Wie geht ihr mit NFS Gruppenlimit um? Gibts ne Loesung?

Michael Zoet Michael.Zoet at michaelzoet.de
Mit Apr 2 22:09:42 BST 2008

Vorherige Nachricht: Wie geht ihr mit NFS Gruppenlimit um? Gibts ne Loesung?
Nächste Nachricht: The revocation certificate could not be created.
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Ich hoffe das mir irgendjemand wieder sprechen wird ;-):
>
> NFS (AUTH_SYS) hat ein Limit von 16 (!!) Gruppen, die bei der
> Zugriffskontrolle als GIDs übertragen werden. Sind es mehr, wird die
> Liste einfach auf die ersten 16 beschränkt.
>
Ja ist schon immer so bei NFS gewesen. Bestimmt schon seit 1980 oder
früher.
> Nun ist es so, dass es vom System her immer mehr Gruppen gibt, sodass
> dieses Limit extrem schnell erreicht ist. Will man sein System
> administrieren, und braucht man Zugriff auf die gängigen Geräte und
> Devices kommt man schon auf 17 Gruppen.
Vielleicht tröstet es dich: ich habe in einem Netz auch diese Problem.
>
> In meinem Fall kommen dann noch mindestens 6 weitere von unserem LAN
> hinzu, was aber schon "nicht mehr passt". Ich erhalte somit nur noch
> Zugriff, wenn ich der Owner der Datei / des Verzeichnisses bin.
>
> Wie geht Ihr mit der Situation um?
Hängt vom Netz ab. Meistens lösche ich die Benutzer aus unwichtigen
lokalen Unixgruppem wie floppy, audio usw. Geht natürlich nur wenn man
die entsprechende Hardware nicht braucht.
Man kann aber auch den NFS Server mit "find / -print -group
<GRUPPEN_NAME>" durchsuchen und schauen was alles diese Unixgruppe
benutzt und vielleicht das neu zuweisen. Das ist aber sehr
Zeitaufwendig und kann bei einem Update wieder kaputt gemacht werden.
Also nicht wirklich zu empfehlen und nur eine absolute Notlösung.
>
> Gibt es Work-Arounds?
- man kann POSIX ACLs benutzen. Die POSIX ACLs sind eine Erweiterung
zu den Standard Unix Zugriffberechtigungen. Siehe

man acl
man getfacl
man setfacl

Das Dateisystem muss allerdings mit der Option acl gemountet sein! Ich
finde die POSIX ACLs eine sehr schöne Sache und es ist ein bisschen
ähnlich wie die Windows Zugriffsberechtigungen. Eine der wenigen
Sachen die von Anfang an unter Windows NT (und folgende Versionen) gut
gelöst wurde ;-).
Die manpages zu POSIX ACLs sind sehr informativ!

- dann hat mir mal jemand gesagt das bei der Verwendung von Kerberos
diese Probleme nicht mehr auftreten. Allerdings ist Kerberos komplex
und ich habe es noch nicht im produktiven Einsatz angewendet. Aber auf
dieser Liste findet sich bestimmt jemand, der etwas dazu sagen kann.
>
> Es muss doch eine Lösung geben. Ohne ist NFS (mit AUTH_SYS) nicht mehr zu
> gebrauchen....
Viele Netze leben damit, schon seit Jahren!

Grüße,

Michael

Vorherige Nachricht: Wie geht ihr mit NFS Gruppenlimit um? Gibts ne Loesung?
Nächste Nachricht: The revocation certificate could not be created.
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]