Em primeiro lugar, por favor, desculpe-me se a minha pergunta não está bem formada, esta é a minha primeira mensagem no serverfault:)
Eu implementei com sucesso a autenticação LDAP e Kerberos em uma rede mista Linux / Windows / Solaris. Eu tenho o servidor CentOS 7 servindo NFS4 com segurança krb5 (sem privacidade / integridade, apenas autenticação). Posso montar com êxito os compartilhamentos no CentOS 6. No entanto, quando eu monto o compartilhamento no Solaris 10 (Oracle Solaris 10 9/10 s10s_u9wos_14a SPARC), recebo algum erro estranho relacionado à ACL.
Saída da montagem:
/mnt/exporthome on nfsserver.example.com:/export/home remote/read/write/setuid/devices/sec=krb5/xattr/dev=5ec0004
Eu tenho acesso, posso ler os arquivos:
$ ls /mnt/exporthome/testuser/
testfile1.txt textfile2.txt
No entanto, não consigo ler permissões / ACLs, em vez disso, obtenho:
$ ls -la /mnt/exporthome/testuser/
ls: can't read ACL on /mnt/exporthome/testuser/: Permission denied
nfs4_domain está definido corretamente no cliente e no usuário, e o mapeamento de ID parece funcionar para o usuário:
$ getfacl /mnt/exporthome/testuser/
# file: /mnt/exporthome/testuser/
# owner: testuser
# group: testgroup
user::rwx
group::--- #effective:---
mask:rwx
other:---
Eu posso ver
a seguinte mensagem aparece nos registros:
/usr/lib/nfs/nfsmapid[349]: [ID 300081 daemon.error] valid_domain: Invalid inbound domain name .
Eu verifiquei o código que gera a mensagem, "nome de domínio de entrada" refere-se ao domínio nfs4 remoto (ou seja, servidor). Eu cheirei o tráfego e vejo o servidor envia corretamente fattr4_owner como "[email protected]". O problema parece ser com o reco_attr: ACL, onde eu tenho três ACEs.
Os campos "Quem" nas ACEs são: "OWNER @", "GROUP @" e "EVERYONE @", então meu palpite é que eles causam a mensagem de erro "nome de domínio inválido de entrada".
OWNER @, GROUP @ e EVERYONE @ (entre outros) são especificados com um significado especial no RFC que define as ACLs do NFSv4 e, como mencionei anteriormente, os outros hosts que acessam os compartilhamentos NFS não têm nenhum problema com eles.
Eu pesquisei no site da Oracle e documente esses princípios como "owner @", "group @" e "everyone @" em alguns de seus artigos NFSv4 / ACL / ZFS.
Eu não tenho acesso ao servidor Solaris NFS, mas meu palpite é que ele envia as ACEs com esses principais em letras minúsculas e o cliente Solaris 10 NFSv4 nativo não pode manipulá-las em maiúsculas (conforme especificado nas RFCs). / p>
Então, minhas perguntas são: alguém já tentou uma implantação semelhante e eles tiveram os mesmos resultados? Seria ótimo se alguém que estivesse trabalhando com o cliente Solaris 10 NFSv4 checasse os princípios na ACL. Na verdade, neste momento, qualquer sugestão seria ótima.
Obrigado antecipadamente!