WO2014119233A1

WO2014119233A1 - ネットワークシステム

Info

Publication number: WO2014119233A1
Application number: PCT/JP2014/000142
Authority: WO
Inventors: 靖二郎萱場
Original assignee: 日本電気株式会社
Priority date: 2013-01-31
Filing date: 2014-01-15
Publication date: 2014-08-07
Also published as: EP2953051A4; CN104969235A; US10129173B2; EP2953051A1; CN104969235B; JP5991386B2; JPWO2014119233A1; US20150350107A1

Abstract

　アカウント対応表101には、ノード100,200に作成されたアカウントのアカウントIDとアカウント名とが関連付けて記録される。アクセス制御リスト変更部102は、アクセス制御エントリを変更するアカウントのアカウント名と、変更内容とを含むアクセス制御リスト変更要求に応答して、アカウント対応表101から上記アカウント名に関連付けて記録されているアカウントIDを検索し、変更対象になっているアクセス制御リスト中のアカウント制御エントリの内の、上記検索したアカウントＩＤが記録されているアクセス制御エントリを上記変更内容に従って変更する。

Description

ネットワークシステム

　本発明は、ユーザのアカウントを各ノードが個別に管理するワークグループ等のネットワークシステム、そのノード、そのアクセス制御リスト変更方法、及び、プログラムに関する。

　ネットワークシステムには、大きく分けてドメインコントローラを備えているものと、備えていないものとが存在する。ノード数が多い大規模なネットワークシステムは、一般的に複数のドメインを含み、その各々にユーザのアカウントを一元管理するドメインコントローラを備えている。ドメインコントローラを備えることにより、大規模なネットワークシステムを効率的且つ安全に管理、運用することが可能になる。

　これに対して、ノード数が少ないワークグループ等の小規模なネットワークシステムは、一般的にドメインコントローラを備えておらず、個々のノードで個別にユーザのアカウントを管理するようにしている。つまり、ドメインコントローラを備えていないネットワークシステム（個別管理ネットワークシステムという場合もある）では、ユーザはアクセスを希望するノード毎に自身のアカウントを作成しておく必要がある（例えば、特許文献１参照）。

　より具体的には、ドメインコントローラを備えていないネットワークシステムでは、ユーザはアクセスを希望するノード毎に、アカウント名とパスワードとを含んだアカウント作成要求を入力し、各ノードにアカウント名とアカウントＩＤとパスワードとから構成されるアカウント情報を記録しておく必要がある。ここで、アカウント名は人がアカウントを識別するために使用する文字列等である。また、アカウントＩＤはノードがアカウントを一意に識別するために使用する識別子であり、各ノードで独自に生成される。なお、アカウントＩＤはセキュリティ識別子（ＳＩＤ；Security Identifier）と呼ばれることもある。また、同一のアカウント名とパスワードを含んだアカウント作成要求を複数のノードに入力しても、各ノードは独自にアカウントＩＤを生成するので、各ノードで生成されるアカウントＩＤが同一になるとは限らない。上記したようにして登録されたアカウント情報は、認証処理に利用される。ユーザが利用するノードからアカウント名とパスワードとを含む認証要求が送られてくると、ノードは登録されているアカウント情報と端末装置から送られてきた情報とを照合し、照合に成功した場合、自ノードへのアクセスを許可する。

　また、ネットワークシステムでは、セキュリティを高めるため、ファイルやフォルダ等のオブジェクトに対してアクセス制御リスト（ＡＣＬ；Access Control List）を利用したアクセス制御を実施している（例えば、特許文献２参照）。或るオブジェクトのアクセス制御リストには、そのオブジェクトへのアクセスを許可するアカウントのアカウントＩＤとアクセス権限とが記録されたアクセス制御エントリ（ＡＣＥ；Access Control Entry）が含まれる。そして、或るアカウントＩＤ（例えば、ＩＤＸ）を有するアカウントからオブジェクトに対するアクセス要求があった場合は、上記オブジェクトのアクセス制御リストにアカウントＩＤ「ＩＤＸ」が記録されているアクセス制御エントリが含まれているか否かを調べ、含まれていない場合は、アクセスを拒否する。含まれている場合は、更に、アカウントＩＤ「ＩＤＸ」に関連付けて記録されているアクセス権限とアクセス要求の内容とに基づいてアクセスを許可するか否かを決定する。

特開２００６－８５６９７号公報特表２０１１－５２６３８７号公報

　上述したようにドメインコントローラを備えていない個別管理ネットワークシステムでは、各ノードがアカウントを識別するためのアカウントＩＤを独自に生成しており、また、アクセス制御リストを利用したアクセス制御では、アクセス要求元のアカウントをアカウントＩＤによって識別するようにしている。このため、アクセス制御リストを利用してアクセス制御を実施している個別管理ネットワークシステムでは、同一のアカウント名を用いて複数のノードからアクセスできるオブジェクトのアクセス制御リストを変更する場合、変更作業が面倒になるという問題がある。この問題点について、図１６のネットワークシステムを例に挙げて説明する。

　図１６のネットワークシステムは、複数のノードＮ１～Ｎ３と、ノードＮ１，Ｎ２によって共有される共有記憶装置ＳＴとを備えている。

　共有記憶装置ＳＴには、ノードＮ３のユーザＵがアカウント名「ＸＹＺ」を用いてノードＮ１とノードＮ２とからアクセスできるファイルＦが記録されている。ファイルＦは、アクセス制御リストＡＣＬと、ファイル本体ＦＨとを含んでいる。アクセス制御リストＡＣＬには、ノードＮ１にアカウント名「ＸＹＺ」のアカウントを作成する際にノードＮ１が独自に生成したアカウントＩＤ「ＩＤＮ１」とアクセス権限「ＡＬＬ」とが記録されたアクセス制御エントリＡＣＥ１と、ノードＮ２に同一アカウント名「ＸＹＺ」のアカウントを作成する際にノードＮ２が独自に生成したアカウントＩＤ「ＩＤＮ２」とアクセス権限「ＡＬＬ」とが記録されたアクセス制御エントリＡＣＥ２とが含まれている。

　ノードＮ１のアカウント情報記憶部ＳＡには、ノードＮ３からアカウント名「ＸＹＺ」及びパスワード「Ｐ」を含んだアカウント作成要求が送られてきたときに生成したアカウント情報が記録されている。このアカウント情報は、アカウント作成要求に含まれていたアカウント名「ＸＹＺ」及びパスワード「Ｐ」と、自ノードＮ１で独自に生成したアカウントＩＤ「ＩＤＮ１」とから構成されている。

　ノードＮ２のアカウント情報記憶部ＳＢには、ノードＮ３からアカウント名「ＸＹＺ」及びパスワード「Ｐ」を含んだアカウント作成要求が送られてきたときに生成したアカウント情報が記録されている。このアカウント情報は、アカウント作成要求に含まれていたアカウント名「ＸＹＺ」及びパスワード「Ｐ」と、自ノードＮ２で独自に生成したアカウントＩＤ「ＩＤＮ２」とから構成されている。

　ノードＮ３のユーザＵは、アカウント名「ＸＹＺ」を用いてノードＮ１からファイルＦをアクセスする場合、ノードＮ３からノードＮ１に対してアカウント名「ＸＹＺ」やアクセス内容などを含んだアクセス要求を送信する。このアクセス要求に応答してノードＮ１は、アカウント名「ＸＹＺ」に関連付けて記録されているアカウントＩＤ「ＩＤＮ１」をアカウント情報記憶部ＳＡから検索する。ここで、アカウントＩＤ「ＩＤＮ１」を検索するのは、アクセス制御リストＡＣＬでは、アカウントＩＤによってオブジェクト（この場合はファイルＦ）へアクセスできるアカウント（ユーザ）を管理しているからである。

　その後、ノードＮ１は、ファイルＦのアクセス制御リストＡＣＬにアカウントＩＤ「ＩＤＮ１」が記録されているアクセス制御エントリが含まれているか否かを調べる。この例では、アカウントＩＤ「ＩＤＮ１」が記録されているアクセス制御エントリＡＣＥ１が存在するので、ノードＮ１、はアクセス制御エントリＡＣＥ１に記録されているアクセス権限とアクセス要求中のアクセス内容とに基づいてファイルＦへのアクセスを許可するか否かを判定する。この例では、アクセス制御エントリＡＣＥ１に記録されているアクセス権限が「ＡＬＬ」であるので、ユーザＵがファイルＦへアクセスすることを許可する。

　また、ノードＮ３のユーザは、アカウント名「ＸＹＺ」を用いてノードＮ２からファイルＦをアクセスする場合、ノードＮ３からノードＮ２に対してアカウント名「ＸＹＺ」やアクセス内容などを含んだアクセス要求を送信する。これにより、ノードＮ２において前述したノードＮ１で行われた処理と同様の処理が行われ、ファイルＦへのアクセスが許可される。

　次に、ファイルＦのアクセス制御リストＡＣＬを変更する場合の動作を説明する。先ず、ノードＮ３のユーザＵは、ノードＮ３からノードＮ１に対して、アクセス制御リストを変更するオブジェクト（この例ではファイルＦ）の識別情報と、アクセス制御リストの変更対象になるアカウントのアカウント名（例えば「ＸＹＺ」）と、変更内容（例えば、アクセス権限を「ＷＲＩＴＥ」に変更）とを含んだアクセス制御リスト変更要求を送信する。これに応答して、ノードＮ１は、アカウント名「ＸＹＺ」に関連付けて記録されているアカウントＩＤ「ＩＤＮ１」をアカウント情報記憶部ＳＡから検索する。その後、ノードＮ１は、検索したアカウントＩＤ「ＩＤＮ１」が記録されているアクセス制御エントリＡＣＥ１中のアクセス権限を、「ＡＬＬ」から「ＷＲＩＴＥ」に変更する。このままでは、ユーザＵがアカウント名「ＸＹＺ」を使用してノードＮ１からファイルＦをアクセスした場合と、同じアカウント名「ＸＹＺ」を使用してノードＮ２からファイルＦをアクセスした場合とで、アクセス権限が異なるものになってしまう。

　そこで、ユーザＵは、ノードＮ２に対しても上述したアクセス制御リスト変更要求と同一内容のアクセス制御リスト変更要求を送信する。これにより、前述した処理と同様の処理がノードＮ２において行われ、アクセス制御エントリＡＣＥ２中のアクセス権限が「ＡＬＬ」から「ＷＲＩＴＥ」に変更される。このように、ノードＮ１からアクセスしたときのアクセス権限とノードＮ２からアクセスしたときのアクセス権限とを同一にするためには、アクセス制御リスト変更要求をノードＮ１とノードＮ２とに送信しなければならず、アクセス制御リストの変更作業は面倒なものになる。なお、図１６のネットワークシステムは、同一アカウント名「ＸＹＺ」を用いてファイルＦにアクセスできるノードがノードＮ１，Ｎ２の２台であるので、アクセス制御リスト変更要求の送信回数は２回となるが、同一アカウント名「ＸＹＺ」を用いてファイルＦにアクセスノードがＮ台である場合には、アクセス制御リスト変更要求の送信作業をＮ回行わなければならない。

［発明の目的］
　そこで、本発明の目的は、ドメインコントローラを備えていないネットワークシステムでは、同一のアカウント名を用いて複数のノードからアクセスできるオブジェクトのアクセス制御リストを変更する場合、変更作業が面倒になる、という課題を解決したネットワークシステムを提供することにある。

　本発明に係るネットワークシステムは、
　第１のノードと、第２のノードと、前記第１のノードと前記第２のノードとによって共有されるオブジェクト毎のアクセス制御リストであって、そのオブジェクトへのアクセスを許可するアカウントのアカウントＩＤとアクセス権限とが記録されたアクセス制御エントリを含むアクセス制御リストとを備え、
　前記第１のノードは、
　自ノードに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されると共に、前記第２のノードに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されたアカウント対応表と、
　アクセス制御リストを変更するオブジェクトの識別情報と、アクセス制御エントリを変更するアカウントのアカウント名と、変更内容とを含むアクセス制御リスト変更要求に応答して、前記アカウント対応表から前記アクセス制御リスト変更要求中のアカウント名に関連付けて記録されているアカウントＩＤを検索し、該検索したアカウントＩＤが記録されているアクセス制御エントリであって、前記識別情報が示すオブジェクトのアクセス制御リストに含まれているアクセス制御エントリを前記変更内容に従って変更するアクセス制御リスト変更部とを備える。

　本発明に係るノードは、
　自ノードに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されると共に、他ノードに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されたアカウント対応表と、
　自ノードと前記他ノードとによって共有されるオブジェクトの内の、アクセス制御リストを変更するオブジェクトの識別情報と、アクセス制御エントリを変更するアカウントのアカウント名と、変更内容とを含むアクセス制御リスト変更要求に応答して、前記アカウント対応表から前記アクセス制御リスト変更要求中のアカウント名に関連付けて記録されているアカウントＩＤを検索し、該検索したアカウントＩＤとアクセス権限とが記録されているアクセス制御エントリであって、前記識別情報が示すオブジェクトのアクセス制御リストに含まれているアクセス制御エントリを前記変更内容に従って変更するアクセス制御リスト変更部と、を備える。

　本発明に係るアクセス制御リスト変更方法は、
　第１のノードと、第２のノードと、前記第１のノードと前記第２のノードとによって共有されるオブジェクト毎のアクセス制御リストであって、そのオブジェクトへのアクセスを許可するアカウントのアカウントＩＤとアクセス権限とが記録されたアクセス制御エントリを含むアクセス制御リストとを備えたネットワークシステムにおけるアクセス制御リスト変更方法であって、
　前記第１のノードが、アクセス制御リストを変更するオブジェクトの識別情報と、アクセス制御エントリを変更するアカウントのアカウント名と、変更内容とを含むアクセス制御リスト変更要求に応答して、自ノードに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されると共に、前記第２のノードに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されたアカウント対応表から前記アクセス制御リスト変更要求中のアカウント名に関連付けて記録されているアカウントＩＤを検索し、該検索したアカウントＩＤが記録されているアクセス制御エントリであって、前記識別情報が示すオブジェクトのアクセス制御リストに含まれているアクセス制御エントリを前記変更内容に従って変更する。

　本発明に係るプログラムは、
　自コンピュータに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されると共に、他コンピュータに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されたアカウント対応表を備えたコンピュータを、
　自コンピュータと前記他コンピュータとによって共有されるオブジェクトの内の、アクセス制御リストを変更するオブジェクトの識別情報と、アクセス制御エントリを変更するアカウントのアカウント名と、変更内容とを含むアクセス制御リスト変更要求に応答して、前記アカウント対応表から前記アクセス制御リスト変更要求中のアカウント名に関連付けて記録されているアカウントＩＤを検索し、該検索したアカウントＩＤとアクセス権限とが記録されているアクセス制御エントリであって、前記識別情報が示すオブジェクトのアクセス制御リストに含まれているアクセス制御エントリを前記変更内容に従って変更するアクセス制御リスト変更部として機能させる。

　本発明によれば、各ノードが個別にアカウントを管理するネットワークシステムにおいて、同一のアカウント名を用いて複数のノードからアクセスできるオブジェクトのアクセス制御リストを変更する場合であっても、変更作業を簡単なものにすることができるという効果を得ることができる。

本発明の第１の実施の形態に係るネットワークシステムの構成例を示すブロック図である。ファイルの構成例を示す図である。アカウント情報記憶部の内容例を示す図である。アカウント対応表記憶部の内容例を示す図である。ファイルアクセス要求の例を示す図である。クライアントとして機能するノードの構成例を示すブロック図である。アカウント作成時の動作を説明するためのシーケンス図である。アカウント管理部の処理例を示すフローチャートである。認証部の処理例を示すフローチャートである。ファイル登録部の処理例を示すフローチャートである。アクセス制御リストの一例を示す図である。アクセス制御部の処理例を示すフローチャートである。アクセス制御リスト変更部の処理例を示すフローチャートである。アクセス制御リストが変更される様子を示す図である。本発明の第２の実施の形態に係るネットワークシステムの構成例を示すブロック図である。発明が解決しようとする課題を説明するための図である。

　次に、本発明の実施の形態について、図面を参照して詳細に説明する。

［本発明の第１の実施の形態］
　図１を参照すると、本発明の第１の実施の形態に係るネットワークシステムは、ファイルサーバとして機能するノード１，２と、ノード１，２からアクセス可能な共有記憶装置３と、クライアントとして機能するノード４，５とを備え、各サーバ１，２，４，５は、ネットワークＮＷを介して相互に接続されている。本実施の形態では、可用性を高めるため、クライアントとして機能するノード４，５は、共有記憶装置３上のファイル３１－１～３１－Ｎをアクセスする場合、ノード１が正常動作していれば、ノード１を利用してアクセスし、ノード１に障害が発生していれば、ノード２を利用してアクセスする。

　共有記憶装置３上のファイル３１－ｉ（１≦ｉ≦Ｎ）は、図２に示すように、ファイルメタデータ３１１と、アクセス制御リスト３１２と、ファイル本体３１３とから構成されている。ファイルメタデータ３１１には、ファイルの作成日時や、ファイル作成者のアカウント名や、ファイル名などが含まれる。

　ファイルサーバとして機能するノード１，２は、それぞれ送受信部１１，２１と、制御部１２，２２と、記憶装置１３，２３と、キーボード等の入力部１４，２４と、ＬＣＤ等の表示部１５，２５とを備えている。

　ノード１，２内の記憶装置１３，２３には、それぞれアカウント情報記憶部１３１，２３１と、アカウント対応表記憶部１３２，２３２とが設けられている。

　ノード１内のアカウント情報記憶部１３１には、自ノード１に作成されたアカウントのアカウント名、アカウントＩＤ、及び、パスワードを含むアカウント情報が記録される。また、ノード２内のアカウント情報記憶部２３１には、自ノード２に作成されたアカウントのアカウント名、アカウントＩＤ、及び、パスワードを含むアカウント情報が記録される。図３（Ａ）,（Ｂ）は、それぞれアカウント情報記憶部１３１，２３１の内容例を示した図である。

　ノード１内のアカウント対応表記憶部１３２には、自ノード１に作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されると共に、他ノード２に作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されたアカウント対応表が記録される。また、ノード２内のアカウント対応表記憶部２３２には、自ノード２に作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されると共に、他ノード１に作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されたアカウント対応表が記録される。図４（Ａ）,（Ｂ）は、それぞれアカウント対応表記憶部１３２，２３２の内容例を示す図である。

　ノード１，２内の送受信部１１，２１は、それぞれネットワークＮＷを介してデータを送受信する機能を有する。

　ノード１，２内の制御部１２，２２は、それぞれアカウント管理部１２１，２２１と、アカウント対応表管理部１２２，２２２と、認証部１２３，２２３と、ファイルシステム１２４，２２４とを備える。

　ノード１内のアカウント管理部１２１は、クライアントとして機能するノード４やノード５から送られてくる、作成するアカウントのアカウント名およびパスワードを含んだアカウント作成要求に応答して、自ノード１において上記アカウントを一意に識別するアカウントＩＤを生成する機能や、この生成したアカウントＩＤと上記アカウント作成要求中のアカウント名およびパスワードとを含んだアカウント情報をアカウント情報記憶部１３１に記録する機能を有する。更に、アカウント管理部１２１は、上記生成したアカウントＩＤと上記アカウント作成要求中のアカウント名とを含むアカウント対応表登録要求を自ノード１内のアカウント対応表管理部１２２に渡す機能や、上記アカウント対応表登録要求を他ノード２へ送信する機能を有する。なお、アカウントをパスワードによって保護する必要がない場合は、アカウント作成要求にパスワードを含める必要はない。また、アカウント管理部１２１は、パスワードが含まれていないアカウント作成要求が送られてきた場合は、アカウントを一意に識別するアカウントＩＤを生成し、このアカウントＩＤと上記アカウント作成要求中のアカウント名とを含むアカウント情報をアカウント情報記憶部１３１に記録する。

　一方、ノード２内のアカウント管理部２２１は、クライアントとして機能するノード４やノード５から送られてくる、作成するアカウントのアカウント名とパスワードとを含むアカウント作成要求に応答して、自ノード２において上記アカウントを一意に識別するアカウントＩＤを生成する機能や、この生成したアカウントＩＤと、上記アカウント作成要求中のアカウント名およびパスワードとを含むアカウント情報をアカウント情報記憶部２３１に記録する機能を有する。更に、アカウント管理部２２１は、上記生成したアカウントＩＤと上記アカウント作成要求中のアカウント名とを含むアカウント対応表登録要求を自ノード２内のアカウント対応表管理部２２２に渡す機能や、上記アカウント対応表登録要求を他ノード１へ送信する機能を有する。

　ノード１内のアカウント対応表管理部１２２は、自ノード１内のアカウント管理部１２１から渡されたアカウント対応表登録要求に含まれているアカウント名とアカウントＩＤとを関連付けてアカウント対応表記憶部１３２に記録する機能や、他ノード２から送られてきたアカウント対応表登録要求に含まれているアカウント名とアカウントＩＤとを関連付けてアカウント対応表記憶部１３２に記録する機能を有する。

　一方、ノード２内のアカウント対応表管理部２２２は、自ノード２内のアカウント管理部２２１から渡されたアカウント対応表登録要求に含まれているアカウント名とアカウントＩＤとを関連付けてアカウント対応表記憶部２３２に記録する機能や、他ノード１から送られてきたアカウント対応表登録要求に含まれているアカウント名とアカウントＩＤとを関連付けてアカウント対応表記憶部２３２に記録する機能を有する。

　ノード１，２内の認証部１２３，２２３は、それぞれクライアントとして機能するノード４やノード５からアカウント名とパスワードとを含む認証要求が送られてくると、自ノード１，２のアカウント情報記憶部１３１，２３１に記録されているアカウント情報と照合し、照合に成功した場合、ファイルシステム１２４，２２４の利用を許可する機能を有する。

　ノード１，２内のファイルシステム１２４，２２４は、それぞれアクセス制御部１２５，２２５と、ファイル登録部１２７，２２７とを備え、アクセス制御部１２５，２２５は、それぞれアクセス制御リスト変更部（ＡＣＬ変更部）１２６，２２６を備えている。

　ノード１内のアクセス制御部１２５は、下記の（１）～（４）の機能を有する。

（１）クライアントとして機能するノード４やノード５からファイルアクセス要求が送られてきたとき、アクセス対象にするファイルのアクセス制御リストを参照してファイルアクセスを許可するか否かを判定する機能。この機能を詳しく説明すると、次のようになる。

　本実施の形態のファイルアクセス要求には、ファイル本体だけをアクセス対象にするものと、アクセス制御リストだけをアクセス対象にするものと、ファイル本体とアクセス制御リストとの両方をアクセス対象にするものとがある。ファイル本体だけをアクセス対象にするファイルアクセス要求は、図５（Ａ）に示すように、アクセス対象にするファイルのファイル名５１と、ファイル名５１のファイルをアクセスする際に使用するアカウントのアカウント名５２と、ファイル本体に対するアクセス内容（ＷＲＩＴＥやＲＥＡＤ等）５３とを含む。アクセス制御リストだけをアクセス対象にするファイルアクセス要求は、図５（Ｂ）に示すように、アクセス対象にするファイルのファイル名（アクセス制御リストを変更するファイルのファイル名）５１と、このファイル名５１のファイルをアクセスする際に使用するアカウントのアカウント名５２と、アクセス制御エントリを変更するアカウントのアカウント名５４と、アクセス制御リストに対する変更内容５５とを含む。なお、アクセス制御リストに対する変更内容には、アクセス権限の変更だけでなく、アクセス制御エントリの追加や削除も含まれる。ファイル本体とアクセス制御リストとの両方をアクセス対象にするファイルアクセス要求は、図５（Ｃ）に示すように、アクセス対象にするファイルのファイル名５１と、このファイル名５１のファイルをアクセスする際に使用するアカウントのアカウント名５２と、ファイル本体に対するアクセス内容５３と、アクセス制御エントリを変更するアカウントのアカウント名５４と、アクセス制御リストに対する変更内容５５とを含む。

　そして、アクセス制御部１２５は、送られてきたファイルアクセス要求がファイル本体だけをアクセス対象にする図５（Ａ）に示すものである場合は、先ず、アカウント名５２に関連付けて記録されているアカウントＩＤをアカウント情報記憶部１３１から検索し、検索したアカウントＩＤがファイル名５１によって示されるファイルのアクセス制御リストに含まれているか否かを調べ、含まれていない場合は、アクセスを拒否する。含まれている場合は、更に、上記検索したアカウントＩＤに関連付けて記録されているアクセス権限とアクセス内容５３とに基づいてアクセスを許可するか否か判定する。

　また、ファイルアクセス要求がアクセス制御リストだけをアクセス対象にする図５（Ｂ）に示すものである場合は、検索したアカウントＩＤがアクセス対象ファイルのアクセス制御リストに含まれているときの処理以外は前述した処理と同様の処理を行う。検索したアカウントＩＤがアクセス制御リストに含まれている場合は、上記アカウントＩＤに関連付けて記録されているアクセス権限と変更内容５５とに基づいてアクセスを許可するか否かを判定する。

　また、ファイルアクセス要求がファイル本体とアクセス制御リストの両方をアクセス対象にする図５（Ｃ）に示すものである場合は、検索したアカウントＩＤがアクセス制御リストに含まれているときの処理以外は、前述した処理と同様の処理を行う。検索したアカウントＩＤがアクセス制御リストに含まれている場合は、上記アカウントＩＤに関連付けて記録されているアクセス権限と、アクセス内容５３と、変更内容５５とに基づいてアクセスを許可するか否かを判定する。即ち、記録されているアクセス権限で、アクセス内容５３が示す処理と、変更内容５５が示す処理との両方を行える場合は、アクセスを許可し、それ以外の場合はアクセスを拒否する。以上が（１）に示した機能の詳細である。

（２）ファイルアクセス要求がファイル本体だけをアクセス対象にする図５（Ａ）に示すものである場合、ファイル名５１のファイルのファイル本体に対して、アクセス内容５３に従った処理を実施し、要求元に処理結果を返す機能。

（３）ファイルアクセス要求がアクセス制御リストだけをアクセス対象にする図５（Ｂ）に示すものである場合、アクセス制御リスト変更部（ＡＣＬ変更部）１２６を呼出してアクセス制御リストの変更処理を実行させる機能や、要求元に処理結果を返す機能。なお、アクセス制御リスト変更部１２６は、アカウント対応表記憶部１３２に記録されているアカウント対応表からアカウント名５４に関連付けて記録されているアカウントＩＤを全て検索する機能や、ファイル名５１によって示されるファイルのアクセス制御リストに含まれているアクセス制御エントリの内、上記検索したアカウントＩＤが記録されているアクセス制御エントリを変更内容５５に従って変更する機能を有する。但し、変更内容５５がアクセス制御エントリの追加である場合は、検索したアカウントＩＤ毎に、そのアカウントＩＤとアクセス権限とを記録したアクセス制御エントリを、アクセス制御リスト上に作成する。なお、アクセス権限は、変更内容５５に含まれている。

（４）ファイルアクセス要求がファイル本体とアクセス制御リストとの両方をアクセス対象にする図５（Ｃ）に示すものである場合は、上記（２）、（３）の処理を行い、要求元に処理結果を返す機能。

　以上が、アクセス制御部１２５の機能である。なお、ノード２内のアクセス制御部２２５もアクセス制御部１２５と同様の機能を有する。

　ノード１内のファイル登録部１２７は、クライアントとして機能するノード４やノード５からファイル登録要求が送られてきたとき、登録対象ファイルのファイルメタデータ３１１（図２参照）からファイル作成者のアカウント名を抽出する機能や、アカウント対応表記憶部１３２に記録されているアカウント対応表から上記抽出したアカウント名に関連付けて記録されているアカウントＩＤを全て検索する機能や、検索したアカウントＩＤ毎に、そのアカウントＩＤと予め定められているファイル作成者用のアクセス権限（例えば、ＡＬＬ）とを記録したアクセス制御エントリをアクセス制御リスト３１２上に作成する機能。また、ノード２内のファイル登録部２２７も、ファイル登録部１２７と同様の機能を有する。

　なお、ノード１は、コンピュータによって実現可能であり、コンピュータによって実現する場合は、例えば、次のようにする。コンピュータをアカウント管理部１２１、アカウント対応表管理部１２２、認証部１２３、及び、ファイルシステム１２４として機能させるためのプログラムを記録したディスク、半導体メモリ、その他の記録媒体を用意し、コンピュータに上記プログラムを読み取らせる。コンピュータは、読み取ったプログラムに従って自身の動作を制御することにより、自コンピュータ上に、アカウント管理部１２１、アカウント対応表管理部１２２、認証部１２３、及び、ファイルシステム１２４を実現する。また、ノード２もノード１と同様に、コンピュータによって実現することができる。

　図６を参照すると、クライアントとして機能するノード４は、送受信部４１と、制御部４２と、キーボード等の入力部４３と、ＬＣＤ等の表示部４４とを備えている。送受信部４１は、ネットワークＮＷを介してデータを送受信する機能を有する。

　制御部４２は、アカウント作成要求部４２１と、認証要求部４２２と、ファイル登録部４２３と、ファイルアクセス部４２４とを備えている。

　アカウント作成要求部４２１は、ユーザＵ４の指示に従って、アカウント名とパスワードとを含むアカウント作成要求を作成し、ユーザＵ４によって指定されたノードへ送信する機能を有する。

　認証要求部４２２は、ユーザＵ４の指示に従って、アカウント名とパスワードとを含む認証要求をノード１へ送信する機能を有する。但し、ノード１に障害が発生している場合は、認証要求部４２２は、ノード２に対して認証要求を送信する。

　ファイル登録要求部４２３は、ユーザＵ４の指示に従って登録対象ファイルを含んだファイル登録要求をノード１へ送信する機能を有する。但し、ノード１に障害が発生している場合は、ファイル登録要求部４２３は、ノード２に対してファイル登録要求を送信する。

　ファイルアクセス部４２４は、ユーザＵ４の指示に従って図５（Ａ）、図５（Ｂ）または図５（Ｃ）に示すファイルアクセス要求をノード１へ送信する機能を有する。但し、ノード１に障害が発生している場合は、ファイルアクセス部４２４は、ノード２に対して、ファイルアクセス要求を送信する。なお、ノード１に障害が発生しているか否かを判定する判定方法としては、例えば、ノード１に対する要求が所定回数連続して失敗した場合、ノード１に障害が発生していると判定する方法や、ノード１からの正常動作していることを示す信号を受信できなくなった場合、ノード１に障害が発生していると判定する方法等を採用することができる。

　なお、ノード５もノード４と同様の構成を有する。また、ノード４はコンピュータにより実現可能であり、コンピュータにより実現する場合は、例えば、次のようにする。コンピュータをアカウント作成要求部４２１、認証要求部４２２、ファイル登録部４２３、及び、ファイルアクセス部４２４として機能させるためプログラムを記録したディスク、半導体メモリ、その他の記録媒体を用意し、コンピュータに上記プログラムを読み取らせる。コンピュータは、読み取ったプログラムに従って、自身の動作を制御することにより、自コンピュータ上にアカウント作成要求部４２１、認証要求部４２２、ファイル登録部４２３、及び、ファイルアクセス部４２４を実現する。

　次に、本実施の形態の動作について詳細に説明する。

　先ず、ノード４のユーザＵ４がノード１，２にアカウント名「Ａ」のアカウントを作成する場合の動作について説明する。

　ユーザＵ４は、ノード４の入力部４３からアカウント名「Ａ」とパスワード「ＰＡ」と送信先「ノード１」とを含んだアカウント作成指示を入力する。これにより、アカウント作成要求部４２１は、ノード１に対してアカウント名「Ａ」とパスワード「ＰＡ」とを含んだアカウント作成要求を送信する（図７のステップＳ７０１）。

　ノード１内のアカウント管理部１２１は、アカウント作成要求が送られてくると、自ノード１においてアカウントを一意に識別するためのアカウントＩＤ「ＩＤＡ１」を生成する（図７のステップＳ７０２、図８のステップＳ８１）。その後、アカウント管理部１２１は、生成したアカウントＩＤ「ＩＤＡ１」と、アカウント作成要求中のアカウント名「Ａ」及びパスワード「ＰＡ」とを含むアカウント情報を生成し、アカウント情報記憶部１３１に記録する（図７のステップＳ７０３、図８のステップＳ８２、Ｓ８３）。

　更に、アカウント管理部１２１は、アカウント名「Ａ」とアカウントＩＤ「ＩＤＡ１」とを含んだアカウント対応表登録要求をアカウント対応表管理部１２２に渡す（図８のステップＳ８４）。これにより、アカウント対応表管理部１２２は、アカウント対応表記憶部１３２に、アカウント名「Ａ」とアカウントＩＤ「ＩＤＡ１」とを関連付けて記録する（図７のステップＳ７０４）。

　その後、アカウント管理部１２１は、アカウント名「Ａ」とアカウントＩＤ「ＩＤＡ１」とを含んだアカウント対応表登録要求をノード２へ送信する（図７のステップＳ７０５、図８のステップＳ８５）。ノード２内のアカウント対応表管理部２２２は、ノード１から上記アカウント対応表登録要求が送られてくると、アカウント対応表記憶部１３２に、アカウント名「Ａ」とアカウントＩＤ「ＩＤＡ１」とを関連付けて記録する（図７のステップＳ７０６）。

　また、ノード４のユーザＵ４は、ノード２にもアカウント名「Ａ」のアカウントを作成するため、入力部４３からアカウント名「Ａ」と、パスワード「ＰＡ」と、送信先「ノード２」とを含んだアカウント作成指示を入力する。これにより、アカウント作成要求部４２１は、アカウント名「Ａ」と、パスワード「ＰＡ」とを含んだアカウント作成要求をノード２へ送信する（図７のステップＳ７０７）。

　ノード２内のアカウント管理部２２１は、アカウント作成要求が送られてくると、自ノード２においてアカウントを一意に識別するためのアカウントＩＤ「ＩＤＡ２」を生成する（図７のステップＳ７０８、図８のステップＳ８１）。その後、アカウント管理部２２１は、生成したアカウントＩＤ「ＩＤＡ２」と、アカウント作成要求中のアカウント名「Ａ」及びパスワード「ＰＡ」とを含むアカウント情報を生成し、アカウント情報記憶部２３１に記録する（図７のステップＳ７０９、図８のステップＳ８２、Ｓ８３）。更に、アカウント管理部２２１は、アカウント名「Ａ」とアカウントＩＤ「ＩＤＡ２」とを含んだアカウント対応表登録要求をアカウント対応表管理部２２２に渡す（図８のステップＳ８４）。これにより、アカウント対応表管理部２２２は、アカウント対応表記憶部２３２に、アカウント名「Ａ」とアカウントＩＤ「ＩＤＡ２」とを関連付けて記録する（図７のステップＳ７１０）。

　その後、アカウント管理部２２１は、アカウント名「Ａ」とアカウントＩＤ「ＩＤＡ２」とを含んだアカウント対応表登録要求をノード１へ送信する（図７のステップＳ７１１、図８のステップＳ８５）。ノード１内のアカウント対応表管理部１２２は、ノード２から上記アカウント対応表登録要求が送られてくると、アカウント対応表記憶部２３２に、アカウント名「Ａ」とアカウントＩＤ「ＩＤＡ２」とを関連付けて記録する（図７のステップＳ７１２）。

　また、ノード５のユーザＵ５がノード１，２上にアカウント名「Ｂ」のアカウントを作成する場合も、前述した処理と同様の処理が行われる。以上の処理が行われることにより、アカウント情報記憶部１３１，２３１の内容は、それぞれ図３（Ａ）,（Ｂ）に示すものとなり、アカウント対応表記憶部１３２，２３２の内容は、それぞれ図４（Ａ）,（Ｂ）に示すものとなる。

　次に、ノード４のユーザＵ４が、ノード１に作成したアカウント名「Ａ」のアカウントを利用して、共有記憶装置３にファイルを登録する場合の動作を説明する。

　ユーザＵ４は、先ず、ノード４の入力部４３から認証要求部４２２に対してアカウント名「Ａ」とパスワード「ＰＡ」とを入力する。これにより、認証要求部４２２は、ノード１に対して認証要求を送信する。

　ノード１内の認証部１２３は、ノード４から送られてきた認証要求中のアカウント名「Ａ」及びパスワード「ＰＡ」と、アカウント情報記憶部１３１に記録されているアカウント情報とを照合する（図９のステップＳ９１）。そして、照合に成功した場合（ステップＳ９２がＹｅｓ）は、ノード４に対してファイルシステム１２４の利用を許可し（ステップＳ９３）、照合に失敗した場合（ステップＳ９２がＮｏ）は、利用を拒否する（ステップＳ９４）。

　ノード４のユーザＵ４は、ファイルシステム１２４の利用が許可されると、入力部４３から登録対象にするファイルのファイル名などを含むファイル登録指示を入力する。これにより、ファイル登録要求部４２３は、登録対象にするファイルを含んだファイル登録要求をノード１へ送信する。

　ノード１内のファイル登録部１２７は、ノード４からファイル登録要求が送られてくると、先ず、登録対象ファイルを共有記憶装置３に記録する（図１０のステップＳ１０１）。その後、ファイル登録部１２７は、ファイルのファイルメタデータからファイル作成者のアカウント名を抽出し、抽出したアカウント名に関連付けて記録されているアカウントＩＤをアカウント対応表記憶部１３２から全て検索する（ステップＳ１０２、Ｓ１０３）。例えば、ファイル作成者のアカウント名が「Ａ」で、アカウント対応表記憶部１３２の内容が図４（Ａ）に示すものであるとすると、アカウントＩＤ「ＩＤＡ１」「ＩＤＡ２」が検索されることになる。その後、ファイル登録部１２７は、検索したアカウントＩＤ毎に、そのアカウントＩＤと、予め定められているファイル作成者用のアクセス権限（例えば、ＡＬＬ）とを含んだアクセス制御エントリを生成し、生成したアカウント制御エントリをアクセス制御リストに記録する（ステップＳ１０４）。以上の処理により、例えば、図１１に示すようなアクセス制御リストが作成される。

　次に、ノード４のユーザＵ４が、ノード１に作成したアカウント名「Ａ」のアカウントを利用して、共有記憶装置３上のファイルをアクセスする場合の動作を説明する。

　ユーザＵ４は、先ず、ノード４の認証要求部４２２を利用して、ノード１に対して認証要求を送信する。そして、ノード１内の認証部１２３によって、ファイルシステム１２４の利用が許可されると、ファイルアクセス部４２４は、入力部４３から入力されるユーザＵ４の指示に従って、図５（Ａ）、図５（Ｂ）または図５（Ｃ）に示すファイルアクセス要求を作成し、ノード１へ送信する。

　ノード１内のアクセス制御部１２５は、ファイルアクセス要求が送られてくると、ファイルアクセス要求中のファイル名５１によって示されるファイルのアクセス制御リストを参照してファイルアクセスを許可するか否かを判定する（図１２のステップＳ１２０１）。

　アクセス制御部１２５は、アクセスを許可しないと判定した場合（ステップＳ１２０２がＮｏ）は、要求元のノード４に対してアクセス権限がない旨を通知し（ステップＳ１２１１）、その後、処理を終了する。これに対して、アクセスを許可すると判定した場合（ステップＳ１２０２がＹｅｓ）は、更に、ファイルアクセス要求がアクセス制御リストの変更を伴うか否かを判定する（ステップＳ１２０３）。この判定は、ファイルアクセス要求中に「アクセス制御エントリを変更するアカウントのアカウント名５４」「アクセス制御リストに対する変更内容５５」が含まれているか否かに基づいて行う。

　そして、アクセス制御リストの変更を伴うと判定した場合（ステップＳ１２０３がＹｅｓ）は、アクセス制御部１２５はアクセス制御リスト変更部１２６を呼出し、アクセス制御リストの変更処理を実行させる（ステップＳ１２０４）。

　これにより、アクセス制御リスト変更部１２６は、アクセス制御エントリを変更するアカウントのアカウント名５４に関連付けて記録されているアカウントＩＤをアカウント対応表記憶部１３２から検索し（図１３のステップＳ１３１）、検索したアカウントＩＤが記録されているアクセス制御エントリを、変更内容５５に従って変更する（ステップＳ１３２）。その後、アクセス制御リスト変更部１２６は、アクセス制御部１２５に対して処理結果を返す（ステップＳ１３３）。

　今、例えば、アカウント対応表記憶部１３１の内容が図４（Ａ）に示すものであり、変更対象にしているアクセス制御リストが図１１に示すものであるとする。さらに、例えば、ファイルアクセス要求中のファイルアクセス制御エントリを変更するアカウントのアカウント名５４が「Ｂ」、アクセス制御リストに対する変更内容５５が「アクセス権限がＲＥＡＤのアクセス制御エントリを追加する」であるとする。この場合は、アクセス制御リスト変更部１２６において、次のような処理が行われる。ステップＳ１３１では、アカウント名「Ｂ」に関連付けて記録されているアカウントＩＤ「ＩＤＢ１」「ＩＤＢ２」がアカウント対応表記憶部１３２から検索され、ステップＳ１３２では、アカウントＩＤが「ＩＤＢ１」で、アクセス権限が「ＲＥＡＤ」のアクセス制御エントリと、アカウントＩＤが「ＩＤＢ２」で、アクセス権限が「ＲＥＡＤ」のアクセス制御エントリとがアクセス制御リストに追加される。この結果、アクセス制御リストの内容は、図１４（Ａ）に示すものに変更される。

　また、例えば、アカウント対応表記憶部１３１の内容が図４（Ａ）に示すものであり、変更対象にしているアクセス制御リストが図１４（Ａ）に示すものであるとする。さらに、例えば、ファイルアクセス要求中のファイルアクセス制御エントリを変更するアカウントのアカウント名５４が「Ｂ」、アクセス制御リストに対する変更内容５５が「アクセス権限をＷＲＩＴＥに変更する」であるとする。この場合は、アクセス制御リスト変更部１２６において、次のような処理が行われる。ステップＳ１３１では、アカウント名「Ｂ」に関連付けて記録されているアカウントＩＤ「ＩＤＢ１」「ＩＤＢ２」がアカウント対応表記憶部１３２から検索され、ステップＳ１３２では、アカウントＩＤ「ＩＤＢ１」「ＩＤＢ２」を含むアクセス制御リストのアクセス権限が共に「ＷＲＩＴＥ」に変更される。この結果、アクセス制御リストの内容は、図１４（Ｂ）に示すものとなる。

　また、例えば、アカウント対応表記憶部１３２の内容が図４（Ａ）に示すものであり、変更対象にしているアクセス制御リストが図１４（Ｂ）に示すものであるとする。さらに、例えば、ファイルアクセス要求中のアクセス制御エントリを変更するアカウントのアカウント名５４が「Ｂ」、アクセス制御リストに対する変更内容が「アクセス制御エントリを削除する」であるとする。この場合は、アクセス制御リスト変更部１２６において、次のような処理が行われる。ステップＳ１３１では、アカウント名「Ｂ」に関連付けて記録されているアカウントＩＤ「ＩＤＢ１」「ＩＤＢ２」がアカウント対応表記憶部１３２から検索され、ステップＳ１３２では、アカウントＩＤ「ＩＤＢ１」「ＩＤＢ２」を含むアクセス制御エントリが削除される。この結果、アクセス制御リストは、図４（Ｃ）に示すものとなる。

　アクセス制御部１２５は、アクセス制御リスト変更部１２６から返された処理結果が失敗を示している場合（ステップＳ１２０５）は、要求元のノード４に対して処理失敗を示す応答を返し（ステップＳ１２１０）、その後、処理を終了する。

　これに対して、アクセス制御リスト変更部１２６から返された処理結果が成功を示している場合（ステップＳ１２０５がＹｅｓ）は、ノード４から送られてきたファイルアクセス要求がファイル本体に対する処理を伴うか否かを判定する（ステップＳ１２０６）。この判定は、ファイルアクセス要求に「ファイル本体に対するアクセス内容５３」が含まれているか否かに基づいて行う。

　そして、含まれていない場合（ステップＳ１２０６がＮｏ）は、要求元のノード４に対して処理成功を示す応答を返し（ステップＳ１２０９）、その後、処理を終了する。これに対して、含まれている場合（ステップＳ１２０６がＹｅｓ）は、ファイルアクセス要求中の「ファイル本体に対するアクセス内容５３」に従った処理を実行する（ステップＳ１２０７）。なお、ステップＳ１２０３の判定結果がＮｏとなった場合も、ステップＳ１２０７の処理が行われる。

　そして、処理に成功した場合（ステップＳ１２０８がＹｅｓ）は、処理成功を示す応答を要求元のノード４に返し（ステップＳ１２０９）、その後、処理を終了する。これに対して、処理に失敗した場合（ステップＳ１２０８がＮｏ）は、処理失敗を示す応答を要求元のノード４に返し（ステップＳ１２１０）、その後、処理を終了する。

　ノード４は、処理失敗を示す応答を受信した場合は、再度、ノード１に対してファイルアクセス要求を送信するが、所定回数連続して処理失敗を示す応答を受信した場合には、ノード１に障害が発生したと判断し、ノード２に対してノード１に対して行った処理と同様の処理を行う。このようにすることにより、ファイルサーバの可用性を向上させることができる。

　なお、上述した実施の形態では、アクセス制御リストによってアクセス制御するオブジェクトをファイルとしたが、オブジェクトはこれに限られるものではなく、フォルダなど他のオブジェクトであっても良い。また、上述した実施の形態では、ファイルサーバとして機能するノードを２台としたが、３台以上であっても構わない。

［第１の実施の形態の効果］
　本実施の形態によれば、各ノードが個別にアカウントを管理するネットワークシステムにおいて、同一のアカウント名を用いて複数のノードからアクセスできるファイル（オブジェクト）のアクセス制御リストを変更する場合であっても、変更作業を簡単なものにすることができるという効果を得ることができる。

　その理由は、アクセス制御エントリを変更するアカウントのアカウント名と変更内容とを含むファイルアクセス要求が入力されたとき、アカウント対応表記憶部から上記アカウント名に関連付けて記録されているアカウントＩＤを検索し、変更対象になっているアクセス制御リスト中のアカウント制御エントリの内の、上記検索したアカウントＩＤが記録されているアクセス制御エントリを上記変更内容に従って変更するようにしているからである。

　また、本実施の形態によれば、アカウント対応表を容易に作成することができるという効果を得ることができる。

　その理由は、第１のノードが、作成するアカウントのアカウント名を含んだアカウント作成要求が入力されたとき、作成するアカウントを自ノードにおいて一意に識別するアカウントＩＤを生成し、生成したアカウントＩＤとアカウント作成要求中のアカウント名とを関連付けて自ノードのアカウント対応表記憶部に記録し、第２のノードからアカウント対応表登録要求が送られてきたとき、この要求に含まれているアカウントＩＤとアカウント名とを関連付けて自ノードのアカウント対応表記憶部に記録し、第２のノードが作成するアカウントのアカウント名を含んだアカウント作成要求が入力されたとき、作成するアカウントを自ノードにおいて一意に識別するアカウントＩＤを生成し、このアカウントＩＤとアカウント作成要求中のアカウント名とを含んだアカウント対応表登録要求を第１のノードへ送信するようにしているからである。

　更に、本実施の形態によれば、ネットワークシステムの可用性を高いものにすることができるという効果を得ることができる。

　その理由は、クライアントとして機能する第３のノードは、第１のノードが正常動作している場合には、第１のノードに対してファイルアクセス要求を送信し、第１のノードに障害が発生している場合には、第２のノードに対してファイルアクセス要求を送信するようにしているからである。

　また、本実施の形態によれば、複数のノードからアクセスされるファイルのアクセス制御リストを、ファイルの作成時に自動的に作成することができるという効果を得ることができる。

　その理由は、ファイル登録要求が入力されたとき、ファイル作成者のアカウント名に関連付けて記録されているアカウントＩＤをアカウント対応表記憶部から検索し、検索したアカウントＩＤと予め定められているアクセス権限とを関連付けて記録したアクセス制御エントリを、上記登録対象ファイルのアクセス制御リスト上に作成するようにしているからである。

［本発明の第２の実施の形態］
　次に、本発明の第２の実施の形態に係るネットワークシステムについて説明する。

　図１５を参照すると、本実施の形態に係るネットワークシステムは、第１のノード１００と、第２のノード２００と、第１のノード１００と第２のノード２００とによって共有されるオブジェクト３００－１～３００－Ｎ毎のアクセス制御リスト３０１－１～３０１－Ｎであって、そのオブジェクトへのアクセスを許可するアカウントのアカウントＩＤとアクセス権限とが記録されたアクセス制御エントリを含むアクセス制御リスト３００－１～３００－Ｎとを備えている。

　第１のノード１００は、アカウント対応表１０１と、アカウント制御リスト変更部１０２とを備えている。

　アカウント対応表１０１には、自ノード１００に作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されると共に、第２のノードに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録される。

　アクセス制御リスト変更部１０２は、アクセス制御リストを変更するオブジェクトの識別情報と、アクセス制御エントリを変更するアカウントのアカウント名と、変更内容とを含むアクセス制御リスト変更要求に応答して、アカウント対応表１０１から上記アクセス制御リスト変更要求中のアカウント名に関連付けて記録されているアカウントＩＤを検索する。その後、アクセス制御リスト変更部１０２は、検索したアカウントＩＤが記録されているアクセス制御エントリであって、上記識別情報が示すオブジェクトのアクセス制御リストに含まれているアクセス制御エントリを上記変更内容に従って変更する。

［第２の実施の形態の効果］
　本実施の形態によれば、各ノードが個別にアカウントを管理するネットワークシステムにおいて、同一のアカウント名を用いて複数のノードからアクセスできるオブジェクトのアクセス制御リストを変更する場合であっても、変更作業を簡単なものにすることができるという効果を得ることができる。

　その理由は、アクセス制御エントリを変更するアカウントのアカウント名と変更内容とを含むアクセス制御リスト変更要求が入力されたとき、アカウント対応表から上記アカウント名に関連付けて記録されているアカウントＩＤを検索し、変更対象になっているアクセス制御リスト中のアカウント制御エントリの内の、上記検索したアカウントＩＤが記録されているアクセス制御エントリを上記変更内容に従って変更するようにしているからである。

　なお、上記各実施形態等において記載したプログラムは、記憶装置に記憶されていたり、コンピュータが読み取り可能な記録媒体に記録されている。例えば、記録媒体は、フレキシブルディスク、光ディスク、光磁気ディスク、及び、半導体メモリ等の可搬性を有する媒体である。

　以上、上記各実施形態を参照して本願発明を説明したが、本願発明は、上述した実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明の範囲内で当業者が理解しうる様々な変更をすることができる。

　なお、本発明は、日本国にて２０１３年１月３１日に特許出願された特願２０１３－０１６８３４の特許出願に基づく優先権主張の利益を享受するものであり、当該特許出願に記載された内容は、全て本明細書に含まれるものとする。

１，２，４，５・・・ノード
１１，２１・・・送受信部
１２，２２・・・制御部
１２１，２２１・・・アカウント管理部
１２２，２２２・・・アカウント対応表管理部
１２３，２２３・・・認証部
１２４，２２４・・・ファイルシステム
１２５，２２５・・・アクセス制御部
１２６，２２６・・・アクセス制御リスト変更部
１２７，２２７・・・ファイル登録部
１３，２３・・・記憶装置
１３１，２３１・・・アカウント情報記憶部
１３２，２３２・・・アカウント対応表記憶部
１４，２４・・・入力部
１５，２５・・・表示部
３・・・共有記憶装置
３１－１～３１－Ｎ・・・ファイル
３１１・・・ファイルメタデータ
３１２・・・アクセス制御リスト
３１３・・・ファイル本体
１００，２００・・・ノード
１０１・・・アカウント対応表
１０２・・・アクセス制御リスト変更部
３００－１～３００－Ｎ・・・オブジェクト
３０１－１～３０１－Ｎ・・・アクセス制御リスト

Claims

　第１のノードと、第２のノードと、前記第１のノードと前記第２のノードとによって共有されるオブジェクト毎のアクセス制御リストであって、そのオブジェクトへのアクセスを許可するアカウントのアカウントＩＤとアクセス権限とが記録されたアクセス制御エントリを含むアクセス制御リストとを備え、
　前記第１のノードは、
　自ノードに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されると共に、前記第２のノードに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されたアカウント対応表と、
　アクセス制御リストを変更するオブジェクトの識別情報と、アクセス制御エントリを変更するアカウントのアカウント名と、変更内容と、を含むアクセス制御リスト変更要求に応答して、前記アカウント対応表から前記アクセス制御リスト変更要求中のアカウント名に関連付けて記録されているアカウントＩＤを検索し、該検索したアカウントＩＤが記録されているアクセス制御エントリであって、前記識別情報が示すオブジェクトのアクセス制御リストに含まれているアクセス制御エントリを、前記変更内容に従って変更するアクセス制御リスト変更部と、を備える、
ことを特徴とするネットワークシステム。
　請求項１記載のネットワークシステムにおいて、
　前記第１のノードは、
　第１のアカウント情報記憶部と、
　作成するアカウントのアカウント名を含んだ第１のアカウント作成要求に応答して、自ノードにおいて前記アカウントを一意に識別するための第１のアカウントＩＤを生成し、該生成した第１のアカウントＩＤと前記第１のアカウント作成要求中のアカウント名とを含んだ第１のアカウント情報を前記第１のアカウント情報記憶部に記録する第１のアカウント管理部と、
　該第１のアカウント管理部で生成した前記第１のアカウントＩＤと前記第１のアカウント作成要求中のアカウント名とを関連付けて前記アカウント対応表に記録すると共に、前記第２のノードから送られてくるアカウント対応表登録要求に含まれている第２のアカウントＩＤとアカウント名とを関連付けて前記アカウント対応表に記録するアカウント対応表管理部と、を備え、
　前記第２のノードは、
　第２のアカウント情報記憶部と、
　作成するアカウントのアカウント名を含んだ第２のアカウント作成要求に応答して、自ノードにおいて前記アカウントを一意に識別するための第２のアカウントＩＤを生成し、該生成した第２のアカウントＩＤと前記第２のアカウント作成要求中のアカウント名とを含んだ第２のアカウント情報を前記第２のアカウント情報記憶部に記録すると共に、前記第１のノードに対して前記第２のアカウントＩＤと前記第２のアカウント作成要求中のアカウント名とを含んだアカウント対応表登録要求を送信する第２のアカウント管理部と、を備える、
ことを特徴とするネットワークシステム。
　請求項１または２記載のネットワークシステムにおいて、
　前記第１のノードが正常動作している場合は、前記第１のノードに対してアクセス対象にするオブジェクトの識別情報と、該識別情報が示すオブジェクトをアクセスする際に使用するアカウント名と、アクセス内容と、を含むアクセス要求を送信し、前記第１のノードに障害が発生している場合は、前記第２のノードに対してアクセス対象にするオブジェクトの識別情報と、該識別情報が示すオブジェクトをアクセスする際に使用するアカウント名と、アクセス内容と、を含むアクセス要求を送信するアクセス制御部を有する第３のノードを備える、
ことを特徴とするネットワークシステム。
　請求項１乃至３の何れか１項に記載のネットワークシステムにおいて、
　前記第１のノードと前記第２のノードとによって共有される前記オブジェクトは、前記第１のノードと前記第２のノードとからアクセス可能な共有記憶装置に記録されたファイルである、
ことを特徴とするネットワークシステム。
　請求項４記載のネットワークシステムにおいて、
　前記第１のノードは、
　ファイル登録要求に応答して、前記アカウント対応表から登録対象ファイルの作成者のアカウント名に関連付けて記録されているアカウントＩＤを全て検索し、該検索したアカウントＩＤと予め定められているアクセス権限とを関連付けて記録したアクセス制御エントリを、前記登録対象ファイルのアクセス制御リスト上に作成するファイル登録部を備える、
ことを特徴とするネットワークシステム。
　自ノードに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されると共に、他ノードに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されたアカウント対応表と、
　自ノードと前記他ノードとによって共有されるオブジェクトの内の、アクセス制御リストを変更するオブジェクトの識別情報と、アクセス制御エントリを変更するアカウントのアカウント名と、変更内容とを含むアクセス制御リスト変更要求に応答して、前記アカウント対応表から前記アクセス制御リスト変更要求中のアカウント名に関連付けて記録されているアカウントＩＤを検索し、該検索したアカウントＩＤとアクセス権限とが記録されているアクセス制御エントリであって、前記識別情報が示すオブジェクトのアクセス制御リストに含まれているアクセス制御エントリを前記変更内容に従って変更するアクセス制御リスト変更部と、
を備えることを特徴とするノード。
　第１のノードと、第２のノードと、前記第１のノードと前記第２のノードとによって共有されるオブジェクト毎のアクセス制御リストであって、そのオブジェクトへのアクセスを許可するアカウントのアカウントＩＤとアクセス権限とが記録されたアクセス制御エントリを含むアクセス制御リストと、を備えたネットワークシステムにおけるアクセス制御リスト変更方法であって、
　前記第１のノードが、アクセス制御リストを変更するオブジェクトの識別情報と、アクセス制御エントリを変更するアカウントのアカウント名と、変更内容とを含むアクセス制御リスト変更要求に応答して、自ノードに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されると共に、前記第２のノードに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されたアカウント対応表から前記アクセス制御リスト変更要求中のアカウント名に関連付けて記録されているアカウントＩＤを検索し、該検索したアカウントＩＤが記録されているアクセス制御エントリであって、前記識別情報が示すオブジェクトのアクセス制御リストに含まれているアクセス制御エントリを、前記変更内容に従って変更する、
ことを特徴とするアクセス制御リスト変更方法。
　自コンピュータに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されると共に、他コンピュータに作成されたアカウントのアカウント名とアカウントＩＤとが関連付けて記録されたアカウント対応表を備えたコンピュータを、
　自コンピュータと前記他コンピュータとによって共有されるオブジェクトの内の、アクセス制御リストを変更するオブジェクトの識別情報と、アクセス制御エントリを変更するアカウントのアカウント名と、変更内容とを含むアクセス制御リスト変更要求に応答して、前記アカウント対応表から前記アクセス制御リスト変更要求中のアカウント名に関連付けて記録されているアカウントＩＤを検索し、該検索したアカウントＩＤとアクセス権限とが記録されているアクセス制御エントリであって、前記識別情報が示すオブジェクトのアクセス制御リストに含まれているアクセス制御エントリを前記変更内容に従って変更するアクセス制御リスト変更部として機能させるためのプログラム。