[samba-jp:19103] Re: UidNumber、GidNumberについて

[ODAGIRI Koji]

小田切です。

>> ・何がやりたいのか？
> シンプルに、CIFSサーバを立ててユーザ認証（ID/PWの入力）はLDAPで行うファイルサーバを構築したいと計画してます。AD連携とかは考えてません。そこで、ユーザ登録/変更については、
> 既存ツール（smbldap-toolとか）には頼らず、Web経由で設定できるように自作ツールを作成していて、uid/gidをどうしようかなと悩んでてご相談させて頂きました。

OSの自動割り当てに任せればいいことです。
自作ツールなども作る必要もなく、GUIで簡単にやりたければ
USRMGRやWebminやLAMで十分だと思います。

>> ・なぜuid,gidを共有するのか？
> うーん、idを分ける必要があるのかなと、ふと思いまして。
> 「samba以外にもサーバ上でAPを動かすかもしれない」「自分だけでなくサーバを色々いじられる」 
> とか考えてると、Unixのuid/gidはレンジ予約よりも最初に固定で割り当てた方が運用的にも楽かなと。

逆ですよ。後で大変なことになると思います。

> また、アクセス排他はOSレベルよりも上位レイヤ（今回はAP/Samba）で制御すべきとも考えて、
> 今回ご質問させて頂いた次第です。
> 
> 回答になってるでしょうか？

上記を読む限りではuid,gidは共有するべきでないと思います。

個人情報漏洩防止法やJSOXの要件としてユーザアカウントは
個別に用意し、共有させないこと、とあります。
これはuid,gidも共有させるべきでないことを意味すると思います。


-- 
小田切 耕司 : odagiri＠osstech.co.jp  http://www.osstech.co.jp/
  オープンソース・ソリューション・テクノロジ株式会社

 オープンソースに関するコンサルティングご相談ください。
 ・Samba : Linux/UnixによるWindowsドメインコントローラ構築と
           ファイル共有サービスの提供
 ・LDAP  : ディレクトリサービスによるLinux/Unix/Windows/Mac認証統合
 ・OSS   : オープンソース・ソフトウェアの設計・導入・クラスタリング

http://blog.odagiri.org/
odagiri＠samba.gr.jp     日本Sambaユーザ会   http://www.samba.gr.jp/
odagiri＠jp.webmin.com   日本Webminユーザ会  http://jp.webmin.com/