Primeiramente, desculpe-me se minha pergunta não estiver bem formulada, este é meu primeiro post sobre serverfault :)
Implantei com êxito a autenticação LDAP e Kerberos em uma rede mista Linux/Windows/Solaris. Tenho um servidor CentOS 7 servindo NFS4 com segurança krb5 (sem privacidade/integridade, apenas autenticação). Posso montar os compartilhamentos com êxito no CentOS 6. No entanto, quando monto o compartilhamento no Solaris 10 (Oracle Solaris 10 9/10 s10s_u9wos_14a SPARC), recebo um erro estranho relacionado ao ACL.
Saída da montagem:
/mnt/exporthome on nfsserver.example.com:/export/home remote/read/write/setuid/devices/sec=krb5/xattr/dev=5ec0004
Eu tenho acesso, posso ler os arquivos:
$ ls /mnt/exporthome/testuser/
testfile1.txt textfile2.txt
No entanto, não consigo ler permissões/ACLs; em vez disso, recebo:
$ ls -la /mnt/exporthome/testuser/
ls: can't read ACL on /mnt/exporthome/testuser/: Permission denied
nfs4_domain está configurado corretamente no cliente e no usuário, e o mapeamento de ID parece funcionar para o usuário:
$ getfacl /mnt/exporthome/testuser/
# file: /mnt/exporthome/testuser/
# owner: testuser
# group: testgroup
user::rwx
group::--- #effective:---
mask:rwx
other:---
eu consigo ver
a seguinte mensagem aparece nos logs:
/usr/lib/nfs/nfsmapid[349]: [ID 300081 daemon.error] valid_domain: Invalid inbound domain name .
Eu verifiquei o código que gera a mensagem, "nome de domínio de entrada" refere-se ao domínio nfs4 remoto (ou seja, servidor). Farejei o tráfego e vi que o servidor envia corretamente fattr4_owner como "[e-mail protegido]". O problema parece estar no reco_attr: ACL, onde tenho três ACEs.
Os campos "Quem" nas ACEs são: "OWNER@", "GROUP@" e "EVERYONE@", então acho que eles causam a mensagem de erro "nome de domínio de entrada inválido".
OWNER@, GROUP@ e EVERYONE@ (entre vários outros) são especificados com significado especial na RFC que define ACLs NFSv4 e, como mencionei anteriormente, os outros hosts que acessam os compartilhamentos NFS não têm problemas com eles.
Pesquisei no site da Oracle e documentei esses princípios como "proprietário@", "grupo@" e "todos@" em alguns de seus artigos NFSv4/ACL/ZFS.
Não tenho acesso ao servidor Solaris NFS, mas meu palpite é que ele envia as ACEs com esses princípios em letras minúsculas, e o cliente nativo Solaris 10 NFSv4 não pode tratá-los em letras maiúsculas (conforme especificado nas RFCs).
Então, minha pergunta é: alguém já tentou uma implantação semelhante e obteve os mesmos resultados. Seria ótimo se alguém que tivesse o cliente Solaris 10 NFSv4 em funcionamento verificasse os princípios na ACL. Na verdade, neste ponto, qualquer sugestão seria ótima.
Desde já, obrigado!