了解NFSv4中的nfsidmap

nfsidmap 实用程序是 NFSv4 中处理 ID 映射 的关键组件，它在本地系统的UID/GID与 NFSv4 使用的user@domain字符串之间进行转换。这确保了在可能具有不同 UID/GID 映射的系统之间正确处理所有权和权限。

主要特性和使用

NFSv4 协议将用户和组 ID 表示为格式为 user@domain 的字符串。nfsidmap 程序有助于在这些字符串和本地 UID/GID 之间进行转换。它通过 request-key 机制由内核调用，并缓存结果以提高效率。

常用命令

下面是一些常用的nfsidmap命令：

# 清空所有缓存的ID映射结果
nfsidmap -c

# 显示有效的NFSv4域名
nfsidmap -d

# 撤销特定用户的UID密钥
nfsidmap -u <user>

# 撤销特定用户的GID密钥
nfsidmap -g <user>

# 列出所有缓存的密钥（需要超级用户权限）
nfsidmap -l

配置

nfsidmap的行为由/etc/idmapd.conf文件控制。关键配置包括：

• 域名：在 /etc/idmapd.conf 中的 Domain 参数必须在客户端和服务器端保持一致，才能实现正确的映射。如果未明确设置，系统将使用其 DNS 域名。
• 自定义程序：您可以为/etc/request-key.conf中的特定查找（例如UID或GID）配置自定义程序。

示例/etc/request-key.conf条目：

create id_resolver * * /usr/sbin/nfsidmap -t 600 %k %d

故障排除

如果所有权在NFS挂载上显示为nobody，这通常表明ID映射结果过时或域不匹配。要解决这个问题：

1. 确保/etc/idmapd.conf中的Domain在客户端和服务器端都匹配。
2. 使用nfsidmap -c清除缓存。
3. 重启NFS服务并重新挂载文件系统。

重要的注意事项

• 缓存：默认缓存超时时间为600秒。您可以使用-t选项对其进行调整。
• 权限：对于sec=sys挂载，ID映射只翻译名称；实际的权限检查依赖于本地UID/GID值。完整的ID映射功能需要Kerberos身份验证。
• 调试：使用-d和-l选项来诊断域问题和检查缓存的映射。

通过正确配置和利用nfsidmap，可以确保在NFSv4环境中无缝转换用户和组ID。