ZFS auf Linux/ NFS - ZFS - Zugriffsrechte

NFS - ZFS - Zugriffsrechte

Bearbeiten

Berechtigungskonzept

Bearbeiten
  • Berechtigungen werden für jedes Dataset über zwei Nutzergruppen gesteuert (readers und writers).
  • Die Gruppen erhalten über ACLs die entsprechenden Berechtigungen.
  • Vorteile:
    • Berechtigungen im Dateisystem müssen nicht mehr geändert werden.
    • Nutzer müssen lediglich der entsprechenden Gruppe hinzugefügt werden.

Probleme

Bearbeiten

ACLs im ZFS

Bearbeiten

Problem

  • Per default werden die erweiterten Dateiattribute (xattr) und damit auch die ACLs in ZoL in versteckten Ordnern als reguläre Files abgespeichert.
  • Das senkt die Performance enorm und verursacht beim Löschen teilweise Probleme (Daten sind zwar nicht mehr da, aber Speicher im Pool wird nicht freigegeben).

Lösung

  • Die Art und Weise, in der die xattr abgespeichert werden, kann poolweit oder pro Dataset geändert werden.
  • Dieser Befehl sorgt dafür, dass die xattr direkt an den Inode gehängt werden: zfs set xattr=sa <Dataset>

NFSv4 ohne Kerberos

Bearbeiten

Problem

  • Wird NFSv4 ohne Kerberos verwendet, also mit der Option (sec=sys), kann es zu Problemen kommen, wenn ein Nutzer in mehr als 16 Gruppen ist.
  • Wenn Kerberos nicht verwendet wird, überträgt der Client die ersten 16 gidNumbers an den Server, der anhand dieser prüft, ob ein Nutzer in der entsprechenden Gruppe ist oder nicht.
  • Hat ein Nutzer mehr Gruppen, werden die mit der höchsten gidNumber ausgelassen.
  • Mit Kerberos tritt das Problem nicht auf, da in diesem Fall der idmapd[1] verwendet wird, um die Gruppenzugehörigkeiten serverseitig aufzulösen.

Lösung

  • Bis jetzt konnte für dieses Problem keine Lösung gefunden werden.