En primer lugar, disculpe si mi pregunta no está bien formulada, esta es mi primera publicación en serverfault :)
Implementé con éxito la autenticación LDAP y Kerberos en una red mixta Linux/Windows/Solaris. Tengo un servidor CentOS 7 que sirve NFS4 con seguridad krb5 (sin privacidad/integridad, solo autenticación). Puedo montar con éxito los recursos compartidos en CentOS 6. Sin embargo, cuando monto el recurso compartido en Solaris 10 (Oracle Solaris 10 9/10 s10s_u9wos_14a SPARC), aparece un error extraño relacionado con ACL.
Salida del montaje:
/mnt/exporthome on nfsserver.example.com:/export/home remote/read/write/setuid/devices/sec=krb5/xattr/dev=5ec0004
Tengo acceso, puedo leer los archivos:
$ ls /mnt/exporthome/testuser/
testfile1.txt textfile2.txt
Sin embargo, no puedo leer permisos/ACL, sino que obtengo:
$ ls -la /mnt/exporthome/testuser/
ls: can't read ACL on /mnt/exporthome/testuser/: Permission denied
nfs4_domain está configurado correctamente tanto en el cliente como en el usuario, y el mapeo de ID parece funcionar para el usuario:
$ getfacl /mnt/exporthome/testuser/
# file: /mnt/exporthome/testuser/
# owner: testuser
# group: testgroup
user::rwx
group::--- #effective:---
mask:rwx
other:---
Puedo ver
el siguiente mensaje aparece en los registros:
/usr/lib/nfs/nfsmapid[349]: [ID 300081 daemon.error] valid_domain: Invalid inbound domain name .
Revisé el código que genera el mensaje, "nombre de dominio entrante" se refiere al dominio nfs4 remoto (es decir, servidor). Olí el tráfico y veo que el servidor envía correctamente fattr4_owner como "[correo electrónico protegido]". El problema parece estar en reco_attr: ACL, donde tengo tres ACE.
Los campos "Quién" en las ACE son: "PROPIETARIO@", "GRUPO@" y "TODOS@", por lo que supongo que causan el mensaje de error "nombre de dominio entrante no válido".
OWNER@, GROUP@ y EVERYONE@ (entre muchos otros) se especifican con un significado especial en el RFC que define las ACL de NFSv4 y, como mencioné anteriormente, los otros hosts que acceden a los recursos compartidos de NFS no tienen ningún problema con ellos.
Busqué en el sitio de Oracle y documenté estos principios como "propietario@", "grupo@" y "todos@" en algunos de sus artículos sobre NFSv4/ACL/ZFS.
No tengo acceso al servidor Solaris NFS, pero supongo que envía las ACE con estos principios principales en minúsculas, y el cliente nativo Solaris 10 NFSv4 no puede manejarlos en mayúsculas (como se especifica en los RFC).
Entonces mi pregunta es: ¿alguien más ha probado una implementación similar y obtuvo los mismos resultados? Sería fantástico si alguien que tuviera un cliente Solaris 10 NFSv4 en funcionamiento verificara los principios en la ACL. En realidad, a estas alturas, cualquier sugerencia sería genial.
¡Gracias de antemano!