URL: https://linuxfr.org/forums/linux-general/posts/nfs-acl-et-merde Title: NFS, ACL, et merde Authors: lolop Date: 2011年07月07日T15:26:43+02:00 Tags: debian et ubuntu Score: 0 Salut, Au cas où un expert de NFSv3/NFSv4 et des ACL passerait par là... # Symptôme # moi@machine:/chemin/montage/nfs/projet$ id uid=66000764(moi) gid=66000764(moi) groupes=66000764(moi),66000000(managers),...,70000013(legroupe) moi@machine:/chemin/montage/nfs/projet$ getfacl configs.yaml # file: configs.yaml # owner: 99 # group: legroupe user::rw- group::rw- group:48:rwx group:legroupero:r-x mask::rwx other::--- moi@machine:/chemin/montage/nfs/projet$ cat configs.yaml cat: configs.yaml: Permission non accordée Bref, je suis dans un groupe qui normalement peut lire et écrire le fichier, et ça échoue. # Contexte # Un serveur _SERV_, faisant tourner [OpenFiler](http://www.openfiler.com/), fournit 3x13 To d'espace de stockage (RAID6&Co). Un serveur _LDAP_ gère les utilisateurs et les groupes. Les utilisateurs peuvent accéder aux données sur _SERV_ via le protocole de partage de fichiers CIFS (grâce à Samba) - à part qq problèmes avec MacOSX, ça tourne. Le système utilisé se base sur les ACL afin de gérer des groupes d'utilisateurs, plus des accès potentiels via Apache/WebDAV, rsync, etc. Pour les autres accès, une machine _CLI_, faisant tourner une debian squeeze, utilise le même système d'authentification des utilisateurs sur le _LDAP_, et effectue des montages NFSv3 des données de _SERV_. Les utilisateurs peuvent faire du ssh, du sftp, et ont des outils genre mercurial, git, subversion & Co accessibles. Dans ce cas, le système d'ACL fonctionne bien, les utilisateurs ont accès uniquement à ce qui est autorisé. J'ai mis en place une duplication d'une partie des données vers un serveur _BACKUP_ basé sur un Ubuntu Server 2011.4 (j'avais pris la 2010 mais un bug dans le lvm m'a oblgé passer dans une version plus récente). Il a droit a 2x13 To d'espace de stockage. La duplication se base sur [rsnapshot](http://rsnapshot.org/), c'est assez long (mais vu les volumes je m'y attendais), mais ça fonctionne, je récupère mes copies des fichiers avec leurs ACL. J'essaie maintenant de réexporter les copies qui sont sur _BACKUP_ vers _CLI_, en mode lecture seule, afin que les utilisateurs puissent accéder directement aux sauvegardes de leurs données. Et c'est là ça coince. Côté montage NFS, ça fonctionne, ça communique. Si je laisse entre _BACKUP_ et _CLI_ les mêmes1 options de montage qu'entre _SERV_ et _CLI_ j'ai alors du NFSv4 et _CLI_ ne voit pas les ACL ni les bons uids/gids (passage en anonymes) - j'ai lu qu'il fallait en NFSv4 que serveur et clients aient le même système d'authentification, soient dans le même domaine, etc. En forçant le montage en NFSv3 (via une option `vers=3` lors du montage), je récupère alors bien les ACL et les uids/gids, mais j'ai le problème indiqué ci-dessus. Ma machine _BACKUP_ n'a normalement rien à savoir de mes utilisateurs, je préfèrerais qu'elle se contente de dupliquer des données et de les réexporter sans avoir à la mettre dans le pipeline d'authentification _LDAP_. Je pensais que le forçage en NFSv3 m'éviterais les problèmes de contrôle d'accès, mais il semble que non. Quelqu'un a-t-il une piste ? Merci. Laurent. 1 `serv:/chemin/export/ /mnt/ptmntage/ nfs hard,intr,bg,acl,rsize=8192,wsize=8192,auto 0 0`