LINUX.ORG.RU
ФорумAdmin

[NFS] как маунтить от пользователя с его ІД?

 


0

0

Подскажите, как можно прикрютить через nfs удаленные папки локально с такими же правами (групой и пользователем), который это делает?

Например. На удаленном сервере у нас папка имеет uid и gid - 500:501 Теперь мы подключаем эту папку локально от пользователея 1000:1000

И получается фигня какая-то. Папка замаунтилась, но у нее uid 500 i gid 501 Соответственно пользователь, который замаунтил эту папку, ничего не может с ней делать. Даже прочитать.

Перечитал, пересмотрел кучу всего, похоже нужно заставить работать опцию map_daemon. Прописываю ее в експорты на сервере - эфекта 0.

Может кто подскажет, как правильно маунтить по нфс, чтоб можно было еще редактировать. Уже сил нет:(


Реализация 2х реальных IP
[exim] ratelimit обнуление

Я не силён в NFS, но может решить проблему с другого конца - настроить единую аутентификацию и сделать одинаковые уиды на всех машинах?

Nao ★★★★★
()
Ответ на: комментарий от Nao

Да, по идее можно и так. Но как-то через Ж такой вариант получается:( Хотелось бы как-то покрасивей.

ngsupb
() автор топика
Ответ на: комментарий от ngsupb

Одинаковые UID'ы и GID'ы на всех машинах - это и есть правильный и красивый вариант.
В NFSv4 есть мапинг UID'ов и GID'ов, но я с ним не разбирался, ибо это как-то через жопу.

bigbit ★★★★★
()
Ответ на: комментарий от bigbit

>Одинаковые UID'ы и GID'ы на всех машинах - это и есть правильный и красивый вариант.

Не убедительно. А если нужно машину подключить, которая уже раньше работала, и там уиды и гиды менять, чтоб подстроится? А допустим понадобиться подключить еще второ нфс от куда-то, у которого тоже свои какие-то гиды.... Менять что ли уид для пользователя под каждое новое подключение нфс?

Мапинг мне кажется как-то интересней будет смотреться.

Получается пока что 2 варианта: 1) одинаковые UID'ы и GID'ы 2) в NFSv4 посмотреть этот мапинг...

Я думал как-то попроще можно, там опцию указать и все работает....

ngsupb
() автор топика
Ответ на: комментарий от bigbit

> В NFSv4 есть мапинг UID'ов и GID'ов, но я с ним не разбирался, ибо это как-то через жопу.

Именно это и есть то что тебе нужно.

А полагаться на UID'ы нельзя. Представь что к тебе пришёл посторонний с линукс ноутбуком, смонтировал и от своего локального рута делает с файлами всё что хочет.

Если-же у тебя нет разделения прав и нужно что-бы любой работал с всеми файлами одинаково, то это есть и у nfs 3, какой-то параметр, не помню, тоже мапинг но один для всех.

sin_a ★★★★★
()
Ответ на: комментарий от sin_a

Именно это и есть то что тебе нужно.

Мне? Ты наверное меня с автором топика перепутал.

А полагаться на UID'ы нельзя. Представь что к тебе пришёл посторонний с линукс ноутбуком, смонтировал и от своего локального рута делает с файлами всё что хочет.

В данном случае ничего страшного не будет. Локальный root имеет доступ к NFS-шарам с правами nobody. Это дефолтное и рекомендуемое поведение. Те, кто юзает no_root_squash - ССЗБ.

А вот то, что имея локального рута можно создать пользователя с произвольным UID'ом и от его имени работать с NFS-шарами - это да, фундаментальная проблема NFSv3.

1) не использовать NFSv3
2) secure RPC
2) *nix-машины в отдельной серверной сети. У пользователей на них нет рута. Принимать mount-запросы только из этой сети или лучше с определенных IP-адресов. Не давать втыкать ноутбуки в серверную сеть :)

bigbit ★★★★★
()
Ответ на: комментарий от bigbit

Да, попутал.

Про то что no_root_squash сейчас включен по умолчанию я позабыл, но жонглировать UUID'ами на машинах ради этого наверно не дело и правильный наверно первый вариант и авторизация по логину/паролю хоть в v4, хоть в SMB. Не зря это появилось, и не зря пришли к решению именно в таком виде.

sin_a ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Реализация 2х реальных IP
Admin
[exim] ratelimit обнуление