Problema de permissão estranho com POSIX ACLs, NFS v3 no Linux

3

Eu tenho dois sistemas Linux, ambos rodando Debian Squeeze. Versões de (eu acho) as coisas envolvidas são:

  kernel: 2.6.32-5-xen-amd64
  ii  nfs-kernel-server                   1:1.2.2-4squeeze2            support for NFS kernel server
  ii  libnfsidmap2                        0.23-2                       An nfs idmapping library
  ii  nfs-common                          1:1.2.2-4squeeze2            NFS support files common to client and server
  ii  portmap                             6.0.0-2                      RPC port mapper

(O cliente não tem nfs-kernel-server envolvido.)

Eu tenho um diretório com as ACLs:

# file: dirname
# owner: jon
# group: foogroup
# flags: -s-
user::rwx
user:www-data:rwx
group::r-x
group:foogroup:rwx
mask::rwx
other::r-x
default:...

Existem dois usuários, nenhum dos quais possui o diretório:

uid=3001(jake) gid=3001(jake) groups=3001(jake),104(wheel),3999(foogroup)
uid=3005(nic) gid=3005(nic) groups=3005(nic),3999(foogroup)

O usuário jake pode criar arquivos no diretório sem problemas. O usuário nic não pode. Todos os UIDs / GIDs são iguais no cliente e no servidor. Eu verifiquei (sniffing de pacote) que os uids / gids corretos são enviados por meio de AUTH_UNIX estão corretos-- uid=gid=3005, auxiliary gids=3005,3999 - e que o servidor responde com NFS3ERR_ACCESS , que o kernel no cliente mapeia para EACCES (Permission denied) .

Alguém pode me ajudar aqui?

    
por jon 19.05.2012 / 01:57

1 resposta

0

Eu não posso dizer se isso pode causar o problema que você está tendo, mas notei alguma estranheza:

Seu diretório é um grupo de propriedade de foogroup . A permissão foogroup s, portanto, é group::r-x . Mas você definiu uma entrada ACL adicional group:foogroup:rwx . Por que você não define apenas group:rwx ?

Mesmo uma ACL padrão para group:foogroup é desnecessária, pois você tem setgid em seu diretório. Cada novo diretório abaixo, portanto, herdará automaticamente o grupo proprietário e o setgid do seu diretório.

    
por 16.11.2012 / 17:46