Re: ACL Posix sur NFS
Bonsoir, J'essaye en vain de comprendre le principe de fonctionnement des ACL posix sur NFS, dans le but de partager un répertoire depuis un serveur entre différents utilisateurs, de façon la plus transparente possible. Je suis désolé de déterrer ce vieux fil, mais je viens à l'instant de rattraper mon retard de lecture des changelogs du noyau, et je viens de voir cela dans celui du kernel 2.6.13-rc1 : commit b7fa0554cf1ba6d6895cd0a5b02989a26e0bc704 Author: Andreas Gruenbacher [EMAIL PROTECTED] Date: Wed Jun 22 17:16:27 2005 + [PATCH] NFS: Add support for NFSv3 ACLs This adds acl support fo nfs clients via the NFSACL protocol extension, by implementing the getxattr, listxattr, setxattr, and removexattr iops for the system.posix_acl_access and system.posix_acl_default attributes. This patch implements a dumb version that uses no caching (and thus adds some overhead). (Another patch in this patchset adds caching as well.) Signed-off-by: Andreas Gruenbacher [EMAIL PROTECTED] Acked-by: Olaf Kirch [EMAIL PROTECTED] Signed-off-by: Andrew Morton [EMAIL PROTECTED] Signed-off-by: Trond Myklebust [EMAIL PROTECTED] commit a257cdd0e2179630d3201c32ba14d7fcb3c3a055 Author: Andreas Gruenbacher [EMAIL PROTECTED] Date: Wed Jun 22 17:16:26 2005 + [PATCH] NFSD: Add server support for NFSv3 ACLs. This adds functions for encoding and decoding POSIX ACLs for the NFSACL protocol extension, and the GETACL and SETACL RPCs. The implementation is compatible with NFSACL in Solaris. Signed-off-by: Andreas Gruenbacher [EMAIL PROTECTED] Acked-by: Olaf Kirch [EMAIL PROTECTED] Signed-off-by: Andrew Morton [EMAIL PROTECTED] Signed-off-by: Trond Myklebust [EMAIL PROTECTED] http://kernel.org/pub/linux/kernel/v2.6/testing/ChangeLog-2.6.13-rc1 Il s'agit de la suite des patches disponibles sur http://acl.bestbits.at/nfsacl/ qui a été intégrée aux sources officielles. En attendant, j'avais choisi d'utiliser les patches dispos sur http://client.linux-nfs.org, le problème étant de devoir appliquer l'intégralité des patches (ou de gérer les dépendances soi-même, mais je ne me suis pas lancé dans cette histoire). @++ Julien signature.asc Description: This is a digitally signed message part
Re: ACL Posix sur NFS
Bonjour, Julien Valroff a écrit : Le vendredi 20 mai 2005 à 19:40 +0200, Tony GALMICHE a écrit : ma connaissance, la meilleure façon de faire des partages avec le support des acl est encore d'utiliser samba, même s'il n'y aucun poste Windows sur le réseau. C'est la réponse que je craignais ! Je n'ai aucune envie de mettre en place ce protocole auquel je n'ai toujours rien compris et qui serait sur-dimensionné pour mon réseau. Je ne comprend pas ce que tu entends par sur-dimensionné. Samba fonctionne très bien même pour deux postes. A partir du moment que tu veux avoir le support des acl, cela signifie que tu demandes des fonctionnalités avancées. En tout cas NFS dans ça version actuelle n'est pas aussi performant que SMB à tout point de vue. La nouvelle version de NFS est encore très instable et il n'est même pas sure qu'elle apporte autant de fonctionnalités que Samba. Ca m'étonne quand même qu'il n'y ait pas mieux (pour mon cas personnel, je ne lance pas de troll non plus). Je me laisse tenter à essayer shfs (pour le moment, pas concluant du tout, dès que je monte un fs, nautilus plante !) Je vous tiens au courant ;-) Je ne vois pas trop comment tu peux partager des fichiers avec shfs, mais si tu trouves ça m'intéresse juste par curiosité :-) Tony -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Re: ACL Posix sur NFS
Bonjour, Bonjour Julien Valroff a écrit : Le vendredi 20 mai 2005 à 19:40 +0200, Tony GALMICHE a écrit : ma connaissance, la meilleure façon de faire des partages avec le support des acl est encore d'utiliser samba, même s'il n'y aucun poste Windows sur le réseau. C'est la réponse que je craignais ! Je n'ai aucune envie de mettre en place ce protocole auquel je n'ai toujours rien compris et qui serait sur-dimensionné pour mon réseau. Je ne comprend pas ce que tu entends par sur-dimensionné. Samba fonctionne très bien même pour deux postes. A partir du moment que tu veux avoir le support des acl, cela signifie que tu demandes des fonctionnalités avancées. [...] Fonctionnalités avancées si l'on veut, je souhaite juste pouvoir avoir sur mon serveur de fichiers un répertoire sur lequel des utilisateurs définis peuvent avoir tous les droits sur tous les fichiers afin de faciliter les échanges de documents, le travail collaboratif etc. Ca ne me parait pas être si avancé que cela... Quand je dis que Samba est sur-dimensionné, c'est surtout que j'ai déjà des exports NFS en place, que je ne souhaite pas modifier, et ajouter un serveur Samba me paraît beaucoup pour si peu : 2 protocoles pour le simple partage de fichiers, tu avoueras que c'est lourd. Mais je rappelle que c'est un pont de vue personnel, et que je suis tout à fait d'accord avec toi quand tu parles des possibilités de Samba face à celles de NFS (mais j'avoue être assez ignare dans les deux cas). Et puis, ça tourne au défi personnel, je n'aime pas m'arrêter en si bon chemin. Je ne vois pas trop comment tu peux partager des fichiers avec shfs, mais si tu trouves ça m'intéresse juste par curiosité :-) Je cherche aussi ;-) Je n'ai pas cherché plus loin car j'avance peu à peu avec NFS v3 (!!) : en fait, si j'ai bien compris mes différentes lectures, NFS v3 ne supporte pas les ACL Posix, mais puisque celles-ci sont définies sur le serveur, ça ne pose que quelques problèmes pratiques - qui empêchent tout de même leur utilisation, mais cela ne tient qu'à quelques petites rustines : http://client.linux-nfs.org/Linux-2.6.x/2.6.12-rc3/ et en particulier http://client.linux-nfs.org/Linux-2.6.x/2.6.12-rc3/linux-2.6.12-28-nfsacl_umask_client_workaround.dif Pour expliquer le problème, voici un exemple : J'ai un répertoire /home/partage avec les droits suivants : #ll -d /home/partage/ drwxrwsr-x+ 2 root users 4096 2005-05-21 18:01 /home/partage/ et les ACL posix suivantes : #getfacl /home/partage/ getfacl: Removing leading '/' from absolute path names # file: home/partage # owner: root # group: users user::rwx user:toto:rwx user:titi:rwx group::r-x mask::rwx other::r-x default:user::rwx default:user:toto:rwx default:user:titi:rwx default:group::r-x default:mask::rwx default:other::r-x Donc dans ce cas, en local, tout fonctionne : toto et titi peuvent créer, modifier, supprimer des fichiers (même ceux dont ils ne sont pas propriétaires). Lorsque, par exemple, toto créé un fichier en local, voilà les droits : $touch test.acl $ll test.acl -rw-rw-r--+ 1 toto users 0 2005-05-21 18:33 test.acl Et tout va pour le mieux dans le meilleur des mondes. Par contre, à distance, lorsque toto créé un fichier à travers le montage NFS (que ce soit en console ou avec nautilus) et que je vérifie les droits sur le serveur : #ll test2.acl -rw-r--r--+ 1 toto users 0 2005-05-21 18:34 test2.acl Les umask sont pourtant les mêmes sur le serveur et le client (0022) et ne permettent donc pas d'avoir un mask suffisant : #getfacl test2.acl # file: test2.acl # owner: toto # group: users user::rw- user:toto:rwx #effective:r-- user:titi:rwx#effective:r-- group::r-x #effective:r-- mask::r-- other::r-- Je vais donc compilé un noyau 2.6.12-rc4 patché sur une machine de tests et vérifier que tout fonctionne. J'espère avoir bien compris, corrigez-moi si je me trompe dans mes théories ;-) @++ Julien -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ACL Posix sur NFS
Bonsoir, Julien Valroff a écrit : Bonsoir, J'essaye en vain de comprendre le principe de fonctionnement des ACL posix sur NFS, dans le but de partager un répertoire depuis un serveur entre différents utilisateurs, de façon la plus transparente possible. [...] Je ne me suis pas fait à l'idée d'attendre nfs v4 pour implémenter mon partage de fichiers. Je suis certain qu'il existe mieux que cela (j'attends vos commentaires sur ce point), mais la seule solution que j'ai trouvée est... ssh Un lanceur sur le bureau Gnome des utilisateurs, et c'est transparent (identification par clés), et les ACL sont respectées. Mais cela fait un peu bidouille, qu'en pensez-vous ? D'ailleurs, pour ma culture personnelle, sshfs supporte-t-il les ACL ? Merci par avance pour vos idées et réactions ! A ma connaissance, la meilleure façon de faire des partages avec le support des acl est encore d'utiliser samba, même s'il n'y aucun poste Windows sur le réseau. - Et je jure que ce n'est pas un troll :-) Tony -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ACL Posix sur NFS
Le vendredi 20 mai 2005 à 19:40 +0200, Tony GALMICHE a écrit : Bonsoir, Julien Valroff a écrit : Bonsoir, J'essaye en vain de comprendre le principe de fonctionnement des ACL posix sur NFS, dans le but de partager un répertoire depuis un serveur entre différents utilisateurs, de façon la plus transparente possible. [...] Je ne me suis pas fait à l'idée d'attendre nfs v4 pour implémenter mon partage de fichiers. Je suis certain qu'il existe mieux que cela (j'attends vos commentaires sur ce point), mais la seule solution que j'ai trouvée est... ssh Un lanceur sur le bureau Gnome des utilisateurs, et c'est transparent (identification par clés), et les ACL sont respectées. Mais cela fait un peu bidouille, qu'en pensez-vous ? D'ailleurs, pour ma culture personnelle, sshfs supporte-t-il les ACL ? Merci par avance pour vos idées et réactions ! A ma connaissance, la meilleure façon de faire des partages avec le support des acl est encore d'utiliser samba, même s'il n'y aucun poste Windows sur le réseau. C'est la réponse que je craignais ! Je n'ai aucune envie de mettre en place ce protocole auquel je n'ai toujours rien compris et qui serait sur-dimensionné pour mon réseau. Ca m'étonne quand même qu'il n'y ait pas mieux (pour mon cas personnel, je ne lance pas de troll non plus). Je me laisse tenter à essayer shfs (pour le moment, pas concluant du tout, dès que je monte un fs, nautilus plante !) Je vous tiens au courant ;-) - Et je jure que ce n'est pas un troll :-) Pourtant c'est vendredi ! Plus sérieusement, Samba est à mon avis très puissant, mais aussi très complexe (enfin, pas Samba, le(s) protocole(s) qu'il gère), et sans doute trop puissant pour de petits réseaux 100% *nix comme le mien. Merci en tout cas pour ton avis Qu'en pensent les autres ? @++ -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ACL Posix sur NFS
Bonsoir, J'essaye en vain de comprendre le principe de fonctionnement des ACL posix sur NFS, dans le but de partager un répertoire depuis un serveur entre différents utilisateurs, de façon la plus transparente possible. [...] Je ne me suis pas fait à l'idée d'attendre nfs v4 pour implémenter mon partage de fichiers. Je suis certain qu'il existe mieux que cela (j'attends vos commentaires sur ce point), mais la seule solution que j'ai trouvée est... ssh Un lanceur sur le bureau Gnome des utilisateurs, et c'est transparent (identification par clés), et les ACL sont respectées. Mais cela fait un peu bidouille, qu'en pensez-vous ? D'ailleurs, pour ma culture personnelle, sshfs supporte-t-il les ACL ? Merci par avance pour vos idées et réactions ! Julien -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ACL Posix sur NFS
Le mercredi 18 mai 2005 à 07:19 +0200, Jean-Yves LENHOF a écrit : Le mardi 17 mai 2005 à 23:27 +0200, Julien Valroff a écrit : Bonsoir, J'essaye en vain de comprendre le principe de fonctionnement des ACL posix sur NFS, dans le but de partager un répertoire depuis un serveur entre différents utilisateurs, de façon la plus transparente possible. [...] Il faut être en NFS v4 pour supporter les ACLs d'après ce que j'en comprends...et pour le moment cela ne semble pas être encore vraiment être de la production.. Qq liens : http://www.citi.umich.edu/projects/nfsv4/linux/NFSv4_server_priorities.html http://linux-nfs.org/ Merci pour ces liens. En effet, je comprends la même chose que toi. Alors, quelle est la solution pour partager en lecture/écriture un dossier par NFS ? @+ Julien -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ACL Posix sur NFS
Le mardi 17 mai 2005 à 23:27 +0200, Julien Valroff a écrit : Bonsoir, J'essaye en vain de comprendre le principe de fonctionnement des ACL posix sur NFS, dans le but de partager un répertoire depuis un serveur entre différents utilisateurs, de façon la plus transparente possible. Pour le moment, tout fonctionne en local sur le serveur: Je désire partager le répertoire /home/partage avec tous les membres du groupe users (lecture/écriture/modification des fichiers - même ceux appartenant aux autres utilisateurs). Pour cela, les droits sur ce répertoire sont positionnés comme suit : drwxrwsr-x+ 5 root users 4096 2005-05-17 23:17 /home/partage/ (le bit guid de façon à ce que les fichiers créés aient ce groupe par défaut) J'ai positionné les acl de la façon suivante : # file: home/partage # owner: root # group: users user::rwx group::rwx group:users:rw- mask::rwx other::r-x default:user::rwx default:group::rwx default:group:users:rw- default:mask::rwx default:other::r-x Depuis les clients (tous sous Sarge, kernel 2.6), ce n'est malheureusement pas le cas : * je peux supprimer (mais pas modifier) les fichiers créés par un autre utilisateur * je ne peux rien faire d'autre que lister les dossiers créés par d'autres (pas de droit d'écriture) Je précise que les utilisateurs de tous mes clients font bien partie du groupe users. Je vois [1]ici et [2]là qu'il est question de patches divers pour faire fonctionner les ACL posix sur un point de montage nfs, mais aucune doc ne me permet de comprendre à quoi servent exactement ces patches, et surtout, à quoi il faut les appliquer (noyau, celui du serveur ou des clients ? nfs-utils ? etc...) Je viens de passer le serveur en 2.6.11.9, je n'ai appliqué que grsecurity aux sources de kernel.org. Avez-vous une petite idée ? Une documentation claire sur laquelle je peux me baser ? Merci par avance ! Julien [1] http://www.linuxfrench.net/article.php3?id_article=1463 [2] http://acl.bestbits.at/nfsacl/ Il faut être en NFS v4 pour supporter les ACLs d'après ce que j'en comprends...et pour le moment cela ne semble pas être encore vraiment être de la production.. Qq liens : http://www.citi.umich.edu/projects/nfsv4/linux/NFSv4_server_priorities.html http://linux-nfs.org/ Cdlt, /JYL -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
