このトピックでは、POSIX (Portable Operating System Interface) ACL (アクセス制御リスト) を設定する方法について説明します。 POSIX ACL を使用して、NFSv3 プロトコルを使用してマウントされたファイルシステム上のファイルおよびディレクトリに対するアクセスを制御できます。
始める前に
コマンド
下表に、POSIX ACLの 設定に関連するコマンドを示します。
Command | 説明 |
---|---|
getfacl <filename> | 指定されたファイルに適用される ACL を表示します。 |
setfacl -m g::w <filename> | グループに書き込み権限を付与します。 |
setfacl -m u:player:w <filename> | ユーザー player に書き込み権限を付与します。 |
setfacl -m g:players:rwx <filename> | グループ players に読み取り、書き込み、および実行のアクセス権限を付与します。 |
setfacl -x g:players <filename> | グループ player から権限を削除します。 |
getfacl file1 | setfacl --set-file =-file2 | file1 の ACL を file2 にコピーします。 |
setfacl -b file1 | file1 からすべての拡張 ACE を削除します。 所有者、グループ、その他の基本 ACE は保持されます。 |
setfacl -k file1 | file1 からすべてのデフォルト ACE を削除します。 |
nfs4_setfacl -R -m g:players:rw dir | グループ players に、dir 内のファイルおよびサブディレクトリへの読み取りおよび書き込みアクセスを許可します 。 |
setfacl -d -m g:players:rw dir1 | グループ players に、dir1 内に新しく作成されたファイルおよびサブディレクトリへの読み取りおよび書き込みアクセスを許可します。 |
手順
NFS ACLを設定してファイルとディレクトリへのアクセスを制御するには、以下の手順に従います。
関連する操作
次の方法を使用して、ユーザーからアクセス権限を削除できます。
NFSv4 ACL を設定する際、各ユーザーをグループに分類することを推奨します。 この方法を使用すると、NFSv4 ACL を設定する際、各ユーザーに個別に権限を付与する代わりに、グループに対してアクセス権限を付与できます。 オブジェクトへのアクセス権が付与されたグループからユーザーを削除することにより、ユーザーからオブジェクトへのアクセスを無効にできます。 たとえば、次のコマンドは admini を adminis グループから削除し、adminis2 グループに追加します。
[root@vbox test] sudo groupadd adminis2
[root@vbox test] sudo usermod -g adminis2 admini
[root@vbox test] id admini
uid=1057(admini) gid=1057(admini) groups=1061(adminis2)
[root@vbox test] sudo su admini -c 'ls dir0'
ls: cannot open directory dir0: Permission denied
[root@vbox test] sudo su admini -c 'cat dir0/file'
cat: dir0/file: Permission denied
[root@vbox test] sudo su admini -c 'getfacl dir0/file'
getfacl: dir0/file: Permission denied