには，次のコマンドを実行します。

$ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS
$ WBINFO --DOMAINNAME-TO-HOSTNAME=CORPDOM\ACCTNG

注記:

WBINFO ユーティリティの実行には SYSPRV 特権が必要です。
ユーザあるいはグループが HP CIFS Server のローカル・データベースに存在する場合，Administrators，Domain Admins などの BUILTIN グループを除き，ドメイン名は無視されます。組み込みグループを指定するには，グループ名の前に BUILTIN\ を付けます。たとえば，Administrators グループにマッピングされたOpenVMS リソース識別子の名前を確認するには，次のコマンドを実行します。
$ WBINFO --DOMAINNAME-TO-HOSTNAME=BUILTIN\ADMINISTRATORS

OpenVMS アカウントあるいはリソース識別子の名前が認識できたら，DCL コマンド SET SECURITY を使用してオブジェクトのセキュリティを変更します。オブジェクトへのアクセスの管理と SET SECURITY コマンドについての詳細は，『HP OpenVMS システム・セキュリティ・ガイド』および DCL のマニュアルを参照してください。

10.7 重要なデータベース・ファイル

デフォルトでは，HP CIFS Server はサーバー・データをいくつかのデータベース・ファイルに保管します。これらのファイルのいくつかは失うとセキュリティ上深刻な事態になるので，定期的にバックアップを取っておくことが必要です。ファイルが正しくリストアできるように，バックアップの際はそれらのデータベースをオープンすべきではありません。このため，バックアップ時には HP CIFS Server をシャットダウンする必要があります。複数のクラスタ・メンバーが同じ SAMBA$ROOT: ディレクトリ・ツリーを共有する場合，データベース・ファイルも共有します。このため，バックアップ時には，関連するすべてのクラスタ・メンバーで HP CIFS Server をシャットダウンする必要があります。表 10-7 に，これらのデータベース・ファイルの名前，デフォルトの場所，目的を示します。

表 10-7 重要なデータベース・ファイル

名前	場所	目的
WINBINDD_IDMAP.TDB	SAMBA$ROOT:[VAR.LOCKS]	WINBIND 自動マッピング機能が有効な場合に使用します。ドメイン SID を idmap UID/GID 値に割り当てます。
GROUP_MAPPING.TDB	SAMBA$ROOT:[VAR.LOCKS]	グループ・アカウント，それらのメンバー，および OpenVMS リソース識別子のマッピングを保管します。
PASSDB.TDB	SAMBA$ROOT:[PRIVATE]	ユーザ・アカウントおよびマシン・アカウントを保管します (PDBEDIT で作成されます)。
SECRETS.TDB	SAMBA$ROOT:[PRIVATE]	マシン・アカウント・パスワード，信頼アカウント・パスワード， ldap admin 識別名およびパスワードなど，安全のために残さなければならない情報を保管します。
ACCOUNT_POLICY.TDB	SAMBA$ROOT:[VAR.LOCKS]	最大パスワード期限，最短パスワード長，パスワード履歴などの，アカウント・ポリシーの設定を保管します。
SHARE_INFO.TDB	SAMBA$ROOT:[VAR.LOCKS]	共有 ACL を保管します(共有レベルのアクセス許可)。
NTDRIVERS.TDB	SAMBA$ROOT:[VAR.LOCKS]	インストールされているプリンタ・ドライバの情報を保管します。
NTFORMS.TDB	SAMBA$ROOT:[VAR.LOCKS]	インストールされているプリンタ・フォームの情報を保管します。
NTPRINTERS.TDB	SAMBA$ROOT:[VAR.LOCKS]	プリンタのアクセス許可など，インストール済のプリンタについての情報を保管します。

10.8 プリント・セキュリティ

プリンタのセキュリティを提供するために，Windows セキュリティと OpenVMS セキュリティの両方が使用されます。

プリンタのセキュリティを制御するのに Windows のアクセス許可を使用すると，Windows クライアントにプリンタが接続されたときに，サーバーに保管されたプリンタ・ドライバ・ファイルを自動的にダウンロードできるようにしておく場合に便利です。 Windows のアクセス許可がプリンタに適用された場合，それらのアクセス許可はデータベース・ファイル SAMBA$ROOT:[VAR.LOCKS]NTPRINTERS.TDB に保管されます。プリント・キューに設定された OpenVMS セキュリティには影響を与えません。




	注記: Windows 形式のプリンタ・セキュリティを確立する場合は，あらかじめサーバーにプリント・ドライバをアップロードしておく必要があります。

OpenVMS プリント・キューにおけるアクセス制御は，OpenVMS セキュリティを単独で，あるいは WIndows セキュリティを組み合わせて行なわれます。この方法によるセキュリティ設定は，HP CIFS Server のプリント共有を Windows クライアント上のローカル・プリンタとして構成する場合に便利です。

10.8.1 Windows 形式のプリンタ・セキュリティの設定

Windows 形式のプリンタ・セキュリティを設定する手順は，以下のとおりです。

プリンタ・セキュリティを変更するための特権を持つアカウントを使用して HP CIFS Server にアクセスします。
「Printers and Faxes」フォルダをオープンします。
プリンタ上で右クリックし，「Properties」を選択します。
「Printer Properties」ダイアログ・ボックスから，「Security」タブを選択します。
図 10-6 Security タブ
「Advanced」ボタンをクリックして，「Advanced Security Settings」ダイアログ・ボックスを表示させます。このダイアログ・ボックスにより，アクセス許可の追加，変更(編集)，あるいは削除が可能です。
図 10-7 Permissions タブ

アクセス許可の追加
1. アクセス許可を追加するには，「Add...」ボタンをクリックして「Select User or Group」ダイアログ・ボックスを表示させます。必要であれば，適切なアカウントの場所を選択します。
2. 「Enter the object name to select」ボックスでユーザ名あるいはグループ名を入力して，「Check Names」ボタンをクリックします。
3. 複数の名前がある場合は，必要な名前を選択し，「OK」をクリックします。
4. 「Select Users, Computers, and Groups」ダイアログ・ボックスで「OK」をクリックし，オブジェクトの「Permission Entry」ダイアログ・ボックスを表示させます。
  図 10-8 プリンタのアクセス許可
5. 必要なアクセス許可を選択します。
6. 「Apply onto:」ドロップダウン・リストから目的のエントリを選択し，「OK」をクリックします。
7. 「Advanced Security Settings」ダイアログ・ボックスで「OK」あるいは「Apply」をクリックします。
アクセス許可の変更
1. ユーザあるいはグループ・アカウントを選択して「Edit...」ボタンをクリックし，「Permission Entry」ダイアログ・ボックスを表示させます。
2. アクセス許可の変更
3. 「Apply onto:」ドロップダウン・リストから目的のエントリを選択し，「OK」をクリックします。
4. 「Advanced Security Settings」ダイアログ・ボックスで「OK」あるいは「Apply」をクリックします。
アクセス許可の削除
- アクセス許可を削除するには，ユーザあるいはグループ・アカウントを選択して「Remove」をクリックし，「Apply」をクリックします。
「OK」をクリックして「Advanced Security Setting」ダイアログ・ボックスでの操作を終了します。
「OK」をクリックして，そのプリンタ共有の「Properties」ダイアログ・ボックスでの操作を終了します。

10.8.2 OpenVMS プリント・キュー・セキュリティ

プリンタのアクセス制御にはOpenVMS セキュリティが使用できます。ただし，Windows のユーザおよびグループ名ではなく，それらにマッピングされ，アクセス権が付与された，OpenVMS アカウントおよびリソース識別子名を使用してセキュリティが設定されます。

マップピングされた OpenVMS アカウントあるいはリソース識別子がわからない場合は，WBINFO を使用して，ドメイン名とアクセス許可を付与するWindows アカウント名あるいはグループ名を指定します。アカウントあるいはグループが CIFS サーバーにローカルに存在する場合，ドメイン名は無視します( 下記の注意を参照). たとえば，CORPDOM ドメインの ACCTNG グループにマッピングされたOpenVMS リソース識別子の名前を確認するには，次のコマンドを実行します。

$ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS
$ WBINFO --DOMAINNAME-TO-HOSTNAME=CORPDOM\ACCTNG