ZFS 委任管理を使用すると、細かく調整したアクセス権を、特定のユーザー、グループ、または全員に割り当てることができます。次の 2 種類の委任アクセス権がサポートされています。
作成、破棄、マウント、スナップショットといった個別のアクセス権を明示的に委任できます。
「アクセス権セット」と呼ばれるアクセス権の集まりを定義できます。アクセス権セットはあとで更新することができ、そのセットの使用者は自動的に変更内容を取得します。アクセス権セットは @ 記号で始まり、64 文字以下の長さに制限されています。@ 記号に続くセット名の残り部分の文字には、通常の ZFS ファイルシステム名と同じ制限事項が適用されます。
ZFS 委任管理では、RBAC セキュリティーモデルに似た機能が提供されます。ZFS 委任を使用すると、ZFS ストレージプールおよびファイルシステムの管理に次のような利点が得られます。
ZFS ストレージプールの移行時には常にアクセス権も移行されます。
動的継承により、ファイルシステム間でアクセス権をどのように伝達するかを制御できます。
ファイルシステムの作成者だけがそのファイルシステムを破棄できるように設定することができます。
アクセス権を特定のファイルシステムに委任できます。新しく作成されるファイルシステムは、アクセス権を自動的に取得できます。
NFS の管理が容易になります。たとえば、明示的なアクセス権を持っているユーザーは、NFS 経由でスナップショットを作成し、適切な .zfs/snapshot ディレクトリに保存できます。
委任管理を使用して ZFS タスクを分散することを検討してください。RBAC を使用して一般的な Oracle Solaris 管理タスクを管理する方法については、『Solaris のシステム管理 (セキュリティサービス)』のパート III「役割、権利プロファイル、特権」を参照してください。
委任管理機能を制御するには、プールの delegation プロパティーを使用します。次に例を示します。
# zpool get delegation users NAME PROPERTY VALUE SOURCE users delegation on default # zpool set delegation=off users # zpool get delegation users NAME PROPERTY VALUE SOURCE users delegation off local |
デフォルトでは、delegation プロパティーは有効になっています。