it-swarm.com.de

Benutzer-ID-Zuordnung mit NFS unter Synology NAS

Ich habe eine Synology NAS Box (mit DSM 5.1) und habe ein Verzeichnis über NFS exportiert. Ich versuche es auf meiner Ubuntu-Box zu mounten.

Meistens funktioniert es einwandfrei, aber ich habe Probleme mit Benutzer- und Gruppenzuordnungen. Auf der Ubuntu-Box bin ich UID 1000 (Roger), GID 1000 (Roger). Auf der Synology habe ich UID 1026 (Roger), Gruppe 100 (Benutzer).

Wenn ich NFSv3 verwende, werden numerische uid/gid-Werte verwendet, was bedeutet, dass der Besitz der Synology durcheinander gebracht wird.

Wenn ich jemals von derselben Ubuntu-Box mit demselben Benutzer auf den NFS-Mount zugreifen würde, wäre dies in Ordnung, aber ich greife auch von einer Windows-Box mit CIFS (SMB) auf das Verzeichnis zu, was bedeutet, dass die Berechtigungen vorliegen falsch.

Wenn ich NFSv4 (mount -o nfsvers=4) mit den Standardeinstellungen für die Synology verwende, werden Dateien, die zu roger.users in der Synology gehören, in der Ubuntu-Box als Eigentum von roger.users angezeigt. Das ist gut.

Wenn ich jedoch eine Datei touch:

[email protected]$ touch /mounts/diskstation/music/foo

Es wird in der Synology als Eigentum von 1000.1000 und in der Ubuntu-Box als Eigentum von nobody.4294967294 angezeigt.

Alles, was ich in den Synology-Foren zu diesem Thema finden kann, stammt entweder aus dem Jahr 2011, als NFSv4 nicht unterstützt wurde, oder besteht aus Personen, die die gleiche Frage stellen und dann aufgeben.

Der Vollständigkeit halber hat /etc/exports:

/volume1/music  10.0.0.0/24(rw,async,no_wdelay,root_squash,insecure_locks,sec=sys,anonuid=1025,anongid=100)

... und ich montiere es auf der Ubuntu-Box mit:

mount -t nfs diskstation:/volume1/music /mounts/diskstation/music/ -o rw,nfsvers=4

Ich habe einige Hinweise gefunden, dass der sec=sys ein Problem sein könnte: Warum die NFSv4-UID/GID-Zuordnung mit AUTH_UNIX (AUTH_SYS) nicht funktioniert , aber das tut es nicht. ' Ich habe keine Lösung.

Gibt es einen einfachen Weg, um dieses Problem zu umgehen? Gibt es einen komplexeren ( Husten Kerberos Husten ) Weg, dies zu lösen?

Im Ernst, wenn Kerberos die Antwort ist , nehme ich diesen Treffer, aber ich würde es gerne wissen, bevor ich ein paar Zeit darauf verschwenden würde.

Update : Während in der Synology-Dokumentation verschiedene Kerberos-Optionen behandelt werden, kann ich sie in der nicht finden Benutzeroberfläche In den Versionshinweisen heißt es "Wenn die Kerberos-Sicherheitsversion implementiert ist ...". Ich habe eine Seite gefunden (kann sie aber nicht mehr finden), was bedeutet, dass sie bei bestimmten Modellen möglicherweise nicht vorhanden ist. Ich habe einen DS211 gemäß der Systeminformationsseite. Vielleicht habe ich Pech?

17
Roger Lipscombe

Damit die NFSv4-ID-Zuordnung ordnungsgemäß funktioniert, müssen Client und Server den ID-Zuordnungsdämon idmapd ausführen und dieselbe Domain in /etc/idmapd.conf konfiguriert haben.

Auf diese Weise sendet Ihr NFS-Client seine ID-Anmeldeinformationen als [email protected] in den NFS-Befehlen auf der Leitung, und Ihr NFS-Server-ID-Mapper ordnet dies einem Benutzer mit dem Namen roger auf dem NFS-Server zu. Die UID und die GID spielen keine Rolle, sie werden vom idmapper auf jedem System zugeordnet.

Auf meiner Synology kümmere ich mich jedoch nicht darum. Mein freigegebener Ordner hat die folgenden Berechtigungen:

  • Berechtigungen
    • Lokale Benutzer
      • Admin = Lesen/Schreiben
  • NFS-Berechtigungen
    • Quetschen
      • Ordnen Sie alle Benutzer dem Administrator zu

Dies führt dazu, dass anonuid=1024,anongid=100 (der admin-Benutzer und die users-Gruppe) dem Export in /etc/exports auf dem NAS hinzugefügt wird.

Mein NFS-Client (auf dem der ID-Mapper nicht ausgeführt wird) sendet meine NFS-Befehle als Benutzer (1000:1000). Da UID und GID auf dem NAS nicht vorhanden sind, werden meine UID und GID in 1024:100 übersetzt, sodass ich behandelt werde als der Admin-Benutzer, der die volle Berechtigung hat.

Dies ist eine furchtbar unprofessionelle und unsichere Verwendung von NFS in einer Geschäftsumgebung, aber nur für mich ist der Zugriff auf meine Dateien zu Hause ein Missbrauch von NFS-Verhalten, der für mich akzeptabel ist.

Eine andere Möglichkeit besteht darin, die UID und GID von roger auf dem NFS-Client und dem NAS identisch zu machen. Anschließend können Sie NFSv4 ohne ID-Zuordnung verwenden oder NFSv3, das nur auf UID und GID basiert.

7
suprjami

Ich hatte das gleiche Problem, als ich versuchte herauszufinden, auf welchen Modellen dies war. Es stellt sich heraus, dass Kerberos Teil des Active Directory Server-Pakets ist und die Paketbeschreibung die Synology-Modelle enthält, auf denen es verfügbar ist. (Ich habe den 1515 und nicht den 1515+, also habe ich auch Pech.)

0
gopy