Apparence
Uubu.fr

Les systèmes Linux, l’open source, les réseaux, l’interopérabilité, etc.
« Il vaut mieux viser la perfection et la manquer que viser l’imperfection et l’atteindre. » (Bertrand Arthur William RUSSEL)
03 décembre 2016

htmlpdflatexmanmd




exportfs

exportfs

Maintient une table de systèmes de fichiers NFS exportés

   Un serveur NFS maintient une table de systèmes de fichiers physiquement local accessibles aux clients NFS. Chaque système de fichier dans cette table est appelée un système de fichier exporté, ou export. La commande exportfs maintient la table courante des exports pour le serveur NFS. La table d'export maître est conservée dans un fichier nommé /var/lib/nfs/etab. Ce fichier est lus par rpc.mountd quand un client envoie une requête NFS MOUNT.

   Normalement la table d'export maître est initialisée depuis /etc/exports. Cependant, il est possible de supprimer des exports dans modifier /etc/exports. exportfs et sont partenaire rpc.mountd fonction en fournissant le système de fichier virtuel nfsd qui est monté dans /proc/fs/nfsd ou /proc/fs/nfs. exportfs ne donne pas d'informations au kernel, mais les fournis à rpc.mountd via le fichier /var/lib/nfs/etab. rpc.mountd peut ainsi gérer les requêtes kernel concernant les exports.

OPTIONS

-d, --debug kind Active le debug, (all, auth, call, general et parse)
-a Exporte ou dé-exporte tous les répertoires
-o options,... Spécifie une liste d'options d'exports
-i Ignore /etc/exports. Seules les options sur la ligne de commande et les options par défauts sont utilisées
-r Ré-exporte tous les répertoires. synchronise /var/lib/nfs/etab avec /etc/exports.
-u dé-exporte un ou plusieurs répertoires
-f Si /proc/fs/nfsd ou /proc/fs/nfs est monté, vide tout la table d'export du kernel, rafraîchi les entrées pour les clients actifs et les ajoute à la table d'export du kernel.
-v mode verbeux
-s Affiche la liste d'export courante.
^
03 décembre 2016

htmlpdflatexmanmd




/etc/exports

/etc/exports, /etc/exports.d

Fichier d'exports NFS

   Le fichier /etc/exports contient une table de systèmes de fichiers physiques locaux d'un serveur NFS accessibles aux clients NFS.

Formats des noms de machine

nom d'hôte un hôte peut être spécifié soit par son nom abrégé reconnu par le resolver, son fqdn, une adresse IPv4 ou IPv6
Réseaux IP il est possible d'exporter des répertoires à tous les hôte dans un sous-réseau en spécifiant ‹address›/‹netmask›, ou le masque peut être sous la forme /255.255.255.0 ou /24.
wildcards Les noms des machines peuvent contenir des caractère '*' ou '?' ou une classe de caractère entre crochets
netgroups Les netgroups NIS peuvent être donnés sous la forme @group. Seule la partie hôte du chaque membre du netgroup est vérifié.
anonymous Spécifié par '*' et matche tous les clients.

   Si un client matche plus d'une définition, seul le premier match de la liste est considéré.

Sécurité RPCSEC_GSS

   Les chaînes "gss/krb5", "gss/krb5i" ou "gss/krb5p" peunvent être utilisés pour restreindre l'accès aux clients utilisant la sécurité rpcsec_gss. Cependant, cette syntaxe est dépréciée, utiliser l'option "sec=":

   L'option sec=, suivi par une liste de mécanismes de sécurité, restreints l'export aux clients utilisant ces mécanismes: sys (défaut = pas de sécurité cryptographique), krb5 (authentification uniquement), krb5i (protection d'intégrité), et krb5p (chiffrement). La négociation suit l'ordre listé, le mécanisme préférentiel est listé en premier.

Options Générales

secure|insecure Cette option nécessite que les requêtes viennent d'un port inférieur à IPPORT_RESERVED (1024). Activée par défaut.
rw|ro Autoriser les requêtes de lecture/écriture ou de lecture seulement.
[a]sync async permet au serveur NFS de violer le protocole NFS et de répondre aux requêtes avant tout changement sur disque. Cela améliore les performance, mais peut cause une perte de données en cas de crash.
[no_]wdelay avec async, Le serveur NFS retarde normalement une requête d'écriture sur disque s'il suspecte qu'une autre requête d'écriture liée est en cours ou va se produire bientôt. Cela permet à plusieurs requêtes d'écritures d'être committed en une opération ce qui améliore les performances. Si un serveur reçoit principalement des petites requêtes non liées, ce comportement peut cependant réduire les performance. no_wdelay permet de désactiver ce comportement.
[no]hide Normalement, si un serveur exporte 2 systèmes de fichiers donc 1 est monté dans l'autre, le client devra monter les 2 systèmes de fichier explicitement. Si monte seulement le parent, il verra un répertoire vide à l'emplacement du 2eme fs. Il est 'caché'. nohide permet de ne pas cacher ce système de fichier. Cependant, certains client NFS ne gèrent pas cette situation, par exemple, il est possible que 2 fichiers aient le même numéro d'inode.
[no]crossmnt Similaire à nohide, mais rend possible l'accès à tous les systèmes de fichier monté dans le système de fichier marqué avec crossmnt. Donc un fs enfant "B" est monté dans un parent "A" a le même effet que nohide sur B. Avec nohide les fs enfant doivent être explicitement exportés, avec crossmnt ce n'est pas nécessaire. Si un enfant d'un fichier crossmnt n'est pas explicitement exporté, il l'est implicitement avec les mêmes options que le parent, à l'exception de fsid=.
[no_]subtree_check no_subtree_check désactive la vérification de l'arborescence, qui a de légères implications de sécurité, mais peut améliorer les performances dans certaines circonstances. Pour effectuer cette vérification, le serveur doit inclure des informations sur l'emplacement du fichier dans le filehandle donné au client. Cela peut poser problème en accédant à des fichiers qui sont renommé pendant qu'un client les ouvre. La vérification du subtree est également utilisée pour s'assurer que les fichiers dans les répertoire que seul root peut accéder peuvent seulement être accedés si le fs est exporté avec no_root_squash., même si le fichier lui-même autorise un accès plus large. un fs home devrait être exporté avec no_subtree_check. Un fs principalement lecture seule ou n'a pas de renommage important de fichiers (ex: /usr, /var), et pour lesquels les sous-répertoires peuvent être exportés, devraient probablement être exporté avec subtree_check.
[in]secure_locks|[no_]auth_nlm Indique que le serveur NFS n'exige pas d'authentification pour les requêtes le lock (qui utilisent le protocole NLM) Normalement le serveur NFS exige qu'une requête lock maintienne un accréditif pour un utilisateur qui a un accès en lecture sur le fichier.
mountpoint=path|mp Permet d'exporter seulement un répertoire si a été monté avec succès. Si aucun chemin n'est donné le point d'export doit être un point de montage. Cela permet de s'assurer que le répertoire sous un point de montage ne sera jamais exporté par accident si, par exemple, le fs échoue le montage dû à une erreur disque.
fsid=num|root|uuid NFS doit être capable d'identifier chaque système de fichier qu'il exporte. Normalement il utilise un UUID ou un numéro de périphérique. Il peut être nécessaire d'identifier explicitement un système de fichier dans certains cas. root ou 0 indiquent le système de fichier identifié comme le parent de tous les autres fs exportés.
nordirplus Désactive la gestion des requêtes READDIRPLUS. NFSv3 uniquement
refer=path@host[+host][:path@host[+host]] Un client référençant le point d'export sera dirigé pour choisir depuis la liste d'emplacement alternative pour le système de fichier.
replicas=path@host[+host][:path@host[+host]] Si le client demande un emplacement alternatif pour le point d'export, il obtiendra cette liste d'alternatifs.
pnfs Active l'extension pNFS, qui permet au client de bypasser le serveur et d'effectuer les opération d'E/S directement dans les périphériques.

Mappage d'ID utilisateur

   nfsd base sont contrôle d'accès aux fichier sur le serveur sur l'uid et le gid fournis dans chaque requête RPC NFS. Le comportement normal qu'un utilisateur attend et qu'il peut accéder à ses fichier sur le serveur comme dans un serveur de fichier normal. Cela nécessite que les même uids et gids soient utilisés dans le client et le serveur. Cela n'est pas toujours vrai, ni toujours désirable.

   Très souvent, il n'est pas désirable que root sur une machine soit également traitée en root en accédant à des fichiers sur un serveur NFS. l'uid 0 est normalement mappé à un autre id: nobody. Cette méthode, le root squashing, est le mode par défaut.

   Par défaut, exportfs choisis un uid et gid à 65534 pour l'accès squashed. Ces valeurs peuvent être changées par les options anonuid et anongid. Finalement on peut mapper toutes les requêtes utilisateur à l'uid anonyme avec l'option all_squash.

[no_]root_squash Map les requête pour uid/gid 0 en uid/gid anonyme
[no_]all_squash Map tous les uid/gid un uid/gid anonyme
anonuid, anongid Définis explicitement l'uid/gid anonyme

Table d'exports Extra

   Une fois la lecture de /etc/exports, exportfs lit les fichiers dans /etc/exports.d. Seul les fichiers se terminant par .exports sont lus.

Exemple

Exporter tout le système de fichier aux machines master et trusty, avec accès rw et désactivation du squashing
/ master(rw) trusty(rw,no_root_squash)
/projects proj*.local.domain(rw)
Exporter /usr en lecture seule à tous les hôtes du domain .local.domain, et en lecture/écriture à tous les membres du netgroup trusted
/usr *.local.domain(ro) @trusted(rw)
Exporter /home/joe pour pc001, avec activation du squashing pour tous les utilisateurs, et redéfinition du compte anonyme
/home/joe pc001(rw,all_squash,anonuid=150,anongid=100)
Exporter /pub en lecture seul à tous le monde
/pub *(ro,insecure,all_squash)
Exporter /srv/www en activant l'option sync à la machine "server" et aux membres de @trusted et @external
/srv/www -sync,rw server @trusted @external(ro)
Exporter /foo en IPv4 et IPv6
/foo 2001:db8:9:e54::/64(rw) 192.0.2.0/24(rw)
Utiliser les plages entre [] pour spécifier plusieurs noms d'hôte.
/build buildhost[0-9].local.domain(rw)
^
16 mai 2017

htmlpdflatexmanmd




ganesha-nfsd

ganesha-nfsd

Service nfs en userspace

-L ‹logfile› Fichier de log du service (défaut: SYSLOG)
-N ‹dbg_level› Niveau de verbosité. Défaut: NIV_EVENT
-f ‹config_file› Fichier de configuration. Défaut: /etc/ganesha/ganesha.conf
-p ‹pid_file› Fichier pid. Défaut: /var/run/ganesha.pid
-F Ne lance pas en tâche de fond
-R Gère RPCSEC_GSS
-T Dump la configuration par défaut sur stdout
‹epock› Change ServerBootTime pour ServerEpoch

Signaux

SIGUSR1 Active/désactive le vidage forcé du cache de contenu de fichier
^
16 mai 2017

htmlpdflatexmanmd




ganesha.conf

ganesha.conf

Fichier de configuration pour nfs-ganesha

NFS_CORE_PARAM

NFS_Port Port utilisé par le protocole NFS. défaut: 2049
MNT_Port Port utilisé par le protocole MNT. Défaut: 0
NLM_Port Port utilisé par le protocole NLM. Défaut: 0
Bind_addr Adresse d'écoute. Défaut: 0.0.0.0
NFS_Program Numéro RPC pour NFS. Défaut: 100003
MNT_Program Numéro RPC pour MNT. Défaut: 100005
NLM_Program Numéro RPC pour NLM. Défaut: 100021
Nb_Worker Nombre de threads. Défaut: 256
Drop_IO_ERrors (NFS3), indique de supprimer au lieu de répondre aux requêtes contenant des erreurs E/S.
Drop_Inval_Errors (NFS3)indique de supprimer au lieu de répondre aux requêtes contenant des erreurs d'arguments
Drop_Delay_Errors [NFS3) indique de supprimer au lieu de répondre aux requêtes contenant des erreurs de délai
Dispatch_Max_Reqs Nombre total de requêtes à autoriser dans le dispatcher simultannément. Défaut: 5000
Dispatch_Max_Reqs_Xprt Nombre de requêtes à autoriser dans le dispatcher depuis un transport spécifique. Défaut: 512
Plugins_Dir Chemin contenant les modules. Défaut: /usr/lib64/ganesha
Enable_Fast_Stats Indique si fast stats est utilisé
Short_File_Handle (NFS3) Utilise le file handle NFS cours, pour les clients VMware.
Manage_Gids_Expiration Délai de conservation des informations obtenue par getgroups quand Manage_Gids = TRUE est utilisé dans une entrée d'export
heartbeat_freq Frequnce de heartbeat dbus, en ms. Défaut: 1000
Enable_NLM Active le supporte du protocole NLM;
Decoder_Fridge_Expiration_Dela Délai d'attente en secondes, des threads decodeur non-utilisés avant de quitter. Défaut: 600
Decoder_Fridge_Block_Timeout Délait d'attente en secondes, du decodeur fridge pour accèpter une tâche avant de quitter. Défaut: 600
Blocked_Lock_Poller_Interval Interval d'interrogation pour le thread d'interrogation de lock bloqué. Défaut: 10
NFS_Protocols Liste de versions de protocoles autorisés. Défaut: 3,4
NSM_Use_Caller_Name Utilise le nom fournis au lieu de d'adresse IP dans NSM.
Clustered Indique si ganesha fait partie d'un cluster de serveurs Ganesha.
fsid_device Utilisation de périphérique majeur/mineur pour fsid
mount_path_pseudo Utilise Pseudo (true) ou Path (false) pour les montages NFS3 et 9P
DRC_Disabled Désactive DRC
TCP_Npart Nombre de partitions dans l'arborescence pour TCP DRS. Défaut: 1
DRC_TCP_Size Nombre maximum de requête dans un DRC de transport. Défaut: 1024
DRC_TCP_Cachesz Nombne d'entrée dans le cache frontend vers un cache de requête TCP Dupliqué. Défaut: 127
DRC_TCP_Hiwat watermark haut pour le DRC d'une connexion TCP pour commencer à retirer les entrées si possible
DRC_TCP_Recycle_Npart Nombre de partitions dans l'arborescence qui maintient les DRC par connexion peut qu'ils puissent être utilisés à la reconnexion
DRC_TCP_Recycle_Expire_S Délai en secondes d'attente avant de libérer le DRC d'un client déconnecté. Défaut: 600
DRC_TCP_Checksum Utilise un checksum pour matcher les requêtes et le XID.
DRC_UDP_Npart Nombre de partitions dans l'arborescence DRC UDP
DRC_UDP_Size Nombre maximum de requêtes dans le DRC UDP
DRC_UDP_Cachesz Nombre d'entrées dans le cache frontend pour le cache de requêtes UDP dupliquées
DRC_UDP_Hiwat Watermark haut pour DRC UDP auquel commencer à retirer les entrées si possible
DRC_UDP_Checksum Utilise un checksum pour matcher les requêtes et le XID
RPC_Debug_Flags Flags de débug pour TIRPC
RPC_Max_Connections Nombre max de connexions pour TIRPC. Défaut: 1024
RPC_Idle_Timeout_S Délai idle en secondes Défaut: 300
MaxRPCSendBufferSize Taille du tampon d'envoie RPC. Défaut: 1048576
MaxRPCRecvBufferSize Taille du tampon de réception RPC. Défaut: 1048576
RPC_Ioq_ThrdMax Threads io simultanné max
RPC_GSS_Npart Partitions dans la table de cache ctx GSS
RPC_GSS_Max_Ctx Contextes GSS max dans le cache. Défaut: 16384.
RPC_GSS_Max_Gc Entrées max pour expiration en une vérification idle
Enable_TCP_keepalive Spécifie si les sockets TCP utilisent SO_KEEPALIVE
TCP_KEEPCNT Nombre max de sondes TCP avant de détruire la connexion. Défaut: 0 (utilise le défaut système)
TCP_KEEPIDLE Temps idle avant que TCP ne commence à envoyer des sondes keepalive. Défaut: 0 (utiliser de défaut système)
TCP_KEEPINTVL Temps entre que chaque sonde keepalive. Défaut: 0 (utiliser de défaut système)

NFS_IP_NAME

Index_Size 1-51 Configuration pour la table de hash pour les mappages NFS name/IP map. Défaut: 17
Expiration_Time Délai d'expiration pour les mappages ip-name. Défaut: 3600

NFS_KRB5

PrincipalName principale pour le service. Défaut: nfs
KeytabPath Emplacement du fichier keytab
CCacheDir Emplacement du cache d'accréditifs. Défaut: /var/run/ganesha
Active_krb5 Indique si kerberos5 est activé

NFSv4

Graceless Désactive la période de grâce NFS4
Lease_Lifetime Durée de vie des bails NFS4
Grace_Period Période de grâce NFS
DomainName Domaine à utiliser si nfsidmap n'est pas utilisé
IdmapConf Chemin du fichier de configuration idmapd.conf
UseGetpwnam Utilise PAM au lieu de nfsidmap
Allow_Numeric_Owners Autorise les ID numériques dans les identifiants de propriétaire et groupe NFS4
Only_Numeric_Owners N'autorise que les ID numérique dans les identifiants de propriétaire et groupe NFS4
Delegations Autorise les délégations
Deleg_Recall_Retry_Delay Délai après lequel le serveur retente un recall en cas d'erreurs
pnfs_mds Indique si c'est un serveur pNFS MDS
pnfs_ds Indique si c'est un serveur pNFS DS

EXPORT_DEFAULTS

Access_Type RW, RO, MDONLY, MDONLY_RO, NONE.
Protocols Liste de protocoles permis: 3, 4, v3, v4, NFS3, NFS4
Transports Liste de protocoles de transport permis: UDP, TCP et RDMA
Squash Type de squashing: No_Root_Squash, NoIdSquash, None désactive le squashing, Root, Root_Squash, RootSquansh squash root, All, All_Squash, AllSquash squash tous les users
Anonymous_Uid uid utilisé pour les utilisateurs squashés.
Anonymous_Gid gid utilisé pour les groupes squashés.
SecType Liste de types de sécurité RPC autorisés: none, krb5, krb5i, krb5p
PrivilegedPort à true, les connexions client doivent venir d'un port ‹ 1024.
Manage_Gids À true, la liste de groupes alternatifs dans les accréditifs AUTH_SYS sont remplacés par une recherche serveur. Celà permet de bypasser la limite des 16 groupes de AUTH_SYS
Delegations Types de délégations qui peuvent être donnés (None, Read, Write, ReadWrite, R, W, et RW)
Attr_Expiration_Time Défaut: 60
NFS_Commit Défaut: false

EXPORT

Export_id Identifiant pour l'export. Doit être unique entre 0 et 65535. à 0, Pseudo doit être '/'
Path Répertoire à exporter. Ne Doit pas être unique si Pseudo et/ou Tag sont spécifiés
Pseudo Spécifie la position dans le Pseudo système de fichier que cet export occupe. Doit être unique. peut être spécifié plusieurs fois
Tag Permet un accès alternatif pour les montages NFSv3
MaxRead Taille le lecture maximum dans cet export. Défaut: 4194304
MaxWrite Taille d'écriture maximum dans cet export. Défaut: 4194304
PrefRead Taille de lecture préférée dans cet export. Défaut: 4194304
PrefWrite Talle d'écriture préférée dans cet export. Défaut: 4194304
PrefReaddir Taille readdir préféré dans cet export. Défaut: 16384. Ces 5 options on la même plage de valeurs de 512 à 9Mio
MaxOffsetWrite Offset de fichier maximum qui peut être écrit. Défaut: 18446744073709551615
MaxOffsetRead Offset de fichier maximum que peut être lu. Défaut: 18446744073709551615

EXPORT-CLIENT

        Clients Liste les entrées des clients. Peut être @netgroup, x.x.x.x/y, hostname, IPv4|IPv6. l'utilisation de '?' ou '*' est permise
        ‹export_perms› Toutes les permissions d'export dans le section EXPORT_DEFAULTS sont permise

EXPORT-FSAL

        Name Nom du FSAL
        ‹options› Les options dépendent du FSAL.

EXPORT-FSAL-PNFS

                Stripe_Unit Défaut: 8192
                pnfs_enabled Active pnfs. Défaut: false

EXPORT-FSAL-FSAL

                Décris les paramètres FSAL stackés

LOG

Default_log_level NULL|FATAL|MAJ|CRIT|WARN|EVENT|INFO|DEBUG|MID_DEBUG|M_DBG|FULL_DEBUG|F_DBG Niveau de logs par défaut
COMPONENTS Chaque entrée est sous la forme COMPONENT = LEVEL. Les composants sont:

LOG-COMPONENTS

        ALL
        LOG
        LOG_EMERG
        MEMLEAKS, LEAKS
        FSAL
        NFSPROTO, NFS3
        NFS_V4, NFS4
        EXPORT
        FILEHANDLE, FH
        DISPATCH, DISP
        CACHE_INODE, INODE
        CACHE_INODE_LRU, INODE_LRU
        HASHTABLE, HT
        HASHTABLE_CACHE, HT_CACHE
        DUPREQ
        INIT, NFS_STARTUP
        MAIN
        IDMAPPER
        NFS_READDIR
        NFS_V4_LOCK, NFS4_LOCK
        CONFIG
        CLIENTID
        SESSIONS
        PNFS
        RW_LOCK
        NLM
        RPC
        NFS_CB
        THREAD
        NFS_V4_ACL, NFS4_ACL
        STATE
        9P
        9P_DISPATCH, 9P_DISP
        FSAL_UP
        DBUS
        NFS_MSK

LOG-FACILITY

        name file|syslog Nom du nouveau logger
        destination stdout|stderr|syslog/‹file-path› Emplacement du fichier de log
        max_level NULL|FATAL|MAJ|CRIT|WARN|EVENT|INFO|DEBUG|MID_DEBUG|M_DBG|FULL_DEBUG|F_DBG Niveau de log maximum que ce logger gère. défaut: FULL_DEBUG
        headers none|component|all Niveau de détail pour la partie en-tête du message
        enable idle|active|default Active le logger

LOG-FORMAT

        date_format ganesha|true|local|8601|ISO-8601|ISO 8601|ISO|syslog|syslog_usec|false|none|user_defined Défaut: ganesha
        time_format ganesha|true|local|8601|ISO-8601|ISO 8601|ISO|syslog|syslog_usec|false|none|user_defined Défaut: ganesha
        user_date_format Spécifie le format pour date_format user_defined
        user_time_format Spécifie le format pour time_format user_defined
        EPOCH true|false Les dates sont basé sur l'epoch
        CLIENTIP true|false Inclus l'IP du client dans les logs
        HOSTNAME true|false Inclus les noms d'hôte dans les logs
        PROGNAME true|false Inclus le nom du programme dans les logs
        PID true|false Inclus de pid dans les logs
        THREAD_NAME true|false Inclus le nom du thread dans les logs
        FILE_NAME true|false Inclus le nom du fichier dans les logs
        LINE_NUM true|false Inclus de numéro de ligne dans les logs
        FUNCTION_NAME true|false Inclus le nom de la fonction dans les logs
        COMPONENT true|false Inclus le composant dans les logs
        LEVEL true|false Inclus le niveau de log

CACHEINODE

NParts Nombre de partitions dans l'arborescence Cache_Inode. Défaut: 7
Cache_Size Taille de table de hashage par partition
Use_Getattr_Directory_Invalidation Utilise getattr pour l'invalidation de répertoire
Dir_Max_Deleted Taille max du cache par répertoire des entrées supprimées. Défaut: 65536
Dir_Max Taille max du cache dirent par répertoire. Défaut: 65536
Dir_Chunk Taille des chunks du cache dirent par répertoire. 0 = le chunking n'est pas autorisé. Défaut: 128
Entries_HWMark watermark haut pour les entrées du cache. Défaut: 100000
LRU_Run_Interval Interval de base en secondes entre les lancerment du thread cleaner LRU. Défaut: 90
Cache_FDs spécifie si le cache des fichiers ouvert est autorisé
FD_Limit_Percent % du maximum imposé par le système de descripteurs de fichier au delà duquel ganesha refuse les requêtes
FD_HWMark_Percent % du maximum imposé par le système de descripteurs de fichier au delà duquel ganesha fera plus d'effort de récupération.
FD_LWMark_Percent % du maximum imposé par le système de descripteurs de fichier en-dessous duquel ganesha ne récupère pas de descripteur de fichiers..
Reaper_Work Quantité de travail à faire à chaque passe dans des conditions normales
Biggest_Window La fenêtre la plus large en % de la limite imposée par le système sur les FD, du travail qui est fait en extrême.
Required_Progress % de progression au-delà du watermark haut requis dans une passe via le thread en extrême.
Futility_Count Nombre d'erreurs pour approcher le watermark haut avant de désactiver le cache.
Retry_Readdir Comportement quand readdir échoue. true, demande au client de retenter ultérieurement.

9P

_9P_TCP_Port
_9P_RDMA_Port
_9P_TCP_Msize
_9P_RDMA_Msize
_9P_RDMA_Backlog
_9P_RDMA_Inpool_size
_9P_RDMA_Outpool_Size

CEPH

Ceph_Conf
umask
xattr_access_rights

GPFS

link_support
symlink_support
cansettime
umask
auth_xdev_export
xattr_access_rights
Delegations
pnfs_file
fsal_trace
fsal_grace

MEM

Inode_Size
Up_Test_Interval

RGW

Ceph_Conf
name
cluster
init_args

VFS

link_support
symlink_support
cansettime
maxread
maxwrite
umask
auth_xdev_export
xattr_access_rights

XFS

link_support
symlink_support
cansettime
maxread
maxwrite
umask
auth_xdev_export
xattr_access_rights

ZFS

link_support
symlink_support
cansettime
maxread
maxwrite
umask
auth_xdev_export
xattr_access_rights

PROXY

link_support
symlink_support
cansettime
MAX_READ_WRITE_SIZE
FSAL_MAXIOSIZE
SEND_RECV_HEADER_SPACE
maxread
maxwrite
umask
auth_xdev_export
xattr_access_rights

PROXY-Remote_Server

        Retry_SleepTime
        Srv_Addr
        NFS_Service
        NFS_SendSize
        NFS_RecvSize
        MAX_READ_WRITE_SIZE
        SEND_RECV_HEADER_SPACE
        FSAL_MAXIOSIZE
        NFS_SendSize
        NFS_RecvSize
        NFS_Port
        Use_Privileged_Client_Port
        RPC_Client_Timeout
        Remote_PrincipalName
        KeytabPath
        Credential_LifeTime
        Sec_Type
        Active_krb5
        Enable_Handle_Mapping
        HandleMap_DB_Dir
        HandleMap_Tmp_Dir
        HandleMap_DB_Count
        HandleMap_HashTable_Size

GLUSTER

pnfs_mds true|false
pnfs_ds true|false
^
05 décembre 2016

htmlpdflatexmanmd




idmapd.conf

idmapd.conf

Fichier de configuration pour libnfsidmap

   Le fichier de configuration idmapd.conf consiste de nombreuses sections.

[General]

Verbosity Niveau de verbosité. défaut: 0
Domain Nom de domain local NFSv4
Local-Realms Liste de royaumes kerberos qui peuvent être considérés équivalent au nom de royaume local.

[Mapping]

Nobody-User Nom d'utilisateur local utilisé quand un mappage ne peut pas être trouvé
Nobody-Group Nom du groupe local utilisé quand un mappage ne pas être trouvé

[Translation]

Method Liste ordonnée de méthodes de mappage à utiliser entre les noms NFSv4 et les ID locaux. (nsswitch, umich_ldap, static)
GSS-Methods Liste ordonnée de méthodes de mappage à utiliser entre les noms authentifiés GSS et les ID locaux. Défaut: identique à Method

[Static]

   La méthode de traduction static liste les noms GSS-Autheticated en noms d'utilisateurs locaux. les entrées sont sous la forme: principal@REALM = localusername

[UMICH_SCHEMA]

LDAP_server Nom du serveur LDAP
LDAP_base Base de recherche
LDAP_people_base Base de recherche pour les comptes utilisateurs
LDAP_group_base Base de recherche pour les groupes
LDAP_canonicalize_namo Indique si les nom sont canonisés. Défaut: true
LDAP_use_ssl Active le chiffrement de la communication
LDAP_ca_cert Emplacement du certificat CA
NFSv4_person_objectclass ObjectClass pour les comptes utilisateurs. Defaut: NFSv4RemotePerson
NFSv4_name_attr Nom de l'attribut pour les noms des utilisateurs nfsv4. Défaut: NFSv4Name
NFSv4_uid_attr Nom de l'attribut maintenant l'UID. Défaut: uidNumber
GSS_principal_attr Nom de l'attribut pour les principaux GSSAPI. Défaut: GSSAuthName
NFSv4_acctname_attr Nom de l'attribut utilisé pour les noms de compte. Défaut: uid
NFSv4_group_objectclass objectClass pour les groupes. Défaut: NFSv4RemoteGroup
NFSv4_gid_attr Attribut pour le GID. Défaut: gidNumber
NFSv4_group_attr Atribut pour les noms des groupes NFSv4. Défaut: NFSv4Name
LDAP_use_memberof_for_groups à true, utilise le 'memberof' du compte pour trouver les groupes et obtenir les GID
NFSv4_member_attr Indique l'attribut à rechercher pour l'option LDAP_use_memberof_for_groups. Défaut: memberUid
NFSv4_grouplist_filter Filtre de recherche optionnel pour déterminer le groupe membership.
LDAP_timeout_seconds Délai pour les requêtes LDAP. Défaut: 4
^
03 décembre 2016

htmlpdflatexmanmd




mountstats

mountstats

Afficher divers statistiques client NFS par montage

Sous-commandes

mountstats Affiche une combinaison de statistiques RPC par opération, compteur d'évènements NFS, et compteur d'octets NFS
iostat Affiche des statistiques type iostat
nfsstat Affiche des statistiques type nfsstat

Options générales

-f infile, --file infile Lit les statistiques depuis le fichier au lieu de /proc/self/mountstats. Le fichier doit être dans le même format.
-S sincefile, --since sincefile Affiche la différence entre les statistiques courantes et celles dans le fichier spécifié

Options pour mountstats

-n, --nfs Affiche seulement les statistiques NFS
-r, --rpc Affiche seulement les statistiques RPC
-R, --raw Affiche des statistiques brutes

Options pour iostat

‹interval› Délai en seconde entre chaque rapport
‹count› Nombre de rapport à générer

Options pour nfsstat

-3 uniquement les statistique pour nfsv3
-4 uniquement les statistique pour nfsv4
^
05 décembre 2016

htmlpdflatexmanmd




nfs4_acl

nfs4_acl

Listes de contrôle d'accès NFSv4

Le format de sortie pour une ACL NFSv4 est:
A::OWNER@:rwatTnNcCy
A::alice@nfsdomain.org:rxtncy
A::bob@nfsdomain.org:rwadtTnNcCy
A:g:GROUP@:rtncy
D:g:GROUP@:waxTC
A::EVERYONE@:rtncy
D::EVERYONE@:waxTC

Format d'ACL

   une ACL NFSv4 est écrite comme une acl_spec, consistant d'une ou plusieurs ace_specs. Une simple ACE NFSv4 est une ace_spec de 4 champs sous la forme: type:flags:principal:permissions

Types d'ACE

A Allow - autorise un principal à effectuer les actions
D Deny - Empêche le principal d'effectuer des actions
U Audit - Log toute tentative d'accès par un principal nécessitant les permissions.
L Alarm - génère une alarme système à une tentative d'accès

Flags d'ACE

   Il y a 3 types de flags: groupe, héritage et administration. Noter que les ACE sont hérités de l'ACL du répertoire parent à leur création.

Flags de groupe

        g groupe -indique que le principal représente un groupe

Flags d'héritage

        d Les sous-répertoires créés héritent de l'ACE
        f Les fichier créé héritent de l'ACE, sans les flags d'héritage.
        n Les sous-répertoires créé héritent de l'ACE, sans les flags d'héritage
        i L'ACE n'est pas considérée dans les vérifications de permissions, mais sont héritables; cependant, ce flag est supprimé des ACE héritées

Flags d'administration

        S Déclenche une alarm/audit quand le principal est autorisé à effectuer une action couverte par les permissions
        F Déclenche une alarm/audit quand le principal n'est pas autorisé à effectuer une action couverte par les permissions

Principaux d'ACE

   Un principal est soit un utilisateur nommé, soit un groupe, ou un des 3 principaux spéciaux: OWNER@, GROUP@, et EVERYONE@, qui représentent les distinctions POSIX.

Permissions d'ACE

r fichier: lire les données / répertoire: lister le contenu
w fichier: écrire des données / répertoire: Créer des fichiers
a fichier: Ajouter des données / répertoire: Créer des sous-répertoires
x fichier: Exécuter / répertoires: Changer de répertoire
d Supprime le fichier/répertoire.
D répertoire: supprimer les fichiers et sous-répertoires.
t Lire les attributs du fichier/répertoire
T Changer les attributs du fichier/répertoire
n Lire les attributs nommés du fichier/répertoire
N Changer les attributs nommés du fichier/répertoire
c Lire les ACL
C Changer les ACL
o Changer le propriétaire du fichier/répertoire
y Autorise les clients à utiliser les E/S synchrones avec le serveur.

Flags d'héritage

   Les flags d'héritage peuvent être divisés en 2 catégories: primaire (héritage fichier/répertoire) et secondaires (pas de propagation d'héritage et héritage uniquement), qui sont seulement significatifs dans la mesure où ils affectent les 2 flags primaires.

   Les flags no-propagate-inherit et inherit-only peuvent être difficiles à retenir: le premier détermine si l'ACE hérité d'un nouveau répertoire enfant est lui-même héritable; le second détermine si une ACE héritable affecte le répertoire parent (en plus d'être héritable). Ils peuvent être utilisés en tandem.

   Quand un sous-répertoire hérite d'une ACE de l'ACL du répertoire parent, cela peut être fait de 2 manières différentes dépendant de l'implémentation du serveur:

        - Dans le premier cas, la même ACE est définis dans l'ACL du sous-répertoire
        - Dans le second cas, 2 ACE différentes sont définis dans l'ACL du sous-répertoire: un avec tous les flags d'héritage enlevés, et un avec le flag inherit-only. Cette approche simplifie la modification des droits d'accès aux sous-répertoire lui-même sans modifier les ACE héritables.

Accès refusés

   les ACE deny devraient être évités autant que possible, cela augmente la confusion et la complexité. L'ordre des ACE est importante, et en dépit de l'ambiguïté de la rfc3530, les permissions non explicitement autorisées sont refusées.
^
05 décembre 2016

htmlpdflatexmanmd




nfs4_getfacl

nfs4_getfacl

Obtenir les listes de contrôle d'accès sur un système de fichier NFS monté

   nfs4_getfacl permet d'afficher la liste de contrôles d'accès d'un fichier ou répertoire dans un système de fichier NFSv4 monté et supportant le contrôle d'accès.

^
05 décembre 2016

htmlpdflatexmanmd




nfs4_setfacl

nfs4_setfacl, nfs4_editfacl

Manipuler les ACL NFSv4

Commandes

-a acl_spec [index] ajoute les ACE depuis acl_spec à l'ACL du fichier. Les ACE sont ajoutées à l'index donné. Défaut: 1
-A acl_file [index] ajoute les ACE depuis le fichier acl_file à l'ACL du fichier. Les ACE sont insérées à l'index donné. Défaut: 1
-x acl_spec | index supprime les ACE correspondantes à acl_spec, ou à l'index donné.
-X acl_file Supprime les ACE correspondantes à acl_spec dans le fichier acl_file.
-s acl_spec Définis l'ACL du fichier à acl_spec
-S acl_file Définis l'ACL du fichier à acl_spec du acl_file
-e, --edit Édite l'ACL du fichier dans l'éditeur définis par la variable d'environnement EDITOR, et définis l'ACL résultante en quittant l'éditeur
-m from_ace to_ace Modifie l'ACL du fichier en remplaçant from_ace avec to_ace

Notes

   Si '-' est donné avec -A -X ou -S, lit acl_spec depuis stdin

OPTIONS

-R, --recursive Applique les changement récursivement
-L, --logical Avec -R, suit les liens symboliques
-P, --physical Avec -R, ne suit pas les liens
--test Affiche le résultat au lieu de modifier effectivement l'ACL

Alias de permissions

   "read"(R), "write"(W) et "execute"(X) peuvent être utilisés pour définir les permissions. R vaut "rntcy", W vaut "watTNcCy" et X "xtcy"

Exemples

Assumant l'ACL suivante du fichier foo:
A::OWNER@:rwatTnNcCy
D::OWNER@:x
A:g:GROUP@:rtncy
D:g:GROUP@:waxTC
A::EVERYONE@:rtncy
D::EVERYONE@:waxTC
Autoriser alice@nfsdomain.org les accès "read" et "execute"
nfs4_setfacl -a A::alice@nfsdomain.org:rxtncy foo
idem, en utilisant les alias
nfs4_setfacl -a A::alice@nfsdomain.org:RX foo
Éditer l'ACL
nfs4_setfacl -e foo
Définir l'ACL depuis l'ACL d'un fichier
nfs4_setfacl -S newacl.txt foo
Définir récursivement les ACL à tous les fichiers et sous-répertoires du répertoire courant sans suivre les liens
nfs4_setfacl -R -P -S newacl.txt *
Suprimer la première ACE et afficher le résultat sans les changer
nfs4_setfacl --test -x 1 foo
Supprimer les 2 dernières ACE
nfs4_setfacl -x "A::EVERYONE@rtncy, D::EVERYONE@:waxTC" foo
Modifier la 2ème ACE
nfs4_setfacl -m D::OWNER@:x D::OWNER@:xo foo
Définir les ACL de bar et frobaz à l'ACL de foo
nfs4_getfacl foo | nfs4_setfacl -S - bar frobaz
^
03 décembre 2016

htmlpdflatexmanmd




nfsd

nfsd, rpc.nfsd

Serveur nfs

   rpc.nfsd implémente la partie utilisateur du service NFS. La fonctionnalité principale est gérée par le module kernel nfsd. Le programme userspace spécifie quel type de socket le service kernel doit écouter, la version NFS q'uil devrait supporter, et le nombre de thread que le kernel devrait utiliser.

OPTIONS

-d, --debug Active le debug
-H, --host Spécifie un nom d'hôte particulier ou adresse d'écoute
-p, --port Port d'écoute. Défaut: 2049
-r, --rdma Active l'écoute des requêtes NFS rdma
--rdma=port Port RDMA. Défaut: 20049
-N, --no-nfs-version vers Permet de limiter le supporte de NFS à certaines versions
-s, --syslog log les messages dans syslog au lieu de stderr
-T, --no-tcp Désactive les connexions TCP pour les clients
-U, --no-udp Désactive les connexions UDP pour les clients
-V, --nfs-version vers Permet de limiter le supporte de NFS à certaines versions
-L, --lease-time lease-time nfsv4, en seconde (entre 10 et 3600). délai pour les client pour confirmer leur état avec le serveur
-G, --grace-time grace-time nfsv4. Les requêtes de fichier ouvert et les NLM ne sont pas autorisés passé ce délay pour permettre au client de récupérer l'état.
nproc Spécifie le nombre de threads nfs. Défaut: 1 thread.
^
08 décembre 2016

htmlpdflatexmanmd




nfsdcltrack

nfsdcltrack

Programme de suivi d'appel client NFS

   nfsdcltrack est un programme côté serveur, qui suit les appels clients. Quand une partition réseau est combinée avec un reboot serveur, il y a des conditions qui peuvent permettre au serveur d'autoriser des réclamations de lock quand d'autres clients ont des conflits de lock (rfc3530 et rfc5661). Pour empêcher ces problèmes, le serveur doit garder une trace des informations client. nfsdcltrack fournis cette fonctionnalité

OPTIONS

-d, --debug Active le debug
-F, --foreground Ne lance pas en tâche de fond
-s storagedir, --storagedir=storagedir Répertoire où les informations de stockage stable devraient être conservés. Défaut: /var/lib/nfs/nfsdcltrack

Commandes

init Initialise la base
create Créé un nouvel enregistrement client ou met à jours l'horodatage d'un client existant. Nécessite un nfs_client_id4 en argument, en hexa
remove Supprime un enregistrement client de la base. Nécessite un nfs_client_id4 en argument, en hexa
check Vérifie si un nfs_client_id4 est autorisé à réclamer. Nécessite un nfs_client_id4 en argument, en hexa
check gracedone
Supprime tout enregistrement client non-réclamé de la base. Nécessite un délai de boot epoch en argument.

Configuration externe

Le répertoire pour les informations de stockage stable peut être définis via le fichier /etc/nfs.conf en définissant la valeur storagedir dans la section nfsdcltrack:
[nfsdcltrack]
storagedir = /shared/nfs/nfsdcltrack
^
05 décembre 2016

htmlpdflatexmanmd




nfsidmap

nfsidmap

Programme idmapper NFS

   Le protocole NFSv4 représente les valeurs UID/GID du système local en chaîne sous la forme user@domain. Le processus de traduction s'appèle l'ID mapping.

   Le système dérive la partie de la chaîne en effectuant une recherche password ou group. Le mécanisme de recherche est configuré dans /etc/idmapd.conf. Par défaut, la partie de la chaîne est le nom de domaine du système.

OPTIONS

-c Efface le keyring du toutes les clés
-d Affiche le nom de domaine NFSv4 effectif du système
-g user Révoque la clé gid du l'utilisateur donné
-l Affiche toutes les clé dans le keyring. Uniquement pas root
-r user Révoque la clé uid et gid de l'utilisateur donné
-t timeout Définis le délai d'expiration en secondes de la clé. Défaut: 600 secondes
-u user Révoque l'uid de l'utilisateur donné
-v Mode verbeux. Peut être spécifié plusieurs fois

Configuration

Le fichier /etc/request-key.conf peut être modifié pour que /sbin/sequest-key puisse diriger correctement les upcall. La ligne suivante peut être ajoutée avant qu'un call à keyctl échoue:
create id_resolver    *    *    /usr/sibn/nfsidmap -t 600 %k %d
Cela redirige toutes les requêtes id_resolver à nfsidmap.

   Le système idmapper utilise 4 descriptions de clé:

        uid Trouver l'UID pour l'utilisateur donné
        gid Trouver le GID pour le groupe donné
        user Trouver le username pour l'UID donné
        group Trouver le groupname pour le GID donné

On peut les gérer individuellement:
create id_resolver uid:*    *    /some/other/program %k %d
create id_resolver    *    *    /usr/sbin/nfsidmap %k %d
^
03 décembre 2016

htmlpdflatexmanmd




nfsiostat

nfsiostat

Émule iostat pour les points de montage NFS en utilisant /proc/self/mountstats

‹interval› Délai en seconde entre chaque rapport
‹count› Si spécifié, nombre de rapport à générer
‹options› voir plus bas
‹mount_point› affiche les statistiques sur les points de montage spécifiés

OPTIONS

-a, --attr Affiche des statistiques relatives au cache d'attributs
-d, --dir Affiche des statistiques relatives aux opérations de répertoire
-l, --list=LIST Affiche seulement des statistiques pour les points de montages spécifiés
-p, --page Affiche des statistiques relatives au cache de pages
-s, --sort Trie les points de montage par ops/secondes

Champs

op/s Nombre d'opérations par secondes
rpc bklog Longueur de file de backlog
kB/s Nombre de ko écris/lus par seconde
kB/op Nombre de Ko de écris/lus par opération
retrans Nombre de retransmissions
avg RTT (ms) Durée entre le moment où le kernel du client envoie la requête RPC jusqu'à la réception de la réponse
avg exe (ms) Durée depuis le moment où le client NFS envoie une requête RPC à son kernel jusqu'à ce que la requête RPC soit complétée, incluant le temp RTT
^
03 décembre 2016

htmlpdflatexmanmd




nfsstat

nfsstat

Statistiques NFS

OPTIONS

-s, --server Affiche les statistiques côté serveur
-c, --client Affiche les statistiques côté client
-n, --nfs Affiche seulement les statistiques NFS
-2 uniquement les statistiques nfsv2
-3 uniquement les statistiques nfsv3
-4 uniquement les statistiques nfsv4
-m, --mounts Affiche des statistiques sur chaque système de fichier NFS monté
-r, --rpc Affiche seulement les statistiques RPC
-o facility Affiche les statistiques pour les facilités spécifiées:

        nfs Information du protocole NFS
        rpc Informations générales RPC
        net Statistiques niveau réseau.
        fh Informations sur le cache de gestion de fichier du serveur
        rc Informations sur le cache de réponse du serveur
        io Informations sur l'utilisation E/S
        ra Informations sur le cache readhead
        all Affiche tout

-v, --verbose Équivalent à -o all
-l, --list Affiche les informations sous forme de liste
-S, --since file Importe les statistiques depuis le fichier spécifié et affiche la différence avec les statistiques actuelles. (/proc/net/rpc/nfs pour les statistiques client) et (/proc/net/rpc/nfsd pour les statistiques serveur)
-Z[interval], --sleep=[interval] prend un snapshot des statistiques courantes, et s'arrête jusqu'à SIGINT, puis prend un second snapshot et affiche les différences. Si un interval en seconde est spécifié, attend ce délai.

Exemples

Afficher toutes les informations sur NFS:
nfsstat -o all -234
idem:
nfsstat --verbose -234
Afficher des informations sur les versions actives de NFS:
nfsstat -o all
Afficher des statistiques du serveur nfsv3
nfsstat --nfs --server -3
afficher des informations sur les systèmes de fichiers nfs montés
nfsstat -m
^
05 décembre 2016

htmlpdflatexmanmd




rpc.idmapd

rpc.idmapd

Mappage de nom/ID nfsv4

   rpc.idmapd est le service de mappage nom ‹-› ID NFSv4. Il fournis cette fonctionnalité aux clients et serveurs en traduisant les UID/GID en noms, et vice versa.

   Le système dérive la partie de la chaîne en effectuant une recherche password ou group. Le mécanisme de recherche est configuré dans /etc/idmapd.conf. Par défaut, la partie de la chaîne est le nom de domaine du système.

   Noter que seul les serveurs NFSv4 utilisent rpc.idmapd. Les clients NFSv4 utilisent nfsidmap, sauf en cas de problème

OPTIONS

-v Mode verbeux. Peut être spécifié plusieurs fois
-F Ne lance pas en tâche de fond
-p path Emplacement du pipefs RCP. Défaut: /var/lib/nfs/rpc_pipefs
-c path Fichier de configuration à utiliser
-C Client uniquement: n'effectue pas de mappage
-S Serveur uniquement: n'effectue pas de mappage
^
24 décembre 2016

htmlpdflatexmanmd




rquotad

rquotad, rcp.rquotad

Serveur de quota distant

   rpc.rquotad est un serveur rpc qui retourne les quotas d'un utilisateur d'un système de fichier local qui est monté par une machine distante via NFS. Il permet également de définir les quotas dans les systèmes de fichiers NFS. En résultat, quota affiche les quotas utilisateurs pour les systèmes de fichiers distants et edquota permet de le définir. rquotad utilise tcp-wrappers qui permet de spécifier les hôtes autorisés à utiliser le service.

OPTIONS

-s, --no-setquota Ne permet pas de définis les quotas.
-S, --setquota Permet de définir les quotas
-F, --foreground Ne lance pas en tâche de fond
-I, --autofs N'ignore pas les points de montage autofs
-p port, --port port Port d'écoute alternatif
-x path, --xtab path Fichier d'export nfs alternatif. Utilisé pour déterminer le pseudoroot des exports NFSv4. Le pseudoroot est ainsi ajouté à chaque chemin relatifs reçus dans une requête RPC quota
^
03 décembre 2016

htmlpdflatexmanmd




showmount

showmount

Afficher les informations de montage d'un serveur NFS

OPTIONS

-a, --all Liste le hostname et l'ip du client et les répertoires montés. Ne devrait pas être considéré comme fiable
-d, --directories Liste seulement les répertoires montés par certains clients
-e, --exports Affiche la liste d'export du serveur
--no-headers N'affiche pas l'en-tête dans la sortie