cat /etc/nsswitch.conf ? J'ai vu passer qu'un redémarrage du service idmapd corrige parfois des trucs, on sait jamais...
Date: Thu, 31 Jul 2014 10:15:46 +0200 From: jonathan.tremesaygues@menta.fr To: frsag@ww7.be CC: frsag@frsag.org Subject: Re: [FRsAG] NFSv4 et ACL : problèmes
Bonjour,
Selinux est désactivé sur sl65 (c'est une VM destinée à subir les expériences douloureuses nécessaire à mon apprentissage de sysadmin, osef de la sécurité), donc je ne pense pas qu'il soit en cause. Sur les "vrais" machines où selinux est activé, j'ai rien vu de particulier dans les logs.
Cordialement, Jonathan
On 07/31/2014 10:06 AM, neo futur wrote:
vous avez regarde les logs kernel ? y aurai pas un selinux ou autre rbac qui foutrai sa zone ?
2014-07-31 3:56 GMT-04:00 Jean Milot milot.jean@gmail.com:
Bonjour,
As tu essayé de forcer la version sur le serveur nfs?
Cordialement
Jean
Le 31 juil. 2014 09:52, "Jonathan Tremesaygues" jonathan.tremesaygues@menta.fr a écrit :
Bonjour,
Ne marche pas non plus en NFSv3 :-/
Montage de l'export de test en nfs3 : [root@sl65 mnt]# mount -o vers=3,acl whale:/share/MD0_DATA/test whale/ [root@sl65 mnt]# nfsstat -m /mnt/whale from whale:/share/MD0_DATA/test Flags: rw,relatime,vers=3,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,mountaddr=192.168.10.150,mountvers=3,mountport=58340,mountproto=udp,local_lock=none,addr=192.168.10.150
Vérification de la présence des ACL : [root@sl65 mnt]# ll total 8 drwxrwx---+ 3 root root 4096 Jul 31 09:14 whale [root@sl65 mnt]# getfacl whale # file: whale # owner: root # group: root user::rwx user:lrouge:rwx user:jtremesay:rwx user:nfsnobody:--- group::rwx mask::rwx other::rwx default:user::rwx default:user:lrouge:rwx default:user:jtremesay:rwx default:user:nfsnobody:--- default:group::rwx default:mask::rwx default:other::---
Tentative d'accès au dossier : [jtremesay@sl65 mnt]$ ls whale/ ls: cannot open directory whale/: Permission denied
Cordialement Jonathan
On 07/30/2014 06:15 PM, Jean Milot wrote:
Bonjour,
Moi, j'ai abandonné NFSv4. Je force l'utilisation de la version 3 pour utiliser les ACLs.
Cordialement,
Jean
Le 30 juillet 2014 16:40, Jonathan Tremesaygues jonathan.tremesaygues@menta.fr a écrit :
Bonjour la liste,
Nous essayons désespérément de faire fonctionner les ACL sur du partage réseau NSFv4. Le serveur de partage est un NAS QNAP TS-879-PRO tournant sous un linux custom et les clients sont essentiellement des Scientific Linux (RHEL-like) 6.5. Les comptes des utilisateurs sont stockés dans un LDAP.
######################## # Configuration du serveur (whale) : # ######################## [~] # cat /etc/idmapd.conf [General] Verbosity = 9 Pipefs-Directory = /var/lib/nfs/rpc_pipefs Domain = menta.fr
[Mapping] Nobody-User = guest Nobody-Group = guest
[Translation] Method = nsswitch
[~] # cat /etc/exports "/share/NFS" *(no_subtree_check,no_root_squash,insecure,fsid=0,subtree_check,acl,sec=sys) "/share/NFS/shared" 192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys) "/share/NFS/test" 192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys)
[~] # cat /sys/module/nfsd/parameters/nfs4_disable_idmapping N
[~] # ll /share/NFS/ drwxr-xr-x 19 root root 1.0k Jul 29 10:16 ./ drwxr-xr-x 32 root root 1.0k Jul 29 14:34 ../ drwxrwxrwx 12 root shared 4.0k Jul 17 15:00 shared/ drwxrwx--- 2 root root 4.0k Jul 22 15:44 test/
[~] # getfacl /share/NFS/test getfacl: Removing leading '/' from absolute path names # file: share/NFS/test # owner: root # group: root user::rwx user:jtremesay:rwx group::rwx mask::rwx other::--- default:user::rwx default:group::rwx default:mask::rwx default:other::---
################### # Configuration d'un client : # ################### [jtremesay@hawk ~]$ cat /etc/idmapd.conf [General] Verbosity = 9 Pipefs-Directory = /var/lib/nfs/rpc_pipefs Domain = menta.fr
[Mapping] Nobody-User = nobody Nobody-Group = nobody
[Translation] Method = nsswitch
[jtremesay@hawk ~]$ mount | grep whale whale:/ on /mnt/whale type nfs (rw,vers=4,addr=192.168.10.150,clientaddr=192.168.10.121)
[jtremesay@hawk ~]$ nfsstat -m /mnt/whale from whale:/ Flags: rw,relatime,vers=4,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.10.121,minorversion=0,local_lock=none,addr=192.168.10.150
[jtremesay@hawk ~]$ ll /mnt/whale/ total 134 drwxr-xr-x. 19 root root 1024 Jul 29 10:16 . drwxr-xr-x. 5 root root 4096 Jul 29 10:46 .. drwxrwxrwx. 12 root shared 4096 Jul 17 15:00 shared drwxrwx---. 2 root root 4096 Jul 22 15:44 test
[jtremesay@hawk ~]$ nfs4_getfacl /mnt/whale/test/ A::OWNER@:rwaDxtTcCy A::jtremesay@menta.fr:rwaDxtcy A::GROUP@:rwaDxtcy A::EVERYONE@:tcy A:fdi:OWNER@:rwaDxtTcCy A:fdi:GROUP@:rwaDxtcy A:fdi:EVERYONE@:tcy
[jtremesay@hawk ~]$ ll /mnt/whale/test/ ls: cannot open directory /mnt/whale/test/: Permission denied
Lorsque que j'utilise la même configuration (mêmes réglages d'idmapd.conf, mêmes exports, mêmes ACL) depuis un serveur sous Scientific Linux, ça fonctionne : seul moi et root peuvent accéder au dossier "test". Donc à priori le problème viendrait du QNAP mais je vois pas trop ce que j'ai pu oublier de modifier ou vérifier.
Si quelqu'un a une idée... Merci d'avance
Cordialement, Jonathan Tremesaygues _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- MILOT Jean Tél. : 0659514624 milot.jean@gmail.com
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/