Вопрос или проблема
У меня есть система TrueNAS, к которой могут подключаться/монтироваться мои хосты; для записи они должны иметь действительный билет от моего KCM, но для чтения определенные точки монтирования должны быть доступны для чтения любым включенным хостом. Я попытался изменить свои правила ACL, чтобы соответствовать всем@ (everyone@) на чтение/перемещение, но это, похоже, не соответствует “другим”, что имеется в традиционном POSIX. Я думаю, что мне нужно эквивалентное для случая, когда пользователь: “никто”/неизвестный.
Ответ или решение
Для решения задачи, связанной с доступом NFS к 공유, защищённому Kerberos, важно учитывать несколько аспектов. Система TrueNAS поддерживает монтирование через NFS, и вы хотите обеспечить возможность чтения определённых точек монтирования для любых разрешённых хостов без необходимости наличия Kerberos-билета.
Вот подробный подход для решения этой задачи:
Факты:
- TrueNAS позволяет монтирование с помощью NFS.
- Для записи в NFS-сеансы требуется наличие действительного Kerberos-билета.
- Для возможности чтения определённых точек монтирования необходимо предоставить доступ определённым хостам без Kerberos-билета.
- Проблемы возникают при реализации прав доступа с помощью ACL, так как "everyone@" не соответствует "other" в традиционном POSIX.
Эмоции:
- Основная цель: предоставить доступ на чтение без дополнительных сложностей.
- Упрощение конфигурации доступа увеличит уровень удовлетворённости пользователей и облегчит администрирование.
Рациональные доводы:
-
Определение Access Control Lists (ACL): Проверьте и настройте правила ACL на вашем TrueNAS, чтобы убедиться, что параметр "everyone@" соответствует требуемым правам на чтение/перемещение. Возможно, потребуется использовать дополнительные атрибуты для обозначения анонимного доступа, аналогичного "nobody" в POSIX.
-
Настройка ‘AnonUID’ и ‘AnonGID’: В TrueNAS может быть опция для настройки UID и GID для анонимных пользователей, что позволит предоставить доступ хостам без Kerberos-билета. Использование этих параметров может помочь в маппинге для "other" в POSIX.
-
Политики экспорта NFS: Рассмотрите корректировку настроек экспортируемых точек NFS, чтобы обеспечить доступ только определённым хостам. Используйте файл
/etc/exports, чтобы управлять разрешением доступа на чтение для конкретных хостов или IP-адресов. -
Документация и совместимость: Ознакомьтесь с текущей документацией TrueNAS относительно поддержки Kerberos и ACL. Обновления ПО или патчи могут влиять на поведение системы.
-
Логирование и отладка: Включите логирование для выявления потенциальных проблем с доступом или неправильно настроенными правами.
Стимул:
Обеспечив простой доступ на чтение без лишней бюрократии, вы повысите производительность и удобство использования системы для сотрудников, сокращая количество обращений в службу поддержки. Выигрыш в административном времени и повышенное удобство использования представляют собой значительное преимущество.
Поддержание надёжной и удобной инфраструктуры доступа для хостов в системе TrueNAS через NFS требует гармоничной настройки всех перечисленных параметров. При правильной реализации вы сможете обеспечить необходимый уровень безопасности при одновременной доступности необходимых данных пользователям.