On Sat, Aug 06, 2011 at 08:04:31PM +0200, Hans-Dietrich Kirmse wrote: > Am 06.08.2011 18:19, schrieb Martin Reising: > >Uih, NFS und ACL, das wird ggf. spannend. > > Verträgt sich NFS und ACLs nicht? Ist mir eigentlich neu. Du mußt anscheinend an deinem Google-Foo arbeiten. Ich habe nur nach linux nfs acl gesucht und fand die Hinweise auf NFSv4 eindringlich genug. Ist ja nicht so das NFSv4 erst seit 1 oder 2 Jahre mit Linux funktioniert. > Beispiel: die Homeverzeichnisse der User sollen nur > für den User und die Gruppe 'fachl' einzusehen sein, also erhalten > die Schülerhomes die Besitzer und Rechte <user>.fachl 770. Nun muss > aber der Apache auch zugreifen können, weil ja die > html_public-Verzeichnisse in den Homeverzeichnissen liegen. Statt > nun Leserecht für other zu geben, bekommt nur der Apache (www-data) > über eine ACL das Recht, in die Homeverzeichnisse zu kommen. Was spricht gegen 771 (ug+rwx,o+x), statt 770? > >Mit ACL landet man bei NFSv4 und muß sich mit dem "security model" > >außereinader setzen. > > verstehe ich nicht. NFSv4 kann jetzt Kerberos für die Authentifizierung verwenden, ist auf den Heise Seiten recht verständlich beschrieben; IMHO. > >Dann hat allerdings das 16 Gruppen-Limit nicht > >mehr und eventuell ist auch die Zickerei von openoffice nicht mehr > >vorhanden. > > was ist das 16 Gruppen-Limit? (wir haben nur 4 Hauptgruppen) NFS vor Version 4 kann nur die ersten 16 Gruppen des Benutzer verwenden. Mit ausufernder Gruppenvergabe und den lokalen Gruppen wie audio, video, cdrom, floppy, scanner, plugdev und saned (nein, die werden nicht immer alle benötigt) hat man dann ein Problem. > ich habe zwar schonwas von autofs gehört - aber davon keine Ahnung. > Das muss sicher auf dem client eingerichtet werden - kannst du > erklären wie das geht? Oder kennst du eine verständliche Anleitung? google hat mir für linux autofs unter anderem http://selflinux.org/selflinux/html/autofs02.html geliefert. Wie gesagt dein Google-Foo hat noch großes optimierungs Potential. > wir haben derzeit nur einen NFSv3-Server. Und da hier doch wegen > Samba/CIFS erstmal die Nase gerümpft wurde, Warum sollte man Linuxsystem mit einem Windowsprotokoll verbinden, wenn es eine gut abgehangene Unixalternative gibt? Du kommst ja auch nicht auf die Idee Wintendows mittels NFS zu verbinden. > Aber wenn es mit NFS nicht geht, dann sollte es mit Samba/CIFS > angegangen werden. Es funktioniert mit NFS, allerdings kommen von dir in fast jeder E-Mail neu Rahmenbedingungen, und das führt dann zwangsläufig zu komplexeren Konfigurationen. Bei deinem Kenntnisstand solltest du dich intensiver in das Thema Unixdateisysteme einarbeiten, denn Teilsätze wie > ohne sich erst durch Hunderte von Home-Verzeichnissen durchhangeln zu > müssen. mehren bei mir die Zweifel ob du dir über Möglichkeiten und Grenzen selbiger im klaren bist. So lange das der Fall ist, ist es sinnlos sich über Konfiguration und deren Vor- und Nachteilen aus zu tauschen. > Dieses Randgruppenbetriebssystem ist hier einfach nur der Maßstab - > nicht mehr, aber auch nicht weniger. Mit "hier" meinst du aber deinen Problembereich und nicht diese Liste, oder gar mein Umfeld. > Und ich hoffe immernoch darauf, dass es hier zum Einrichten eines > Clients (der sich vor einem Windows-Client nicht verstecken muss) > Vorschläge und Hinweise kommen. Wie schon oben geschrieben, ohne ausreichende Grundlagen ist das Ganze zum Scheitern veruteilt und sorgt auf allen Seiten nur für Frust.
Attachment:
signature.asc
Description: Digital signature