Megosztás kiajánlása NFS-sel windowson

Szükségünk volt arra, hogy linuxos szerverek a megosztásokat ne csak sambán keresztül érjék el, hanem NFS-en keresztül is. Korábban már néztem kicsit a Unix interoperablity témát a Windows Server R2-ben (fel is raktam a Subsystem for UNIX-based Applications komponenst, és natívban fordítottam Midnight Commandert windowsra;), de NFS-t még nem próbáltam. Szerencsére nem túl bonyolult, és van jó leírás is hozzá.

Hivatalos leírás: Services for Network File System in Microsoft Windows Server 2003 R2 és Microsoft Services for Network File System (pár dolog leírása vagy az egyikben vagy a másikban van csak:)

A leghasznosabb viszont: SFU blog, és innen pl. Set up Server for NFS in Windows Server 2003 R2

A hozzéféresek beállításainál volt egy kis gond, mert kicsit speciális környezetünk van: alapvetően nem felhasználók akartak hozzáférni, elég, ha a root és esetleg pár rendszergazda felhasználó fér hozzá, viszont a linuxos gépeken a felhasználói azonosítók nem voltak szinkronizálva (tehát a micskeiz nevű loginjaimnak az egyes gépeken tök más azonosítója van). A windowsos NFS-nek valahogy meg kell adni, hogy feleltesse meg az NFS kérésből jövő UID-t (user ID) egy windowsos felhasználónak, erre két mód van:

  • Active Directiry lookup: AD séma bővítés, és mindenfelhasználóhoz bekerül a UID-ja.
  • User Mapping Service: itt egy windowsos felhasználóhoz több UID-t is kapcsolhatunk. A UID-k listáját egy NIS szervertől veszi, vagy megadhatunk neki egy passwd és group fájlt is.

Sémát nem akartam bővíteni, így a User Mapping Service-nek megadtam az egyik gép passwd és group fájlját és a root-ot feleltettük meg egy windowsos adminnak. Ment is a dolog, csak még a tulajdonost kellett állítani chown-nal a linuxról, lásd az SFU-s blog bejegyzés utolsó részét.

Ez viszont nem a legjobb módszer, a gondom az, hogy az NFS semmi jelszót meg ilyesmit nem ellőriz, megbízik a kliensben, hogy az a hitelesítést már elvégezte és vakon felhasználja az általa küldött UID-t, ami nem túl biztonságos. Nézegettem az NFS howtot, hogy hátha ott mondanak valami okosat,  de ott is írják, hogy igen, ha a szerveren a 9999 Bob UID-ja, a kliensen meg Mary-é, akkor bizony Mary olvasgatni fogja Bob fájljait. Hát remek:) Még annyi van, hogy korlátozhatjuk, hogy milyen IP címekről férhetnek hozzá a megosztáshoz (mivel az IP-t lehet spoofolni, ez se túl nagy védelem szvsz). Ezt az nfsadmin paranccsal lehet megtenni a windowsos nfsben, nincs GUI rá:

C:\WINDOWS\msnfs>nfsadmin server addmembers linuxservers 192.168.1.1

Az utolsó két paramétert kell változtatni, az utolsó előtti egy tetszőleges név (client group), az utolsó pedig a linux gép IP-je. Arra figyeljünk, hogy az nfsadmin parancs nem kerül bele a path-ba, én keresgettem egy ideig:) Utána már csak a megosztott mappa tulajdonságainál az NFS fülön kell beállítani, hogy az ALL MACHINES alapértelmezett csoportnak ne legyen joga, az általunk létrehozottnak pedig igen.

Szóval egyszerű beállítani windowson is, de a biztonsága nem igen győzött meg, bár lehet, hogy én értek félre valamit vagy nem találtam meg valami új opciót. NFSv4-ben emlegetnek más authentikációs mechanizmusokat, de a honlapon nincs túl sok információ erről.

Advertisements
Kategória: Tech | Közvetlen link a könyvjelzőhöz.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s