Jon*_*han 5 linux permissions nfs acl ubuntu
我已成功设置 NFSv4 客户端和服务器,大致遵循设置 NFS HOWTO 中的指南。两者都运行 Ubuntu Linux 14.04。这是一个没有复杂认证的小型测试环境;两台服务器只是使用相同的密码文件。一切似乎都在正常工作;文件在客户端可见,并且权限/用户 ID 正确。
现在我想使用 NFSv4 ACL 来控制对 NFSv4 服务器上文件的访问。我在客户端上安装了必需的命令行工具,并且能够看到类似于 NFSv4 ACL 的内容:
$ nfs4_getfacl .
A::OWNER@:rwaDxtTcCy
A::GROUP@:rxtcy
A::EVERYONE@:rxtcy
但是,虽然我可以很好地获取 ACL 列表,但我无法设置任何 ACL。每次尝试都会导致Invalid argument错误setxattr。
$ nfs4_setfacl -a A::OWNER@:rxtncy .
Failed setxattr operation: Invalid argument
我使用 strace 来查看发生了什么。根据我能够找到的稀疏文档,NFSv4 ACL 作为二进制 XDR 数据存储system.nfs4_acl在文件上调用的扩展属性中。果然,这就是正在发生的事情;setxatt正在返回EINVAL。
getxattr("/primary/home/rstudiouser", "system.nfs4_acl", 0x0, 0) = 80
getxattr("/primary/home/rstudiouser", "system.nfs4_acl", "\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x16\x01\xe7\x00\x00\x00\x06OWNER@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x12\x00\xa1\x00\x00\x00\x06GROUP@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x12\x00\xa1\x00\x00\x00\x09EVERYONE@\x00\x00", 80) = 80
setxattr("/primary/home/rstudiouser", "system.nfs4_acl", "\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x12\x00\xa9\x00\x00\x00\x06OWNER@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x16\x01\xe7\x00\x00\x00\x06OWNER@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x12\x00\xa1\x00\x00\x00\x06GROUP@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x12\x00\xa1\x00\x00\x00\x09EVERYONE@\x00\x00", 104, XATTR_REPLACE) = -1 EINVAL (Invalid argument)
那么,为什么会setxattr失败呢?在 NFSv4 服务器上启用了扩展属性:
$ sudo tune2fs -l /dev/sda1
tune2fs 1.42.9 (4-Feb-2014)
...
Filesystem features: has_journal ext_attr resize_inode dir_index filetype needs_recovery extent flex_bg sparse_super large_file huge_file
uninit_bg dir_nlink extra_isize
Filesystem flags: signed_directory_hash
Default mount options: user_xattr acl
...
并且客户端肯定使用的是 NFSv4 协议;使用mount以显示安装的驱动器:
$ mount
...
192.168.55.103:/primary/home on /primary/home type nfs4 (rw,rsize=8192,wsize=8192,timeo=14,intr,nfsvers=4,acl,addr=192.168.55.103,client
addr=192.168.55.101)
...
我尝试翻转 nfsd 上的所有调试标志,看看是否会产生有用的日志。
$ sudo rpcdebug -m nfsd -s all
它确实确认服务器正在接收设置属性的请求。
Apr 7 20:21:49 vagrant-ubuntu-trusty-64 kernel: [73465.567892] nfsd_dispatch: vers 4 proc 1
Apr 7 20:21:49 vagrant-ubuntu-trusty-64 kernel: [73465.567909] nfsv4 compound op #1/2: 22 (OP_PUTFH)
Apr 7 20:21:49 vagrant-ubuntu-trusty-64 kernel: [73465.567915] nfsd: fh_verify(36: 01070001 001c0002 00000000 acf697e6 a847b405 c98a638b)
Apr 7 20:21:49 vagrant-ubuntu-trusty-64 kernel: [73465.567929] nfsv4 compound op ffff88003c2f6080 opcnt 2 #1: 22: status 0
Apr 7 20:21:49 vagrant-ubuntu-trusty-64 kernel: [73465.567932] nfsv4 compound op #2/2: 34 (OP_SETATTR)
Apr 7 20:21:49 vagrant-ubuntu-trusty-64 kernel: [73465.567938] nfsd: fh_verify(36: 01070001 001c0002 00000000 acf697e6 a847b405 c98a638b)
Apr 7 20:21:49 vagrant-ubuntu-trusty-64 kernel: [73465.567978] nfsv4 compound op ffff88003c2f6080 opcnt 2 #2: 34: status 22
什么是“状态 22”?为什么, 22 = EINVAL,无效参数,这是setxattr客户端返回的内容。不幸的是,它似乎没有揭示任何关于为什么该论点被认为无效的信息。
我尝试过的其他一些事情:
一种可能是服务器认为 ACL 格式错误。为了检查这一点,我使用了nfs4_setfacl -e .,它会在文本编辑器中打开现有的ACL 以进行操作。保存文件而不进行更改仍会生成一个 ACL,该 ACL 在Invalid argument应用时会导致结果。
用户 ID 映射是 NFSv4 的另一个常见问题。我已经验证用户 ID 是否正确排列,并且从 NFSv4 客户端的角度来看文件所有权/模式位是正确的。我还尝试通过Domain = localdomain在/etc/idmapd.conf两台服务器上设置来为 NFSv4 创建域,但没有效果。
如果您在基于 Linux 的 NFS 服务器上使用 NFSv4 ACL,我很想听听您的意见;我找到了很多关于设置 NFSv4 本身的教程(请参阅本篇文章顶部的链接),但几乎没有提到 ACL 的使用。