アカウント名:
パスワード:
LinuxではなくWindows Serverを選ぶ理由はなんだろか
Linux はファイルの所有者・所有グループ・その他に対して、読み・書き・実行の許可を設定することしかできませんので、ファイルにアクセスできる人を適切に制限することが(OS・ファイルシステムレベルでは)できません。
例えば、 特定のhageファイルを「アレゲプロジェクト」のメンバーがフルコントロールできるようにして、「代表取締役社長」と「経理部」と「課長グループ」が内容を確認(読み込み)できるようにしたかったら、Windows では、ファイルシステムレベルでやりたい通りにアクセス許可の設定をするだけで可能です(NTFSならエクスプローラーのプロパティ画面から可能)。
一方、Linux ではそういったことは不可能で、妥協案として「hageファイル閲覧集団」というグループを新たにそのためにだけに作って、「代表取締役社長」と「経理部」と「課長」の全員を一人ひとりそのグループに所属させ、ファイルの所有者を「hageファイル閲覧集団」に所属させ「所有グループ」として読み込み権限を与えて、フルアクセスできる必要のある「アレゲプロジェクト」の人は「ファイルの所有者」のアカウントを使いまわすという馬鹿げた運用をすることになります。特定のファイルへのアクセス権限をコントロールするためだけに大勢の人を新たに作ったグループに所属させなければならないのは大変な手間で、グループだらけになって管理が煩雑で訳がわからなくなります。また、アカウントの使い回しはセキュリティ上好ましくありません。
そして、Linuxの貧弱なパーミッションでなんらか管理可能なのは、上にあげた例示ぐらいのケースが限度で、もっと複雑な権限管理は「面倒」なだけではなく、不可能となります
可能ですよ [archlinuxjp.org]
posix aclの立場はいったい、、、 #2848665 [security.srad.jp]
可能ですよ [archlinuxjp.org] #2848670 [security.srad.jp]
Linuxカーネル2.6以降なら標準搭載されたPOSIX ACL(Access Control Lists)で細かなアクセス制御が可能なんですね。
なるほど、大変勉強になりました。教えていただきありがとうございました。
可能といっても、運用面ではADと連携できるWindowsと比べたら雲泥の差でないですか。それにWindowsでのアクセス制御ってファイルシステムに限りません。
一口にLinuxといってもディストリ毎に千差万別な代物ですし、Samaba使えってのも、運用コストまで考えると利点なんてないんじゃないですか。
というかなぜ無理にでもLinuxを使わないといけないのでしょうか。適材適所だと思うのですがね。
SAMBAはMicrosoftから寄贈されたコードによってAdのホストになれるようになった。
で、その機能でLinuxのACLを管理できるのか(それが一般的に理解されている方法なのか)っていう。# 貧者のADサーバ…というのは言い過ぎだが、SambaはWindowsネットワークをLinuxで扱うものであってそれ以上ではなさ気
完全互換とはいかず、必要な機能が多々足りてなくて導入検討のままとまって悶々としとります。DFSファイル共有してると追加できませんねん
実際にSAMBAをドメインコントローラとして使っているケースってどれくらいあるんだろう?
問題は、当たり前ですがファイルシステムに依存する事やACLの機能差とかOSデフォルトインストールでどれだけ使われていてかつ枯れきっているかですかね。OpenSUSEとかはNTFS相当のNFSv4 ACLs(Richaclsの事、POSIX ACLより細かい)に結構前から対応してたりしますが。
アプリ側も古のパーミッションと比べたらあまり考慮してない事が。Windowsアプリよりマシですけど。実際問題、ウチでは本格的にNFSv4 ACLsを運用してますって所はどれだけあるのだろう……
Posix ACLじゃWindowsのACLと比較して機能不足でしょ。
まぁ、Windowsは最初のバージョンからそこにかなり注力してたみたいですからねぇ
posix aclの立場はいったい、、、
どーせサーバにアクティブディレクトリ入れるんだろ?ならサンバでも良い。サンバのコードはMicrosoftの愛と憎悪と妥協が過分に含まれております。
Unixでも出来はするけど及んでないというべき。主要ディストリ複数が同一のインタフェイスで使用可能なACLをデフォルトで有効にして、従来型パーミッションを駆逐ないしほぼ完全な互換性を達成してこそ並ぶことが出来る。Windowsの利点は同一の仕組みが最初から有効で普及していてネイティブである事かと。
というか、クライアントがWindowsな状況でネイティブに管理できるって事のほうが重要では?Sambaや関連プロダクトを駆使すれば、Windowsマシンのサーバとしての機能の多くを再現できます。
「サーバで動かすアプリケーションそのものがWindowsを要求する場合に対応できる」事と、「ネイティブにWindowsマシンのサーバになれる」事、この二点が重要ではないかと思います。コンソールセッションを除けばサーバ内のACLをクライアントが直接読むことは無いですし。
誤っているのなら、何処が誤っているのか判るようにコメントするのが本来だと思いますよ?雑談サイトだし。
#モデが欲しければ貰えるようにがんばれ。#と、ACで申しております。
winだとユーザーもドメインに登録出来ますが、posixだとそれに相当する表現(uri)はなにになるのでしょうか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
Windows Server の使い道 (スコア:0)
LinuxではなくWindows Serverを選ぶ理由はなんだろか
アクセス許可を細かく設定できるのが Windows の魅力 (スコア:3)
Linux はファイルの所有者・所有グループ・その他に対して、読み・書き・実行の許可を設定することしかできませんので、ファイルにアクセスできる人を適切に制限することが(OS・ファイルシステムレベルでは)できません。
例えば、 特定のhageファイルを「アレゲプロジェクト」のメンバーがフルコントロールできるようにして、「代表取締役社長」と「経理部」と「課長グループ」が内容を確認(読み込み)できるようにしたかったら、Windows では、ファイルシステムレベルでやりたい通りにアクセス許可の設定をするだけで可能です(NTFSならエクスプローラーのプロパティ画面から可能)。
一方、Linux ではそういったことは不可能で、妥協案として「hageファイル閲覧集団」というグループを新たにそのためにだけに作って、「代表取締役社長」と「経理部」と「課長」の全員を一人ひとりそのグループに所属させ、ファイルの所有者を「hageファイル閲覧集団」に所属させ「所有グループ」として読み込み権限を与えて、フルアクセスできる必要のある「アレゲプロジェクト」の人は「ファイルの所有者」のアカウントを使いまわすという馬鹿げた運用をすることになります。特定のファイルへのアクセス権限をコントロールするためだけに大勢の人を新たに作ったグループに所属させなければならないのは大変な手間で、グループだらけになって管理が煩雑で訳がわからなくなります。また、アカウントの使い回しはセキュリティ上好ましくありません。
そして、Linuxの貧弱なパーミッションでなんらか管理可能なのは、上にあげた例示ぐらいのケースが限度で、もっと複雑な権限管理は「面倒」なだけではなく、不可能となります
Re:アクセス許可を細かく設定できるのが Windows の魅力 (スコア:3, 参考になる)
Linux はファイルの所有者・所有グループ・その他に対して、読み・書き・実行の許可を設定することしかできませんので、ファイルにアクセスできる人を適切に制限することが(OS・ファイルシステムレベルでは)できません。
可能ですよ [archlinuxjp.org]
Re:アクセス許可を細かく設定できるのが Windows の魅力 (スコア:1)
Linuxカーネル2.6以降なら標準搭載されたPOSIX ACL(Access Control Lists)で細かなアクセス制御が可能なんですね。
なるほど、大変勉強になりました。教えていただきありがとうございました。
Re: (スコア:0)
可能といっても、運用面ではADと連携できるWindowsと比べたら雲泥の差でないですか。
それにWindowsでのアクセス制御ってファイルシステムに限りません。
一口にLinuxといってもディストリ毎に千差万別な代物ですし、Samaba使えってのも、運用コストまで考えると利点なんてないんじゃないですか。
というかなぜ無理にでもLinuxを使わないといけないのでしょうか。
適材適所だと思うのですがね。
Re: (スコア:0)
SAMBAはMicrosoftから寄贈されたコードによってAdのホストになれるようになった。
Re: (スコア:0)
で、その機能でLinuxのACLを管理できるのか(それが一般的に理解されている方法なのか)っていう。
# 貧者のADサーバ…というのは言い過ぎだが、SambaはWindowsネットワークをLinuxで扱うものであってそれ以上ではなさ気
Re: (スコア:0)
完全互換とはいかず、必要な機能が多々足りてなくて
導入検討のままとまって悶々としとります。
DFSファイル共有してると追加できませんねん
Re: (スコア:0)
実際にSAMBAをドメインコントローラとして使っているケースってどれくらいあるんだろう?
Re: (スコア:0)
問題は、当たり前ですがファイルシステムに依存する事やACLの機能差とかOSデフォルトインストールでどれだけ使われていてかつ枯れきっているかですかね。
OpenSUSEとかはNTFS相当のNFSv4 ACLs(Richaclsの事、POSIX ACLより細かい)に結構前から対応してたりしますが。
アプリ側も古のパーミッションと比べたらあまり考慮してない事が。Windowsアプリよりマシですけど。
実際問題、ウチでは本格的にNFSv4 ACLsを運用してますって所はどれだけあるのだろう……
Re: (スコア:0)
Posix ACLじゃWindowsのACLと比較して機能不足でしょ。
Re: (スコア:0)
まぁ、Windowsは最初のバージョンからそこにかなり注力してたみたいですからねぇ
Re:アクセス許可を細かく設定できるのが Windows の魅力 (スコア:2, 参考になる)
posix aclの立場はいったい、、、
Re: (スコア:0)
どーせサーバにアクティブディレクトリ入れるんだろ?ならサンバでも良い。
サンバのコードはMicrosoftの愛と憎悪と妥協が過分に含まれております。
Re: (スコア:0)
性能的にも Windows 同士での転送速度と比べて 軽く4倍は差がついちゃってたし、未実装って機能も大量にあった。いまでも未実装は残ってるけど2000年台頭頃ってこれも未サポートかよって感じだったじゃん
実験は色々やったけど、これで運用しようなんて馬鹿としか思えないレベルだったでしょ?
Re: (スコア:0)
Unixでも出来はするけど及んでないというべき。
主要ディストリ複数が同一のインタフェイスで使用可能なACLをデフォルトで有効にして、
従来型パーミッションを駆逐ないしほぼ完全な互換性を達成してこそ並ぶことが出来る。
Windowsの利点は同一の仕組みが最初から有効で普及していてネイティブである事かと。
というか、クライアントがWindowsな状況でネイティブに管理できるって事のほうが重要では?
Sambaや関連プロダクトを駆使すれば、Windowsマシンのサーバとしての機能の多くを再現できます。
「サーバで動かすアプリケーションそのものがWindowsを要求する場合に対応できる」事と、
「ネイティブにWindowsマシンのサーバになれる」事、この二点が重要ではないかと思います。
コンソールセッションを除けばサーバ内のACLをクライアントが直接読むことは無いですし。
Re: (スコア:0)
誤っているのなら、何処が誤っているのか判るようにコメントするのが本来だと思いますよ?
雑談サイトだし。
#モデが欲しければ貰えるようにがんばれ。
#と、ACで申しております。
Re: (スコア:0)
winだとユーザーもドメインに登録出来ますが、
posixだとそれに相当する表現(uri)はなにになる
のでしょうか?