Не удается прочитать ACL на общей папке NFS4, клиенте Solaris 10, сервере CentOS 7

Прежде всего, пожалуйста, извините, если мой вопрос не очень хорошо сформулирован, это мой первый пост на serverfault:)

Я успешно развернул аутентификацию LDAP и Kerberos в смешанной сети Linux/Windows/Solaris. У меня есть сервер CentOS 7, обслуживающий NFS4 с безопасностью krb5 (без конфиденциальности / целостности, только аутентификация). Я могу успешно смонтировать общие ресурсы на CentOS 6. Однако, когда я монтирую общий ресурс на Solaris 10 (Oracle Solaris 10 9/10 s10s_u9wos_14a SPARC), я получаю странную ошибку, связанную с ACL.

Выход из монтирования:

/mnt/exporthome on nfsserver.example.com:/export/home remote/read/write/setuid/devices/sec=krb5/xattr/dev=5ec0004

У меня есть доступ, я могу читать файлы:

$ ls /mnt/exporthome/testuser/
testfile1.txt textfile2.txt

Однако я не могу читать разрешения /ACL, вместо этого я получаю:

$ ls -la /mnt/exporthome/testuser/
ls: can't read ACL on /mnt/exporthome/testuser/: Permission denied

nfs4_domain правильно настроен как для клиента, так и для пользователя, и сопоставление идентификаторов, похоже, работает для пользователя:

$ getfacl /mnt/exporthome/testuser/

# file: /mnt/exporthome/testuser/
# owner: testuser
# group: testgroup
user::rwx
group::---              #effective:---
mask:rwx
other:---

я могу видеть

в журналах появляется следующее сообщение:

/usr/lib/nfs/nfsmapid[349]: [ID 300081 daemon.error] valid_domain: Invalid inbound domain name .

Я проверил код, который генерирует сообщение, "имя входящего домена" относится к удаленному (то есть серверу) домену nfs4. Я понюхал трафик и вижу, что сервер правильно отправляет fattr4_owner как "[email protected]". Проблема, кажется, с reco_attr: ACL, где у меня есть три ACE.

Поля "Кто" в ACE: "OWNER@", "GROUP@" и "EVERYONE@", поэтому я предполагаю, что они вызывают сообщение об ошибке "Недопустимое имя входящего домена".

OWNER @, GROUP @ и EVERYONE@ (наряду с несколькими другими) указаны с особым значением в RFC, который определяет ACL-списки NFSv4, и, как я упоминал ранее, другие хосты, обращающиеся к общим ресурсам NFS, не имеют с ними проблем.

Я провел поиск по сайту Oracle и задокументировал эти принципы как "owner@", "group@" и "Everyone@" в некоторых своих статьях по NFSv4/ACL/ZFS.

У меня нет доступа к NFS-серверу Solaris, но я предполагаю, что он отправляет ACE с этими принципалами в нижнем регистре, а собственный клиент NFSv4 Solaris 10 не может обрабатывать их в верхнем регистре (как указано в RFC).

Итак, мои вопросы: кто-нибудь еще пробовал подобное развертывание, и имели ли они те же результаты? Было бы здорово, если бы кто-то с работающим клиентом Solaris 10 NFSv4 проверил принципалы в ACL. На самом деле, на данный момент, любое предложение было бы здорово.

Заранее спасибо!

0 ответов

Другие вопросы по тегам