У меня ситуация с ядром NFS сервера.У меня есть два экспорта с точно такими же ACL, с полными разрешениями для группы [email protected]. Один — это /exports/directo_informatica/, который является точкой монтирования для LV с XFS, а другой — /exports/gv0_inf/, который является точкой монтирования для glusterfs. Первый экспорт работает сразу при удаленном монтировании по NFS и доступе к нему с пользователем группы [email protected]. Второй нет: он может быть смонтирован правильно, но при попытке доступа к нему от того же пользователя выдает "Отказано в доступе".
Если я обращаюсь напрямую к серверу NFS (ssh) с тем же пользователем, что и в предыдущих тестах, я могу без проблем получить доступ к обоим каталогам внутри /exports/. Подробнее см. ниже:
ОС: Rocky Linux версии 8.5 (Green Obsidian)
fstab для экспортируемых каталогов:
/dev/mapper/vg_kvm_sistema-lv_directo_informatica /exports/directo_informatica xfs по умолчанию 0 0
glustersrv02.xx.xx.xx:/gv0_inf /exports/gv0_inf/ значения по умолчанию glusterfs,acl 0 0
Монтировать для экспортируемых каталогов:
/dev/mapper/vg_kvm_sistema-lv_directo_informatica на /exports/directo_informatica типа xfs (rw,relatime,attr2,inode64,logbufs=8,logbsize=32k,noquota)
glustersrv02.xx.xx.xx:/gv0_inf в /exports/gv0_inf введите fuse.glusterfs (rw,relatime,user_id=0,group_id=0,allow_other,max_read=131072)
экспортирует файл:
/exports *(sec=krb5p,secure,rw,sync,no_wdelay,no_subtree_check,root_squash,fsid=0)
/exports/directo_informatica *(sec=krb5p,secure,rw,sync,no_wdelay,no_subtree_check,root_squash,точка монтирования)
/exports/gv0_inf *(sec=krb5p,secure,rw,sync,no_wdelay,no_subtree_check,root_squash,точка монтирования,fsid=2)
ACL экспортированных каталогов:
# getfacl /exports/directo_informatica/
getfacl: удаление ведущего '/' из абсолютных путей
# файл: экспорт/directo_informatica/
# владелец: корень
# группа: корень
пользователь::rwx
пользователь: root: rwx
группа::rx
группа: корень: г-х
группа:[email protected]:rwx
маска::rwx
Другие::---
по умолчанию: пользователь :: rwx
по умолчанию: пользователь: root: rwx
по умолчанию: группа:: г-х
по умолчанию: группа: корень: г-х
по умолчанию:группа:[email protected]:rwx
по умолчанию:маска::rwx
по умолчанию:другое::---
# getfacl /экспорт/gv0_inf/
getfacl: удаление ведущего '/' из абсолютных путей
# файл: экспорт/gv0_inf/
# владелец: корень
# группа: корень
пользователь::rwx
пользователь: root: rwx
группа::rx
группа: корень: г-х
группа:[email protected]:rwx
маска::rwx
Другие::---
по умолчанию: пользователь :: rwx
по умолчанию: пользователь: root: rwx
по умолчанию: группа:: г-х
по умолчанию: группа: корень: г-х
по умолчанию:группа:[email protected]:rwx
по умолчанию:маска::rwx
по умолчанию:другое::---
Каталоги, смонтированные удаленно:
gluster02.adtest.xx.xx.xx:/directo_informatica на /prueba2 типа nfs4 (rw,relatime,vers=4.2,rsize=131072,wsize=131072,namlen=255,hard,proto=tcp,timeo=600,retrans= 2,sec=krb5p,clientaddr=10.2.100.8,local_lock=none,addr=10.2.100.8)
gluster02.adtest.xx.xx.xx:/gv0_inf в /prueba типа nfs4 (rw,relatime,vers=4.2,rsize=131072,wsize=131072,namlen=255,hard,proto=tcp,timeo=600,retrans= 2,sec=krb5p,clientaddr=10.2.100.8,local_lock=none,addr=10.2.100.8)
ACL NFSv4 удаленно:
$ nfs4_getfacl /prueba2
# файл: /prueba2
A::ВЛАДЕЛЕЦ@:rwaDxtTcCy
A::[email protected]:rwaDxtcy
A::GROUP@:rxtcy
A:g:[email protected]:rxtcy
A:g:[email protected]@idmpru.xx.xx.xx:rwaDxtcy
A::КАЖДЫЙ@:tcy
A:fdi:ВЛАДЕЛЕЦ@:rwaDxtTcCy
A:fdi:[email protected]:rwaDxtcy
A:fdi:GROUP@:rxtcy
A:fdig:[email protected]:rxtcy
A:fdig:[email protected]@idmpru.xx.xx.xx:rwaDxtcy
A:fdi:КАЖДЫЙ@:tcy
$ nfs4_getfacl /prueba
# файл: /prueba
A::ВЛАДЕЛЕЦ@:rwaDxtTcCy
A::GROUP@:rwaDxtcy
A::КАЖДЫЙ@:tcy
Любая помощь приветствуется. Большое спасибо.
