为什么 NFSv4 不能以可用的方式翻译 POSIX ACL？

我有一个 XFS 文件系统，其中某些文件夹（使用模式设置）没有公共可访问性，组所有者具有只读权限。有一个程序（以用户 cryosparc_user 运行）需要对所有文件的读取权限，所以我添加了一个默认的 POSIX ACL 授予 cryosparc_user 读取权限。

不幸的是，大部分处理都是在 NFSv4 挂载此文件系统的工作站上完成的，并且由于某种原因，POSIX ACL 没有在工作站上被翻译或接受（嗯，它们是，但显然不是以可用的方式），我可以不知道为什么。

服务器和工作站都在运行 Ubuntu 18.04，我不能简单地将 cryosparc_user 添加到组中，因为该组是 Active Directory 安全组（我们正在通过 AD 进行身份验证），而 cryosparc_user 是本地用户，不能在 AD 中设置。

以下是文件服务器上的权限：

root@kraken:/EM/EMtifs# getfacl pgoetz
# file: pgoetz
# owner: pgoetz
# group: cns-cnsitlabusers
user::rwx
group::r-x
other::---
default:user::rwx
default:user:cryosparc_user:r-x
default:group::r-x
default:mask::r-x
default:other::---

root@kraken:/EM/EMtifs# id cryosparc_user
uid=1017(cryosparc_user) gid=1017(cryosparc_user) groups=1017(cryosparc_user),10002(mclellan),10003(taylorlab)

以下是它们在安装了 NFSv4 的工作站上的样子：

root@javelina:/EM/EMtifs# getfacl pgoetz
# file: pgoetz
# owner: pgoetz
# group: cns-cnsitlabusers
user::rwx
group::r-x
other::---

root@javelina:/EM/EMtifs# id cryosparc_user
uid=1017(cryosparc_user) gid=1017(cryosparc_user) groups=1017(cryosparc_user)

root@javelina:/EM/EMtifs# nfs4_getfacl pgoetz
A::OWNER@:rwaDxtTcCy
A::GROUP@:rxtcy
A::EVERYONE@:tcy
A:fdi:OWNER@:rwaDxtTcCy
A:fdi:1017:rxtcy
A:fdi:GROUP@:rxtcy
A:fdi:EVERYONE@:tcy

请注意 NFS4 ACL 查询中倒数第三行。似乎为 cryosparc_user 用户提供了读取权限（两个系统上的本地 UID 均为 1017），但是

cryosparc_user@javelina:/EM/EMtifs$ whoami
cryosparc_user
cryosparc_user@javelina:/EM/EMtifs$ ls pgoetz
ls: cannot open directory 'pgoetz': Permission denied

从我读过的所有内容来看，没有要设置的挂载标志或类似的东西；这应该会自动工作，我不知道为什么它不工作。

我的后备计划是恢复在这些文件夹上使用本地组（以便可以将 cryosparc_user 添加到本地组），但这需要在每个系统上复制 AD 身份验证结构，这将是一个令人头疼的维护问题。

另一个想法是也使用 cryosparc_user 用户凭据对该文件系统进行只读 SMB 挂载，但我对双重挂载 500T 文件系统也不是很兴奋。我宁愿身份验证以合理的方式工作。