<< Click to Display Table of Contents >> Navigation: システム管理者リファレンス > 導入時の留意事項 > FileBlogのセキュリティ設定 |
FileBlogでは、Windowsのセキュリティ設定に従って、ファイルやフォルダに対する権限が決定されます。
運用上それだけでは不便な場合もあり、Windowsのセキュリティに加えて、FileBlog独自のセキュリティ機能で制御することができます。
FileBlogセキュリティ機能では、インデックス再構築やプレビュー作成設定などの管理者が行う操作でも実行権限を制御することができます。
インストール後の標準のセキュリティ設定は、全ユーザーはWindowsで設定されたセキュリティに準じたアクセス権限で操作できます。
1.画面下部のシステム設定 > 基本設定 > セキュリティ > セキュリティ拡張(AclManager) を開きます。
2.アクセス権設定を追加します
「追加」ボタンを選択して、新しいアクセス権の設定を編集します。
1.「フォルダパス」にアクセス権を設定したいフォルダをフルパスで指定します。
4.「追加」ボタンを選択すると、アクセス権を指定します。
•フォルダのセキュリティは、対象フォルダから最も近い親(もしくは先祖)フォルダのセキュリティ設定が使用されます。
•FileBlogVer3.5.0以降は、トップフォルダ「 / 」に対して必ずセキュリティを設定する必要があります。
•本機能を設定する場合、全ユーザー・グループの全フォルダに対する権限が「拒否」された状態からの設定となります。
したがって、全ユーザー・グループの全フォルダに対する「許可」のセキュリティを必ず設定してください。
各ドキュメントルートの設定は必須です。
o例えば、ドキュメントルートが \\share と \\share2 のときに、\\share2\projects にのみセキュリティを設定する場合は、次の2行の設定が必要です。
❖トップフォルダ「 / 」 → 全ユーザーに対して「許可」の設定
❖/share/projects → 任意のアクセス権の設定
※ Windowsで拒否されている操作は、本機能で許可の設定を行っても拒否対象のままです。
※ Windowsで許可された操作を本機能で拒否することはできます。
※ 設定を間違えると、全ユーザーがアクセスできなくなる場合があるため、ご不明な点はサポートにお問い合わせください。
5.「保存する」ボタンを選択して、2つのサービスにチェックをいれて再起動します。
タイプ(許可/拒否)
•チェックを入れたアクションに対して、許可もしくは拒否を選択します。
•拒否が優先です。許可されていないアクションは「拒否」とみなします。
•ユーザーにとって該当する設定が存在しない場合、アクセス許可がないと判断します。
ユーザー名もしくはグループ名
•アクセス権を設定する、ユーザー名もしくはグループ名を指定します。
•半角カンマ区切りで複数のユーザーやグループを指定できます。
•ドメインに所属するユーザー、グループを指定する場合は、「ドメイン名\ユーザー(グループ)名」のように指定します。
•ドメイン名はセキュリティ・ドメイン一覧で指定されている表記に従ってください。
•172.19.109.0/24 のようにCIDR表記でIPアドレスの範囲を指定します。
•半角カンマ区切りで複数のIPアドレスの範囲を指定できます。
•CIDR表記とは、IPアドレスとサブネットマスクを「 / スラッシュ」で繋げて表記します。
o192.168.0.0/24 とは、 IPアドレス 192.168.0.0、サブネットマスク 255.255.255.0 を表現します。
192.168.0.0 ~ 192.168.0.255 の範囲のIPアドレスを指定したことになります。
•ユーザー名とIPアドレスの両方を指定した場合は、同時に満たすユーザーのみが対象となります。
•いずれも未入力の場合は、全ユーザーが対象になります。
それぞれのアクションでFileBlogの操作権限を設定します。
操作権限がなくなったり、メニューが非表示になったり、実行してもエラーになったりします。
•読み取り
ファイルの一覧、閲覧、検索、プロパティ編集(表示)、概要とコメント(表示)、一覧出力、直接開く
•書き込み
ファイルの上書き、削除、名前の変更、アップロード、プロパティ編集(書き込み)、メモ・フォルダの新規作成
•コメント
概要とコメント(書き込み)
•ダウンロード
ファイル、フォルダのダウンロード
•管理者向け機能
インデックスの再構築、インデックスの掃除、プレビュー作成設定
※ コピーは、コピー先のフォルダに書き込みの許可が必要です。
※ 移動は、移動元と移動先のフォルダに書き込みの許可が必要です。
マクロ機能を使うことによって、複数のフォルダに対して同じ設定をする手間を軽減させることが出来ます。
例えば $(USERS) というマクロに、複数のユーザー名を定義おけば、あとは制限したいフォルダに $(USERS) と記入するだけですみます。
1.「マクロ」タブを選択して定義を追加します。
2.名前と値を設定します
3.例として「AdminGr」という名前に、「admin1, admin2」というユーザー名と「admin_gr1」というグループ名を割り当てました。
マクロが1つ登録されました。
4.マクロを使う
•ユーザー名にマクロを指定します。$(マクロ名) と入力します。
•実行時に $(AdminGr) が、admin1, admin2, admin_gr1 に展開されます。
•IPアドレスも同様にマクロを使用することができます。
5.「保存する」ボタンを選択して、2つのサービスにチェックをいれて再起動します。
ここでは操作毎に必要なアクションの一覧をご説明します。
以下の表ではFileBlogの上での操作ごとに、最低限必要なアクションに○が付いています。
分類 |
操作 |
読み取り |
書き込み |
コメント |
ダウンロード |
管理者向け機能 |
|
ファイル |
閲覧 |
○ |
- |
- |
- ※1 |
- |
|
コピー |
移動元フォルダ |
○ |
- |
- |
- |
- |
|
移動先フォルダ |
○ |
○ |
- |
- |
- |
||
移動 |
移動元フォルダ |
○ |
○ |
- |
- |
- |
|
移動先フォルダ |
○ |
○ |
- |
- |
- |
||
削除 |
○ |
○ |
- |
- |
- |
||
リネーム |
○ |
- |
- |
- |
- |
||
上書き更新 |
○ |
○ |
- |
- |
- |
||
ダウンロード |
○ |
- |
- |
○ |
- |
||
概要・コメント |
表示 |
○ |
- |
- |
- |
- |
|
更新 |
○ |
- |
○ |
- |
- |
||
プロパティ |
表示 |
○ |
- |
- |
- |
- |
|
更新 |
○ |
○ |
- |
- |
- |
||
直接開く |
○ |
- |
- |
- |
- |
||
THTML(メモ)更新 |
○ |
○ |
- |
- |
- |
||
アップロード |
○ |
○ |
- |
- |
- |
||
プレビュー再作成 |
○ |
- |
- |
- |
- |
||
CSV出力 |
○ |
- |
- |
- |
- |
||
新規メモ |
○ |
○ |
- |
- |
- |
||
新規フォルダ |
○ |
○ |
- |
- |
- |
||
管理者向け機能 ※2 |
インデックス再構築 |
○ |
- |
- |
- |
○ |
|
インデックス掃除 |
○ |
- |
- |
- |
○ |
||
プレビュー作成設定 |
○ |
- |
- |
- |
○ |
※1 gifファイルは閲覧時にダウンロード権限が必要です。
※2 システム管理者メニューからは、管理者向け機能権限に関係なく実行できます。