ルートディレクトリ ACL

言語:

ファイルとディレクトリに対する詳細なアクセス権は、アクセス制御リストによって管理されます。ACL は、特定のユーザーまたはグループにどのようなアクセス権を付与するかを記述します。アプライアンスでは NFSv4.0 および NFSv4.1 形式の ACL がサポートされており、SMB でのアクセスも可能です。POSIX ドラフト ACL (NFSv3 で使用される) はサポートされていません。簡単な ACL であれば NFSv3 で表現できる場合もありますが、ACL に複雑な変更を加えると、NFSv3 でアクセスしたときの動作が不定になることがあります。

「ルートディレクトリアクセス」と同様に、このプロパティーはファイルシステムのルートディレクトリだけに影響を与えます。ACL は帯域内プロトコル管理によって制御できますが、BUI および CLI にはファイルシステムのルートディレクトリだけに ACL を設定する方法が用意されています。BUI がオプションではない場合は、帯域内管理ツールを使用できます。この ACL を変更しても、ファイルシステム内の既存のファイルとディレクトリに影響はありません。新しく作成されるファイルとディレクトリにこれらの設定が継承されるかどうかは、ACL の継承動作によって異なります。ただし、SMB を使用して簡単な ACL の設定されたディレクトリにファイルを作成すると、すべての ACL エントリが継承されます。

ACL は任意の数の ACE (アクセス制御エントリ) から成ります。各 ACE は、タイプ/ターゲット、一連のアクセス権、継承フラグ、およびモードを記述します。ACE は ACL の先頭から順に適用され、特定のアクションを許可するかどうかを決定します。データプロトコルを介した帯域内構成 ACL については、該当するクライアントのドキュメントを参照してください。ACL を管理するための BUI インタフェースとルートディレクトリに対する影響については、ここで説明します。

表 124 シェア - ACL のタイプ

タイプ	説明
所有者	ディレクトリの現在の所有者。所有者が変更された場合、この ACE は新しい所有者に適用されます。
グループ	ディレクトリの現在のグループ。グループが変更された場合、この ACE は新しいグループに適用されます。
全員	任意のユーザー。
名前付きユーザー	「ターゲット」フィールドで指定されたユーザー。ユーザーは、ユーザー ID で指定したり、現在のネームサービス構成で解決可能な名前で指定したりできます。
名前付きグループ	「ターゲット」フィールドで指定されたグループ。グループは、グループ ID で指定したり、現在のネームサービス構成で解決可能な名前で指定したりできます。

表 125 シェア - ACL のモード

モード	説明
許可	ACE のターゲットにアクセス権が明示的に許可されます。
拒否	ACE のターゲットにアクセス権が明示的に拒否されます。

表 126 シェア - ACL のアクセス権

	アクセス権	説明
	読み取り
(r)	データの読み取り/ディレクトリをリスト表示	ディレクトリの内容を一覧表示するアクセス権。ファイルによって継承された場合は、ファイルのデータを読み取るアクセス権。
(x)	ファイルの実行/ディレクトリのトラバース	ディレクトリ内のエントリをたどる (検索する) アクセス権。ファイルによって継承された場合は、ファイルを実行するアクセス権。
(a)	属性の読み取り	ファイルの基本的な属性 (ACL 以外) を読み取るアクセス権。基本的な属性は stat レベルの属性とみなされ、このアクセス権を許可すると、ユーザーは `ls` と `stat` に相当する操作を実行できるようになります。
(R)	拡張属性の読み取り	ファイルの拡張属性を読み取る、あるいは拡張属性ディレクトリの検索を実行するアクセス権。
	書き込み
(w)	データを書き込み/ファイルを追加	ディレクトリに新しいファイルを追加するアクセス権。ファイルによって継承された場合は、ファイルのオフセット範囲内で任意の位置のファイルのデータを変更するアクセス権。これには、ファイルを拡大する機能や、任意のオフセットに書き込む機能も含まれます。
(p)	データの追加/サブディレクトリの追加	ディレクトリ内にサブディレクトリを作成するアクセス権。ファイルによって継承された場合は、ファイルの末尾以降のデータを変更するアクセス権。ファイルに適用される場合、このアクセス権は現在サポートされていません。
(d)	削除	ファイルを削除するアクセス権。
(D)	子の削除	ディレクトリ内のファイルを削除するアクセス権。2011.1 ソフトウェアリリースでは、スティッキービットが設定されている場合はファイルの所有者のみが子ファイルを削除できます。
(A)	属性を書き込む	ファイルまたはディレクトリに関連付けられた時間を変更するアクセス権。
(W)	拡張属性を書き込む	拡張属性を作成する、あるいは拡張属性ディレクトリに書き込むアクセス権。
	Admin
(c)	ACL/アクセス権を読み取る	ACL を読み取るアクセス権。
(C)	ACL/アクセス権を書き込む	ACL を書き込む、あるいは基本的なアクセスモードを変更するアクセス権。
(o)	所有者を変更	所有者を変更するアクセス権。
	継承
(f)	ファイルに適用	ディレクトリ内に新しく作成されるすべてのファイルに継承します。
(d)	ディレクトリに適用	ディレクトリ内に新しく作成されるすべてのディレクトリに継承します。
(i)	自己に適用しない	現在の ACE は現在のディレクトリには適用されませんが、子には適用されます。このフラグを設定するには、「ファイルに適用」または「ディレクトリに適用」のいずれかを設定する必要があります。
(n)	過去の子に適用しない	現在の ACE は、ツリーの 1 レベルのみ、つまり直接の子のみに継承されます。このフラグを設定するには、「ファイルに適用」または「ディレクトリに適用」のいずれかを設定する必要があります。

シェアの作成時に「Windows のデフォルトのアクセス権を使用」オプションを使用した場合は、次の 3 つのエントリを含む ACL がシェアのルートディレクトリに対して作成されます。

表 127 シェアのルートディレクトリのエントリ

タイプ	アクション	アクセス
所有者	許可	フルコントロール
グループ	許可	読み取りと実行
全員	許可	読み取りと実行

CLI では、shares コンテキストに移動し、プロジェクトとファイルシステムを選択したあとに、ルートディレクトリ ACL プロパティーを設定します。コロンを使用して ACE プロパティーを区切り、コンマを使用して複数の ACE エントリを区切ります。target および inheritance フィールドはオプションです。プロパティーを設定するには、set root_acl=ace1,ace2,ace3,... と入力します。ここで、acen は次のとおりです。

type:<target:>permissions:<inheritance:>mode

例:

set root_acl=owner@:r:allow

set root_acl=everyone@:rwx:fd:allow

set root_acl=user:root:r:allow