[samba-jp:22095] Re: 共有フォルダのパスワード制限

[adachi]

安達です。時間ができたので追記です。
> フォルダごとにvalid usersなどでアクセスできるユーザを設定し
> valid usersに設定したユーザごとにパスワードを設けることで実現かのうではないかと
> 考えました。
どういう目的なのかこれだけではつかめていないのですが、
うちでは、たとえば
yamada,yamamoto,yamanaka の3人のユーザーに/home/kanriというフォルダを
共有させて、そのフォルダ以下を読み書きできるように次のようにしています。
前提
3人のユーザーはLinux, samba共にアカウントができているものとします。
security = user です。
まず
Linuxのグループを作ります。グループ名はフォルダ名と合わせたほうがいいで
しょう。
# adduser --group kanri

/home/kanriというフォルダを作り、グループ、パーミッションを設定します。
# mkdir /home/kanri
# chgrp kanri /home/kanri/
# chmod 770 /home/kanri

samba共有にkanriサービスを作成します。
最近はsmb.confに直接書かないようですが、うちはまだ3.0.24-6etch2なので...

# vi /etc/samba/smb.conf
[kanri]
        comment = kanri
        path = /home/kanri
        valid users = @kanri
        write list = @kanri
        force group = kanri
        writeable = Yes
        create mask = 0770
        directory mask = 0770
        browseable = No

できたら、sambaをリスタートします。

3人をグループに登録します。
# adduser yamada kanri
# adduser yamamoto kanri
# adduser yamanaka kanri

これでこの3人は/home/kanri以下を読み書きできます。
ユーザーを外すのも簡単で
# deluser yamada kanri
とするだけで、yamamotoとyamanakaの共有になります。

アクセスするには 「名前を指定して実行」(Win7まで) や
「ファイルマネージャ」の場所の欄(win8から?)に
\\servername\kanri
といれるだけです。
それぞれのユーザーのパスワードで認証されます。
このような共有を必要に応じてつくれば、グループに
入っているユーザーだけが読み書きできるようになります。
しかも認証はその日一度パスワードを打てばOK
ドメインログオンでなくても、そのコンピュータにログオンするときの
ユーザー名とパスワードを合致させておけばログオン時の認証で共有も
使えます。

私の所ではユーザー名やサービス名には英数字のみ使いますので
それにまつわるいろいろな困難はあまり経験がありません。
唯一あるのは、WindowsXPの時代ですが、一度日本語のユーザー名に
すると、後で英数字に変更してもそれは別名で、共有の認証に使うのは
元の日本語ユーザー名なのでうまく行かないということでした。

browseable = Yes にして一覧から共有を見つけるようにしても
いいのですが、WindowsXPのあたりから不要な共有がたくさん見えたり
セキュリティソフトが干渉したりするので browseable = No にして
\\サーバー名\サービス名でアクセスさせています。
文句を言う人にはショートカットを作ってやります。
それに制限のある共有は見えないほうがセキュリティはあがります。


-- 
 安達順一
  adachi ＠ jomon.ne.jp