タイトルBrowsing Mac OS X》アカウントとルートについて、あえてルートになる必要はないカテゴリーBrowsing Mac OS X
作成日2001/4/5 15:56:21作成者新居雅行
Mac OS Xの特徴としてマルチユーザ対応であることが言われているが、発売段階ではあまり強調されなくなってきた。やはり、クライアントとして使うパソコンだけに、必ずしもマルチユーザで使うとは限らないから、大きなトピックにはなりにくい。また、普通にというと抽象的だが、1人のユーザが普通に使う限りにおいては、そうしたマルチユーザOSであることはほとんど気にすることがないようなうまい作りになっている。システムが用意する起動ボリュームでのフォルダ構成に少しだけ注意を払えば、あとは自由に使える。その意味では特にマルチユーザであることは気にする必要もないのである。だけど、「ルート」という言葉を知ってしまっている人には、気になることかもしれない。Mac OS Xのユーザとルートについて考えてみよう。

□Mac OS Xはルートになる必要のないOS
Mac OSにはなかったというか薄かった概念がユーザだ。ネットワークのファイルサーバにあるファイルでは、「アクセス権」として設定していたものだが、それと同様なものがMac OS Xではシステムのすべての領域に影響している。また、Mac OSと違って、ファイルだけでなく、実行しているアプリケーションなどのプロセスも「誰が実行しているのか」という意味でのユーザという概念が加わっている。マルチユーザOSでは、OS上で異なるユーザが同時にソフトウエアを実行できる。また、同一のハードディスクを複数のユーザで同時に使う。だから、誰が使っているのかと言うことを明確にし、さらに、ハードディスクの資源を、誰に対してどこまでの処理ができるのかと言うことを明確に設定するのがファイルのアクセス権でもある。たとえば、あるユーザが使えるディレクトリには、そのユーザはファイルを書き込めるけども、別のユーザはファイルの読み込みはできても書き込んだり変更したりができなくなっているのである。アクセス権については、この記事ではとりあえず概念的な説明までとしたい。
Mac OS Xをインストールしてみれば分かるが、インストール時に、ユーザのアカウントを1つ作成する。そこで、本名などのフルネームだけでなく、アカウント名とパスワードを指定する。そして、指定したアカウントがMac OS Xに加えられる。さらに、通常とおりMac OS Xを起動すると、そのアカウントで自動的にログインをするようになっている。つまり、電源を入れると、インストール時に指定したアカウントのユーザとして、Mac OS Xが使えるように起動するということである。なお、パスワードは4文字以上としているが、実は8文字以上を指定しても、最初の8文字だけが有効だ。10文字のパスワードを指定して、最初の8文字だけ入力してもログインはできるのである。
インストーラで登録したアカウントだけでなく、Mac OS Xではシステム側が最初から用意したアカウントがいくつかある。そのうち、もっとも重要なのはroot(ルート)という名前のアカウントがあることだ。これは、単なるユーザではなく、システムに関して何でもできてしまう非常に権限の高いユーザである。一般のアカウントは、自分自身の書き込みなどの権限がある場所のファイルしか変更はできないが、rootはほぼどこでも読み書きできてしまうのだ。UNIX系のOSでは、システムの設定を行うときなどに、rootでログインしたり、あるいはrootになりうるアカウントからコマンドを入れてrootになって管理作業をするのが一般的だ。そのことから、「システムの管理はrootになって行う」ということが半ば定説化している。
しかしながら、Mac OS Xの現状のシステムでは、それはほとんどあてはまらないと言えばいいだろう。システムで必要な設定の変更は、インストール時に定義したアカウントのログインでできるようになっている。逆に言えば、そこでできないような設定というのは、設定として変更してもらいたくない、つまり変更すると支障をきたす恐れのあるような設定であると言えるだろう。Mac OS Xの管理はrootにならなくても行えるのである。そのために、システム環境設定などのユーティリティが付属しているわけだ。
あえて分かりやすいように比喩を出せば、Mac OS Xでrootになるということは、PowerBookをばらした状態で使うのに等しい。もちろん、ばらすことも時には必要かも知れないが、それはハードディスクを入れ替えるとかAirMacカードを入れるとか、かなりの大規模なコンフィグレーション変更を伴う。それに、いくらばらすが好きだと言っても、ばらしたままPowerBookを使うと不便だし、危ないし、持ち運べない。つまり、通常使う状態ではないわけだ。それは、Mac OS Xのrootでも同じことなのだ。普段からルートになって作業をしたいと考えるのは、「システムを制限なく使いたい」と考えているのだと思う。確かにルートでログインすると、制限はないのかもしれないが、なんでもできるだけにあまりに無防備なのである。その意味では使い勝手は決していいものではないと言える。それに、何度も強調したいが、Mac OS Xはインストール時に定義したアカウントは、システムの設定変更が行えるアカウントなのである。「ルートでログインしたい」というのは、ある種の幻想と危険さへの配慮不足と言えるのではないだろうか。

□ユーザの登録はシステム環境設定で行う
さて、システム環境設定の「ユーザ」のパネルを見ていただければ分かるが、ここで、Mac OS Xにログインできる複数のユーザを登録することができる。最初には、インストール時に登録した名前が見えていて「管理者」という種類になっている。ここで新たにユーザを登録することができるが、登録時に起動時に自動的にログインする機能を解除して、必ずログインパネルを表示する設定を行うかどうかをたずねてくる。なお、この設定は、同じくシステム環境設定の「ログイン」のパネルでも設定できる。
ここで「管理者」となっていれば、システム環境設定での設定変更が多くの場面でできるようになる。その場合、最初から、設定変更ができる状態でパネルが開くはずだ。一方、管理者でない場合には、カギがかかっていてそこをクリックし、管理者のアカウントとパスワードを入れることで、設定の変更ができるようになる。その意味では、管理者でないアカウントとパスワードしか知らないのなら、システム設定の変更はできないということになる。
ユーザごとにホームディレクトリが用意され、そのディレクトリ以下であれば、そのユーザは自由にファイルの読み書きができる。そこに文書ファイルなどを保存するのが基本になるが、起動ボリューム以外のボリュームでは、誰もが好きなようにファイルの読み書きや修正ができるようになっている。また、ルートディレクトリ直下は、おおむねどのユーザも読み込みはできるようになっている。他のユーザが開いて参照してはまずいファイルはホームディレクトリには置かないのが基本だ。他のユーザに見られないようにするには、Documentsフォルダなどに入れておく必要がある。Documentsフォルダの中身は、オーナーであるログインしたアカウント以外のユーザからは参照できないように設定されている。
UNIXのシステムなどではグループとして、アカウントをグループわけして、アクセス権の設定などを効果的に行う方法がある。そうしたグループは、Mac OS Xでは利用者レベルでは使えないものと思った方がいいだろう。少なくとも、システムが用意した機能ではグループの定義がほぼできないと言える。基本的にはクライアント環境なのだから、グループという機能は必要ないと判断したのだろう。ただ、コアOSのシステム的な意味ではグループは存在するし、また、ファイルのアクセス権を調べると、オーナー、グループ、全員に対する設定があるため、「グループ」というのは存在すると言えば、存在するものだ。ただ、ユーザが作ったファイルのグループは、ほとんどの場合staffというグループになる。また、システムが作ったファイルはadminとなっている。これらは、コアOSで定義されたグループ名だ。ちなみに、ルートになることができるグループ名として有名なwheelもシステムで定義されていて、管理者だとwheelグループにも所属している。グループの設定を見たいというのであれば、以下に紹介するNetInfo Managerを利用すればよい。
(続く)
関連リンク