ACL NFS megosztáson

 ( zamolxyse | 2019. február 18., hétfő - 2:57 )

Sziasztok, Tud valaki valamilyen megoldást hogyan lehetne használni ACL-t NFS megosztáson, egyáltalán kivitelezhető? Igazából amit találtam ezzel kapcsolatban nem valami részletes. Van egy szerverem ami AD-ből autentikálja az felhasználókat és egy NFS megosztásra írnának, amit egy NAS-ból van felcsatolva. De ha ACL akarok beállítani akkor hibára fut.
setfacl: /megosztas: Operation not supported

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ezt olvastad? Legjobb tudomásom szerint setfacl helyi fájlrendszereken működik csak, a link alapján talán nfs4_setfacl segíthet. Ha AD is bekavar, akkor még jobb kérdés, hogy ki felelős miért, és kinek van joga jogot állítani (azaz lekönyveltetheted-e NFS oldalról ha AD-n kéne változtatni):

It works like this. Sun has this spiffy network file system. Unfortunately, it doesn’t have any real theory of access control. This is partly because Unix doesn't have one either. It has two levels: mortal and God. God (i.e., root) can do anything. The problem is that networks make things polytheistic: Should my workstation’s God be able to turn your workstation into a pillar of salt? Well gee, that depends on whether my God and your God are on good terms or maybe are really just the SAME God. This is a deep and important theological ques-tion that has puzzled humankind for millennia.

The Sun kernel has a user-patchable cosmology. It contains a polytheism bit called “nobody.” When network file requests come in from root (i.e., God), it maps them to be requests from the value of the kernel variable “nobody” which as distributed is set to -1 which by convention corresponds to no user whatsoever, rather than to 0, the binary representation of God (*). The default corresponds to a basically Greek pantheon in which there are many Gods and they’re all trying to screw each other (both literally and figuratively in the Greek case). However, by using adb to set the kernel variable “nobody” to 0 in the divine boot image, you can move to a Ba’hai cosmology in which all Gods are really manifestations of the One Root God, Zero, thus inventing monotheism.

Thus when the manifestation of the divine spirit, binmail, attempts to create a mailbox on a remote server on a monotheistic Unix, it will be able to invoke the divine change-owner command so as to make it profane enough for you to touch it without spontaneously combusting and having your eternal soul damned to hell. On a polytheistic Unix, the divine binmail isn’t divine so your mail file gets created by “nobody” and when binmail invokes the divine change-owner command, it is returned an error code which it forgets to check, knowing that it is, in fact, infallible.

So, patch the kernel on the file server or run sendmail on the server.

Ez a szöveg nem tudom pontosan honnan jön, de kb. kóbor-apácák megtévesztésére alkalmas.

Kb. a default működést leírja, ami by design ilyen. Ettől még nem kell kernelt hackelni, hogy egy rw mellé a root-nak is felsorold a zfs property-ben azt, hogy ki írhatja a dataset-et.

Vagy a kőbaltás módszer: Linuxos nfs szerveren az exports-ba is lehet írni no_root_squash-t.

Az acl-eknek meg (nfs4-en) mindenféle extra erőfeszítés nélkül át kellene menniük. Az hogy a setfacl alul nfs4_setfacl-ra kellene leforduljon az már pont nem a user dolga, hogy kitalálja, milyen fs van alul. Neki elméletileg egy darab parancsot kellene meghívnia posix acl állítására.
Ha a getfacl és setfacl mégsem intézi el ezt a háttérben, az gáz.

Ezzel csak annyi a gond, hogy a POSIX, NFS es NT ACL-ek nem konvertalhatoak egymasba.

Milyen NFS verzió? Milyen NAS? Milyen kliens OS?

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."