アクセス権とアクセス制御リストの設定

ファイルやディレクトリを使用する作業では、ファイルマネージャが主なツールとなります。ファイルマネージャは、必須アクセス制御に対応するために、Trusted Solaris 環境向けに多少変更されています。この項では、Trusted Solaris 環境のファイルとフォルダに対する、基本的なアクセス権とアクセス制御リスト (ACL) に焦点を絞って説明します。その他のファイルマネージャの詳細については、標準の Solaris のマニュアルを参照してください。

次の図は、ファイルマネージャのメインウィンドウで「属性 (Properties)」ダイアログボックスを表示する 2 通りの方法を示しています。1 つは、対象ファイルにポインタを置き、マウスの右ボタンを押して、ファイルマネージャのポップアップメニューから「属性 (Properties)」を選択する方法です。もう 1 つは、ファイルを選択してから、「選択 (Selected)」メニューの「属性 (Properties)」を選択する方法です。

図 5-1 ファイルマネージャのメインウィンドウで「属性 (Properties)」オプションを選択する

どちらの方法を使用しても、「属性 (Properties)」ダイアログボックスは表示されます。「属性 (Properties)」ダイアログボックスでは、次の 3 種類のプロパティを表示できます。

• アクセス権 - 「アクセス権 (Permissions)」トグルと「アクセスリストを隠す (Hide Access List)」を選択して表示する (次の「アクセス権モード (Permissions mode)」ダイアログボックスを参照)。

• ACL - 「アクセス権 (Permissions)」トグルと「アクセス制御リストを表示 (Show Access Control List)」を選択して表示する (次の「ACL モード (ACLs mode)」ダイアログボックスを参照)。

• 基本情報 - 「インフォメーション (Information)」トグルを選択して表示する (次の「情報モード(Information mode)」ダイアログボックスを参照)。

図 5-2 アクセス権、ACL、基本情報の各モードで表示されたファイルマネージャの「属性 (Properties)」ダイアログボックス

基本のアクセス権

「基本のアクセス権」という言葉は、次の 3 種類のアクセスに関するファイルやフォルダ (ディレクトリ) の保護を記述した、従来の UNIX の概念からきています。

• 「読み取り」権 - ユーザーに、ファイルの内容、またはフォルダ内のファイルのリストの読み取りを許可する

• 「書き込み」権 - ユーザーに、ファイルの変更、またはフォルダ内のファイルの追加、削除を許可する

• 「実行」権 - ユーザーに、実行可能ファイルの実行、またはフォルダ内のファイルの読み取り、検索を許可する

フォルダへのアクセスが制限されている場合は、ファイルマネージャに、フォルダがアクセス不可または読み取り専用であることを示す特別なアイコンが表示されます (次の図を参照)。

図 5-3 ファイルマネージャの特別なアイコン

アクセス権は、次の 3 つのユーザー分類に従って設定されます。

• 「所有者」 - ファイルまたはフォルダを作成したユーザー、あるいは chown(1) によって所有権を与えられたユーザー。通常は、最大のアクセス権を持つ

• 「グループ」 - 所有者が属するユーザーグループ

• 「その他」 - 所有者でもなく、所有者のグループにも属さないすべてのユーザー

アクセス制御リスト

「アクセス制御リスト (ACL)」を使用すると、特定のユーザーやグループに対し、個人的なアクセス権 (「ACL エントリ」) を与えることができます。たとえば、自分の上司に書き込み権を与えたいという場合は、その人に書き込み権を指定した ACL エントリを作成します。

ACL のエントリは、一般に、アクセス ACL エントリとデフォルト ACL エントリという 2 種類のエントリに分類することができます。 アクセス ACL エントリでは、だれが特定のファイルまたはディレクトリにアクセスできるかを定義します。デフォルト ACL エントリでは、指定したフォルダを持つ新たに作られたファイルやフォルダに適用されるアクセス権を定義します。

システムの定義により、どのアクセス制御リストにも「マスク」と呼ばれる特別なエントリ (削除不可) が用意されています。マスクを使用すると、ファイルやフォルダに対するアクセス権をすべてのグループや所有者以外のユーザーに最大限に許可することができます (ただし、マスクを使用しても、「基本のアクセス権」の分類で「その他」の分類に属するユーザーには適用されません)。マスクの上手な利用方法は、自分だけがファイルに対する単独の書き込み権を持ちたいというときに、自分以外のすべてのユーザーから書き込み権を削除するといった方法です。

次の表は、ACL エントリをタイプ別にまとめたものです。

表 5-1 ACL タイプと適用対象

エントリタイプ	適用対象	ユーザー分類
マスク	ファイルまたはフォルダ	所有者にもその他にも属さないすべてのユーザー
ユーザー	ファイルまたはフォルダ	指定ユーザー
グループ	ファイルまたはフォルダ	指定グループ
デフォルトのユーザー	選択したフォルダに作成されたファイル	指定ユーザー
デフォルトのグループ	選択したフォルダに作成されたファイル	指定グループ
デフォルトの所有ユーザー	選択したフォルダに作成されたファイル	フォルダの所有者
デフォルトの所有グループ	選択したフォルダに作成されたファイル	所有者のグループ
デフォルトのその他ユーザー	選択したフォルダに作成されたファイル	所有者にも所有者のグループにも属さないユーザー
デフォルトのマスク	選択したフォルダに作成されたファイル	所有者にもその他にも属さないすべてのユーザー

デフォルトの ACL エントリを作成するときは、必ず次のエントリが必要となります。

• デフォルトの所有ユーザー

• デフォルトの所有グループ

• デフォルトのその他ユーザー

• デフォルトのマスク

ファイルマネージャは、最適なアクセス権の設定を推測し、デフォルトのエントリを自動的に作成します。これらのデフォルトの設定を使用したくない場合は、自由に変更できます。

アクセス権と ACL エントリの表示または変更

ファイルやフォルダの基本のアクセス権と ACL エントリの変更は、すべてファイルマネージャの「属性 (Properties)」ダイアログボックスで行います。

ファイルやフォルダの「属性 (Properties)」ダイアログボックスを表示するには

1. ファイルマネージャを表示します。

2. 属性を表示するファイルまたはフォルダにポインタを置き、マウスの右ボタンを押します (次の図を参照)。

   図 5-4 ファイルマネージャのポップアップメニューから「属性 (Properties)」を選択する

   
   

3. 「属性 (Properties)」を選択します。

   選択したファイルまたはフォルダの「属性 (Properties)」ダイアログボックスが表示されます。このダイアログボックスでは、次の操作を行えます。

   • ファイルやフォルダの基本情報を表示する

   • ファイルやフォルダの基本のアクセス権を表示または変更する

   • ファイルやフォルダの ACL エントリを表示または変更する

   • 表示または変更したいファイルやフォルダをリストから選択する。

ファイルやフォルダの基本情報を表示するには

ファイルやフォルダの基本情報には、所有者、グループ、サイズ (バイト単位)、最終アクセス日付、および最終変更日付が表示されます。

1. ファイルマネージャの「属性 (Properties)」ダイアログボックスを表示します。

   操作の詳細については、「ファイルやフォルダの「属性 (Properties)」ダイアログボックスを表示するには」を参照してください。

2. 「カテゴリ (Category)」フィールドの「インフォメーション (Information)」ボタンをクリックします。

   ダイアログボックスが基本情報モードに設定されます。

   図 5-5 ファイルマネージャの基本情報を表示するダイアログボックス

   
   

3. ファイル基本情報領域に表示された内容を確認します。

   基本的なファイルの情報のほかにも、「ファイル名 (File Name)」フィールドの右側に、ファイルやフォルダのタイプを示すアイコンが表示されます。

ファイルやフォルダの基本のアクセス権を表示または変更するには

1. ファイルマネージャの「属性 (Properties)」ダイアログボックスを表示します。

   操作の詳細については、「ファイルやフォルダの「属性 (Properties)」ダイアログボックスを表示するには」を参照してください。

2. 「カテゴリ (Category)」フィールドの「アクセス権 (Permissions)」ボタンをクリックします。

   ダイアログボックスがアクセス権モードに設定されます (次の図を参照)。

   図 5-6 ファイルマネージャ : ACL エントリの表示

   
   

3. アクセス権領域に表示された設定内容を確認します。

   この領域には、所有者、グループ、およびその他の各分類に設定された読み取り権、書き込み権、実行権と、それぞれの変更用のボタンが表示されています。右端にある「実効 (Effective)」欄には、コマンド行インタフェースに表示されたアクセス権に従って、ACL マスクが適用された後のアクセス権が表示されます。

4. アクセス権を変更するには、所有者、グループ、その他の読み取り権、書き込み権、実行権ボタンを適宜クリックします。

   変更結果は、右端の「実効 (Effective)」欄で確認できます。

5. 変更したアクセス権が適用される対象を指定するには、ウィンドウの下部にある「変更を適用 (Apply Changes To)」オプションメニューから、該当する対象項目を選択します。

   対象項目として、現在のファイル、親フォルダ内のすべてのファイル、親フォルダとそのサブフォルダ内のすべてのファイルのいずれかを選択できます。

6. 「了解 (OK)」または「適用 (Apply)」をクリックし、アクセス権の設定内容を保存します。

ファイルやフォルダの ACL エントリを表示するには

1. ファイルマネージャの「属性 (Properties)」ダイアログボックスを表示します。

   操作の詳細については、「ファイルやフォルダの「属性 (Properties)」ダイアログボックスを表示するには」を参照してください。

2. 「カテゴリ (Category)」フィールドの「アクセス権 (Permissions)」ボタンをクリックします。

   ダイアログボックスがアクセス権モードに設定されます (図 5-6)。

3. アクセス制御リスト領域が現在表示されていない場合は、「アクセス制御リストを表示 (Show Access Control List)」ボタンをクリックします。

4. アクセス制御リスト領域のエントリを確認します。

   対象項目に対する ACL エントリがすべてスクロールリストに表示されます。リストには、エントリのタイプ、指定されたタイプの名前、要求済みのアクセス権、実効アクセス権が表示されます。要求済みのアクセス権とは、ACL マスクが適用される前のデフォルトのアクセス権を指し、実効アクセス権とは、マスクが適用された後のアクセス権を指します。

ACL エントリを追加するには

1. 「ファイルやフォルダの ACL エントリを表示するには」の説明に従って、ファイルマネージャの「属性 (Properties)」ダイアログボックスを表示します。

2. ACL 領域の右側にある「追加 (Add)」ボタン (図 5-6) をクリックします。

   次の図に示すような、ファイルマネージャの「アクセスリストのエントリの追加 (Add Access List Entry)」ダイアログボックスが表示されます。

   図 5-7 ファイルマネージャの「アクセスリストのエントリの追加 (Add Access List Entry)」ダイアログボックスと ACL タイプのメニュー

   
   

3. ACL エントリのタイプを指定します。

   オプションメニューに表示される ACL タイプは、対象項目としてファイルとフォルダのどちらを選択したかによって異なります。ファイルを選択した場合は、「ユーザー (User)」と「グループ (Group)」しか選択できませんが、フォルダの場合は、すべてのエントリを選択できます。ACL タイプの内容については、表 5-1 を参照してください。

   このほか、デフォルトエントリの 1 つを選択すると、ダイアログボックスの下部にメッセージが表示され、デフォルトの所有者、デフォルトの所有者グループ、デフォルトのその他、デフォルトのマスクが、それぞれ適用可能なアクセス権とともに ACL に追加されることが通知されます。

4. 「名前 (Name)」フィールドが入力可能になっている場合は、タイプ名を入力します。

   「ユーザー (User)」、「グループ (Group)」、「デフォルトのユーザー (Default User)」「デフォルトのグループ (Default Group)」のいずれかを選択した場合に、そのタイプの名前または ID を入力する必要があります。

   「デフォルトの所有ユーザー (Default Owning User)」、「デフォルトの所有グループ (Default Owning Group)」、「デフォルトのその他ユーザー (Default Other)」、「デフォルトのマスク (Default Mask)」のいずれかを選択した場合は、タイプ名の入力が不要なため、「名前 (Name)」フィールドは使用不可の状態になります。

5. 有効または無効にしたいアクセス権をクリックします。

   有効なアクセス権には、チェックマークが付いています。選択したアクセス権が、マスクによって書き換えられてしまう場合は、ダイアログボックスの下部のメッセージ表示領域に警告が表示され、警告音が鳴ります。有効なアクセス権の欄に、マスクが適用された後のアクセス権が表示されるので、違いを確認できます。しかし、エントリはそのままにしておいて構いません。後からマスクを変更することによって、ここで選択したアクセス権を有効にすることができます。

6. ダイヤログボックスの「追加 (Add)」をクリックします。

   エントリが追加され、関連するデフォルトのエントリとともに「アクセス制御リスト (Access Control List)」領域に表示されます。デフォルトとは異なるアクセス権設定にしたい場合は、変更することも可能です。詳細については、「ACL エントリを変更するには」を参照してください。

7. 指定したアクセス権または ACL エントリの対象となる項目を指定するには、ウィンドウの下部にある「変更を適用 (Apply Changes To)」オプションメニューから、該当する項目を選択します。

   対象項目には、現在のファイル、親フォルダ内のすべてのファイル、親フォルダとそのサブフォルダ内のすべてのファイルのいずれかを選択できます。

8. 「了解 (OK)」または「適用 (Apply)」をクリックし、ACL エントリ (および変更したアクセス権) を保存します。

ACL エントリを変更するには

1. 「ファイルやフォルダの ACL エントリを表示するには」の説明に従って、ファイルマネージャの「属性 (Properties)」ダイアログボックスを表示します。

2. アクセス制御リスト領域から、変更するエントリを選択します。

3. ACL 領域の右側にある「変更 (Change)」ボタン (次の図を参照) をクリックし、「アクセスリストのエントリの変更 (Change Access List Entry)」ダイアログボックスを表示します。

   エントリタイプとして「ユーザー (User)」、「グループ (Group)」、「デフォルトのユーザー (Default User)」、「デフォルトのグループ (Default Group)」のいずれかを選択した場合は、ダイアログボックスに「タイプ (Type)」メニュー (図 5-8) が表示されるので、タイプを変更できます。「デフォルトの所有ユーザー (Default Owning User)」、「デフォルトの所有グループ (Default Owning Group)」、「デフォルトのその他ユーザー (Default Other)」、「デフォルトのマスク (Default Mask)」のいずれかを選択した場合は、タイプが固定となるため、「タイプ (Type)」メニューボタンは表示されません。図 5-9 は、「デフォルトのマスク (Default Mask)」エントリを変更する場合の画面例を示しています。

   図 5-8 ファイルマネージャの「アクセスリストのエントリを変更 (Change Access List Entry)」ダイアログボックス (ユーザー、グループ、デフォルトのユーザー、デフォルトのグループのいずれかを変更する場合)

   
   

   図 5-9 ファイルマネージャの「アクセスリストのエントリを変更 (Change Access List Entry)」ダイアログボックス (デフォルトのマスクを変更する場合)

   
   

4. ACL エントリのタイプを指定します。

   この場合、手順 3 で説明したように、指定可能なタイプには制限があります。

5. 「名前 (Name)」フィールドが入力可能になっている場合は、変更したいタイプ名を入力します。

6. 有効または無効にしたいアクセス権をクリックします。

   有効なアクセス権には、チェックマークが付いています。選択したアクセス権が、マスクによって書き換えられてしまう場合は、ダイアログボックスの下部のメッセージ表示領域に警告が表示され、警告音が鳴ります。有効なアクセス権の欄に、マスクが適用された後のアクセス権が表示されるので、違いを確認できます。しかし、エントリはそのままにしておいて構いません。後からマスクを変更することによって、ここで選択したアクセス権を有効にすることができます。

7. ダイアログボックスの「変更 (Change)」をクリックします。

   エントリが変更され、「アクセス制御リスト (Access Control List) 」領域に反映されます。先に触れたように、以上の手順でマスクを変更すれば、指定したユーザー、グループ、所有者グループの実効アクセス権も変化する場合もあります。

8. 指定したアクセス権または ACL エントリの対象となる項目を指定するには、ウィンドウの下部にある「変更を適用 (Apply Changes To)」オプションメニューから、該当する項目を選択します (図 5-6)。

   対象項目には、現在のファイル、親フォルダ内のすべてのファイル、親フォルダとそのサブフォルダ内のすべてのファイルのいずれかを選択できます。

9. 「了解 (OK)」または「適用 (Apply)」をクリックし、変更した ACL エントリ (および変更したアクセス権) を保存します。

ACL エントリを削除するには

1. 「ファイルやフォルダの ACL エントリを表示するには」の説明に従って、ファイルマネージャの「属性 (Properties)」ダイアログボックスを表示します。

2. アクセス制御リスト領域から、削除するエントリを選択します。

3. ACL 領域の右側にある「削除 (Delete)」ボタンをクリックすると、削除を確認するためのダイアログボックスが表示されます (次の図を参照)。

   図 5-10 ファイルマネージャの ACL エントリ削除確認ダイアログボックス

   
   

4. 選択したエントリが正しいことを確認し、ダイアログボックスの「削除 (Delete)」をクリックします。

   アクセス制御リスト領域から選択したエントリが削除されます。

5. 指定したアクセス権または ACL エントリの対象となる項目を指定するには、ウィンドウの下部にある「変更を適用 (Apply Changes To)」オプションメニューから、該当する項目を選択します (図 5-6)。

   対象項目には、現在のファイル、親フォルダ内のすべてのファイル、親フォルダとそのサブフォルダ内のすべてのファイルのいずれかを選択できます。

6. 「了解 (OK)」または「適用 (Apply)」をクリックし、現在の ACL エントリ (および変更したアクセス権) を保存します。