Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

NFSv4

4 views
Skip to first unread message

Dmitriy Sirant

unread,
Jul 27, 2011, 10:30:02 AM7/27/11
to
Добрый день

Заблудился в 3 соснах, помогите.

Есть сервер раздающий папку по NFSv4 (nexenta, но это не принципиально для общего понимания).
Есть клиент (debian stable), который подключается к этой папке.

На сервере и клиенте создан пользователь test и группа test. И там и там запущены idmapd. Домены прописаны одинаковые и на клиенте и на сервере. На клиенте папка маунтится из fstab так:

nexenta:/volumes/data/webdata /var/webdata nfs4 intr 0 0

На сервере отключены anonymous_rw, anonymous доступ, и добавлены параметры rw=@192.168.132.0/24, root=@192.168.132.0/24

Если зайти пользователем test в папке /var/webdata и попробовать создать файл/директорию - получаем permissions deny, но если файл предварительно создать от root, потом сделать ему chown test:tes ./file то пользователь может спокойно в него писать.

Пробовал делать chown test:test /var/webdata и chmod 755 /var/webdata - ничего не меняется. Как вообще работает этот idmap в NFSv4 ?

Спасибо

--

With best regards,
Dmitriy Sirant

Mikhail A Antonov

unread,
Jul 27, 2011, 11:00:02 AM7/27/11
to
27.07.2011 18:15, Dmitriy Sirant пишет:

> Пробовал делать chown test:test /var/webdata и chmod 755 /var/webdata - ничего не меняется.
>
Это надо делать на сервере.

--
Best regards,
Mikhail.

signature.asc

Dmitriy Sirant

unread,
Jul 27, 2011, 11:50:02 AM7/27/11
to

27 июля 2011, в 17:49, Mikhail A Antonov написал(а):

> 27.07.2011 18:15, Dmitriy Sirant пишет:
>> Пробовал делать chown test:test /var/webdata и chmod 755 /var/webdata - ничего не меняется.
>>
> Это надо делать на сервере.
>


Сделал. Сервер и клент рестартанул.

Server:
drwxr-xr-x 4 root root 4 May 9 15:52 backups
drwxrwxr-x 6 root hosted 5 Jul 18 12:40 webdata

Client:
drwxrwxr-x 6 root hosted 5 Июл 18 12:40 web data

skodaweb@web:/var/webdata$ id
uid=1003(skodaweb) gid=1001(hosted) группы=1001(hosted)
skodaweb@web:/var/webdata$ touch test
touch: невозможно выполнить touch для «test»: Отказано в доступе

Что еще можно посмотреть ?

--

With best regards,
Dmitriy Sirant


--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/32364A2F-C3B3-4C04...@skoda.com.ua

Ivan Shmakov

unread,
Jul 27, 2011, 12:40:30 PM7/27/11
to
>>>>> Dmitriy Sirant <l...@skoda.com.ua> writes:

[…]

> Server:
> drwxr-xr-x 4 root root 4 May 9 15:52 backups
> drwxrwxr-x 6 root hosted 5 Jul 18 12:40 webdata

> Client:
> drwxrwxr-x 6 root hosted 5 Июл 18 12:40 web data

> skodaweb@web:/var/webdata$ id
> uid=1003(skodaweb) gid=1001(hosted) группы=1001(hosted)
> skodaweb@web:/var/webdata$ touch test
> touch: невозможно выполнить touch для «test»: Отказано в доступе

> Что еще можно посмотреть ?

/etc/idmapd.conf на предмет параметра Domain.

С другой стороны, если запись в предварительно созданный файл
была успешна, то едва ли проблема в этом.

--
FSF associate member #7257


--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: http://lists.debian.org/86fwlrn...@gray.siamics.net

Dmitriy Sirant

unread,
Jul 27, 2011, 1:00:04 PM7/27/11
to

27 июля 2011, в 19:38, Ivan Shmakov написал(а):

>>>>>> Dmitriy Sirant <l...@skoda.com.ua> writes:
>
> […]
>
>> Server:
>> drwxr-xr-x 4 root root 4 May 9 15:52 backups
>> drwxrwxr-x 6 root hosted 5 Jul 18 12:40 webdata
>
>> Client:
>> drwxrwxr-x 6 root hosted 5 Июл 18 12:40 web data
>
>> skodaweb@web:/var/webdata$ id
>> uid=1003(skodaweb) gid=1001(hosted) группы=1001(hosted)
>> skodaweb@web:/var/webdata$ touch test
>> touch: невозможно выполнить touch для «test»: Отказано в доступе
>
>> Что еще можно посмотреть ?
>
> /etc/idmapd.conf на предмет параметра Domain.
>
> С другой стороны, если запись в предварительно созданный файл
> была успешна, то едва ли проблема в этом.
>

В исходном письме сказано, что домены одинаковые.

--

With best regards,
Dmitriy Sirant

--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: http://lists.debian.org/7AF2D1D7-23A0-473C...@skoda.com.ua

Ivan Shmakov

unread,
Jul 27, 2011, 10:00:01 PM7/27/11
to
>>>>> Dmitriy Sirant <l...@skoda.com.ua> writes:
>>>>> 27 июля 2011, в 19:38, Ivan Shmakov написал(а):
>>>>> Dmitriy Sirant <l...@skoda.com.ua> writes:

[…]

>>> Что еще можно посмотреть ?

>> /etc/idmapd.conf на предмет параметра Domain.

>> С другой стороны, если запись в предварительно созданный файл была
>> успешна, то едва ли проблема в этом.

> В исходном письме сказано, что домены одинаковые.

Действительно.

IOW, следующая команда успешна на сервере, и приводит к отказу
на клиенте?

# su skodaweb -c 'touch /var/webdata/newfile'

Напротив, запись в существующий oldfile успешна в обоих случаях?

Если в /var/webdata/ создать директорию test,

# install -d -m 0775 -o skodaweb -g hosted -- /var/webdata/test/

удается ли выполнить запись в /var/webdata/test/newfile от
пользователя skodaweb?

Могут ли в проблеме быть как-то «замешаны» ACL?

--
FSF associate member #7257

--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: http://lists.debian.org/86bowfm...@gray.siamics.net

Dmitriy Sirant

unread,
Jul 28, 2011, 4:50:02 AM7/28/11
to

28 июля 2011, в 04:49, Ivan Shmakov написал(а):

>>>>>> Dmitriy Sirant <l...@skoda.com.ua> writes:
>>>>>> 27 июля 2011, в 19:38, Ivan Shmakov написал(а):
>>>>>> Dmitriy Sirant <l...@skoda.com.ua> writes:
>
> […]
>
>>>> Что еще можно посмотреть ?
>
>>> /etc/idmapd.conf на предмет параметра Domain.
>
>>> С другой стороны, если запись в предварительно созданный файл была
>>> успешна, то едва ли проблема в этом.
>
>> В исходном письме сказано, что домены одинаковые.
>
> Действительно.
>
> IOW, следующая команда успешна на сервере, и приводит к отказу
> на клиенте?
>
> # su skodaweb -c 'touch /var/webdata/newfile'

Сервер:
root@nexenta:/volumes/data/webdata/skodaweb# su skodaweb -c 'touch newfile'
root@nexenta:/volumes/data/webdata/skodaweb# ls
cgi-bin html log newfile
root@nexenta:/volumes/data/webdata/skodaweb# rm newfile

Клиент:
root@web:/var/webdata/skodaweb# su skodaweb -c 'touch newfile'
touch: невозможно выполнить touch для «newfile»: Отказано в доступе

>
> Напротив, запись в существующий oldfile успешна в обоих случаях?
>

Сервер:
root@nexenta:/volumes/data/webdata/skodaweb# su skodaweb -c 'echo test > newfile'
root@nexenta:/volumes/data/webdata/skodaweb# cat newfile
test

Клиет:
А вот тут я получается наврал, доступа нет на запись существующего файла.

root@web:/var/webdata/skodaweb# su skodaweb -c 'echo test_new > newfile'
bash: newfile: Отказано в доступе
root@web:/var/webdata/skodaweb# su skodaweb -c 'cat newfile'
test

> Если в /var/webdata/ создать директорию test,
>
> # install -d -m 0775 -o skodaweb -g hosted -- /var/webdata/test/
>

На клиенте дало создать.

> удается ли выполнить запись в /var/webdata/test/newfile от
> пользователя skodaweb?
>

Нет, не дает.

> Могут ли в проблеме быть как-то «замешаны» ACL?
>


А вот за этот вопрос спасибо :) После установки nfs4-acl-tools все стало еще круче... Да, там действительно есть ACL но средство для их установки - это нечто... Нет ли каких-то средств для установки ACL рекурсивно ?

И еще вопрос, а если я откачусь на nfs v3 ? Там ACL сразу отпадут как недодерживаемые ? А как там решается вопрос с сопоставлением id ?

Мне всего-то нужно хранить вебсайты и почтовые каталоги на удаленном сервере хранения, так как там зеркалирование со снапшотами по расписанию. Просто если расшаривать блочное устройство - то я смогу откатиться на снапшот всего устройства, а если расшаривать CIFS или NFS - то есть возможность видеть каждый отдельный файл в каждом снапшоте, что гораздо удобней с точки зрения отката на какую-то дату.

--

With best regards,
Dmitriy Sirant

--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: http://lists.debian.org/37E7C8EF-3EB6-4A9E...@skoda.com.ua

Ivan Shmakov

unread,
Jul 28, 2011, 6:10:01 AM7/28/11
to
>>>>> Dmitriy Sirant <l...@skoda.com.ua> writes:

[…]

> После установки nfs4-acl-tools все стало еще круче... Да, там
> действительно есть ACL но средство для их установки - это нечто...
> Нет ли каких-то средств для установки ACL рекурсивно ?

Не знаком с этим пакетом, но не поможет ли find(1)? Подобно:

$ find /some/where/ -type d -exec change-acl-thingy -v -- NEW-DIR-ACL {} +

$ find /some/where/ -type f -exec change-acl-thingy -v -- NEW-REGFILE-ACL {} +

> И еще вопрос, а если я откачусь на nfs v3 ? Там ACL сразу отпадут
> как недодерживаемые ?

Возможно. Если это ACL, специфичные для NFSv4, то, пожалуй,
наверняка.

> А как там решается вопрос с сопоставлением id ?

Общим отображением имен в идентификаторы. E. g., хранением
пользователей в базах LDAP или NIS, или синхронизацией
passwd(5).

> Мне всего-то нужно хранить вебсайты и почтовые каталоги на удаленном
> сервере хранения, так как там зеркалирование со снапшотами по
> расписанию. Просто если расшаривать блочное устройство - то я смогу
> откатиться на снапшот всего устройства, а если расшаривать CIFS или
> NFS - то есть возможность видеть каждый отдельный файл в каждом
> снапшоте, что гораздо удобней с точки зрения отката на какую-то дату.

В общем случае, я бы предпочел rsync(1), если я, конечно,
правильно понял проблему.

--
FSF associate member #7257

--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: http://lists.debian.org/86hb66l...@gray.siamics.net

0 new messages