Локальный пользователь не LDAP CI-Pipeline, обращающийся к общему ресурсу NFS, используемому пользователями LDAP
У нас есть каталог кеша на NFS, в который записываются пользователи LDAP. В CI у нас есть проблема, заключающаяся в том, что пользователь, не являющийся пользователем LDAP, не может правильно изменять файлы в этом каталоге кеша.
- Каков «правильный» способ настройки доступа к этому кэшу на основе NFS, чтобы включить использование кеша и в CI?
- Следует ли пользователю конвейера также быть пользователем LDAP? Или есть способ обойтись?
NFS требует, чтобы клиент и сервер имели согласованное сопоставление пользователей (вот почему знаменитая книга под названием «Управление NFS и NIS»). Во-первых, если kerberos не используется, все RPC-пакеты идентифицируются по uid/gid процесса. Таким образом убедитесь, что там все синхронизировано. Даже если имена пользователей разные, числовой идентификатор должен совпадать (здесь, конечно, использование LDAP помогает поддерживать согласованность). Во-вторых, когда вы делаете «chown bob file.txt», клиент отправляет на сервер либо «bob@», либо «1234» (при условии, что «1234» — это uid боба). Здесь также клиент и сервер должны договориться о том, что передается по сети, и, если отправляются строковые принципы, то LDAP поможет.
Конечно, вы можете синхронизировать идентификаторы вручную. Затем убедитесь, что используются числовые операции ввода-вывода.
Дополнительная информация: https://serverfault.com/a/632315/127530