问题:
普通用户使用共享目录时的权限问题
之前做nfs共享目录都是给root用户使用,并且设置了no_root_squash,一直没思考过权限问题
信用卡压测时给anytxnv2用户使用nfs共享目录时发现 不能在目录里创建或者删除用户
解决办法两种
方法1
在服务端查看挂载文件夹的主和组
再查看uid和gid
去客户端执行命令,把客户端需要访问这个目录的用户 组id改成502
groupmod -g 502 anytxnv2
再用此用户访问已经没有问题
方法2
在服务端查看挂载文件夹的主和组
再查看uid和gid
修改配置文件
vim /etc/exports
/home/anytxnv2/batch/cardopen/ *(rw,sync,all_squash,anongid=502,anonuid=502)
服务器端执行命令更新配置文件
exportfs -rv
注意映射id的方法只有在all_squash配置下生效,测试时我设置的root_squash,一直不生效困扰了我很久
总结
两种方法都可以解决普通用户使用nfs共享目录带来的权限问题
方法1相对麻烦,但是更安全,可以实现指定某个普通用户访问共享目录
方法2操作最简单 但是有安全隐患 因为其他的普通用户如果可以进/home/anytxnv2/batch/cardopen文件夹 也可以删除添加文件
但是我这里共享目录在anytxnv2的家目录下 其他用户无法进来,所以没有这种隐患
原理简述
方法1
nfs会把客户端访问共享目录的用户做一个匹配映射,匹配的原则就是根据uid和gid,加入访问用户uid是1000,而恰好服务器端也有uid1000的用户,则会被映射成服务器端uid1000的用户权限,上文中我服务器端共享目录的权限是775 主用户是anytxnv2 用户uid和gid是502,所以我把所有客户端服务器需要访问共享目录的用户gid改成502后,再访问共享目录,会匹配到服务器端gid为502的用户组,既anytxnv2组,而此组对于共享目录有读写执行权限
方法2
NFS的用户映射方式还提供了另外的选项:all_squash,即所有的客户端请求到了服务端都会被当作匿名用户,如果直接修改参数,显然也不能解决问题,因为共享目录的权限是740,匿名用户是没有读写权限的。幸运的是,NFS有以下两个配置参数可以使用:
anonuid=
anongid=
因此最终配置如下,直接在服务器端指定所有访问进来的客户端用户UID和GID都给映射成502,既被映射为共享目录的主用户anytxnv2
vim /etc/exports
/home/anytxnv2/batch/cardopen/ *(rw,sync,all_squash,anongid=502,anonuid=502)