cat /etc/nsswitch.conf ? J'ai vu passer qu'un redémarrage du service idmapd corrige parfois des trucs, on sait jamais...
> Date: Thu, 31 Jul 2014 10:15:46 +0200 > From: jonathan.tremesayg...@menta.fr > To: fr...@ww7.be > CC: frsag@frsag.org > Subject: Re: [FRsAG] NFSv4 et ACL : problèmes > > Bonjour, > > Selinux est désactivé sur sl65 (c'est une VM destinée à subir les > expériences > douloureuses nécessaire à mon apprentissage de sysadmin, osef de la > sécurité), > donc je ne pense pas qu'il soit en cause. > Sur les "vrais" machines où selinux est activé, j'ai rien vu de > particulier dans les logs. > > Cordialement, > Jonathan > > > On 07/31/2014 10:06 AM, neo futur wrote: > > vous avez regarde les logs kernel ? y aurai pas un selinux ou autre > > rbac qui foutrai sa zone ? > > > > 2014-07-31 3:56 GMT-04:00 Jean Milot <milot.j...@gmail.com>: > >> Bonjour, > >> > >> As tu essayé de forcer la version sur le serveur nfs? > >> > >> Cordialement > >> > >> Jean > >> > >> Le 31 juil. 2014 09:52, "Jonathan Tremesaygues" > >> <jonathan.tremesayg...@menta.fr> a écrit : > >> > >>> Bonjour, > >>> > >>> Ne marche pas non plus en NFSv3 :-/ > >>> > >>> > >>> Montage de l'export de test en nfs3 : > >>> [root@sl65 mnt]# mount -o vers=3,acl whale:/share/MD0_DATA/test whale/ > >>> [root@sl65 mnt]# nfsstat -m > >>> /mnt/whale from whale:/share/MD0_DATA/test > >>> Flags: > >>> rw,relatime,vers=3,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,mountaddr=192.168.10.150,mountvers=3,mountport=58340,mountproto=udp,local_lock=none,addr=192.168.10.150 > >>> > >>> > >>> Vérification de la présence des ACL : > >>> [root@sl65 mnt]# ll > >>> total 8 > >>> drwxrwx---+ 3 root root 4096 Jul 31 09:14 whale > >>> [root@sl65 mnt]# getfacl whale > >>> # file: whale > >>> # owner: root > >>> # group: root > >>> user::rwx > >>> user:lrouge:rwx > >>> user:jtremesay:rwx > >>> user:nfsnobody:--- > >>> group::rwx > >>> mask::rwx > >>> other::rwx > >>> default:user::rwx > >>> default:user:lrouge:rwx > >>> default:user:jtremesay:rwx > >>> default:user:nfsnobody:--- > >>> default:group::rwx > >>> default:mask::rwx > >>> default:other::--- > >>> > >>> > >>> Tentative d'accès au dossier : > >>> [jtremesay@sl65 mnt]$ ls whale/ > >>> ls: cannot open directory whale/: Permission denied > >>> > >>> > >>> Cordialement > >>> Jonathan > >>> > >>> > >>> > >>> > >>> On 07/30/2014 06:15 PM, Jean Milot wrote: > >>> > >>> Bonjour, > >>> > >>> Moi, j'ai abandonné NFSv4. Je force l'utilisation de la version 3 pour > >>> utiliser les ACLs. > >>> > >>> Cordialement, > >>> > >>> Jean > >>> > >>> > >>> > >>> Le 30 juillet 2014 16:40, Jonathan Tremesaygues > >>> <jonathan.tremesayg...@menta.fr> a écrit : > >>>> Bonjour la liste, > >>>> > >>>> Nous essayons désespérément de faire fonctionner les ACL sur du partage > >>>> réseau > >>>> NSFv4. Le serveur de partage est un NAS QNAP TS-879-PRO tournant sous un > >>>> linux > >>>> custom et les clients sont essentiellement des Scientific Linux > >>>> (RHEL-like) > >>>> 6.5. Les comptes des utilisateurs sont stockés dans un LDAP. > >>>> > >>>> ######################## > >>>> # Configuration du serveur (whale) : # > >>>> ######################## > >>>> [~] # cat /etc/idmapd.conf > >>>> [General] > >>>> Verbosity = 9 > >>>> Pipefs-Directory = /var/lib/nfs/rpc_pipefs > >>>> Domain = menta.fr > >>>> > >>>> [Mapping] > >>>> Nobody-User = guest > >>>> Nobody-Group = guest > >>>> > >>>> [Translation] > >>>> Method = nsswitch > >>>> > >>>> > >>>> [~] # cat /etc/exports > >>>> "/share/NFS" > >>>> *(no_subtree_check,no_root_squash,insecure,fsid=0,subtree_check,acl,sec=sys) > >>>> "/share/NFS/shared" > >>>> 192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys) > >>>> "/share/NFS/test" > >>>> 192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys) > >>>> > >>>> > >>>> [~] # cat /sys/module/nfsd/parameters/nfs4_disable_idmapping > >>>> N > >>>> > >>>> > >>>> [~] # ll /share/NFS/ > >>>> drwxr-xr-x 19 root root 1.0k Jul 29 10:16 ./ > >>>> drwxr-xr-x 32 root root 1.0k Jul 29 14:34 ../ > >>>> drwxrwxrwx 12 root shared 4.0k Jul 17 15:00 shared/ > >>>> drwxrwx--- 2 root root 4.0k Jul 22 15:44 test/ > >>>> > >>>> > >>>> [~] # getfacl /share/NFS/test > >>>> getfacl: Removing leading '/' from absolute path names > >>>> # file: share/NFS/test > >>>> # owner: root > >>>> # group: root > >>>> user::rwx > >>>> user:jtremesay:rwx > >>>> group::rwx > >>>> mask::rwx > >>>> other::--- > >>>> default:user::rwx > >>>> default:group::rwx > >>>> default:mask::rwx > >>>> default:other::--- > >>>> > >>>> > >>>> > >>>> ################### > >>>> # Configuration d'un client : # > >>>> ################### > >>>> [jtremesay@hawk ~]$ cat /etc/idmapd.conf > >>>> [General] > >>>> Verbosity = 9 > >>>> Pipefs-Directory = /var/lib/nfs/rpc_pipefs > >>>> Domain = menta.fr > >>>> > >>>> [Mapping] > >>>> Nobody-User = nobody > >>>> Nobody-Group = nobody > >>>> > >>>> [Translation] > >>>> Method = nsswitch > >>>> > >>>> > >>>> [jtremesay@hawk ~]$ mount | grep whale > >>>> whale:/ on /mnt/whale type nfs > >>>> (rw,vers=4,addr=192.168.10.150,clientaddr=192.168.10.121) > >>>> > >>>> > >>>> [jtremesay@hawk ~]$ nfsstat -m > >>>> /mnt/whale from whale:/ > >>>> Flags: > >>>> rw,relatime,vers=4,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.10.121,minorversion=0,local_lock=none,addr=192.168.10.150 > >>>> > >>>> > >>>> [jtremesay@hawk ~]$ ll /mnt/whale/ > >>>> total 134 > >>>> drwxr-xr-x. 19 root root 1024 Jul 29 10:16 . > >>>> drwxr-xr-x. 5 root root 4096 Jul 29 10:46 .. > >>>> drwxrwxrwx. 12 root shared 4096 Jul 17 15:00 shared > >>>> drwxrwx---. 2 root root 4096 Jul 22 15:44 test > >>>> > >>>> > >>>> [jtremesay@hawk ~]$ nfs4_getfacl /mnt/whale/test/ > >>>> A::OWNER@:rwaDxtTcCy > >>>> A::jtreme...@menta.fr:rwaDxtcy > >>>> A::GROUP@:rwaDxtcy > >>>> A::EVERYONE@:tcy > >>>> A:fdi:OWNER@:rwaDxtTcCy > >>>> A:fdi:GROUP@:rwaDxtcy > >>>> A:fdi:EVERYONE@:tcy > >>>> > >>>> > >>>> [jtremesay@hawk ~]$ ll /mnt/whale/test/ > >>>> ls: cannot open directory /mnt/whale/test/: Permission denied > >>>> > >>>> > >>>> Lorsque que j'utilise la même configuration (mêmes réglages > >>>> d'idmapd.conf, > >>>> mêmes exports, mêmes ACL) depuis un serveur sous Scientific Linux, ça > >>>> fonctionne : seul moi et root peuvent accéder au dossier "test". > >>>> Donc à priori le problème viendrait du QNAP mais je vois pas trop ce que > >>>> j'ai pu oublier de modifier ou vérifier. > >>>> > >>>> Si quelqu'un a une idée... Merci d'avance > >>>> > >>>> > >>>> Cordialement, > >>>> Jonathan Tremesaygues > >>>> _______________________________________________ > >>>> Liste de diffusion du FRsAG > >>>> http://www.frsag.org/ > >>> > >>> > >>> > >>> -- > >>> MILOT Jean > >>> Tél. : 0659514624 > >>> milot.j...@gmail.com > >>> > >>> > >> _______________________________________________ > >> Liste de diffusion du FRsAG > >> http://www.frsag.org/ > >> > > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
