Protocolos de recursos compartidos: NFS

Es posible definir excepciones para los modos de uso compartido general para los clientes o las recopilaciones de clientes. Cuando un cliente intenta obtener acceso, éste se otorga según la primera excepción de la lista que coincida con el cliente, pero si no existe dicha excepción, se otorgará según los modos de recursos compartidos globales que se hayan definido más arriba. Estas recopilaciones de clientes se pueden definir mediante uno de estos tres tipos:

Para cada cliente o recopilación de clientes que se especifique, deberá expresar dos parámetros: si se le permitirá al cliente tener acceso de sólo lectura o de lectura y escritura al recurso compartido, y si el usuario root del lado del cliente será tratado como usuario root (si se selecciona) o como usuario desconocido.

Si se utilizan grupos de red, éstos se convertirán a partir de NIS (si está activado) y, luego, a partir de LDAP (si está activado). Si se utiliza LDAP, los grupos de red se deben encontrar en la ubicación predeterminada, ou=Netgroup, (Base DN), y se debe utilizar un esquema estándar. El componente de nombre de usuario de una entrada de grupo de red generalmente no afecta el NFS; sólo el nombre de host resulta significativo. Los nombres de host incluidos en grupos de red deben ser canónicos y, si se resuelven mediante DNS, deben ser completos. Es decir, el subsistema NFS intentará verificar que la dirección IP del cliente solicitante se convierta en un nombre de host canónico que coincida con el FQDN especificado o uno de los miembros de uno de los grupos de red especificados. Esta coincidencia debe ser exacta, incluidos todos los componentes del dominio; de lo contrario, la excepción no coincidirá y se intentará la excepción siguiente. Para obtener más información sobre la resolución de nombres de hosts, consulte DNS. La gestión de grupos de red puede ser compleja; considere utilizar las reglas de subred de IP o las reglas de dominio DNS en su lugar cuando sea posible.

A partir de la versión de software 2013.1.0, los usuarios del cliente Unix pueden pertenecer a un máximo de 1024 grupos sin una degradación del rendimiento. Las versiones anteriores admitían hasta 16 grupos por usuario del cliente Unix.

Protocolos de recursos compartidos: CLI

En la CLI, todas las excepciones y los modos de recursos compartidos de NFS se especifican mediante una única cadena de opciones para la propiedad "sharenfs". Esta cadena es una lista de valores separados con coma de las tablas anteriores. Debe comenzar con "ro", "rw", u "off", como análogo a los modos de recursos compartidos globales descriptos para la BUI. Por ejemplo:

set sharenfs=ro

configura el modo de recurso compartido para todos los clientes en sólo lectura. Los usuarios root de todos los clientes tendrán acceso a los archivos del recurso compartido como si fueran el usuario genérico "nobody" (nadie).

También se podrá incluir cualquiera de las opciones "nosuid" y "anon", o ambas. Recuerde que en la CLI, los valores de las propiedades que contengan el carácter "=" deben estar entre comillas. Por lo tanto, para definir la asignación de todos los usuarios desconocidos con el número de identificación de usuario (UID) 153762, debería especificar:

set sharenfs="ro,anon=153762"

Se pueden especificar excepciones adicionales agregando el texto de formato "option=collection", donde "option" equivale a "ro", "rw" y "root", que define el tipo de acceso que se otorgará a la recopilación de clientes. La recopilación es especificada por el carácter de prefijo de la tabla anterior y un nombre de dominio/nombre de host DNS o número de red CIDR. Por ejemplo, para otorgar acceso de lectura y escritura a todos los hosts del dominio sf.example.com y acceso root a los de la red 192.168.44.0/24, puede utilizar:

set sharenfs="ro,anon=153762,rw=.sf.example.com,root=@192.168.44.0/24"

Los nombres de grupos de red se pueden utilizar en cualquier lugar donde se puede utilizar un nombre de host completo. Por ejemplo, puede permitir el acceso de lectura y escritura al grupo de red "engineering" (ingeniería) de la siguiente manera:

set sharenfs="ro,rw=engineering"

Para especificar los modos de seguridad, se agrega texto en el formato "option=mode", donde la opción es "sec" y el modo es una de las siguientes opciones: "sys", "krb5", "krb5:krb5i" o "krb5:krb5i:krb5p".

set sharenfs="sec=krb5"

Modos de seguridad

Los modos de seguridad se configuran por archivo y pueden afectar el rendimiento. En la siguiente tabla, se describe la configuración de seguridad de Kerberos.

Al definir modos de seguridad, se pueden especificar combinaciones de varias configuraciones de Kerberos. La combinación de modos de seguridad permite que los clientes realicen el montaje con cualquiera de las configuraciones de Kerberos enumeradas.

Para obtener más información sobre NFS y Kerberos, consulte:

• http://www.ietf.org/rfc/rfc2623.txt (seguridad de NFSv2 y NFSv3)

• http://www.ietf.org/rfc/rfc3530.txt (protocolo de NFSv4)

Codificaciones de juegos de caracteres

En general, no se especifica la codificación del juego de caracteres utilizada para el nombre de archivos. Los protocolos NFSv3 y NFSv2 no especifican el juego de caracteres. NFSv4 debería usar UTF-8, pero no todos los clientes lo hacen y el servidor no aplica esta restricción. Si la opción de sólo UTF-8 está desactivada para un recurso compartido, estos nombres de archivos se escriben literalmente en el sistema de archivos sin tener información de su codificación. Eso significa que sólo pueden ser interpretados por los clientes que utilizan la misma codificación. Sin embargo, SMB exige el almacenamiento de nombres de archivos como UTF-8 para que puedan ser interpretados por el servidor. De esta manera, resulta imposible admitir codificaciones arbitrarias de clientes y, al mismo tiempo, se permite el acceso mediante SMB.

A fin de admitir dichas configuraciones, la codificación del juego de caracteres se puede configurar para todos los recursos compartidos o por cliente. Se admiten las siguientes codificaciones de juegos de caracteres:

• cp932

• euc-cn

• euc-jp

• euc-jpms

• euc-kr

• euc-tw

• iso8859-1

• iso8859-2

• iso8859-5

• iso8859-6

• iso8859-7

• iso8859-8

• iso8859-9

• iso8859-13

• iso8859-15

• koi8-r

• shift_jis

El comportamiento predeterminado consiste en dejar la codificación del juego de caracteres sin especificar (pasarla por alto). La BUI permite elegir del juego de caracteres mediante el mecanismo de listas de excepciones estándar. En la CLI, cada juego de caracteres se convierte en una opción con uno o varios hosts; '*' indica la configuración de la totalidad del recurso compartido. Por ejemplo:

set sharenfs="rw,euc-kr=*"

Compartirá el sistema de archivos con 'euc-kr' como la codificación predeterminada. Lo siguiente:

set sharenfs="rw,euc-kr=host1.domain.com,euc-jp=host2.domain.com"

Utilizará la codificación predeterminada para todos los clientes, excepto para 'host1' y 'host2', que utilizarán 'euc-kr' y 'euc-jp', respectivamente. El formato de las listas del host es igual al de otras opciones de CLI NFS.

Recuerde que algunos clientes NFS no admiten correctamente configuraciones locales alternativas. Para obtener más información, consulte la documentación del cliente NFS.