Ich komme mir etwas dumm vor, das zu fragen, da es sich meiner Meinung nach um eine sehr grundlegende Frage handelt, aber ich habe bisher trotzdem keine Lösung gefunden:
Ich habe einen Linux-Datenserver und mehrere Workstations, die Ordner auf diesem Datenserver über NFS mounten. Das System ist so eingerichtet, dass Benutzer auf Server und Workstations die gleichen UIDs haben. Es gibt keine zentrale Benutzerverwaltung, sondern die Konten sind lokale Konten auf den jeweiligen Computern.
Nun möchte ich den Dateizugriff auf dem Datenserver steuern, indem ich Gruppen für bestimmte Zwecke erstelle und die entsprechenden Benutzer zu diesen Gruppen auf dem Server hinzufüge. Beim Mounten der Verzeichnisse auf den Arbeitsstationen stehe ich jedoch vor dem Problem, dass die Gruppen nur auf dem Server vorhanden sind und die Arbeitsstationen nicht zu wissen scheinen, ob ein bestimmter Benutzer Mitglied einer Gruppe auf dem Server ist. Ich möchte vermeiden, alle Gruppen auch auf jeder der Arbeitsstationen zu erstellen, sondern sie nur auf dem Server verwalten. Ist das möglich?
Vielen Dank im Voraus für alle Antworten!
Antwort1
Da Sie an lokale Konten denken, gehe ich davon aus, dass Sie eine auf AUTH_SYS basierende RPC-Authentifizierung verwenden. Dies bedeutet, dass der Client mit jeder Anforderung UID und GID sendet. Mit anderen Worten, der NFA-Server verwendet nur von den Clients bereitgestellte Informationen zur Gruppenmitgliedschaft.
Es gibt zwei Möglichkeiten (die ich kenne), das zu beheben:
komplizierte
Verwenden Sie RPCSEC_GSS – den kerberisierten Zugriff und ordnen Sie Benutzerprinzipale auf der Serverseite den gewünschten UIDs und GIDs zu oder fragen Sie einen LDAP-Server ab.
einfache Sache
Konfigurieren Sie den Server (rpc.mountd) so, dass er mit --manage-gidseiner Option startet, die dem Server mitteilt, dass er vom Client bereitgestellte GIDs ignorieren und sie lokal basierend auf der UID abfragen soll.