Benutzer für CIFS und NFS
Auf dem Netapp-Filer im Netzlabor ist ein Volume mit Unix-Security-Style für die Nutzung als NFS-Export und CIFS-Share angelegt.
Ich hatte vor einiger Zeit im Netapp System Manager einen Benutzer angelegt und ihn den Gruppen Administratoren und User zugeordnet.
Ein NFS-Export ist mit den notwendigen Zugriffrechten für Hosts (in dem Fall MacOS-Rechner) angelegt. Ebenso ist ein CIFS-Homeverzeichnispfad in das Volume wie auch ein Share über das gesamte Volume mit entsprechenden Zugriffsrechten für den Benutzer konfiguriert (eins von beide hätte gereicht).
Damit konnte ich wie erwartet mit CIFS z. B. von MacOS aus (Pfad smb://…) auf das Share und direkt auf das Homeverzeichnis zugreifen. Unter NFS war das Mounten und ein Zugriff ebenso möglich. Beide Mount waren gleichzeitig im MacOS Finder zu sehen und verwendbar.
Nun zeigte sich aber ein unerwarteter Effekt: Im Homeverzeichnis des Benutzers habe ich vermutlich über den CIFS-Mount Ordner angelegt. Die waren auch unter CIFS normal schreib- und lesbar. Wenn ich aber über NFS auf das Verzeichnis geschaut habe, waren die Ordner geschützt – also nicht zu öffnen. Ich hatte keine Zugriffsrechte darauf. Als Eigentümer der Ordner war über den NFS-Mount root angetragen. Über den CIFS-Mount aber der Benutzer, der den Ordner angelegt hat. Also auf zwei verschiedenen Wegen den gleicher Ordner angeschaut, hatte er verschiedene Eigentümer und Zugriffsrechte.
Langes Suchen förderte zwei Erkenntnisse über die Funktionsweise der Netapp zu Tage:
– Es findet ein Mapping von CIFS auf Unix-Benutzer statt. Mit „options.wafl.nt_admin_priv_map_to_root on“ war eingestellt, dass Zugriffsrechte der Gruppe der NT-Administratoren auf Unix-root abgebildet werden. Mein angelegter Benutzer war der Gruppe der Administratoren zugeordnet. Somit wird mein (NT-)Benutzer auf Unix-root abgebildet. Dies zeigte auch der Befehl „wcc -s <Benutzer>“ an der Ontap-Shell, der das mapping von NT-Benutzern nach Unix-Nutzern anzeigt.
– Ein Ordner, den ein NT-Benutzer aus der Gruppe der Administratoren über CIFS anlegt, bekommt aus UNIX-Sicht und damit in NFS den Eigentümer root. Die Wirkung war also, dass der Ordner aus CIFS-Sicht dem angemeldeten Benutzer gehören, aus Unix- (und damit wohl auch NFS-) Sicht aber root. Also gleicher Ordner, aber je nach Zugang unterschiedliche Eigentümer.
Um die Besitzverhältnisse der Ordner unter CIFS und NFS konkruent zu bekommen, habe ich zunächst meine Benutzer auch in der /etc/passwd im Netapp-Filer angelegt (mit wrfile -a eine Zeile mit dem Benutzernamen angelegt, dass Passwort unter einem Linux mit htpasswd -nd erzeugt). Damit ist dann ein automatisches Mapping des NT-Benutzers auf den gleichlautenden Unix-Nutzer ermöglicht. Trotzdem wurde das Mapping noch nicht automatisch geändert wegen der options…. wie oben beschrieben.
Also weiter: Zwei mögliche Fortsetzungen
a) Die Option zum Mapping administrativer NT-Benutzer auf root abschalten oder
b) Den Benutzer aus der Gruppe der Administratoren nehmen.
Fall a) hat Folgen, die an anderer Stelle unangenehm sein könnten.
Fall b) ist der angemessenere Weg, da er den NT-Benutzer zu dem macht, was er auch sein sollte – ein „normaler“ Benutzeraccount.
Damit (Fall b) funktioniert nun das Mapping in der Netapp wie es soll und der Ordner hat aus beiden Sichten den gleichen Eigentümer.