POSIX アクセス制御リスト

Linux ファイルシステムの基本的な権限は、所有するユーザー、所有グループのメンバー、その他すべ

てのユーザーの 3 つのユーザータイプに基づいて割り当てられます。POSIX アクセス制御リスト(ACL) は、管理者が、所有するユーザーとグループではなく、ユーザーおよび任意のグループに基づいてファ イルおよびディレクトリーへのアクセスパーミッションを設定することができるので、このシステムの 制限を回避できます。

本セクションでは、アクセス制御リストを表示および設定する方法と、Red Hat Gluster Storage ボ リュームでこの機能を有効にする方法を説明します。ACL の動作に関する詳細は、『『Red Hat

Enterprise Linux 7 システム管理者のガイド』』を参照してください

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/System_Administrators_Guide/ch-Access_Control_Lists.html。

6.5.1. setfacl で ACL の設定

この setfacl コマンドは、指定したファイルまたはディレクトリーの ACL を変更できます。サブコマン

ドを使用してファイルのアクセスルールを追加するか、-m サブコマンドを持つファイルのアクセス ルールを削除でき -x ます。基本的な構文は以下のとおりです。

# setfacl subcommand access_rule file_path

アクセスルールの構文は、ルールに準拠する必要のあるロールによって異なります。

で開始するユーザーのルール で開始するユーザーのルールu:

# setfacl -m u:user:perms file_path

たとえば、ユーザーにその /mnt/data ディレクトリーへの fred 読み取りおよび書き込みアクセス権 限を setfacl -m u:fred:rw /mnt/data 付与します。

setfacl -x u::w /works_in_progress/my_presentation.txt すべてのユーザーが

/works_in_progress/my_presentation.txt ファイルに書き込みをしないようにします（POSIX に よって制御されるため、所有グループの所有ユーザーおよびメンバーを除く）。

グループのルールで始まります。

グループのルールで始まります。 g:

# setfacl -m g:group:perms file_path

たとえば、admins グループ setfacl -m g:admins:rwx /etc/fstab の読み取り、書き込み、実行の権 限を /etc/fstab ファイルに付与します。

setfacl -x g:newbies:x /mnt/harmful_script.sh newbies グループのユーザーが実行できないよう にし /mnt/harmful_script.shます。

で開始する他のユーザーのルール で開始する他のユーザーのルール o:

# setfacl -m o:perms file_path

たとえば、でファイルを読み取る setfacl -m o:r /mnt/data/public ユーザー名またはグループパー ミッションに関する特定のルールをユーザーに付与し /mnt/data/public directoryます。

実効権限マスクを使用して最大アクセスレベルを設定するためのルール 実効権限マスクを使用して最大アクセスレベルを設定するためのルールm:

# setfacl -m m:mask file_path

たとえば、すべてのユーザーには、/mount/harmless_script.sh ファイルへの読み取りおよび実行 アクセスの最大数が setfacl -m m:r-x /mount/harmless_script.sh 付与されます。

ディレクトリーのデフォルト ACL を設定するには、任意のルールの最初 d: に追加するか、-R オプショ ンでルールを再帰的に設定します。たとえば、admins グループのすべてのメンバーに、実行後に /etc ディレクトリーの下にあるファイルへの読み取り、書き込み、および実行権限を setfacl -Rm

d:g:admins:rwx /etc 付与し setfacl ます。

6.5.2. getfacl で現在の ACL の確認

この getfacl コマンドは、ファイルまたはディレクトリーの現在の ACL を確認できます。このコマンド

の構文は以下のとおりです。

# getfacl file_path

これにより、そのファイルの現在の ACL の概要が出力されます。例：

# getfacl /mnt/gluster/data/test/sample.jpg

# owner: antony

# group: antony user::rw- group::rw-

ACL default:

ディレクトリーにデフォルトの ACL が設定されている場合は、以下の default:ようにプレフィックス が付けられます。

# getfacl /mnt/gluster/data/doc

# owner: antony

# group: antony user::rw- user:john:r-- group::r-- mask::r--

other::r--default:user::rwx default:user:antony:rwx default:group::r-x default:mask::rwx default:other::r-x

6.5.3. ACL が有効になっているボリュームのマウント

ネイティブ FUSE クライアントを使用して ACL が有効になっているボリュームをマウントするに は、acl マウントオプションを使用します。詳細はを参照してください「Red Hat Gluster Storage ボ リュームのマウント」。

ACL は、NFS および SMB アクセスプロトコルを使用してマウントされたボリュームでデフォルトで有

効になります。ACL が他のマウントされたボリュームで有効になっているかどうかを確認するには、を 参照してください「マウントされたボリュームでの ACL 有効化の確認」。

6.5.4. マウントされたボリュームでの ACL 有効化の確認

以下の表は、ボリュームがマウントされているクライアントのタイプに基づいて、マウントされたボ リュームで ACL が有効になっていることを確認する方法を説明します。

表 表6.10

クライアントタイプ

クライアントタイプ チェック方法チェック方法 詳細情報詳細情報

ネイティブ FUSE default_permissions^{オプションの出力を}mount 確認します。

# mount | grep mountpoint マウントされたボリュームの出力に

default_permissions^{表示されても、そのボ} リュームで ACL は有効になっていません。

ps aux gluster FUSE マウントプロセス(glusterfs)の 出力を確認します。

# ps aux | grep gluster

root 30548 0.0 0.7 548408 13868 ? Ssl 12:39 0:00 /usr/local/sbin/glusterfs --acl --volfile-server=127.0.0.2 --volfile-id=testvol /mnt/fuse_mnt

マウントされたボリュームの出力に--acl^{表示される} と、そのボリュームで ACL が有効になります。

詳細は「ネイティブク ライアント」を参照し てください。

Gluster ネイティブ NFS サーバー側で、gluster volume info volname^コ マンドの出力を確認します。出力にnfs.acl^表示さ れると、そのボリュームの ACL が無効になります。

表示されnfs.acl^ないと、ACL が有効になります

（デフォルトの状態）。

クライアントで、ボリュームの出力をmount^確認 します。出力にnoacl表示されると、マウントポイ

ントで ACL が無効になります。出力に表示されない

場合、クライアントはサーバーが ACL を使用してい ることを確認し、サーバーサポートが有効になって いる場合は ACL を使用します。

詳細は、『Red Hat Enterprise Linux 『スト レージ管理ガイド』』

の「NFS gluster volume set help^に関 する出力」を参照してく ださい。

https://access.redhat.co m/documentation/en-US/Red_Hat_Enterprise _Linux/7/html/Storage_

Administration_Guide/c h-nfs.html

NFS Ganesha サーバー側で、ボリュームのエクスポート設定ファ

イルを確認し /run/gluster/shared_storage/nfs-ganesha/exports/export.volname.conf^ま す。Disable_ACLオプションがに設定されている 場合true^、ACL は無効になります。それ以外の場合 は、そのボリュームに対して ACL を有効にします。

注記 注記

NFS-Ganesha は NFSv4 プロトコル が標準化された ACL をサポートしま すが、NFSv3 マウントに使用する

NFSACL プロトコルはサポートしま

せん。ACL を設定できるのは NFSv4 マウントのみです。

サーバーが ACL に対応している限 り、クライアントがマウントポイン

トに ACL を設定できるように、クラ

イアント側で NFSv4 ACL を無効に するオプションはありません。

詳細は「NFS

Ganesha」を参照して ください。クライアント 側の設定は、『Red Hat Enterprise Linux 『スト レージ管理ガイド』』

を参照してください。

https://access.redhat.co m/documentation/en-US/Red_Hat_Enterprise _Linux/7/html/Storage_

Administration_Guide/c h-nfs.html

クライアントタイプ

クライアントタイプ チェック方法チェック方法 詳細情報詳細情報

samba POSIX ACL は、Samba を使用して Red Hat Gluster

Storage ボリュームにアクセスする際にデフォルト

で有効になります。

詳細は「SMB」を参照 してください。

クライアントタイプ

クライアントタイプ チェック方法チェック方法 詳細情報詳細情報