Probeme avec zfs allow

[ernie]

Hello

J'essaye d'avoir un utilisateur autre que le root pour faire des actions sur les datasets. L'idée est d'avoir un utilisateur zrep et non root pour lancer zrep.

J'ai créé un utilisateur zrepuser qui appartient au groupe wheel pour le moment.

J'ai donné des permissions zfs à zrepuser:

Code: Select all

zfs allow zrepuser create,destroy,hold,mount,readonly,receive,rename,rollback,send,snapshot,userprop pool2/test_zrep_dataset

Mais quand je crée un dataset avec l'utilisateur il y a un problème:

Code: Select all

cannot mount 'master/test_zrep_dataset': Insufficient privileges
filesystem successfully created, but not mounted

Sur le web, j'ai lu que l'utilisateur doit avoir les droits sur le point de montage.

Le point de montage des datasets est dans /mnt. Et /mnt appartient à root:wheel.
Zrepuser est dans le groupe wheel.

Vos conseils sont les bienvenus.

Merci par avance de vos conseils, et ce n'est pas ma zone de confort ces aspects de droits et privilège.

[velivole18]

Bonsoir,

A priori, le dataset est bien créé.
C'est effectivement le montage qui ne se fait pas.
Juste pour voir, un montage en étant root de ce dataset créé avec un user, ça donne quoi ?
Peut-être un peu plus de trace sur la cause du défaut de montage dans un log ?

Et sur un autre point de montage appartenant à zrepuser ?

A+
velivole18.

[ernie]

Merci Velivole18

Je vais regarder et j ai trouvé ceci
https://www.freebsd.org/doc/handbook/zfs-zfs-allow.html

Il faut rajouter un paramètre apparemment : vfs.usermount=1 pour que mount soit délégué

Cdlt

[ernie]

Hello,

En mettant le paramètre vfs.usermount=1 dans sysctl.conf, cela se passe mieux.

Cependant j'ai le message suivant;

Code: Select all

Creating readonly destination filesystem as separate step
Could not create directory '/mnt/.ssh'.
The authenticity of host 'nas4free1 (192.168.150.21)' can't be established.
RSA key fingerprint is SHA256:i0+LQLTUlZEJyEZ5iEOSKqTOvB8DBOnlk41q+Hsh5aQ.
No matching host key fingerprint found in DNS.
Are you sure you want to continue connecting (yes/no)? yes
Failed to add the host to the list of known hosts (/mnt/.ssh/known_hosts).

Zrepuser a son home sur /mnt. Si je créé un répertoire 'user/zrepuser' pour y mettre son home, cela ne change rien.

Le dataset est cependant bien créé.

Un avis ?
Merci

[velivole18]

Bonsoir,

Le $HOME de zrepuser est bien déclaré dans /etc/passwd ?
Les droits sur "user/zrepuser" sont-ils corrects pour ce user ?
Une 1ère connexion en ssh avec ce user et "user/zrepuser" comme $HOME peut-être ...

A+.

[ernie]

Oui je regarde en ce moment ces points. L enjeu est plus sûr l accès en ssh maintenant.
L’utilisateur est bien déclaré dans l interface user de xigmanas. Je vais continuer mes essais.