脱GoogleのためのNAS活用ガイド(4)

外部アクセス用のNASユーザーとフォルダを構成する

雑記
Contents

はじめにNASをセットアップした際、家庭内のLANにあるPCに合わせてNASユーザーを作成しているかと思いますが、外部からNASにアクセスする際、家庭内のLANからアクセスするのと同じ権限でフォルダやファイルを見ることができると、セキュリティ対策上は好ましくありません。

もちろん、外出先からもNASの中身にフルアクセスしたい方は別ですが、せいぜい音楽や写真、文書フォルダを利用する程度の場合は、それらのフォルダにだけアクセスを許可した専用のユーザーを作成しておくことをお勧めします。

この記事ではQNAP製のNASを使って、NAS内の特定のフォルダを外部アクセス向けに設定する方法と、権限を制限したユーザーの作成について解説します。

作業イメージ

予備知識:共有フォルダのマウントとは

共有フォルダのマウントは、指定したフォルダをNASのルート直下(最上位階層)に仮想的に表示することができる機能です。

ファイルの実体は依然としてマウントする前の元の場所にあるので、マウントしたフォルダと元のフォルダのいずれにアクセスしても同じファイルを参照・編集することが可能です。

以下、マウントしたフォルダを「マウントフォルダ」、元の場所にあるフォルダを「オリジナルフォルダ」と呼びます。

Windowsでよく使うショートカットにも似ていますが、マウントフォルダはあくまでも独立したフォルダであるため、オリジナルフォルダとは異なるアクセス権限を設定できる点が大きく異なります。

前掲の画像では、NASユーザーAだけアクセスできる写真と音楽のフォルダを共有フォルダとしてマウントしたことで、ファイルパスが簡略化されるとともにユーザーCに対して適切にアクセス権を付与できます。仮にこれをオリジナルフォルダでやろうとすると、Cに対して目的のフォルダだけにアクセスを許可する作業はフォルダの階層が深いほど煩雑になることが想像できるでしょう。

共有フォルダのマウントと専用ユーザーの作成

NASに共有フォルダをマウントして、ユーザーにアクセス権限を設定する手順は以下のとおりです。

(所要時間:約15分)
  1. 共有フォルダの新規作成画面を開く

    QTSのコントロールパネルを起動し、権限設定 > 共有フォルダー から「作成 > 共有フォルダー」をクリックします。

  2. 既存フォルダをマウントして共有フォルダを作成

    マウント後の共有フォルダ名を入力し、パス欄で「手動でパスを入力する」を選択してオリジナルフォルダ(実体のある場所)をプルダウンメニューから指定したら、「作成」ボタンをクリックします。

    ここでは例として、ユーザーフォルダ内のPictureフォルダを指定しました。必要に応じてMusicフォルダなども共有フォルダにマウントします。

    なお、フォルダ作成画面にあるその他のオプションは後から設定するのでデフォルトのままで構いません。

  3. NASユーザーの新規作成画面を開く

    QTSのコントロールパネルで 権限設定 > ユーザー から「作成」ボタンをクリックします。

  4. 必要事項を入力してユーザーを作成

    VPNなどを使って外部からアクセスする際に使用する ユーザー名とパスワードを入力して「作成」ボタンをクリックします。

    画面右側のオプションは後から設定するのでデフォルトのままで構いません。

  5. 作成したユーザーの権限を編集

    ユーザーの一覧で先ほど作成したユーザーを探し、右側のアクション欄から 「共有フォルダー権限」と「アプリケーション特権」アイコンをクリックします。

  6. 共有フォルダー権限の最適化

    ステップ2で作成したフォルダ以外は基本的にチェックを外して、外出先で不要なフォルダへのアクセスを拒否します。権限の強さは RW(読み取り/書き込みを許可)、RO(読み取りのみ)、Deny(アクセス禁止)の順です。

    全てのフォルダのアクセス権限を確認したら「適用」ボタンをクリックしてウィンドウを閉じます。

    私の場合は 音楽ファイルのメタデータを外出先から編集したりすることはないので Musicフォルダは読み取り専用に、写真ファイルは閲覧だけでなくNASにファイルをアップロードすることもあるのでフルアクセスにしています。おこのみでどうぞ。

  7. アプリケーション特権の最適化

    アプリケーション特権もフォルダのアクセス権限同様に必要なものだけチェックします。スマートフォン(iPhoneやAndroid)からVPN接続してフォルダとファイルにアクセスするだけなら、Microsoftネットワークにチェックを入れておけば充分です。

  8. 特別許可(権限)の設定

    マウントされた共有フォルダの中身(この場合ではMusicやPictureフォルダとそのファイル)は、本来他のユーザーのサブフォルダに属しているものです。

    上記で作成したVPN用ユーザーはそれらのサブフォルダの所有権はもちろんアクセス権を持っていないので、それらに対するアクセス権をマウントされた範囲で特別に付与します。

    共有フォルダのリストで外部アクセスを予定しているマウントフォルダの「共有フォルダ権限の編集」アイコンをクリックします。
    共有フォルダ権限の編集を開く
    作成したVPN専用ユーザーの特別許可にチェックを入れ適用をクリックします。
    特別許可の付与

    特別許可を付与していない場合、NAS対応のスマホアプリ等から接続設定をおこなう際「ファイルやフォルダが見つからない」とか「アクセスが拒否されました」などのエラーになります。

    なお、マウントフォルダにアクセスするユーザーとマウントされているフォルダの権限の範囲に上記のような齟齬がない場合は特別許可は必要ないはずです。

以上で 外部アクセス用のNASユーザーとフォルダの構成は完了です。

TIPS:PCの写真と音楽を直接NASに保存する

普段、音楽を自宅PCのiTunesで管理していたりデジカメの写真をPCに取り込んだりしている場合、それらのファイルに外出先からアクセスするには毎回新しいファイルをNAS上に移動しなければなず面倒です。

そんな時はWindowsのミュージックフォルダやピクチャフォルダの場所を PCのHDDではなくNAS上のユーザーフォルダに変更すると、取り込んだ音楽や写真は直接NASに保存されるので便利です。

例えばピクチャフォルダの場所は以下の要領で変更できます。

あらかじめNAS上のユーザーフォルダ内にPictureフォルダを作成しておきます。
例:¥¥NAS¥homes¥user¥picure

  1. エクスプローラーでピクチャフォルダのプロパティを開く
  2. 「場所」のタブを表示する
  3. 「移動」ボタンをクリックしてあらかじめ作成したNAS上のPictureフォルダを指定
  4. 「適用」ボタンをクリックして完了
    ※「元の場所のすべてのファイルを、新しい場所に移動しますか?」と表示されたら「はい」をクリックします。

iTunesをお使いの場合は、環境設定から iTunesのメディアフォルダの場所がNAS上になっているか確認し、必要に応じて修正しておきましょう。

以上で 外部アクセス用のNASユーザーとフォルダの構成が終わりました。VPNでの接続に興味がある方は以下の関連記事もぜひご覧ください。

NASのVPNサーバー(OpenVPN)を有効にする手順
NASのVPNサーバー(OpenVPN)を有効にする手順
QVPN Serviceアプリを使ってVPN接続を許可するユーザーを構成し、NASのVPNサーバーを有効にする手順を解説します。
OpenVPNアプリの使い方
OpenVPNアプリの使い方
iOS版OpenVPNアプリに証明書をインストールしてVPN接続を確立するまでの作業フローを解説します。