Не удается прочитать ACL на общей папке NFS4, клиенте Solaris 10, сервере CentOS 7
Прежде всего, пожалуйста, извините, если мой вопрос не очень хорошо сформулирован, это мой первый пост на serverfault:)
Я успешно развернул аутентификацию LDAP и Kerberos в смешанной сети Linux/Windows/Solaris. У меня есть сервер CentOS 7, обслуживающий NFS4 с безопасностью krb5 (без конфиденциальности / целостности, только аутентификация). Я могу успешно смонтировать общие ресурсы на CentOS 6. Однако, когда я монтирую общий ресурс на Solaris 10 (Oracle Solaris 10 9/10 s10s_u9wos_14a SPARC), я получаю странную ошибку, связанную с ACL.
Выход из монтирования:
/mnt/exporthome on nfsserver.example.com:/export/home remote/read/write/setuid/devices/sec=krb5/xattr/dev=5ec0004
У меня есть доступ, я могу читать файлы:
$ ls /mnt/exporthome/testuser/
testfile1.txt textfile2.txt
Однако я не могу читать разрешения /ACL, вместо этого я получаю:
$ ls -la /mnt/exporthome/testuser/
ls: can't read ACL on /mnt/exporthome/testuser/: Permission denied
nfs4_domain правильно настроен как для клиента, так и для пользователя, и сопоставление идентификаторов, похоже, работает для пользователя:
$ getfacl /mnt/exporthome/testuser/
# file: /mnt/exporthome/testuser/
# owner: testuser
# group: testgroup
user::rwx
group::--- #effective:---
mask:rwx
other:---
я могу видеть
в журналах появляется следующее сообщение:
/usr/lib/nfs/nfsmapid[349]: [ID 300081 daemon.error] valid_domain: Invalid inbound domain name .
Я проверил код, который генерирует сообщение, "имя входящего домена" относится к удаленному (то есть серверу) домену nfs4. Я понюхал трафик и вижу, что сервер правильно отправляет fattr4_owner как "[email protected]". Проблема, кажется, с reco_attr: ACL, где у меня есть три ACE.
Поля "Кто" в ACE: "OWNER@", "GROUP@" и "EVERYONE@", поэтому я предполагаю, что они вызывают сообщение об ошибке "Недопустимое имя входящего домена".
OWNER @, GROUP @ и EVERYONE@ (наряду с несколькими другими) указаны с особым значением в RFC, который определяет ACL-списки NFSv4, и, как я упоминал ранее, другие хосты, обращающиеся к общим ресурсам NFS, не имеют с ними проблем.
Я провел поиск по сайту Oracle и задокументировал эти принципы как "owner@", "group@" и "Everyone@" в некоторых своих статьях по NFSv4/ACL/ZFS.
У меня нет доступа к NFS-серверу Solaris, но я предполагаю, что он отправляет ACE с этими принципалами в нижнем регистре, а собственный клиент NFSv4 Solaris 10 не может обрабатывать их в верхнем регистре (как указано в RFC).
Итак, мои вопросы: кто-нибудь еще пробовал подобное развертывание, и имели ли они те же результаты? Было бы здорово, если бы кто-то с работающим клиентом Solaris 10 NFSv4 проверил принципалы в ACL. На самом деле, на данный момент, любое предложение было бы здорово.
Заранее спасибо!