Ограничение доступа RW к общим ресурсам NFS

У меня есть система хранения Qumulo, которая просто создает монтирование NFS, которое наши клиенты Linux могут монтировать и получать к нему доступ. В нашей среде наши серверы Linux настроены для аутентификации с помощью AD через RFC2307.

У нас это нормально установлено на сервере, и мы обнаружили, что это позволит пользователю писать в эту папку, независимо от того, находятся ли они в правильных группах. Таким образом, практически каждый, кто может войти на сервер Linux, читает и записывает файлы в этом каталоге.

[root@LinuxServer proj]# showmount -e org-fs
Export list for org-fs:
/         (everyone)
/Home     (everyone)
/Projects (everyone)
/NBU      (everyone)



[root@LinuxServer proj]# ls -lah /mnt/proj
total 16K
drwxr-xr-x 3 root root         4.0K May 11 14:19 .
drwxr-xr-x 6 root root         4.0K May 11 14:19 ..
drwxrwx--- 3 root smith_lab  512 May 10 15:36 Smith



[root@LinuxServer Smith]# ls -lah /mnt/proj/Smith
total 12K
drwxrwx--- 3 root smith_lab  512 May 10 15:36 .
drwxr-xr-x 3 root root         4.0K May 11 14:19 ..
drwxrwx--- 2 root smith_lab  512 May 21 11:55 Smith


[root@LinuxServer Smith]# mount
org-fs:/Projects/Smith on /mnt/proj/Smith type nfs (rw,addr=192.168.2.33)



[root@LinuxServer project1]# ls -lah /mnt/proj/Smith/project1/
total 12K
drwxrwx--- 2 root     smith_lab  512 May 21 12:26 .
drwxrwx--- 3 root     smith_lab  512 May 10 15:36 ..
-rwxrwx--- 1 phonic org_default  10 May 21 12:26 Test.txt



[root@LinuxServer project1]# id phonic
uid=10952(phonic) gid=10000(org_default) groups=10000(org_default),10021(webadmin),10005(it_admin)

Как видите, основная группа phonic - org_default. У этой группы нет доступа к smith_lab в AD, и я не являюсь членом какой-либо группы smith_lab. Однако это позволило мне создать файл Test.txt в этом каталоге. Большинство моих поисковых запросов в Google возвращаются как «Я хочу предоставить доступ к RW всем». У меня это уже есть, я пытаюсь его убрать.