Início / server / Perguntas / 1158651
Accepted
bolind
Asked: 2024-04-29 20:19:48 +0800 CST

NFS e ACLs em um contexto Kerberos no Rocky Linux 8.9

  • 772

Estamos executando uma loja Rocky Linux 8.9 (essencialmente RHEL 8.9) e recebi a tarefa de investigar ACLs em sistemas de arquivos montados via NFS. Também estamos usando FreeIPA/IdM.

Configurei uma máquina de teste, inscrevi-a no IdM, exportei um compartilhamento NFS e montei-a localmente, mas a parte ACL parece estar faltando:

[root@example ~]# cat /etc/exports
/export/ *(rw,acl,no_root_squash)

[root@example ~]# mount | grep /export
localhost:/export on /mnt type nfs4 (rw,relatime,vers=4.2,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp6,timeo=600,retrans=2,sec=sys,clientaddr=::1,local_lock=none,addr=::1)

[root@example ~]# cd /mnt/
[root@example mnt]# touch testfile
[root@example mnt]# getfacl testfile
# file: testfile
# owner: root
# group: root
user::rw-
group::r--
other::r--

[root@example mnt]# setfacl -m u:user:r testfile 
setfacl: testfile: Operation not supported

Algumas perguntas:

  1. Foi entendido corretamente que eu deveria usar getfacle setfaclem vez de seus equivalentes nfs4_, já que tanto o cliente quanto o servidor são Linux/POSIX?
  2. Eu preciso do idmapd? Eu tenho um serviço chamado nfs-idmapd em execução com sucesso.
  3. Li em algum lugar que sec=sysdeveria ser substituído seckrb5durante a montagem.

ATUALIZAR:

Investiguei um pouco mais e tive um pequeno avanço: nfsv4_set*aclfunciona bem no compartilhamento NFS, desde que se use UIDs ou GIDs numéricos. É o acoplamento à IdM/Kerberos que está causando problemas.

redhat

3 respostas

  1. Best Answer

    O suporte para ACLs POSIX sobre NFS v4.2 foi adicionado no RHEL 8.4. Isso está documentado em https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/8.4_release_notes/index#enhancement_file-systems-and-storage no final desta seção (bug https: //bugzilla.redhat.com/show_bug.cgi?id=1888214 ):

    Suporte para atributos estendidos do usuário por meio do protocolo NFSv4.2

    Esta atualização adiciona suporte NFSv4.2 do lado do cliente e do lado do servidor para atributos estendidos do usuário (RFC 8276).

    Isso inclui as seguintes extensões de protocolo:

    • Novas operações:

      • GETXATTR - Obtenha um atributo estendido de um arquivo
      • SETXATTR - Defina um atributo estendido de um arquivo
      • LISTXATTRS - Lista atributos estendidos de um arquivo
      • REMOVEXATTR - Remove um atributo estendido de um arquivo

    • Novos códigos de erro:

      • NFS4ERR_NOXATTR - xattr não existe
      • NFS4ERR_XATTR2BIG - o valor xattr é muito grande

    • Novo atributo:

      • xattr_support - Atributo somente leitura Per-fs usado para determinar se xattrs é suportado. Quando definido como True, o sistema de arquivos do objeto oferece suporte a atributos estendidos.
    • 1

  2. O regular set/getfaclusa atributos estendidos, que de fato fazem parte do NFSv4.2, conforme descrito na resposta de @abbra https://serverfault.com/a/1158690/127530 . No entanto, o suporte ao xattr não é ACLs.

    Para usar ACLs sobre NFSv4 você deve usar os nfs4_set/getfaclcomandos, que fazem parte do nfs4-acl-toolspacote.

    • 1

  3. Rocky Linux (e Alma Linux) são continuações do CentOS, que é um fork do Red Hat Enterprise Linux, onde ACLs não estão disponíveis para NFSv4. O mesmo se aplica ao seu sistema Rocky Linux 8 e ainda é verdade no RHEL, Rocky, Alma 9.

    https://access.redhat.com/solutions/23230

    Existem utilitários que podem ser instalados através do nfs4-acl-toolspacote que funcionam de maneira semelhante. Os comandos são chamados nfs4_setfaclde `nfs4_getfacl' e permitem definir ACLs para grupos. Eu usei o GID abaixo.

    df -h | grep export

192.168.1.100:/mnt/export  3.6T  3.1T  401G  89% /mnt/export

[root@rocky-linux export]# touch zfile
[root@rocky-linux export]# nfs4_getfacl zfile
# file: zfile
A::OWNER@:rwatTcCy
A::GROUP@:rtcy
A::EVERYONE@:rtcy
[root@rocky-linux export]# nfs4_setfacl -a A:g:1004:rw zfile
[root@rocky-linux export]# nfs4_getfacl zfile
# file: zfile
A::OWNER@:rwatTcCy
A::GROUP@:rtcy
A:g:1004:rtcy
A::EVERYONE@:rtcy

    Mais informações estão aqui: https://access.redhat.com/solutions/3426621

    • 0

relate perguntas