vfs_zfsacl

Name

vfs_zfsacl — ZFS ACL samba モジュール

Synopsis

vfs objects = zfsacl

説明

このVFSモジュールは samba(7)システムの一部である。

zfsacl VFS モジュールは、ZFSと適切に統合するために、Sambaが必要とする、すべてのACL拡張のためのベースモジュールである。 module is the home for all ACL extensions that Samba requires for proper integration with ZFS.

現在、zfsacl vfs モジュールは以下の領域中で拡張を提供する:

ZFS用の構成可能なオプションを使う NFSv4 ACLインタフェース

注意:このモジュールは、posix ACL動作をフォローし、結果、chown経由でのパーミッション取得を許可する。このような制限は、Sambaがベースとして使うファイルシステムの責任であるので、このモジュール経由でchownコマンドを制限するのに、後の時点で行う事がある。

This module follows the posix-acl behaviour and hence allows permission stealing via chown. Samba might allow at a later point in time, to restrict the chown via this module as such restrictions are the responsibility of the underlying filesystem than of Samba.

このモジュールは、This module makes use of the smb.conf parameter acl map full control = acl map full control smb.conf パラメータを使用する。yes(既定値)に設定すると、このパラメータは、 FILE_DELETE と FILE_DELETE_CHILD を除いたすべてのファイルパーミッションが含まれている、ファイルに対する(ディレクトリではなく)、ACEエントリの戻りにある、FILE_DELETE_CHILDビットを追加する。これは、GENERIC_ALLアクセスを要求するWindowsアプリケーションが、NFSv4互換のACLを使うファイルシステムに対して実行するとき、ACCESS_DENIEDエラーが帰ってしまうことを防ぐ。

When set to yes (the default), this parameter will add in the FILE_DELETE_CHILD bit on a returned ACE entry for a file (not a directory) that already contains all file permissions except for FILE_DELETE and FILE_DELETE_CHILD. This can prevent Windows applications that request GENERIC_ALL access from getting ACCESS_DENIED errors when running against a filesystem with NFSv4 compatible ACLs.

このモジュールはスタック可能である。

Samba 4.0 からすべてのオプションは共有単位のオプションとなった。

オプション

nfs4:mode = [ simple | special ]

ZFS上の特別なID(OWNER@とGROUP@)の置き換えを制御する。 mode を simple とする事を推奨する。このモードでは、ファイル所有者とグループに対する非継承ACLエントリのみ特別なIDにマップされる。

Controls substitution of special IDs (OWNER@ and GROUP@) on ZFS. The use of mode simple is recommended. In this mode only non inheriting ACL entries for the file owner and group are mapped to special IDs.

以下のモードはモジュールによって解釈される:

simple(既定値) - OWNER@ と GROUP@ という特別なIDを、非継承ACEのみに使う。
special(非推奨) - OWNER@ と GROUP@ という特別なIDを、すべてのファイル所有者とグループACEに対して使う。

nfs4:acedup = [dontcare|reject|ignore|merge]

このパラメータは、ZFSのACL中にある重複したACEを、どのようにSambaが扱うかを設定する。 ZFSは同じIDに対して異なったビットに対し、重複したACEを許可/作成できる。

This parameter configures how Samba handles duplicate ACEs encountered in ZFS ACLs. ZFS allows/creates duplicate ACE for different bits for same ID.

以下はそれぞれの値におけるSambaの動作である:

dontcare (既定値) - 指定されたACEをそのまま設定する
reject - ACL設定処理を中断しエラーを返す
ignore - 重複するするACEの二番目以降を無視する
merge - 重複する ACE のフラグとマスクをそれぞれ OR ビット演算して 1つの ACE にする

nfs4:chown = [yes|no]

このパラメータはファイルシステムに依存してサポートされる所有者変更(chown)機能を有効にするか否かを指定する。このパラメータは、システムに脆弱性が出来てしまうかもしれないので、注意深く有効にすべきである。

This parameter allows enabling or disabling the chown supported by the underlying filesystem. This parameter should be enabled with care as it might leave your system insecure.

いくつかのファイルシステムでは、所有者の変更権限として、 a) 所有権の付与権限 b) 所有権の取得権限の2種類を実装しており、このうち後者はリスクであると考えられる。

Some filesystems allow chown as a) giving b) stealing. It is the latter that is considered a risk.

以下は、それぞれの値におけるSambaの動作である:

yes - ファイルシステム下でサポートされているならchownを有効にする
no (既定値) - chownを無効にする

使用例

ZFSマウントは以下のようにしてSamba経由でエクスポートされる:

        [samba_zfs_share]
	vfs objects = zfsacl
	path = /test/zfs_mount
	nfs4: mode = special
	nfs4: acedup = merge

バージョン

このマニュアルページはバージョン4.0.xのSambaシステム用である。

著者

オリジナルの Samba ソフトウェアと関連するユーティリティは、Andrew Tridgell によって作成された。現在 Samba は Samba Team によって、Linuxカーネルの開発と同様のオープンソースプロジェクトとして開発が行なわれている。

日本語訳

このドキュメントは、Samba 4.1.0 - 4.4.13 に対応する。

このドキュメントの翻訳は

太田俊哉 (ribbon@samba.gr.jp)
さとうふみやす

によって行なわれた。