如何让 NFSv4 idmap 与 sec=sys 一起使用?

如何让 NFSv4 idmap 与 sec=sys 一起使用?

我有一个服务器(Debian)通过 NFS 和一个服务提供一些文件夹客户(Debian) 连接到 NFS 服务器(使用 NFSv4)并安装导出的文件夹。到目前为止一切都很好,我可以连接并修改文件夹的内容。但用户完全混乱了。据我了解,这是由于 NFS 使用 UID 来设置权限,并且作为用户的 UID客户服务器不同,那么就会发生这种情况,这仍然是预料之中的。但据我了解,通过启用 NFSv4,IDMAPD 应该启动并使用用户名而不是 UID。用户确实存在于服务器客户另一方面,他们只是有不同的 UID。但无论出于何种原因,IDMAPD 不起作用或似乎不起作用。

这是我到目前为止所做的:

在服务器端:

  • 安装 nfs-kernel-server
  • 使用正确的导出设置填充 /etc/exports -->/rfolder ip/24(rw、同步、no_subtree_check、no_root_squash)
  • 并将 /etc/default/nfs-common 更改为NEED_IDMAPD=是

在客户端

  • 安装 nfs-common
  • 并将 /etc/default/nfs-common 更改为NEED_IDMAPD=是
  • 并使用“安装文件夹”mount -t nfs4 ip:/rfolder /media/lfolder

重启又重启好几次了,还是不行。当我从服务器包含用户的文件夹A,在客户我看到文件夹所有者是某个用户X。当我从客户与用户A,在服务器侧面说它来自某个用户

我向 HTOP 检查了 rpc.idmap 进程正在运行服务器确实如此。虽然在客户它似乎没有运行。通过尝试手动启动服务客户我刚刚收到一条错误消息,指出 IDMAP 需要 nfs-kernel-server 依赖项才能运行。所以我把它安装在客户侧面,现在我在两者上都运行了 rpc.idmap 进程客户服务器。都重启了,问题依旧。

知道这里出了什么问题吗?或者如何正确配置?

答案1

sec=sys在使用默认 AUTH_SYS 身份验证(挂载选项)而不是 Kerberos 的挂载上使用 NFSv4 id 映射时,需要注意一些事项。

笔记:使用AUTH_SYSidmapping 仅转换用户/组名称。仍会根据本地 UID/GID 值检查权限。获得使用用户名的权限的唯一方法是使用 Kerberos。

在最近的内核上,只有服务器使用 rpc.idmapd (记录在man rpc.idmapd)。使用 idmap 时,用户名以用户@域格式。除非配置了域名/etc/idmapd.conf、idmapd 使用系统的 DNS 域名。为了使 idmap 正确映射用户,客户端和服务器上的域名需要相同。

其次,内核禁用 NFSv4sec=sys挂载的 id 映射默认情况下。将参数设置nfs4_disable_idmapping为 false 可以启用挂载的 id 映射sec=sys

在服务器上:

echo "N" > /sys/module/nfsd/parameters/nfs4_disable_idmapping

以及在客户端上:

echo "N" > /sys/module/nfs/parameters/nfs4_disable_idmapping

您需要nfsidmap -c在客户端上清除 idmap 缓存,以便更改在已安装的 NFSv4 文件系统上可见。

为了进行这些改变永恒的,创建配置文件/etc/modprobe.d/,

服务器( modprobe.d/nfsd.conf):

options nfsd nfs4_disable_idmapping=N

客户( modprobe.d/nfs.conf):

options nfs nfs4_disable_idmapping=N

答案2

这是众所周知且有记录的行为。如果服务器端和客户端有不同的用户共享相同的uid文件会出现拥有不同的所有者。

除了共享文件之外,建议注意在共享相同文件系统的所有计算机中映射具有相同 id 的用户。

您可以手动执行此操作,使用一些最低限度的自动化/脚本系统,或者更好,或者设置集中式身份验证,例如使用 LDAP。看使用 OpenLDAP 进行集中身份验证

相关内容