JPH08329102A - ファイルアクセス管理方法 - Google Patents

ファイルアクセス管理方法

Info

Publication number
JPH08329102A
JPH08329102A JP7133178A JP13317895A JPH08329102A JP H08329102 A JPH08329102 A JP H08329102A JP 7133178 A JP7133178 A JP 7133178A JP 13317895 A JP13317895 A JP 13317895A JP H08329102 A JPH08329102 A JP H08329102A
Authority
JP
Japan
Prior art keywords
mount
user
access
file
machine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP7133178A
Other languages
English (en)
Inventor
Satoko Odawara
都子 小田原
Hiroaki Odawara
宏明 小田原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP7133178A priority Critical patent/JPH08329102A/ja
Publication of JPH08329102A publication Critical patent/JPH08329102A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【目的】従来のNFS環境において、マウント権の管理を
マシン単位だけでなくユーザ単位でも行ない、ユーザが
アクセス権が許可されているファイルに対しては、ネッ
トワークに接続されているマシンからならばマシンによ
らずマウントすることを可能にすること,マウントした
際にユーザごとに個別の環境を提供することを可能にす
ることを目的とする。 【構成】サーバとなるマシンまたはネットワークシステ
ムの管理情報を管理しているマシン上に、マウント情報
データベース作成処理部とマウント権判定処理部とマウ
ント処理インターフェイス部を含むアクセスユーザ管理
処理部と、マウント情報データベースを備える。 【効果】NFS環境の特長を損なうことなく、かつ大掛か
りな変更することなく自動的にユーザ単位のファイルア
クセス管理をすることができる。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、ネットワークシステム
に接続されている計算機システム間でのファイルアクセ
スの管理方法に関する。
【0002】
【従来の技術】ネットワークシステムに接続された計算
機システム間でファイルを共有する手段のひとつとし
て、NFS(Network File Systrem)がある。(HBJ出版局
「UNIXネットワークシステムの使い方」1992年6月25日
第1版p22からp35)。NFSは、SUN Microsystems社が
開発したネットワークサービスで分散ファイルシステム
のことである。NFSはネットワークに接続された計算機
システム間で、あるマシンが他のマシンのファイルシス
テムを共有できるようにするもので、ユーザからみれば
「マウント」処理によって他マシン上のファイルをロー
カルファイルのように扱うことができる。すなわちマシ
ンAにとって、マシンA自身のファイルも、マシンAにマ
ウントされたマシンBのファイルも全く同じようにアク
セスできる。
【0003】NFSマウントでは、「マシンAのディレクト
リ /dirA にマシンBのディレクトリ/dirB があるのと
同じようにみせる」ことは、以下のような設定により実
現する。まず、マシンB(サーバとなる)では「マシン
Aに対して、自分のファイルシステム内のディレクトリ
/dirB へのアクセスを許可する」意味の設定をエクスポ
ートファイルに記述して、エクスポートを実行する。一
方、マシンA(クライアントとなる)では「自分のファ
イルシステム内のディレクトリ /dirA にマシンBのディ
レクトリ /dirB をマウントする」意味のマウント設定
をして、マウントを実行する。この結果、マシンAのフ
ァイルツリーの /dirA の部分に /dirBというディレク
トリがあり、自分のファイルシステム中にあるのと同じ
ように扱うことができる。ディレクトリでなくファイル
であっても同じである。
【0004】例えば「cd /dirA 」という簡単なコマン
ドでマシンBのファイシステム内のディレクトリ dirBに
移動できるが、このときユーザはネットワークを介して
マシンBにアクセスしていることは意識する必要はな
い。ファイルの透過的アクセス,異機種間結合の簡単さ
はNFSの特長である。
【0005】
【発明が解決しようとする課題】従来のNFSマウントで
は、サーバマシンBのエクスポートファイル中に「ディ
レクトリdirB へのマウントアクセスはマシンAに対して
のみ許可する」と設定されている場合、サーバマシンB
においてはディレクトリdirB の所有者であっても、マ
シンCからでは(例えマシンCがネットワークで接続され
ていても)ディレクトリdirBをマウントしてアクセスす
ることができない。つまり、指定された計算機システム
間のディレクトリ(ファイル)のマウントはマシン単位
で設定、管理されておりユーザごとではないので、ファ
イルのアクセス権があるユーザであっても、登録マシン
からでないとマウントすることができない。
【0006】本発明の第1の目的は、従来のNFS環境に
おいて、マウント権の管理をマシン単位だけでなくユー
ザ単位でも行ない、ユーザがアクセス権が許可されてい
るファイルに対しては、ネットワークに接続されている
マシンからならばマシンによらずマウントすることを可
能にすることである。
【0007】本発明の第2の目的は、ユーザごとに管理
されたマウント処理について、ユーザごとに個別の環境
を提供することを可能にすることである。
【0008】
【課題を解決するための手段】本発明のファイル管理方
法では、上記第1の目的を達成するため、サーバとなる
マシンまたはネットワークシステムの管理情報を管理し
ているマシン上に、マウント情報データベース作成処理
部とマウント権判定処理部を含むアクセスユーザ管理処
理部と、マウント情報データベースを備える。
【0009】マウント情報データベース作成処理部は、
ユーザからの設定要求によりエクスポートファイルやマ
ウント情報データベースを作成する。また、マウント権
判定処理部はユーザからのマウント要求に対してエクス
ポートファイルとマウント情報データベースの内容を参
照してマウント許可または禁止の判定をする。
【0010】マウント情報データベースには、ファイル
やディレクトリごとに、読み出し,書き込みなどのアク
セス可能なユーザ,アクセスに必要なパスワードやアク
セスの際に提供する環境,およびマウントによるアクセ
スの履歴等の情報を格納する。 上記第2の目的を達成
するため、サーバとなるマシンまたはネットワークシス
テムの管理情報を管理しているマシン上に、マウント処
理インターフェイス部を含むアクセスユーザ管理処理部
を備える。
【0011】マウント処理インターフェイス部は、マウ
ント情報データベース作成処理やマウント権判定処理の
際、クライアントマシンとサーバマシン間の処理におい
て,サーバマシン側のインターフェイスの役割をして、
適当な処理部を起動したり、マウントアクセスの履歴や
アクセスに関する情報を保存処理する。
【0012】アクセスユーザ管理処理部とマウント情報
データベースを備えることにより、NFS環境の特長を損
なうことなく、かつ大掛かりな変更なしに上記目的を達
成することができる。
【0013】
【作用】アクセス管理処理部は、マウント情報データベ
ース作成処理部とマウント権判定処理部とマウント処理
インターフェイス部を含む。
【0014】マウント情報データベース作成処理部は、
ユーザからの設定要求によりエクスポートファイルとマ
ウント情報データベースを作成する。ファイルまたはデ
ィレクトリ作成時、ファイルの所有者は、読み出しや書
き込みなどのアクセス可能なユーザまたはマシン、およ
びアクセスに必要なパスワードを指定する。これらの情
報をエクスポートファイルとマウント情報データベース
に格納する。例えば、読み出しや書き込みなどのアクセ
ス可能なマシンが指定された場合は、エクスポートファ
イルに書き込む。それ以外の情報はマウント情報データ
ベースに書き込む。
【0015】読み出しや書き込みなどのアクセス可能な
マシンをエクスポートファイル内での指定することは、
従来のNFSマウント設定の通りである。ユーザが直接エ
クスポートファイルに書き込み、その権利はスーパーユ
ーザのみに与えられている。本発明では、ユーザが直接
エクスポートファイルに書き込むのでなく、マウント情
報データベース作成処理部がユーザの指定に従って、ア
クセス可能なマシンの情報をエクスポートファイルに、
それ以外をマウント情報データベースに書き込む。所有
者または所有者と同等の権限を持つユーザが、マウント
情報データベースを変更することができる。
【0016】マウント権判定処理部は、ユーザからのマ
ウント要求に対してエクスポートファイルとマウント情
報データベースの内容に基づきアクセス管理をする。ユ
ーザ(クライアントマシン)からのマウント要求がきた
とき、従来のNFSではサーバマシンのエクスポートファ
イルのみを参照して、エクスポートファイル中で指定さ
れたマシンに対してのみマウントを許可することでアク
セス権の管理をしていた。マウント権判定処理部は、ユ
ーザ(クライアントマシン)からのマウント要求がきた
とき、サーバマシンのエクスポートファイルの内容から
マウント可能なマシンか否かを判定し、さらにマウント
情報データベースの内容からアクセス可能なユーザであ
るか否かを判定し、マウントを許可するか拒絶するかを
判定する。 マウント処理インターフェイス部は、ユー
ザからファイルの属性指定があったときには、マウント
情報データベース作成処理部を起動し、対話的あるいは
コマンドレベルの設定要求をマウント情報データベース
作成処理部に渡す。ユーザからマウント要求があったと
きには、マウント権判定処理部を起動し、対話的あるい
はコマンドレベルのマウント要求をマウント権判定処理
部に渡し、判定結果を返す。マウントが実行されるとき
には、マウント情報データベースを参照してユーザ別の
環境を提供し、さらにマウント中は、マウントアクセス
のユーザ別履歴情報の保存、アクセスコストの計算等の
処理をする。
【0017】アクセス管理処理部は、マウント情報デー
タベースに基づいてマシンによらないユーザ単位のマウ
ント管理機能を提供し、マウント情報データベースは、
ユーザの設定に従いユーザ単位のマウント権と環境を管
理する情報を提供する。
【0018】
【実施例】本発明の実施例の説明に先立ち、まず本発明
によるファイルアクセス管理方法の全体構成の概要を図
1の構成ブロック図を用いて説明する。
【0019】図1では、計算機システム110と計算機
システム130がネットーワーク150で接続されてい
る。計算機システム110は、プロセッサ111,記憶
装置115,入出力装置119から構成され、計算機シ
ステム130は、プロセッサ131,記憶装置135,
入出力装置139から構成されている。
【0020】ここで計算機システム110をサーバ,計
算機システム130をクラアントとする。計算機システ
ム130は、計算機システム110に接続されているデ
ィスク装置117中のファイル(ディレクトリ)をアク
セスしたい。NSFでマウントするためには、サーバであ
る計算機システム110ではエクスポート設定処理,ク
ライアントである計算機システム130ではマウント処
理が必要である。
【0021】本発明の第1の特徴は、サーバ側にアクセ
スユーザ管理処理部(120)とマウント情報データベ
ース(125)を備えることである。
【0022】アクセスユーザ管理処理部は、マウント情
報データベース作成処理部(121)とマウント権判定
処理部(122)とマウント処理インターフェイス部
(123)を含む。マウント情報データベース作成処理
部は(121)、ユーザからの設定要求によりエクスポ
ートファイルやマウント情報データベースを作成する。
マウント権判定処理部(122)は、ユーザからのマウ
ント要求に対して、エクスポートファイルとエクスポー
ト情報データベースの内容を参照して公開するか否かの
判定をする。マウント処理インターフェイス部(12
3)は、クライアントマシンとサーバマシン間の処理に
おいてインターフェイスの役割をする。
【0023】エクスポートファイル(124)は従来の
NFSのエクスポートファイルそのものである。マウント
情報データベースに格納されている情報は、ファイルや
ディレクトリごとの、読み出し,書き込みなどのアクセ
ス可能なユーザ、および必要ならばアクセスのためのパ
スワード等である。ユーザのマウント要求を受けた時に
アクセス管理処理部がアクセスを許可するか否かの判定
のために使用される。
【0024】以上より、マシン単位だけでなくユーザ単
位でファイルのアクセスを管理する。次に、図2を用い
て、従来のNFSマウントにおけるエクスポートとマウン
ト処理を説明する。
【0025】210はサーバマシン、230,240,
250はクライアントマシンである。これらの計算機シ
ステムがネットワークシステム290に接続されてい
る。おのおののマシン上ではNFSに必要ないくつかのデ
ーモンが適切なタイミングで起動されていることを前提
とする。
【0026】サーバマシン(マシン名alpha)には、例
えば /usr/etc/exports といったエクスポートファイル
(211)がある。エクスポートファイル中には、公開
対象すなわちアクセス可能なマシンが設定されている。
このエクスポートファイルの例では、以下が指定されて
いる。「すべてのマシンに対して/dirX/dirA を公開す
る。おなじくすべてのマシンに対して/dirX/dirB を公
開する。マシンgammaに対してのみ /dirX/dirC を公開
する。 マシンbetaに対してのみ/dirX/dirD を公開す
る。」 235は、クライアントマシン230(マシン名beta)
からサーバマシン210に対する/dirX/dirA のマウン
ト要求である。サーバマシンのエクスポートファイル
(211)には、「すべてのマシンに対して/dirX/dirA
を公開する」ことが指定されている。従って、クライ
アントマシンの指定されたマウントポイントであるディ
レクトリに/dirX/dirA をマウントすることができる。
マウントした後はローカルファイルと同じように扱うこ
とができる。
【0027】245は、クライアントマシン240(マ
シン前はgamma)からサーバマシン210に対する /dir
X/dirCのマウント要求である。サーバマシンのエクスポ
ートファイル(211)には、「 マシンgammaに対して
のみ/dirX/dirCを公開する」ことが指定されている。従
って、指定されたマウントポイントであるディレクトリ
に/dirX/dirCをマウントすることができる。マウントし
た後はローカルファイルと同じように扱うことができ
る。
【0028】255は、クライアントマシン250(マ
シン前はdelta)からサーバマシン210に対する /dir
X/dirCのマウント要求である。サーバマシンのエクスポ
ートファイル(211)には、「マシンbetaに対しての
み /dirX/dirCを公開する」ことが指定されている。ク
ライアントマシンdeltaには /dirX/dirCは公開されてお
らず、これをマウントすることはできない。クライアン
トマシン250からサーバマシン210に対する /dirX
/dirCのマウント要求は拒絶される。ユーザusrAが、/di
rX/dirC の所有者であっても、クライアントマシン25
0(delta)からサーバマシン210に対して /dirX/di
rCのマウントを要求した場合、当ディレクトリは公開さ
れていないためマウント要求は拒絶される。
【0029】マシン230,240,250の電源投入
時に、235,245,255のマウント要求が自動的
にサーバに送られて同時に処理されてもよいし、ユーザ
が意図的に送ったマウント要求を受けてサーバ側で処理
してもよい。また、この例の235,245,255の
マウント要求は、スーパーユーザのmountコマンドの実
行によるマウント要求であるが、オートマウンタを用い
た一般ユーザからのマウント要求であっても同じであ
る。
【0030】以下、本発明の一実施例を詳細に説明す
る。まず、本発明におけるエクスポートの例を図3を用
いて説明する。図3において、310はサーバマシン、
330,340,350はクライアントマシンである。
これらの計算機システムがネットワークシステム390
に接続されている。
【0031】サーバマシン310に対して、ファイルの
オーナーより以下のようなファイル属性の指示があった
とする(320)。「すべてのマシンとユーザに対して
/dirX/dirA を公開する(321)。 ユーザuserAとus
erBについてはすべてのマシンからのマウント要求を受
け /dirX/dirB を公開する。但しパスワードを要求する
(322)。 すべてのユーザについてマシンgammaから
ならのマウント要求を受け/dirX/dirC を公開する(3
23)。 ユーザグループuser_grAのメンバについてマ
シンbetaからのマウント要求を受け/dirX/dirDを公開す
る。(324)」エクスポートファイル(331)には
マシンに関する公開すなわちマウント許可の情報を格納
する。この例では、エクスポートファイルの内容は以下
の通りになる。「すべてのマシンに対して /dirX/dirA
を公開する。おなじくすべてのマシンに対して /dirX/d
irB を公開する。 マシンgammaに対してのみ/dirX/dirC
を公開する。マシンbetaに対してのみ /dirX/dirD を
公開する。」 マウント情報データベース(332)にはエクスポート
ファイルに含まれないマウント許可の情報を格納する。
この例では、マウント情報データベースの内容は以下の
通りになる。「(公開対象が限定されていないので)
すべてのユーザに対して/dirX/dirA を公開する。ユー
ザuserAとuserBに対して/dirX/dirBを公開する。ただし
マウントする場合にはパスワードを要求する 。(公開
対象が限定されていないので)すべてのユーザに対して
/dirX/dirC を公開する。ユーザグループuser_grAのメ
ンバに対してのみ /dirX/dirD を公開する。」 ここでマウント情報データベースは、ファイル名または
ディレクトリ名がテーブルのインデックスとして使われ
ているが,ファイル名またはディレクトリ名でなくユー
ザ名をインデックスとすれば,個人環境などの情報を参
照しやすくすることができる。
【0032】次に、本発明におけるマウント処理の例を
図4を用いて説明する。図4において、310はサーバ
マシン、330,340,350はクライアントマシン
である。これらの計算機システムがネットワークシステ
ム390に接続されている。
【0033】サーバマシンのエクスポートファイル(3
11)中には、以下の内容が指定されている。「すべて
のマシンに対して /dirX/dirA を公開する。おなじくす
べてのマシンに対して /dirX/dirB を公開する。 マシ
ンgammaに対してのみ/dirX/dirC を公開する。マシンbe
taに対してのみ /dirX/dirD を公開する。」 435は、ユーザuser1によるクライアントマシン33
0からサーバマシン310に対する /dirX/dirAのマウ
ント要求である。サーバマシンのエクスポートファイル
(311)には、「すべてのマシンに対して /dirX/dir
Aを公開する」ことが指定されている。次にマウント情
報データベース(332)を参照すると、「 すべての
ユーザに対して/dirX/dirA を公開する」ことが指定さ
れている。両者より、アクセス管理処理部は、「すべて
のマシンのすべてのユーザからのマウント要求に対して
マウントを許可することができる」と判定する。従っ
て、クライアントマシンのマウントポイントであるディ
レクトリには /dirX/dirAがマウントすることができ
る。マウントした後はローカルファイルと同じように扱
うことができる。
【0034】445は、ユーザuser2によるクライアン
トマシン340(マシン前はgamma)からサーバマシン
310に対する /dirX/dirCのマウント要求である。サ
ーバマシンのエクスポートファイル(311)には、
「 マシンgammaに対してのみ/dirX/dirCを公開する」こ
とが指定されている。次にマウント情報データベース
(332)を参照すると、「 すべてのユーザに対して/
dirX/dirCを公開する」ことが指定されている。両者よ
り、アクセス管理処理部は、「マシンgamma からのすべ
てのユーザからのマウント要求に対してマウントを許可
することができる」と判定する。従って、指定されたマ
ウントポイントであるディレクトリに/dirX/dirCがマウ
ントすることができ、マウント後はローカルファイルと
同じように扱うことができる。
【0035】455は、ユーザuser3によるクライアン
トマシン350(マシン前はbeta)からサーバマシン3
10に対する /dirX/dirDのマウント要求である。但
し、ユーザuser3は別に定義されたユーザグループuser_
grAのメンバではない。サーバマシンのエクスポートフ
ァイル(311)には、「 マシンbetaに対してのみ/di
rX/dirDを公開する」ことが指定されている。次にマウ
ント情報データベース(332)を参照すると、「ユー
ザグループuser_grAのメンバに対してのみ/dirX/dirDを
公開する」ことが指定されている。両者より、アクセス
管理処理部は、「マシンbeta からであってもユーザグ
ループuser_grAのメンバ以外のマウント要求に対してマ
ウントを許可することができない」と判定する。従っ
て、クライアントマシンbetaには /dirX/dirDをマウン
トすることはできない。結果的にクライアントマシン3
50からサーバマシン310に対する /dirX/dirDのマ
ウント要求は拒絶される。
【0036】NFSは、NIS(Network Information Servic
e)と組み合わせて使用されることも多い。NISにより、
ユーザ情報やグループ情報といったシステム管理情報に
ついての一貫性の保証を強化することができる。本発明
のファイル管理方法は、NFSをNISとの組み合わせて使用
する場合でもそのまま適用することができる。
【0037】次に各部の処理の概要を示す。図5は、ア
クセスユーザ管理処理部のマウント情報データベース作
成処理を表わすフローチャートである。
【0038】ファイルまたはディレクトリの所有者が、
読み出しや書き込みなどのアクセス可能なユーザ・マシ
ン,およびアクセスに必要なパスワード等を指定する
(501)。この指定を受けて、マウント情報データベ
ース作成処理(502)が起動される。これは、ファイ
ルまたはディレクトリ作成時に初期的に行なわれるが、
その後所有者または所有者と同等の権限を持つユーザな
らば設定内容を変更することもできる。
【0039】まず、ユーザの指定の中に「マウントを許
可するマシンの限定があるか」が判定され(503)、
マシンの限定があれば、読み出しや書き込みなどのアク
セス可能なマシンの限定の情報をエクスポートファイル
に書き込む(504)。マシンの限定がなければ、それ
は「どのマシンに対しても公開する」と判定して、それ
をエクスポートファイルに書き込む(505)。次に
「公開対象のユーザに限定があるか」が判定され(50
6)、ユーザの限定があればその内容をマウント情報デ
ータベースに書き込む(507)。ユーザの限定にあた
っては、ユーザ名を列挙してもよいし、別に定義された
グループを指定してもよい。ここでのグループとは、UN
IX(UNIX System Lab.,Inc.が開発しライセンスしてい
るもの)でいうところのユーザグループとは異なる。ユ
ーザの内の部分集合であるグループはいくつ定義されて
もよい。UNIXのユーザグループのみをグループとして認
めるならば、マウント情報データベースの替わりにUNIX
のファイルまたはディレクトリの属性(読み出し,書き
込み等のアクセス権。モードと呼ばれる)を参照するこ
とができる。ここで、ユーザの限定がなければ、それは
「すべてのユーザからのマウント要求に対してマウント
を許可する」と判定して、それをマウント情報データベ
ースに書き込む(508)。パスワードや環境等の設定
があれば、その情報をマウント情報データベースに格納
する(509)。
【0040】図6は、アクセスユーザ管理処理部のマウ
ント権判定処理を表わすフローチャートである。
【0041】クライアントマシンからのマウント要求は
種類のタイミングに分けられる。電源投入時に自動でマ
ウントを要求してマウントする場合と、ユーザが直接マ
ウントコマンドを実行してマウントする場合である。サ
ーバマシンにマウント要求が到着した時(601)、こ
のいずれであるかによって(603)、電源投入時の自
動マウント要求の発行ならば、マシン電源投入時マウン
ト要求に関するマウント処理を実行する(610)。ユ
ーザによるマウントコマンドの実行ならば、要求された
ディレクトリまたはファイルについての要求元マシンに
対する公開の可否を、エクスポートファイル(621)
より判定して(604)、公開されていないならばマウ
ント要求は拒絶されたとする。公開されていた場合、マ
ウント要求を発行したユーザがマウント許可されている
ユーザか否かを、マウント情報データベース(622)
より判定する(604)。マウント要求を発行している
loginユーザ名が、マウント情報データベース中で、該
当ディレクトリまたはファイルについてアクセス許可ユ
ーザ名のリストに等されているか否かで判定する。登録
されていないならばマウント要求は拒絶されたとする。
登録されていた場合で、アクセスに関してパスワードが
設定されていれば(606)、ユーザのパスワード入力
を要求後(607)、マウントを許可すると判定する
(608)。
【0042】図7は、マウント権判定処理のうち、クラ
イアントマシンがサーバマシンに対して電源投入時にマ
ウント要求を発行する場合の判定処理を表わすフローチ
ャートである。
【0043】電源投入時にマウント要求を発行した場合
は、まず要求されたディレクトリまたはファイルについ
ての要求元マシンに対する公開の可否を、エクスポート
ファイル(711)より判定して(701)、公開され
ていないならばマウント要求は拒絶する。公開されてい
た場合、以降はマウント要求が発生した毎に発行ユーザ
がマウント許可されているユーザか否かを、マウント情
報データベース(712)より判定する(702)。マ
ウント要求を発行しているloginユーザ名が、マウント
情報データベース中で、該当ディレクトリまたはファイ
ルについてアクセス許可ユーザ名のリストに等されてい
るか否かで判定する。登録されていないならばマウント
要求は拒絶されたとする。登録されていた場合で、アク
セスに関してパスワードが設定されていれば(70
3)、ユーザのパスワード入力を要求後(704)、マ
ウントを許可すると判定する(705)。
【0044】本実施例では、オートマウンタ機能を利用
して一般ユーザがマウント要求する。スーパーユーザが
mountコマンドを実行してマウント要求する場合もある
が、いずれも変わらない。
【0045】図8は、マウント処理インターフェイス部
の処理を表わすフローチャートと,各構成要素間の関係
を示した図である。
【0046】この例では,サーバマシン(800)上
に、マウント処理インターフェイス部(801)とマウ
ント情報データベース作成処理部(810)と、マウン
ト権判定処理部(820)と、エクスポートファイル
(830)と、マウント情報データベース(840)が
ある。サーバマシンでなく、ネットワーク構成の管理情
報を管理するマシンであっても同じである。
【0047】ユーザの入力(850)により、ファイル
の属性指定やマウントの要求があった場合、マウント処
理インターフェイス部(801)中のインターフェイス
部(802)がユーザの入力内容を解釈して、ファイル
の属性指定であった場合には、マウント情報データベー
ス作成処理部を起動してマウント情報データベース作成
処理をさせる(803)。マウント要求であった場合に
は、マウント権判定処理部を起動してマウント権の判定
をさせる(804)。ユーザの指定内容によって,イン
ターフェイス部(802)は対話的に設定内容を問い合
わせてもよいし,コマンドによって指定された場合は,
その内容を解析してそれぞれの処理部に指定内容を渡し
てもよい。マウント権を判定した結果、マウントが許可
される場合でマウント情報データベースに個人環境等が
設定されている場合には、その指定にしたがって環境の
提供をする(806)。マウントしてファイルにアクセ
スしている間は、目的に応じてアクセス履歴の保存処理
や、アクセスコストの計算等をする(807)。保存情
報はマウント情報データベースに格納してもよいし,別
のテーブルに格納してもよい。
【0048】尚、明細書中に記載した会社名、製品名な
どはそれぞれ各社の登録商標または商標である。
【0049】
【発明の効果】NFS環境の特長を損なうことなく、かつ
大掛かりな変更することなく自動的にユーザ単位のファ
イルアクセス管理をすることができる。
【図面の簡単な説明】
【図1】本発明の全体システム構成である。
【図2】従来のNFSマウントにおけるエクスポートとマ
ウント処理である。
【図3】本発明におけるエクスポート処理の例である。
【図4】本発明におけるマウント処理の例である。
【図5】マウント情報データベースを作成処理を表わす
フローチャートである。
【図6】アクセス権判定処理を表わすフローチャートで
ある。
【図7】クライアントマシンの電源投入時にマウント要
求を発行する場合の、アクセス権判定処理を表わすフロ
ーチャートである。
【図8】マウント処理インターフェイス部の処理を表わ
すフローチャートである。
【符号の説明】
110および130…計算機システム、150…ネット
ーワーク、111…プロセッサ、115…記憶装置、1
19…入出力装置、120…アクセスユーザ管理処理
部、121…マウント情報データベース作成処理部、1
22…マウント権判定処理部、123…マウント処理イ
ンターフェイス部、124…exportsファイル、125
…マウント情報データベース、131…プロセッサ、1
35…記憶装置、139…入出力装置、140…マウン
ト要求

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】ネットワークに接続された計算機間でファ
    イルシステムを共有する分散型ファイルシステムにおい
    て、サーバ計算機またはネットワークシステムの管理情
    報を管理する計算機上に、ユーザおよびユーザグループ
    ごとに、サーバ計算機のファイルシステムの一部または
    全部への読み出し権と書き込み権と実行権を含むアクセ
    ス権と,アクセス可能な条件と,アクセス実行時のソフ
    トウエア環境とを格納するマウント情報データベースを
    備えることを特徴とするファイルアクセス管理方法。
  2. 【請求項2】請求項1のファイルアクセス管理方法にお
    いて、サーバ計算機またはネットワークシステムの管理
    情報を管理する計算機上にマウント情報データベース作
    成処理部を備え、該マウント情報データベース作成処理
    部は、ユーザが入力した、サーバ計算機のファイルシス
    テムの一部または全部への読み出し権と書き込み権と実
    行権を含むアクセス権と,アクセス可能な条件と,アク
    セス実行時のソフトウエア環境の設定を、前記マウント
    情報データベースに格納することを特徴とするファイル
    アクセス管理方法。
  3. 【請求項3】請求項1のファイルアクセス管理方法にお
    いて、サーバ計算機またはネットワークシステムの管理
    情報を管理する計算機上にマウント権判定処理部を備
    え、該マウント権判定処理部は,クライアント計算機上
    のユーザからのファイルアクセス要求に対して、前記マ
    ウント情報データベースの内容に基づいて該ユーザへの
    サーバ計算機のファイルシステムの公開の可否を判定
    し、ユーザ単位でファイルのアクセス権を管理すること
    を特徴とするファイルアクセス管理方法。
  4. 【請求項4】請求項1のファイルアクセス管理方法にお
    いて、サーバ計算機またはネットワークシステムの管理
    情報を管理する計算機上にマウント処理インターフェイ
    ス部を備え、マウント処理インターフェイス部がユーザ
    ごとのサーバ計算機へのアクセス履歴情報をマウント情
    報データベースに格納することを特徴とするファイルア
    クセス管理方法。
  5. 【請求項5】請求項1のファイルアクセス管理方法にお
    いて、サーバ計算機またはネットワークシステムの管理
    情報を管理する計算機上にマウント処理インターフェイ
    ス部を備え、クライアント計算機上のユーザからのアク
    セス権とアクセス環境を指定する会話形式またはコマン
    ドレベルの入力に対しては、該アクセス権およびアクセ
    ス環境指定内容をマウント情報データベース作成処理部
    に渡してマウント情報データベース作成処理部を起動
    し、クライアント計算機上のユーザからのファイルアク
    セスを要求する会話形式またはコマンドレベルの入力に
    対しては、該ファイルアクセス要求内容をマウント権判
    定処理部に渡してマウント権判定処理部を起動すること
    を特徴とするファイルアクセス管理方法。
JP7133178A 1995-05-31 1995-05-31 ファイルアクセス管理方法 Pending JPH08329102A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP7133178A JPH08329102A (ja) 1995-05-31 1995-05-31 ファイルアクセス管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP7133178A JPH08329102A (ja) 1995-05-31 1995-05-31 ファイルアクセス管理方法

Publications (1)

Publication Number Publication Date
JPH08329102A true JPH08329102A (ja) 1996-12-13

Family

ID=15098512

Family Applications (1)

Application Number Title Priority Date Filing Date
JP7133178A Pending JPH08329102A (ja) 1995-05-31 1995-05-31 ファイルアクセス管理方法

Country Status (1)

Country Link
JP (1) JPH08329102A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09198297A (ja) * 1995-10-03 1997-07-31 Internatl Business Mach Corp <Ibm> 拡張属性サポートを有する分散ファイル・システム・トランスレータ
US8339649B2 (en) 2003-07-29 2012-12-25 Ricoh Company, Ltd. Information processing system, method and recording medium
JP2013175059A (ja) * 2012-02-24 2013-09-05 Ricoh Co Ltd 通信システム、サーバ、端末、プログラム
JP2014056454A (ja) * 2012-09-13 2014-03-27 Ricoh Co Ltd 通信システム、情報処理装置、端末

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09198297A (ja) * 1995-10-03 1997-07-31 Internatl Business Mach Corp <Ibm> 拡張属性サポートを有する分散ファイル・システム・トランスレータ
US8339649B2 (en) 2003-07-29 2012-12-25 Ricoh Company, Ltd. Information processing system, method and recording medium
US8593678B2 (en) 2003-07-29 2013-11-26 Ricoh Company, Ltd. Information processing system, method and recording medium
US9092182B2 (en) 2003-07-29 2015-07-28 Ricoh Company, Ltd. Information processing system, method and recording medium
US9344596B2 (en) 2003-07-29 2016-05-17 Ricoh Company, Ltd. Information processing system, method and recording medium
US9787867B2 (en) 2003-07-29 2017-10-10 Ricoh Company, Ltd. Information processing system, method and recording medium
US10148846B2 (en) 2003-07-29 2018-12-04 Ricoh Company, Ltd. Information processing system, method and recoding medium
JP2013175059A (ja) * 2012-02-24 2013-09-05 Ricoh Co Ltd 通信システム、サーバ、端末、プログラム
JP2014056454A (ja) * 2012-09-13 2014-03-27 Ricoh Co Ltd 通信システム、情報処理装置、端末

Similar Documents

Publication Publication Date Title
US7320074B2 (en) Apparatus and method for using a directory service for authentication and authorization to access resources outside of the directory service
RU2501082C2 (ru) Управление доступом к документам с использованием блокировок файла
US5675782A (en) Controlling access to objects on multiple operating systems
US5761669A (en) Controlling access to objects on multiple operating systems
EP1058873B1 (en) File access control in a multi-protocol file server
JP4732358B2 (ja) 静的および動的リストの使用を伴う仮想フォルダおよび項目共有のためのシステムおよび方法
US8042151B2 (en) Application context based access control
US7475199B1 (en) Scalable network file system
US20020099944A1 (en) Method and apparatus which enable a computer user to prevent unauthorized access to files stored on a computer
US20020078386A1 (en) Incorporating password change policy into a single sign-on environment
US20080244738A1 (en) Access control
US20070233689A1 (en) Enabling a Web Application to Access a Protected File on a Secured Server
JP2007509410A (ja) コンピュータネットワークにおいて集約されたデータビューを生成するためのシステムおよび方法
EP0817001B1 (en) Flexible mounting and unmounting of user removable media
US7062660B2 (en) Method and apparatus for controlling the performance of a file system mount operation by a user lacking superuser authority
JP4084850B2 (ja) データ処理システムの安全装置及び安全管理方法
JPH08329102A (ja) ファイルアクセス管理方法
JP2000502825A5 (ja)
JPH07295876A (ja) アクセス権管理装置
L’Esteve Design a Data Lake Storage Gen2 Account
US20070282917A1 (en) File operation control device, system, method, and program
JPH02227755A (ja) ファイル管理方式
JPH04349545A (ja) ファイルシステム