sharesec — 共有のACLに対する設定と取得
sharesec
{sharename} [-r, --remove=ACL] [-m, --modify=ACL] [-a, --add=ACL] [-R, --replace=ACLs] [-D, --delete] [-v, --view] [--view-all] [-M, --machine-sid] [-F, --force] [-d, --debuglevel=DEBUGLEVEL] [-s, --configfile=CONFIGFILE] [-l, --log-basename=LOGFILEBASE] [-S, --setsddl=STRING] [--viewsddl] [-?|--help] [--usage] [-d|--debuglevel=DEBUGLEVEL] [--debug-stdout] [--configfile=CONFIGFILE] [--option=name=value] [-l|--log-basename=LOGFILEBASE] [--leak-report] [--leak-report-full]
以下のオプションはsharesec
プログラムで有効である。ACLのフォーマットは、
ACL FORMATセクションで説明されている。
指定されたACLリストにACEを追加する。
すべてのセキュリティディスクリプタを削除する。
強制的にACLを格納する。
存在するACEを変更する。
マシンのSIDを初期化する。
ACEを削除する。
存在する共有パーミッションACLを上書きする。
share acl の一覧を表示する。
すべての share acls を表示する。
SDDL形式中のACLによって提供されるセキュリティディスクリプタを設定する。
SDDL形式中の share acl を一覧表示する。
コマンドラインオプションの要約を表示する。
簡単な使用法を表示する。
level
は0から10までの整数値である。
このパラメータが設定されていない場合の規定の値は、
クライアントアプリケーションに対しては、1 である。
この値を大きくするほど、サーバーの動作に関するより詳細な情報が ログファイルに記録される。レベル 0 では、致命的なエラーと重大な警告 のみが記録される。レベル 1 は日々の運用に適しており、少量の稼働状況 に関する情報を生成する。
1 より上のレベルは大量のログが生成されるので、問題解決の時にのみ 使用すべきである。 3 より上のレベルは開発者だけが利用するように設計されて おり、莫大な量のログデータが生成される。そのほとんどは非常に謎めいた内容 となっている。
このパラメーターの指定は、${prefix}/etc/smb.conf
ファイル中の、
log level パラメーターの
指定よりも優先する事に注意。
このパラメータはデバッグ出力を STDOUT にリダイレクトする。既定では、 すべてのクライアントはログを STDERR に出力する。
クライアントが必要とする詳細な設定を含むファイルを指定する。
このファイル中にある情報は、クライアントまたはサーバに対して
一般的であるか、あるいは、
client smb encrypt
のような、クライアント固有のオプションのみを提供することが
できる。詳細については ${prefix}/etc/smb.conf
を参照のこと。既定の
設定ファイルの名前はコンパイル時に決定される。
コマンドラインから smb.conf(5) オプション "<name>" に値 "<value>" を設定する。 これはコンパイル時の既定値と設定ファイルから読み込まれた オプションを上書きする。名前または値に空白が入っていた場合、 引用符で --option=name=value 全体を囲む。
ログ/デバッグファイルのベースディレクトリ名。拡張子
".progname"
が追加される (たとえば
log.smbclient, log.smbd など)。ログファイルは
クライアントによって削除されることはない。
終了時の talloc リークレポートを有効にする。
終了時の完全な talloc リークレポートを有効にする。
プログラムのバージョン番号を表示する。
ACLのフォーマットは、1つまたはそれ以上の、カンマ又は改行で分離された、ACL エントリーである。1つのACLエントリーは以下のうちのどれかである:
REVISION:<revision number> OWNER:<sid or name> GROUP:<sid or name> ACL:<sid or name>:<type>/<flags>/<mask>
ACLのリビジョンはセキュリティディスクリプタの 内部Windows NT ACL リビジョン を指定する。もしも指定されなければ既定値として1が取られる。1以外の値を使うこと は、奇妙な振る舞いを引き起こすかもしれない。
owner と group は、それぞれオブジェクトのためのownerとgroup SIDを指定する。 共有の ACL には所有者又はグループを指定しないので、フィールドは空白である。
ACLは、そのSIDに対するパーミッションを指定する。このSIDはS-1-x-y-z 形式で指定されるが、そのファイル又はディレクトリが存在するサーバー上で 名前解決が出来る場合には、名前で指定できる。type,flagsとmask値は、そのSIDに 対して許可されるアクセス権の種類を決める。
typeはALLOWEDまたはDENIEDを、SIDに対するアクセスの許可/拒否として使う ことができる。flagの値は共有のACLに対しては通常ゼロである。
maskはSIDに対して許可されるアクセス権を表現する値である。これは、10進又は 16進の値として与えられるか、同じ名前の、Windows NTにおけるアクセス許可の 指定時に使用される、以下のテキスト文字列のどれか1つを使うことも出来る。
R - 読み取りを許可
W - 書き込みを許可
X - オブジェクトの実行を許可
D - オブジェクトの削除
P - パーミッションの変更
O - 所有権の取得
以下の組み合わせパーミッションも指定することができる:
READ - 'RX' と同等 permissions
CHANGE - 'RXWD' パーミッションと同等
FULL - 'RWXDPO' パーミッションと同等
The sharesec
プログラムは、操作が実行された時の成功、またはそれ以外の状態に
応じて終了ステータスをセットする。終了ステータスは以下の値のうちのどれかである。
もしも操作が成功すれば、sharesecは終了ステータスを0にして戻る。もしも、
sharesec
が指定されたサーバーに接続できないか、ACLの設定
又は取得時にエラーが生じたならば、終了ステータスは1で戻る。もしもコマンド行
引数の解釈時にエラーがあれば終了ステータスは2で戻る。
SIDに対してフルアクセスを追加
S-1-5-21-1866488690-1365729215-3963860297-17724
on
share
:
host:~ # sharesec share -a S-1-5-21-1866488690-1365729215-3963860297-17724:ALLOWED/0/FULL
share
に対するすべてのACEを表示:
host:~ # sharesec share -v REVISION:1 CONTROL:SR|DP OWNER: GROUP: ACL:S-1-1-0:ALLOWED/0x0/FULL ACL:S-1-5-21-1866488690-1365729215-3963860297-17724:ALLOWED/0x0/FULL