私にとっては非常に基本的な質問のように思えるので、尋ねるのは少し愚かな気がしますが、とにかくまだ解決策が見つかっていません。
私は Linux データサーバーと、NFS を使用してこのデータサーバーにフォルダーをマウントするワークステーションをいくつか持っています。システムは、ユーザーがサーバーとワークステーションの両方で同じ UID を持つように設定されています。集中的なユーザー管理はありませんが、アカウントは対応するコンピューター上のローカル アカウントです。
ここで、特定の目的のグループを作成し、サーバー上のそれらのグループに該当するユーザーを追加することで、データサーバー上のファイル アクセスを制御したいと思います。ただし、ワークステーションにディレクトリをマウントするときに、グループがサーバー上にのみ存在し、ワークステーションは特定のユーザーがサーバー上のグループのメンバーであるかどうかを認識できないという問題に直面しています。各ワークステーションにもすべてのグループを作成しないようにし、サーバー上でのみ管理したいと考えています。これは可能ですか?
ご返信をお待ちしております!
答え1
ローカル アカウントについて考えているので、AUTH_SYS ベースの RPC 認証を使用しているものと想定します。これは、クライアントが各要求で uid と gid を送信することを意味します。つまり、NFA サーバーはクライアントによって提供されるグループ メンバーシップ情報のみを使用します。
これを修正するには、(私が知る限り)2 つの可能性があります。
複雑なもの
RPCSEC_GSS (Kerberos 化されたアクセス) を使用して、サーバー側のユーザー プリンシパルを目的の uid および gid にマップするか、LDAP サーバーを照会します。
シンプルなもの
サーバー (rpc.mountd) を、--manage-gidsクライアントによって提供された gid を無視し、uid に基づいてローカルでクエリを実行するようにサーバーに指示するオプションで起動するように構成します。