由于某种原因,属于特定组(该组对 NFS 目录具有 rwx 权限)的用户无法进入该目录。我不知所措,肯定有什么我遗漏了。客户端和服务器都是 Debian 11 服务器
NFS 客户端上用户/组信息如下:
root@client:/# ls -lisa /media/
total 17
4 drwxr-xr-x 5 root root 4096 Apr 15 14:33 .
4 drwxr-xr-x 17 root root 4096 Aug 16 05:14 ..
4 drwxrwx--- 5 media media 4096 Sep 2 20:41 Download
root@client:/# ls -lisa /media/Download/
total 36
2 4 drwxrwx--- 6 media media 4096 Sep 3 09:05 .
783361 4 drwxr-xr-x 5 root root 4096 Sep 3 09:04 ..
11 16 drwxrwx--- 2 media media 16384 Apr 11 17:55 lost+found
11272193 4 drwxr-xr-x 2 media media 4096 Sep 3 09:05 testdir
12 0 -rw-r--r-- 1 media media 0 Sep 3 09:04 test.txt
root@client:/# id media
uid=1090(media) gid=1090(media) groups=1090(media)
root@client:/# id user
uid=1000(user) gid=1000(user) groups=1000(user),1090(media)
root@client:/# cat /etc/passwd | egrep "user|media"
user:x:1000:1000:user,,,:/home/user:/bin/bash
media:x:1090:1090::/home/media:/usr/sbin/nologin
root@client:/# mount
192.168.24.10:/media/Download on /media/Download type nfs4 (rw,relatime,vers=4.2,rsize=131072,wsize=131072,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.24.5,local_lock=none,addr=192.168.24.100)
user@client:~$ whoami | id
uid=1000(user) gid=1000(user) groups=1000(user),1090(media)
user@client:~$ ls -lisa /media/Download/
ls: cannot open directory '/media/Download/': Permission denied
为什么用户被拒绝访问下载文件夹?他们是媒体组的一部分,并且该文件夹对该组具有 rwx 权限。这里的问题是什么?
在 NFS 服务器上:
root@server:/# ls -lisa /media/
total 16
128771 4 drwxr-xr-x 4 root root 4096 Apr 15 04:32 .
2 4 drwxr-xr-x 18 root root 4096 Aug 16 08:12 ..
2 4 drwxrwx--- 6 media media 4096 Sep 3 08:05 Download
root@server:/# ls -lisa /media/Download/
total 36
2 4 drwxrwx--- 6 media media 4096 Sep 3 08:05 .
128771 4 drwxr-xr-x 4 root root 4096 Apr 15 04:32 ..
11 16 drwxrwx--- 2 media media 16384 Apr 11 16:55 lost+found
11272193 4 drwxr-xr-x 2 media media 4096 Sep 3 08:05 testdir
12 0 -rw-r--r-- 1 media media 0 Sep 3 08:04 test.txt
root@server:/# id media
uid=1090(media) gid=1090(media) groups=1090(media)
root@server:/# cat /etc/exports
/media/Download 192.168.24.5/32(rw,anonuid=1090,anongid=1090,no_subtree_check,root_squash)
root@server:/# cat /etc/passwd | grep media
media:x:1090:1090::/home/media:/usr/sbin/nologin
如果我将 NFS 服务器目录权限更改为 777,那么我就可以从客户端读取和写入 Download。但显然我更愿意限制更多,只允许允许的用户读取/写入该目录。
我已多次重新启动客户端和服务器,但仍然出现相同的权限被拒绝的情况。
答案1
但是服务器上的用户不是媒体组的一部分。
确实应该如此。(理想情况下,客户端和服务器都应该自动从 LDAP 或 NIS 或类似系统了解所有 UID 和组。)
虽然 NFS 支持在 RPC 请求中发送客户端用户的辅助组,但最多只能有 16 个组(请记住,凭证包含在每一个 RPC 请求因此每个额外的 GID 都会增加网络开销)。
由于这个限制,NFS 服务器通常设置为完全忽略客户端提供的辅助 GID,并执行新的服务器端查找。在 Linux 上,当服务器的 rpc.mountd 使用-g/选项启动时(在 Debian 上--manage-gids可以找到),或者当启用时(存在于较新的 nfs-utils 中),此功能就会启用。/etc/default/nfs-kernel-servermanage-gids/etc/nfs.conf
确保服务器上的“manage-gids”被禁用可能会有所帮助(需要systemctl daemon-reload在 Debian 上,但可能需要完全重启才能使内核停止执行查找),但理想情况下,服务器和所有客户端之间的组成员身份应该一致——如果您将 NFS 设置切换到 Kerberos 身份验证,则服务器端组查找将成为强制性的。
服务器上针对 anonuid 和 anongid 的导出难道不应该抑制服务器上本地用户的使用吗?
除非你使用all_squash。这些参数仅用作请求的 UID/GID,已经将被映射到“nobody”用户(例如,具有“root_squash”的root用户)。