Re: [FRsAG] NFSv4 et ACL : problèmes

Bonjour,

Les utilisateurs que tu utilises pour les ACL sont-ils bien reconnus côté serveur ? J'ai cru comprendre que tu utilisais un LDAP pour cela, si tu fais un : $> id jtremesay du côté du serveur, cela remonte bien quelque chose ?

Cdt, Arnaud

Date: Thu, 31 Jul 2014 09:56:24 +0200 From: milot.jean@gmail.com To: jonathan.tremesaygues@menta.fr CC: frsag@frsag.org Subject: Re: [FRsAG] NFSv4 et ACL : problèmes

Bonjour, As tu essayé de forcer la version sur le serveur nfs? Cordialement Jean Le 31 juil. 2014 09:52, "Jonathan Tremesaygues" jonathan.tremesaygues@menta.fr a écrit :

Bonjour,

Ne marche pas non plus en NFSv3 :-/

Montage de l'export de test en nfs3 :

[root@sl65 mnt]# mount -o vers=3,acl whale:/share/MD0_DATA/test whale/

[root@sl65 mnt]# nfsstat -m

/mnt/whale from whale:/share/MD0_DATA/test

Flags: rw,relatime,vers=3,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,mountaddr=192.168.10.150,mountvers=3,mountport=58340,mountproto=udp,local_lock=none,addr=192.168.10.150

Vérification de la présence des ACL :

[root@sl65 mnt]# ll

total 8

drwxrwx---+ 3 root root 4096 Jul 31 09:14 whale

[root@sl65 mnt]# getfacl whale

# file: whale

# owner: root

# group: root

user::rwx

user:lrouge:rwx

user:jtremesay:rwx

user:nfsnobody:---

group::rwx

mask::rwx

other::rwx

default:user::rwx

default:user:lrouge:rwx

default:user:jtremesay:rwx

default:user:nfsnobody:---

default:group::rwx

default:mask::rwx

default:other::---

Tentative d'accès au dossier :

[jtremesay@sl65 mnt]$ ls whale/

ls: cannot open directory whale/: Permission denied

Cordialement

Jonathan

On 07/30/2014 06:15 PM, Jean Milot wrote:

Bonjour,

Moi, j'ai abandonné NFSv4. Je force l'utilisation de la version 3 pour utiliser les ACLs.

Cordialement,

Jean

Le 30 juillet 2014 16:40, Jonathan Tremesaygues jonathan.tremesaygues@menta.fr a écrit :

Bonjour la liste,

Nous essayons désespérément de faire fonctionner les ACL sur du partage réseau

NSFv4. Le serveur de partage est un NAS QNAP TS-879-PRO tournant sous un linux

custom et les clients sont essentiellement des Scientific Linux (RHEL-like)

6.5. Les comptes des utilisateurs sont stockés dans un LDAP.

########################

# Configuration du serveur (whale) : #

########################

[~] # cat /etc/idmapd.conf

[General]

Verbosity = 9

Pipefs-Directory = /var/lib/nfs/rpc_pipefs

Domain = menta.fr

[Mapping]

Nobody-User = guest

Nobody-Group = guest

[Translation]

Method = nsswitch

[~] # cat /etc/exports

"/share/NFS" *(no_subtree_check,no_root_squash,insecure,fsid=0,subtree_check,acl,sec=sys)

"/share/NFS/shared" 192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys)

"/share/NFS/test" 192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys)

[~] # cat /sys/module/nfsd/parameters/nfs4_disable_idmapping

N

[~] # ll /share/NFS/

drwxr-xr-x 19 root root 1.0k Jul 29 10:16 ./

drwxr-xr-x 32 root root 1.0k Jul 29 14:34 ../

drwxrwxrwx 12 root shared 4.0k Jul 17 15:00 shared/

drwxrwx--- 2 root root 4.0k Jul 22 15:44 test/

[~] # getfacl /share/NFS/test

getfacl: Removing leading '/' from absolute path names

# file: share/NFS/test

# owner: root

# group: root

user::rwx

user:jtremesay:rwx

group::rwx

mask::rwx

other::---

default:user::rwx

default:group::rwx

default:mask::rwx

default:other::---

###################

# Configuration d'un client : #

###################

[jtremesay@hawk ~]$ cat /etc/idmapd.conf

[General]

Verbosity = 9

Pipefs-Directory = /var/lib/nfs/rpc_pipefs

Domain = menta.fr

[Mapping]

Nobody-User = nobody

Nobody-Group = nobody

[Translation]

Method = nsswitch

[jtremesay@hawk ~]$ mount | grep whale

whale:/ on /mnt/whale type nfs (rw,vers=4,addr=192.168.10.150,clientaddr=192.168.10.121)

[jtremesay@hawk ~]$ nfsstat -m

/mnt/whale from whale:/

Flags: rw,relatime,vers=4,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.10.121,minorversion=0,local_lock=none,addr=192.168.10.150

[jtremesay@hawk ~]$ ll /mnt/whale/

total 134

drwxr-xr-x. 19 root root 1024 Jul 29 10:16 .

drwxr-xr-x. 5 root root 4096 Jul 29 10:46 ..

drwxrwxrwx. 12 root shared 4096 Jul 17 15:00 shared

drwxrwx---. 2 root root 4096 Jul 22 15:44 test

[jtremesay@hawk ~]$ nfs4_getfacl /mnt/whale/test/

A::OWNER@:rwaDxtTcCy

A::jtremesay@menta.fr:rwaDxtcy

A::GROUP@:rwaDxtcy

A::EVERYONE@:tcy

A:fdi:OWNER@:rwaDxtTcCy

A:fdi:GROUP@:rwaDxtcy

A:fdi:EVERYONE@:tcy

[jtremesay@hawk ~]$ ll /mnt/whale/test/

ls: cannot open directory /mnt/whale/test/: Permission denied

Lorsque que j'utilise la même configuration (mêmes réglages d'idmapd.conf,

mêmes exports, mêmes ACL) depuis un serveur sous Scientific Linux, ça

fonctionne : seul moi et root peuvent accéder au dossier "test".

Donc à priori le problème viendrait du QNAP mais je vois pas trop ce que j'ai pu oublier de modifier ou vérifier.

Si quelqu'un a une idée... Merci d'avance

Cordialement,

Jonathan Tremesaygues

_______________________________________________

Liste de diffusion du FRsAG

http://www.frsag.org/

--

MILOT Jean

Tél. : 0659514624

milot.jean@gmail.com

_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/