Server Admin 10.4 Help

WebDAV を理解する

WebDAV を使って Web サイトでライブオーサリングを提供する場合は、保護領域を作成し、ユーザのアクセス権を設定する必要があります。運用している各サイトを複数の保護領域に分割し、それぞれに、ブラウズまたはオーサリングのアクセス権を持つユーザとグループを設定できます。

保護領域を定義する

保護領域（通常はフォルダ、つまりディレクトリ）を定義すると、保護領域に設定したアクセス権はそのディレクトリの内容すべてに適用されます。既存の保護領域内のフォルダに新しい保護領域を定義した場合、新しい保護領域のアクセス権は、そのフォルダとその内容のみに適用されます。

WebDAV のアクセス権を設定する

サーバで実行する Apache プロセスは、Web サイトのファイルとフォルダにアクセスする必要があります。このアクセス権を割り当てるために、Mac OS X Server によって、「www」という名前のユーザと「www」という名前のグループが、サーバの「ユーザとグループのリスト」に追加されます。Web ページを提供する Apache プロセスは、www ユーザ、および www グループのメンバーとして稼動します。ユーザがサイトに接続したときに、サーバがファイルをブラウザに転送できるようにするために、www グループには、Web サイト内のファイルへの読み出しのアクセス権を与える必要があります。Apache プロセスは、www の有効なユーザ ID とグループ ID を使って実行され、WebDAV 保護領域内のファイルとディレクトリおよび「/var/run/davlocks」ディレクトリへのアクセス権を必要とします。

WebDAV のセキュリティを理解する

Mac OS X Server 10.4 の WebDAV を使って、Web サーバをファイルサーバとして使用できます。クライアントは、どのような場所でどのような種類のコンピュータを使用していても、ブラウザを使ってサーバ上のファイルにアクセスして共有することができます。WebDAV を使用してファイルを共有する方法について詳しくは、「WebDAV を使用する」を参照してください。

また、WebDAV を使用すると、ユーザは、サイトが稼動中でも Web サイトのファイルを更新できます。WebDAV を使用する場合、Web サーバは、ユーザが更新するサイト内のファイルとフォルダに対して書き込みのアクセス権を持っている必要があります。

これらの WebDAV の機能—ブラウザからファイルサーバにアクセスできる機能と、Web サイトをアップデートする機能—は、サーバ上で複数のサイトを実行している場合は、セキュリティ上重要な問題になります。あるサイトの所有者が別のサイトを変更することが可能になるためです。

この問題は、「ワークグループマネージャ」アプリケーションの「共有」モジュールを使ってサイト内のファイルに適切なアクセス権を設定することで回避できます。Mac OS X Server では、Apache プロセスが含まれる、あらかじめ定義された「www」グループが使用されます。「www」グループには、Web サイト内のファイルへの読み出し／書き込みのアクセス権を与える必要があります。また、これらのファイルの読み出し／書き込みのアクセス権をその Web サイトの管理者（オーナー）に与え、全員にはなし（アクセス権なし）を与える必要があります。