FileBlogのセキュリティ設定

【このページの主な項目】

概要

FileBlogでは、Windowsに設定されているセキュリティ設定に従って、ファイルの読み書きやフォルダ一覧が制限されますが、独自のセキュリティ制御機能も実装しています。

FileBlogセキュリティ機能では上記機能に加え、インデックス再構築やプレビュー作成設定などの管理者が行う操作にも実行権限を付ける事が出来ます。

FileBlogセキュリティは、専用ツール（FbAclManager）を使ってフォルダ毎に設定を行ないます。

設定方法

      FileBlogインストールフォルダ\Bin\FbAclManager.exeを実行して下さい。

       新規にアクセス権を設定する場合は「追加」をクリックして、アクセス権設定画面を開きます。
       編集する場合は、行をダブルクリックしてください。

「フォルダパス」にアクセス権を設定したいフォルダをフルパスで指定します。

※必ずドキュメントルートに設定されている表記に従ってください。
例えば、ドキュメントルートが[\\サーバー名\共有名]のように指定されていた場合は、[\\サーバー名\共有名]や[\\サーバー名\共有名\子フォルダ]のように指定しなければなりません。

※上位フォルダのセキュリティは下位フォルダに継承されません。その代わり、対象フォルダから最も近い親（もしくは先祖）フォルダのセキュリティ設定を使用します

※デフォルト状態では、ユーザー名、IPアドレスが空の状態で許可設定されており、すべてのユーザーがすべての操作を行えるようになっています。

①「追加」をクリックして、アクセス権を追加できます。

②編集する行を選択します。

③選択された行のセキュリティを設定します。

※新規に追加した直後は全てのユーザーに対して、全てのアクションを許可する設定になっています。

対象

・ユーザー名もしくはグループ名

アクセス権を設定する、ユーザー名もしくはグループ名を指定します。
半角カンマ[,] 区切りで複数のユーザーやグループを指定できます。
ドメイン下のユーザー、グループを指定する場合は[ドメイン名\ユーザ（グループ）名]のように指定します。
※ドメイン名はセキュリティ・ドメイン一覧で指定されている表記に従ってください。

・IPアドレス

172.19.109.0/24のようにCIDR表記でIPアドレスの範囲を指定します。半角カンマ[,] 区切りで複数のIPアドレスの範囲を指定できます。

※CIDR表記とは、IPアドレスとサブネットマスクを/スラッシュで繋げて表現したもので、
例えば、192.168.0.0/24 とは、 IPアドレス 192.168.0.0 サブネットマスク 255.255.255.0 を表現しており、
192.168.0.0～192.168.0.255 の範囲のIPアドレスを指定したことになります。

※ユーザー名とIPアドレスの両方を指定した場合は、同時に満たすユーザーのみが対象となります。
※いずれも未入力の場合は、全ユーザーが対象になります。

・タイプ（許可/拒否）

チェックを入れたアクションに対して、許可・拒否を選択します。
※拒否が優先です。許可されていないアクションは”拒否”とみなします。つまりデフォルトは拒否です。
※ユーザーにとって該当する設定が存在しない場合、アクセス許可なしと判断します（デフォルト=拒否）

・アクション

それぞれのアクションでFileBlogの操作権限を設定します。
操作権限が無くなると場合、メニューが非表示になったり、実行してもエラーが返るようになります。

・読み取り

ファイルの一覧、閲覧、検索、プロパティ編集（表示）、概要とコメント（表示）、一覧出力、直接開く

・書き込み

ファイルの上書き、削除、名前の変更、アップロード、プロパティ編集（書き込み）、メモ・フォルダの新規作成

・コメント

概要とコメント（書き込み）

・ダウンロード

ファイル、フォルダのダウンロード

・管理者向け機能

インデックスの再構築、インデックスの掃除、プレビュー作成設定

※コピーは、コピー先に書き込みの許可が必要です。
※移動は、移動元と移動先に書き込みの許可が必要です。（移動元で削除する必要があるため）

「OK」をクリックし、変更を確定します。

「保存する」をクリックします。

※設定を有効にするにはFb3Apacheサービスの再起動が必要です。

マクロ機能

マクロ機能を使うことによって、複数のフォルダに対して同じ設定をする手間を軽減させることが出来ます。

例えば $(USERS) というマクロに、複数のユーザー名を定義おけば、あとは制限したいフォルダに $(USERS) と記入するだけですみます。

ここでは「ADMINS」というマクロ名に、「admin1, admin2」というユーザ名と「admin_group1」というグループ名を割り当てました。

マクロが１つ登録されました。

ユーザー名欄にマクロを指定します。$(マクロ名)と記入します。

以上でマクロが設定されました。実行時に $(ADMINS) が admin1, admin2, admin_group1 に展開されます。

IPアドレスも同様にマクロを使用することが出来ます。

設定をテストする

専用ツール（FbAclManager）を使って設定が正しいかどうか確認をすることができます。確認方法には２種類あります。

       テストするディレクトリをフルパスで指定してください。

       ユーザーやグループ名を改行区切りで指定してください。

       IPアドレスを指定してください。ユーザー名だけでテストしたい場合は空のままにします。

　「判定」をクリックすると、アクションそれぞれに対して、権限が有るか無いかを判定します。

       テストするディレクトリをフルパスで指定してください。

       IPアドレスを指定してください。ユーザー名だけでテストしたい場合は空のままにします。

       Windows(もしくはAsp)アカウント名を指定します。

       Windows (もしくはAsp) アカウントのパスワードを指定します。

       Win ・・・ Windowsにログインします

       Asp ・・・ユーザー招待機能を使ってログインします

「ログインして判定」をクリックすると、アクションそれぞれに対して、権限が有るか無いかを判定します。

操作毎に必要なアクション

ここでは操作毎に必要なアクションの一覧をご説明します。

以下の表ではFileBlogの上での操作毎に、最低限必要なアクションに○が付いています。

※1 gifファイルは閲覧時にダウンロード権限が必要です。
※2 システム管理者メニューからは、管理者向け機能権限に関係なく実行できます。