Aller au contenu

Mapping Des Users Pour Nfs


nfsmap

Messages recommandés

Bonjour,

Une solution existe, mais un peu hasardeuse, elles consiste à faire correspondre les id utilisateurs avec ceux du syno ....

Ce sujet fut déjà évoqué sur ce forum ... il me semble :huh: .

Cordialement.

C'est vrai que le problème de nfs demeure... Comme déjà dit sur ce forum, nfs fait partie du système, et les droits sont ceux du système de fichiers, mais on peut mettre des restrictions d'accès au niveau de l'export (lecture seule, IP autorisées, connexion en root mappée en anonyme...).

L'outil syno fournit des lignes de ce type :

/volume1/videos 192.168.1.0/24(rw,no_wdelay,root_squash,insecure_locks,anonuid=1025,anongid=100)

Donc root est transformé en utilisateur anonyme, et les uid/gid du compte utilisé sont 1025/100.

Mais si les uid/gid de l'utilisateur (client) n'existe pas sur le serveur, la connexion se fait de manière anonyme (le nom du client n'est pas résolu sur le serveur), mais c'est quand même les uid/gid du client qui sont utilisés.

Pour une distrib standard pour lesquels les uid commencent à 500, il n'y a pas de correspondance sur le syno, les uid/gid du syno n'ont pas de correspondance sur le serveur et les droits ne peuvent donc pas être gérés correctement (en fait seuls les droits "others" peuvent être utilisés). La connexion se fait en anonyme en utilisant uid=1025, gid=100 en activant l'option all_squash, ce qui permet de gérer un peu mieux les droits (puis que là on peut fixer les uid/gid). Si l'accès est ouvert en écriture dans l'export et que le système de fichiers permet l'écriture de ces comptes, n'importe qui a les mêmes droits !

Pour mémoire, 1025 = guest (compte invité), 100 = users. Si, sur le disque, l'export a des droits de type rwx pour le groupe users, tous les anonymes auront droit d'écriture.

Pour info, voici un extrait de la page de manuel :

Correspondance des UID

nfsd effectue les contrôles d'accès aux fichiers du serveur en se bas-

ant sur les UID et GID fournis avec chaque requête RPC NFS. L'utilisa-

teur s'attend à pouvoir accéder à ses fichiers sur le serveur NFS

exactement comme il y accéderait sur un système de fichiers normal.

Ceci nécessite que les mêmes UID et GID soient utilisés sur le serveur

et sur la machine cliente. Ce n'est pas toujours vrai, et même parfois

indésirable.

Il est souvent très gênant que le Super-User d'une machine cliente soit

traité comme le Super-User lorsqu'il accède aux fichiers du serveur.

Pour éviter ceci, l'UID 0 (root) est normalement transformé en un autre

UID : par exemple en UID anonyme nobody. Ce mode opératoire s'appelle

`root squashing' et est le comportement par défaut. On peut le sup-

primer avec l'option no_root_squash.

Par défaut nfsd essaye d'obtenir un UID et un GID anonymes en cherchant

au démarrage l'utilisateur nobody dans le fichier des mots de passe.

S'il n'en trouve pas, un UID et un GID valant -2 (en fait 65534) sont

utilisés. Ces valeurs peuvent être modifiées avec les options anonuid

et anongid.

De plus, nfsd vous permet d'indiquer des UIDs ou GIDs arbitraires qui

seront transformés en utilisateur anonymes. Enfin, vous pouvez même

transformer les requêtes de tous les utilisateurs en UIG et GID

anonymes avec l'option all_squash .

Pour être utilisé dans des sites où les UIDs varient suivant les

machines, nfsd fournit une méthode de conversion dynamique des UIDs du

serveur en UIDs du client et inversement. Ceci est mis en service avec

l'option map_daemon et utilise le protocole RPC UGID. Il faut que le

démon de conversion ugidd(8) soit actif sur le client.

----------

Post modifié pour essayer d'être plus clair sur ce problème d'uid/gid et précision apportée sur le mode anonyme (root_squash et all_squash) : il n'y a pas basculement automatique en mode anonyme, ce sont les paramètres de squashing qui le font.

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.