Re: [FRsAG] NFSv4 et ACL : problèmes

Jonathan Tremesaygues Thu, 31 Jul 2014 01:17:28 -0700

Bonjour,

Selinux est désactivé sur sl65 (c'est une VM destinée à subir lesexpériencesdouloureuses nécessaire à mon apprentissage de sysadmin, osef de lasécurité),

donc je ne pense pas qu'il soit en cause.

Sur les "vrais" machines où selinux est activé, j'ai rien vu departiculier dans les logs.


Cordialement,
Jonathan


On 07/31/2014 10:06 AM, neo futur wrote:

vous avez regarde les logs kernel ? y aurai pas un selinux ou autre
rbac qui foutrai sa zone ?

2014-07-31 3:56 GMT-04:00 Jean Milot <[email protected]>:

Bonjour,

As tu essayé de forcer la version sur le serveur nfs?

Cordialement

Jean

Le 31 juil. 2014 09:52, "Jonathan Tremesaygues"
<[email protected]> a écrit :

Bonjour,

Ne marche pas non plus en NFSv3 :-/


Montage de l'export de test en nfs3 :
[root@sl65 mnt]# mount -o vers=3,acl whale:/share/MD0_DATA/test whale/
[root@sl65 mnt]# nfsstat -m
/mnt/whale from whale:/share/MD0_DATA/test
  Flags:
rw,relatime,vers=3,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,mountaddr=192.168.10.150,mountvers=3,mountport=58340,mountproto=udp,local_lock=none,addr=192.168.10.150


Vérification de la présence des ACL :
[root@sl65 mnt]# ll
total 8
drwxrwx---+ 3 root root 4096 Jul 31 09:14 whale
[root@sl65 mnt]# getfacl whale
# file: whale
# owner: root
# group: root
user::rwx
user:lrouge:rwx
user:jtremesay:rwx
user:nfsnobody:---
group::rwx
mask::rwx
other::rwx
default:user::rwx
default:user:lrouge:rwx
default:user:jtremesay:rwx
default:user:nfsnobody:---
default:group::rwx
default:mask::rwx
default:other::---


Tentative d'accès au dossier :
[jtremesay@sl65 mnt]$ ls whale/
ls: cannot open directory whale/: Permission denied


Cordialement
Jonathan




On 07/30/2014 06:15 PM, Jean Milot wrote:

Bonjour,

Moi, j'ai abandonné NFSv4. Je force l'utilisation de la version 3 pour
utiliser les ACLs.

Cordialement,

Jean



Le 30 juillet 2014 16:40, Jonathan Tremesaygues
<[email protected]> a écrit :

Bonjour la liste,

Nous essayons désespérément de faire fonctionner les ACL sur du partage
réseau
NSFv4. Le serveur de partage est un NAS QNAP TS-879-PRO tournant sous un
linux
custom et les clients sont essentiellement des Scientific Linux
(RHEL-like)
6.5. Les comptes des utilisateurs sont stockés dans un LDAP.

########################
# Configuration du serveur (whale) : #
########################
[~] # cat /etc/idmapd.conf
[General]
Verbosity = 9
Pipefs-Directory = /var/lib/nfs/rpc_pipefs
Domain = menta.fr

[Mapping]
Nobody-User = guest
Nobody-Group = guest

[Translation]
Method = nsswitch


[~] # cat /etc/exports
"/share/NFS"
*(no_subtree_check,no_root_squash,insecure,fsid=0,subtree_check,acl,sec=sys)
"/share/NFS/shared"
192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys)
"/share/NFS/test"
192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys)


[~] # cat /sys/module/nfsd/parameters/nfs4_disable_idmapping
N


[~] # ll /share/NFS/
drwxr-xr-x   19 root     root          1.0k Jul 29 10:16 ./
drwxr-xr-x   32 root     root          1.0k Jul 29 14:34 ../
drwxrwxrwx   12 root     shared        4.0k Jul 17 15:00 shared/
drwxrwx---    2 root     root          4.0k Jul 22 15:44 test/


[~] # getfacl /share/NFS/test
getfacl: Removing leading '/' from absolute path names
# file: share/NFS/test
# owner: root
# group: root
user::rwx
user:jtremesay:rwx
group::rwx
mask::rwx
other::---
default:user::rwx
default:group::rwx
default:mask::rwx
default:other::---



###################
# Configuration d'un client : #
###################
[jtremesay@hawk ~]$ cat /etc/idmapd.conf
[General]
Verbosity = 9
Pipefs-Directory = /var/lib/nfs/rpc_pipefs
Domain = menta.fr

[Mapping]
Nobody-User = nobody
Nobody-Group = nobody

[Translation]
Method = nsswitch


[jtremesay@hawk ~]$ mount | grep whale
whale:/ on /mnt/whale type nfs
(rw,vers=4,addr=192.168.10.150,clientaddr=192.168.10.121)


[jtremesay@hawk ~]$ nfsstat -m
/mnt/whale from whale:/
  Flags:
rw,relatime,vers=4,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.10.121,minorversion=0,local_lock=none,addr=192.168.10.150


[jtremesay@hawk ~]$ ll /mnt/whale/
total 134
drwxr-xr-x. 19 root root     1024 Jul 29 10:16 .
drwxr-xr-x.  5 root root     4096 Jul 29 10:46 ..
drwxrwxrwx. 12 root shared   4096 Jul 17 15:00 shared
drwxrwx---.  2 root root     4096 Jul 22 15:44 test


[jtremesay@hawk ~]$ nfs4_getfacl /mnt/whale/test/
A::OWNER@:rwaDxtTcCy
A::[email protected]:rwaDxtcy
A::GROUP@:rwaDxtcy
A::EVERYONE@:tcy
A:fdi:OWNER@:rwaDxtTcCy
A:fdi:GROUP@:rwaDxtcy
A:fdi:EVERYONE@:tcy


[jtremesay@hawk ~]$ ll /mnt/whale/test/
ls: cannot open directory /mnt/whale/test/: Permission denied


Lorsque que j'utilise la même configuration (mêmes réglages
d'idmapd.conf,
mêmes exports, mêmes ACL) depuis un serveur sous Scientific Linux, ça
fonctionne : seul moi et root peuvent accéder au dossier "test".
Donc à priori le problème viendrait du QNAP mais je vois pas trop ce que
j'ai pu oublier de modifier ou vérifier.

Si quelqu'un a une idée... Merci d'avance


Cordialement,
Jonathan Tremesaygues
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/




--
MILOT Jean
Tél. : 0659514624
[email protected]

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/


_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] NFSv4 et ACL : problèmes

Répondre à