Re: Bin ich zu blöd für NFSv4?: idmapping klappt für ls, aber nicht für touch
Hi Heiko.
Heiko Schlittermann - 14.11.20, 21:37:35 CET:
> ich habe hier einen NFS-Server und Client. Auf beiden Seiten Kernel
> 4.4.0. In der idmap.conf steht für beide die selbe Domain. Ich
> verwende beim NFS mount vers=4.2 und keine besonderen Options beim
> Export.
>
> Eigentlich geht es um genau einen Nutzer: postgres. Auf dem Server hat
> er die UID 112, auf dem Client 111.
>
> Das ID-Mapping gmacht, dass ich auch auf der Client-Seite den
> korrekten User sehe, sowohl numerisch als auch textuell. Ist ja Sinn
> des ID-Mapping.
>
> Jetzt möchte ein Prozess auf dem Client mit der UID 111 (postgres auf
> dem Client) ein File anlegen. Darf er nicht. Warum? Ich habe ein wenig
> mit Wireshark und so rumgespielt.
>
> Das Erzeugen des Files auf dem Client geschieht durch den Prozess mit
> der UID 111, der syscall creat(2) wird in einen entsprechenden NFS
> call umgewandelt, da steht aber ausser den „credentials“ (Prozess UID
> numerisch 111, also nicht auf den User gemappt) kein ausdrücklicher
> File-Owner drin. Der Server versucht nun also das File mit der UID
> 111 anzulegen, was wegen der Verzeichnisberechtigungen nicht geht.
> Soweit logisch.
>
> Nun aber meine Frage: Ich meine, dass ich schon mal gesehen hatte,
> dass das funktioniert. Irgendeine Option? Ich bin mir gerade auch
> nicht mal sicher, ob Client oder Server schuld sind. Oder ich.
Als ich mich das letzte Mal damit beschäftigt habe, bin ich darauf
gestoßen, dass das ID-Mapping mit sec=sys nicht gescheit funktioniert,
sondern nur mit NFS mit Kerberos. Weiß aber nicht, ob das immer noch so
ist.
Ciao,
--
Martin
Reply to: