私はMac OS Xにすっかり飽き飽きしています。Appleが10.1から大幅な基本機能改善を行った10.2以降、私はシステムの新リリースごとに、主に漸進的な変更が加えられることを期待してきました。iChat AVとSpotlight(ただし、私にとってはDashboardとExposéは例外です)は、目立った例外でした。そのため、数ヶ月前にApple開発者プログラムのメンバーシップを通じて入手したLeopardのベータ版を使って、「Take Control of Sharing Files in Leopard」の開発に取り組む準備をしたのは、気が重いことでした。Appleがインターフェースを刷新し、いくつかの新機能を追加するだろうと予想していましたが、それ以上のことは何もありませんでした。
嬉しい驚きでした。Appleは、Apple Filing Protocol(AFP)、Samba(SMB)、FTPのファイル共有オプションを1か所に統合しただけでなく、Mac OS 9以前のリリースでは広く使われていたにもかかわらず、Mac OS Xでは見られなかったフォルダ共有機能を復活させました。
Appleの変更により、本書の実用性を向上させながら30ページ以上を削減することができました。テキスト形式の設定ファイルを編集したり、分かりにくい設定を変更したりする必要がなくなりました。ほとんどは、チェックボックスにチェックを入れてボタンをクリックし、ポップアップメニューから値を選択するだけです。スティーブ・ジョブズが言うように、まさに「ドカン!」です。
大幅な合理化— ファイル共有で何が変わったのか、簡単に概要を説明します。
- AFP、Samba、FTPはすべて1か所から制御できます。Tiger以前では、AppleはAFPとSambaに独自の名前(パーソナルファイル共有とWindows共有)を付け、共有環境設定の「サービス」タブにそれぞれ3つのチェックボックスを割り当てていました。Leopardでは、共有環境設定パネルに1つのファイル共有サービスが設けられ、3つのサービスへのアクセスが統合されています。
-
フォルダ共有。懐かしい機能ですね!任意のフォルダやマウントされたドライブを、まるでボリュームのように共有できます。まるで1999年のように!いや、1997年のように!
-
きめ細かなアクセス権限。ファイル共有サービスを使用すると、各ボリュームに対してユーザーとグループに特定の読み取りおよび書き込み権限を割り当てることができます。
-
共有専用アカウント。Apple は、共有のみが有効で、ホームディレクトリや SSH 経由のログイン権限を持たないアカウントを作成する方法を巧みに追加しました。
-
ゲストアカウント。ゲストアカウントには、パスワードなしで特定のフォルダにサーバーからアクセスできるようにするオプションがあります。ただし、いくつかの制限事項があり、後ほど説明します。
-
Finder からの共有アクセス。Apple は、一般ユーザーからパワーユーザーまで、Finder でのサーバーの表示方法とボリュームのマウント方法を再調整し、使い勝手を大幅に向上させました。
ファイル共有を設定するためにこれがどのように機能するかを見てみましょう。
ファイル共有の設定— 共有環境設定パネルでファイル共有を選択すると、3つの共有プロトコルのどれを有効にするのか、少し戸惑うかもしれません。「オプション」ボタンをクリックすると、AFP、Samba、FTPのそれぞれにチェックボックスがあり、これらを任意の組み合わせで有効にすることができます。Sambaアクセスは特定のアカウントに対して有効になっています。これは、Sambaのパスワード保存方法がAppleの非常に強力な方法よりも簡単に解読される可能性があるという懸念があるためです。(これは、ネットワーク経由で転送されるAFP、Samba、FTPのパスワードとは無関係です。Sambaのパスワードのみがデフォルトで暗号化されています。)
先ほどリンクしたメインのファイル共有ダイアログには、「共有フォルダ」と「ユーザ」の2つのリストが表示されます。ネットワークボリュームとして共有しているマウント済みのボリュームまたはフォルダは、左側のリストに表示されます。フォルダをリストに追加するには、ドラッグするか、Finderでフォルダまたはボリュームを選択し、「情報を見る」を選択して「共有フォルダ」にチェックを入れます。リストの下にある「+」記号をクリックして、フォルダまたはボリュームに移動して選択することもできます。
共有フォルダを選択すると(一度に1つしか選択できません)、関連付けられたアクセス権がユーザーリストに表示されます。フォルダにすでに割り当てられているUnixユーザーが表示され、ユーザーとグループを追加または削除できます。
各ユーザーまたはグループに対して、3種類のアクセスタイプ(読み取り専用、読み取りと書き込み、書き込み専用(ドロップボックス))から1つを選択できます。書き込み専用オプションを選択した場合、Leopardはボリューム内にドロップボックスフォルダを作成します。指定されたリモートユーザーまたはアクセス権を持つユーザーは、このフォルダにファイルをコピーできますが、フォルダの内容を閲覧(開く)することはできません。(Guestアカウントを含むすべてのユーザーを含む特別なEveryoneユーザーには、「アクセスなし」という追加のステータスがあります。これは、共有フォルダリストからフォルダを削除せずにアクセスを無効にする方法です。)
ユーザーを追加するには、リストの下の「+」記号をクリックし、Mac OS X で名前付きユーザーを選択するか、アドレスブックに登録されているユーザーを選択します。アドレスブックを選択した場合、Leopard はパスワードの作成を促します。パスワードを入力すると、共有のみのユーザーアカウントが作成されます(まだ作成していない場合)。
ファイル共有オプションはすべてすぐに有効になります。変更をすぐに有効にするために、再起動したり他のボタンをクリックしたりする必要はありません。共有ボリュームは他のシステムからアクセスできます。適切なネットワークインターフェースでAppleTalkが有効になっている場合は、Mac OS 9から共有フォルダを検出することもできます。(AppleTalkに関する説明は、この記事の最後にある追記をご覧ください。)
適切なドロップボックスの作成— 複数のステップから成る、じっくりと検討する価値のあるプロセスが1つあります。それは、ドロップボックスの作成です。ドロップボックスとは、特別な権限を持つフォルダです。書き込み権限を持つリモートユーザーは、フォルダにファイルをドロップできますが、フォルダを開いて内容を表示したりコピーしたりすることはできません。(これは、同じコンピュータ上のユーザー間で使用できます。各ユーザーのパブリックフォルダにあるドロップボックスフォルダも、この目的の一部です。)
共有フォルダ(Drop Box)のユーザー権限を書き込み専用に設定できますが、その場合、ボリューム全体が書き込み専用になります。ユーザーがそのボリュームをマウントすると、コンテンツを読み取れないというメッセージが表示されるため、混乱を招く可能性があります。
ボリュームをドロップボックスにする代わりに、ネストされたフォルダを作成し、その中にドロップボックスを配置します。まず、ボリュームとなるフォルダを作成します。「Put Files Here(ここにファイルを置く)」という名前を付けます。次に、そのフォルダをファイル共有の共有フォルダリストにドラッグして共有します。リストでフォルダを選択し、アクセスが必要なすべてのユーザーに対して読み取り専用を選択します。このフォルダにはファイルを置かないでください。
次に、「ここにファイルを保存」フォルダ内に「Drop Box」という新しいフォルダを作成します。Finderで「Drop Box」を選択し、「ファイル」>「情報を見る」と選択し、「共有とアクセス権」セクションで、書き込み専用(Drop Box)アクセスに制限したいすべてのユーザーを設定します。(この変更を行うには、鍵アイコンをクリックして管理者パスワードを入力する必要がある場合があります。)
ユーザーが「Put Files Here」をボリュームとしてマウントし、Finder でそのウィンドウを開くと、そのウィンドウには、書き込み専用であることを示す下向きの矢印が付いた「Drop Box」フォルダだけが表示されます。
Finder の調整— ボリュームが Finder にマウントされ、デスクトップに表示される方法は、従来の Mac OS の Chooser から、Mac OS X のネットワーク ブラウジングでよく問題が発生する方法に移行して以来、ほとんど変わっていません。Leopard では、Chooser のいくつかの側面を Mac OS X と組み合わせるなどして、この点が改良されています。本当です!
Finderの「移動」>「サーバへ接続」を使って、AFP名、IPアドレス、ドメイン名、Windowsが共有ボリュームを識別する名前を入力したり、お気に入りに追加したサーバを表示したりすることは、これまで通り可能です。しかし、Leopardではブラウジングオプションが新しくなり、改善されました。
どのFinderウィンドウでも、利用可能なネットワークサーバと接続済みのサーバがサイドバーに表示されるようになりました。Finder > 環境設定を選択し、サイドバーボタンをクリックし、「接続済みのサーバ」または「Bonjourコンピュータ」のチェックを外すことで、ネットワーク経由で表示可能なサーバと接続済みのサーバをサイドバーに表示するかどうかを選択できます。(Bonjourコンピュータのリストには、NetBIOSサーバ経由でアドバタイズされたWindowsサーバも含まれます。)
サイドバーでサーバーを選択すると、Leopardは自動的にAFPを使用してゲストとして接続を試み、その場合利用可能なボリュームを表示します。ウィンドウの右上にある「接続」ボタンをクリックすると、標準のサーバーログインダイアログが表示され、ユーザー名とパスワードを入力できます。ログイン情報をキーチェーンに保存しておけば、アンマウント後にサーバーをクリックした際に自動的にログインされます。
ネットワークボリュームは、Finderの環境設定で表示するように設定しない限り、デフォルトではデスクトップに表示されなくなりました。Finder > 環境設定を選択し、「一般」をクリックして「接続サーバ」にチェックを入れてください。そうしないと、私と同じように、あのボリュームはどこに行ったのかと頭を悩ませることになるでしょう。
Appleは、マウントされたネットワークボリュームが何らかの理由でアクセスできなくなった際にFinderがロックアップする(死のピザが回転する)という、誰もが嫌悪する問題を解消するために、AutoFSという魔法のような仕組みを導入しました。AutoFSにより、Leopardはボリュームのマウントを処理するために、独立したスレッド(いわば独立した思考プロセス)を生成します。マウントが完了するまで待つ必要がなくなり、ボリュームが突然アクセスできなくなってもシステムがFinderをロックすることはなくなります。まだこれを徹底的にテストしていませんが、AutoFSは他のUnixシステムではかなり前からこの方法で動作しています。
管理者とファイル共有— Mac OS Xは、アカウント環境設定で管理者権限を付与されたユーザーとファイル共有の関係について、常に問題を抱えていました。Leopardまでは、ファイル共有を有効にすると、管理者ユーザーはマウントされたすべてのハードドライブと、それらのドライブ内でアクセス権を持つすべてのフォルダにアクセスできました。これには通常、他のユーザーのホームディレクトリ内のフォルダの内容を除くすべての内容が含まれていました。
Leopardでは、各ユーザーのホームディレクトリにあるPublicフォルダ(通常は空)以外、何も自動的に共有されません。例えば、起動ドライブを共有するには、そのドライブを共有フォルダリストに追加すると、デフォルトの権限がユーザーリストにあらかじめ入力されます。
ここからが厄介なところです。ユーザーリストには3つのエントリが表示されます。System Administrator(Unixのルートアカウントで、読み取りと書き込み権限に設定されています)、Administrators(システム上の管理者権限を持つすべてのユーザーで構成されるグループで、読み取りと書き込み権限に設定されています)、Everyone(システム上のすべてのユーザーアカウントで構成されるUnixグループで、読み取り専用権限に設定されています)です。
管理者ユーザーのアクセスを削除したいので、ユーザーリストで「Administrators」を選択して、リストの下にある「-(マイナス)」ボタンをクリックするだけだ、と思われるかもしれません。ちょっと待ってください!ボタンに近づくと、不気味な音楽が聞こえてきます。ユーザーリストから「Administrators」を削除すると、共有ボリュームに付与された共有権限だけでなく、ローカルアクセスに使用される基礎となるファイル権限にも影響します。
私のテストでは、起動ボリュームのアイコンがハードディスクから、赤い丸と横線が入ったフォルダに変わりました。もしこの時点でマシンを再起動していたら、どうなっていたか想像したくありません。Administratorsグループを再度追加すると、ドライブのアイコンとアクセスが復元されました。
私のアドバイスは?管理者レベルのユーザー全員が、コンピューターの前に座って直接アクセスしている場合と同じようにファイルにアクセスできるようにしたい場合を除いて、ドライブ全体またはパーティション全体を共有しないことです。
欠けているもの— Leopard は大きな前進ではあるものの、Apple が今後のアップデートで改善されるか、少なくとも説明されることを期待するいくつかの選択を行った。
- GuestアカウントはFTPにアクセスできません。何らかの理由で、GuestアカウントはAFPとWindowsサーバーにしかアクセスできません。これはセキュリティ上の問題かもしれませんが、この制限を回避する方法はまだ見つかっておらず、現在調査中です。(おそらく設定変更が必要でしょうが、AppleはLeopardでもサービスの設定ファイルの作成方法を変更しています。)
-
セキュア FTP (SFTP) はファイル共有と統合されていません (過去も統合されていませんでした)。暗号化された FTP サーバオプションを使用するには、「共有」環境設定パネルで「リモートアクセス」をオンにする必要があります。SFTP は技術的には SSH のコンポーネントであり、コマンドラインセッションでリモートシステムに安全に接続する方法です。そのため、SFTP は Mac OS X アカウントを尊重しますが、セットアップした共有フォルダは尊重しません。Mac OS X ユーザーは誰でも、アクセス権を持つ任意のドライブまたはマウントされたボリュームに SFTP 経由で接続できます。これは通常、システムリソースと個々のユーザーのホームディレクトリの内容を除くほぼすべてのドライブまたはボリュームを意味します。Apple は
SSH に組み込まれた制約の中で作業を進めていますが、SFTP がファイル共有とより完全に統合されることは望ましいことです。 -
AFPログインオプションが消えてしまいました。これらのオプションのほとんどはセキュアログインに関するもので、セキュアAFPを使用している環境で働いている同僚たちは、設定がいつも少し不安定だったと言っています。TidBITSの友人であるChris Pepperによると、Leopard Server管理ツールでもこれらのオプションは利用できないそうです。
詳細情報— Leopardでのファイル共有についてさらに詳しく知りたい方は、このトピックに関する私の新しい書籍『Take Control of Sharing Files in Leopard』をご覧ください。89ページの本書には、上記のすべての操作方法をステップバイステップで解説するだけでなく、同じコンピュータ上のユーザー間、またはネットワーク経由で接続するユーザー間でiTunesとiPhotoのライブラリを共有する方法についても詳しく説明しています。本書は、ニーズや直面している課題に最適なファイル共有方法を見つける方法と、それらの適切な解決策について解説するセクションで構成されています。
AppleTalkとAFPについて追記— AppleTalkはAFPと比べて複雑な歴史を持っています。AppleはMac OS 9以降、トランスポートメカニズムとしてAppleTalkではなくインターネットネットワークを使用するAFP-over-IPまたはAppleShare-over-IPを有効にしましたが、TigerまでAppleTalkをオプションとして無効にしませんでした。さらに、Mac OS X 10.2以降、ローカルネットワーク上でAFPボリュームをアドバタイズする方法は、以前のシステムバージョンとの下位互換性がありません。簡単に言うと、これでようやくニュアンスが理解できたと思います。
- Mac OS 8 は、Ethernet ネットワークなど、Mac OS 8 コンピュータが接続されているネットワークに情報を提供するネットワーク インターフェイス上の Leopard で AppleTalk が有効になっている場合、Tiger および Leopard の AFP 共有ボリュームにアクセスし、セレクタでそれらのボリュームを表示できます。
-
Mac OS 9 および Mac OS X 10.1 ~ 10.3 は、AppleTalk または AFP-over-IP 経由で AFP 共有ボリュームにアクセスできます。(Mac OS X 10.0 では AppleTalk 接続は許可されていませんが、正気で 10.0 をまだ使用している人はいないでしょう。)
-
Mac OS 9 および Mac OS X 10.0 ~ 10.1 では、接続先のネットワーク上で AppleTalk を使用せずに共有されている AFP ボリュームを検出できませんが、IP アドレスまたはドメイン名で接続することはできます。
-
Mac OS X 10.2 以降では、Rendezvous (10.2、10.3) および Bonjour (10.4、10.5) を使用して AFP 共有ボリュームを検出できます。
この件に関する Apple の技術ノートには、さまざまなバージョンの Mac OS でネットワークを使用しているユーザーが問題をすべて解決するのに役立つはずの追加の詳細が多数記載されています。
つまり、ネットワーク上で古いバージョンのMac OSを複数使用している場合は、AppleTalkを有効にする必要があります。TigerとLeopardはAppleTalk経由でAFPサーバーに接続できませんが、古いマシンにはAppleTalkを提供できます。
LeopardでAppleTalkを有効にするには、ネットワーク環境設定パネルを開き、Ethernetなどのインターフェースを選択して「AppleTalk」タブを選択します。「AppleTalkを有効にする」チェックボックスをオンにします。通常版のLeopardでは、AppleTalkを一度に有効にできるインターフェースは1つだけですが、サーバ版では複数のインターフェースでAppleTalkを有効にできます。