浏览
帮助
登录
此帖子已超过 5 年
Solved!
w_linux
16 消息
0
3648
2013年11月7日 01:00
两个关于NFS的问题:
(1)server_export的时候可以指定访问级别(主机级别控制),比如ro=, rw=, access=, root=, 不理解access=和root=是什么意思?
(2)用户控制如何配置?比如我mount VNX export的用户是我本机Linux上的一个用户AAA,如何让AAA mount VNX export之后能够有读写权限?(没有用NIS)
回复(7)
Jill_Lin
2 消息
2013年11月9日 20:00
ro和rw从字面上很好理解,但千万别相当然了。比如设置rw=client1,那么就说明client1有权读写,但其它客户端有什么权限吗?先入为主的想法是,除了client1有读写权限,其它没有指定的客户端都无法访问(不可读,不可写)。但事实是,其它客户端将有只读的访问权限。所以,还得根据文档来(附件page46),不能凭主观来判断。
有了上面的铺垫,就好理解为什么要有access了,通过组合ro,rw,access,才能做到更精确的控制。比如上面的例子,想让client1能读写,又不希望其它client能够访问,可以配置access=client1,而不是rw=client1。这就是为什么会有access这个访问级别的原因了,说到底,就是实现更多的排列组合,细粒度控制。
root也有些误区,不是说你配置了root=client1,client1就可以访问目标export。你必须配合其它访问级别来用,比如root=client1, rw=client1,这样client1才能够访问目标export,不同的是,client1上的用户将以root的身份进行访问,而不是当前登录的用户。
1个附件
docu31563_Configuring-NFS-on-VNX-7.0.pdf
Jeffey1
2 Intern
•
2.8K 消息
2013年11月7日 02:00
你好,对于你的问题我的回复如下:
(1)access表示赋予访问客户端接入权限,root表示赋予访问客户端根权限;
(2)用户访问权限在VNX上设置,访问客户端只要mount就可以了。设置请参考截图:
2013年11月7日 07:00
谢谢,不过我还是不太清楚你的回复。
如何理解“接入权限”?是可读,还是可写,还是可读又可写?那又与ro=和rw=有何区别?
(2)用户访问权限在VNX上设置,访问客户端只要mount就可以了。
这里是客户端主机级别的控制,不是用户级别的控制,我是想做用户级别的控制。
2013年11月7日 21:00
首先我解释一下ro,rw,access和root四种设置的区别:
ro:赋予指定客户端只读权限
rw:赋予指定客户端读写权限;
如果没有其它特别设置,其它所有客户端拥有只读权限。
access:赋予指定客户端访问权限;
其它所有客户端都不能访问。
root:通过为root=指定客户端,向export命令中所列的客户端提供root访问权限。设置root访问权限并不会向导出本身授予访问权限。将Root用户访问权限添加到其他权限中。
举几个例:
server_export lngbe245 –Protocol nfs –option sec=krb5:root=client1, sec=sys:ro /ufs1
表示:client1上的Root用户可以访问文件系统。如果root用户使用Kerberos安全进行身份验证,则授予读/写访问权限。如果该用户使用默认安全进行身份验证,则授予只读访问权限。
server_export lngbe245 –Protocol nfs –option sec=krb5:root=client1, sec=sys:access=client1 /ufs1
表示:使用Kerberos进行身份验证的所有客户端将授予读/写访问权限。client1的Root用户还授予包含root权限的访问权限。
server_export lngbe245 -Protocol nfs -option sec=krb5: access=client1,root=client2 /ufs1
表示:仅client1拥有该文件系统的访问权限。拒绝包括client2在内的所有其他客户端访问。要允许client2访问,它必须位于访问列表上。
问题二:用户级别控制
Linux下有三类用户:
Linux通过 /etc/passwd进行用户管理,
执行命令打开该文件: vi /etc/passwd
在此文件中只定义账号,不定义口令。一行定义一个用户,分为七个部分:
第一列为账号名称,
第二列为用户密码(密码不在此定义),
第三列为用户标识码(用户ID),用来确认用户身份
第四列为用户所在组的表示(用户组ID),
第五列为用户相关信息(如root),
第六列为用户家目录(/root),
第七列为用户的环境(用户使用的shell)
更多信息到百度去搜“linux 用户权限设置“查找相关文章。
2013年11月7日 22:00
这句没看明白,能举个例子吗?
另外,你关于用户控制说的东西我都知道,我想了解的是VNX上的具体设置。我的访问用户的ID是匹配CS上的/etc/passwd文件?这样说来,VNX-File的用户管理都是由CS来做的吧?
1
2013年11月9日 21:00
root和nasadmin都是CS本地的用户,自然是记录在/etc/passwd,less下这个文件就能看到。
2013年11月9日 22:00
这样说就清楚多了,感谢!我目前依然存在Linux访问VNX-File export的权限问题,用户只读不可写,切换成root就可读可写了,显然还是权限上的问题。我怀疑是UID/GID不匹配造成的,不过我的确创建了一个相同UID的用户,难道是GID不匹配?回去继续排查,你的解释至少排除了是访问级别的问题。
戴尔支持资源
查看更多
查看全部
Top
Jill_Lin
2 消息
0
2013年11月9日 20:00
ro和rw从字面上很好理解,但千万别相当然了。比如设置rw=client1,那么就说明client1有权读写,但其它客户端有什么权限吗?先入为主的想法是,除了client1有读写权限,其它没有指定的客户端都无法访问(不可读,不可写)。但事实是,其它客户端将有只读的访问权限。所以,还得根据文档来(附件page46),不能凭主观来判断。
有了上面的铺垫,就好理解为什么要有access了,通过组合ro,rw,access,才能做到更精确的控制。比如上面的例子,想让client1能读写,又不希望其它client能够访问,可以配置access=client1,而不是rw=client1。这就是为什么会有access这个访问级别的原因了,说到底,就是实现更多的排列组合,细粒度控制。
root也有些误区,不是说你配置了root=client1,client1就可以访问目标export。你必须配合其它访问级别来用,比如root=client1, rw=client1,这样client1才能够访问目标export,不同的是,client1上的用户将以root的身份进行访问,而不是当前登录的用户。
1个附件
docu31563_Configuring-NFS-on-VNX-7.0.pdf
Jeffey1
2 Intern
2 Intern
•
2.8K 消息
0
2013年11月7日 02:00
你好,对于你的问题我的回复如下:
(1)access表示赋予访问客户端接入权限,root表示赋予访问客户端根权限;
(2)用户访问权限在VNX上设置,访问客户端只要mount就可以了。设置请参考截图:
w_linux
16 消息
0
2013年11月7日 07:00
谢谢,不过我还是不太清楚你的回复。
(1)access表示赋予访问客户端接入权限,root表示赋予访问客户端根权限;
如何理解“接入权限”?是可读,还是可写,还是可读又可写?那又与ro=和rw=有何区别?
(2)用户访问权限在VNX上设置,访问客户端只要mount就可以了。
这里是客户端主机级别的控制,不是用户级别的控制,我是想做用户级别的控制。
Jeffey1
2 Intern
2 Intern
•
2.8K 消息
0
2013年11月7日 21:00
首先我解释一下ro,rw,access和root四种设置的区别:
ro:赋予指定客户端只读权限
rw:赋予指定客户端读写权限;
如果没有其它特别设置,其它所有客户端拥有只读权限。
access:赋予指定客户端访问权限;
其它所有客户端都不能访问。
root:通过为root=指定客户端,向export命令中所列的客户端提供root访问权限。设置root访问权限并不会向导出本身授予访问权限。将Root用户访问权限添加到其他权限中。
举几个例:
server_export lngbe245 –Protocol nfs –option sec=krb5:root=client1, sec=sys:ro /ufs1
表示:client1上的Root用户可以访问文件系统。如果root用户使用Kerberos安全进行身份验证,则授予读/写访问权限。如果该用户使用默认安全进行身份验证,则授予只读访问权限。
server_export lngbe245 –Protocol nfs –option sec=krb5:root=client1, sec=sys:access=client1 /ufs1
表示:使用Kerberos进行身份验证的所有客户端将授予读/写访问权限。client1的Root用户还授予包含root权限的访问权限。
server_export lngbe245 -Protocol nfs -option sec=krb5: access=client1,root=client2 /ufs1
表示:仅client1拥有该文件系统的访问权限。拒绝包括client2在内的所有其他客户端访问。要允许client2访问,它必须位于访问列表上。
问题二:用户级别控制
Linux下有三类用户:
Linux通过 /etc/passwd进行用户管理,
执行命令打开该文件: vi /etc/passwd
在此文件中只定义账号,不定义口令。一行定义一个用户,分为七个部分:
第一列为账号名称,
第二列为用户密码(密码不在此定义),
第三列为用户标识码(用户ID),用来确认用户身份
第四列为用户所在组的表示(用户组ID),
第五列为用户相关信息(如root),
第六列为用户家目录(/root),
第七列为用户的环境(用户使用的shell)
更多信息到百度去搜“linux 用户权限设置“查找相关文章。
w_linux
16 消息
0
2013年11月7日 22:00
这句没看明白,能举个例子吗?
另外,你关于用户控制说的东西我都知道,我想了解的是VNX上的具体设置。我的访问用户的ID是匹配CS上的/etc/passwd文件?这样说来,VNX-File的用户管理都是由CS来做的吧?
Jill_Lin
2 消息
1
2013年11月9日 21:00
root和nasadmin都是CS本地的用户,自然是记录在/etc/passwd,less下这个文件就能看到。
w_linux
16 消息
0
2013年11月9日 22:00
这样说就清楚多了,感谢!我目前依然存在Linux访问VNX-File export的权限问题,用户只读不可写,切换成root就可读可写了,显然还是权限上的问题。我怀疑是UID/GID不匹配造成的,不过我的确创建了一个相同UID的用户,难道是GID不匹配?回去继续排查,你的解释至少排除了是访问级别的问题。