1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
|
.\" Translated Mon Jun 25 13:05:33 1996 by Diego Novillo (diego@cs.ualberta.ca)
.TH EXPORTS 5 "6 Enero 1996" "" "Administracin del Sistema Linux"
.UC 5
.SH NOMBRE
exports \- Exportacin de sistemas de ficheros NFS
.SH SINOPSIS
.B /etc/exports
.SH DESCRIPCIN
El fichero
.I /etc/exports
se usa como lista de control de acceso para sistemas de ficheros que pueden
ser exportados a clientes NFS. Lo utilizan el daemon de montaje
.BR mountd (8)
y el daemon servidor de ficheros NFS
.BR nfsd (8).
.PP
El formato del fichero es similar al fichero
.I exports
del SunOS con la excepcin que se permiten varias opciones adicionales.
Cada lnea contiene un punto de montaje y una lista de mquinas o nombres
de grupo de red a las que se les permite montar el sistema de archivos
en ese punto. A continuacin del nombre de la mquina se puede poner entre
parntesis una lista opcional de parmetros de montaje. Las lneas en
blanco son ignoradas, y el smbolo # se puede utilizar para poner
comentarios de una lnea.
.PP
.SS Opciones Generales
.TP
.IR secure "\*d
Esta opcin requiere que los pedidos se originen en un puerto internet
menor que IPPORT_RESERVED (1024). Esta opcin esta habilitada por omisin.
Para deshabilitarla se debe usar
.IR insecure .
.TP
.IR ro
Slo permitir pedidos de slo-lectura en este volumen NFS. Por omisin,
tambin se permiten pedidos de escritura, el cual se puede hacer explcito
usando la opcin
.IR rw ".
.TP
.IR link_relative
Convierte vnculos simblicos absolutos (donde los
contenidos del vnculo empiezan con una barra) en vnculos relativos,
agregando la cantidad necesaria de ../'s al frente del nombre para llegar
desde el directorio que contiene el vnculo a la raz en el servidor. Esta
opcin tiene implicaciones sutiles, y quiz cuestionables, cuando la
jerarqua de ficheros no est montada en su raz.
.TP
.IR link_absolute
Deja los vnculos simblicos como estn. Esta es la operacin por omisin.
.SS Mapeo de ID de Usuarios
.PP
El control de acceso a ficheros de
.I nfsd
en la mquina servidora se basa en el uid (identificador de usuario) y gid
(identificador de grupo) provisto por cada pedido RPC de NFS. Como los
usuarios asumen que pueden acceder a sus ficheros de la misma forma que en
un sistema de ficheros normal, la mquina cliente y la mquina servidora
deberan utilizar los mismos uids y gids. Sin embargo, esto no siempre
ocurre y no siempre es conveniente.
.PP
Muy a menudo, no es conveniente que el usuario root en la mquina cliente
sea tambin tratado como root en los accesos a los ficheros en el servidor
NFS. Por lo tanto, el uid 0 se suele mapear a un id diferente: el uid
.I nobody
o annimo. Este modo de operacin (llamado `root squashing') es el modo
por omisin, y se puede deshabilitar utilizando la opcin
.IR no_root_squash .
.PP
Al comienzo del programa,
.I nfsd
intenta obtener el uid y gid annimo buscando el usuario
.I nobody
en el archivo de contraseas. Si no lo encuentra, utiliza un uid y un gid
igual a -2 (65534). Estos valores se pueden cambiar utilizando las opciones
.IR anonuid " y " anongid .
.PP
Adems de esto,
.I nfsd
tambin permite especificar cualquier uid y gid para ser mapeados al
usuario nobody. Finalmente, tambin se pueden mapear todos los pedidos de
usuarios al uid annimo utilizando la opcin
.IR all_squash .
.PP
Para facilitar el trabajo en aquellas instalaciones donde las uids son
diferentes entre distintas mquinas,
.I nfsd
permite mapear dinmicamente uids del servidor a uids del cliente y
viceversa.
Para habilitar este mapeo se utiliza la opcin
.I map_daemon ,
la cual utiliza el protocolo RPC UGID. Para que esto funcione, el daemon de
mapeo
.BR ugidd (8)
debe ser ejecutado en la mquina cliente.
.PP
La siguiente es la lista completa de opciones de mapeo:
.TP
.IR root_squash
Mapea pedidos del uid/gid 0 al uid/gid annimo. Ntese que esto no se
aplica a otros uids que pueden ser igualmente sensitivos, como el usuario
.IR bin .
.TP
.IR no_root_squash
Deshabilita la opcin de `root squashing'. Esta opcin es particularmente
til para clientes sin discos.
.TP
.IR squash_uids " y " squash_gids
Esta opcin especifica una lista de uids o gids las cuales se deberan
mapear annimamente. La siguiente es una lista vlida de ids:
.IP
squash_uids=0-15,20,25-50
.IP
En general, la lista es mucho mas simple, por ejemplo:
.IP
squash_uids=0-100
.IP
.TP
.IR all_squash
Mapea todos los uids y gids al usuario annimo. Util para exportar con NFS
directorios FTP pblicos, directorios de spool para noticias, etc. La
opcin contraria es
.IR no_all_squash ,
la cual est habilitada por omisin.
.TP
.IR map_daemon
Esta opcin habilita el mapeo de uids y gids dinmico. Cada uid en un
pedido NFS se traduce a su equivalente uid del servidor, y cada uid en una
respuesta NFS se traduce a su equivalente uid del cliente. Para usar esta
opcin, el daemon
.BR rpc.ugidd (8)
debe ejecutarse en la mquina cliente. Las opciones por omisin son
.IR map_identity ,
la cul deja todos los uids como estn. Est o no el mapeo dinmico
habilitado, el sistema utilizar las opciones normales de squash.
.TP
.IR anonuid " y " anongid
Estas opciones establecen en forma explcita las uid y gid de la cuenta
annima. Esta opcin es til para clientes PC/NFS, donde todos los pedidos
parece provenir de un solo usuario. Por ejemplo, la lnea de exportacin
para
.I /home/joe
en la seccin de ejemplo de ms abajo, mapea todos los pedidos al uid 150
(que supuestamente pertenece al usuario joe).
.IP
.nf
.fi
.SH EJEMPLO
.PP
.nf
.ta +3i
# fichero de ejemplo /etc/exports
/ master(rw) trusty(rw,no_root_squash)
/projects proj*.local.domain(rw)
/usr *.local.domain(ro) @trusted(rw)
/home/joe pc001(rw,all_squash,anonuid=150,anongid=100)
/pub (ro,insecure,all_squash)
.fi
.PP
La primera linea exporta el sistema de ficheros completo a las mquinas
master y trusty. Adems de permitir acceso de escritura, deshabilita el
mapeo de uids para la mquina trusty.
La segunda y la tercer entradas muestran ejemplos de comodines en nombres
de mquinas y grupos de red (la entrada `@trusted'). La cuarta lnea
muestra la entrada para el cliente PC/NFS presentada anteriormente. La
ltima lnea exporta el directorio pblico FTP a todas las mquinas del
mundo, los pedidos sern ejecutados usando la cuenta nobody. La opcin
.I insecure
tambin permite clientes con implementaciones NFS que no utilizan un puerto
reservado para NFS.
.SH ADVERTENCIAS
Contrariamente a otras implementaciones del servidor NFS, este
.B nfsd
permite exportar directorios y sus respectivos subdirectorios a la misma
mquina, por ejemplo
.IR /usr " y " /usr/X11R6 .
En este caso, se utilizan las opciones de montaje para la entrada mas
especfica. En este caso, cuando un usuario en una mquina cliente acceda
un fichero en
.IR /usr/X11R6 ,
se usarn las opciones de montaje de
.I /usr/X11R6 .
Este mismo criterio se utiliza cuando la entrada es un comodn o un grupo
de red.
.SH FICHEROS
.TP
.I /etc/exports
Fichero de configuracin para
.BR nfsd (8).
.TP
.I /etc/passwd
El fichero de contraseas.
.PP
.SH DIAGNSTICOS
Errores de sintaxis en el fichero de configuracin se reportan usando
.BR syslogd (8)
con nivel NOTICE de un DAEMON cuando
.BR nfsd (8)
o
.BR mountd (8)
comienzan. Mquinas desconocidas tambin se reportan al comienzo. Como
named(8) no suele reconocer todas las mquinas al arrancar el sistema, a
medida que se van encontrando mquinas, stas se reportan utilizando los
mismos parmetros para syslogd(8).
.SH VASE TAMBIN
.BR mountd (8),
.BR nfsd (8),
.BR nfs (5),
.BR passwd (5).
|
