wie man Benutzer und Gruppen mit sshfs zuordnet

10

Wie Sie unten sehen können, kann ich den Benutzer von kevcoder00 auf kevcoder01 abbilden, aber die Gruppe wird der Ringelblume zugeordnet, obwohl diese Gruppe auf kevcoder01 nicht vorhanden ist

l00py@kevcoder00:~$ sshfs -o idmap=user l00py@kevcoder01:/home/l00py ~/kevcoder01/
l00py@kevcoder01's password: 
l00py@kevcoder00:~$ ls -hl kevcoder01/
total 0
-rw-r--r-- 1 l00py marigold 0 Jul  4 00:34 I_LIVE
-rw-r--r-- 1 l00py marigold 0 Jul  4 00:59 I_LIVE_AGAIN

Was muss ich tun, um Benutzer und Gruppe zuzuordnen?

Kevcoder
quelle

Antworten:

10

Ich glaube nicht, dass es sich um eine Ringelblume handelt. Die GID, die Ringelblume auf Ihrem lokalen System verwendet, entspricht der Standardgruppe von 100py auf dem Remote-Server devcoder01.

Zum Beispiel

Auf meinem Laptop ist meine Standardgruppe GID 501, saml.

$ id -a
uid=500(saml) gid=501(saml) groups=501(saml),502(vboxusers),503(jupiter)

Auf meinem Remote Server Skinner verwendet der Benutzer sam Folgendes:

$ id -a sam
uid=5060(sam) gid=1000(users) groups=1000(users),1060(pics),1050(mp3s),1070(mock)

Wenn ich mich jetzt verbinde:

$ sshfs -o idmap=user sam@skinner:/home/sam /home/saml/mnt

$ ls -l ~/mnt
drwxr-xr-x 1 saml users     4096 May 27  2011 projects
drwxr-xr-x 1 saml users     4096 Mar 11 22:53 public_html
-rw-r--r-- 1 root root   1992744 Apr 18  2012 rest.war
-rw-r--r-- 1 saml  1000      136 Sep  4  2012 scott_jay_addresses.txt
drwxr-xr-x 1 saml  1000     4096 Jun 27  2012 SparkleShare

Wenn Sie in dieses Verzeichnis schauen, scheint es, dass ich Zugriff auf andere Gruppen habe, aber es ist nur die Art und Weise, wie sshfs funktioniert. Es zeigt das freigegebene Verzeichnis unter Verwendung der UIDs / GIDs der Fernbedienung an, und Sie haben zufällig dieselben UIDs / GIDs auf Ihrem lokalen System verwendet.

Wenn Sie den -nSchalter verwenden, ls -lkönnen Sie die tatsächlichen UIDs / GIDs sehen:

$ ls -ln
drwxr-xr-x 1 500  100     4096 Mar 11 22:53 public_html
-rw-r--r-- 1   0    0  1992744 Apr 18  2012 rest.war
-rw-r--r-- 1 500 1000      136 Sep  4  2012 scott_jay_addresses.txt
drwxr-xr-x 1 500 1000     4096 Jun 27  2012 SparkleShare

Wenn ich einen Eintrag in der /etc/groupDatei meines lokalen Systems für 1000 hätte, wäre dieser beim Ausführen des Eintrags angezeigt worden ls -l. In der obigen Ausgabe können Sie sehen, dass die Gruppe "Benutzer" GID 100 verwendet, und ich habe zufällig einen Eintrag in meinem lokalen System dafür:

users:x:100:
slm
quelle
OK, das habe ich verstanden. Aber ich habe bereits einen Eintrag in / etc / group für Ringelblume: x: 1001: und wenn ich ihn in l00py: x: 1001: ändere, wird in der gesamten Ringelblumendatei l00py als Gruppe angezeigt. Sie sagen mir nicht, dass dies in einer Linux-Unternehmensumgebung (Windows-Entwickler hier) der
Fall ist
@kevcoder - Nein, in einer Unternehmensumgebung würden wir entweder Active Directory (das Linux als Client verwenden kann) oder LDAP verwenden. Die Nummer 1001 ist das, was auf der Festplatte gespeichert ist. Die Namen sind kosmetisch. Wenn wir also 2 Festplatten mit 1001 haben, sind sie technisch identisch, selbst wenn 1 Festplatte von einem System stammt, bei dem es sich um Gruppe A handelt, und die andere Festplatte von einer anderen System, in dem es Gruppe B ist. Ist das sinnvoll?
slm
Aber AD bietet im Wesentlichen Authentifizierung und Zugriff auf Ressourcen durch Gruppenmitgliedschaft (zumindest aus meiner Sicht als Entwickler), und LDAP ist, wie ich mich zu erinnern scheint, ein Abfragetool. Was ist LDAP-Abfrage .. nicht AD? Gibt es nicht eine * nix-spezifische Lösung? sshfs und nfs scheinen benutzerspezifisch zu sein. Wie werden gruppenbasierte Richtlinien- und Zugriffskontrollen auf * nix-Weise implementiert?
Kevcoder
2
LDAP ist eine Client / Server-Technologie mit einem Datenbank-Backend (hier werden Anmeldeinformationen usw. gespeichert). AD verwendet tatsächlich LDAP. Ja, sshfs ist eine User Space-Technologie. NFS ist eine Client / Server-Technologie, die CIFS (auch bekannt als SMB oder Samba) zum Freigeben von Ordnern und Druckern ähnelt. In Unix gibt es sowieso keine Technologie wie AD, mit der Richtlinien durchgesetzt werden können. Dies ist * nix schwächster Bereich beim Vergleich mit AD / Windows. Samba Version 4 kann als AD-Server und als vollständiger Teilnehmer teilnehmen. Dies ist das erste Mal, dass Sie ironischerweise Richtlinien in * nix verwenden können.
slm
Lassen Sie uns diese Diskussion im Chat fortsetzen
Kevcoder