Protocolos de recursos compartidos: NFS
Tabla 12-7 Protocolos de recursos compartidos: propiedades de NFS
|
|
|
Modo de recurso compartido
|
off/ro/rw
|
Determina si el recurso compartido está disponible sólo para lectura, para lectura y escritura, o para ninguna de estas opciones. En la CLI, "on" es un alias para "rw".
|
Desactivar creación del archivo setuid/setgid
|
nosuid
|
Si esta opción está seleccionada, los clientes no podrán crear archivos con bits setuid (S_ISUID) y setgid (S_ISGID) configurados, ni activar estos bits en los archivos existentes mediante la llamada del sistema chmod(2).
|
Evitar que los clientes monten subdirectorios
|
nosub
|
Si esta opción está seleccionada, los clientes no podrán montar subdirectorios directamente. Se les obligará a montar la raíz del recurso compartido. Nota: Esto sólo se aplica a los protocolos NFSv2 y NFSv3, no a NFSv4.
|
Asignación de usuarios anónimos
|
anon
|
A menos que la opción "root" esté vigente para un cliente en particular, el usuario root de ese cliente se trata como un usuario desconocido, y todos los intentos de dicho usuario por acceder a los archivos del recurso compartido serán considerados intentos de un usuario con este uid. Las ACL y los bits de acceso del archivo se evaluarán normalmente.
|
Codificación de caracteres
|
Consulte la información que se muestra abajo
|
Configura el juego de caracteres predeterminado para todos los clientes. Para obtener más información, consulte la sección sobre codificaciones de juegos de caracteres.
|
Modo de seguridad
|
Consulte la información que se muestra abajo
|
Configura el modo de seguridad de todos los clientes.
|
|
Es posible definir excepciones para los modos de uso compartido general para los clientes o las recopilaciones de clientes. Cuando un cliente intenta obtener acceso, éste se otorga según la primera excepción de la lista que coincida con el cliente, pero si no existe dicha excepción, se otorgará según los modos de recursos compartidos globales que se hayan definido más arriba. Estas recopilaciones de clientes se pueden definir mediante uno de estos tres tipos:
Tabla 12-8 Tipos de recopilación de clientes
|
|
|
|
Host(FQDN) o grupo de red
|
ninguno
|
Un único cliente cuya dirección IP se convierte en el nombre completo especificado o un grupo de red que contiene los nombres completos en los cuales se convierte la dirección IP del cliente.
|
caji.sf.example.com
|
Dominio DNS
|
.
|
Todos los clientes con direcciones IP que se convierten en un nombre completo que termina con este sufijo.
|
sf.example.com
|
Red
|
@
|
Todos los clientes con direcciones IP que se encuentran dentro de la subred IP especificada, expresada en la notación CIDR.
|
192.168.20.0/22
|
|
Para cada cliente o recopilación de clientes que se especifique, deberá expresar dos parámetros: si se le permitirá al cliente tener acceso de sólo lectura o de lectura y escritura al recurso compartido, y si el usuario root del lado del cliente será tratado como usuario root (si se selecciona) o como usuario desconocido.
Si se utilizan grupos de red, éstos se convertirán a partir de NIS (si está activado) y, luego, a partir de LDAP (si está activado). Si se utiliza LDAP, los grupos de red se deben encontrar en la ubicación predeterminada, ou=Netgroup, (Base DN), y se debe utilizar un esquema estándar. El componente de nombre de usuario de una entrada de grupo de red generalmente no afecta el NFS; sólo el nombre de host resulta significativo. Los nombres de host incluidos en grupos de red deben ser canónicos y, si se resuelven mediante DNS, deben ser completos. Es decir, el subsistema NFS intentará verificar que la dirección IP del cliente solicitante se convierta en un nombre de host canónico que coincida con el FQDN especificado o uno de los miembros de uno de los grupos de red especificados. Esta coincidencia debe ser exacta, incluidos todos los componentes del dominio; de lo contrario, la excepción no coincidirá y se intentará la excepción siguiente. Para obtener más información sobre la resolución de nombres de hosts, consulte DNS. La gestión de grupos de red puede ser compleja; considere utilizar las reglas de subred de IP o las reglas de dominio DNS en su lugar cuando sea posible.
A partir de la versión de software 2013.1.0, los usuarios del cliente Unix pueden pertenecer a un máximo de 1024 grupos sin una degradación del rendimiento. Las versiones anteriores admitían hasta 16 grupos por usuario del cliente Unix.
Protocolos de recursos compartidos: CLI
En la CLI, todas las excepciones y los modos de recursos compartidos de NFS se especifican mediante una única cadena de opciones para la propiedad "sharenfs". Esta cadena es una lista de valores separados con coma de las tablas anteriores. Debe comenzar con "ro", "rw", u "off", como análogo a los modos de recursos compartidos globales descriptos para la BUI. Por ejemplo:
set sharenfs=ro
configura el modo de recurso compartido para todos los clientes en sólo lectura. Los usuarios root de todos los clientes tendrán acceso a los archivos del recurso compartido como si fueran el usuario genérico "nobody" (nadie).
También se podrá incluir cualquiera de las opciones "nosuid" y "anon", o ambas. Recuerde que en la CLI, los valores de las propiedades que contengan el carácter "=" deben estar entre comillas. Por lo tanto, para definir la asignación de todos los usuarios desconocidos con el número de identificación de usuario (UID) 153762, debería especificar:
set sharenfs="ro,anon=153762"
Se pueden especificar excepciones adicionales agregando el texto de formato "option=collection", donde "option" equivale a "ro", "rw" y "root", que define el tipo de acceso que se otorgará a la recopilación de clientes. La recopilación es especificada por el carácter de prefijo de la tabla anterior y un nombre de dominio/nombre de host DNS o número de red CIDR. Por ejemplo, para otorgar acceso de lectura y escritura a todos los hosts del dominio sf.example.com y acceso root a los de la red 192.168.44.0/24, puede utilizar:
set sharenfs="ro,anon=153762,rw=.sf.example.com,root=@192.168.44.0/24"
Los nombres de grupos de red se pueden utilizar en cualquier lugar donde se puede utilizar un nombre de host completo. Por ejemplo, puede permitir el acceso de lectura y escritura al grupo de red "engineering" (ingeniería) de la siguiente manera:
set sharenfs="ro,rw=engineering"
Para especificar los modos de seguridad, se agrega texto en el formato "option=mode", donde la opción es "sec" y el modo es una de las siguientes opciones: "sys", "krb5", "krb5:krb5i" o "krb5:krb5i:krb5p".
set sharenfs="sec=krb5"
Modos de seguridad
Los modos de seguridad se configuran por archivo y pueden afectar el rendimiento. En la siguiente tabla, se describe la configuración de seguridad de Kerberos.
Tabla 12-9 Configuración de seguridad de Kerberos
|
|
krb5
|
Autenticación de usuario final mediante Kerberos V5.
|
krb5i
|
krb5 más protección de integridad (los paquetes de datos están protegidos contra alteraciones).
|
krb5p
|
krb5i más protección de privacidad (los paquetes de datos están protegidos contra alteraciones y cifrados).
|
|
Al definir modos de seguridad, se pueden especificar combinaciones de varias configuraciones de Kerberos. La combinación de modos de seguridad permite que los clientes realicen el montaje con cualquiera de las configuraciones de Kerberos enumeradas.
Tabla 12-10 Configuración de modo de seguridad
|
|
sys
|
Autenticación del sistema
|
krb5
|
Kerberos v5 únicamente; los clientes deben realizar el montaje con esta configuración.
|
krb5:krb5i
|
Kerberos v5, con integridad; los clientes pueden realizar el montaje con cualquiera de las configuraciones enumeradas.
|
krb5i
|
Kerberos v5 con integridad únicamente; los clientes deben realizar el montaje con esta configuración.
|
krb5:krb5i:krb5p
|
Kerberos v5, con integridad o privacidad; los clientes pueden realizar el montaje con cualquiera de las configuraciones enumeradas.
|
krb5p
|
Kerberos v5 con privacidad únicamente; los clientes deben realizar el montaje con esta configuración.
|
|
Para obtener más información sobre NFS y Kerberos, consulte:
Codificaciones de juegos de caracteres
En general, no se especifica la codificación del juego de caracteres utilizada para el nombre de archivos. Los protocolos NFSv3 y NFSv2 no especifican el juego de caracteres. NFSv4 debería usar UTF-8, pero no todos los clientes lo hacen y el servidor no aplica esta restricción. Si la opción de sólo UTF-8 está desactivada para un recurso compartido, estos nombres de archivos se escriben literalmente en el sistema de archivos sin tener información de su codificación. Eso significa que sólo pueden ser interpretados por los clientes que utilizan la misma codificación. Sin embargo, SMB exige el almacenamiento de nombres de archivos como UTF-8 para que puedan ser interpretados por el servidor. De esta manera, resulta imposible admitir codificaciones arbitrarias de clientes y, al mismo tiempo, se permite el acceso mediante SMB.
A fin de admitir dichas configuraciones, la codificación del juego de caracteres se puede configurar para todos los recursos compartidos o por cliente. Se admiten las siguientes codificaciones de juegos de caracteres:
-
cp932
-
euc-cn
-
euc-jp
-
euc-jpms
-
euc-kr
-
euc-tw
-
iso8859-1
-
iso8859-2
-
iso8859-5
-
iso8859-6
-
iso8859-7
-
iso8859-8
-
iso8859-9
-
iso8859-13
-
iso8859-15
-
koi8-r
-
shift_jis
El comportamiento predeterminado consiste en dejar la codificación del juego de caracteres sin especificar (pasarla por alto). La BUI permite elegir del juego de caracteres mediante el mecanismo de listas de excepciones estándar. En la CLI, cada juego de caracteres se convierte en una opción con uno o varios hosts; '*' indica la configuración de la totalidad del recurso compartido. Por ejemplo:
set sharenfs="rw,euc-kr=*"
Compartirá el sistema de archivos con 'euc-kr' como la codificación predeterminada. Lo siguiente:
set sharenfs="rw,euc-kr=host1.domain.com,euc-jp=host2.domain.com"
Utilizará la codificación predeterminada para todos los clientes, excepto para 'host1' y 'host2', que utilizarán 'euc-kr' y 'euc-jp', respectivamente. El formato de las listas del host es igual al de otras opciones de CLI NFS.
Recuerde que algunos clientes NFS no admiten correctamente configuraciones locales alternativas. Para obtener más información, consulte la documentación del cliente NFS.