nfsmap Posté(e) le 18 mai 2010 Partager Posté(e) le 18 mai 2010 Bonjour, Ma config : PC OpenSolaris 2009.06 + DS508 Mon probl 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
stevanovich Posté(e) le 19 mai 2010 Partager Posté(e) le 19 mai 2010 Bonjour, Une solution existe, mais un peu hasardeuse, elles consiste 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
cricx Posté(e) le 19 mai 2010 Partager Posté(e) le 19 mai 2010 Bonjour, Une solution existe, mais un peu hasardeuse, elles consiste à faire correspondre les id utilisateurs avec ceux du syno .... Ce sujet fut déjà évoqué sur ce forum ... il me semble . Cordialement. C'est vrai que le problème de nfs demeure... Comme déjà dit sur ce forum, nfs fait partie du système, et les droits sont ceux du système de fichiers, mais on peut mettre des restrictions d'accès au niveau de l'export (lecture seule, IP autorisées, connexion en root mappée en anonyme...). L'outil syno fournit des lignes de ce type : /volume1/videos 192.168.1.0/24(rw,no_wdelay,root_squash,insecure_locks,anonuid=1025,anongid=100) Donc root est transformé en utilisateur anonyme, et les uid/gid du compte utilisé sont 1025/100. Mais si les uid/gid de l'utilisateur (client) n'existe pas sur le serveur, la connexion se fait de manière anonyme (le nom du client n'est pas résolu sur le serveur), mais c'est quand même les uid/gid du client qui sont utilisés. Pour une distrib standard pour lesquels les uid commencent à 500, il n'y a pas de correspondance sur le syno, les uid/gid du syno n'ont pas de correspondance sur le serveur et les droits ne peuvent donc pas être gérés correctement (en fait seuls les droits "others" peuvent être utilisés). La connexion se fait en anonyme en utilisant uid=1025, gid=100 en activant l'option all_squash, ce qui permet de gérer un peu mieux les droits (puis que là on peut fixer les uid/gid). Si l'accès est ouvert en écriture dans l'export et que le système de fichiers permet l'écriture de ces comptes, n'importe qui a les mêmes droits ! Pour mémoire, 1025 = guest (compte invité), 100 = users. Si, sur le disque, l'export a des droits de type rwx pour le groupe users, tous les anonymes auront droit d'écriture. Pour info, voici un extrait de la page de manuel : Correspondance des UID nfsd effectue les contrôles d'accès aux fichiers du serveur en se bas- ant sur les UID et GID fournis avec chaque requête RPC NFS. L'utilisa- teur s'attend à pouvoir accéder à ses fichiers sur le serveur NFS exactement comme il y accéderait sur un système de fichiers normal. Ceci nécessite que les mêmes UID et GID soient utilisés sur le serveur et sur la machine cliente. Ce n'est pas toujours vrai, et même parfois indésirable. Il est souvent très gênant que le Super-User d'une machine cliente soit traité comme le Super-User lorsqu'il accède aux fichiers du serveur. Pour éviter ceci, l'UID 0 (root) est normalement transformé en un autre UID : par exemple en UID anonyme nobody. Ce mode opératoire s'appelle `root squashing' et est le comportement par défaut. On peut le sup- primer avec l'option no_root_squash. Par défaut nfsd essaye d'obtenir un UID et un GID anonymes en cherchant au démarrage l'utilisateur nobody dans le fichier des mots de passe. S'il n'en trouve pas, un UID et un GID valant -2 (en fait 65534) sont utilisés. Ces valeurs peuvent être modifiées avec les options anonuid et anongid. De plus, nfsd vous permet d'indiquer des UIDs ou GIDs arbitraires qui seront transformés en utilisateur anonymes. Enfin, vous pouvez même transformer les requêtes de tous les utilisateurs en UIG et GID anonymes avec l'option all_squash . Pour être utilisé dans des sites où les UIDs varient suivant les machines, nfsd fournit une méthode de conversion dynamique des UIDs du serveur en UIDs du client et inversement. Ceci est mis en service avec l'option map_daemon et utilise le protocole RPC UGID. Il faut que le démon de conversion ugidd( soit actif sur le client. ---------- Post modifié pour essayer d'être plus clair sur ce problème d'uid/gid et précision apportée sur le mode anonyme (root_squash et all_squash) : il n'y a pas basculement automatique en mode anonyme, ce sont les paramètres de squashing qui le font. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
stevanovich Posté(e) le 19 mai 2010 Partager Posté(e) le 19 mai 2010 Merci Cricx pour ces explications complêtes, détaillées .... et très intéressantes . Stéphan. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
nfsmap Posté(e) le 19 mai 2010 Auteur Partager Posté(e) le 19 mai 2010 Bonsoir, Tout d'abord, merci d'avoir pris le temps de r 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
RENOO Posté(e) le 20 juin 2010 Partager Posté(e) le 20 juin 2010 Bonjour, Je me retrouve dans le m 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
cricx Posté(e) le 20 juin 2010 Partager Posté(e) le 20 juin 2010 Bonjour, Je me retrouve dans le m 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.