ZFS auf Linux/ NFS - ZFS - Zugriffsrechte
NFS - ZFS - Zugriffsrechte
BearbeitenBerechtigungskonzept
Bearbeiten- Berechtigungen werden für jedes Dataset über zwei Nutzergruppen gesteuert (readers und writers).
- Die Gruppen erhalten über ACLs die entsprechenden Berechtigungen.
- Vorteile:
- Berechtigungen im Dateisystem müssen nicht mehr geändert werden.
- Nutzer müssen lediglich der entsprechenden Gruppe hinzugefügt werden.
Probleme
BearbeitenACLs im ZFS
BearbeitenProblem
- Per default werden die erweiterten Dateiattribute (xattr) und damit auch die ACLs in ZoL in versteckten Ordnern als reguläre Files abgespeichert.
- Das senkt die Performance enorm und verursacht beim Löschen teilweise Probleme (Daten sind zwar nicht mehr da, aber Speicher im Pool wird nicht freigegeben).
Lösung
- Die Art und Weise, in der die xattr abgespeichert werden, kann poolweit oder pro Dataset geändert werden.
- Dieser Befehl sorgt dafür, dass die xattr direkt an den Inode gehängt werden: zfs set xattr=sa <Dataset>
NFSv4 ohne Kerberos
BearbeitenProblem
- Wird NFSv4 ohne Kerberos verwendet, also mit der Option (sec=sys), kann es zu Problemen kommen, wenn ein Nutzer in mehr als 16 Gruppen ist.
- Wenn Kerberos nicht verwendet wird, überträgt der Client die ersten 16 gidNumbers an den Server, der anhand dieser prüft, ob ein Nutzer in der entsprechenden Gruppe ist oder nicht.
- Hat ein Nutzer mehr Gruppen, werden die mit der höchsten gidNumber ausgelassen.
- Mit Kerberos tritt das Problem nicht auf, da in diesem Fall der idmapd[1] verwendet wird, um die Gruppenzugehörigkeiten serverseitig aufzulösen.
Lösung
- Bis jetzt konnte für dieses Problem keine Lösung gefunden werden.