Start

Daten per NFS freigeben

Mac OS X kann Ordner seines eigenen Dateisystems zur gemeinsamen Nutzung im Netzwerk über das NFS-Protokoll freigeben. Beachten Sie, dass es aufgrund der Architektur von NFS als verteiltes Dateisystem üblich ist

• ganze Volumes oder einen bestimmten „oberen“ Ordner innerhalb dieses Volumes und
• private Benutzerordner

jeweils als Freigaben anzulegen. Die Berechtigungen einzelner Benutzer und Gruppen werden über die Zugriffsrechte der einzelnen Dateien und Ordner geregelt, nicht über die Freigabe selbst. Über die Freigabe selbst können nur Berechtigungen für zugreifende Computer definiert werden.

Anlegen und Ändern von NFS-Freigaben

Um mit NFS-Freigaben zu arbeiten wählen Sie in der linken Übersicht des Steuerungsfensters den Punkt NFS-Server > Freigabedefinitionen aus oder wählen Sie den Menüpunkt Konfiguration > Freigabedefinitionen einblenden. Die Liste der Freigaben wird dann in der rechten Hälfte des Fensters in einer Tabelle angezeigt. Wird eine Zeile der Tabelle ausgewählt, erscheinen Detailinformationen über diese Freigabe unterhalb der Tabelle. Die einzelen Daten können verändert werden.

• Um eine Freigabe zu löschen, wählen Sie die entsprechende Zeile in der Liste aus und betätigen Sie den Knopf - unterhalb der Tabelle.
• Um eine Freigabe neu anzulegen, drücken Sie den Knopf + unterhalb der Tabelle. Es wird eine neue Freigabe mit Standardwerten angelegt, die Sie anschließend überschreiben müssen.

Gehen Sie wie folgt vor, um die Daten einer Freigabe an Ihre Bedürfnisse anzupassen:

1. Betätigen Sie den Knopf Auswählen … neben der Zeile Freigabeordner, um den lokalen Ordner auszuwählen, der freigegeben werden soll. Beachten Sie bitte die untenstehenden Hinweise im Abschnitt Beschränkungen für Freigaben.
2. Stellen Sie die Vorgaben für diese Freigabe mit den anderen Bedienelementen ein.

Sollen alle Schreibzugriffe auf die Freigabe abgeblockt werden, selbst wenn der entsprechende Benutzer Schreibberechtigung hätte, lassen Sie das Feld Nur zum Lesen freigeben angekreuzt. Ansonsten müssen Sie das Häkchen entfernen.

Haben Sie einen bestimmten Ordner freigegeben, wird der absolute Pfad dieses Ordners zum Freigabenamen, mit dem sich andere Computer verbinden. Die anderen Computer sehen dann die gesamte Dateihierarchie in, bzw. „unterhalb“ dieses Ordners. Möchten Sie erlauben, dass andere Computer wahlweise auch lediglich einen Unterordner innerhalb dieser Freigabe aktivieren dürfen, kreuzen Sie die Option Auch Aktivierung innerhalb der Freigabe erlauben an. Beispiel: Statt /freigabe dürfen dann andere Computer auch /freigabe/unterordner aktivieren, falls sie dies möchten.

Zuordnung von Benutzer- und Gruppen-Accounts zwischen Klient und Server

Das Klappmenü Benutzerabbildung legt fest, wie Benutzer und Gruppen von zugreifenden Rechnern auf Benutzer und Gruppen des freigebenden Rechners abgebildet werden sollen. Das Sicherheitsmodell von NFS lässt hier bestimmte Einschränkungen zu:

• „root“ auf unbefugten Benutzer („nobody“) abbilden: Der oberste Systemadministrator (root) eines anderen Computers soll vom NFS-Server als unbefugter Nutzer angesehen werden und wird auf den Account nobody abgebildet, der üblicherweise so gut wie keine Rechte besitzt. Dies ist die empfohlene Einstellung, um Sicherheitslücken zu vermeiden.
• Alle Benutzer auf unbefugten Benutzer („nobody“): In dieser Einstellungen werden sämtliche Benutzer und Gruppen eines zugreifenden Computers auf den Account nobody abgebildet. Dies ist eine sehr sichere Einstellung.
• Benutzer nicht abbilden: In dieser Einstellung werden die Benutzer und Gruppen jedes zugreifenden Rechners eins zu eins auf die Benutzer und Gruppen des NFS-Servers abgebildet. Die UIDs und GIDs werden also unbesehen übernommen. Insbesondere wird auch der oberste Systemadminstrator (root) jedes zugreifenden Rechners als oberster Systemadministrator (root) des NFS-Servers angesehen. Dies kann eine große Sicherheitslücke sein.
• Besondere Abbildung definieren (s. weitere Optionen): Mit dieser Einstellung können Sie weitergehende Abbildungen von Hand definieren. Hierzu muss der Knopf Weitere Optionen einblenden betätigt werden (siehe unten).

Sicherheitseinstellungen bei Nutzung von Kerberos

Ist in Ihrem Netz eine Kerberos-Zone definiert und ein entsprechender Kerberos-Schlüsselverteilungsserver vorhanden, können Sie die NFS-Freigabe mit zusätzlichen Maßnahmen absichern und die Datenübertragung verschlüsseln. Das Klappmenü Minimalsicherheit legt fest, welche Sicherungsmaßnahmen ein zugreifender Computer (und Kerberos-Benutzer) mindestens unterstützen können muss, um sich mit dieser Freigabe verbinden zu dürfen.

• Nur Systemstandard: Diese Einstellung legt fest, dass der Einsatz von Kerberos nicht erforderlich ist. Aktivierung und Datenzugriff erfolgen auf „klassische UNIX-Art“, nur mit UID- und GID-Identifikationen.
• Jeder vorhandene Sicherheitsmechanismus: Es steht dem Klienten völlig frei, entweder den klassischen Zugriff oder einen per Kerberos gesicherten Zugriff zu verwenden.
• Kerberos 5-Anmeldung: Nur Klienten, die Kerberos verwenden, dürfen zugreifen. Hierbei muss der Benutzer und/oder Computer, der die Aktivierung vornimmt, zumindest per Kerberos als zulässig angemeldet werden.
• Kerberos 5-Anmeldung mit Integritätsprüfung: Kerberos ist zwingend erforderlich. Neben der Identifizierung von Benutzer und Computer per Kerberos muss der Klient auch jedes übertragene Datenpaket per Kerberos gegen Manipulationen absichern.
• Kerberos 5 mit Prüfung und Verschlüsselung: Nur Klienten, die Kerberos verwenden, Benutzer und Computer identifizieren, die Datenpakete auf Integrität prüfen und jedes Datenpaket zusätzlich verschlüsseln, dürfen zugreifen. Dies ist die sicherste Möglichkeit, NFS zu betreiben. Aufgrund des hohen Aufwands, der bei jeder Datenübertragung getrieben werden muss, wird jedoch die Rechenlast auf beiden Seiten der Verbindung erhöht und die effektive Geschwindigkeit kann stark absinken.

Zugriff auf bestimmte Computer beschränken

Da NFS als verteiltes Dateisystem konzipiert ist und deshalb keine Anmeldung benötigt, sollte der Zugriff auf bestimmte, „vertrauensvolle“ Klienten beschränkt werden. Die Grundeinstellungen werden mit dem Klappmenü Zugriffsrecht vorgenommen:

• Zugriff von jedem Netz und Computer erlauben: Der Zugriff wird nicht eingeschränkt. Jeder Computer, der den NFS-Server über das Netz erreichen kann, darf die Freigabe nutzen. Dies ist ein potenzielles Sicherheitsrisiko. Ist das Netz, in dem sich der Computer befindet, nicht durch eine Firewall gegenüber anderen Netzen geschützt, kann im Prinzip jedes andere verbundene Netz, d.h. möglicherweise das gesamte Internet auf die freigegebenen Daten zugreifen.
• Zugriff auf bestimmtes IPv4-Netz beschränken: Sie müssen eine Teilnetzadresse mit zugehöriger Netzmaske eingeben. In diesem Fall können nur Computer, die IP-Adressen dieses Teilnetzes verwenden, auf die Freigabe zugreifen.
• Nur bestimmte Clients zulassen (s. weitere Optionen): Sie können eine Liste von IP-Adressen oder DNS-Namen angeben. Nur die aufgelisteten Computer dürfen zugreifen. Die Liste muss in einem Dialogfenster eingegeben werden, das nach Betätigen von Weitere Optionen einblenden angezeigt wird.

Weitere Optionen

Fortgeschrittene Wahlmöglichkeiten zur NFS-Freigabe können über ein Dialogfenster angegeben werden, das nach Betätigen der Schaltfläche Weitere Optionen einblenden erscheint. Diese Optionen werden auf einer getrennten Seite im Detail beschrieben.

Reparieren einer beschädigten Freigabenkonfiguration

Falls Sie versucht haben, den NFS-Server manuell, ohne die Hilfe von NFS Manager einzurichten, oder falls Sie ein Drittanbieterprogramm verwendet haben, das nicht perfekt auf Ihre aktuelle Version von Mac OS X angepasst ist, könnte die List der Freigaben so weit beschädigt sein, dass sich der NFS-Server komplett abschaltet. NFS Manager ist in der Lage, dieses Problem zu erkennen und gibt Ihnen die Chance, die kaputte Konfigurationsdatei zu entfernen, um mit einer neuen, leeren zu beginnen. In diesem Fall sind alle Bedienungselemente des Punktes Freigabedefinitionen gesperrt und die Meldung Die aktuelle Freigabekonfiguration ist ungültig. erscheint in rot unterhalb der Freigabentabelle. Drücken Sie auf den Knopf Mehr Info… um einen speziellen Reparaturdialog aufzurufen. Sie können entweder

• die fehlerhafte Konfiguration von Hand entfernen und NFS Manager über diese Änderung informieren, oder
• NFS Manager die aktuelle Konfiguration löschen lassen, so dass Sie mit einer bereinigten, leeren Tabelle von Freigaben neu anfangen können.

Beim Löschen der aktuellen Konfiguration werden die ungültigen Definitionseinträge in eine Sicherungsdatei gespeichert. Sie finden diese in /etc/exports-INVALID.backup. Erfahrene Systemverwalter können diese Datei nutzen, um einige der früheren Freigabeneinträge wiederherzustellen.

Beschränkungen für Freigaben

Beim Anlegen von NFS-Freigaben gibt es vier Grundregeln, die immer beachtet werden müssen:

1. Grundsätzlich darf jedes physische Dateisystem (in Macintosh-Sprache also jedes Volume einer Platte) oder ein Unterordner davon freigegeben werden.
2. Die Freigabe eines Unterordners eines bereits freigegebenen Ordners ist nur dann erlaubt, wenn sich dieser Unterordner auf einem anderen physischen Dateisystem befindet. (Dies ist dann der Fall, wenn der freigegebene Ordner einen Aktivierungsort eines anderen Volumes enthält.)
3. Die Freigabe eines übergeordneten Ordners eines bereits freigegebenen Ordners ist nur dann erlaubt, wenn sich der Überordner auf einem anderen physischen Dateisystem befindet.
4. Es dürfen nur lokale Dateisysteme freigegeben werden. (Es ist nicht erlaubt, ein Dateisystem freizugeben, das dieser Computer per Netzwerkverbindung von einem anderen Computer aktiviert hat.)

Diese vier Grundregeln sind in der Architektur von NFS begründet. Sie gelten immer, egal mit welchem Betriebssystem Sie arbeiten. Darüberhinaus gibt es die folgenden Regeln, die bei der Verwendung von Mac OS X zusätzlich beachtet werden müssen:

• Mac OS X kann nur Dateisysteme freigeben, die Berechtigungen unterstützen. Es ist zum Beispiel nicht möglich, MS-DOS®-formatierte Dateisysteme (FAT) zur gemeinsamen Nutzung per NFS im Netz anzubieten.
• Eine Freigabe darf mehrmals definiert werden, wenn für jede Einzeldefinition unterschiedliche Computer als berechtigt ausgewiesen sind. Hierbei darf es jedoch keine Überschneidungen oder Widersprüche geben. Sie können beispielsweise nicht einen Ordner zur Nutzung durch die Computer A, B, C und nochmals mit andere Optionen zur Nutzung durch die Computer A, D und E freigeben. In diesem Fall wäre die Rolle des Computers A widersprüchlich.

Wichtig: Wird gegen irgendeine dieser Regeln verstoßen, lehnt Mac OS X die betroffene oder sogar alle Freigaben ab. Der NFS-Server arbeitet dann nicht wie erwartet. NFS Manager versucht, ein Verletzen der Regeln falls möglich im Vorhinein zu erkennen und gibt beim Versuch, widersprüchliche Freigaben zu speichern, entsprechende Fehlermeldungen aus.

Verwenden der anwendungsbasierten privaten Firewall von Mac OS X

Wenn Sie die anwendungsbasierte Firewall auf dem Computer eingeschaltet haben, der per NFS dem Netz Daten anbieten soll, müssen Sie sicherstellen, dass NFS-Datenverkehr zu diesem Computer hin zugelassen wird. Die Firewall muss wie folgt umkonfiguriert werden:

1. Öffnen Sie das Programm Systemeinstellungen.
2. Gehen Sie zu Sicherheit > Firewall.
3. Falls sich das Schlosssymbol in geschlossener Position befindet, klicken Sie es zum Öffnen an und geben Sie die notwendigen Anmeldedaten eines Administrators an.
4. Wählen Sie den Punkt Zugriff auf bestimmte Dienste und Programme festlegen, falls er bisher noch nicht ausgewählt war.
5. Drücken Sie auf den Knopf + unterhalb der Tabelle. Ein gleitender Dateiauswahldialog wird erscheinen.
6. Betätigen Sie die Tastenkombination ⌘+⇧+G, um einen Pfad für versteckte Systemkomponenten einzugeben.
7. Geben Sie in das Feld Gehe zum Ordner den Pfad /usr/sbin/portmap exakt wie gezeigt ein und drücken Sie die Eingabetaste. Betätigen Sie dann die Schaltfläche Hinzufügen zur Bestätigung. Der Eintrag portmap wird am Ende der Tabelle hinzugefügt. Stellen Sie sicher, dass er auf Eingehende Verbindungen erlauben gesetzt ist.
8. Wiederholen Sie die Schritte (5) bis (7), wobei Sie nun den Pfad /sbin/nfsd angeben.
9. Wiederholen Sie die Schritte (5) bis (7), wobei Sie nun den Pfad /usr/sbin/rpc.statd angeben.
10. Wiederholen Sie die Schritte (5) bis (7), wobei Sie nun den Pfad /usr/sbin/rpc.lockd angeben.
11. Wiederholen Sie die Schritte (5) bis (7), wobei Sie nun den Pfad /usr/libexec/rpc.rquotad angeben.

Verwenden der Port-basierten privaten Firewall von Mac OS X

Falls Sie die zweite in Mac OS X eingebaute Firewall ipfw nutzen möchten, ist dies auch möglich. Sie können ipfw über die Kommandozeile oder über die Bedieneroberfläche von Drittanbietern konfigurieren. In Mac OS X Server wird Apples Programm Server-Admin zur Einrichtung der ipfw-Firewall verwendet. Die folgenden Ports müssen geöffnet bleiben, wenn Sie den jeweiligen Computer als NFS-Server verwenden möchten:

• Öffnen Sie den Port 111 sowie den Portbereich 600-1023 für RPC-Kommunikation.
• Öffnen Sie den Port 2049 für den Zugriff auf NFS-Server.

Sie sollten außerdem überlegen, die Dienste für Statusabfrage (statd), Dateisperren (lockd) und Kontingentierung (rquotad) in der Server-Konfiguration auf fest definierte Ports zu setzen, damit besser gesteuert werden kann, welche RPC-Ports zum Einsatz kommen.