Я создал экспорт NFS в созданной мной файловой системе GPFS / SpectrumScale. Я включил аутентификацию на основе AD для нашего домена. Все работает. Экспорт NFS был создан с помощью NFS4.
Экспорт NFS монтируется на некоторых виртуальных машинах Linux. Проблема в том, что когда пользователь запускает sudo, он может получить доступ ко всем папкам и изменить права доступа к файлам / папкам независимо от того, что позволяет ACL.
Есть ли способ запретить root переопределить ACL?
В GPFS я установил экспорт NFS с ROOT_SQUASH думаю, что это сделало бы это, но я все еще могу изменить разрешения, когда я sudo с тестовой учетной записью, у которой нет прав администратора домена.
Кажется, что ROOT_SQUASH еще не распространился. Чуть позже я выполнил следующую команду и увидел ROOT_SQUASH в результатах:
mmnfs export list --nfsdefs /comp/zixf401/NFS
Затем я вышел из виртуальной машины Linux, на которой я тестировал монтирование NFS, и снова вошел в систему. После запуска sudo su команду, а затем пытаясь chmod 770 одна из папок в монтировании NFS, я получил сообщение о запрещении, как я и надеялся.
Что ж, технически, если вы не применяете более строгую безопасность, тогда NFS по умолчанию будет использовать auth_sys, где клиент просто сообщает серверу NFS, какой UID и GID использовать, IOW никакой безопасности. Лучший способ решить эту проблему - экспортировать с sec = krb5 и принудительно использовать RPCSEC_GSS. У вас уже есть AD, который является сервером Kerberos с LDAP. Проверьте эта ссылка чтобы узнать, как настроить клиент и серверы