Les fichiers de configuration du serveur NFS

Il existe trois manières de configurer un serveur NFS sous Red Hat Enterprise Linux : en utilisant l'Outil de configuration du serveur NFS (system-config-nfs), en modifiant manuellement son fichier de configuration (/etc/exports) ou en exécutant la commande

/usr/sbin/exportfs.

Pour obtenir des instructions sur l'utilisation de l'Outil de configuration du serveur NFS, reportez-vous au chapitre intitulé Système de fichiers réseau (NFS) du Guide d'administration système de Red Hat Enterprise Linux. Le reste de cette section examine la modification manuelle de /etc/exports et l'utilisation de la commande /usr/sbin/exportfs pour exporter les systèmes de fichiers NFS.

Le fichier /etc/exports permet non seulement de contrôler les systèmes de fichiers spécifiques qui sont exportés vers des hôtes distants, mais il permet également de spécifier des options. Les lignes blanches ne sont pas prises en compte, des commentaires peuvent être mentionnés en ajoutant un symbole dièse (#) en début de ligne et un retour à la ligne peut être introduit grâce à une barre oblique inverse (\). Chaque système de fichiers exporté doit avoir sa propre ligne et toutes les listes d'hôtes autorisés placées après un système de fichiers exporté doivent être séparées par des espaces. Les options pour chacun des hôtes doivent être placées entre parenthèses directement après l'identifieur d'hôte, sans espace entre l'hôte et la première parenthèse.

La ligne pour un système de fichiers exporté a la structure suivante :

<export> <host1>(<options>) <hostN>(<options>)...

Dans cette structure, remplacez <export> par le répertoire devant être exporté, remplacez

<host1> par l'hôte ou le réseau vers lequel l'export est partagé et remplacez <options> par les options pour cet hôte ou ce réseau. Des hôtes supplémentaires peuvent être spécifiés dans une liste délimitée par des espaces.

• hôte simple — Où un hôte particulier est spécifié avec un nom de domaine pleinement qualifiée, un nom d'hôte ou une adresse IP.

• caractères génériques — Où les caractères * ou ? sont utilisés pour prendre en compte un groupement de noms de domaines pleinement qualifiés qui correspondent à une chaîne de lettres donnée. Les caractères génériques (aussi appelés wildcards) ne devraient pas être utilisés avec les adresses IP ; il est toutefois possible qu'ils fonctionnent par accident, si les recherches inverses de DNS échouent.

Soyez toutefois prudent lors de l'utilisation de caractères génériques avec des noms de domaines pleinement qualifiés, car ils sont souvent plus exacts que ce que vous escomptez. Par exemple, si vous utilisez *.example.com comme caractère générique, sales.example.com sera autorisé à accéder au système de fichiers exporté, mais pas bob.sales.example.com. Pour une correspondance incluant les deux noms de domaine, vous devrez spécifier *.example.com et *.*.example.com.

• réseaux IP — Autorisent la mise en correspondance d'hôtes en fonction de leur adresse IP dans un réseau plus grand. Par exemple, 192.168.0.0/28 autorisera les 16 premières adresses IP, de 192.168.0.0 à 192.168.0.15, à accéder au système de fichiers exporté, mais pas 192.168.0.16 ou une adresse IP supérieure.

• groupes réseau — Attribuent un nom de groupe réseau NIS, écrit ainsi : @<group-name>. Cette option attribue au serveur NIS la charge du contrôle d'accès pour ce système de fichier exporté, où les utilisateurs peuvent être ajoutés et supprimés dans un groupe NIS sans affecter /etc/exports.

Dans sa forme la plus simple, le fichier /etc/exports précise seulement le répertoire exporté et les hôtes autorisés à y accéder, comme dans l'exemple suivant :

/exported/directory bob.example.com

Dans cet exemple, bob.example.com peut monter /exported/directory/. Étant donné qu'aucune option n'est spécifiée dans cet exemple, les options NFS par défaut prennent effet :

• ro — Les montages du système de fichiers exporté sont en lecture-seule. Les hôtes distants ne peuvent pas modifier les données partagées sur le système de fichiers. Pour autoriser les hôtes à apporter des modifications au système de fichiers, l'option rw lors de l'utilisation de l'option sync.

• root_squash — Cette option retire au super-utilisateur en connexion distante tous les privilèges de son statut en lui assignant l'ID d'utilisateur nfsnobody (personne). Ce faisant, le pouvoir du super-utilisateur distant est réduit au niveau d'utilisateur le plus bas, l'empêchant d'apporter des modifications non autorisées dans des fichiers sur le serveur distant. Sinon, l'option no_root_squash annule cette fonction de réduction des privilèges du super-utilisateur. Afin de limiter le champ d'action de chaque utilisateur distant, y compris le super-utilisateur, utilisez l'option all_squash. Pour

spécifier les ID d'utilisateur et de groupe à utiliser avec des utilisateurs distants d'un hôte particulier, utilisez respectivement les options ^anonuid et ^anongid. Dans ce cas, un compte utilisateur spécial peut être créé pour que les utilisateurs NFS distants le partagent et spécifient (anonuid=<uid-value>,anongid=<gid-value>), où <uid-value> correspond au numéro de l'ID d'utilisateur et <gid-value> représente le numéro de l'ID de groupe.

• Secure — requiert une authentification

• Insecure — ne requiert pas d'authentification

• Noaccess — permet d'exclure une partie de l'arborescence pour des clients donnés Toutes les valeurs par défaut de chaque système de fichiers exporté doivent être explicitement écrasées. Par exemple, si l'option rw n'est pas spécifiée, le système de fichiers exporté est partagé en lecture-seule. L'exemple suivant est une ligne de /etc/exports qui écrase les deux options par défaut :

/another/exported/directory 192.168.0.3(rw,sync)

Dans cet exemple, 192.168.0.3 peut monter /another/exported/directory/ en lecture/écriture et tous les transferts vers le disque sont validés avant que la requête d'écriture par le client ne soit achevée.

De plus, d'autres options sont disponibles là où il n'existe pas de valeur par défaut. Elles permettent d'annuler la vérification de la sous-arborescence, l'accès à des ports non-sûrs et les verrouillages non-sûrs de fichiers (nécessaires pour certaines implémentations anciennes de client NFS). Consultez la page de manuel de exports pour obtenir deplus amples informations sur ces options moins souvent utilisées.

Avertissement

Le format du fichier /etc/exports est très précis, particulièrement en ce qui concerne l'utilisation des caractères d'espacement. Rappelez-vous bien de toujours séparer les systèmes de fichiers exportés des hôtes, et les hôtes entre eux à l'aide d'un caractère d'espacement.

Toutefois, aucun autre caractère d'espacement ne doit figurer dans le fichier, sauf sur des lignes de commentaire.

Par exemple, les deux lignes suivantes n'ont pas la même signification :

/home bob.example.com(rw) /home bob.example.com (rw)

La première ligne autorise seulement les utilisateurs de bob.example.com à avoir un accès en lecture/écriture au répertoire /home/. La deuxième ligne elle autorise les utilisateurs de

bob.example.com à monter le répertoire en lecture-seule (la valeur par défaut), alors que tout autre utilisateur peut le monter en lecture/écriture.

Exemple 1 de fichier /etc/exports :

# Ressource Options Liste_de_Clients

# Exporte /tmp vers la machine "cli" avec possibilité Read Write (rw)

# rw est l'option par défaut

/tmp cli(rw)

#Exporte "/tmp" en lecture seule vers toutes les machines du réseau /tmp *(ro)

Exemple 2

# fichier /etc/exports d'exemple

/ maître(rw) confiance(rw,no_root_squash) /projects proj*.local.domain(rw)

/usr *.local.domain(ro) @trusted(rw)

/home/joe pc001(rw,all_squash,anonuid=150,anongid=100) /pub (ro,insecure,all_squash)

Commentaire :

La première ligne exporte l'ensemble du système de fichiers vers les machines maître et confiance. En plus des droits d'écriture, toute conversion d'UID est abandonnée pour l'hôte confiance.

La deuxième et la troisième ligne montrent des exemples de noms d'hôtes génériques, et de sous-réseaux (`@trusted').

La quatrième ligne montre une entrée pour le client PC/NFS présenté plus haut.

La dernière ligne exporte un répertoire public de FTP, à tous les hôtes dans le monde, en effectuant les requêtes sous le compte anonyme. L'option insecure permet l'accès aux clients dont l'implémentation NFS n'utilise pas un port réservé.