pareil que kp2 ! quand tu as des nouvelles, mets les en ligne ça m’intéresse !
sinon si vous avez un flux rss de news quelque part, ça m’intéresse aussi, et c’est plus pratique pour moi.
sinon j’ai un peu lu la doc :
- j’aime beaucoup le système de root directory, en particulier la possibilité de suivre des liens symboliques, cela permet de donner des noms “symboliques” aux ressources !
- pour ce qui es de l’authentification, le mapping des idées c’est bien, mais si j’ai bien compris, ça permet de mapper des uid entre eux, donc seulement dans un réseau de confiance. Il faut que j’approfondisse plus le système kerberos pour voir s’il permet de mapper une connection, quelque soit l’uid, sur un seul uid du server nfs. (désolé, mais je suis pas administrateur réseau… sauf chez moi… donc j’apprends à mon rythme et je ne connais pas toutes les bases.)
- je n’ai rien vu sur les umask. est-il possible de spécifier, pour chaque export quel umask utilier ? je souhaiterai mettre 022 par défaut et 007 ou 000 sur quelques uns.
NFSv4
Etat au 15/02/2006
fonctions implentées dans le noyau vanilla (2.6.15)
- Opérations de systèmes de fichier de base : ok
- Locks (POSIX byte-range locking) : ok
- Securisation kerberos 5 (krb5,krb5i, krb5p) : ok
- Server reboot recovery (client) : ok
- server reboot recovery (server) : ok
- ACL POSIX : ok
- ACL NFSv4 : ok
- délégation : ok
- NFSv4 sur internet : ok
- Interopérablité (Unix/Windows/32bits/64bits : ok
- support IPv6 client : okfonctions en cours d’implémentation ou en phase de test
Noyau 2.6.16 + patches CITI
- Securisation SPKM : en cours
- Negociation de la sécurité : en cours
- Migration/réplication de serveurs : en cours
- auto mount : en cours
- support IPv6 serveur : en coursFonctions à implémenter
- Attributs nommés : à faire
- Sécurisation LIPKEY : à faire
moi1392:
Les flux rss :
http://nfsv4.bullopensource.org/
(Ca parle surtout de l’état d’avancement et des tests effectués)
L’utilisation de Kerberos change complètement le système traditionnel d’uid.
Une machine de confiance (quelque soit sa localisation) à une clef privée.
Si la machine peut s’autentifier auprès du serveur kerberos avec cette clef, alors un utilisateur est attribué, mais cet utilisateur n’est connu que de kerberos.
Par exemple l’utiliasteur root sur une machine ayant la clef privée XYZ va s’autentifier auprès du serveur kerberos (avec mot de passe/jetons)
Kerberos donnera la correspondance clef XYZ = utilisateur toto
donc le montage sur le serveur NFS se fera avec les droit sde l’utilisateur toto.
(On peut avoir le même comportement avec SPKM : ce sont des certificats)
Sur umask, je vais me renseigner car je ne l’ai jamais utilisé. :paf:
Quel est le but ?
Edit : je ne comprends pas le rôle que peut avoir umask avec un idmapper ???
pour le umask le but est simple. partager des données pour un group, je m’explique :
actuellement, sur mon serveur, j’ai un apache et je partage le root de mon www par nfs pour pouvoir le modifier.
Nous sommes 2 à l’utiliser, actuellement, j’oblige les user à être dans le groupe www-data pour pouvoir écrire dans la partition et j’ai mis le bit set gid pour que tous les fichier appartiennent à ce groupe.
Seulement voila, le problème est que par défaut, l’umask est à 022 sur cette machine, et je ne veux pas le changer. alors quand un user crée un fichier dessus, il est automatiquement en rw-r–r-- et donc les autres personnes du groupe www-data ne peuvent pas écrire dessus.
Une solution consiste à utiliser des acl avec une politique par défaut (default policy) sur ce répertoire. mais les acl gèrent les dossiers et les fichiers de la même façon, je suis donc obligé de mettre les droits en execution pour pouvoir entrer dans les dossiers et donc mes fichiers sont tous executable… ce qui n’est pas l’idéal.
Donc la solution ultime serait de pouvoir spécifier un umask de 00x spécialement pour ce partage (samba le permet)
PS : j’ai le même problème de droits sur un repository cvs auquel je souhaite que les utilisateurs accèdent par ssh. Je voudrait en parler sur une mailing list ou un channel irc de développeurs acl posix sur ext3 mais impossible d’en trouver un. Est-ce que quelqu’un pourrait m’aiguiller ?
Tu peux passer le umask que tu veux lors du montage - ca résoud le problème je pense ? (Ca marche avec toutes les versions de nfs)
mount -t nfs4 umask=022 serveur:/ /repertoire/
Je vais voir si il est utile de le mettre directement dans l idmapper ?
*** je suis un imbécile :pt1cable: ***
effectivement, on peut mettre celui qu’on veut au montage !
Note : dans un contexte plus sécurisé, peut-être que le forcer du coté serveur peut-être intéressant, mais plutot dans l’autre sens (retirer des permissions au lieu d’en ajouter).
Ne me demande pas de cas pratique, je n’en ai pas pour l’instant… à part peut-être eviter d’avoir des fichiers en execution si peut-être on pourrait profiter d’une faille d’un autre service pour les lancer…
bon, reste plus qu’a résoudre le problème pour cvs et j’aurais presque tout ce que je veux avec mon serveur !
merci bien :jap:
Pour la sécurisation, je pense que ça pourrait être fait pour interdire (par exemple) à des fichiers exportés ET créés par les utilisateurs d’être exécutables.
Je pense que le mieux dans ce cas est de passer par des ACL ?
oui, autan se servir des acl présentes dans le systeme de fichier plutot que de les réimplémenter !
Mais comme je l’ai dit, c’était juste une idée en l’air et tu as bien plus bossé que moi sur le sujet pour avoir une vision plus claire et globale de la situation !
et est ce que les paquets compilés sont dispos pour les FC, mandrake, et consorts (et accessibles via apt-get, emerge, yum, etc…) ?
Avez-vous implanté une interface graphique ?
-> Paquets compilés : oui, ça vient avec le noyau, et les outils utilisateurs des distributions récentes sont adaptés (notament suse 10, mdv 2006 … )
Des paquets Debian sont également dispos :
http://www.citi.umich.edu/projects/nfsv4/l…user-build.html
(je pense qu’ils datent un peu, mais bon … )
Comme je le précisais précédement le support "officiel" par les distributions sera fait en Juillet.
Pour l’interface : il y a des modules Webmin et Nagios que l’on a fait.
(Des interfaces de configuration du serveur intégrées à KDE ou Gnome pourraient être interressantes, mais ce n’est pas une priorité, l’objectif est clairement l’entreprise)