• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Auflistung von Verzeichnisinhalt nicht möglich trotz Gruppenrechten

G

goeba

Hacker
Hallo,

es geht um Gruppenverzeichnisse auf einem NFS share. Unterhalb von /home/groups liegen einige Gruppenverzeichnisse.

ein "dir" als user ergibt z.B. für das Verzeichnis FG_MATHEMATIK:

Code: 
 drwxrws--x 4 root FG_MATHEMATIK    4097 29. Nov 16:55 FG_MATHEMATIK

ich bin Mitglied der Gruppe FG_MATHEMATIK (eingabe von "gorups" bestätigt das).

cd FG_MATHEMATIK geht, dann aber "ls": Öffnen von Verzeichnis . nicht möglich: Keine Berechtigung

Ich schließe daraus, dass ich als "other" behandelt werde (da steht ja x, aber nicht r), obwohl ich in der Gruppe bin.

ls -l zeigt auch kein "+" , wird also nicht über acl gesteuert.

Meiner Meinung nach sind die Rechte richtig gesetzt. Die einzige Idee, die ich noch hätte, wäre, dass man evtl. den Server neu starten müsste, denn zunächst waren die Rechte nicht richtig gesetzt, aber das wäre jetzt nur so eine Idee, und das möchte ich nicht einfach so machen.

Falls jemand von Euch eine Idee hat, wäre ich dankbar für jeden Hinweis.

Andreas
 
TomcatMJ

TomcatMJ

Guru
Ein beherztes
Code: 
exportfs -arfv
auf dem Server sollte helfen ohne den Server neu starten zu müssen. Die /etc/exports bzw. Dateien unter /etc/exports.d sollte man allerdings schon vorher prüfen ob die Einträge da nun so sind wie sie sein sollen. Ein Serverneustart ist da üblicherweise überflüssig wenn die besagten Dateien soweit korrekte Inhalte haben ;)

Edit:Wenn der Server es bereits korrekt exportiert aber bestehende nfs-mounts auf dem Client noch mit ehemaligen falschen Optionen im RAM existieren sollten hilft auf der Clientseite dann ein
Code: 
mount -a
um die über die fstab zu mountenden Verzeichnisse nochmal neu (und nun hoffentlich mit den richtigen Optionen) zu mounten.
 
OP
G

goeba

Hacker
Hallo,

vielen Dank.

Hab ich gemacht:

Code: 
schooladmin.ohg-goe.net:/usr/sbin # exportfs -arfv
exporting *.ohg-goe.net:/home

hat aber leider nichts gebracht (mount -a auf dem client habe ich auch gemacht, allerdings war das ein neu gestarteter Client, das wäre also wohl ohnehin nicht nötig gewesen).

Ich vermute, dass da irgendwo was falsch konfiguriert ist, sehr ärgerlich.

Von Windows-Clients aus, mit denen ich per Samba auf diese Verzeichnisse zugreife, funktioniert es, von Linux-Clients aus aber nicht, seltsam.
 
TomcatMJ

TomcatMJ

Guru
Hm...wie machst du die Benutzerverwaltung? Zentral per LDAP oder NIS? Halbmanuel über eine IDMAP? Oder Synchronisierst du die UserIDs und GroupIDs per Hand bzw. Tools wie beispielsweise Webmin?
Desweiteren wären die /etc/exports Einträge mal interesant zu sehen um abzuschätzen ob da eventuell durch die Optionen ein idmaping abgewürgt wird...samba hat ja seine eigene Benutzerverwaltung dabei (die allerdings mit LDAP und Konsorten verknüpfbar ist) aber NFS benötigt dieselben User auf Server+Client (inkl. der UserID) was man entweder mahell synchronisieren muss oder eben über eine separate zentrale Benutzerverwaltung machen kann.
Dateirechte für Benutzer und Gruppen laufen bei NFS eben immer(!) über die IDs der User und Grupen die auf dem Server bekannt sind. Wenn User A auf dem Server die ID 1002 hat und in der Gruppe mit der ID 346 steckt ebenso wie auf Rechner 1 aber auf Rechner 2 die UserID 1003 in der Gruppe mit der ID 403 steckt,dann nutzt es nichts ob die User und Gruppen denselben Namen haben, von Rechner 1 kommt er an seine Dateien und von Rechner 2 aus nicht,da einfach die IDs nicht übereinstimen...dafür kommt er dann auf Rechner 2 eventuell an die Daten von User B ran mit dessen IDs seine nun übereinstimen aus Serversicht...einfach weils halt NFS ist und kein Samba.
Ein einfaches
Code: 
id
auf der Konsole wenn du als der entsprechende User eingelogt bist, sowohl auf dem Server als auch auf dem Client, zeigt dir die genauen numerischen IDs so daß du vergleichen kanst obs eventuell dort hakt.
 
OP
G

goeba

Hacker
Hallo,

die Nutzerverwaltung geschieht zentral über ldap. Es handelt sich um ein gekauftes Serverpaket, das auf SuSE Linux Enterprise 11 SP3 basiert, ich habe das alles also nicht selbst eingerichtet. Die Nutzer werden über ein Webinterface angelegt.

Dennoch scheint alles zu stimmen, ich habe die id´s geprüft:

Code: 
langoebe@m360:/home/groups/FG_MATHEMATIK> id
uid=3637(langoebe) gid=502(TEACHERS) Gruppen=502(TEACHERS),999(DOMAINUSERS),1066(10A),1067(10B),1068(10F),1069(10K),1070(10M),1071(10S),1072(10X),1073(11A),1074(11FRK),1075(11JK),1076(11KUL),1077(11MAT),1078(11RAU),1079(11SU),1080(11VPM),1081(11WIE),1082(12BS),1083(12BU),1084(12GOE),1085(12KA),1086(12LGE),1087(12MAR),1088(12SB),1089(12SF),1090(12WIL),1091(12X),1092(5A),1093(5B),1094(5C),1095(5D),1096(5E),1097(5M),1098(6B),1099(6C),1100(6D),1101(6E),1102(6M),1103(7B),1104(7C),1105(7D),1106(7E),1107(7M),1108(8B),1109(8C),1110(8D),1111(8E),1112(8M),1113(9B),1114(9F),1115(9K),1116(9M),1117(9S),1118(KEINE),1119(LEHRERGRUPPE),1121(INF_GOE_10),1122(INFORMATIK_FG),1123(FG_MATHEMATIK)
langoebe@m360:/home/groups/FG_MATHEMATIK> exit
Abgemeldet
Connection to m360 closed.
schooladmin.ohg-goe.net:~ # su langoebe -c id
uid=3637(langoebe) gid=502(TEACHERS) Gruppen=502(TEACHERS),999(DOMAINUSERS),1066(10A),1067(10B),1068(10F),1069(10K),1070(10M),1071(10S),1072(10X),1073(11A),1074(11FRK),1075(11JK),1076(11KUL),1077(11MAT),1078(11RAU),1079(11SU),1080(11VPM),1081(11WIE),1082(12BS),1083(12BU),1084(12GOE),1085(12KA),1086(12LGE),1087(12MAR),1088(12SB),1089(12SF),1090(12WIL),1091(12X),1092(5A),1093(5B),1094(5C),1095(5D),1096(5E),1097(5M),1098(6B),1099(6C),1100(6D),1101(6E),1102(6M),1103(7B),1104(7C),1105(7D),1106(7E),1107(7M),1108(8B),1109(8C),1110(8D),1111(8E),1112(8M),1113(9B),1114(9F),1115(9K),1116(9M),1117(9S),1118(KEINE),1119(LEHRERGRUPPE),1121(INF_GOE_10),1122(INFORMATIK_FG),1123(FG_MATHEMATIK)
schooladmin.ohg-goe.net:~ #

(auf dem Server nur über su, weil ich mich da als normaler user nicht anmelden darf).

Ich habe den Support für den Server verständigt, mir scheint, dass auf den ersten Blick alles "richtig" aussieht, die Tücke steckt wohl im Detail.

Dank + Gruß,

Andreas
 
TomcatMJ

TomcatMJ

Guru
Hm, ich würde nun auf die /etc/exports verweisen und um Check der Einstellungen für das ID-Mapping und den eventuellen subtreecheck bitten, denn wenn im zu exportierenden Verzeichnis auf dem Server selbst eventuell mit softlinks gearbeitet wird kann ein subtreecheck da durchaus hinderlich wirken,ähnlich wie die optionen all_squash und anonuid bzw. anongid.
Genaueres zu den Optionen findet man unter
Code: 
man exports
, aber wenn kommerzieller Support zum Server gebucht ist sollte man den auch nutzen,schlieslich wurde dafür ja bezahlt ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben