Сопоставление идентификаторов пользователей с NFS на NAS Synology

у меня есть Synology NAS box (под управлением DSM 5.1), и я экспортировал каталог через NFS. Я пытаюсь установить его на свою машину Ubuntu.

он в основном работает нормально, но у меня проблемы с отображениями пользователей и групп. На коробке с Ubuntu, я с uid 1000 (Роджер), гид 1000 (Роджер). На Synology у меня есть uid 1026 (Роджер), группа 100 (пользователи).

если я использую NFSv3, он использует числовые значения uid/gid, что означает, что владение испорчено на компания Synology.

если бы я только никогда не получит доступа к монтируемому из той же Убунту поле, используя один и тот же пользователь, это было бы замечательно, но я также доступ к директории с Windows-окно, при помощи CIFS (СМБ), что означает, что разрешения не правы.

если я использую NFSv4 (mount -o nfsvers=4), с настройками по умолчанию на Synology, то файлы, принадлежащие roger.users на Synology появляются принадлежащие roger.users при просмотре из окна Ubuntu. Это хорошо.

однако, когда я touch файл:

roger@ubuntu$ touch /mounts/diskstation/music/foo

он в конечном итоге принадлежит 1000.1000 на Synology, и показано, как принадлежит nobody.4294967294 при просмотре из окна Ubuntu.

все, что я могу найти по этой теме На форумах Synology, либо датировано 2011 годом, когда NFSv4 не поддерживался, либо состоит из людей, задающих один и тот же вопрос, а затем сдающихся.

для полноты, /etc/exports есть:

/volume1/music  10.0.0.0/24(rw,async,no_wdelay,root_squash,insecure_locks,sec=sys,anonuid=1025,anongid=100)

...и я монтирую его на коробке Ubuntu с:

mount -t nfs diskstation:/volume1/music /mounts/diskstation/music/ -o rw,nfsvers=4

Я нашел некоторые намеки на то, что sec=sys может быть проблема: почему отображение uid/gid NFSv4 не работает с AUTH_UNIX (AUTH_SYS), но это не есть решение.

есть простой способ обойти эту проблему? Есть ли более сложные (кашель Kerberos кашель) способ решить эту проблему?

серьезно, если Kerberos is ответ, я возьму этот удар, но я хотел бы знать прежде чем тратить кучу времени на это.

обновление: пока документация Synology говорит о различных вариантах Kerberos, я не могу найти их в пользовательском интерфейсе. The заметки состояние", если реализован режим безопасности Kerberos...". Я нашел (но не могу найти снова) страницу, которая подразумевает, что она может быть не на определенных моделях. У меня есть DS211, согласно системной информации. Может мне не повезло?

4
задан Roger Lipscombe
26.05.2023 2:36 Количество просмотров материала 3289
Распечатать страницу

2 ответа

для NFSv4 ID отображения работать должным образом, клиент и сервер должен быть запущен idmapd ID Mapper демона и у того же Domain настроить в /etc/idmapd.conf.

таким образом, ваш клиент NFS отправляет свои идентификационные данные как roger@example.com в командах NFS на проводе, и idmapper сервера NFS сопоставляет это пользователю с именем roger на сервере NFS. UID и GID не имеют значения, они отображаются в каждой системе с помощью idmapper.

однако я не беспокоюсь об этом на Synology. Мой Общий Папку имеет следующие разрешения:

  • Permissions
    • Локальные Пользователи
      • Admin = чтение / запись
  • разрешения NFS
    • сквош
      • сопоставить всех пользователей с admin

в результате anonuid=1024,anongid=100 (том admin пользователь и users группа) добавляется в экспорт в /etc/exports на NAS.

мой клиент NFS (который не имеет ID Mapper работает) посылает мои команды NFS как мой пользователь (1000:1000) и поскольку UID и GID не существуют на NAS, он преобразует мои UID и GID в 1024:100 поэтому я рассматриваюсь как пользователь Admin, который имеет полное разрешение.

это ужасно непрофессиональное и небезопасное использование NFS для бизнес-среды, но только для меня, чтобы получить доступ к моим файлам дома, это злоупотребление поведением NFS, которое приемлемо для тебя.

другой вариант-сделать rogerС UID и GID же на NFS клиент и NAS, то вы можете использовать в NFSv4 без ID карт, или вы могли бы затем использовать NFSv3, который полагается только на UID и GID.

6
отвечен suprjami 2023-05-27 10:24

У меня была та же проблема, пытаясь выяснить, модели это было на. Оказывается, Kerberos является частью пакет сервера Active Directory, и описание пакета включает модели Synology, на которых оно доступно. (Я получил 1515, а не 1515+, поэтому мне тоже не повезло.)

0
отвечен gopy 2023-05-27 12:41

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх