16.1 サービスへのアクセスを制御

OES 2は、次のような多数のサービスアクセスのアクセスオプションをサポートします。

提供するサービスおよびこれらのサービスを設定する方法により、どのオプションを使用可能にするかを制御します。

この節はアクセス制御をより広い範囲でとらえるのに役立つため、サービスへのアクセスを計画、実装、および制御できます。説明する項目の詳細については、サービスガイドを個別に参照してください。

次にトピックを示します。

16.1.1 アクセス制御の概要

次の節では、Open Enterprise Server 2のサービスへアクセスする方法を概説します。

OES 2サービスへのアクセス

図 16-1はOES 2サービスでサポートされているアクセス方法を示します。Novell® eDirectory™は、各サービスへの認証を提供します。

図 16-1 アクセスインタフェースおよびそれらを介してアクセス可能なサービス

各サービスで使用可能なインタフェースは、主にサービスでサポートされているプロトコルに基づいて決定されます。

  • ブラウザやPDA (Personal Digital Assistants)は、HTTPプロトコルをサポートしている必要があります。

  • 各ワークステーションのタイプには、ファイルアクセスプロトコルが関連付けられています。Linuxは、ファイルサービスアクセス用のネイティブプロトコルとしてNFSを使用し、Macintoshワークステーションは、AFPまたはCIFSを使用して通信します。またWindowsワークステーションは、ファイルサービス用にCIFSプロトコルが使用されます。

  • WindowsおよびLinuxの両方のNovellクライアントソフトウェアは、Novell製品として定評のあるNCP™ (NetWare® Core Protocol™)ソフトウェアをファイルサービス機能に使用します。

OES 2サービス用のプロトコルサポートを理解すると、OESの実装を計画するのに役立ちます。詳細については、アクセス要件をチェックするプロトコルとサービスのマッチングを参照してください。

OES 2のアクセス制御オプション

OES 2では従来型Novellアクセス制御とPOSIXアクセス制御の両方が使用できるため、ネットワークサービスの多様な機能を提供するためにその2つのモデルを組み合わせるなど、さまざまな使用形態を選択できます。

表 16-1には、OES 2のアクセス制御機能を説明するマニュアルへのリンクが記載されています。

表 16-1 一般的なファイルシステムのアクセス制御

機能

確認内容

次のトピックを参照してください。

Linuxのアクセス制御リスト(ACL)

最も一般に使用される従来型のLinuxファイルシステムでのACLのサポート状況、および、ファイルやディレクトリの所有者でないユーザとグループに対する、ACLによるファイルやディレクトリのパーミッション割り当て方法。

SLES 10 SP1 Installation and Administration Guide』のAccess Control Lists in Linux

NCPおよびPOSIXアクセス権の調整

NCP(またはNetWare)アクセス制御モデルをPOSIXファイルシステムへ近づける方法。

セクション 17.4, NCPおよびPOSIXのファイルアクセス権の調整

ディレクトリとファイルの属性

OES 2 NetWareのディレクトリとファイルの属性。

OES 2: File Systems Management Guide』のDirectory and File Attributes for NSS Volumes or NetWare Traditional Volumes

ファイルシステムトラスティ権

NetWare (NSSと従来型のボリューム)のファイルシステムトラスティ権。NetWareでの有効なファイルシステムトラスティ権の決定方法を含む。

OES 2: File Systems Management Guide』のFile-System Trustee Rights

NetWare Connection Manager

NetWare Connection Managerが、どのようにアクティブなユーザ接続を追跡して、NSSボリュームと従来型のNetWareボリュームのアクセスパーミッション情報を提供するか。

OES 2: File Systems Management Guide』のThe Connection Manager for NetWare

Novell ClientとNetWare Connection Manager

ファイルシステムへの正しいアクセス権をユーザに持たせるために、Novell ClientがConnection Managerとどのように連携するか。

OES 2: File Systems Management Guide』のNovell Client

NetWareトラスティ権およびディレクトリとファイルの属性

ユーザと参照できるファイルの関係およびファイルに対して実行できる操作を設定する方法。

OES 2: File Systems Management Guide』のUnderstanding File System Access Control Using Trustees

LinuxのPOSIXファイルシステムの権利と属性

OES 2 Linuxサーバでファイルシステム属性を設定する方法。

SLES 10 SP1 Installation and Administration Guide』のAccess Control Lists in Linux

NetWare上にアプリケーションをインストールする権利

NetWareファイルシステム上にアプリケーションをインストールするために必要なアクセス権。

OES 2: File Systems Management Guide』のSecurity Guidelines

eDirectoryでの同等セキュリティ

eDirectoryでの同等セキュリティの概念。

OES 2: File Systems Management Guide』のeDirectory Objects and Security Equivalence

従来型Novellアクセス制御モデル

NetWareはその豊富なアクセス制御で知られています。OESでは、NSSボリュームのサポートにより、Linuxでこれらのアクセス制御を使用できます。さらに、NCPボリュームを作成することにより、Linuxの従来型ファイルシステム上でも一部の制御が使用可能になります。Linuxの従来型システムは、NSSが提供するディレクトリ属性およびファイル属性の1つのサブセットのみを提供するため、NCPボリュームは制限されます。

NetWareアクセス制御モデルでは、ユーザやグループのようなeDirectoryオブジェクトに、NSSボリュームおよびNCPボリューム上のディレクトリおよびファイルに対する、ファイルシステムのトラスティ権が割り当てられます。このトラスティ権で、ディレクトリやファイルを操作できるユーザまたはグループが決定されます。ただし、ディレクトリやファイルの属性で操作が許可されているという条件が付きます。

詳細については、図 16-2を参照してください。

図 16-2 NetWareアクセス制御モデルにおけるディレクトリおよびファイルアクセス

表 16-2では、図 16-2に示す有効なアクセス権について説明します。

表 16-2 アクセス権の説明

eDirectoryオブジェクト

ファイルシステムトラスティ権

ディレクトリとファイルの属性

ディレクトリとファイル

eDirectoryオブジェクト(ほとんどの場合ユーザとグループ)は、eDirectoryを介してファイルシステムにアクセスします。

ファイルシステムトラスティ権は、権利が与えられているディレクトリやファイルに対する、指定されたeDirectoryオブジェクトによるアクセスおよび使用法を制御します。

トラスティ権よりディレクトリやファイルの属性の方が優先されます。

たとえば、Nancyがディレクトリのスーパバイザ(すべての)トラスティ権を持っている場合、このディレクトリ内のファイルに対する同じトラスティ権を持ちますが、File2には読み取り専用属性が設定されているため、このファイルを削除できません。

当然、Nancyがファイル属性を変更すれば、File2を削除できます。

各ディレクトリやファイルには、属性が関連付けられています。こうした属性は、オブジェクトに設定されているトラスティ権にかかわらず、一般にすべてのトラスティに適用されます。

たとえば、読み込み専用属性を持つファイルは、すべてのユーザに対して読み込み専用です。

ディレクトリやファイルの変更トラスティ権を持つ任意のトラスティが属性を設定できます。

この例で示されているeDirectoryユーザやグループが実行できる操作は、次のとおりです。

  • Nancyは、ディレクトリレベルのスーパバイザトラスティ権を持っています。つまり、ディレクトリやファイルの属性で許される操作を実行できます。

    Nancyは、最初に属性を変更しない限り、Directory AのDi (削除禁止)とRi (名前変更禁止)属性のためにディレクトリの削除および名前の変更を行うことはできません。File2を変更する操作に対しても同じ原則が適用されます。

  • Joeは、Reportersグループのメンバーであるため、DirectoryA内のファイル名やディレクトリ名を参照できます。さらに、ルートディレクトリまでのディレクトリ構造を参照することもできます。

    Joeは、DirectoryA内のファイルを開いて読み取る権利、およびDirectoryA内のアプリケーションを実行する権利も持っています。

  • Bertは、Reportersグループのメンバーであるため、DirectoryA内のファイル名やディレクトリ名を参照できます。さらに、ルートディレクトリまでのディレクトリ構造を参照することもできます。

    Bertは、File1を開いて読み込む権利、およびFile1がアプリケーションであれば実行する権利も持っています。

    さらにBertは、任意のeDirectoryユーザに対しFile1へのアクセス権を与える権利を持っています。

  • 3人のユーザは、全員Reportersグループのメンバーであるため、任意のeDirectoryユーザに対しFile1へのアクセス権を与えることができます。

    言うまでもなく、Nancyはディレクトリレベルのスーパバイザ権利を持っているため、この権利は余分なものです。

OES Linux上のNSSアクセス制御

表 16-3には、NSS固有の各種アクセス制御機能を説明するマニュアルへのリンクを記載しています。

表 16-3 NSSアクセス制御に関するマニュアルへのリンクの概要

機能

確認内容

次のトピックを参照してください。

独立モードとNetWareモード

これは、Linuxのみに該当します。

独立モードのアクセスとNetWareモードのアクセスの相違点。

OES 2: File Systems Management Guide』のAccess Control for NSS on Linux

OES 2 LinuxのNSSボリュームのNetWareディレクトリとファイルの属性

これは、表示内容のみが該当します。POSIXパーミッションは、NSSボリュームのアクセス制御には使用されません。

NSSファイル属性が、POSIXを介して表示可能なLinuxディレクトリやファイルのパーミッションにどのように反映されるか。

OES 2: File Systems Management Guide』のDisplaying Key NSS Directory and File Attributes as Linux POSIX Permissions

Novell Client(NCPファイルサービス)アクセス

ネットワーク上でNovell Clientを使用するかどうかがまだ決定していない場合は、次の情報を考慮することをお勧めします。

Novell Clientについて

Novell Clientは、NetWareサーバとOES Linuxサーバにアクセスすることで、WindowsデスクトップおよびLinuxデスクトップの機能を拡張します。

Novell Clientソフトウェアをインストールすると、ユーザは、次のNovellサービスをすべてにわたって利用できます。

  • Novell eDirectoryを介した認証

  • ネットワーク参照とサービスの解決

  • 保護された信頼性の高いファイルシステムアクセス

  • 業界標準のプロトコルのサポート

Novell Clientは、従来型のNovellプロトコル(NDAP、NCP、およびRSA)をサポートし、オープンなプロトコル(LDAP、CIFS、およびNFS)と相互運用できます。

Novell Clientはネットワークで正しい選択と言えるか。

Novellは、Novell Clientを必要としないサービス(NetStorage、Novell iFolder® 3.6、iPrintなど)を提供していますが、次の理由から、多くのネットワーク管理者が、ネットワークユーザのアクセス手段にNovell Clientを選んでいます。

  • ネットワーク管理者がLDAP認証よりeDirectory認証を選択するのは、eDirectoryがより安全と考えているためです。

  • ネットワーク管理者がMicrosoft CIFSプロトコルよりNCP (NetWare Core Protocol)を選択するのは、CIFSではネットワークでウィルスが増殖しやすいと考えているためです。

逆に、それ以外のネットワーク管理者は、一様に、各ワークステーションでNCPクライアントを実行するオーバーヘッドを増やさずにユーザが問題なく作業できることにこだわっています。

Novellは、なにがユーザのネットワークにとって最適なのかを判断することはできませんが、ユーザには実行可能な選択肢を提供します。

LinuxおよびWindowsの相違点

LinuxクライアントおよびWindowsクライアントには、いくつかの相違点があります。これらの相違点については、『Novell Client 2.0 for Linux Administration Guide』のUnderstanding How the Novell Client for Linux Differs from the Novell Client for Windows 2000/XPで説明しています。

eDirectoryユーザのOES 2 Linuxサーバへのアクセス

OES 2 Linuxサーバで実行する一部のサービスの場合、そうしたサービスにアクセスするユーザは、Linuxユーザ資格情報(ユーザID (UID)、プライマリグループID (GID)など)を持つ標準のLinuxユーザであるか、少なくともLinuxシステムに対してそのようなユーザであると認識されなければなりません。

eDirectoryユーザがこうしたサービスにアクセスできるように、Linuxユーザ管理(LUM)テクノロジが用意されています。このため、ネットワーク管理者は、このようなユーザやグループがローカルサーバのeDirectory LDAP認証に有効になるようにしておく必要があります。詳細については、LUM (Linux User Management): eDirectoryユーザのためのLinuxへのアクセスを参照してください。

16.1.2 サービスアクセスの計画

ネットワークユーザが使用可能なアクセスオプションを理解したら、ネットワークで最も効果を発揮するオプションを決定できます。

ネットワークサービスの計画のヒントについて、次のセクションで取り上げます。

ファイルサービスアクセスの計画

提供するファイルサービスを計画するときは、次のセクションで説明するファイルサービス/ボリュームおよび機能サポートの制限に注意してください。

ボリュームタイプへのサービスアクセスの制限

サポートされている組み合わせは、表 16-4で説明しています。

表 16-4 ボリュームタイプへのサービスアクセス

ファイルサービス

従来型のLinuxボリューム

LinuxのNSSボリューム

従来型のNetWareボリューム

NetWareのNSSボリューム

AFP

いいえ

OES 2 SP1用に計画

いいえ

あり - NFAP

CIFS

あり - Samba

あり - Samba

いいえ

あり - NFAP

NetStorage

はい

はい

はい

はい

NetWare Core Protocol (NCP)

はい

はい

はい

はい

NFS

はい

Yes-NFSv3

いいえ

あり - NFAP

Novell iFolder 2.1x

いいえ

いいえ

いいえ

はい

Novell iFolder 3.6

はい

はい

いいえ

いいえ

Samba

はい

はい

いいえ

いいえ

各ファイルサービスでサポートされているファイルシステムの詳細については、各サービスのマニュアルを参照してください。

また、ファイルサービスがさまざまなアクセスプロトコルセットをサポートすることにも注意してください。各種OESファイルサービスにアクセスする場合に利用できるプロトコルの概要については、アクセス要件をチェックするプロトコルとサービスのマッチングを参照してください。

機能のサポート

表 16-5 各ボリュームタイプでサポートされている機能

機能

従来型のLinuxボリューム

LinuxのNSSボリューム

従来型のNetWareボリューム

NetWareのNSSボリューム

ディレクトリ割り当て

いいえ

はい

はい

はい

ログインスクリプト

はい(NCPボリュームとして定義されている場合も)

はい

はい

はい

マップされたドライブ

はい(NCPボリュームとして定義されている場合も)

はい

はい

はい

NetWareのディレクトリとファイルの属性

はい(NCPボリュームとして定義されている場合も)

はい

はい

はい

NetWareの拡張属性

いいえ

はい

はい

はい

パージ/サルベージ

いいえ

はい

はい

はい

トラスティ権

はい(NCPボリュームとして定義されている場合も)

はい

はい

はい

ユーザスペースの割り当て

いいえ

はい

はい

はい

プリントサービスアクセスの計画

Novell iPrintにはアクセス制御機能が用意されており、この機能により、各eDirectoryユーザ、グループ、またはコンテナオブジェクトからプリントリソースにアクセスするように指定できます。

また、iPrintを使用すれば、認証を必要としないプリントサービスを設定することもできます。

メモ:プリンタのアクセス制御は、WindowsのiPrintクライアントのみでサポートされます。

アクセス制御とiPrintの詳細については、次を参照してください。

アクセス要件をチェックするプロトコルとサービスのマッチング

図 16-3は、OESでユーザが使用できるアクセスインタフェースおよび各インタフェースが接続できるサービスを示しています。この図には、アクセスインタフェースとネットワークサービスとを接続するプロトコルも示しています。

これを使用して計画するためには、次を行います。

  1. 左側の列のさまざまなアクセスインタフェースを確認します。

  2. 2番目の列に示されている各プロトコルの右側の情報をチェックします。

  3. 右端の列には、各サービスでサポートされているプロトコルが表示されます。

図 16-3 アクセスインタフェースとサービス、およびそれらを接続するプロトコル

16.1.3 アクセスサービスの共存とマイグレーション

LinuxでNCP (NetWare Core Protocol)を利用できるようになったため、Novell Clientユーザは、NetWareサーバに接続する場合と同様に、簡単にOES 2 Linuxサーバに接続できます。実際、変化に気がつくことはほとんどありません。

NCP Server for Linuxは、ログインスクリプト、OES 2 Linuxサーバへのドライブのマッピング、および一般にNovell Clientアクセスに関連付けられている他のサービスにも対応しています。つまり、Novell ClientをインストールしているWindowsユーザは、今後、OES 2 Linuxのファイルサービスへシームレスに移行できるようになりました。また、Novell Client for Linuxを使用することで、NCPファイルサービスを中断することなく、WindowsユーザをSUSE Linux Enterprise Desktopへ、移動することができます。

詳細については、『OES 2: NCP Server for Linux Administration Guide』を参照してください。

16.1.4 アクセス実装のヒント

OES 2サービスを計画し、インストールしたら、ネットワークユーザにわかりやすいアクセス手順を示してください。アクセス方法の概要については、セクション D.0, OES 2ユーザサービスのクイックリファレンスを参照してください。

16.1.5 サービスへのアクセスの設定と管理

次の節では、サービスへのアクセスの管理について説明します。

パスワード管理

多くのネットワーク管理者が、パスワードの管理をユーザに任せています。パスワードの自己管理の詳細については、『Novell Password Management Administration Guide』のPassword Self-Serviceを参照してください。

Linux (POSIX)ファイルシステムのアクセス権

従来型のLinuxファイルシステムへのアクセス制御は、ディレクトリやファイルに関連付けられたPOSIXファイルシステムのアクセス権または属性を介して制御されます。一般に、次の3つのPOSIXエンティティが、ディレクトリやファイルにアクセスできます。

  • ディレクトリまたはファイルを所有するユーザ

  • ディレクトリまたはファイルを所有するグループ

  • システムで定義された他のすべてのユーザ

こうしたユーザや関連するグループには、ディレクトリやファイルごとに3つの属性の組み合わせがそれぞれ割り当てられます(または割り当てられません)。

属性

割り当てられた場合のディレクトリへの効果

割り当てられた場合のファイルへの効果

読み込み

ユーザまたはグループがディレクトリの内容を表示できます。

ユーザまたはグループがファイルを開いて読み取ることができます。

書き込み

ユーザまたはグループがディレクトリ内のファイルやサブディレクトリを作成または削除できます。

ユーザまたはグループがファイルを変更できます。

Execute

ユーザまたはグループがcdコマンドを使用してディレクトリにアクセスできます。

ユーザまたはグループがファイルをプログラムとして実行できます。

詳細については、『OES 2: File Systems Management Guide』のConfiguring File System Trustees, Trustee Rights, Inherited Rights Filters, and Attributesを参照してください。

NSS (およびNetWare)のファイルとディレクトリのトラスティ管理

le Systems Management Guide 』のonfiguring File System Trustees, Trustee Rights, Inherited Rights Filters, and Attributesに、ファイルとディレクトリのトラスティ管理の詳細が記載されています。

以降のセクションで、NSSボリュームのトラスティの管理について簡単に説明します。

NetStorageによるファイルやディレクトリの属性とトラスティの変更

NetStorage Webブラウザインタフェースを使用すると、NSSボリュームのディレクトリやファイルの属性とトラスティを変更できますが、NetStorageへのWebDAV接続を使用した場合、それらを変更することはできません。

また、NetStorageを使用して従来型のNetWareボリュームの属性またはトラスティを変更することはできません。

Novell Clientを使用した、ファイル属性およびディレクトリ属性、およびトラスティ権の変更

Novell Clientを使用して、NNSのファイル属性およびディレクトリ属性を変更できます。また、OES 2 Linuxサーバ上のNSSボリュームに、トラスティ権を付与することができます。詳細については、『Novell Client 4.91 for Windows XP/2003 Installation and Administration Guide』のNetWare File Securityおよび『Novell Client 2.0 for Linux Administration Guide』のManaging File Securityを参照してください。

iManager 2.7を使用した、ファイル属性およびディレクトリ属性、およびトラスティ権の変更

iManager 2.7ファイルおよびフォルダのプラグインを使用して、NCPボリュームおよびNSSボリューム上のディレクトリおよびファイルを管理できます。詳細については、プラグインのヘルプを参照してください。

Linuxのコマンドプロンプトによるファイル属性の変更

attribコマンドを使用して、NSSボリューム上のファイル属性およびディレクトリ属性を変更します。

attribコマンドについては、『OES 2: File Systems Management Guide』のAttributes Utility for Linuxも参照してください。

あるいは、コマンドプロンプトから次のコマンドを入力してヘルプを表示できます。

attrib --help

Linuxのコマンドプロンプトによるトラスティ権の変更

NSSボリュームにNSSトラスティ権を与えるには、次のコマンドを入力します。

rights -f /full/directory/path -r rights_mask trustee full.object.context

/full/directory/pathは、NSSボリュームのターゲットディレクトリへのパスです。rights_maskは、NSS権利のリストです。full.object.contextは、ツリー名を含む完全なeDirectoryコンテキストでのオブジェクト(ユーザまたはグループ)です。

たとえば、次のように入力できます。

rights -f /data/groupstuff -r rwfc trustee mygroup.testing.example_tree

コマンドオプションの詳細なリストについては、コマンドプロンプトで「rights」と入力します。

rightsコマンドについては、『OES 2: File Systems Management Guide』のTrustee Rights Utility for Linuxを参照してください。