Entschuldigen Sie zunächst, wenn meine Frage nicht gut formuliert ist, dies ist mein erster Beitrag auf Serverfault :)
Ich habe LDAP- und Kerberos-Authentifizierung erfolgreich in einem gemischten Linux/Windows/Solaris-Netzwerk bereitgestellt. Ich habe einen CentOS 7-Server, der NFS4 mit krb5-Sicherheit bereitstellt (kein Datenschutz/keine Integrität, nur Authentifizierung). Ich kann die Freigaben erfolgreich auf CentOS 6 mounten. Wenn ich die Freigabe jedoch auf Solaris 10 mounte (Oracle Solaris 10 9/10 s10s_u9wos_14a SPARC), erhalte ich einen seltsamen ACL-bezogenen Fehler.
Ausgabe vom Mount:
/mnt/exporthome on nfsserver.example.com:/export/home remote/read/write/setuid/devices/sec=krb5/xattr/dev=5ec0004
Ich habe Zugriff, ich kann die Dateien lesen:
$ ls /mnt/exporthome/testuser/
testfile1.txt textfile2.txt
Ich kann jedoch die Berechtigungen/ACLs nicht lesen, stattdessen erhalte ich:
$ ls -la /mnt/exporthome/testuser/
ls: can't read ACL on /mnt/exporthome/testuser/: Permission denied
nfs4_domain ist sowohl beim Client als auch beim Benutzer korrekt eingestellt und die ID-Zuordnung scheint für den Benutzer zu funktionieren:
$ getfacl /mnt/exporthome/testuser/
# file: /mnt/exporthome/testuser/
# owner: testuser
# group: testgroup
user::rwx
group::--- #effective:---
mask:rwx
other:---
ich kann sehen
In den Protokollen wird die folgende Meldung angezeigt:
/usr/lib/nfs/nfsmapid[349]: [ID 300081 daemon.error] valid_domain: Invalid inbound domain name .
Ich habe den Code überprüft, der die Meldung generiert. „Inbound Domain Name“ bezieht sich auf die Remote-NFS4-Domäne (also den Server). Ich habe den Datenverkehr überwacht und sehe, dass der Server fattr4_owner korrekt als „[email geschützt]". Das Problem scheint bei der reco_attr: ACL zu liegen, wo ich drei ACEs habe.
Die „Wer“-Felder in den ACEs lauten: „OWNER@“, „GROUP@“ und „EVERYONE@“, daher vermute ich, dass sie die Fehlermeldung „ungültiger eingehender Domänenname“ verursachen.
OWNER@, GROUP@ und EVERYONE@ (neben mehreren anderen) werden mit besonderer Bedeutung im RFC angegeben, das NFSv4-ACLs definiert, und wie ich bereits zuvor erwähnt habe, haben die anderen Hosts, die auf die NFS-Freigaben zugreifen, keine Probleme damit.
Ich habe die Site von Oracle durchsucht und diese Prinzipale in einigen ihrer NFSv4/ACL/ZFS-Artikel als „owner@“, „group@“ und „everyone@“ dokumentiert.
Ich habe keinen Zugriff auf den Solaris NFS-Server, aber ich vermute, dass er die ACEs mit diesen Principals in Kleinbuchstaben sendet und der native Solaris 10 NFSv4-Client sie nicht in Großbuchstaben verarbeiten kann (wie in den RFCs angegeben).
Meine Frage ist also, ob jemand anders ähnliche Bereitstellungen versucht hat und ob die Ergebnisse dieselben waren. Es wäre toll, wenn jemand mit einem funktionierenden Solaris 10 NFSv4-Client die Principals in der ACL überprüfen würde. Eigentlich wäre an dieser Stelle jeder Vorschlag toll.
Dank im Voraus!