Làm thế nào để lập bản đồ người dùng và nhóm với sshfs

10

Như bạn có thể thấy bên dưới, tôi có thể ánh xạ người dùng từ kevcoder00 sang kevcoder01 nhưng nhóm được ánh xạ tới cúc vạn thọ mặc dù nhóm đó không tồn tại trên kevcoder01

l00py@kevcoder00:~$ sshfs -o idmap=user l00py@kevcoder01:/home/l00py ~/kevcoder01/
l00py@kevcoder01's password: 
l00py@kevcoder00:~$ ls -hl kevcoder01/
total 0
-rw-r--r-- 1 l00py marigold 0 Jul  4 00:34 I_LIVE
-rw-r--r-- 1 l00py marigold 0 Jul  4 00:59 I_LIVE_AGAIN

Tôi cần làm gì để ánh xạ cả người dùng và nhóm?

users  group  sshfs 
kevcoder
nguồn

Câu trả lời:

10

Tôi không nghĩ rằng nó ánh xạ đến cúc vạn thọ. GID mà cúc vạn thọ đang sử dụng trên hệ thống cục bộ của bạn có cùng số với nhóm 100py mặc định trên devcoder01 của máy chủ từ xa.

Ví dụ

Trên máy tính xách tay của tôi, nhóm mặc định của tôi là GID 501, saml.

$ id -a
uid=500(saml) gid=501(saml) groups=501(saml),502(vboxusers),503(jupiter)

Trên máy chủ từ xa của tôi skinner, người dùng sam sử dụng như sau:

$ id -a sam
uid=5060(sam) gid=1000(users) groups=1000(users),1060(pics),1050(mp3s),1070(mock)

Bây giờ khi tôi kết nối:

$ sshfs -o idmap=user sam@skinner:/home/sam /home/saml/mnt

$ ls -l ~/mnt
drwxr-xr-x 1 saml users     4096 May 27  2011 projects
drwxr-xr-x 1 saml users     4096 Mar 11 22:53 public_html
-rw-r--r-- 1 root root   1992744 Apr 18  2012 rest.war
-rw-r--r-- 1 saml  1000      136 Sep  4  2012 scott_jay_addresses.txt
drwxr-xr-x 1 saml  1000     4096 Jun 27  2012 SparkleShare

Nếu bạn nhìn vào thư mục này, có vẻ như tôi có quyền truy cập vào các nhóm khác nhưng đó chỉ là cách mà sshfs hoạt động. Nó hiển thị thư mục dùng chung bằng UID / GID của điều khiển từ xa và bạn tình cờ có cùng UID / GID được sử dụng trên hệ thống cục bộ của bạn.

Nếu bạn sử dụng công -ntắc để ls -lbạn có thể thấy UID / GID thực tế:

$ ls -ln
drwxr-xr-x 1 500  100     4096 Mar 11 22:53 public_html
-rw-r--r-- 1   0    0  1992744 Apr 18  2012 rest.war
-rw-r--r-- 1 500 1000      136 Sep  4  2012 scott_jay_addresses.txt
drwxr-xr-x 1 500 1000     4096 Jun 27  2012 SparkleShare

Nếu tôi có một mục trong /etc/grouptệp hệ thống cục bộ của tôi cho 1000 thì nó sẽ được hiển thị khi thực hiện ls -l. Trong kết quả đầu ra ở trên, bạn có thể thấy rằng "người dùng" nhóm đang sử dụng GID 100 và tôi tình cờ có một mục trong hệ thống cục bộ của tôi cho điều đó:

users:x:100:
SLM
nguồn
OK tôi hiểu rồi nhưng tôi đã có một mục trong / etc / group cho marigold: x: 1001: và thay đổi nó thành l00py: x: 1001: làm cho tất cả các tệp của marigold hiển thị l00py như nhóm. Bạn không nói với tôi rằng đây là cách nó được thực hiện trong môi trường linux của công ty (nhà phát triển windows tại đây)
kevcoder
@kevcoder - Không trong môi trường doanh nghiệp, chúng tôi sẽ sử dụng Active Directory (Linux có thể sử dụng như một máy khách) hoặc LDAP. Số 1001 là những gì được lưu trữ trên ổ cứng, tên là mỹ phẩm, vì vậy nếu chúng ta có 2 ổ cứng với 1001 trên chúng, chúng giống hệt nhau về mặt kỹ thuật ngay cả khi 1 ổ cứng từ một hệ thống có nhómA và ổ cứng khác là của một ổ đĩa khác hệ thống trong đó là nhómB. Điều đó có ý nghĩa?
slm
nhưng về cơ bản, AD cung cấp xác thực và truy cập vào tài nguyên theo tư cách thành viên nhóm (ít nhất là theo quan điểm của tôi với tư cách là nhà phát triển) và LDAP, tôi dường như nhớ, là một công cụ truy vấn. truy vấn LDAP là gì .. không phải AD ?? Không có giải pháp cụ thể * nix. sshfs và nfs dường như là người dùng cụ thể. Chính sách dựa trên nhóm và kiểm soát truy cập được triển khai như thế nào .. theo cách * nix?
kevcoder
2
LDAP là một công nghệ máy khách / máy chủ với phần cuối cơ sở dữ liệu (đây là nơi lưu trữ thông tin đăng nhập, v.v.). AD thực sự sử dụng LDAP. Có sshfs là công nghệ không gian người dùng, NFS là công nghệ máy khách / máy chủ tương tự như CIFS (còn gọi là SMB hoặc Samba) để chia sẻ thư mục và máy in. Không có công nghệ nào như AD trong Unix dù sao cũng có thể thực thi các chính sách. Đây là khu vực yếu nhất * nix khi so sánh nó với AD / Windows. Samba phiên bản 4 có thể tham gia với tư cách máy chủ quảng cáo và người tham gia đầy đủ, đây là lần đầu tiên bạn có thể sử dụng các chính sách trong * nix, trớ trêu thay.
slm
kevcoder
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.