我有一个 XFS 文件系统,其中某些文件夹(使用模式设置)没有公共可访问性,组所有者具有只读权限。有一个程序(以用户 cryosparc_user 运行)需要对所有文件的读取权限,所以我添加了一个默认的 POSIX ACL 授予 cryosparc_user 读取权限。
不幸的是,大部分处理都是在 NFSv4 挂载此文件系统的工作站上完成的,并且由于某种原因,POSIX ACL 没有在工作站上被翻译或接受(嗯,它们是,但显然不是以可用的方式),我可以不知道为什么。
服务器和工作站都在运行 Ubuntu 18.04,我不能简单地将 cryosparc_user 添加到组中,因为该组是 Active Directory 安全组(我们正在通过 AD 进行身份验证),而 cryosparc_user 是本地用户,不能在 AD 中设置。
以下是文件服务器上的权限:
root@kraken:/EM/EMtifs# getfacl pgoetz
# file: pgoetz
# owner: pgoetz
# group: cns-cnsitlabusers
user::rwx
group::r-x
other::---
default:user::rwx
default:user:cryosparc_user:r-x
default:group::r-x
default:mask::r-x
default:other::---
root@kraken:/EM/EMtifs# id cryosparc_user
uid=1017(cryosparc_user) gid=1017(cryosparc_user) groups=1017(cryosparc_user),10002(mclellan),10003(taylorlab)
以下是它们在安装了 NFSv4 的工作站上的样子:
root@javelina:/EM/EMtifs# getfacl pgoetz
# file: pgoetz
# owner: pgoetz
# group: cns-cnsitlabusers
user::rwx
group::r-x
other::---
root@javelina:/EM/EMtifs# id cryosparc_user
uid=1017(cryosparc_user) gid=1017(cryosparc_user) groups=1017(cryosparc_user)
root@javelina:/EM/EMtifs# nfs4_getfacl pgoetz
A::OWNER@:rwaDxtTcCy
A::GROUP@:rxtcy
A::EVERYONE@:tcy
A:fdi:OWNER@:rwaDxtTcCy
A:fdi:1017:rxtcy
A:fdi:GROUP@:rxtcy
A:fdi:EVERYONE@:tcy
请注意 NFS4 ACL 查询中倒数第三行。似乎为 cryosparc_user 用户提供了读取权限(两个系统上的本地 UID 均为 1017),但是
cryosparc_user@javelina:/EM/EMtifs$ whoami
cryosparc_user
cryosparc_user@javelina:/EM/EMtifs$ ls pgoetz
ls: cannot open directory 'pgoetz': Permission denied
从我读过的所有内容来看,没有要设置的挂载标志或类似的东西;这应该会自动工作,我不知道为什么它不工作。
我的后备计划是恢复在这些文件夹上使用本地组(以便可以将 cryosparc_user 添加到本地组),但这需要在每个系统上复制 AD 身份验证结构,这将是一个令人头疼的维护问题。
另一个想法是也使用 cryosparc_user 用户凭据对该文件系统进行只读 SMB 挂载,但我对双重挂载 500T 文件系统也不是很兴奋。我宁愿身份验证以合理的方式工作。