4    ASU ディスク共有の作成

次のタイプのファイル・システムは,ディスク共有としてドメイン・ユーザと共有することができます。

この章では,ドメイン・ユーザとファイル・システムを共有する方法について説明します。

4.1    省略時のディスク共有属性

次のレジストリ・パスにあるレジストリ値エントリに値を割り当てることによって,ASU サーバがディスク共有を作成する方法を制御できます。

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ AdvancedServer/FileServiceParameters

このパスのエントリでは,次のことを定義します。

ディスク共有に関係するレジストリ・エントリの一覧については,B.1.2 項を参照してください。

4.1.1    NFS エクスポートされたファイル・システム用のディスク共有

省略時の設定では,ASU サーバは,NFS エクスポートされたファイル・システム用のディスク共有を自動的に作成します。ASU サーバは,次の情報を使用してディスク共有を作成します。

4.1.1.1    NFS アクセス許可の変換

ASU サーバは,次の表のように NFS アクセス許可をディスク共有のアクセス権に変換します。

NFS アクセス許可 対応するディスク共有アクセス権
読み取り (r),書き込み (w) フル・アクセス
指定なし フル・アクセス
読み取り専用 (ro) 読み取りと実行 (指定されたクライアントのリストについて)
なし アクセス権なし

次の表に,ASU サーバが NFS アクセス許可をディスク共有のアクセス権に変換する具体例を示します。

NFS アクセス許可 対応するディスク共有アクセス権
/usr/local 全クライアントについてフル・アクセス
/usr/local -ro client1 client1 は読み取りと実行,その他のクライアントはすべてアクセス権なし
/usr/local client1 client2 client3 client1client2client3 はフル・アクセス,その他のクライアントはすべてアクセス権なし
/usr/local -rw=client1 client1 はフル・アクセス,その他のクライアントはすべて読み取りと実行
/usr/local -access=client1:10.0.0.10 10.0.0.10 からの client1 はフル・アクセス,その他のクライアントはすべてアクセス権なし

ASU サーバは,次の NFS アクセス許可を持つ NFS マウント・ポイント用の共有は作成しません。

4.1.1.2    ASU で作成される NFS 関連のディスク共有の管理

省略時の設定により,ASU サーバが起動すると,ASU ディスク共有と NFS エクスポート・エントリとの同期をとります。エクスポート・エントリに対応するディスク共有がない場合,ASU サーバはディスク共有を作成します。エクスポート・エントリがもう存在しないか,またはサポートされない (root=0) 場合,ASU サーバは対応するディスク共有を削除します。NFS エクスポート・エントリの NFS アクセス許可が変更された場合には,ASU サーバは対応するディスク共有のアクセス権を更新します。

nfsshare コマンドを使用して,次の操作を行うことができます。

nfsshare コマンドの詳細については, nfsshare(8) を参照してください。

4.1.1.3    NFS に関連するディスク共有の作成の制御

ShareNFSExports エントリが有効な場合 (省略時の設定) は,NFS エクスポートされたファイル・システムの ASU ディスク共有の作成は,FileServiceParameters レジストリ・サブキー内の NFS に関連するエントリに割り当てる値によって異なります。表 4-1 に,NFS に関連するレジストリ値エントリを示します。

表 4-1:  NFS に関連するディスク共有の値エントリ

エントリ 説明と省略時の値
NFSExportFile NFS エクスポート・ファイルの名前を指定する。

省略時の値: /etc/exports

SyncNFSExports ASU サーバの起動時に,NFS エクスポートとディスク共有との同期をとるかどうかを指定する。このエントリが無効であれば,NFS エクスポートから作成されたディスク共有は削除される。

省略時の値: 1 (ASU サーバ起動時に同期をとる)

4.1.1.4    NFS 関連のディスク共有を作成しないための ASU の構成

NFS エクスポートされたファイル・システムのディスク共有を作成しないように ASU サーバを構成することができます。

次の手順に従い,regconfig レジストリ エディタを使用して,NFS エクスポートされたファイル・システムのディスク共有を作成しないように ASU サーバを構成します。行末のバックスラッシュ (\) は,そのコマンド行が次の行に続くことを示しています。コマンド全体を入力したら,Enter キーを押してください。

  1. 次のコマンドを入力して,ShareNFSExports エントリを無効にします。

    # regconfig SYSTEM/CurrentControlSet/Services/\ 
    AdvancedServer/FileServiceParameters \     
    ShareNFSExports REG_DWORD 0
    

  2. 次のコマンドを入力して ASU サーバを再起動します。

    # net stop server

    # net start server

4.2    特殊なディスク共有

表 4-2 に,ASU ソフトウェアをインストールしたときに自動的に作成される特殊なディスク共有をリストします。このリストは,インストールされている ASU サブセットによって異なる場合があります。これらのディスク共有は削除または修正しないでください。

表 4-2:  ASU の特殊なディスク共有

ディスク共有名 内容
ADMIN$ リモート管理のための管理ユーティリティ
IPC$ サーバとの通信に使用される名前付きパイプ
C$ root (/) ファイル・システム上にあるディレクトリおよびファイル
D$ MS-DOS,OS/2,および Windows NT コンピュータに必要なファイルおよびライブラリ
PRINT$ プリンタ・ドライバ
ASTOOLS Microsoft クライアントから ASU サーバを管理するために使用される Microsoft クライアント・ベースのユーティリティ
DOSUTIL MS-DOS clipcach および clispool 管理コマンド
NETLOGON ログオン・スクリプト
PRINTLOG LP プリンタ・メッセージ
USERS ユーザのホーム・ディレクトリ。省略時には,/usr/users ディレクトリ。

ASU サーバをブラウズするとき,ドル記号 ($) で終わる名前の付いたディスク共有は,隠されていて表示されません。隠されているディスク共有に接続するには,次のように共有名を指定します。

¥¥servername¥sharename$

4.3    ディスク共有の属性

ディスク共有は,必須とオプションの属性から構成されています。

表 4-3 に,必須のディスク共有属性を示します。ディスク共有を作成するときには,これらの属性に値を指定する必要があります。

表 4-3:  必須のディスク共有属性

属性 説明
Share name

ユーザが共有への接続に使用する最大 80 文字の英数字の一意名。

共有には,次の名前を使用しない: COMM,PRINT,DEV,PIPE,QUEUES,SEM,MAILSLOT,SHAREMEM。

共有名にドル記号 ( $ ) を付加すると,ユーザが ASU サーバをブラウズする際に非表示になる。

Path 共有されるディレクトリの絶対パス (これには必ずドライブ c: を含める)。たとえば,market のサブディレクトリ project1 へのパスは次のようになる。

c:¥market¥project1
 

表 4-4 に,オプションのディスク共有属性を示します。これらの属性には,ディスク共有を作成するときに値を指定することができます。

表 4-4:  オプションのディスク共有属性

属性 説明
Users ディスク共有に同時アクセス可能な最大ユーザ数
Remark ディスク共有に関するコメント。コメントは引用符で囲む必要がある。

4.4    ディスク共有の作成

ディスク共有を作成する場合は,次のいずれかの方法を使用します。

4.4.1    lmshare コマンドの使用

lmshare コマンドは,次の事項を含め,共有に関する情報の入力を要求します。

Tru64 UNIX のファイルおよびディレクトリ許可についての詳細は,4.5.3 項を参照してください。

ASU サーバが,共有ごとの Tru64 UNIX 許可のチェックを無視するように構成するには,IgnoreUnixPermissions レジストリ・エントリを無効にする (省略時の設定) 必要があります。

IgnoreUnixPermissions レジストリ・エントリを有効にすると,共有の Unix 許可を無視するという共有ごとの設定にかかわらず,ASU サーバはすべてのディスク共有で Tru64 UNIX 許可のチェックを無視します。

Tru64 UNIX のクォータ・チェックを有効にすると,IgnoreUnixPermission レジストリ・エントリの設定にかかわらず,Tru64 UNIX 許可が強制されるか,または共有ごとの Unix 許可を無視する設定が強制されます。

regconfig レジストリ・エディタを使用して IgnoreUnixPermissions レジストリ・エントリを無効にするには,次の手順に従います。行末のバックスラッシュ ( \ ) は,そのコマンド行が次の行に続くことを示しています。コマンド全体を入力したら,Enter キーを押してください。

  1. IgnoreUnixPermissions レジストリ・エントリが有効になっている場合には,無効にします。

    # regconfig SYSTEM/CurrentControlSet/Services/\
    AdvancedServer/FileServiceParameters \
    IgnoreUnixPermissions REG_DWORD 0
    

  2. IgnoreUnixPermissions レジストリ・エントリを無効にした場合には,次のコマンドを入力して ASU サーバを再起動します。

    # net stop server

    # net start server

lmshare コマンドを使用して共有を作成するには,次のように入力します。

# lmshare -a

lmshare コマンドは,共有に関して次の情報の入力を要求します。値を変えないフィールドについては,Enter キーを押します。

Sharename? test1
Type (d|p|c|i)? [d] d
Local path? /home/test1
Remark? test1
Permissions(rwcxdaps)? [rwcxda]
Per share Unix file permissions? [0] 664
Per share Unix directory permissions? [0] 777
Per share ignore Unix permissions? [0]
Maximum users? [unlimited] 
Password?

既存の共有および lmshare コマンドで作成されていない共有は,共有ごとの Unix ファイルおよびディレクトリ許可については省略時の値のゼロ (0) が設定され,Tru64 UNIX 許可のチェックは省略時の設定により有効になっています。

共有ごとの Unix ファイル許可に対して値ゼロが設定されている共有内で新しく作成されたファイルは,UnixFilePerms レジストリ・エントリの値で定義されている Tru64 UNIX ファイル許可を取得します。

共有ごとの Unix ディレクトリ許可に対して値ゼロが設定されている共有内で新しく作成されたディレクトリは,UnixDirectoryPerms レジストリ・エントリの値で定義されている Tru64 UNIX ディレクトリ許可を取得します。

共有について設定されている現在の共有ごとの Unix ファイルおよびディレクトリ許可を表示するには,次のように入力します。

# lmshare -L share_name

共有内に新しく作成されたファイルに対して省略時の Tru64 UNIX ファイル許可を設定するには,次のように入力します。

# lmshare -F share_name file_permissions

このとき,share_name には共有名を,file_permissions には Tru64 UNIX ファイル許可を 8 進形式で指定します。

共有内に新しく作成されたディレクトリに対して省略時の Tru64 UNIX ディレクトリ許可を設定するには,次のように入力します。

# lmshare -D share_name directory_permissions

このとき,share_name には共有名を,directory_permissions には Tru64 UNIX ディレクトリ許可を 8 進形式で指定します。

共有での Tru64 UNIX 許可のチェックを無効にするには,次のコマンドを入力します。新しい設定を有効にするには,接続しているユーザは,共有に接続し直す必要があります。

# lmshare -I share_name 1

共有での Tru64 UNIX 許可のチェックを有効にするには,次のコマンドを入力します。新しい設定を有効にするには,共有に接続しているユーザは,接続し直す必要があります。

# lmshare -I share_name 0

詳細については, lmshare(8) を参照してください。

4.4.2    net share コマンドの使用

ASU サーバを実行しているシステムで,Tru64 UNIX コマンド・プロンプトから net コマンドを小文字で入力します。コマンド全体を入力したら,Enter キーを押してください。

表 4-5 に,ディスク共有属性と,その属性の設定に使用する net share コマンド・オプションを示します。

表 4-5:  ディスク共有属性の設定

属性 net share オプション
Share name net share コマンドの後に共有名を入力する。
Path 共有名の後に等号 (=) に続けてパスを入力する。
Users /users:# または /unlimited
Remark /remark:"text"

/usr/net/servers/lanman/project ディレクトリに対応するディスク共有 project を作成するには,次のように入力します。

# net share project=c:/usr/net/servers/lanman/shares/project

隠しディスク共有を作成するには,共有名にドル記号 ( $ ) を付加します。たとえば,/usr/net/servers/lanman/project1 ディレクトリに対応する project1 という隠し共有を作成するには,次のように入力します。

# net share project1$=c:/usr/net/servers/lanman/shares/project1

隠し共有は,ユーザが ASU サーバをブラウズする際に表示されません。

csh シェル・ユーザへの注意

csh シェルを使用している場合,ドル記号 ( $ ) は特殊文字であるため,$ の前にバックスラッシュのエスケープ文字 ( \ ) を付ける必要があります。たとえば,次のようになります。

# net share project1\$=c:/usr/net/servers/lanman/shares/project1

隠し共有を含め,すべてのディスク共有に関する情報を表示するには,次のように入力します。

# net share

特定の共有に関する情報を表示するには,次のように入力します。

# net share share_name

4.4.3    サーバー マネージャの使用

次の手順に従って,サーバー マネージャでディスク共有を作成します。

  1. サーバー マネージャ (srvmgr.exe) を起動します。

    ASU サーバを管理する Windows システム上に,サーバー マネージャ GUI をインストールします。サーバー マネージャ GUI のインストールについては,1.8 節を参照してください。

  2. [コンピュータ] メニューから [ドメインの選択...] を選択します。

    [ドメインの選択] ダイアログ・ボックスが表示されます。

  3. [ドメイン:] フィールドに,ディスク共有を作成したいドメインの名前を入力して,[OK] ボタンをクリックします。

  4. [コンピュータ] メニューから [共有ディレクトリ...] を選択します。

    [共有ディレクトリ] ダイアログ・ボックスが表示されます。

  5. [新規共有...] ボタンをクリックします。

    [新規共有] ダイアログ・ボックスが表示されます。

  6. 次の図を参考にして,ディスク共有の情報を入力します。

4.5    ディスク共有のアクセス権

省略時の設定では,ディスク共有内のファイルまたはディレクトリにアクセスする前に,ユーザは次の 3 つのレベルのセキュリティをパスする必要があります。

ユーザがドライブをディスク共有にマップして,ディスク共有にあるファイルへのアクセスを要求すると,次のような手順でアクセス権がチェックされます。

  1. Windows オペレーティング・システムを実行しているシステムから,ユーザがディスク共有に接続します。省略時の設定では,すべてのユーザは共有に接続するアクセス権を持っています。共有内のディレクトリおよびファイルへのアクセスは,通常,NTFS アクセス権で制御します。

    ユーザの Windows システムは,ユーザ名,パスワード,セキュリティ ID など,そのユーザに関する認証情報を ASU サーバに渡します。

  2. ASU サーバは,そのユーザの名前とパスワードをユーザ・アカウント・データベースでチェックします。

    ASU サーバがユーザの情報を認証すると,一意の ID がユーザの Windows システムに割り当てられます。ユーザが共有に対する次の要求を出す際には,Windows システムはこの ID を提供する必要があります。

  3. ユーザは,共有内のファイルをオープンしようとします。

    ASU の lmx.srv プロセスは,ユーザの要求に応答します。通常,lmx.srv プロセスは,Tru64 UNIX 最高の特権レベルである root として実行します。

  4. lmx.srv プロセスは,ユーザが Windows NT 共有への適切なアクセス権を持っているかどうかを判断します。

    アクセス権が不適切であれば,lmx.srv は Windows システムにアクセス拒否エラーを返します。

  5. lmx.srv プロセスは,ユーザが共有内のファイルにアクセスできる適切な NTFS アクセス権を所有しているかどうかを判断します。

    アクセス権が不適切であれば,lmx.srv は Windows システムにアクセス拒否エラーを返します。

  6. lmx.srv プロセスは,ドメイン・ユーザ・アカウントと Tru64 UNIX ユーザ・アカウントとのマッピング情報に基づいて Tru64 UNIX のアクセスを判断します。

  7. lmx.srv プロセスは,実効ユーザ ID を root から対応する Tru64 UNIX アカウントの ID に変更して,ファイルをオープンしようとします。

  8. Tru64 UNIX オペレーティング・システムは,ユーザが適切な Tru64 UNIX のアクセス許可を持っているかどうかを判断します。

    許可が適切なものであればファイルはオープンされ,そうでなければ,lmx.srv プロセスにより,アクセス拒否エラーが Windows システムに返されます。

4.5.1    Windows NT アクセス権

ディスク共有に対して設定できる Windows NT アクセス権は次のとおりです。

ディレクトリを共有する場合は,省略時の設定により,Everyone ドメイン・ユーザ・グループにフル コントロールのアクセス権が付与されます。

4.5.1.1    Windows NT アクセス権の設定

Windows NT 共有のアクセス権の表示および設定を行う場合は,次のいずれかの方法を使用します。

4.5.1.1.1    net perms コマンドの使用

net perms コマンドの形式は,次のとおりです。

# net perms ¥¥sharename [/GRANT name:permissions | /CHANGE name:permissions | /REVOKE name | /TAKE]

project1 という名前のディスク共有の Windows NT アクセス権を表示するには,次のように入力します。

# net perms ¥¥project1

project1 という名前の Windows NT ディスク共有に対する読み取りアクセス権を peter という名前のユーザに設定するには,次のように入力します。

# net perms ¥¥project1 /grant peter:read

4.5.1.1.2    サーバー マネージャ・ユーティリティの使用

次の手順に従って,サーバー マネージャ・ユーティリティで Windows NT ディスク共有のアクセス権を設定します。

  1. サーバー マネージャ (srvmgr.exe) を起動します。

    ASU サーバを管理する Windows システム上に,サーバー マネージャ GUI をインストールします。サーバー マネージャ GUI のインストールについては,1.8 節を参照してください。

  2. [サーバー マネージャ] ウィンドウで,リストから目的のコンピュータを選択し,[コンピュータ] メニューで [共有ディレクトリ] をクリックします。

    [共有ディレクトリ] ダイアログ・ボックスが表示されます。

  3. [共有ディレクトリ] ダイアログ・ボックスで,共有名を選択し,[プロパティ] をクリックします。

    [共有のプロパティ] ダイアログ・ボックスが表示されます。

  4. [アクセス権] をクリックします。

    アクセス権を変更する場合は,[名前] ウィンドウでグループまたはユーザ・アカウントを選択し,[アクセス権の種類] リストから適用するアクセス権を選択します。

    この共有ディレクトリのアクセス権のリストにグループまたはユーザ・アカウントを追加する場合は,[追加] をクリックし,表示された [ユーザーとグループの追加] ダイアログ・ボックスで必要な指定を行います。

    この共有ディレクトリのアクセス権のリストからグループまたはユーザ・アカウントを削除する場合は,[名前] ウィンドウで削除するグループまたはユーザ・アカウントを選択して,[削除] をクリックします。

4.5.2    Windows NTFS アクセス権

ディスク共有を作成すると,ディスク共有を対応する Tru64 UNIX ディレクトリに関連付けるエントリが ASU 共有データベースに作成されます。その Tru64 UNIX ディレクトリが存在しない場合は,新規に作成されます。

ドメイン・ユーザがディレクトリやディレクトリ内のファイルへのアクセスを要求すると,ASU はアクセス制御リスト (ACL) ファイルをチェックして,そのユーザがファイルへの NTFS アクセス権を持っているかどうかを判断します。

ディスク共有内のファイルまたはディレクトリには,独自の ACL を持つものと持たないものがあります。たとえば,ファイルに明示的な NTFS アクセス権を設定すると,エントリが ACL リストに追加されて,そのファイルは独自の ACL を持つことになります。

ファイルまたはディレクトリに明示的なアクセス権を設定しなければ,ACL エントリは親ディレクトリから継承されます。親ディレクトリが ACL ファイルにエントリを持っていない場合には,ASU サーバは,ACL ファイルにエントリを持っているディレクトリが見つかるまで上位レベルのディレクトリを調べます。たとえば,projects という名前のディスク共有を /usr/net/servers/lanman/shares ディレクトリに作成するものとします。省略時の設定では,projects ディレクトリはそれ独自の ACL を持たないので,親ディレクトリ (/usr/net/servers/lanman/shares) から ACL を継承します。親ディレクトリの ACL が,サブディレクトリやファイルの読み取りアクセス権を Everyone グループに付与している場合は,同じ ACL が projects サブディレクトリに適用されます。

projects サブディレクトリの NTFS アクセス権を Everyone グループに対する変更アクセス権に設定すると,projects ディレクトリ用の ACL ファイルが作成されて,Everyone グループは次のアクセス権を持ちます。

ユーザの省略時のホーム・ディレクトリについては,例外的に ACL 継承は適用されません。省略時の設定では,ドメイン・ユーザ・アカウントを作成すると,同じ名前のサブディレクトリが ACL とともに /usr/users ディレクトリに作成されます。その ACL は新しいユーザをサブディレクトリの所有者として識別し,サブディレクトリとその内容へのすべての NTFS アクセス権を付与します。たとえば,peter という名前のドメイン・ユーザ・アカウントを作成すると,peter という名前のサブディレクトリが /usr/users ディレクトリに作成され (/usr/users/peter),ユーザ・アカウント peter には,そのディレクトリに対するすべての NTFS アクセス権が付与されます。ユーザのホーム・ディレクトリに対して ACL ファイルを作成することで,ユーザのディレクトリがより簡単に共有できるようになります。

設定可能な NTFS アクセス権の標準セットがありますが,必要に応じて NTFS アクセス権をカスタマイズすることもできます。表 4-6 に,設定可能な標準の Windows NTFS アクセス権を示します。 表 4-7 には,設定可能なカスタム Windows NTFS アクセス権を示します。

表 4-6:  NTFS の標準アクセス権

アクセス権 ファイルに対して ディレクトリに対して
追加 現在のファイルの内容の読み取り,それらの変更,およびファイルの一覧を表示することはできない。 ディレクトリにファイルを追加できる。
追加と読み取り ファイルの読み取りおよび実行はできるが,ファイルの変更はできない。 ディレクトリ内のファイルの読み取り,書き込み,および実行ができる。
変更 現在のファイルの内容を変更できる。 ファイルの読み取りとファイルの追加ができる。
フル コントロール ファイルの読み取りと変更,新規ファイルの追加,ファイルのアクセス権の変更,およびファイルの所有権の取得ができる。 ディレクトリのアクセス権の変更およびディレクトリの所有権の取得ができる。
アクセス権なし 適用されない。 ユーザが,ディレクトリへのアクセスが許可されているグループのメンバであっても,そのディレクトリにアクセスできない。
一覧 ファイルにアクセスできない。 このディレクトリ内にあるファイルとサブディレクトリの一覧の表示,およびこのディレクトリのサブディレクトリへの移動ができる。
読み取り ファイルの内容の読み取りおよびアプリケーションの実行ができる。 ファイルおよびサブディレクトリの名前を参照できる。

表 4-7:  NTFS の個別アクセス権

アクセス権 ファイルに対して ディレクトリに対して
アクセス権の変更 (p) ファイルのアクセス権を変更できる。 ディレクトリのアクセス権を変更できる。
削除 (d) ファイルを削除できる。 ディレクトリを削除できる。
実行 (e) ファイルがプログラムの場合に実行できる。 サブディレクトリに移動できる。
読み取り (r) ファイルのデータを表示できる。 ファイルとサブディレクトリの名前を表示できる。
所有権の取得 (o) ファイルの所有権を取得できる。 ディレクトリの所有権を取得できる。
書き込み (w) ファイルのデータを変更できる。 ファイルとサブディレクトリを追加できる。

NTFS アクセス権を設定すると,個々のアクセス権について 2 つのセットが表示されます。つまり,ディレクトリに設定されるアクセス権と,ディレクトリ内のファイルに設定されるアクセス権です。たとえば,ユーザ名 peter について共有に対する「追加と読み取り」アクセス権を設定すると,次のような出力が表示されます。共有に対しては「読み取り」,「書き込み」,「実行」を示す (RWX) が表示され,ファイルに対しては「読み取り」および「実行」を示す (RX) が表示されます。

Resource:    c:\usr\net\servers\lanman\shares\share1
Owner:       server1.dom\Administrators
Name:                               Permissions:
-------------------------------------------------------------------------------
*Administrators                     FullControl(All)(All)
*Everyone                           Read(RX)(RX)
peter                               AddRead(RWX)(RX)

ASU サーバがリソースのアクセス権を表示する場合には,アスタリスク ( * ) でグループを示します。

ディレクトリ内のファイルに対する NTFS アクセス権は,「アクセス権の指定なし」に設定することができます。これは,そのディレクトリ内に存在するファイル,またはこのアクセス権を設定したのちに作成されたファイルに対して,省略時の設定により,そのユーザまたはグループにファイルに対する何のアクセス権も設定しないということです。個々のファイルへのアクセスを付与するアクセス権の設定などのような別の方法によってアクセス権を付与しない限り,グループまたはユーザはそのディレクトリ内のファイルを使用することはできません。

ディレクトリにアクセス権を設定すると,CREATOR OWNER 特殊グループを使用して,ユーザがそのディレクトリ内に作成したサブディレクトリとファイルだけを制御できるようにすることができます。CREATOR OWNER に設定されたアクセス権は,ディレクトリ内にディレクトリまたはファイルを作成するユーザに転送されます。ディレクトリのアクセス権を変更するには,そのディレクトリの所有者になるか,または所有者によってそれを行うアクセス権を付与されている必要があります。

注意

Windows NTFS アクセス権の省略時の設定では,すべてのドメイン・ユーザ・アカウントが所属メンバとなる Everyone グループに読み取りおよび実行アクセス権が付与されます。ディスク共有にファイルの書き込みを行うドメイン・ユーザまたはグループ・アカウントに対しては,Windows NTFS 書き込みアクセス権を付与する必要があります。

4.5.2.1    ASU と ACL の制御

ASU ソフトウェアが ACL をどのように作成して使用するかは,FileServiceParameters レジストリ・サブキー内にある ACL 関連のエントリ値によって異なります。表 4-8 に,ACL 関連のレジストリ値エントリを示します。

表 4-8:  ACL の値エントリ

エントリ 説明と省略時の値
AclCacheSize ACL キャッシュ内のエントリ数を指定する。ACL キャッシュは,ASU 資源上で実行された最近のアクセス・チェックの結果を記録する。

省略時の値: 6

ForceDirectoryAcl クライアント・コンピュータが明示的な ACL を提供しない場合に,ASU サーバが新しく作成されたディレクトリの ACL を作成するかどうかを指定する。ACL が作成されない場合,ACL は親ディレクトリから継承される。

省略時の値: 1 (新しい ACL を作成する)

ForceFileAcl クライアント・コンピュータが明示的な ACL を提供しない場合に,ASU サーバが新しいファイルの ACL を作成するかどうかを指定する。ACL が作成されない場合,ACL は親ディレクトリから継承される。

省略時の値: 0 (新しい ACL を作成しない)

HomeDirectoryAccess ドメイン・ユーザ・アカウントを作成するときに,ユーザの Tru64 UNIX ホーム・ディレクトリに,そのユーザのフル・アクセス (RWCXDAP) 制御エントリを追加するかどうかを指定する。

省略時の値: 1 (ユーザのアクセス制御エントリを追加する)

SyncAclFileOnWrite ACL が更新された場合に,fsync(2) システム・コールを使用して,ACL の変更をディスクに書き込むかどうかを指定する。

省略時の値: 0 (ACL の変更をディスクに書き込む)

UnixAclSupport NTFS ユーザおよびグループのアクセス権に加え,ASU サーバで Tru64 UNIX の ACL を使用できるようにする。 このエントリは,Tru64 UNIX バージョン 5.0A 以降のオペレーティング・システムを実行しているシステムでのみサポートされている。

省略時の値: 0 (Tru64 UNIX の ACL を使用しない)

表 4-9 に,ASU の ACL 関連コマンドを示します。

表 4-9:  ASU の ACL コマンド

コマンド 目的
/usr/sbin/acladm ACL データベースの作成,チェック,管理,移動,削除,または不要な部分の削除を行う。
/usr/sbin/acldump ACL データベースを ASCII ファイルにダンプする。
/usr/sbin/chacl オブジェクトに関する ACL 情報を変更する。
/usr/sbin/aclload ASCII ファイルから ACL データベースをロードする。
/usr/sbin/lsacl オブジェクト (ファイルおよびディレクトリ) に設定されている ACL を表示する。
/usr/sbin/rmacl オブジェクトに関する ACL を削除する。

acladm コマンドについての詳細は, acladm(8) を参照してください。

4.5.2.2    ASU の ACL のリストア

ASU の ACL を ACL ストアのバックアップ・コピーからリストアすることができます。ASU の ACL をバックアップからリストアする際に,ASU サーバを停止する必要はありません。ファイルおよびそれに対応する ASU の ACL をリストアするには,次の手順に従います。

  1. ファイルをバックアップ・コピーからリストアします。

  2. ACL ストア・ファイル (/usr/net/servers/lanman/datafiles/acl) をバックアップ・ファイルと同じ日付からリストアして,別の名前 (たとえば may10.acl) にします。

  3. 次のコマンドを入力して,ASU の ACL をリストアします。

    # acladm -M -i ACL_store_file -v /path/filename
    

    たとえば,may10.acl ファイルにある ASU の ACL を /usr/temp ファイルとしてリストアするには,次のように入力します。

    # acladm -M -i may10.acl -v /usr/temp
    

4.5.2.3    Windows NTFS アクセス権の設定

Windows NTFS アクセス権を設定する場合は,次のいずれかの方法を使用します。

4.5.2.3.1    net perms コマンドの使用

Windows NTFS アクセス権を設定する net perms コマンドは,次の形式をとります。

# net perms c:/path [/GRANT name:permissions | /CHANGE name:permissions | /REVOKE name | /TAKE]

project1 という名前のファイルまたはディレクトリの Windows NTFS アクセス権を表示するには,次のように入力します。

# net perms c:/usr/net/servers/lanman/shares/project

project という名前のファイルまたはディレクトリに対する Windows NTFS 書き込みアクセス権を project1 というグループに付与するには,次のように入力します。

# net perms c:/usr/net/servers/lanman/shares/project /grant project1:w

4.5.2.3.2    Windows エクスプローラ GUI の使用

次の手順に従って,Windows NTFS 書き込みアクセス権を project1 グループに付与することができます。

  1. サーバー マネージャ (srvmgr.exe) を起動します。

    ASU サーバを管理する Windows システム上に,サーバー マネージャ GUI をインストールします。サーバー マネージャ GUI のインストールについては,1.8 節を参照してください。

  2. Windows エクスプローラ (explorer.exe) を起動します。

  3. ディスク共有に接続して (接続されていない場合),プロパティを表示します。

    ディスク共有の [プロパティ] ウィンドウが表示されます。

  4. [セキュリティ] タブをクリックし,次に [アクセス権] をクリックします。

    [ディレクトリのアクセス権] ウィンドウが表示されます。

    アクセス権を変更する場合は,[名前] ウィンドウでグループまたはユーザ・アカウントを選択し,[アクセス権の種類] リストから [特殊なディレクトリ アクセス権] または [特殊なファイル アクセス権] を選択します。表示される [特殊なディレクトリ アクセス権] また [特殊なファイル アクセス権] ダイアログ・ボックスで,Windows NTFS アクセス権を選択します。

    この共有ディレクトリのアクセス権のリストにグループまたはユーザ・アカウントを追加する場合は,[追加] をクリックし,[ユーザーとグループの追加] ダイアログ・ボックスで必要な指定を行います。

    この共有ディレクトリのアクセス権のリストからグループまたはユーザ・アカウントを削除する場合は,[名前] ウィンドウで削除するグループまたはユーザ・アカウントを選択して [削除] をクリックします。

4.5.3    Tru64 UNIX 許可の設定

ディスク共有内に作成されたサブディレクトリに対しては,省略時の設定では,次の Tru64 UNIX 許可が付与されます。

ディスク共有内に作成されたファイルに対しては,省略時の設定では,次の Tru64 UNIX 許可が付与されます。

lmshare コマンドを使用して共有を作成した場合,その共有内に新しく作成されるファイルおよびディレクトリに対する省略時の Tru64 UNIX 許可を 8 進形式で設定することができます。lmshare コマンドは,共有ごとの Tru64 UNIX ファイルおよびディレクトリ許可に関する情報の入力を要求します。

lmshare コマンドまたは chmod コマンドを使用することにより,共有内のファイルおよびディレクトリの許可をそれぞれ変更することができます。

たとえば,所有者のグループにファイルへの書き込み許可を付与するには,次のように入力します。

# chmod g+w filename.txt

これらのコマンドについての詳細は, lmshare(8) または chmod(8) を参照してください。

省略時の許可を永続的に変更したいときは,表 4-10 のレジストリ値エントリの値を変更します。

表 4-10:  ディスク共有アクセス権の値エントリ

エントリ 説明と省略時の値
UnixDirectoryPerms 新しく作成したディレクトリに対して,省略時の Tru64 UNIX システムの許可を指定する。

省略時の値: 0755 (8進数) (493 (10進数))。これは rwxr-xr-x に変換される。

ASU 共有内に作成されたディレクトリが,親ディレクトリから Tru64 UNIX 許可を継承するように指定するには,値を 0 (ゼロ) に設定する。

UnixFilePerms 新しく作成したファイルに対して,省略時の Tru64 UNIX システムの許可を指定する。

省略時の値: 0644 (8進数) (420 (10進数))。これは rw-r--r-- に変換される。

ASU 共有内に作成されたファイルが,親ディレクトリから Tru64 UNIX 許可を継承するように指定するには,値を 0 (ゼロ) に設定する。

レジストリ エディタは,UnixDirectoryPerms および UnixFilePerms エントリの値を 10 進数で表示します。Tru64 UNIX ソフトウェアでは,ディレクトリとファイルの許可を 8 進数で指定します。

UnixFilePerms および UnixDirectoryPerms レジストリ・エントリの値を変更すると,ASU サーバを再起動した際に影響を及ぼし,新しく作成されたファイルおよびディレクトリにのみ適用されます。既存のファイルとディレクトリおよび名前の変更されたファイルとディレクトリは,元の Tru64 UNIX 許可を保持します。UnixDirectoryCheck レジストリ・エントリは,Tru64 UNIX セキュリティ・チェックをバイパスするために設定することができ,許可の継承には影響しません。

次の手順に従い,regconfig レジストリ エディタを使用して,Tru64 UNIX 許可が親ディレクトリから継承されるようにします。行末のバックスラッシュ (\) は,そのコマンド行が次の行に続くことを示しています。コマンド全体を入力したら,Enter キーを押してください。

  1. 次のコマンドを入力して UnixFilePerms エントリを変更します。

    # regconfig SYSTEM/CurrentControlSet/Services/\ 
    AdvancedServer/FileServiceParameters \        
    UnixFilePerms REG_DWORD 0
    

  2. 次のコマンドを入力して ASU サーバを再起動します。

    # net stop server

    # net start server

4.5.3.1    Tru64 UNIX グループまたは DOS グループ

省略時の設定では,Tru64 UNIX ユーザがディレクトリに作成したファイルは,そのユーザによって所有され,グループ所有権はそのユーザの省略時のグループとしてリストされます。

ドメイン・ユーザがディスク共有内に作成したファイルは,そのユーザの Tru64 UNIX アカウントによって所有され,Tru64 UNIX グループ所有権は DOS- で始まる ASU グループの 1 つとしてリストされます。

省略時の設定では,ASU サーバは,DOS- グループを使用してファイルの DOS 属性を管理します。たとえば,ファイルのグループ所有権が DOS-ash であれば,DOS 属性 (archivesystemhidden) が設定されます。4 番目の属性 ReadOnly は,Tru64 UNIX の write 許可の設定または解除によって管理されます。

DOS- グループの代わりに Tru64 UNIX のグループを使用するように ASU サーバを構成することができます。ただし,ユーザは,ASU サーバ上で共有されているすべてのファイルに対して,archive, system, または hidden 属性を設定することができなくなります。ユーザは,ReadOnly 属性だけを設定することができます。

次の手順に従い,regconfig レジストリ エディタを使用して, DOS グループの代わりに Tru64 UNIX グループを使用するように ASU サーバを構成します。行末のバックスラッシュ (\) は,そのコマンド行が次の行に続くことを示しています。コマンド全体を入力したら,Enter キーを押してください。

  1. 次のコマンドを入力して,UseUnixGroups エントリを有効にします。

    # regconfig SYSTEM/CurrentControlSet/Services/\  
    AdvancedServer/FileServiceParameters \       
    UseUnixGroups REG_DWORD 1
    

  2. 次のコマンドを入力して ASU サーバを再起動します。

    # net stop server

    # net start server

4.5.3.2    Tru64 UNIX 許可のチェックの省略

ASU サーバは,Windows NT および Windows NTFS アクセス権をチェックしなければなりませんが,ASU サーバの構成を変更して Tru64 UNIX 許可のチェックを省略することもできます。

次の手順に従い,regconfig レジストリ エディタを使用して, Tru64 UNIX 許可がチェックされないように ASU サーバを構成できます。行末のバックスラッシュ (\) は,そのコマンド行が次の行に続くことを示しています。コマンド全体を入力したら,Enter キーを押してください。

  1. 次のコマンドを入力して,IgnoreUnixPermissions エントリを有効にします。

    # regconfig SYSTEM/CurrentControlSet/Services/\  
    AdvancedServer/FileServiceParameters \  
    IgnoreUnixPermissions REG_DWORD 1
    

  2. 次のコマンドを入力して ASU サーバを再起動します。

    # net stop server

    # net start server

4.6    ユーザ用パーソナル・ディスク共有の作成

省略時の設定では,ドメイン・ユーザ・アカウントが作成されると,ASU サーバは,そのユーザの Tru64 UNIX アカウント名を使用して,/usr/users ディレクトリにそのユーザのサブディレクトリを作成し,そのサブディレクトリに対して,Windows NT 共有,Windows NTFS,および Tru64 UNIX のすべてのアクセス許可をそのユーザに付与します。

省略時の設定では,/usr/users ディレクトリが,USERS 特殊ディスク共有に関連付けられます。つまり,USERS ディスク共有内に各ユーザのサブディレクトリが自動的に作成されるため,各ユーザに対して個別のディスク共有を作成する必要はありません。

ユーザは,自分の Windows システムから ¥¥server¥users ディスク共有へ接続して,自分のディレクトリをブラウズします。ユーザは,他のユーザのディレクトリを見ることはできますが,アクセス権があるのは,自分のディレクトリだけです。

ユーザのホーム・ディレクトリとして /usr/users 以外の Tru64 UNIX ディレクトリを使用する場合には,USERS ディスク共有を新しいロケーションにリダイレクトします。共有をリダイレクトするには,共有を削除したのち,それを再作成する必要があります。

オプションとして,ASU サーバが自動的に次のことを行うように構成することができます。

ASU サーバは,パーソナル・ディスク共有を,ユーザの UNIX ホーム・ディレクトリにマップされた隠しディスク共有として作成します。ASU サーバは,UNIX ホーム・ディレクトリが存在しないか,または同じ名前の既存のディスク共有がある場合には,パーソナル・ディスク共有を作成しません。隠しディスク共有は,ドル記号 ($) で終わる名前を持ち,ASU サーバをブラウズしても表示されません。たとえば,peter という名前の Tru64 UNIX ユーザ・アカウントを作成すると,peter のホーム・ディレクトリにマップされた peter$ という名前のパーソナル・ディスク共有が自動的に作成されます。ユーザは,共有名にドル記号を付加することにより,隠しディスク共有に接続することができます。

regconfig レジストリ エディタを使用して,パーソナル・ディスク共有の作成,削除,および名前の変更を行うように ASU サーバを構成するには,次の手順に従います。行末のバックスラッシュ ( \ ) は,そのコマンド行が次の行に続くことを示しています。コマンド全体を入力したら,Enter キーを押してください。

  1. CreateUnixUser エントリが有効になっていること (これが省略時の設定) を確認してください。

    レジストリ・エントリ値を表示する方法については,2.2 節を参照してください。

  2. 次のコマンドを入力して CreatePersonalShare エントリを有効にします。

    # regconfig SYSTEM/CurrentControlSet/Services/\  
    AdvancedServer/FileServiceParameters \  
    CreatePersonalShare REG_DWORD 1
    

  3. 次のコマンドを入力して ASU サーバを再起動します。

    # net stop server

    # net start server

4.7    リモート・ファイル・システムのディスク共有の作成

ASU サーバを実行している Tru64 UNIX システムでは,Tru64 UNIX 以外のシステムによって NFS エクスポートされているディレクトリのディスク共有を作成できます。これを行うには,次の確認や操作が必要です。

4.7.1    ロック・オプションを設定しての NFS サービスの実行

ほとんどの UNIX システムでは,次のコマンドを入力して,NFS サービスが実行中であるかどうかを判断することができます。

# ps -ef | grep nfs

NFS サービスが実行中の場合には,次のような情報が表示されます。

Root 297 1 0.0 May 01 ?? 0:00.01 /usr/sbin/nfsiod 7

次のコマンドを入力して,UNIX システム上で NFS ロックが有効になっているかどうかを判断します。

# ps -ef | grep lockd

ロックが有効になっている場合は,次のような情報が表示されます。

Root 7417 1 0.1 08:33:57 ?? 0:00.08 /usr/sbin/rpc.lockd

4.7.2    UseNfsLocks エントリの有効化

UseNfsLocks エントリは,クライアントの要求に応じて,ASU サーバが Tru64 UNIX システムのレコード・ロックをファイルに設定しようとするかどうかを指定します。

この値エントリが有効になっている場合は,ASU サーバを実行している Tru64 UNIX システムまたは NFS サーバ上で,rpc.lockd および rpc.statd デーモンが実行されていることを確認します。これらのデーモンが実行されていなければ,ASU サーバの機能が停止したり,データが失われたりすることがあります。

省略時の設定では,UseNfsLocks エントリは有効になっています。

UseNfsLocks エントリの値をチェックするには,次のように入力します。

# regconfig SYSTEM/CurrentControlSet/Services/\
 AdvancedServer/FileServiceParameters UseNfsLocks

4.7.3    ファイル・システムのエクスポート

UNIX システムがファイル・システムをエクスポートしていることを確認します。

ファイル・システムがエクスポートされているかどうかを確認するには,次のコマンドを入力します。

# /sbin/mount

エクスポートされているファイル・システムがリスト表示されます。必要なファイル・システムの名前が表示されていない場合には,次の手順に従ってください。

  1. /etc/exports ファイルを編集して,エントリを追加します。

  2. /etc/exports ファイルをクローズします。

  3. 次のコマンドを入力して,変更を有効にします。

    # exportfs

4.7.4    リモート・ディレクトリのマウント

Tru64 UNIX システム上にリモート・ディレクトリをマウントするには,次の構文を使用して,各リモート・ディレクトリのエントリを /etc/fstab ファイルに含めるようにしてください。

file-spec mnt-point fs-type mnt-options backup fsck

この構文の変数は次のとおりです。

file-spec 変数は,リモート・ディレクトリの完全パス名です。

mnt-point 変数は,リモート・ディレクトリのマウント・ポイントです。

fs-type 変数は,ファイル・システムのタイプであり,このサービスの目的では nfs です。

mnt-options 変数は,ディレクトリに関連するオプションのリスト (コンマで区切る) であり,たとえば次のようなものがあります。

backup オプションは,dump コマンドにより,バックアップするファイル・システムを決定するために使用されます。これは NFS には適用されません。このオプションをゼロ (0) に設定してください。

fsck オプションは,fsck コマンドにより,リブート時にファイル・システムをチェックする順序を決定するために使用されます。これは NFS には適用されません。このオプションはゼロ (0) に設定してください。

次は,/etc/fstab ファイル内にあるエントリの例です。

必要な場合には,mount コマンドまたは automount ユーティリティを使用して,リモート・ディレクトリを作成した後,マウントしてください。

mount コマンドは,/etc/fstab ファイル内の指定したディレクトリをマウントします。たとえば,次のとおりです。

# mount /repository

automount ユーティリティは,/etc/fstab ファイル内のすべてのエントリをマウントします。automount ユーティリティは,コマンド行から起動するか,または nfssetup ユーティリティを実行し,automount デーモンを実行するかどうかを問い合わせるプロンプトに対して yes と応答することによって起動します。

4.7.5    NFS 共有に対する LanManager のみのセキュリティの有効化

ASU サーバは,現在では NFS 共有に対して LanManager のみのセキュリティを許可します。LanManager のみのセキュリティでは,ASU ユーザは,Tru64 UNIX の許可のためにファイルおよびディレクトリへのアクセスを制限されることがありません。ASU ユーザによって作成されたファイルおよびディレクトリは,Tru64 UNIX ユーザによって作成されたように見えます。

LanManager のみのセキュリティを有効にするには,次の手順に従います。

  1. 次のエントリを指定して NFS ファイル・システムを (通常は /etc/exports ファイル内に) エクスポートします

    /nfs -root=0

  2. 次の表に記述されているように,ASU レジストリ・エントリの値を設定します。

    レジストリ・エントリ
    IgnoreUnixPermissions 1
    UnixDirectoryCheck 2
    UseUnixGroups 1
    UseUnixLocks 1

    たとえば,regconfig レジストリ エディタを使用して IgnoreUnixPermissions エントリを有効にするには,次のコマンドを入力します。行末のバックスラッシュ ( \ ) は,そのコマンド行が次の行に続くことを示しています。コマンド全体を入力したら,Enter キーを押してください。

    # regconfig SYSTEM/CurrentControlSet/Services/\
    AdvancedServer/FileServiceParameters \
    IgnoreUnixPermissions REG_DWORD 1 
    
    

  3. 次のコマンドを入力して ASU サーバを再起動します。

    # net stop server

    # net start server

4.8    ディスク共有の解除

ディスク共有を解除しても,Tru64 UNIX ディレクトリへの共有名の関連付けだけが削除され,対応する Tru64 UNIX ディレクトリは削除されません。ディスク共有を解除する場合は,次のいずれかの方法を使用します。

4.8.1    net share コマンドの使用

ASU サーバを実行しているシステムで,Tru64 UNIX コマンド・プロンプトから net コマンドを小文字で入力します。コマンド全体を入力したら,Enter キーを押してください。

ディスク共有を解除するには,次のように入力します。

# net share sharename /delete

たとえば,project という名前のディスク共有を解除するには,次のように入力します。

# net share project /delete

4.8.2    サーバー マネージャの使用

次の手順に従い,サーバー マネージャでディスク共有を解除します。

  1. サーバー マネージャ GUI (srvmgr.exe) を起動します。

    ASU サーバを管理する Windows システム上に,サーバー マネージャ GUI をインストールします。サーバー マネージャ GUI のインストールについては,1.8 節を参照してください。

  2. [コンピュータ] メニューから [ドメインの選択...] を選択します。

    [ドメインの選択] ダイアログ・ボックスが表示されます。

  3. [ドメイン:] フィールドで,ディスク共有を解除したいドメインの名前を入力して,[OK] ボタンをクリックします。

  4. [コンピュータ] メニューから [共有ディレクトリ...] を選択します。

    [共有ディレクトリ] ダイアログ・ボックスが表示されます。

  5. 解除したい共有の名前をクリックします。

  6. [共有解除] ボタンをクリックします。