![NFS:使用伺服器上的群組控制檔案/資料夾訪問](https://rvso.com/image/770111/NFS%EF%BC%9A%E4%BD%BF%E7%94%A8%E4%BC%BA%E6%9C%8D%E5%99%A8%E4%B8%8A%E7%9A%84%E7%BE%A4%E7%B5%84%E6%8E%A7%E5%88%B6%E6%AA%94%E6%A1%88%2F%E8%B3%87%E6%96%99%E5%A4%BE%E8%A8%AA%E5%95%8F.png)
我覺得問這個問題有點愚蠢,因為對我來說這是一個非常基本的問題,但無論如何我還沒有找到解決方案:
我有一個 Linux 資料伺服器和幾個使用 NFS 在此資料伺服器上安裝資料夾的工作站。系統的設定方式是使用者在伺服器和工作站上具有相同的 uid。沒有集中的使用者管理,但帳戶是相應電腦上的本機帳戶。
現在我想透過為特定目的建立群組並將相應的使用者新增至伺服器上的這些群組來控制資料伺服器上的檔案存取。但是,當在工作站上安裝目錄時,我面臨的問題是這些群組僅存在於伺服器上,而工作站似乎不知道特定使用者是否是伺服器上群組的成員。我想避免在每個工作站上建立所有群組,而只在伺服器上管理它們。這可能嗎?
預先感謝您的回覆!
答案1
當您考慮本機帳戶時,我假設您正在使用基於 AUTH_SYS 的 rpc 身份驗證。這意味著客戶端發送每個請求的 uid 和 gids。 IOW,nfa 伺服器僅使用客戶端提供的群組成員識別資訊。
有兩種可能性(據我所知)可以解決這個問題:
複雜的一個
使用 RPCSEC_GSS - Kerberized 存取並將伺服器端的使用者主體對應到所需的 uid 和 gids 或查詢 LDAP 伺服器。
簡單的一個
配置伺服器(rpc.mountd)以--manage-gids
告訴伺服器忽略客戶端提供的 gid 並根據 uid 在本地查詢它的選項啟動。