Использование списков ACL NFSv4 в Linux

Я успешно настроил клиент и сервер NFSv4, примерно следуя руководству по настройке NFS HOWTO . Оба работают под управлением Ubuntu Linux 14.04. Это небольшая тестовая среда без сложной аутентификации; два сервера просто используют один и тот же файл passwd. Кажется, все работает правильно; файлы видны на клиенте, и права доступа / идентификаторы пользователей верны.

Теперь я хотел бы использовать списки управления доступом NFSv4 для управления доступом к файлам на сервере NFSv4. Я установил необходимые инструменты командной строки на клиенте и смог увидеть что-то похожее на ACL NFSv4:

$ nfs4_getfacl . A::OWNER@:rwaDxtTcCy A::GROUP@:rxtcy A::EVERYONE@:rxtcy 

Однако, хотя я могу получить список ACL просто отлично, я не могу установить какие-либо ACL. Каждая попытка приводит к Invalid argumentошибке из setxattr.

$ nfs4_setfacl -a A::OWNER@:rxtncy . Failed setxattr operation: Invalid argument 

Я использовал strace, чтобы увидеть, что происходит. Согласно разреженной документации, которую я смог найти, ACL NFSv4 хранятся в виде двоичных данных XDR в расширенном атрибуте, вызываемом system.nfs4_aclв файле. И конечно же, это то, что происходит; setxattвозвращается EINVAL.

getxattr("/primary/home/rstudiouser", "system.nfs4_acl", 0x0, 0) = 80 getxattr("/primary/home/rstudiouser", "system.nfs4_acl", "\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x16\x01\xe7\x00\x00\x00\x06OWNER@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x12\x00\xa1\x00\x00\x00\x06GROUP@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x12\x00\xa1\x00\x00\x00\x09EVERYONE@\x00\x00", 80) = 80 setxattr("/primary/home/rstudiouser", "system.nfs4_acl", "\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x12\x00\xa9\x00\x00\x00\x06OWNER@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x16\x01\xe7\x00\x00\x00\x06OWNER@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x12\x00\xa1\x00\x00\x00\x06GROUP@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x12\x00\xa1\x00\x00\x00\x09EVERYONE@\x00\x00", 104, XATTR_REPLACE) = -1 EINVAL (Invalid argument) 

Итак, почему setxattrтерпит неудачу? Расширенные атрибуты включены на сервере NFSv4:

$ sudo tune2fs -l /dev/sda1 tune2fs 1.42.9 (4-Feb-2014) ... Filesystem features: has_journal ext_attr resize_inode dir_index filetype needs_recovery extent flex_bg sparse_super large_file huge_file  uninit_bg dir_nlink extra_isize Filesystem flags: signed_directory_hash Default mount options: user_xattr acl ... 

И клиент, конечно, использует протокол NFSv4; используя, mountчтобы показать смонтированные диски:

$ mount ... 192.168.55.103:/primary/home on /primary/home type nfs4 (rw,rsize=8192,wsize=8192,timeo=14,intr,nfsvers=4,acl,addr=192.168.55.103,client addr=192.168.55.101) ... 

Я попытался переключить все флаги отладки на nfsd, чтобы увидеть, приведет ли это к полезному журналу.

$ sudo rpcdebug -m nfsd -s all 

Это подтверждает, что сервер получает запрос на установку атрибута.

Apr 7 20:21:49 vagrant-ubuntu-trusty-64 kernel: [73465.567892] nfsd_dispatch: vers 4 proc 1 Apr 7 20:21:49 vagrant-ubuntu-trusty-64 kernel: [73465.567909] nfsv4 compound op #1/2: 22 (OP_PUTFH) Apr 7 20:21:49 vagrant-ubuntu-trusty-64 kernel: [73465.567915] nfsd: fh_verify(36: 01070001 001c0002 00000000 acf697e6 a847b405 c98a638b) Apr 7 20:21:49 vagrant-ubuntu-trusty-64 kernel: [73465.567929] nfsv4 compound op ffff88003c2f6080 opcnt 2 #1: 22: status 0 Apr 7 20:21:49 vagrant-ubuntu-trusty-64 kernel: [73465.567932] nfsv4 compound op #2/2: 34 (OP_SETATTR) Apr 7 20:21:49 vagrant-ubuntu-trusty-64 kernel: [73465.567938] nfsd: fh_verify(36: 01070001 001c0002 00000000 acf697e6 a847b405 c98a638b) Apr 7 20:21:49 vagrant-ubuntu-trusty-64 kernel: [73465.567978] nfsv4 compound op ffff88003c2f6080 opcnt 2 #2: 34: status 22 

Что такое "статус 22"? Почему, 22 = EINVAL, неверный аргумент, который setxattrвозвращается клиенту. К сожалению, похоже, ничего не говорится о том, почему аргумент считается недействительным.

Некоторые другие вещи, которые я пробовал:

1. Одна возможность состоит в том, что сервер думает, что ACL искажен. Чтобы проверить это, я использовал nfs4_setfacl -e ., который открывает существующий ACL в текстовом редакторе для манипуляции. Сохранение файла без изменений по-прежнему приводит к появлению ACL-списка, который выдается Invalid argumentпри применении.

2. Отображение идентификатора пользователя - еще одна распространенная проблема с NFSv4. Я подтвердил, что идентификаторы пользователей выстроены правильно и что биты владения / режима файла являются правильными с точки зрения клиента NFSv4. Я также попытался создать домен NFSv4, установив Domain = localdomainв /etc/idmapd.confна обоих серверах, никакого эффекта.

Если вы используете списки управления доступом NFSv4 на серверах NFS на базе Linux, мне было бы интересно услышать ваше мнение; Я нашел много учебных пособий по настройке самой NFSv4 (см. Ссылку вверху этой тирады), но практически ни в одном из них не упоминается использование ACL.