NFS4 w/o Kerberos :名称映射工作，权限不起作用

Question

我只想在NFS4客户端和NFS4服务器之间“通过NFS4映射”，当每个客户端对于给定的用户名都有不同的uid时，w/o必须设置Kerberos。

情况:我的Linux机器(centos 7)访问各种NFS4服务器(运行centos 7)

• 不提供Kerberos或NIS或AD
• 服务器每个都有不同的dns域(都不同于我的linux框的DNS域)
• 服务器和我的linux客户机有不同步的uid(每个用户名"oracle“有不同的本地uid)
• echo N > /sys/module/nfsd/parameters/nfs4_disable_idmapping在服务器和客户端上完成
• 在客户端和服务器上启动名称映射守护进程rpcidmapd
• 客户端/etc/idmapd.conf为用户提供静态映射
• 安装为nfs4 (sec=sys，因为没有集中化的Kerberos/etc)工作
• ls -l显示“正确”的用户名和组名
• 但是权限被忽略了，我必须将world设置为访问/遍历/写入文件，为什么？

背景问题：

• 哪一方(客户端或服务器)应该从名称到id映射？
• 我的客户端上的idmapd.conf是否正确(例如远程NFS4服务器DNS域是eh.loc)：一般信息详细信息=7 映射方法=静态静态 oracle@eh.loc = oracle oinstall@eh.loc = oinstall dba@eh.loc = dba

Answer 1

与nfs id映射有很大的混淆。当字符串形式主体(如test@example.com )必须转换为数字id时使用的映射，反之亦然。例如，这是在执行ls -l时完成的。

但是，当您使用sec=sys挂载(显然是这样做)时，所有请求都会通过客户端的本地UID和UID进行身份验证。IOW，在触摸时，客户端进程的UID将是服务器上的文件所有者。实际上，要解决这个问题，idmapd+Kerberos组合是很棒的。

好吧，不是每个环境都可以运行Kerberos。您可以通过将所有请求从这些主机映射到单个uid/gid来强制执行单个uid。

/data 10.0.1.1(rw,all_squash,anonuid=123,anongid=456)