NFS4 mit Mapping der User- und GruppenIDs

Dieses Thema im Forum "Web- & File-Services" wurde erstellt von winequarter, 28.11.2012.

  1. #1 winequarter, 28.11.2012
    winequarter

    winequarter Jungspund

    Dabei seit:
    25.11.2003
    Beiträge:
    16
    Zustimmungen:
    0
    Ort:
    Wien, Österreich
    Hallo!

    Ich hab jetzt schon eine halbe Ewigkeit herumprobiert und komm einfach auf keinen grünen Zweig. Folgendes Setup:
    Rechner A (=NFS-Server): IP 10.0.0.1, Name "servus" (wird vom lokalen "bind" so aufgelöst), Benutzer daniel hat die uid 1000, Gruppe daniel die gid 1000. System ist Debian Squeeze
    Rechner B (=NFS-Client): IP 10.0.0.4, Name "xss" (ebenfalls dem "bind" bekannt), Benutzer daniel hat die uid 1007, Gruppe users die gid 100. System ist OpenSuSE 12.2

    Das Mounten funktioniert wunderbar, auf das share kann lesend zugegriffen werden. Als Root (natürlich mit der Option "no_root_squash") passt auch der schreibende Zugriff auf die Freigabe.
    Wenn ich aber am Client als Benutzer "daniel" angemeldet bin und in die NFS-Freigabe schreibe, dann stimmt das Mapping einfach nicht. Erstellte Dateien erscheinen am Server mit der uid 1007 - dementsprechend kann nur in ein Verzeichnis geschrieben werden, das world-writeable ist.

    idmapd läuft auf beiden Rechnern. Allerdings hab ich keine brauchbare Dokumentation gefunden, wie die Konfiguration des Dienstes auf Server/Client aussehen soll (bzw. wie der Dienst überhaupt verwendet wird) - ich seh nur im Logfile, dass er überhaupt verwendet wird.
    Am liebsten wär mir also ein statisches Mapping von Benutzer und Gruppen zwischen den beiden Parteien. Hat hier jemand einen Tipp für die Konfiguration von idmapd parat?
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 tgruene, 28.11.2012
    tgruene

    tgruene Routinier

    Dabei seit:
    02.02.2012
    Beiträge:
    418
    Zustimmungen:
    0
    Welchen Namen die uid hat, ist dem Kernel sicherlich egal. Wenn Du auf Rechner B mit der uid 1007 angemeldet bist, hinterlaesst Du auch Dateien mit dieser uid. Dass es auf dem Server einen user mit zufaellig dem gleichen Namen gibt, hat nichts mit NFS zu tun.
    Fuer ein kleines Netzwerk ist es wohl am einfachsten, auf beiden Rechnern dem User 'daniel' dieselbe uid:gid zu geben. Bei groesseren Nutzern ist dann wohl eine zentrale Nutzerverwaltung angemessener (nis ist einfach und relativ unsicher (fuer ein kleines Netzwerk wahrscheinlich nicht so kritisch), ldap m.E. komplizierter, gilt aber als sicherer, v.a. in Verbindung mit kerberos).

    So, nachdem ich das jetzt alles geschrieben habe, bin ich auf diesen link gestossen, der Deinen Eindruck der Funktionsweise von idmapd bestaetigt. Das kann aber nicht einfach so funktionieren, Du wirst am Server (oder evtl. auch dem Client) in idmapd.conf eingeben muessen, welche _NAMEN_ auf die ID am Server uebersetzt werden muessen (s. ansatzweise man idmapd.conf unter 'static' . Sonst koennten das ja Hinz und Kunz machen.
     
  4. #3 winequarter, 28.11.2012
    winequarter

    winequarter Jungspund

    Dabei seit:
    25.11.2003
    Beiträge:
    16
    Zustimmungen:
    0
    Ort:
    Wien, Österreich
    Das hätte ich mit NFS4 anders verstanden. Dort werden ja im Gegensatz zu NFS3 nicht die UIDs hin und hergeschickt, sondern die Benutzernamen.
    Blauäugig stell ich mir das so vor:
    Am Client schreibt der Benutzer A eine Datei ins (sozusagen virtuelle) Dateisystem. Der NFS-Client schickt dem NFS-Server den Befehl zum Anlegen der Datei mit dem Benutzer A. Der Server weiß (durch das statische Mapping), dass der Benutzer A am Client am Server der Benutzer B ist und schreibt die Datei mit dem Benutzer B als Eigentümer in sein FS. Am Weg zurück (z.B. beim Lesen) natürlich analog bzw. umgekehrt.

    Ja, das hab ich mir auch schon überlegt - nicht zuletzt weil man immer wieder darauf hingewiesen wird bzw. man das so in den Infos immer wieder findet.
    Aber ich wollt mir eigentlich den Aufwand einer zentralen Benutzerverwaltung ersparen. Außerdem bin ich der Meinung, dass das ein ganz üblicher Fall ist und doch irgendwie recht einfach möglich sein soll. Wenn ich z.B. mit dem Firmenlaptop im Heimnetz hänge, kann ich auch nicht davon ausgehen, dass Benutzer- und GruppenIDs mit dem Server übereinstimmen...

    Danke für die Links. Bin im Moment nicht im "problematischen" Netz, werd mir das aber wenn möglich gleich durchsehen. Die Man-Seite zu imapd.conf sagt mir ehrlich gesagt nicht sehr viel. Vor allem wird dort nur das User-Mapping beschrieben - von Mappings von Gruppen ist hier nirgends die Rede :(
    Ich werd mich wohl etwas genauer in die Sache einlesen müssen (z.B. was ist "GSS").
     
  5. #4 Bohrmaschine, 29.11.2012
    Bohrmaschine

    Bohrmaschine Grünschnabel

    Dabei seit:
    22.11.2012
    Beiträge:
    1
    Zustimmungen:
    0
    Hallo

    Schau doch mal nach, ob du tatsächlich nfs4 benutzt. Was sagt denn die Ausgabe des Kommandos 'mount' auf dem Client?
    Da sollte auf jeden Fall 'nfs4' als Dateisystem angegeben werden.

    Grüße
    Bohrmaschine
     
  6. #5 tgruene, 30.11.2012
    tgruene

    tgruene Routinier

    Dabei seit:
    02.02.2012
    Beiträge:
    418
    Zustimmungen:
    0
    Laueft denn der idmapd auf beiden Rechnern, und wie sieht /etc/idmapd.conf auf beiden Rechnern aus? Passen die 'Domain's?
     
Thema:

NFS4 mit Mapping der User- und GruppenIDs

Die Seite wird geladen...

NFS4 mit Mapping der User- und GruppenIDs - Ähnliche Themen

  1. Setzen der access time bei nfs4-mount unter RHEL5

    Setzen der access time bei nfs4-mount unter RHEL5: Hallo zusammen, im unter RHEL5 kann man bei einem nfs4-mount keine last access time setzen. Hierzu habe ich gesehen, dass es sich um einen...
  2. nfs4 und kerberos

    nfs4 und kerberos: Hallo, ich versuche gerade auf unserem Server, zwei Verzeichnisse ueber NFSv4 und Kerberos-gesichert zu exportieren. Soweit ich das erkenne,...
  3. Samba Linux "Mapping"

    Samba Linux "Mapping": Hallo, ich habe folgendes Problem und zwar würde ich gerne einen Ordner so "Mappen" bzw. freigeben das er auf einem Windwos Rechner als Laufwerk...
  4. Samba 3 Migration - wie group-mapping mitnehmen?

    Samba 3 Migration - wie group-mapping mitnehmen?: Hallo zusammen, ich möchte meinen Fileserver und Domänencontroller in eine VM migrieren. Das alte System: SuSE Linux 9.2 (Kernel...
  5. Bluetooth Dongle mit "sco mapping: hci"

    Bluetooth Dongle mit "sco mapping: hci": Hallo, ich suche einen Dongle bei dem die Zeile "sco mapping: hci" auftaucht wenn man "hciconfig hci0 revision" als root eingibt. Dies brauche...