Dell Unity : Les hôtes NFS utilisant un groupe réseau ne peuvent pas se connecter au partage NFS. (Corrigible par Dell)

Implémentation de groupes réseau après la mise à niveau de Unity vers la version Unity :    4.0.1.8404134

L’hôte NFS ne peut pas accéder aux partages NFS Unity via des « netgroups ».  Le même hôte NFS peut se connecter directement aux partages NFS Unity via l’adresse IP du serveur NAS Unity ou via le nom d’hôte du serveur NAS Unity. Toutefois, si le même hôte NFS tente de se connecter au partage NFS du serveur NAS Unity via un « netgroup », cela entraîne une perte d’accès au partage NFS Unity.

Une alerte s’affiche sur l’interface utilisateur Unity Unisphere, dans la section « Alertes » : « Le service NIS (Network Information Service) configuré pour le serveur NAS n’a pas pu fournir les informations de mappage utilisateur et ne répond pas. Vérifiez la disponibilité du serveur NIS et assurez-vous que le nom de domaine et les adresses utilisés pour le serveur sont exacts.


»Une alerte similaire peut être affichée et observée via l’interface de ligne de commande Unity :

21:08:58 root@(none) spa:/home/service> uemcli /event/alert/hist show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    ID           = alert_804
      Time         = 2016-09-26 21:07:59.088
      Message      = NAS server n125d061: There is no NIS server on-line for the domain nb-engr.
      Description  = "The Network Information Service (NIS) configured for the NAS server was unable to provide user mapping information and is not responding. Check the availability of the NIS server, and ensure that the domain name and addresses used for the server are accurate."
      Severity     = error
      Acknowledged = no

2:    ID           = alert_803
      Time         = 2016-09-26 21:07:44.102
      Message      = NAS server n125d061: There is no NIS server on-line for the domain nb-engr.
      Description  = "The Network Information Service (NIS) configured for the NAS server was unable to provide user mapping information and is not responding. Check the availability of the NIS server, and ensure that the domain name and addresses used for the server are accurate."
      Severity     = error
      Acknowledged = no

3:    ID           = alert_802
      Time         = 2016-09-26 21:07:29.174
      Message      = NAS server n125d061: There is no NIS server on-line for the domain nb-engr.
      Description  = "The Network Information Service (NIS) configured for the NAS server was unable to provide user mapping information and is not responding. Check the availability of the NIS server, and ensure that the domain name and addresses used for the server are accurate."
      Severity     = error
      Acknowledged = no


Une vérification permettant de déterminer si rpc.d est en cours d’exécution sur le serveur NAS Unity indique que : rpc.mountd, rpc,nfsd, et rpc.portmapper sont en cours d’exécution.

root@spa:/cores/service>/sbin/rpcinfo -p 10.#.#.##
   program vers proto   port  service
    100000    4   udp    111  portmapper
    100000    3   udp    111  portmapper
    100000    2   udp    111  portmapper
    100000    4   tcp    111  portmapper
    100000    3   tcp    111  portmapper
    100000    2   tcp    111  portmapper
    100003    4   tcp   2049  nfs
    100005    1   udp   1234  mountd
    100005    2   udp   1234  mountd
    100005    3   udp   1234  mountd
    100005    1   tcp   1234  mountd
    100005    2   tcp   1234  mountd
    100005    3   tcp   1234  mountd
    100003    3   tcp   2049  nfs
    100021    4   tcp   4001  nlockmgr
    100021    1   tcp   4001  nlockmgr
    100021    2   tcp   4001  nlockmgr
    100021    3   tcp   4001  nlockmgr
    100024    1   tcp   4000  status
    100003    3   udp   2049  nfs
    100021    4   udp   4001  nlockmgr
    100021    1   udp   4001  nlockmgr
    100021    2   udp   4001  nlockmgr
    100021    3   udp   4001  nlockmgr
    100024    1   udp   4000  status
 536870914    2   tcp   4658
 536870914    2   udp   4658
 824395111    1   udp  39850
 824395111    1   tcp  50600
    102660    1   tcp  37185
    102660    1   udp  52008


De même, la vérification de l’état de « rpc.d » à partir de l’hôte NFS, pointant vers le serveur NAS Unity, indique également que :
rpc.mountd, rpc,nfsd, et rpc.portmapper sont en cours d’exécution sur le serveur NAS Unity

bash-2.03# rpcinfo -p 10.#.#.#0
   program vers proto   port  service
    100000    4   udp    111  portmapper
    100000    3   udp    111  portmapper
    100000    2   udp    111  portmapper
    100000    4   tcp    111  portmapper
    100000    3   tcp    111  portmapper
    100000    2   tcp    111  portmapper
    100003    4   tcp   2049  nfs
    100005    1   udp   1234  mountd
    100005    2   udp   1234  mountd
    100005    3   udp   1234  mountd
    100005    1   tcp   1234  mountd
    100005    2   tcp   1234  mountd
    100005    3   tcp   1234  mountd
    100003    3   tcp   2049  nfs
    100021    4   tcp   4001  nlockmgr
    100021    1   tcp   4001  nlockmgr
    100021    2   tcp   4001  nlockmgr
    100021    3   tcp   4001  nlockmgr
    100024    1   tcp   4000  status
    100003    3   udp   2049  nfs
    100021    4   udp   4001  nlockmgr
    100021    1   udp   4001  nlockmgr
    100021    2   udp   4001  nlockmgr
    100021    3   udp   4001  nlockmgr
    100024    1   udp   4000  status
 536870914    2   tcp   4658
 536870914    2   udp   4658
 824395111    1   udp  39850
 824395111    1   tcp  50600
    102660    1   tcp  37185
    102660    1   udp  52008 


L’hôte NFS est en mesure de se connecter (monter) avec succès au partage NFS du serveur NAS Unity via l’adresse IP de Unity et via le nom d’hôte du serveur NAS Unity, mais après que l’utilisateur tente de connecter l’hôte NFS au partage NAS Unity via « netgroup », il échoue avec : 


bash-2.03# showmount -e  10.#.#.#0
export list for 10.#.#.#0:
/steventestfs    (everyone)
stevetestshare (everyone)
/tejasshare     n#-e###-a##,10.#.#.##1/255.255.255.255,10.#.#.##/255.255.255.255


bash-2.03# mount  10.#.#.#0:/tejasshare /mwtest/
nfs mount: 10.#.#.#0:/tejasshare: server not responding : RPC: Timed out
nfs mount: retrying: /mwtest
nfs mount: 10.#.#.#0:/tejasshare: server not responding : RPC: Timed out

 

Unity abandonne les réponses Legal YP MATCH sous la forme « host.byaddr ».  Unity utilise un « pare-feu » interne strict qui supprime les paquets réseau.  Le conteneur du serveur NAS Unity n’autorise pas les datagrammes envoyés par le serveur NIS lorsque ce dernier utilise une valeur de port différente de celle renvoyée dans les demandes « PORTMAP » pour son port source.  

La stratégie de pare-feu interne par défaut de Unity consiste à :DROP si aucune règle ne correspond. Ainsi, tous les ports aléatoires correspondent beaucoup à la règle « -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ».

Un correctif logiciel Unity est en cours de développement. Actuellement suivi via AR Number 858778. Contactez le support technique Dell-EMC pour obtenir des mises à jour concernant le correctif de code.


En attendant, nous avons une solution de contournement.  La solution de contournement nécessite une modification des chaînes IP.

connectez-vous à Unity et injectez Root.

ajoutez une règle dans la zone client pour accepter n’importe quel paquet udp des serveurs NIS.  Après l’ajout de la règle, le NIS devrait fonctionner. Il ne s’agit pas vraiment d’une solution permanente, mais d’une solution de contournement, vérifiez le numéro AR 858778 pour un correctif logiciel.

Pour ajouter :

iptables -A IN_DATA -p udp -s <ip address of the NIS server> -j ACCEPT

faites la commande ci-dessus pour chacune des adresses IP des serveurs NIS, puis vous pouvez confirmer que les groupes réseau fonctionnent, vous pouvez ensuite exécuter la commande suivante pour supprimer.

Pour supprimer :
iptables -D IN_DATA -p udp -s <ip address of the NIS server> -j ACCEPT


exemple :

   root@spa:/cores/service>iptables -S IN_DATA
   -N IN_DATA
   -A IN_DATA -p tcp -m tcp --dport 445 -j ACCEPT
   ....
   -A IN_DATA -i eve_br0 -p udp -m multiport --dports 22 -j ACCEPT
   -A IN_DATA -s 10.#.#.##/32 -p udp -j ACCEPT
   -A IN_DATA -s 10.#.#.##/32 -p udp -j ACCEPT