[[samba/ACLs]]
**/home のACLを設定 [#d74cf9f8]
まずは、/homeの設定から
参照 [[https://wiki.samba.org/index.php/User_home_drives>+https://wiki.samba.org/index.php/User_home_drives]]
ドメインにログイン済みのwindowsクライアントで操作します。ログインはSeDiskOperatorPrivilege権限を持つユーザで
行いますが、Domein Adminに所属するユーザですね。
&ref(2015y09m24d_235253110.png,nolink);
「スタート」->「コントロールパネル」->「管理ツール」->「コンピュータの管理」を開く。
すると「コンピュータの管理」画面が表示されるが、&color(orange){ここから別のマシンに接続をし直す};
まず、左ツリーの「コンピュータの管理(ローカル)」を選択して、右クリックから「別のコンピュータへ接続...」を選びます。
&ref(2015y09m24d_235647177.png,nolink);
新たに表示された「コンピュータの選択」画面にて、/homeのファイルサーバ先を入力して「OK」ボタンをクリックします。
&ref(2015y09m24d_235815028.png,nolink);
&size(10){ここでは c.sybyl.local が/homeの持ち主です};
接続が許可されると、下記の様にツリーが展開できる。
&ref(2015y09m25d_000207025.png,nolink);
共有名「home」を選択して、右クリックから「プロパティ」を選択します。
&ref(2015y09m25d_000452359.png,nolink);
「homeのプロパティ」画面にて、「共有のフォルダ許可」タブを開くと、「Evryone」で「フルコントロール」のみが存在している。
&ref(2015y09m25d_000621264.png,nolink);&ref(2015y09m25d_000636418.png,nolink);
この「Evryone」の設定を削除して、「Authenticated Users」「Domain Admins」「System」が「フルコントロール」を持つように修正する。
|BGCOLOR(white):Authenticated Users: |BGCOLOR(white):フル コントロール|
|BGCOLOR(white):Domain Admins: |BGCOLOR(white):フル コントロール|
|BGCOLOR(white):System: |BGCOLOR(white):フル コントロール|
こんな感じで(例:Authenticated Users)
&ref(2015y09m25d_001351795.png,nolink);&ref(2015y09m25d_001437107.png,nolink);
次に、同じ「homeのプロパティ」画面の「セキュリティ」タブを開く。
&ref(2015y09m25d_001729496.png,nolink);
続いて、この「セキュリティ」タブ画面の「詳細設定」ボタンをクリックして、「home(\\C.SYBYL.LOCAL)のセキュリティの詳細設定」画面を開く。
&ref(2015y09m25d_002013019.png,nolink);
「アクセス許可」タブ内で、「アクセス許可の変更...」ボタンをクリックして、同じ名称なのだが「home(\\C.SYBYL.LOCAL)のセキュリティの詳細設定」画面を開く。そこに「このオブジェクトの親から継承可能なアクセス許可を含める」の&color(orange){チェックを外して};、「OK」ボタンを押す。
&ref(2015y09m25d_002300982.png,nolink);
初めの「home(\\C.SYBYL.LOCAL)の...」画面に戻るが、ここでも「OK」ボタンを押す。これで
「homeのプロパティ」画面で「セキュリティ」タブまで戻ったはずだ。
&ref(2015y09m25d_002513057.png,nolink);
次に、今度は同じ「セキュリティ」タブの「グループ名またはユーザ名」で許可対象を変更する。「編集...」ボタンをクリックして、
&ref(2015y09m25d_002720906.png,nolink);
既存で定義されている項目をすべて削除して、
&ref(2015y09m25d_003431219.png,nolink);
下記項目の様に定義を行う
|BGCOLOR(white):Administrator: |BGCOLOR(white):フル コントロール|
|BGCOLOR(white):Authenticated Users:|BGCOLOR(white):読み取りと実行, フォルダー内容の一覧表示, 読み取り|
|BGCOLOR(white):Creator Owner: |BGCOLOR(white):フル コントロール|
|BGCOLOR(white):Domain Admins: |BGCOLOR(white):フル コントロール|
|BGCOLOR(white):System: |BGCOLOR(white):フル コントロール|
こんな感じで。
&ref(2015y09m25d_003857028.png,nolink);
そして「OK」ボタンをクリックします
&color(red){*};&size(10){「OK」ボタンを押下後、「Creator Owner」がフルコントロールでないように見えるが正しい動きです};
このままだと認証されたユーザ(Authenticated Users)は、他のフォルダも読めてしまう状態なので、権限制限を施す。
「詳細設定」ボタンを押して、「アクセス許可の変更...」ボタンを押して、
&ref(2015y09m25d_004454036.png,nolink);
「Authenticated Users」を&color(orange){選択したまま};、「編集」ボタンをクリックします。
&ref(2015y09m25d_004756412.png,nolink);
表示された「home(\\C.SYBYL.LOCAL)のアクセス許可エントリ」画面にて、名前が「Authenticated Users」であることを確認して、適用先を「&color(orange){このフォルダのみ};」にします。その他のアクセス許可項目への変更はなく、そのまま「OK」ボタンを押します。
&ref(2015y09m25d_004917345.png,nolink);
開いたすべての画面を閉じるように「OK」ボタンを押して、調整は完了となる。
***getfacl [#n05d4f59]
っで、結局どうなったかと言うと、/homeをgetfaclで確認するとこうなる
#code(nonumber){{
[root@c ~]# cd /
[root@c /]# getfacl home
# file: home
# owner: root
# group: root
user::rwx
user:root:rwx
user:3000002:rwx
user:3000003:r-x
user:3000008:rwx
group::---
group:root:---
group:3000002:rwx
group:3000003:r-x
group:3000008:rwx
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:user:3000002:rwx
default:user:3000008:rwx
default:group::---
default:group:root:---
default:group:3000002:rwx
default:group:3000008:rwx
default:mask::rwx
default:other::---
[root@c /]#
}}
ちなみに、下記の関係になる。
|BGCOLOR(white):3000002|BGCOLOR(white):S-1-5-18|BGCOLOR(white):Local System|
|BGCOLOR(white):3000003|BGCOLOR(white):S-1-5-11|BGCOLOR(white):Authenticated Users|
|BGCOLOR(white):3000008|BGCOLOR(white):S-1-5-21-3856705137-1458541217-574567365-512|BGCOLOR(white):Domain Admins|
![[PukiWiki]](image/picc.png "[PukiWiki]")
