Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

NFS und Gruppenrechte

Frage Linux Linux Netzwerk

Mitglied: 2morpheus

2morpheus (Level 1) - Jetzt verbinden

06.08.2012, aktualisiert 07.08.2012, 4455 Aufrufe, 3 Kommentare

Moin,

debian Squeeze Server + Client sind per NFS verbunden

Der NFS Server soll als Datencotainer laufen.
Es gibt verschiedenen Gruppen, die vom Client kontroliert werden (User + Gruppen ohne LDAD etc)

Ordner und Datein sind im Beispiel auf 770 und root.info bzw dietz.info gesetzt:

01.
dietz@vepdc:~$ ls -l /var/data/nfs/data01/test/ 
02.
insgesamt 12 
03.
-rwxrwx--- 1 root  info 4  6. Aug 12:10 testdat.dat 
04.
-rwxrwx--- 1 dietz info 4  6. Aug 13:20 testdietz.dat 
05.
 
testdat.dat läßt sich nicht öffnen
testdietz.dat läßt sich öffnen

obwohl dietz in der Gruppe info ist

01.
dietz@vepdc:~$ cat /etc/group | grep info 
02.
info:x:1001:dietz,dietz-vm,x-apps,janssen
Habe ich aus Clientsicht auf dem Server überhaupt "Gruppenrechte"?
Ich habe verschiedene Mount und Exportseinstellungen geprüft und komme nicht weiter.

Das Problem existiert aus meiner Sicht erst mit debian Squeeze.

Ein erster Hinweis wo es weitergeht wäre toll.

exports
01.
#               to NFS clients.  See exports(5). 
02.
/export/backup01 192.168.5.0/24(rw,subtree_check,secure,no_root_squash,sync) 
03.
/export/data01 192.168.5.0/24(rw,no_subtree_check,no_root_squash) 
04.
/export/stadata 192.168.5.0/24(rw,subtree_check,secure) 
05.
 
06.
# NFSv4 - pseudo filesystem root 
07.
/export 192.168.5.0/24(ro,fsid=0,root_squash,no_subtree_check,hide) 
08.
/export 192.168.5.0/24(ro,fsid=0,root_squash,no_subtree_check,hide) 
09.
/export 192.168.5.0/24(ro,fsid=0,root_squash,no_subtree_check,hide)
fstab
01.
#nfs NAS 
02.
192.168.5.1:/export/data01  /var/data/nfs/data01  nfs rw,auto,rsize=32768,wsize=32768,hard,intr,tcp,nolock   0   0 
03.
#
Mitglied: Alchimedes
06.08.2012 um 16:42 Uhr
Hallo,

die testdat.dat gehoert root, und die testdat.dat~ ist eine kopie davon.
Nachdem Zeitstempel sind ja beide Datein gleichzeitig angelegt wurden?

Desweiteren stellt sich die Frage der uebergeordneten Rechte?
Wurden die Recursiv vergeben? also chmod -R 770 /dein/pfad

Ich wuerde hier mal eine neue Datei anlegen mit dem user dietz.

Ansonsten sehen die Mounts und Optionen auf den ersten Blick ok aus.

Gruss
Bitte warten ..
Mitglied: 16568
06.08.2012 um 20:57 Uhr
Und je nach Menge der User solltest Du Dich zum Thema ACL's einlesen...


Lonesome Walker
Bitte warten ..
Mitglied: 2morpheus
07.08.2012, aktualisiert um 11:58 Uhr
Das Ergebnis der weiteren Tests bestätigt die Beobachtung: unter Debian
Etch hat der NFS-Server die Gruppenmitgliedschaft schlicht nicht
richtig überprüft und das dem Client überlassen.

Das entsprach auch nicht dem Internet-Standard (RFC) für NFS:

http://tools.ietf.org/html/rfc1813#section-1.5

Das Problem schien darin zu bestehen, wie Etch bei
NFS-Protokoll-Version 2 die Gruppenmitgliedschaften behandelt
hat. Dies wurde bei Squeeze "richtig" implementiert. Daher geht es
auch bei Squeeze weder mit NFS-Protokoll-Version 2 noch mit v3 (v3
ist inzwischen Standard beim Mounten).

Beispiel für Mounten mit Protokollversion 3, Server ist Squeeze:

01.
[0 root@debian-squeeze /export] ls -l 
02.
total 12 
03.
-rw-rw---- 1 root 40022 6  7. Aug 04:50 owned-by-auxiliary-group 
04.
-rw-rw---- 1 root 40021 7  7. Aug 04:50 owned-by-primary-group 
05.
-rw-rw---- 1 root 40023 8  7. Aug 04:51 owned-by-third-group
Nun auf dem Client (Proto v3):

01.
[0 root@chai-latte /] mount 192.168.10.121:/export /mnt -o nfsvers=2 
02.
[0 root@chai-latte /] cd /mnt 
03.
[0 root@chai-latte /mnt] ls -l 
04.
total 12 
05.
-rw-rw---- 1 root auxiliary-group 6 Aug  7 10:50 owned-by-auxiliary-group 
06.
-rw-rw---- 1 root primary-group   7 Aug  7 10:50 owned-by-primary-group 
07.
-rw-rw---- 1 root third-group     8 Aug  7 10:51 owned-by-third-group 
08.
[0 root@chai-latte /mnt] su - normaluser 
09.
normaluser@chai-latte:~$ groups 
10.
primary-group auxiliary-group 
11.
normaluser@chai-latte:~$ cd /mnt 
12.
normaluser@chai-latte:/mnt$ ls -l 
13.
total 12 
14.
-rw-rw---- 1 root auxiliary-group 6 Aug  7 10:50 owned-by-auxiliary-group 
15.
-rw-rw---- 1 root primary-group   7 Aug  7 10:50 owned-by-primary-group 
16.
-rw-rw---- 1 root third-group     8 Aug  7 10:51 owned-by-third-group 
17.
normaluser@chai-latte:/mnt$ cat owned-by-primary-group  
18.
chunky 
19.
normaluser@chai-latte:/mnt$ cat owned-by-auxiliary-group  
20.
cat: owned-by-third-group: Permission denied 
21.
normaluser@chai-latte:/mnt$ cat owned-by-third-group  
22.
cat: owned-by-third-group: Permission denied
Mountet man dasselbe Verzeichnis mit Protokollversion v2 anstelle von
v3 gibt es nur eine andere Fehlermeldung:

01.
normaluser@chai-latte:/mnt$ cat owned-by-primary-group  
02.
chunky 
03.
normaluser@chai-latte:/mnt$ cat owned-by-auxiliary-group  
04.
cat: owned-by-auxiliary-group: Input/output error 
05.
normaluser@chai-latte:/mnt$ cat owned-by-third-group  
06.
cat: owned-by-third-group: Permission denied
Kurz: das Verhalten von Squeeze ist korrekt (RPC-konform), und ich
sehe keine Möglichkeit, das entsprechend zu ändern (wie
vermutet). Auch das RFC selber sagt deutlich, dass auf Client und
Server die Zuordnung von Usern und Gruppen sowohl von den Namen als
auch von den IDs her übereinstimmen muss, damit Rechte richtig
funktionieren:

Using user ids and group ids implies that the client and server
either share the same ID list or do local user and group ID mapping.
Servers and clients must agree on the mapping from user to uid and
from group to gid, for those sites that do not implement a
consistent user ID and group ID space.
Bitte warten ..
Ähnliche Inhalte
SAN, NAS, DAS
Bei QNAP-Laufwerk Gruppenrechte einstellen
Frage von syncmasterSAN, NAS, DAS3 Kommentare

Hallo Zusammen, ich habe auf meinem QNAP Laufwerk TS-670 (Firmware V4.07) verschiedene Ordner erstellt, deren Besitzer bzw. Gruppenzugehörigkeit ich ...

RedHat, CentOS, Fedora
Nfs Berechtigung
Frage von bastian42RedHat, CentOS, Fedora2 Kommentare

Hallo, folgende Ausgangssituation: Ich habe als NFS-Server einen redhat server in der /etc/exports steht: /global 10.10.10.2/32(rw) nun binde ich ...

Suse
NFS Mount einer schon per NFS gemounteten Freigabe
Frage von OlibSylSuse1 Kommentar

Hallo, ich stehe hier vor einem kleinen Problem. Scenario ist folgendes: Ich habe einen Server (SLES 11) auf diesem ...

Debian
NFS mit fehlenden Rechten
gelöst Frage von cra.CHDebian1 Kommentar

Hallo zusammen Ich habe zwei Debian-Rechner, welche via NFS miteinander "verbunden" sind. Auf dem Quell-Rechner habe ich drei Ordner, ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 1 TagApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 TagWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 1 TagWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement16 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...