首先,请原谅我的问题是不是很好,这是我在服务器上的第一个职位:)
我已经在混合的Linux / Windows / Solarisnetworking中成功部署LDAP和Kerberos身份validation。 我有CentOS 7服务器提供krb5安全NFS4(没有隐私/完整性,只是身份validation)。 我可以在CentOS 6上成功安装共享。但是,当我在Solaris 10(Oracle Solaris 10 9/10 s10s_u9wos_14a SPARC)上安装共享时,出现一些与ACL相关的奇怪错误。
来自安装的输出:
/mnt/exporthome on nfsserver.example.com:/export/home remote/read/write/setuid/devices/sec=krb5/xattr/dev=5ec0004 我有访问权限,我可以读取这些文件:
$ ls /mnt/exporthome/testuser/ testfile1.txt textfile2.txt
但是,我无法读取权限/ ACL,而是得到:
$ ls -la /mnt/exporthome/testuser/ ls: can't read ACL on /mnt/exporthome/testuser/: Permission denied
nfs4_domain在客户端和用户都正确设置,并且ID映射似乎为用户工作:
$ getfacl /mnt/exporthome/testuser/ # file: /mnt/exporthome/testuser/ # owner: testuser # group: testgroup user::rwx group::--- #effective:--- mask:rwx other:---
我可以看到
日志中显示以下消息:
/usr/lib/nfs/nfsmapid[349]: [ID 300081 daemon.error] valid_domain: Invalid inbound domain name .
我检查了生成消息的代码,“入站域名”是指远程(即服务器)nfs4域。 我嗅探了stream量,并且看到服务器正确地将fattr4_owner发送为“[email protected]”。 问题似乎与reco_attr:ACL,我有三个ACE。
ACE中的“Who”字段是:“OWNER @”,“GROUP @”和“EVERYONE @”,所以我的猜测是他们导致“无效入站域名”错误消息。
OWNER @,GROUP @和EVERYONE @(和其他几个)在定义NFSv4 ACL的RFC中有特殊含义,正如我前面提到的,其他访问NFS共享的主机没有问题。
我search了Oracle的站点,并在他们的一些NFSv4 / ACL / ZFS文章中将这些负责人logging为“owner @”,“group @”和“everyone @”。
我没有Solaris NFS服务器的访问权限,但是我的猜测是它以小写方式发送这些主体的ACE,并且本机Solaris 10 NFSv4客户机无法以大写(如RFC中所指定的)处理它们。
所以我的问题是,有没有其他人尝试类似的部署,他们有相同的结果。 如果使用Solaris 10 NFSv4客户端的人员将检查ACL中的主体,那将是非常好的。 实际上,在这一点上,任何build议都会很棒。
提前致谢!