NFSv4 e idmapping

1

Tudo bem, estou prestes a desistir disso, mas aqui está uma tentativa a mais. Eu tenho mais perguntas do que respostas e qualquer ajuda seria muito apreciada.

O sistema operacional no servidor é Debian Stretch, no cliente é Debian Sid. Eu tenho um servidor NFSv4 com Kerberos (ambos os servidores estão na mesma máquina física) que exporta / home / User1. O /etc/exports é

/home/User1 gss/krb5(rw,insecure,sync,wdelay,no_subtree_check,no_root_squash)

Eu tenho o idmap ativado em / etc / default / nfs-common e o idmapd.conf é

[General]
Verbosity = 5
Pipefs-Directory = /run/rpc_pipefs
Domain = MyDomain

[Mapping]
Nobody-User = nobody
Nobody-Group = nogroup

Agora, o cliente tem um Usuário2 que é o mesmo indivíduo que o Usuário1. No entanto, as seqüências de caracteres que são User1 e User2 devem ser diferentes por determinados motivos. O arquivo idmapd.conf no cliente é exatamente o mesmo. Quando monte Server:/home/User1 do cliente como raiz, o servidor Kerberos emite um ticket de serviço com base na autenticação de máquina (/ tmp / krb5ccmachine) e consigo montar / home / User1. No entanto, como você já deve ter adivinhado, a propriedade do diretório montado está toda desarrumada. Por um lado, a opção no_root_squash é completamente ignorada, portanto, mesmo a raiz no cliente não pode gravar no diretório montado. O usuário2 não pode nem mesmo fazer um cd nele.

Agora, pelo que entendi, o servidor NFS não sabe que a raiz no cliente é raiz (por que? não deve root@MyDomain traduzir para raiz no servidor?) Do que eu recolhi de perguntas semelhantes sobre isso site, as seguintes alterações no idmapd.conf do servidor corrigem esse problema:

[Translate]
GSS-Methods = static

[Static]
nfs/client@MYREALM = root #principal used to authenticate client

Irritante, a raiz agora tem privilégios totais para o diretório montado, mesmo depois de reverter as alterações para idmapd.conf e reiniciar o servidor nfs. De onde vem essa persistência?

Para minhas principais perguntas: como montar / home / User1 para que User2 seja o proprietário do diretório montado e para que todos os arquivos criados pelo User2 apareçam como pertencentes ao User1 no servidor? No NFSv3, parece que isso era simples, pois a propriedade era determinada pelo uid: gid. Isso é possível com o NFSv4?

    
por Ivan 28.12.2016 / 10:14

0 respostas

Tags