这个问题似乎已被问过很多次了,但其他答案不知何故并不适用于我。
基本上,我刚刚设置了一个新的 NFSv4 服务器,我面临的经典问题是服务器和客户端之间的 UID 和 GID 不匹配。但是,在我的场景中,同步 /etc/passwd 和 /etc/group 是不可行的。请注意,我在两台机器上都有相同的用户(而不是这个问题)。
因此我研究了 idmap:根据一些消息来源,似乎 NFSv4 发送用户名(与 NFSv3 发送 UID/GID 的行为相反),而 idmap 的作用是将这些用户名转换为服务器 UID/GID。
但是,这在我的例子中似乎不起作用(设置细节如下),我认为这是非常标准的(几乎只从 repo 安装 NFS)。
我遗漏了什么吗?有没有办法在不设置 LDAP 或 Kerberos 的情况下完成这项工作?
服务器设置
该服务器已Ubuntu 16.04安装并有两个用户。
user1@server:~$ id user1
uid=1000(user1) gid=1000(user1) groups=1000(user1),27(sudo)
user1@server:~$ id user2
uid=1001(user2) gid=1001(user2) groups=1001(user2)
NFS 从 repo 安装并配置为导出测试文件夹。
user1@server:~$ sudo apt-get install nfs-kernel-server
user1@server:~$ sudo cat /proc/fs/nfsd/versions
+2 +3 +4 +4.1 +4.2
user1@server:~$ ls -ld /srv/nfs/test/
drwxrwxrwx 2 nobody nogroup 4096 nov 2 17:34 /srv/nfs/test/
user1@server:~$ cat /etc/exports
"/srv/nfs/test" 192.168.x.x(rw,sync,no_subtree_check)
由于服务器和客户端的主机名不同,我更改了 idmapd 配置文件中的“域”值。除此之外,该文件与包管理器安装的文件相同。请注意,此文件的内容在服务器和客户端上都是相同的。
user1@server:~$ cat /etc/idmapd.conf
[General]
Verbosity = 0
Pipefs-Directory = /run/rpc_pipefs
# set your own domain here, if id differs from FQDN minus hostname
Domain = mydomain
[Mapping]
Nobody-User = nobody
Nobody-Group = nogroup
客户端设置
客户还拥有Ubuntu 16.04两个用户,但他们的用户名相同但 UID/GID 不同。
user1@client:~$ id user1
uid=1001(user1) gid=1002(user1) groups=1002(user1),27(sudo)
user1@client:~$ id user2
uid=1000(user2) gid=1000(user2) groups=1000(user2),27(sudo)
NFS 从 repo 安装并且已挂载测试共享。
user1@client:~$ sudo apt-get install nfs-common
user1@client:~$ mkdir ./test
user1@client:~$ sudo mount -t nfs4 192.168.x.x:/srv/nfs/test ./test
测试
首先我在客户端创建一个文件,这看起来很好:
user1@client:~$ touch test/testfile
user1@client:~$ ls -l ./test
total 0
-rw-rw-r-- 1 user1 user1 0 nov 2 17:24 testfile
但是当我从服务器查看文件时,我注意到所有者是错误的,而组不存在。
user1@server:~$ ls -l /srv/nfs/test
total 0
-rw-rw-r-- 1 user2 1002 0 nov 2 17:24 testfile
实验
根据这个答案对于类似的问题,应在服务器上按如下方式激活 id-mapping(注意错误):
user1@server:~$ sudo tee /sys/module/nfsd/parameters/nfs4_disable_idmapping <<< "N"
user1@server:~$ sudo nfsidmap -c
nfsidmap: 'id_resolver' keyring was not found.
user1@server:~$ sudo service rpcidmapd restart
Failed to restart rpcidmapd.service: Unit rpcidmapd.service not found.
user1@server:~$ sudo service nfs-kernel-server restart
在客户端上(注意没有错误):
user1@client:~$ sudo tee /sys/module/nfs/parameters/nfs4_disable_idmapping <<< "N"
user1@client:~$ sudo nfsidmap -c
但结果很奇怪:
user1@client:~$ touch test/testfile
user1@client:~$ ls -l test
total 0
-rw-rw-r-- 1 user2 4294967294 0 nov 2 19:16 testfile
user1@server:~$ ls -l /srv/nfs/project/
total 0
-rw-rw-r-- 1 user2 1002 0 nov 2 19:16 prova
另一个答案建议修改idmapd配置如下(两台机器上的内容相同):
user1@server:~$ cat /etc/idmapd.conf
[General]
Verbosity = 0
Pipefs-Directory = /run/rpc_pipefs
# set your own domain here, if id differs from FQDN minus hostname
Domain = mydomain
[Translation]
Method=static
[Static]
user1@mydomain = user1
[Mapping]
Nobody-User = nobody
Nobody-Group = nogroup
但这似乎并没有什么区别。
答案1
NFSv4 不会像您想象的那样在不使用 Kerberos 和安全风格时转换 UID 和 GID。但它确实按照您描述的方式运行。原因是 NFSv4 将使用AUTH_SYS安全性。可以找到更详细的描述这里。