Acabei de configurar com êxito um cliente e servidor NFS. Acabei de me surpreender com a disposição do NFS para lidar com os UIDs inalterados entre o cliente e o servidor.
Por exemplo, suponha que esses nomes de usuário / ids existam no servidor:
root 0
admin 1
alice 100
E estes no cliente:
root 0
bob 1
admin 2
alice 123
Na situação atual, se admin no servidor criar um arquivo no diretório compartilhado, o cliente o verá como pertencente a bob . Esse é um problema de segurança óbvio porque admin pode acreditar falsamente que as permissões de 544 protegem o arquivo contra gravações não autorizadas.
Além disso, alice pode ter a falsa impressão de que ela pode compartilhar arquivos corretamente com ela e manter as permissões do arquivo em ordem.
A coisa é, se o cliente criar um novo arquivo no compartilhamento, o servidor o verá como pertencente a nobody . Isso é o que eu quero nas duas direções. Ou seja, o cliente deve ver nobody como proprietário do arquivo, mesmo que admin o tenha criado no servidor - na minha situação, o ato de compartilhar retira a propriedade significativa porque não há correspondência de ID de usuário nas máquinas.
Em suma, quero que todos os clientes NFS sejam informados de que nobody possui todos os arquivos compartilhados, independentemente de o servidor conhecer melhor. Além disso, todas as gravações de clientes serão de propriedade de nobody e marcadas como tal no servidor.
Posso fazer isso acontecer?
Para conseguir isso, você precisa do parâmetro all_squash em seu arquivo de exportações, junto com anonuid=xxx,anongid=xxx , você pode até escolher para qual usuário atribuir os arquivos.
Até mesmo os usuários do Windows podem ser integrados através das diretivas force user e similares no Samba.