Si queremos establecer ACL’s sobre NFS, sólo nos queda implementarlas con NFS versión 4.
La cabina NetAPP tiene que tener el mismo dominio que tendrá que estar definido en /etc/idmapd.conf. (en este ejemplo es uno de los que utiliza por default)
|
[General] Verbosity = 0 Domain = defaultv4iddomain.com |
En la cabina el nivel de seguridad deberá estar definido en sec=none y en el cliente (linux) en sec=sys
Ejemplo de montaje:
|
# mount -t nfs4 -O sec=sys 10.51.52.29:/Sibm/Test_NFS4 /mnt/SitTS_NFS4 |
Contenido /etc/fstab
|
10.51.52.29:/Sibm/Test_NFS4 /mnt/SitTS_NFS4 nfs nfsvers=4,rw,sec=sys 0 0 |
Prerequisitos en Centos 6:
|
# yum install rpcbind nfs4-acl-tools -y # yum install nfs-utils nfs-utils-lib -y |
Servicios:
|
# /etc/init.d/nfslock restart # service rpcbind restart |
|
# /etc/init.d/nfslock restart # service rpcbind restart |
Uso de comandos:
|
A::201:rwatTnNcCy A::OWNER@:rwatTnNcCy A:g:GROUP@:rtncy A::EVERYONE@:rtncy |
El truco está en fijarese en las r w x del comienzo.
|
rtncy: Lectura (empieza por r) rxtncy: Lectura y Ejecución (empieza por rx) rwadtTnNcCy : Lectura y Escritura (empieza por rw) rwaxtTnNcCy : Lectura, escritura y Ejecución (empieza por rwax. La a es de append) |
La primera letra indica, si es una A: Permito y si es una D: Deniego
Ejemplos de implementación de acl:
Esta orden permite lectura y escritura al usuario con id 201:
|
# nfs4_setfacl -a "A::201:RW" ficherito |
Ejecución recursiva:
|
# nfs4_setfacl -R -P -S newacl.txt * |
Si el usuario/grupo al exportarlo es nobody
Editamos el fichero /etc/idmapd.conf y cambiamos estas opciones:
|
#Domain = local.domain.edu Domain = defaultv4iddomain.com [Mapping] #Nobody-User = nobody ##Nobody-Group = nobody Nobody-User = pcuser Nobody-Group = pcuser |
Reiniciamos servicio y listo
|
# service rpcbind restart |