[[Vorlage(Getestet, karmic, jaunty, intrepid, hardy, dapper)]] {{{#!vorlage Wissen [:Pakete_installieren: Installation von Programmen] [:Terminal: Ein Terminal öffnen] [:Editor: Einen Editor öffnen] }}} [[Inhaltsverzeichnis(2)]] [http://nfs.sourceforge.net/ NFS (Network File System)] {en} ist ein stabiles und gut funktionierendes Netzwerk-Protokoll von Sun, um Dateien über das lokale Netzwerk auszutauschen (es würde auch über das Internet funktionieren, ist aber aus Sicherheitsgründen nicht zu empfehlen). NFS ist im Prinzip das *NIX-Pendant zu [wikipedia:Server_Message_Block:SMB] aus der Windows-Welt. = Einsatzszenario = NFS setzt für einen reibungslosen und sicheren Betrieb voraus, dass * alle Benutzer im Netzwerk eindeutige UIDs haben * alle Rechner im Netzwerk zentral administriert werden. Die Rechner müssen also so konfiguriert werden, dass jeder Benutzer netzweit seine eigene feste, numerische UID erhält, die auf allen Rechnern dann gleich ist. Bei größeren Netzwerken stellt man das mit einem [wikipedia:Lightweight_Directory_Access_Protocol:LDAP]- oder [wikipedia:Network_Information_Service:NIS]-Server sicher. Die Zugriffskontrolle auf die einzelnen Dateien geschieht dann auf dem Server über das reguläre Dateiberechtigungssystem. Wenn die Benutzer Administratorenrechte auf ihren eigenen Rechnern haben bzw. ihre eigenen Notebooks ins Netz einbinden dürfen, können sie das aber umgehen und sich auf ihren Rechnern beliebige UIDs besorgen, die vom NFS-Server auch nicht weiter getestet werden. In diesem Fall müsste dann entweder ein zusätzliches Sicherheitsprotokoll wie Kerberos zum Einsatz kommen (nicht-trivial und nicht Gegenstand dieses Artikels) oder gleich [:Samba:] benutzt werden (langsamer). = Installation = Sollte NFS noch nicht vorhanden sein, lässt es sich sehr schnell installieren. Folgende Pakete und deren Abhängigkeiten müssen über die Paketverwaltung [1] noch zusätzlich installiert werden: Wenn der Rechner als Server dienen soll, der Dateien bereitstellt: * '''nfs-kernel-server''' Wenn der Rechner nur als Client agieren soll, der auf andere Freigaben zugreift: * '''nfs-common''' = Freigaben = Die Freigaben von Verzeichnissen und Dateien auf dem Server lassen sich entweder mit grafischer Oberfläche oder durch direkte Bearbeitung der Datei '''/etc/exports''' verwalten. == Verwalten mit grafischer Oberfläche == Die Freigaben können über die grafischen Oberflächen von [:GNOME:] (nur bis Ubuntu 7.10 Gutsy Gibbon) bzw. [:KDE:] sehr einfach exportiert werden. Unter Ubuntu/GNOME: Zum Einen geht dies über ''"System -> Systemverwaltung/Administration -> Gemeinsame Ordner"'' oder zum Anderen (noch einfacher) über [:Nautilus:]. Einfach mit der rechten Maustaste auf den gewünschten Ordner klicken und ''"Ordner freigeben"'' wählen (unter Gutsy lautet der Befehl im Kontextmenü ''"Ordner teilen"''). Als Protokoll danach ''NFS'' angeben. {{{#!vorlage Hinweis Ab Ubuntu 8.04 Hardy Heron können mittels GNOME/Nautilus nur noch Samba-Freigaben eingerichtet werden. Für NFS-Freigaben steht weiterhin die Konsole oder ein Terminal zur Verfügung (s.u.). }}} Unter Kubuntu/KDE: Zum Einen geht dies über ''"Systemeinstellungen -> Freigaben"''; das Hinzufügen von Ordnern erfordert Systemverwaltungsrechte; für die erweiterten Optionen vgl. den nächsten Abschnitt. Zum Anderen über [:Konqueror:]. Einfach mit der rechten Maustaste auf den gewünschten Ordner klicken und ''"Freigeben"'' wählen. Es erscheint ein einfacher Konfigurationsdialog. == Über die Konsole == Dazu muss die Datei '''/etc/exports''' angelegt und/oder bearbeitet werden [3]. Die Freigabe eines Verzeichnisses lässt sich mit einer Zeile nach folgendem Muster anlegen: {{{ () }}} Hier sind einige Beispiele: {{{ # freigabe1 wird für zwei Rechner freigegeben # notebook darf nur lesen (ro) # desktop darf lesen und schreiben (rw) /pfad/zur/freigabe1 notebook(ro,async) desktop(rw,async) }}} Alternativ kann die IP-Adresse angegeben werden: {{{ # Freigabe gilt nur für 192.168.1.13, jedoch nur mit Leserechten: /pfad/zur/freigabe2 192.168.1.13(ro,async) # Freigabe gilt für alle IPs von 192.168.1.1 bis 192.168.1.255, mit Lese-/Schreibrechten: /pfad/zur/freigabe3 192.168.1.0/255.255.255.0(rw,async) # Freigabe gilt nur für den Rechner mit dem Namen notebook /pfad/zur/freigabe4 notebook(ro,async) }}} Die Parameter in den Klammern lauten: || rw || Lesen und Schreiben || || ro || nur Lesen || || async || Asynchroner Datentransfer || || insecure || Ports oberhalb 1024 auch verwenden || || no_root_squash|| Bindet man per NFS Verzeichnisse ein, die auf dem Server dem User root gehören, werden diese auf den User nobody gemapped und man kann diese nicht modifizieren. Um dieses Sicherheitsfeature zu umgehen, dient der Parameter no_root_squash (weitere Info mit man 5 exports) || || nohide || Wenn unterhalb eines exportierten Verzeichnisses (z.B. /home/user auf /dev/hda1) ein weiteres Dateisystem eingebunden wurde (z.B. /dev/hdb1 in /home/user/Musik), so wird dieses Verzeichnis durch einen eigenen exports-eintrag exportiert. Im Normalfall (option 'hide') sieht der Client dieses Unterverzeichnis nicht, wenn er nur das Oberverzeichnis einbindet, weswegen er beide einbinden muss. Durch die Option 'nohide' werden die eingebundenen Unterverzeichnisse dem Client nicht mehr als eigene Partitonen präsentiert, sondern als normale, zum Oberverzeichnis gehörende Verzeichnisse. Daher muss man zwar am Server noch alles explizit exportieren, am Client aber nur noch das Oberverzeichnis einbinden || || subtree_check|| Wenn nur einzelne Verzeichnisse eines Dateisystems freigegeben wurden, wird hiermit überprüft ob eine vom Client angeforderte Datei in diesen Verzeichnissen des Dateisystems ist. Wurde das komplette Dateisystem freigegeben, werden die Übertragungsgeschwindigkeiten beim deaktivieren mittels 'no_subtree_check' erhöht. Darüberhinaus stellt diese Option sicher, dass beim Einbinden eines NFS Verzeichnisses mittels 'root_squash' alle Dateien, die dem user 'root' gehören, nicht abrufbar sind (selbst wenn die Datei-Rechte dies vorsehen). Diese Option kann jedoch Probleme verursachen, insbesondere wenn Dateien umbenannt werden, die auf dem Client gerade geöffnet sind. Deshalb ist seit nfs-utils 1.0.x 'no_subtree_check' voreingestellt. || {{{#!vorlage Hinweis ''insecure'' sollte nur verwendet werden, wenn es unbedingt notwendig ist! Da dann auch die unsicheren Ports verwendet werden. Leider verwendet das OSX von Apple diese Ports für NFS-Verbindungen. Ein aktueller Apple Computer kann sich nur dann mit dem NFS-Server verbinden, wenn die Option ''insecure'' gesetzt ist. }}} {{{#!vorlage Hinweis Mit der Option ''nohide'' sollte man aufpassen, da es dadurch passieren kann, dass verschiedene Dateien, welche auf unterschiedlichen Partitionen bzw. Dateisystemen dieselbe Inode besitzen, im gemounteten Oberverzeichnis dieselbe Inode auf dem gleichen (NFS-)Dateisystem haben; manche Treiber verkraften das nicht. Zumindest bei mir führte es beim Client zu einer Kernel Panic, wenn ich gleichzeitig lesend und schreibend auf den Server zugegriffen habe. Des Weiteren sei angemerkt, dass die Option 'nohide' nur funktioniert, wenn die Client-Angabe ein bestimmter Rechner ist; bei Wildcards oder ganzen IP-Bereichen klappt das ''nicht''. }}} Damit sich der Rechner ''notebook'' auch zu der Freigabe /pfad/zur/freigabe3 verbinden kann, muss er mit der IP-Adresse in der Datei '''/etc/hosts''' [3] stehen. Die Datei muss wie folgt aufgebaut sein: {{{ }}} z.B.: {{{ 192.168.1.12 notebook notebook.meinedomain.local 192.168.1.13 desktop desktop.meinedomain.local }}} Nun muss dem NFS-Server im Terminal [2] nur noch gesagt werden, die exports neu einzulesen. {{{#!vorlage Befehl sudo exportfs -ra }}} Alternativ kann der gesamte NFS-Server neu gestartet werden: {{{#!vorlage Befehl sudo /etc/init.d/nfs-kernel-server restart }}} Die eventuell auftauchende Warnung "exportfs: No options for..." kann ignoriert werden. [[Anker(ACL)]] == Zugriffskontrolle == Der NFS-Server beachtet die Zugriffsbeschränkungen, die durch die Dateien ''/etc/hosts.allow'' und ''/etc/hosts.deny'' beschrieben werden. (Siehe auch [:inetd:inetd#tcpwrapper] und '''man hosts_access'''.) Falls man diese Art der Zugriffskontrolle (zusätzlich zu der aus '''/etc/exports''') verwenden will, sind folgende Einträge vorzunehmen: (Für den Fall, dass diese Dateien noch nicht existieren, kann man sie einfach selber anlegen.) In der '''/etc/hosts.deny''' {{{ portmap: ALL }}} Und in der '''/etc/hosts.allow''' {{{ # falls nur die IP 192.168.1.13 Zugriff erhalten soll: portmap: 192.168.1.13 # falls das gesamte LAN Zugriff erhalten soll: portmap: 192.168.1. # oder portmap: 192.168.1.0/24 }}} Auf dieselbe Art sollte man dann auch den Zugriff auf den '''mountd''' und den '''statd''' beschränken. Zu beachten ist, dass für diese Dienste nur IP-Adressen in den hosts_access-Dateien funktionieren, keine Domainnamen. {{{#!vorlage Hinweis Die Einschränkung des '''statd''' bietet sich auch auf Client-Rechnern an, insbesondere auf Notebooks, die auch mal in unsicheren Netzen unterwegs sind. Hier muss der Zugriff nur dem/den Server(n) erlaubt werden. }}} = Auf Freigaben zugreifen = Damit der Client auf die Freigaben zugreifen kann, muss er sie einfach einbinden können. Hierzu ein Terminal öffnen [2] und {{{#!vorlage Befehl cd /media sudo mkdir meinefreigabe sudo mount ipadresse:/pfad/zur/freigabe /media/meinefreigabe }}} eingeben. Im Falle einer Notebookfreigabe sieht das ca. so aus: {{{#!vorlage Befehl cd /media sudo mkdir server sudo mount 192.168.1.13:/home /media/server }}} Man könnte nun ein Shellskript schreiben, das bei Aufruf eine Verbindung zum Server herstellt. (Achtung: Wenn das Verzeichnis schon erstellt wurde, muss dieses natürlich nicht mehr erstellt werden.) Die zweite Möglichkeit ist, das Ganze mit Root-Rechten in die '''/etc/fstab''' Datei zu schreiben [3]. Beispiel für den Eintrag in die '''/etc/fstab''': {{{ 192.168.6.13:/home /media/server nfs rw 0 0 }}} || rw || Lese- und Schreibrechte || || ro || Nur Leserechte || Weitere Optionen in der '''/etc/fstab''' || hard || Bei Unterbrechungen ohne Timeout warten bis der Server wieder normal erreichbar ist || || soft || Bei Unterbrechungen sofort einen Timeout machen (verhindert ein Einfrieren des Dateimanagers) || || timeo= || In Verbindung mit "soft" kann festgelegt werden, wann der Timeout erfolgen soll || || bg || Bei einem Timeout, wird der mount im Hintergrund weiter versucht. Ist z.B. bei einem Laptop, dass im Heimnetz automatisch einen NFS-Server mounten soll, nützlich. || || intr || Erlaubt einem wartenden Programm bei Bedarf dennoch zu unterbrechen/killen || || nolock || Deaktiviert das Sperren von Dateien. Wird gelegentlich für die Verbindung zu alten NFS-Servern benötigt || || rsize=8192,wsize=8192 || '''Vorsicht''': Mit diesen Optionen kann man die Blockgröße der übertragenen Daten festlegen. In den allermeisten Fällen ist es nicht empfehlenswert diese Optionen zu setzen. Server und Client handeln diese Werte selbst aus und erreichen so ein Maximum an Performance. Falsche Werte können die Geschwindigkeit von NFS um bis zu '''50%''' reduzieren.|| Weitere Optionen stehen in der man page zu nfs. {{{#!vorlage Hinweis Portmap öffnet seinen Port standardmäßig an allen Netzwerkschnittstellen, was auf einem Client-Rechner nicht unbedingt erwünscht ist, (vor allem bei Laptops, die auch in anderen Netzen unterwegs sind). Man kann das ändern, indem man einfach folgenden Befehl ausführt und die Frage, ob Portmap nur an localhost gebunden werden soll, mit einem ''JA'' beantwortet. Damit ist der Port von anderen Rechnern nicht mehr erreichbar. ``sudo dpkg-reconfigure portmap`` }}} = Problembehebung = Sollten beim Zugriff auf NFS-Freigaben Probleme auftreten (z.B. Fehlermeldungen der Art ''"Permission denied"'', kein Schreibzugriff, scheinbar leere Ordner oder Ähnliches), so hängt dies sehr häufig mit mangelnden bzw. fehlerhaft vergebenen [:Rechte: Rechten] im eingebundenen (entfernten) Dateisystem zusammen. Weitere Hinweise hierzu finden sich vor allem unter [:mount#Rechte: mount -> Rechte ] sowie [:mount#Externe-Laufwerke-einhaengen: Externe Laufwerke einhängen]. {{{#!vorlage Hinweis Dateien und Ordner, die sich auf Partitionen mit dem Dateisystem [:NTFS:] befinden, können erst mit Kernel-Versionen ab 2.6.27-xx über NFS freigegeben werden. Dies ist in Ubuntu ab der Version 8.10 (Intrepid Ibex) der Fall. Bei der Freigabe von Dateien auf VFAT-Partitionen (FAT32) über NFS muss mit Problemen gerechnet werden. Als Ausweg empfiehlt sich dann [:Samba:]. }}} = Weiterführende Links = * [http://de.linwiki.org/index.php/Linuxfibel_-_Netzwerk_Server_-_NFS_Server Linuxfibel:NFS-Server] {de} - (unter LinWiki) * [http://www.selflinux.org/selflinux/html/nfs.html selflinux.org: NFS] {de} - Ausführliche Erklärung (für fortgeschrittene Benutzer) * [http://notes.setvisual.de/NFSv4_mit_Ubuntu NFSv4 mit Ubuntu] {de} - Knappes NFSv4 HowTo * [http://nfs.sourceforge.net/nfs-howto/ar01s07.html NFS-HowTo - Troubleshooting] {en} - Gute Hilfestellung, wenn etwas nicht funktionieren sollte! * [http://manpages.ubuntu.com/manpages/karmic/de/man5/exports.5.html Exports-Manpage] {de} - Manpage für /etc/exports * [http://manpages.ubuntu.com/manpages/karmic/en/man5/exports.5.html Exports-Manpage] {en} - Manpage für /etc/exports ## Ansonsten geht man gleich vor, wie es [[windows:Windowspartitionen einbinden|hier]] erklärt wird. ## Wer mit WLAN arbeitet, wird feststellen, dass die fstab Datei abgearbeitet wird, bevor die WLAN-Verbindung zur Verfügung steht. Nach dem Anmelden kann man die fstab Einträge nochmals einlesen. ## sudo mount -a ---- # tag: Netzwerk, Server, freigaben