Nfs4

導出的 glusterfs 的 NFSv4 權限問題

  • March 31, 2022

我有核心 NFS 伺服器的情況。我有兩個具有完全相同 ACL 的導出,對 informatica@adtest.xx.xx.xx 組具有完全權限。一個是 /exports/directo_informatica/,它是帶有 XFS 的 LV 的掛載點,另一個是 /exports/gv0_inf/,它是 glusterfs 的掛載點。當使用 NFS 遠端掛載並使用組 informatica@adtest.xx.xx.xx 的使用者訪問它時,第一個導出工作正常。第二個沒有:它可以正確安裝,但是當嘗試使用同一使用者訪問它時,它會給出“權限被拒絕”。

如果我使用之前測試的同一使用者直接訪問 NFS 伺服器 (ssh),我可以毫無問題地訪問 /exports/ 中的兩個目錄。更多詳情如下:

作業系統:Rocky Linux 8.5 版(Green Obsidian)

導出目錄的 fstab:

/dev/mapper/vg_kvm_sistema-lv_directo_informatica /exports/directo_informatica xfs defaults 0 0
glustersrv02.xx.xx.xx:/gv0_inf /exports/gv0_inf/ glusterfs defaults,acl 0 0

掛載導出的目錄:

/dev/mapper/vg_kvm_sistema-lv_directo_informatica on /exports/directo_informatica type xfs (rw,relatime,attr2,inode64,logbufs=8,logbsize=32k,noquota)
glustersrv02.xx.xx.xx:/gv0_inf on /exports/gv0_inf type fuse.glusterfs (rw,relatime,user_id=0,group_id=0,allow_other,max_read=131072)

導出文件:

/exports          *(sec=krb5p,secure,rw,sync,no_wdelay,no_subtree_check,root_squash,fsid=0)
/exports/directo_informatica  *(sec=krb5p,secure,rw,sync,no_wdelay,no_subtree_check,root_squash,mountpoint)
/exports/gv0_inf  *(sec=krb5p,secure,rw,sync,no_wdelay,no_subtree_check,root_squash,mountpoint,fsid=2)

導出的目錄 ACL:

# getfacl /exports/directo_informatica/
getfacl: Removing leading '/' from absolute path names
# file: exports/directo_informatica/
# owner: root
# group: root
user::rwx
user:root:rwx
group::r-x
group:root:r-x
group:informatica@adtest.xx.xx.xx:rwx
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:group::r-x
default:group:root:r-x
default:group:informatica@adtest.xx.xx.xx:rwx
default:mask::rwx
default:other::---

# getfacl /exports/gv0_inf/
getfacl: Removing leading '/' from absolute path names
# file: exports/gv0_inf/
# owner: root
# group: root
user::rwx
user:root:rwx
group::r-x
group:root:r-x
group:informatica@adtest.xx.xx.xx:rwx
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:group::r-x
default:group:root:r-x
default:group:informatica@adtest.xx.xx.xx:rwx
default:mask::rwx
default:other::---

遠端安裝的目錄:

gluster02.adtest.xx.xx.xx:/directo_informatica on /prueba2 type nfs4 (rw,relatime,vers=4.2,rsize=131072,wsize=131072,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=krb5p,clientaddr=10.2.100.8,local_lock=none,addr=10.2.100.8)
gluster02.adtest.xx.xx.xx:/gv0_inf on /prueba type nfs4 (rw,relatime,vers=4.2,rsize=131072,wsize=131072,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=krb5p,clientaddr=10.2.100.8,local_lock=none,addr=10.2.100.8)

遠端 NFSv4 ACL:

$ nfs4_getfacl /prueba2
# file: /prueba2
A::OWNER@:rwaDxtTcCy
A::root@idmpru.fnr.gub.uy:rwaDxtcy
A::GROUP@:rxtcy
A:g:root@idmpru.fnr.gub.uy:rxtcy
A:g:informatica@adtest.xx.xx.xx@idmpru.xx.xx.xx:rwaDxtcy
A::EVERYONE@:tcy
A:fdi:OWNER@:rwaDxtTcCy
A:fdi:root@idmpru.xx.xx.xx:rwaDxtcy
A:fdi:GROUP@:rxtcy
A:fdig:root@idmpru.xx.xx.xx:rxtcy
A:fdig:informatica@adtest.xx.xx.xx@idmpru.xx.xx.xx:rwaDxtcy
A:fdi:EVERYONE@:tcy

$ nfs4_getfacl /prueba
# file: /prueba
A::OWNER@:rwaDxtTcCy
A::GROUP@:rwaDxtcy
A::EVERYONE@:tcy

任何幫助表示讚賞。非常感謝。

我已經解決了這個問題。詳情:https ://lists.gluster.org/pipermail/gluster-devel/2022-March/057802.html 。

引用自:https://serverfault.com/questions/1096408