[FRsAG] NFSv4 et ACL : problèmes

Jonathan Tremesaygues jonathan.tremesaygues at menta.fr
Jeu 31 Juil 09:52:03 CEST 2014


Bonjour,

Ne marche pas non plus en NFSv3 :-/


Montage de l'export de test en nfs3 :
[root at sl65 mnt]# mount -o vers=3,acl whale:/share/MD0_DATA/test whale/
[root at sl65 mnt]# nfsstat -m
/mnt/whale from whale:/share/MD0_DATA/test
  Flags: 
rw,relatime,vers=3,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,mountaddr=192.168.10.150,mountvers=3,mountport=58340,mountproto=udp,local_lock=none,addr=192.168.10.150


Vérification de la présence des ACL :
[root at sl65 mnt]# ll
total 8
drwxrwx---+ 3 root root 4096 Jul 31 09:14 whale
[root at sl65 mnt]# getfacl whale
# file: whale
# owner: root
# group: root
user::rwx
user:lrouge:rwx
user:jtremesay:rwx
user:nfsnobody:---
group::rwx
mask::rwx
other::rwx
default:user::rwx
default:user:lrouge:rwx
default:user:jtremesay:rwx
default:user:nfsnobody:---
default:group::rwx
default:mask::rwx
default:other::---


Tentative d'accès au dossier :
[jtremesay at sl65 mnt]$ ls whale/
ls: cannot open directory whale/: Permission denied


Cordialement
Jonathan




On 07/30/2014 06:15 PM, Jean Milot wrote:
> Bonjour,
>
> Moi, j'ai abandonné NFSv4. Je force l'utilisation de la version 3 pour 
> utiliser les ACLs.
>
> Cordialement,
>
> Jean
>
>
>
> Le 30 juillet 2014 16:40, Jonathan Tremesaygues 
> <jonathan.tremesaygues at menta.fr 
> <mailto:jonathan.tremesaygues at menta.fr>> a écrit :
>
>     Bonjour la liste,
>
>     Nous essayons désespérément de faire fonctionner les ACL sur du
>     partage réseau
>     NSFv4. Le serveur de partage est un NAS QNAP TS-879-PRO tournant
>     sous un linux
>     custom et les clients sont essentiellement des Scientific Linux
>     (RHEL-like)
>     6.5. Les comptes des utilisateurs sont stockés dans un LDAP.
>
>     ########################
>     # Configuration du serveur (whale) : #
>     ########################
>     [~] # cat /etc/idmapd.conf
>     [General]
>     Verbosity = 9
>     Pipefs-Directory = /var/lib/nfs/rpc_pipefs
>     Domain = menta.fr <http://menta.fr>
>
>     [Mapping]
>     Nobody-User = guest
>     Nobody-Group = guest
>
>     [Translation]
>     Method = nsswitch
>
>
>     [~] # cat /etc/exports
>     "/share/NFS"
>     *(no_subtree_check,no_root_squash,insecure,fsid=0,subtree_check,acl,sec=sys)
>     "/share/NFS/shared"
>     192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys)
>     <http://192.168.10.0/255.255.254.0%28rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys%29>
>     "/share/NFS/test"
>     192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys)
>     <http://192.168.10.0/255.255.254.0%28rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys%29>
>
>
>     [~] # cat /sys/module/nfsd/parameters/nfs4_disable_idmapping
>     N
>
>
>     [~] # ll /share/NFS/
>     drwxr-xr-x   19 root     root          1.0k Jul 29 10:16 ./
>     drwxr-xr-x   32 root     root          1.0k Jul 29 14:34 ../
>     drwxrwxrwx   12 root     shared        4.0k Jul 17 15:00 shared/
>     drwxrwx---    2 root     root          4.0k Jul 22 15:44 test/
>
>
>     [~] # getfacl /share/NFS/test
>     getfacl: Removing leading '/' from absolute path names
>     # file: share/NFS/test
>     # owner: root
>     # group: root
>     user::rwx
>     user:jtremesay:rwx
>     group::rwx
>     mask::rwx
>     other::---
>     default:user::rwx
>     default:group::rwx
>     default:mask::rwx
>     default:other::---
>
>
>
>     ###################
>     # Configuration d'un client : #
>     ###################
>     [jtremesay at hawk ~]$ cat /etc/idmapd.conf
>     [General]
>     Verbosity = 9
>     Pipefs-Directory = /var/lib/nfs/rpc_pipefs
>     Domain = menta.fr <http://menta.fr>
>
>     [Mapping]
>     Nobody-User = nobody
>     Nobody-Group = nobody
>
>     [Translation]
>     Method = nsswitch
>
>
>     [jtremesay at hawk ~]$ mount | grep whale
>     whale:/ on /mnt/whale type nfs
>     (rw,vers=4,addr=192.168.10.150,clientaddr=192.168.10.121)
>
>
>     [jtremesay at hawk ~]$ nfsstat -m
>     /mnt/whale from whale:/
>      Flags:
>     rw,relatime,vers=4,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.10.121,minorversion=0,local_lock=none,addr=192.168.10.150
>
>
>     [jtremesay at hawk ~]$ ll /mnt/whale/
>     total 134
>     drwxr-xr-x. 19 root root     1024 Jul 29 10:16 .
>     drwxr-xr-x.  5 root root     4096 Jul 29 10:46 ..
>     drwxrwxrwx. 12 root shared   4096 Jul 17 15:00 shared
>     drwxrwx---.  2 root root     4096 Jul 22 15:44 test
>
>
>     [jtremesay at hawk ~]$ nfs4_getfacl /mnt/whale/test/
>     A::OWNER@:rwaDxtTcCy
>     A::jtremesay at menta.fr:rwaDxtcy
>     A::GROUP@:rwaDxtcy
>     A::EVERYONE@:tcy
>     A:fdi:OWNER@:rwaDxtTcCy
>     A:fdi:GROUP@:rwaDxtcy
>     A:fdi:EVERYONE@:tcy
>
>
>     [jtremesay at hawk ~]$ ll /mnt/whale/test/
>     ls: cannot open directory /mnt/whale/test/: Permission denied
>
>
>     Lorsque que j'utilise la même configuration (mêmes réglages
>     d'idmapd.conf,
>     mêmes exports, mêmes ACL) depuis un serveur sous Scientific Linux, ça
>     fonctionne : seul moi et root peuvent accéder au dossier "test".
>     Donc à priori le problème viendrait du QNAP mais je vois pas trop
>     ce que j'ai pu oublier de modifier ou vérifier.
>
>     Si quelqu'un a une idée... Merci d'avance
>
>
>     Cordialement,
>     Jonathan Tremesaygues
>     _______________________________________________
>     Liste de diffusion du FRsAG
>     http://www.frsag.org/
>
>
>
>
> -- 
> MILOT Jean
> Tél. : 0659514624
> milot.jean at gmail.com <mailto:milot.jean at gmail.com>
>

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20140731/4fdaaacc/attachment.html>


Plus d'informations sur la liste de diffusion FRsAG