Мрежова файлова система (NFS 4)

NFS 3 има фундаментални проблеми: от гледна точка на сигурността протоколът оставя много да се желае, управлението на потребителите, базирано на UID/GID, не е подходящо за работа с големи мрежи, трудно е да се защити NFS със защитна стена, ако има такива Unicode символите в имената на файловете, клиентите, които не поддържат Unicode, не могат да ги покажат правилно и т.н.

За да се справи с тези недостатъци, протоколът за NFS 4 е напълно преработен, за да поддържа управление на правата за списъци за контрол на достъпа (ACE) и защитено удостоверяване на достъпа с помощта на Kerberos и SPKM-3. NFS автоматично се справя със заключване и прикачване на задачи, без да изисква отделни RPC демони. NFS 4 правилно показва Unicode символи в имената на файлове. Цялата комуникация се осъществява през TCP порт 2049, което опростява конфигурацията на защитната стена (без UDP и динамични портове).

За съжаление NFS 4 има и своите недостатъци: конфигурацията на протокола е сложна и все още няма безплатен клиент за Windows. Дълго време NFS също се смяташе за недовършен и нестабилен, но тези първоначални трудности вече бяха преодолени.

Тази статия ще обхване конфигурацията на сървъра и клиента на системата за удостоверяване, т.е. описва най-бързия начин да започнете с NFS 4. На практика често е необходимо да използвате NFS 4 заедно с LDAP и Kerberos - като правило, това се отнася за мрежи с голям брой потребители. Тук не мога да опиша толкова сложна конфигурация, тъй като размерът на книгата не го позволява.

Конфигурация на сървъра

NFS 4 се поддържа по подразбиране в съвременните версии на Linux, но трябва да сте сигурни, че услугата rpc.idmapd работи на вашия компютър. Той съпоставя потребителското име на NFS с UID/GID. Дали тази услуга е стартирана и как е стартирана, зависи от разпространението.

Rpc.idmapd е конфигуриран във файла /etc/idmap.conf. Като правило може да се остави както е било при доставката.

Конфигурацията на директориите, които ще се експортират през NFS, е структурирана напълно по различен начин, отколкото в NFS 3: всички директории трябва да са подчинени на една основна директория, която действа като псевдо файлова система. Тази концепция е по-лесна за разбиране с пример. Да предположим, че трябва да експортираме директориите/данни/аудио и/данни/снимки/снимки. За да направите това, създайте три нови директории и използвайте/nfsexport като корен (разбира се, името на тази директория може да бъде произволно).

За да накарате този процес да се изпълнява автоматично в бъдеще, добавете следните два реда към/etc/fstab (на сървъра):

С вашата подготвителна работа можете най-накрая да промените/etc/export. Този файл е отговорен за работата на NFS 4 и синтаксисът е почти подобен на NFS 3. Добавени са само два параметъра.

Коренната директория на NFS 4 е обозначена с fsid = 0. В системата може да има само една коренна директория (отново NFS 4 не може да експортира директории извън основната директория). О Параметърът crossmnt също е посочен само за основната директория. Благодарение на този параметър, когато поддиректориите са свързани, съдържанието им остава видимо за клиентите, дори когато главната директория на клиентския компютър не е свързана. Вместо параметъра на коренната директория на crossmnt, можете да посочите параметъра nohide за всички директории - помага да се постигне същия резултат.


Както обикновено, exportfs -a гарантира, че съществуващият NFS сървър ще уважава нови записи.

Конфигурация на клиента

Като алтернатива може да се импортира само поддиректория: