Сокрытие недоступных каталогов на NFS

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Сокрытие недоступных каталогов на NFS

Сообщение Игорь Вершинин » 11 апр 2007, 10:57

Озаботились переходом на чистый Линукс в конторе. Поэтому возникли следующие вопросы:
1. Куда "маунтить" серверные каталоги? Т.е. у нас на сервере есть несколько "шар" - /project, /home, /public, /others, /trash - куда их подключать на рабочих станциях, чтобы это было в духе *nix, и чтобы пользователь смог их легко находить (не куда-нибудь в /etc или /proc).
2. Как скрыть каталоги, доступ к которым пользователю запрещен? Т.е. надо как на NetWare - нет доступа, ничего не видно. Сейчас каталог виден, но со знаком, что доступ к нему заблокирован. Желательно это сделать через протокол NFS, а не SMB. Потому как Самбу поднимать только ради этого нет желания.
3. На сервере планируется единый каталог всех пользователей в OpenLDAP. Авторизация на рабочих станциях будет проходить через него. Как обеспечить доступ к домашней директории на сервере? Т.е. надо, чтобы пользователь, войдя в систему работал "на своей машине". Т.е. примерно как перемещаемые профили на Windows плюс синхронизация "личных" каталогов между сервером и рабочей станцией. Думали по поводу rsync или (что еще лучше) iFolder. Последний, кстати, бесплатен? А то на сайте не могу найти про это упоминаний. Конечный эффект должен быть следующим - пользователь прилогинился, папки его появились и синхронизировались. Работает - синхронизация проходит раз в какое-то время (прозрачно). Разлогинился - папки все удалились, скопировавшись на сервер.
Можно, конечно, тупо "маунтить" /home с сервера вместо локального /home, но скорости не те при интенсивной работе (одновременно может работать до 50 пользователей со своими данными, сеть может "залечь").
4. Исходя из единой авторизации, справедливо ли утверждение, что регистрация на рабочей станции позволит пользователю "прозрачно" авторизоваться на сервере, т.е. получать доступ к разрешенным там каталогам. Или прийдется поднимать Kerberos?
Аватара пользователя
Игорь Вершинин
 
Сообщения: 387
Зарегистрирован: 05 июн 2002, 20:34
Откуда: Волгоград

Сообщение Александр Читалкин » 11 апр 2007, 16:51

1. На однопользовательской машине пользователя - почему бы не монтировать ему эти ресурсы в home (/proc - вообще "не настоящая" ФС).
2. Никак. NFS это не умеет.
3. Пишем скрипт, прописываем его в профиле, при загрузке он монтирует NFS, rsync'ает /home/user, демонтирует. Можно вместо монтирования/демонтирования использовать автомонтировщик. Думаю, существует какая-нибудь готовая утилита для этого.
4. Речь идет о nfs? Легко и никак одновременно. Вся его "аутентификация" сводится к сравниванию uid'ов юзера на сервере и юзера на клиенте. Т.е. если на сервере у пользователя vasya uid=12345, на клиенте uid=54321, но на файле в расшареной директории права только для vasya с uid=12345 (600), доступа этот клиент к файлу не получит. Если uid'ы совпадают - то получит. Соответственно, все uid'ы всех пользователей должны быть одинаковы на всех машинах и сервере чтобы nfs нормально работал.
Аватара пользователя
Александр Читалкин
 
Сообщения: 112
Зарегистрирован: 13 ноя 2002, 23:29
Откуда: Москва

Сообщение Игорь Вершинин » 12 апр 2007, 12:04

1. Монтирование в /home?.... да, мы тоже к этому выводу пришли, чтобы пользователь не шарахался по всей файловой системе. :)
2. А вот с невозможностью невидить каталоги, к которым доступа нет, трудно смириться. Просто на одном из ресурсов каталогов около 200, но для конкретного пользователя редко доступно более 10... Но, с другой стороны, поднимать Самбу.... ой, неохота... :(
3. Интересно, а iFolder - таки стоит денег?
4. Понял, спасибо. Т.е. если будет единая идентификация через OpenLDAP, то все будет работать. ID пользователей будут одинаковыми при логине с любой машины.
Аватара пользователя
Игорь Вершинин
 
Сообщения: 387
Зарегистрирован: 05 июн 2002, 20:34
Откуда: Волгоград

Сообщение Александр Читалкин » 12 апр 2007, 14:00

1. Зачем по всей? Если пользователи собираются работать в GUI, то ко всему, что лежит внутри их домашней директории, доступ предельно прост. Более того, смонтировать-то можно куда-нибудь в /mnt, а пользователям разложить симлинки на эту директорию в их домашние директории.
2. Не знаком с ньюансами в вашей организации, но я очень сомневаюсь, что ваши пользователи будут использовать команду showmount, чтобы посмотреть список NFS-шар сервера. Более того, им всегда можно запретить доступ к этой команде. В отличие от SMB, в NFS нельзя просто так "зайти на сервер и посмотреть, что расшарено". Такое позволяет автомонтировщик, но по-умолчанию он обычно не используется.
3. Даже лучше! :) "The iFolder Enterprise Server version 3.5.x and greater has been open-sourced and is now generally available", информация здесь - http://www.ifolder.com/index.php/FAQ. Только, если я не ошибаюсь, без eDirectory iFolder жить не может.
4. Да, будут.
Аватара пользователя
Александр Читалкин
 
Сообщения: 112
Зарегистрирован: 13 ноя 2002, 23:29
Откуда: Москва

Сообщение Игорь Вершинин » 12 апр 2007, 17:28

1. Решили маунтить все в /media. Это делает более стандартный и строгий вид дерева каталогов на рабочей станции. Т.е. все, что не свое (сетевые диски, usb-диски, компашки), все там.
2. Вопрос в следующем. При заходе пользователя на NFS-шару, пользователь видит все каталоги первого уровня. Их более 200, доступных менее 10... Грустно... долго искать, да и захламлено все.
3. Да, iFolder управляется через iManager. Что невесело. Так как поднимать кучу всего (eDir, iManager и т.п.) незачем. Тяжеловестное решение. Да и не запустилось оно у нас с первого раза, а дальше разбираться не стали - проще OpenLDAP доковырять.
Аватара пользователя
Игорь Вершинин
 
Сообщения: 387
Зарегистрирован: 05 июн 2002, 20:34
Откуда: Волгоград


Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12

cron