Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

NFS und Gruppenrechte

Frage Linux Linux Netzwerk

Mitglied: 2morpheus

2morpheus (Level 1) - Jetzt verbinden

06.08.2012, aktualisiert 07.08.2012, 4088 Aufrufe, 3 Kommentare

Moin,

debian Squeeze Server + Client sind per NFS verbunden

Der NFS Server soll als Datencotainer laufen.
Es gibt verschiedenen Gruppen, die vom Client kontroliert werden (User + Gruppen ohne LDAD etc)

Ordner und Datein sind im Beispiel auf 770 und root.info bzw dietz.info gesetzt:

01.
dietz@vepdc:~$ ls -l /var/data/nfs/data01/test/ 
02.
insgesamt 12 
03.
-rwxrwx--- 1 root  info 4  6. Aug 12:10 testdat.dat 
04.
-rwxrwx--- 1 dietz info 4  6. Aug 13:20 testdietz.dat 
05.
 
testdat.dat läßt sich nicht öffnen
testdietz.dat läßt sich öffnen

obwohl dietz in der Gruppe info ist

01.
dietz@vepdc:~$ cat /etc/group | grep info 
02.
info:x:1001:dietz,dietz-vm,x-apps,janssen
Habe ich aus Clientsicht auf dem Server überhaupt "Gruppenrechte"?
Ich habe verschiedene Mount und Exportseinstellungen geprüft und komme nicht weiter.

Das Problem existiert aus meiner Sicht erst mit debian Squeeze.

Ein erster Hinweis wo es weitergeht wäre toll.

exports
01.
#               to NFS clients.  See exports(5). 
02.
/export/backup01 192.168.5.0/24(rw,subtree_check,secure,no_root_squash,sync) 
03.
/export/data01 192.168.5.0/24(rw,no_subtree_check,no_root_squash) 
04.
/export/stadata 192.168.5.0/24(rw,subtree_check,secure) 
05.
 
06.
# NFSv4 - pseudo filesystem root 
07.
/export 192.168.5.0/24(ro,fsid=0,root_squash,no_subtree_check,hide) 
08.
/export 192.168.5.0/24(ro,fsid=0,root_squash,no_subtree_check,hide) 
09.
/export 192.168.5.0/24(ro,fsid=0,root_squash,no_subtree_check,hide)
fstab
01.
#nfs NAS 
02.
192.168.5.1:/export/data01  /var/data/nfs/data01  nfs rw,auto,rsize=32768,wsize=32768,hard,intr,tcp,nolock   0   0 
03.
#
Mitglied: Alchimedes
06.08.2012 um 16:42 Uhr
Hallo,

die testdat.dat gehoert root, und die testdat.dat~ ist eine kopie davon.
Nachdem Zeitstempel sind ja beide Datein gleichzeitig angelegt wurden?

Desweiteren stellt sich die Frage der uebergeordneten Rechte?
Wurden die Recursiv vergeben? also chmod -R 770 /dein/pfad

Ich wuerde hier mal eine neue Datei anlegen mit dem user dietz.

Ansonsten sehen die Mounts und Optionen auf den ersten Blick ok aus.

Gruss
Bitte warten ..
Mitglied: 16568
06.08.2012 um 20:57 Uhr
Und je nach Menge der User solltest Du Dich zum Thema ACL's einlesen...


Lonesome Walker
Bitte warten ..
Mitglied: 2morpheus
07.08.2012, aktualisiert um 11:58 Uhr
Das Ergebnis der weiteren Tests bestätigt die Beobachtung: unter Debian
Etch hat der NFS-Server die Gruppenmitgliedschaft schlicht nicht
richtig überprüft und das dem Client überlassen.

Das entsprach auch nicht dem Internet-Standard (RFC) für NFS:

http://tools.ietf.org/html/rfc1813#section-1.5

Das Problem schien darin zu bestehen, wie Etch bei
NFS-Protokoll-Version 2 die Gruppenmitgliedschaften behandelt
hat. Dies wurde bei Squeeze "richtig" implementiert. Daher geht es
auch bei Squeeze weder mit NFS-Protokoll-Version 2 noch mit v3 (v3
ist inzwischen Standard beim Mounten).

Beispiel für Mounten mit Protokollversion 3, Server ist Squeeze:

01.
[0 root@debian-squeeze /export] ls -l 
02.
total 12 
03.
-rw-rw---- 1 root 40022 6  7. Aug 04:50 owned-by-auxiliary-group 
04.
-rw-rw---- 1 root 40021 7  7. Aug 04:50 owned-by-primary-group 
05.
-rw-rw---- 1 root 40023 8  7. Aug 04:51 owned-by-third-group
Nun auf dem Client (Proto v3):

01.
[0 root@chai-latte /] mount 192.168.10.121:/export /mnt -o nfsvers=2 
02.
[0 root@chai-latte /] cd /mnt 
03.
[0 root@chai-latte /mnt] ls -l 
04.
total 12 
05.
-rw-rw---- 1 root auxiliary-group 6 Aug  7 10:50 owned-by-auxiliary-group 
06.
-rw-rw---- 1 root primary-group   7 Aug  7 10:50 owned-by-primary-group 
07.
-rw-rw---- 1 root third-group     8 Aug  7 10:51 owned-by-third-group 
08.
[0 root@chai-latte /mnt] su - normaluser 
09.
normaluser@chai-latte:~$ groups 
10.
primary-group auxiliary-group 
11.
normaluser@chai-latte:~$ cd /mnt 
12.
normaluser@chai-latte:/mnt$ ls -l 
13.
total 12 
14.
-rw-rw---- 1 root auxiliary-group 6 Aug  7 10:50 owned-by-auxiliary-group 
15.
-rw-rw---- 1 root primary-group   7 Aug  7 10:50 owned-by-primary-group 
16.
-rw-rw---- 1 root third-group     8 Aug  7 10:51 owned-by-third-group 
17.
normaluser@chai-latte:/mnt$ cat owned-by-primary-group  
18.
chunky 
19.
normaluser@chai-latte:/mnt$ cat owned-by-auxiliary-group  
20.
cat: owned-by-third-group: Permission denied 
21.
normaluser@chai-latte:/mnt$ cat owned-by-third-group  
22.
cat: owned-by-third-group: Permission denied
Mountet man dasselbe Verzeichnis mit Protokollversion v2 anstelle von
v3 gibt es nur eine andere Fehlermeldung:

01.
normaluser@chai-latte:/mnt$ cat owned-by-primary-group  
02.
chunky 
03.
normaluser@chai-latte:/mnt$ cat owned-by-auxiliary-group  
04.
cat: owned-by-auxiliary-group: Input/output error 
05.
normaluser@chai-latte:/mnt$ cat owned-by-third-group  
06.
cat: owned-by-third-group: Permission denied
Kurz: das Verhalten von Squeeze ist korrekt (RPC-konform), und ich
sehe keine Möglichkeit, das entsprechend zu ändern (wie
vermutet). Auch das RFC selber sagt deutlich, dass auf Client und
Server die Zuordnung von Usern und Gruppen sowohl von den Namen als
auch von den IDs her übereinstimmen muss, damit Rechte richtig
funktionieren:

Using user ids and group ids implies that the client and server
either share the same ID list or do local user and group ID mapping.
Servers and clients must agree on the mapping from user to uid and
from group to gid, for those sites that do not implement a
consistent user ID and group ID space.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Vmware
VMWare NFS iSCSI FC (6)

Frage von clSchak zum Thema Vmware ...

Windows Server
gelöst NFS-Freigabe unter Windows freigeben (3)

Frage von petere zum Thema Windows Server ...

Windows Server
W2K12R2 NFS Server zeigt falschen HDD Size an (1)

Frage von winlin zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...