Ich habe auf einem Rechner 2 Benutzer A (uid 500) und B (uid 501) deren home-Verzeichnisse /home/A und /home/B per NFS freigegeben sind.
Ein anderer Rechner, benutzt von einem user, der auch A (uid 500) heisst, mountet nun diese beiden home-Verzeichnise, hat aber nur im home-Verzeichnis von user A Schreibrechte - wie kriege ich es hin, dass ich auch im home-Verzeichnis von user B Schreibrechte habe, ohne gleich ein "chmod a+w" zu machen???

Zweite Frage: So wie es aussieht wird der Client nur anhand der IP identifiziert - gibt es da eine sicherere Lösung für Freigaben Linux <-> Linux? Z.B. mit Passwort-Abfrage oderso?

nfs ist ein Netzwerksystem, welches davon ausgeht, daß es in einem "vertrauenswürdigen Netz" läuft. Die Authentifikation läuft ausschließlich über die user-id. Wenn also zwei user im Netz die gleiche id haben können beide auf die gegenseitige Verzeichnisse zugreifen.
Wenn du zwei usern schreibrechte geben willst würde ich sie in eine gemeinsamme Gruppe packen und der Gruppe in dem entsprechenden Verzeichnis schreibrechte geben.

ich finde NFS aus Sicherheitsgründen eigentlich unzumutbar, jeder mit ner knoppix cd kann sich nen entsprechenden User erzeugen und schon ist er verbunden!

Aber ich kenn keine wirkliche Alternative...

Aber ich kenn keine wirkliche Alternative...


du kannst dir ja mal OpenAFS ansehen => http://www.dfn-cert.de/infoserv/dib/dib-2002-03-OpenAFS/index.html


Gruß HL

von http://www.dfn-cert.de/infoserv/dib/dib-2002-03-OpenAFS/node25.html:
# Auf dem Server: Eine freie Partition für die Daten. Die Partition sollte mit einem Dateisystem konfiguriert sein. Unter Linux kann man hier ein beliebiges Dateisystem verwenden, unter anderen Unix-Systemen sollte das vom Hersteller unterstützte Standard-Dateisystem verwendet werden (also UFS ohne Logging für Sun, UFS für AIX, XFS für SGI). Eine Tabelle der möglichen Dateisysteme gibt http://grand.central.org/twiki/bin/view/AFSLore/SupportedConfigurations. Die Partition wird unter /vicepa gemountet.
# Auf dem Client: Eine freie Partition für den Cache, die 128 Megabyte groß oder größer ist. Hier ist ein unterstütztes Dateisystem zu verwenden (Linux: ext2 oder ext3, Sun: UFS ohne Logging, AIX: UFS oder JFS, SGI: XFS usw.). Die Partition wird unter /var/cache/vice gemountet.

Dann bräuchte ich ja erstmal zusätzliche Partitionen...

Also, es gibt optionen z.B. ueber ident glaub ich, die den NAMEN anstatt die UID aufloesen. ist aber nur ein workaround. Grundsaetzlich gilt, du solltest dir fuer lokale Benutzer einen anderen UID-Bereich waehlen, dann hast du solche ueberschneidungen nicht oder aber die UIDs abgleichen.

Letzteres kann man auch nachtraeglich machen indem man die UIDs in der passwd aendert und dann auch das home ein chown macht.

Eleganter ist nis und nfs mit einem eigenen uid-bereich fuer netzwerkuser und einem eigenen auf jedem rechner fuer lokale benutzer.

Wenn du lustig bist und viel zeit hast setzt du nfs 4 ueber tcp und einen kerberosserver auf.

gruss,
pitu

Original geschrieben von pitu
Also, es gibt optionen z.B. ueber ident glaub ich, die den NAMEN anstatt die UID aufloesen. ist aber nur ein workaround. Grundsaetzlich gilt, du solltest dir fuer lokale Benutzer einen anderen UID-Bereich waehlen, dann hast du solche ueberschneidungen nicht oder aber die UIDs abgleichen.

Eleganter ist nis und nfs mit einem eigenen uid-bereich fuer netzwerkuser und einem eigenen auf jedem rechner fuer lokale benutzer.

was ist nis? wenn ich für user A und B auf dem server einen eigenen bereich habe bringt mir das nichts, da user A auf dem client ja immernoch ne andere uid hat und er kann ja nicht die gleiche uid wie beide user auf dem server gleichzeitig haben...


Wenn du lustig bist und viel zeit hast setzt du nfs 4 ueber tcp und einen kerberosserver auf.

nfs 4?
tcp? benutzt nfs nicht tcp?
kerberos? bezieht sich das jetzt auf die sicherheit oder noch auf das user-problem?

Uhps, das war wohl etwas zu weit gegriffen.

Bezieht sich auf Sicherheit UND user.

NIS (ehemals YP) = Network Information Service (ehemals: Yellow Pages)

Funktioniert so: auf einem Server hast du sozusagen eine zentrale passwd, groups, autofs, printcap etc und anderes liegen. Die Clients holen sich dir Informationen dann vom Server. Damit benutzen die Netzwerkuser auch automatisch auf allen Clients dasselbe Password.

Damit kannst du auf dem Server beispielsweiese einen UID-Bereich einrichten, z.B. ab 1500 den alle Clients fuer Netzwerkuser verwenden. Damit hast du keine Probleme mehr mit verschiedenen UIDs auf den Clients. Weiterhin hast du den Bereich von sagen wir 500-1499 auf jedem Client frei fuer lokale Benutzer.

Weit verbreitet ist NFS in der version 2 weniger verbreitet die Version 3. Die Version 4 setzt sich gerade als neuer Standard durch da es Kerberos unterstuetzt. Damit holen sich User von einem Kerberos Server ein sogenanntes Ticket ab, das dazu berechtigt, Ressourcen von anderen Servern, die mit dem Kerberosserver sprechen, abzuholen. Damit hast du deine Sicherheit.

Aber ich gleube das ist alles ein wenig zu weit fuer dich noch, darum empfehle ich dir, zunaechst einfach auf allen Clients dafuer zu sorgen, dass die User alle die gleiche ID haben.

Am einfachsten geht dies, indem du auf deinem Hauptserver eine passwd mit allen Usern anlegst, und diese dann auf alle Clients verteilst. Zwar kann es sein, dass ein USer auf jedem Client ein anderes password hat, aber zumindest hast du mal Zeit dich in NIS einzulesen.

gruss,
pitu

Uhps, das war wohl etwas zu weit gegriffen.

Bezieht sich auf Sicherheit UND user.

NIS (ehemals YP) = Network Information Service (ehemals: Yellow Pages)

Funktioniert so: auf einem Server hast du sozusagen eine zentrale passwd, groups, autofs, printcap etc und anderes liegen. Die Clients holen sich dir Informationen dann vom Server. Damit benutzen die Netzwerkuser auch automatisch auf allen Clients dasselbe Password.

Damit kannst du auf dem Server beispielsweiese einen UID-Bereich einrichten, z.B. ab 1500 den alle Clients fuer Netzwerkuser verwenden. Damit hast du keine Probleme mehr mit verschiedenen UIDs auf den Clients. Weiterhin hast du den Bereich von sagen wir 500-1499 auf jedem Client frei fuer lokale Benutzer.

Weit verbreitet ist NFS in der version 2 weniger verbreitet die Version 3. Die Version 4 setzt sich gerade als neuer Standard durch da es Kerberos unterstuetzt. Damit holen sich User von einem Kerberos Server ein sogenanntes Ticket ab, das dazu berechtigt, Ressourcen von anderen Servern, die mit dem Kerberosserver sprechen, abzuholen. Damit hast du deine Sicherheit.

Aber ich gleube das ist alles ein wenig zu weit fuer dich noch, darum empfehle ich dir, zunaechst einfach auf allen Clients dafuer zu sorgen, dass die User alle die gleiche ID haben.

Am einfachsten geht dies, indem du auf deinem Hauptserver eine passwd mit allen Usern anlegst, und diese dann auf alle Clients verteilst. Zwar kann es sein, dass ein USer auf jedem Client ein anderes password hat, aber zumindest hast du mal Zeit dich in NIS einzulesen.

gruss,
pitu

Original geschrieben von pitu
Uhps, das war wohl etwas zu weit gegriffen.

nein, warum sollte es? wenn das die beste lösung ist, werde ich das im endeffekt auch so einrichten - mit kerberos wollte ich mich sowieso mal beschäftigen ^^


NIS (ehemals YP) = Network Information Service (ehemals: Yellow Pages)

Funktioniert so: auf einem Server hast du sozusagen eine zentrale passwd, groups, autofs, printcap etc und anderes liegen. Die Clients holen sich dir Informationen dann vom Server. Damit benutzen die Netzwerkuser auch automatisch auf allen Clients dasselbe Password.

Damit kannst du auf dem Server beispielsweiese einen UID-Bereich einrichten, z.B. ab 1500 den alle Clients fuer Netzwerkuser verwenden. Damit hast du keine Probleme mehr mit verschiedenen UIDs auf den Clients. Weiterhin hast du den Bereich von sagen wir 500-1499 auf jedem Client frei fuer lokale Benutzer.

In der Schule haben wir im Informatikraum ein ähnliches Prinzip, allerdings (noch) mit Windows-Server (beim Router konnte ich unseren Lehrer schon davon überzeugen, dass Linux da besser ist) - NIS ist wohl mit der Domäne unter win vergleichbar - das Prinzip kenne ich also.


Weit verbreitet ist NFS in der version 2 weniger verbreitet die Version 3. Die Version 4 setzt sich gerade als neuer Standard durch da es Kerberos unterstuetzt. Damit holen sich User von einem Kerberos Server ein sogenanntes Ticket ab, das dazu berechtigt, Ressourcen von anderen Servern, die mit dem Kerberosserver sprechen, abzuholen. Damit hast du deine Sicherheit.

Ich habe und werde nur einen Server haben (wollen), auf dem dann sowohl der NFS- als auch der Kerberos-Server laufen würden - das sollte doch so gehen, oder?


Aber ich glaube das ist alles ein wenig zu weit fuer dich noch
wie schon gesagt: Das wird gehen, ich hänge mich irgendwann ne Nacht vor den Rechner und dann kapier ich das schon (hoffe ich) :D


darum empfehle ich dir, zunaechst einfach auf allen Clients dafuer zu sorgen, dass die User alle die gleiche ID haben.
da ein user auf daten von zwei verschiedenen usern schreibrechte haben soll, müssen diese 2 verschiedenen user dann wohl die gleiche uid haben... werde ich mal ausprobieren

auf jeden fall war dein post hilfreich, egal ob ich ihn auf anhieb verstehe, oder nicht :)

Nein, du kannst nicht die gleiche UID 2 mal vergeben, das heisst, du kannst schon, aber das gibt arge probleme.

Da musst du ueber die Gruppenberechtigungen arbeiten. Neben der Hauptgruppen kann jeder user beliebig viele untergruppen haben. allerdings bei NFS 2 maximal 16.

Natuerlich kannst du ales Server auf einem physikalischen Server laufen lassen. Mit einer Domaene kann man es vergleichen, aber nur im weitesten Sinne.

Wen du mit kerberos etc arbeiten willst, dann denke ich nicht, dass eine Nacht ausreichen wird, wohl eher eine Woche intensivstes beschaeftigen mit allem.

Aber dann kannst du ja immer fragen stellen ;)

gruss,
pitu

Original geschrieben von pitu
Nein, du kannst nicht die gleiche UID 2 mal vergeben, das heisst, du kannst schon, aber das gibt arge probleme.

Da musst du ueber die Gruppenberechtigungen arbeiten. Neben der Hauptgruppen kann jeder user beliebig viele untergruppen haben. allerdings bei NFS 2 maximal 16.
ok, dann werde ich das wohl erstmal so machen...


Wenn du mit kerberos etc arbeiten willst, dann denke ich nicht, dass eine Nacht ausreichen wird, wohl eher eine Woche intensivstes beschaeftigen mit allem.
auch gut - sind ja bald Ferien ^^


Aber dann kannst du ja immer fragen stellen ;)
werde ich machen :D