Mac OS X Server ファイルサービスの管理

Mac OS X Server

ファイルサービスの管理 バージョン10.4以降用

K Apple Computer, Inc.

© 2005 Apple Computer, Inc. All rights reserved.

Mac OS X Serverソフトウェアの正規ライセンス製品の 使用許諾を受けたお客様、またはかかるお客様の許諾を 得た者は、本ソフトウェアの使用を学習する目的で本書 を複製することができます。本書のいかなる部分も、本書 のコピーの販売または有償のサポートサービスなどの商 用目的で、複製または譲渡することは禁じられています。

本書には正確な情報を記載するように努めました。 ただ し、誤植や制作上の誤記がないことを保証するものでは ありません。

Apple 1 Infinite Loop

Cupertino CA 95014-2084 U.S.A.

www.apple.com

アップルコンピュータ株式会社

〒163-1480 東京都新宿区西新宿3丁目20番2号 東京オペラシティタワー

www.apple.com/jp

Appleロゴは、米国その他の国で登録されたApple Computer, Inc.の商標です。キーボードから入力可能な Appleロゴについても、これをApple Computer, Inc.か らの書面による許諾なしに商業的な目的で利用すると、

連邦および州の商標法および不正競争防止法違反となる 場合があります。

Apple、Appleロゴ、AppleShare、AppleTalk、Mac、 Macintosh、QuickTime、Xgrid、およびXserveは、米 国その他の国で登録されたApple Computer, Inc.^の商標 です。Finderは、Apple Computer, Incの商標です。

Adobe、PostScriptは、アドビシステムズ社の商標です。

UNIXは、X/Open Company, Ltd.が独占的にライセンス している米国その他の国における登録商標です。

本書に記載されているその他の会社名および製品名は、

それぞれの会社の商標です。 他社製品に関する記載は、

情報の提供のみを目的としたものであり、 保証または推 奨するものではありません。Apple Computer, Inc.^は他 社製品の性能または使用につきましては一切の責任を負 いません。

J019-0161/03-24-2005

3

1

目次

序章  9 このガイドについて 9 バージョン10.4の新機能 9 このガイドの構成

10 オンスクリーンヘルプを使用する 11 Mac OS X Serverマニュアル 12 マニュアルのアップデートを入手する 12 その他の情報

第 1 章 15 ファイルサービスの概要

15 複数のネットワークインターフェイスのサポート 15 ファイルサービスを設定する

16 Mac OS X環境のアクセス権に関する背景情報 16 アクセス権の種類

17 標準のアクセス権

19 ACL

20 サポートされるボリュームフォーマットとプロトコル 21 アクセス制御エントリー

21 ACEに格納される情報 21 明示的なACEと継承したACE 21 継承を理解する

24 優先順位のルール 25 ヒントとアドバイス

26 ファイルサービスのアクセス制御

27 Mac OS Xのネットワークアイコンをカスタマイズする 27 ネットワークアイコン内の共有ポイント

27 システムリソースをネットワークのライブラリフォルダに追加する 27 セキュリティの検討

27 ファイルサービスへのアクセスを制限する 28 「 全員」へのアクセスを制限する

28 NFS共有ポイントへのアクセスを制限する 28 ゲストアクセスを制限する

4 目次

第 2 章 29 共有ポイントを設定する

29 共有ポイントとMac OS Xのネットワークアイコン 29 自動マウント

30 共有ポイントとネットワーク・ホーム・ディレクトリ 30 共有ポイントを設定する前に

30 クライアントの権限 30 ファイル共有プロトコル 31 共有情報の構成 31 セキュリティ

31 ネットワーク・ホーム・ディレクトリ 32 ディスク・クオータ

32 設定の概要

33 共有ポイントを設定する 33 共有ポイントを作成する 34 権限を設定する

35 共有ポイントのAppleファイル設定を変更する

36 共有ポイントのWindows（SMB/CIFS）の設定を変更する 37 共有ポイントのFTP設定を変更する

38 NFS共有ポイントをエクスポートする

39 NFSマウントをAFP共有ポイントとして再共有する 40 クライアントの共有ポイントを自動的にマウントする 41 共有ポイントを管理する

41 共有ポイントを無効にする

41 共有ポイントのプロトコルを無効にする 42 共有ポイントを表示する

42 共有ポイントのパスを表示する 42 共有ポイントの設定を表示する 43 共有ポイントのアクセス権を管理する

48 共有ポイントで使用されるプロトコルを変更する 49 NFS共有ポイントのクライアントアクセスを変更する 49 共有ポイントへのゲストアクセスを許可する 49 ドロップボックスを設定する

50 Mac OS X Server^{バージョン}10.1.5で「ワークグループマネージャ」 を使用する 51 SACLアクセス権を設定する

第 3 章 53 AFPサービス 53 Kerberos認証 54 自動再接続 54 内容で検索する 54 AppleTalkのサポート 54 Appleファイルサービスの仕様 55 AFPサービスを設定する 55 一般設定を行う

目次 5 56 アクセス設定を変更する

57 ログ設定を変更する

58 アイドル状態のユーザ設定を変更する 59 AFPサービスを開始する

59 AFPサービスを管理する 59 サービスの状況を確認する 60 サービスログを表示する 60 AFPサービスを停止する

61 NSLおよびBonjourブラウズを有効にする 61 AppleTalkによるブラウズを有効にする 62 接続を制限する

62 アクセスログを管理する

63 AFPサービスログをアーカイブに保存する 63 ユーザの接続を解除する

64 アイドル状態のユーザの接続を自動的に解除する 64 ユーザにメッセージを送信する

65 ゲストアクセスを許可する 65 ログインメッセージを作成する 66 AFPクライアントをサポートする 66 Mac OS Xクライアント

66 Mac OS XでAFPサーバに接続する

67 共有ポイントを自動的にマウントするようにMac OS Xクライアントを設定する 67 Mac OS 8およびMac OS 9クライアント

68 Mac OS 8またはMac OS 9からAFPサーバに接続する

68 共有ポイントを自動的にマウントするようにMac OS 8またはMac OS 9クライアントを 設定する

第 4 章 69 NFSサービス 69 設定の概要

70 NFSサービスを設定する前に 71 NFSサービスを設定する 71 NFSの設定を行う 72 NFSサービスを管理する

72 NFSサービスを開始する／停止する 72 NFSサービスの状況を表示する 73 現在のNFSエクスポートを表示する 第 5 章 75 FTPサービス

75 安全なFTP環境 76 FTPユーザ

76 FTPルートディレクトリ 76 FTPのユーザ環境 80 自動ファイル変換

6 目次

80 Kerberos認証 80 FTP^{サービスの仕様} 81 設定の概要

81 FTPサービスを設定する前に

82 サーバのセキュリティとanonymousユーザ 82 FTPサービスを設定する

83 一般設定を行う 84 メッセージを変更する 84 ログオプションを選択する 85 詳細設定を変更する

85 anonymousユーザ用にuploadsフォルダを作成する 85 FTPサービスを開始する

86 FTPサービスを管理する 86 FTPサービスを停止する

86 anonymousユーザのアクセスを許可する

87 ユーザ環境を変更する

87 FTPルートディレクトリを変更する 87 ログを確認する

88 バナーメッセージとウェルカムメッセージを表示する

88 message.txtファイルを使用してメッセージを表示する

88 READMEメッセージを使用する

第 6 章 89 問題を解決する

89 共有ポイントに関する問題

89 共有された光学式メディアにユーザがアクセスできない

89 「 サーバ管理」や「ワークグループマネージャ」を使って外部ボリュームにアクセスできない 90 ユーザが共有項目を見つけることができない

90 ユーザが自分のホームディレクトリを開けない

90 共有ポイントとして使用するボリュームまたはディレクトリが見つからない 90 ユーザが共有ポイントの内容を表示できない

90 AFPサービスに関する問題

90 ユーザがAFPサーバを見つけることができない 91 ユーザがAFPサーバに接続できない

91 ユーザにログインメッセージが表示されない 91 Windowsサービスに関する問題

91 ユーザのコンピュータで、ネットワーク関連グループにWindowsサーバが表示されない

92 ユーザがWindowsサーバにログインできない

92 NFSサービスに関する問題 92 FTPサービスに関する問題 92 FTP接続が拒否される

93 クライアントがFTPサーバに接続できない 93 anonymous FTPユーザが接続できない

目次 7

用語集 95

索引 103

9

序章

このガイドについて

Mac OS X Server が提供するファイルサービス管理の新機能について 説明します。

Mac OS X Server バージ ョン 10.4 で は、Macintosh、Windows、お よび Linux ワ ークグル ープの ネイティブプロトコルを使用する、信頼性のある高性能なファイルサービスを提供します。このサー バは、事実上、多機 種の混在する企業ネッ トワークを含むあらゆ る環境にシームレスに 適合するよ うに設計されています。Mac OS X Serverバージョン10.4は、現在の機能を拡張すると共に追加機 能を導入し て異種ネットワークの サポートを向上させ、ユー ザの生産性を最大限に 高め、ファイル サービスをより安全で管理しやすいものにします。

バージョン 10.4 の新機能

• アクセス制御リスト（Access Control List、以後ACL）—ACLを使用することで、従来のPOSIX

（Portable Operating System Interface）ファイルアクセス権の制限に縛られることなく、ファイ ル、フォルダ、および ネットワークサービスにアク セス権をより柔軟に割り当て ることができま す。Mac OS X ServerのACLは、WindowsサーバのACLと互換性があります。

• NFSの再共有—「ワークグループマネージャ」で、AFPを利用してNFSボリュームを再共有できる ようになりました。これにより、NFS にはないサービスの検出機能およびセキュリティ保護され た認証機能が提供されます。

• 統合ロック—Mac OS X Serverでは、AFPおよびSMB/CIFSプロトコルのファイルロックが統合さ れています。この 機能により、複数のプラットフ ォームで作業するユーザは、フ ァイルの破損を 心配せずにファイルを同時に共有できます。

このガイドの構成

このガイドには、次の章があります：

• 第 1 章「ファイルサービスの概要」では、Mac OS X Serverのファイルサービスの概要、標準的 なアクセス権とACL、および関連するセキュリティ上の問題について説明します。

• 第 2 章「共有ポイントを設定する」では、AFP（Apple Filing Protocol）、SMB（Server Message Block）/CFIS（Common Internet File System）、FTP（File Transfer Protocol）、およ び NFS

（Network File System）プロトコルを 使用して特定のボリュームおよびディ レクトリを共有する 方法について説明します。また、標準およびACLアクセス権の設定方法についても説明します。

10 序章    このガイドについて

• 第 3 章「AFPサービス」では、Mac OS X ServerでAFPサービスを設定および管理する方法につい て説明します。

• 第 4 章「NFSサービス」では、Mac OS X ServerでNFSサービスを設定および管理する方法につい て説明します。

• 第 5 章「FTPサービス」では、Mac OS X ServerでFTPサービスを設定および管理する方法につい て説明します。

• 第 6 章「問題を解決する」では、Mac OS X Serverでファイルサービスを操作する際に遭遇する 一般的な問題の解決方法を示します。

•「用語集」では、このガイドで使用される用語について簡潔に説明します。

参考：アップルではソフトウェアの新しいバージョンやアップデートを頻繁にリリースするため、こ のガイドに示されている図は、画面の表示と異なる場合があります。

オンスクリーンヘルプを使用する

オンスクリーンヘルプを使用すると、サーバマニュアル一式に含まれるガイドに記載されている、手 順やその他の役立つ情報を参照できます。

Mac OS X Serverが動作するコンピュータでは、「ワークグループマネージャ」または「サーバ管理」

を開く と、オンスク リーンヘ ルプを利 用できます。「ヘ ルプ」メニュ ーから、次の いずれか のオプ ションを選びます：

•「ワークグループマネージャヘルプ」または「サーバ管理ヘルプ」を選ぶと、アプリケーションに 関する情報が表示されます。

•「Mac OS X Server ヘルプ」を選ぶと、サーバヘルプのメインページが表示されます。ここから、

サーバ情報を検索またはブラウズできます。

•「マニュアル」を選ぶと、www.apple.com/jp/server/documentationにアクセスして、サーバの マニュアルをダウンロードできます。

サーバまた は管理用コンピュー タの「Finder」またはその他のアプ リケーションからオ ンスクリー ンヘルプを利用することもできます。（管理用コンピュータとは、サーバ管理ソフトウェアがインス トールされ ているMac OS X コンピ ュータのことです。）「ヘ ルプ」メニューを使用 して「ヘルプ ビューア」を開いてから、「ライブラリ」＞「Mac OS X Serverヘルプ」と選択します。

サーバの最新のヘルプトピックを参照するには、「ヘルプビューア」を使用している間、サーバまた は管理用コンピュータがインターネットに接続されていることを確認してください。「ヘルプビュー ア」は、サーバの最新のヘルプトピックをインターネットから自動的に取得してキャッシュします。

インターネットに接続されていないときは、「ヘルプビューア」は、キャッシュされているヘルプト ピックを表示します。

序章    このガイドについて 11

Mac OS X Server マニュアル

Mac OS X Serverのマニュアルには、各サービスについて解説し、それらのサービスの設定、管理、

および問題 を解決する手順を説明 しているガイドが含ま れています。これらのガイ ドはすべて、次 の場所からPDF形式で入手できます：

www.apple.com/jp/server/documentation/

ガイド名 ガイドの内容：

Mac OS X Server お使いになる前 に バージョン 10.4 以降用

Mac OS X Serverをインストールし、はじめて設定する方法について説明

します。

Mac OS X Server アップグレード および移行 バージョン 10.4 以降用

古いバージョンのサーバで現在使用されているデータとサービス設定を使 用する方法について説明します。

Mac OS X Server ユーザの管理 バージョン 10.4 以降用

ユーザ、グループ、およびコンピュータのリストを作成および管理する方 法について説明します。また、 Mac OS X クライアントの管理された環境 設定を設定する方法について説明します。

Mac OS X Server ファイルサービ スの管理 バージョン 10.4 以降用

AFP、 NFS、 FTP、および SMB/CIFSプロトコルを使って、選択したサーバ

のボリュームまたはフォルダを複数のサーバクライアントの間で共有する 方法について説明します。

Mac OS X Server プリントサービ スの管理 バージョン 10.4 以降用

共有プリンタを管理する方法と、共有プリンタに関連付けられたキューと プリントジョブを管理する方法について説明します。

Mac OS X Server システムイメー ジおよびソフトウェア・アップデー トの管理 バージョン 10.4 以降用

NetBootとネットワークインストールを使用して、Macintoshコンピュー

タがネットワーク経由で起動できるディスクイメージを作成する方法につ いて説明します。また、クライアントコンピュータをネットワーク経由で アップデートするためのソフトウェア・アップデート・サーバを設定する 方法について説明します。

Mac OS X Server メールサービス の管理 バージョン 10.4 以降用

メールサービスをサーバ上で設定、構成、および管理する方法について説 明します。

Mac OS X Server Web テクノロ ジーの管理 バージョン 10.4 以降用

WebDAV、 WebMail、および Webモジュールを含めて、 Webサーバを設

定および管理する方法について説明します。

Mac OS X Server ネ ットワーク サービ スの管理 バージ ョン 10.4 以降用

DHCP、 DNS、 VPN、 NTP、 IPファイアウォール、および NATの各サービ スをサーバ上で設定、構成、および管理する方法について説明します。

Mac OS X Se rver オープン ディ レク トリの管 理 バージョ ン 10.4 以降 用

ディレクトリサービスと認証サービスを管理する方法について説明します。

Mac OS X Server QuickTime Streaming Server の管理 バージョ ン 10.4 以降用

QuickTimeストリーミングサービスを設定および管理する方法について説

明します。

Mac OS X Server Windows サー ビスの管理 バージョン 10.4 以降用

PDC、BDC、ファイル、Windows コンピュー タユーザ用のプリントなど のサービスを設定および管理する方法について説明します。

Mac OS X Server Windows NT か らの移行 バージョン 10.4 以降用

アカウント、共有フォルダ、およびサービスを Windows NTサーバから

Mac OS X Serverに移動する方法について説明します。

Mac OS X Server Java アプリケー ションサーバの管理 バージョン 10.4 以降用

Mac OS X Server上で JBossアプリケーションサーバを設定および管理す

る方法について説明します。

Mac OS X Server コマンドライン 管理 バージョン 10.4 以降用

コマンドと設定ファイルを使って、サーバ管理タスクを UNIXコマンドシェ ル内で実行する方法について説明します。

12 序章    このガイドについて

マニュアルのアップデートを入手する

アップルで は必要に応じて、オンス クリーンヘルプの新し いトピック、改訂された ガイド、および 追加された ソリューションに関す る書類を公開していま す。新しいヘルプトピック には、最新のガ イドの改訂分が含まれます。

• オンスクリーン ヘルプの新しいトピックを表示 するときは、サーバまたは管理用 コンピュータが インターネットに接続されていることを確認し、Mac OS X Server ヘルプのメインページにある

「最新情報」のリンクをクリックします。

• PDF形式の最新のガイドおよびソリューションに関する書類をダウンロードするときは、

Mac OS X ServerのマニュアルのWebページ（www.apple.com/jp/server/documentation）に アクセスしてください。

その他の情報

さらに詳しい情報が必要な場合は、次の資料を参照してください：

大切な情報—重要なアップデートや特別な情報を記載しています。この書類はサーバディスクにあ ります。

Mac OS X Server の Web サイト—製品およびテクノロジー に関するさまざまな情報 を入手でき ます。

www.apple.com/jp/server/macosx/

AppleCare のサービス＆サポート—アップルのサポート部門から寄せられた数多くの記事を利用で きます。

www.apple.com/jp/support/

アップルのカスタマートレーニング—サーバ管理のスキルアップのための、インストラクターの指 導による、自分のペースに合わせて進められるコースです。

www.apple.com/jp/training/

アップルのディスカッショングループ—質問、知識、およびアドバイスをほかの管理者と共有でき る場です。

discussions.info.apple.com/jp/

Mac OS X Server コラボレーショ ンサービスの管理 バージョン 10.4 以降用

ユーザ間で簡単に対話できるようにするウェブログ、チャット、およびそ の他のサービスを設定および管理する方法について説明します。

Mac OS X Server 高可用性の管理 バージョン 10.4 以降用

Mac OS X Serverサービスの高い可用性を確保するように IPフェイルオー

バー、リンクアグリゲーション、負荷分散、その他のハードウェアおよび ソフトウェア設定を管理する方法について説明します。

Mac OS X Server Xgrid の管理 バージョン 10.4 以降用

Xgridアプリケーションを使用してXserveの計算クラスタを管理する方法

について説明します。

Mac OS X Server 用語集 サーバおよび記憶装置製品で使用される用語の意味について説明します。

ガイド名 ガイドの内容：

序章    このガイドについて 13 アップルのメーリング・リスト・ディレクトリ—メーリングリストに登録して、メールを使ってほ かの管理者と意見の交換ができます。

discussions.info.apple.com/jp

AFP（Apple Filing Protocol）の Web サイト—AFPに関するマニュアルを入手できます。

developer.apple.com/documentation/Networking/Conceptual/AFP/

Sambaの Webサイト—Mac OS X Serverが提供するWindowsサービスのベースになっているオー プンソースのソフトウェアSambaの情報を入手できます。

www.samba.org/

CIFS（Common Internet File System）の Web サイト—CIFSの機能に関する詳しい情報を入手 できます。

www.ubiqx.org/cifs/

FTP（File Transfer Protocol）の Web サイト—FTPに関するRFC（Request for Comments）の 書類を参照できます。

www.faqs.org/rfcs/rfc959.html

TFTP（File Transfer Protocol）の Web サイト—TFTPに関するRFCの書類を参照できます。

asg.web.cmu.edu/rfc/rfc1350.html

参考：RFC の書類には、プロトコルやサービスの概要が記載されて いて、サーバの管理を始めたば かりの方に とって参考になります。 また、詳細な技術情報も記 載されているので、経験 豊富な管理 者にとっても参考になります。RFCの書類は、www.faqs.org/rfcsで検索できます。

1

15

1

ファイルサービスの概要

この章では、 Mac OS X Server のファイルサービスの概要、標準的な アクセス権、アクセス制御リスト（ ACL ）、および関連するセキュリ ティ上の問題について説明します。

Mac OS X Serverの ファイルサービスを設定することで、クライアントか らネットワーク上の共有 ファイル、アプリケーション、およびその他のリソースにアクセスできるようになります。

• AFPサービス。AFP（Apple Filing Protocol）を使って、Macintoshコンピュータを使用するクラ イアントとリソースを共有します。

• Windowsサービス。SMB/CIFS（Server Message Block/Common Internet File System）プロト コルを使って、WindowsまたはWindows互換のコンピュータを使用するクライアントに対し、

リソースの共有や名前解決を提供します。

• FTPサービス。FTP（File Transfer Protocol）を使用して、FTPクライアントソフトウェアを使用 するすべてのユーザとファイルを共有します。

• NFSサービス。NFS（Network File System）を使用して、NFSクライアントソフトウェアを使用 するユーザ（通常はUNIXユーザ）とファイルおよびフォルダを共有します。

参考：このガイドでは、AFP、FTP、およびNFSサービスの設定方法について説明します。Windows サービスの設定方法の詳細については、Windowsサービス管理ガイドを参照してください。

複数のネットワークインターフェイスのサポート

AFP、SMB/CIFS、FTP、およびNFSファイルサービスは、Mac OS X Serverのすべてのネットワー クインター フェイスで利用できま す。インターフェイスごと に、ファイルサービスを別 々に設定す ることはできません。

ファイルサービスを設定する

次のアプリケーションを使用して、ファイルサービスを設定および管理します：

• サーバ管理：  各プロトコルのファイルサービスを個別に設定する場合に使用します。

• ワークグループマネージャ：  共有ポイントの作成およびアクセス権の設定に使用します。

大半の設定および管理操作は、「ターミナル」でも実行できます。詳しくは、コマンドライン管理ガ イドのファイルサービスに関する章を参照してください。

16 第1章    ファイルサービスの概要

Mac OS X 環境のアクセス権に関する背景情報

Mac OS Xを使用するのがはじめてで、UNIXにあまり詳しくない場合は、所有権やアクセス権の操 作についてMac OS 9との違いを知ることは重要です。

安全性と信頼性を向上させるために、Mac OS Xでは、「/ライブラリ」などの多くのシステムフォル ダはルートユーザ（「root」という名前のユーザ）が所有するように設定されます。ルートが所有す るファイル およびフォルダは、ルー トとしてログインしな い限り、変更または削除 できません。た だし、ルートと してログインした場 合、実行可能な操作にほと んど制限がないこと、シ ステムデー タを変更す ることで問題が発生す る可能性があることに、十 分注意してください。ルー トとしてロ グインする代わりに、sudoコマンドを使用しても、同等の操作を実行できます。

参考：「Finder」では、ルートユーザは「システム」と呼ばれます。

デフォルトでは、ファイルとフォルダはその作成者であるユーザが所有します。作成後は、オーナー または管理 者が明示的に権限（所有 権とアクセス権）を変更し ない限り、移動しても権 限は維持さ れます。

そのため、新しく作成したファイルやフォルダは、その作成先のフォルダに対してアクセス権を持っ ていないク ライアントユーザには アクセスできません。共有 ポイントを設定すると きは、項目を共 有するユーザ がアクセスできるよう に、項目に適切なアクセス 権が割り当てられてい ることを確認 してください。

アクセス権の種類

Mac OS X Serverでは、次の2種類のファイルおよびフォルダアクセス権がサポートされます：

• ^標準POSIX（Portable Operating System Interface）アクセス権

• アクセス制御リスト（ACL）

標準POSIX（Portable Operating System Interface）アクセス権を使用すると、次の3つのユーザ 分類に基づいてファイルおよびフォルダへのアクセスを制御できます：オーナー、グループ、全員。

これらのアク セス権を使ってファイ ルやフォルダにアクセ ス可能なユーザを制御で きますが、多く の組織で必要とされる複雑なユーザ環境に対応する柔軟性や精度が不足しています。

そこで、ACLが役に立ちます。ACLにより、ファイルやフォルダの拡張されたアクセス権セットが 提供されるため、複数のユーザおよびグループをオーナーに設定できます。また、ACLはWindows Server 2003およびWindows XPと互換性があるため、マルチプラットフォーム環境に柔軟性を加 えることができます。

参考：このガイドでは、「権限」という語は、所有権とアクセス権の組み合わせを意味します。一方、

「アクセス権」という語は、各ユーザ分類に指定可能なアクセス権設定（「読み出し／書き込み」、「読 み出し専用」、「書き込み専用」、および「不可」）のみを意味します。

第 1章    ファイルサービスの概要 17

標準のアクセス権

共有ポイント、フォルダ、またはファイルに割り当てることのできる標準のPOSIXアクセス権には、

「読み出し／書き込み」、「読み出し専用」、「書き込み専用」、および「不可」の4種類があります。次 の表に、各種 の共有項目（ファイル、フ ォルダ、共有ポイント）に 対するユーザアク セスが、これ らのアクセス権によってどのように変化するかを示します。

参考：QuickTime Streaming ServerとWebDAVでは、別のアクセス権の設定が使用されます。QTSS について詳しくは、QTSSのオンラインヘルプおよびQuickTimeのWebサイト

（www.apple.com/jp/quicktime/products/qtss/）を参照してください。Webでのアクセス権につ いて詳しくは、Webテクノロジー管理ガイドを参照してください。

アクセス権の維持

共有ポイン トおよび共有ポイント 内の共有項目（フォルダ とファイルの両方を 含みます）には、別 のアクセス 権が設定されます。項目を 別のフォルダに移動し た場合は、移動元での項目 のアクセス 権が維持さ れます。移動先のフォルダ のアクセス権が自動的 に適用されることはあ りません。次の 図では、2番目のフォルダ（「デザイン」）と 3番目の共有フォルダ（「書類」）に、これらの上位層 フォルダとは異なるアクセス権が割り当てられています：

ACL が有効でない場合は、新しいファイルおよびフォ ルダが上位層のフォルダの権限を継承するよ うに、AFP または SMB 共 有ポイントを 設定できます 。詳しくは、35 ペ ージの「共有ポイ ントの Appleファイル設定を変更する 」または36 ページの「共有ポイントのWindows（SMB/CIFS）の設 定を変更する」を参照してください。

ユーザの操作

読み出し／

書き込み 読み出し専用 書き込み専用 なし

共有ファイルを開く あり あり 不可 不可

共有ファイルをコピーする あり あり 不可 不可

共有フォルダまたは共有ポイントを開く あり あり 不可 不可

共有フォルダまたは共有ポイントをコピーする あり あり 不可 不可

共有ファイルを編集する あり 不可 不可 不可

項目を共有フォルダまたは共有ポイント内に移動する あり 不可 あり 不可 項目を共有フォルダまたは共有ポイント外に移動する あり 不可 不可 不可

エンジニアリング

読み出し／書き込み

デザイン

書類 読み出し専用

読み出し／書き込み

18 第1章    ファイルサービスの概要

ユーザの分類：オーナー、グループ、全員

ユーザを次の3つの分類に分けて、標準POSIXアクセス権を個別に割り当てることができます：

• オーナー—ファイルサーバに新しい項目（ファイルまたはフォルダ）を作成したユーザは、その 項目のオーナー になります。オーナーには、そのフ ォルダの読み出し／書き込み アクセス権が自 動的に割り当て られます。デフォルトでは、項目 のオーナーおよびサーバ管理 者だけが、その項 目のアクセス権 を変更して、グループやすべて のユーザに項目の使用を許 可できます。また、管 理者は、共有項目の所有権をほかのユーザに移行することもできます。

参考：Apple ファイルサーバ上のドロップボックスに項目をコピーしても、その項目の所有権は

変更されません が、その内容にアクセスできるの は、ドロップボックスのオーナ ーまたはルート だけになります。

• グループ — 複数のユーザにファイルおよびフォルダに対して同じアクセス権を割り当てるとき は、ユーザをグループ アカウントにまとめることができます。1 つの共有項 目に対するアクセス 権は、1つのグループにのみ割り当てることができます。グループの作成について詳しくは、ユー ザ管理ガイドを参照してください。

• 全員—全員とは、ファイルサーバにログインできるすべてのユーザを示します：登録済みユーザ とゲストのことです。

アクセス権の階層

1 人のユーザが複数のユ ーザ分類に含まれ、各分類に異 なるアクセス権が割り当て られている場合 は、次の規則が適用されます：

• グループのアクセス権の方が全員のアクセス権よりも優先されます。

• オーナーのアクセス権の方がグループのアクセス権よりも優先されます。

たとえば、ユー ザが共有項目のオーナ ーであると同時に、その共 有項目に割り当てられ たグループ のメンバー である場合、そのユーザの アクセス権は、オーナーに 割り当てられたアクセ ス権になり ます。

クライアントユーザとアクセス権

AppleShareクライアントソフトウェアのユーザは、所有するファイルおよびフォルダのアクセス権

を設定できます。Windowsファイル共有のユーザは、アクセス権限も設定できます。

標準アクセス権の伝達

「ワークグループマネージャ」内のコマンドを使って、伝達する標準アクセス権を指定できます。た とえば、このコ マンドを使用すると、あ るフォルダの子孫す べてに「全員」のアクセス 権だけを伝 達して、「オーナー」および「グループ」のアクセス権はそのままにできます。このコマンドの使用 方法について詳しくは、46 ページの「アクセス権を伝達する」を参照してください。

第 1章    ファイルサービスの概要 19

ACL

標準POSIXアクセス権では十分ではない場合に、アクセス制御リスト（ACL）を使用できます。ACL はアクセス制御エントリー（Access Control Entry、以後ACE）のリストで、各項目には、グループ またはユーザ に対して許可または拒 否するアクセス権、および これらのアクセス権が フォルダ階層 内でどのように伝達されるかが指定されます。

Mac OS X ServerのACL を使用すると、標準POSIXアクセス権に加えて、複数のユーザおよびグ ループに対 するファイルおよびフ ォルダアクセス権を設 定できます。これにより、セキ ュリティを 犠牲にするこ となく、スムーズなファイ ル共有および連続した ワークフローを利用し たコラボレー ション環境を構築できます。

ACL により、ファイルやディレクトリに対して拡張さ れたアクセス権セットを指定できるため、標 準のア クセス権を 使用する場 合よりもア クセス権を 細かく割り 当てること ができます。た とえば、

ユーザに完 全な書き込みアクセス 権を割り当てるのでは なく、ファイルの作成は許 可せずに、フォ ルダの作成だけを許可することが可能になります。

アップルのACLモデルでは、13種類のアクセス権を使用してファイルおよびフォルダへのアクセス を制御できます：

• 管理

• アクセス権を変更する：  ユーザは標準のアクセス権を変更できます

• 所有権を持つ：  ユーザは、ファイルまたはフォルダの所有権を自分自身に変更できます

• ^読み出し

• 属性を読み出す：  ユーザは、ファイルまたはフォルダの属性（名前、日付、サイズなど）を表 示できます

• 拡張属性を読み出す：  ユーザは、他社の開発者により追加されたファイルまたはフォルダの属 性を表示できます

• フォルダの内容 を一覧表示（データを読み込む）：  ユーザは、フォルダの内容 を一覧表示して ファイルを読み込むことができます

• フォルダをスキ ャン（ファイルを実行）：  ユーザは、サブフォルダを開いてプ ログラムを実行 できます

• アクセス権を 読み出す：  ユーザは、「情 報を見る」や「ターミナル」コマン ドを使って、ファ イルやフォルダの標準アクセス権を表示できます。

• 書き込み

• 属性を書き込む：  ユーザは、ファイルやフォルダの標準属性を変更できます

• 拡張属性を書き込む：  ユーザは、ファイルやフォルダのその他の属性を変更できます

• ファイルを作成（データを書き込む）：  ユーザは、ファイルの作成および変更を実行できます

• フォルダを作成（ データを追加）：  ユーザは、サブフォルダを作成して、新規 データをファイ ルに追加できます

• 削除：  ユーザは、ファイルまたはフォルダを削除できます

• サブフォルダとファイルを削除：  ユーザは、サブフォルダとファイルを削除できます アップルのACLモデルでは、これらのアクセス権に加え、アクセス権の伝達方法を指定する4種類 の継承が定義されています：

• このフォルダに適用：  アクセス権（管理、読み出し、書き込み）をこのフォルダに適用します

20 第1章    ファイルサービスの概要

• 子フォルダに適用：  アクセス権をサブフォルダに適用します

• 子ファイルに適用：  アクセス権をこのフォルダ内のファイルに適用します

• すべての子孫に適用：  アクセス権をすべての子孫に適用します（このオプションと前述の2つの オプションとの関連性については、21 ページの「継承を理解する」を参照してください）

ACL使用モデル

ACL使用モデルでは、主なアクセス制御はフォルダレベルで行われ、ACLは継承の結果としてファ イルに適用されます。

フォルダレベルの制御では、フォルダの内容にアクセス可能なユーザが定義され、継承では、定義さ れたアクセス権とルールのセットをコンテナから内部のオブジェクトに渡す方法が定義されます。

このモデル を使用しない場合、アクセ ス制御の管理はすぐに 悪夢のような作業にな ります。数千か ら数百万のファイルに対してACLを作成および管理しなければならなくなるためです。また、継承 を介したフ ァイルへのアクセス制 御により、ファイルの保存 時に、アプリケーションか ら拡張属性 や明示的なACEを管理する必要がなくなります。これは、継承されたACEがシステムによりファイ ルに自動的に適用されるためです（明示的なACEの詳細は、21 ページの「 明示的なACEと継承し たACE」を参照してください）。

ACLと標準アクセス権

ファイルおよびフォルダに対し、標準アクセス権に加えてACLアクセス権を設定できます。Mac OS X

Serverで、ACLと標準アクセス権を使用してユーザがファイルやフォルダに実行可能および実行不

可能な操作を決定する方法については、24 ページの「優先順位のルール」を参照してください。

ACLの管理

Mac OS X Serverでは、「ワークグループマネージャ」の「共有」パネル内の「アクセス」パネルで、

ACLを作成および管理できます。「Finder」の「情報を見る」ウインドウでは ACLの作成および管 理は行えません。ただし、「情報を見る」ウインドウには、ログインしたユーザの有効なアクセス権 が表示されます。ACLを設定および管理する方法については、34 ページの「ACLアクセス権を設定 する」および43 ページの「共有ポイントのアクセス権を管理する」を参照してください。

「ワークグループマネージャ」に加え、コマンドラインツールlsとchmodを使用して、Mac OS X とMac OS X Server の両方でACL アクセス権を設定および表示できます。詳しくは、対応するマ ニュアルページ（「man」で表示）およびコマンドライン管理ガイドを参照してください。

「ワークグループマネージャ」を使用すると、共有ポイントおよびフォルダに対してACLを定義でき ます。ファイルに関しては、すでに説明したように、継承を介してACLを取得できます。

サポートされるボリュームフォーマットとプロトコル

ACL用のローカルファイルシステムをサポートするのは、HFS+だけです。また、ACL用のネット ワークファイルシステムをサポートするのは、WindowsネットワークではSMB、Appleネットワー クではAFPだけです。

第 1章    ファイルサービスの概要 21

アクセス制御エントリー

アクセス制御エントリー（ACE）は、指定されたファイルやフォルダに対してグループまたはユーザ が保持するアクセス権、および継承のルールが指定されたACL内のエントリーです。

ACE に格納される情報

ACEには、次のフィールドが含まれます：

• ユーザ／グループ

• ^{アクセス権のタイプ}

• アクセス権

• ^継承

ユーザ／グループ

ACEには、グループやユーザの普遍的に一意なIDが格納されるため、これを使用して明確なID解 決が可能になります。

アクセス権のタイプ

ACEは、次の2種類のアクセス権をサポートします：

• ^許可—「許可」を選択した場合、「ワークグループマネージャ」でアクセス権を選択して、アクセ ス権を許可できます。

• ^拒否—「拒否」を選択した場合、「ワークグループマネージャ」でアクセス権を選択して、アクセ ス権を拒否できます。

アクセス権

このフィールドには、Apple ACLモデルでサポートされる13のアクセス権の設定が格納されます。

継承

このフィールドでは、ACEを親フォルダから継承するかどうかを指定します。

明示的な ACE と継承した ACE

「ワークグループマネージャ」では、次の2種類のACEがサポートされます： 明示的なACEと継承 したACE。明示的なACEは、ACLで作成したACEです（44 ページの「ACEをACLに追加する」を 参照してください）。一方、継承したACEは、親フォルダに作成したACEで、子孫のファイルやフォ ルダにより継承されます。

明示的なACEと継承したACEを区別しやすいように、「ワークグループマネージャ」には、継承し たACEは淡色で表示されます。

参考：明示的なACEに変更しない限り、継承したACEを編集することはできません。「ワークグルー プマネージャ」を使用すると、継承したACEを明示的なACEに変換できます。詳しくは、46 ペー ジの「フォルダの継承したACEエントリーを有効にする」を参照してください。

継承を理解する

ACL継承を使用して、アクセス権をフォルダからその子孫すべてに渡す方法を決定できます。

22 第1章    ファイルサービスの概要 アップルのACL継承モデル

アップルのACL継承モデルで定義された4つのオプションを「ワークグループマネージャ」で選択 または選択解除して、ACE の適用（アクセス権 をディレクトリ階層内で伝達する方法）を制御でき ます：

Mac OS X Serverでは、次に示す2つの明確な時点でACLアクセス権の伝達が行われます：

• ファイルまたはフォルダの作成時にカーネルにより—ファイルまたはフォルダの作成時に、カー ネルはファイルまたはフォルダが親フォルダから継承するアクセス権を決定します。

• 明示的なACEの作成後に管理ツールにより—フォルダのACLアクセス権を設定した後などに、

「ワークグループマネージャ」は新規アクセス権を適用可能な子孫に伝達します。

下の 図は、ACE の 作成後 に、「ワー クグ ルー プマ ネー ジャ」に より 2 つ のACE（managers と design_team）が伝達される方法を示します。ボールドのテキストは明示的なACEを、通常のテキ ストは継承したACEをぞれぞれ表します。

継承オプション 説明

このフォルダに適用 アクセス権（管理、読み出し、書き込み）をこのフォルダに適用します 子フォルダに適用 アクセス権をサブフォルダに適用します

子ファイルに適用 アクセス権をこのフォルダ内のファイルに適用します すべての子孫に適用 アクセス権をすべての子孫に適用します¹

1ACEを例外なくすべての子孫に適用する場合は、このオプションに加えて、「子フォルダに適用」および「子ファイルに適用」オプ ションを選択する必要があります。詳しくは、 23 ページの「 ACL継承の組み合わせ」を参照してください。

managers

managers Jupiter ƒ

書類 デザイン メモ

プロジェクト

Lander

モデル

仕様

managers design_team

managers

managers

managers lander_team

managers lander_team

managers design_team

第 1章    ファイルサービスの概要 23 ACL継承の組み合わせ

「ワークグループマネージャ」でACEの継承オプションを設定する場合、 次に示す12通りの継承の 組み合わせの中からACLアクセス権の伝達方法を選択できます。

継承

このフォルダに適用 子フォルダに適用 子ファイルに適用 すべての子孫に適用

継承

このフォルダに適用 子フォルダに適用 子ファイルに適用 すべての子孫に適用

継承

このフォルダに適用 子フォルダに適用 子ファイルに適用 すべての子孫に適用

継承

このフォルダに適用 子フォルダに適用 子ファイルに適用 すべての子孫に適用 継承

このフォルダに適用 子フォルダに適用 子ファイルに適用 すべての子孫に適用

継承

このフォルダに適用 子フォルダに適用 子ファイルに適用 すべての子孫に適用

継承

このフォルダに適用 子フォルダに適用 子ファイルに適用 すべての子孫に適用

継承

このフォルダに適用 子フォルダに適用 子ファイルに適用 すべての子孫に適用

継承

このフォルダに適用 子フォルダに適用 子ファイルに適用 すべての子孫に適用

継承

このフォルダに適用 子フォルダに適用 子ファイルに適用 すべての子孫に適用

継承

このフォルダに適用 子フォルダに適用 子ファイルに適用 すべての子孫に適用

継承

このフォルダに適用 子フォルダに適用 子ファイルに適用 すべての子孫に適用

24 第1章    ファイルサービスの概要

ACLアクセス権の伝達

「ワークグループマネージャ」内のコマンド を使って、ACL の伝達を指定できます。これは、「ワー クグループマネージャ」により自動的に実行されますが、次の場合にこのコマンドが役立ちます：

• このコマンドを 使って、例外を処理できます。た とえば、使用するフォルダ階層 のサブツリーを 除くすべての子孫にACLを適用したい場合があります。この場合には、ルートフォルダにACEを 定義して、ACEがすべての子孫に伝達されるように設定します。次に、サブツリーのルートフォ ルダを選択し、コマンドを使ってそのサブツリーのすべての子孫からACLを取り除きます。次の 例では、伝達コマンドによりACLを取り除かれた項目が白色で示されています。

• ^{フォルダの}ACL^{を取り除いた後で}ACLを再度適用することにした場合は、このコマンドを使用して 継承を再適用できます。

• ^{各フォルダ階層で}ACEを手動で取り除く代わりに、このコマンドを使用してすべてのACL^を一度に 消去できます。

このコマンドの使用方法について詳しくは、46 ページの「アクセス権を伝達する」を参照してくだ さい。

優先順位のルール

ACEをACLに追加する場合、順序は重要です。Mac OS X Serverでは、ファイルやフォルダへのア クセス制御に次のルールが使用されます：

• ファイルまたはフォルダに定義済みのACEが存在しない場合、Mac OS X Serverは標準POSIXアク セス権を適用します。

• ファイルまたはフォルダに1つ以上のACEが定義されている場合、Mac OS X Serverは、ACL内の 最初のACEから始めて、要求されたアクセス権が満たされるか拒否されるまでリスト順にアクセ ス権を適用していきます。Mac OS X Serverは、ACEを評価した後で、ファイルまたはフォルダ に定義された標準POSIXアクセス権 を評価します。次に、ACL^{および標準}POSIX^{アクセス権の} 評価に基づいて、ユ ーザが共有ファイルまたはフ ォルダに保持するアクセスのタ イプが決定され ます。

「拒否」アクセス権はほかのアクセス権より優先される

ACEを追加する際、「ワークグループマネージャ」は「拒否」アクセス権を「許可」アクセス権より も優先します。これは、拒否アクセス権には許可アクセス権よりも高い優先順位があるためです。ア クセス権を評価する際、Mac OS X Serverは「拒否」アクセス権を検出すると、ユーザがそのACL 内に持つその他のアクセス権をすべて無視して、「拒否」アクセス権を適用します。

第 1章    ファイルサービスの概要 25 たとえば、ユーザMai に対してACE を追加して読み出しアクセス権を許可してから、Maiがメン バーになっているグループ用に別のACEを追加してグループの読み出しアクセス権を拒否する場合、

「ワークグル ープマネージャ」はアク セス権の再順序付け を行い、「拒否」アクセス権が 許可アクセ ス権よりも高い優先順位になるようにします。結果として、Mac OS X ServerはMaiに「拒否」ア クセス権を適用し、Maiのグループに対する「許可」アクセス権を無視します。

「許可」アクセス権は累積的である

ユーザの「許可」アクセス権をACL内で評価する際、Mac OS X Serverは、標準POSIXアクセス権 を含む、そのユ ーザに割り当てられたす べてのアクセス権の結 合としてユーザのアク セス権を定義 します。

ヒントとアドバイス

Mac OS X Serverは、従来のPOSIXアクセス権とACLを組み合わせて使用します。この組み合わせ により、ファイ ルおよびフォルダへの アクセスを、高い柔軟性と 精度で制御することが 可能になり ます。一方で、これ らの利点には副作用 もあります。権限を注 意深く割り当てない と、アクセス権 は非常に込 み入った、手の付けられな い状態になります。アクセ ス権がどのように割り 当てられて いるかを把握するのは、非常に難しくなります。

参考：17のアクセス権を使用すると、選択可能な組み合わせは98,304通りという膨大な数になりま す。こうした複 雑なフォルダ階層に 加え、多数のユーザとグル ープおよび多数の例 外など、最悪の 事態とはいかないまでも混乱を誘うさまざまな要因が存在します。

このセクションでは、Mac OS X Server でアクセス制御を最大限に活用 し、落とし穴を避けるのに 役立つ有用なヒントやアドバイスを提供します。

グループレベルでアクセス権を管理する

アクセス権を グループに割り当て、個別 のユーザにアクセス権 を割り当てるのは例外 が存在する場 合だけにし ます。たとえば、学区内の すべての教師に、特定 の共有ポイントへの「読 み出し」およ び「書き込み」アクセス権を割り当て、一方で、臨時教師のMiss Buxtonには、共有ポイントのフォ ルダ階層内の特定のフォルダに対する読み出しアクセス権を拒否することができます。

グループの 使用は、アクセス権を割り 当てる最も効率的な方 法です。グループを作成し てアクセス 権を割り当 てた後で、アクセス権の再 割り当てを行うことな く、ユーザをグループに追 加したりグ ループから削除したりできます。

アクセス権を徐々に追加する

必要なアクセス権だけを割り当て、必要に応じてアクセス権を徐々に追加できます。「許可」アクセ ス権を使 用している限り、Mac OS X Server はアク セス権を結合し ます。たとえば、Students グ ループに、共有ポイント全体に対する部分的な読み出しアクセス権を割り当てることができます。そ の後、フォルダ 階層内の適切な場所で、グ ループに追加の読み出 しおよび書き込みアク セス権を指 定できます。

26 第1章    ファイルサービスの概要

拒否ルールを必要な場合にだけ使用する

Mac OS X Serverが「 拒否」アクセス権に遭遇すると、ユーザがファイルや フォルダに保持するそ の他のアク セス権の評価を停 止して、「拒否」アクセス権 を適用します。このた め、「拒否」アクセ ス権は、絶対的 に必要な場合にだけ 使用するようにしてく ださい。また、必要なくなっ た場合に削 除できるように、これらの「拒否」アクセス権の記録を保持しておくこともできます。

アクセス権を常に伝達する

継承は強力 な機能であるため、この機 能を活用してください。ア クセス権をフォルダ階 層内に伝達 することにより、アクセス権を手動で子孫に割り当てる時間と労力を節約できます。

有効なアクセス権インスペクタを使用する

有効なアクセ ス権インスペクタを頻 繁に使用して、ユーザが重 要なリソースへの適切 なアクセス権 を持っていることを確認します。ACL の変更後に は、これは特に重要です。時には、必要なものよ り多いまたは 少ないアクセス権を意 図せずに付与してしま うことがあります。インス ペクタを使用 すると、こうした状況を検出しやすくなります。インスペクタについて詳しくは、47 ページの「ファ イルやフォルダに対するユーザまたはグループのアクセス権を決定する」を参照してください。

アプリケーションが変更されないようにする

アプリケーシ ョンを共有している場 合、信頼された数人のユー ザ以外はアプリケーシ ョンを変更で きないよう に、これらのアプリケー ションのアクセス権を 設定する必要があり ます。攻撃者は、こ の脆弱性を利用して、ウイルスやトロイの木馬がユーザの環境に取り込まれるようにします。

単純な状態を保つ

注意してい ないと、ファイルアクセス の管理を不必要に複雑 にしてしまう場合があ ります。このた め、常に単純な状態を維持するようにしてください。標準POSIXアクセス権で実行可能な処理につ いては、それを使用します。ただし、ACL を使用する必 要がある場合は、それが必要になるまでア クセス権をカスタマイズしないようにします。

また、可能な限 り単純なフォルダ階 層を使用します。戦略的な 計画をいくらか立て ることで、効果 的で管理しやすい共有階層を作成できます。

ファイルサービスのアクセス制御

Mac OS X Serverの「サーバ管理」でサービスアクセス制御リスト（SACL）を使用して、AFP、FTP、

およびWindowsファイルサービスにアクセス可能なユーザおよびグループを指定できます。

SACLを使用して、 アクセス制御の別のレイヤーを標準およびACLアクセス権の一番上に追加でき ます。SACLに記載されたユーザおよびグループだけが、対応するサービスにアクセスできます。た とえば、ホームディレクトリを含むサーバのAFP共有ポイントにユーザがアクセスできないように する場合は、そのユーザをAFPサービスのSACLから単に削除します。SACLを使用してファイル サービスへのアクセ スを制限する方法については、51 ページの「SACL アク セス権を設定する」を 参照してください。

第 1章    ファイルサービスの概要 27

Mac OS X のネットワークアイコンをカスタマイズする

Mac OS XのFinderウインドウの最上位レベルにあるネットワークアイコンには、共有ネットワー クリソース が含まれます。共有ポイン トの自動マウントを設 定することにより、クライ アントに合 わせてネット ワークアイコンの内容 をカスタマイズできま す。特定のディレクトリに 共有ポイント を自動マウン トすることによって、フォ ントや環境設定などの システムリソースへの 自動アクセス を提供できます。

ネットワークアイコン内の共有ポイント

Mac OS Xクライアントのネットワークアイコンは、「/ネットワーク」ディレクトリに相当します。

デフォルトでは、ネットワークアイコンには少なくとも以下のフォルダが含まれます：

• Applications

• Library

• Servers

これらのフォルダには、共有ポイントをマウントできます。詳しくは、40 ページの「クライアント の共有ポイントを自動的にマウントする」を参照してください。

追加のサーバおよび共有項目がネットワーク上で検出されると、それらが追加されます。

システムリソースをネットワークのライブラリフォルダに追加する

ネットワークアイコン内の「Library」フォルダは、システム検索パスに含まれています。そのため、

このフォル ダを使用すると、通常ロ ーカルの「ライブラリ」フォ ルダに置かれるすべて のタイプの システムリ ソースをネットワーク 経由で利用できるよう になります。システムリソ ースには、フォ ント、アプリケーショ ン環境設定、ColorSync プロファイル、デスクトップピク チャなどがありま す。この機能を使用すれば、管理されたクライアント環境をカスタマイズすることができます。

たとえば、ある オープンディレクトリ ドメイン内の各ユーザ に、特定のフォントセット を利用でき るようにす るとします。この場合は、必 要なフォントが含まれ る共有ポイントを作 成し、その共有 ポイントを、クライアントコンピュータの「/ネットワーク/Library/Fonts」に共有ライブラリとし て自動マウントするように設定します。詳しくは、40 ページの「クライアントの共有ポイントを自 動的にマウントする」を参照してください。

セキュリティの検討

データおよび ネットワークのセキュ リティを維持すること は重要です。ネットワーク を保護する最 も効果的な 方法は、ファイル、フォルダ、お よび共有ポイントの 作成時に適切なアクセ ス権を割り 当てることです。

ファイルサービスへのアクセスを制限する

26 ページの「ファイルサービスのアクセス制御」で説明したように、サービスアクセス制御リスト

（SACL）を使用して、AFP、FTP、およびWindowsサービスへのアクセスを制限できます。