OpenSolaris 2008.11 är här!

Det största problemet för min del med ACL var väl att förstå hur det funkar. Bäst hjälp fick jag genom att skriva "man /usr/bin/chmod" i terminalen och läsa igenom vad som står där. Man sitter och googlar en massa, men glömmer ofta bort att kolla man-filen... Ett problem i sammanhanget är att som default i opensolaris används GNU chmod, vilket inte kan användas för ACL-modifieringar så därför skrev jag hela sökvägen till solaris chmod. Samma sak gäller ls.

Problemet: Filer som skapas från Windows på en share utdelad med CIFS får "konstiga rättigheter". Som default med ls -al så ser det ut som filerna har 000 rättigheter, men ändå så har man åtkomst till filerna både lokalt och via smb. Jag ville veta varför. Dessutom är det risk att man får problem med NFS version 3 (opensolaris stödjer även NFS version 4 som stödjer ACL till skillnad från version 3) om "unixrättigheterna" inte är som man vill.

Orsak: Rättigheterna styrs av ZFS NFSv4 style ACL, alltså access kontroll listor. CIFS servern mappar dessa mot "NTFS-rättigheter" i windows när en windowsdator ansluter sig. Dessa rättigheter blir som default ställda från Windowsdatorn som ansluter till en CIFS share när filer och mappar skapas. Man tappar alltså lätt kontrollen för filåtkomsträttigheterna när windowsdatorerna härjar fritt på en CIFS share. Kör man en windowsdomän kanske man har kontrollen därifrån (via en windows domänserver kanske eller active directory möjligen, jag kan inte sådant) men jag kör workgroup mode och då tappar man helt kontrollen tycker jag.

Lösning: Ställ in rättigheterna på den utdelade mappen med ACL så att nya skapade mappar och filer ärver dessa rättigheter från rotmappen i aktuell share istället för att få dem ställda från Windows. Men det är småkrångligt att ställa in dessa rättigheter så att resultatet blir som man vill så man bör läsa på en del och testa sig fram.

"Standardlösningen" när något är krångligt med rättigheter är ju att ge fullständiga rättigheter till sin share åt alla och sen kan alla göra vad de vill med filer och mappar. Själv ville jag ha mera kontroll.

Då jag använder "workgroup mode" för CIFS-servern så funkar det som så att för att kunna logga in på en CIFS-share så måste man ange användarnamn och lösenord för en användare på opensolaris-datorn. Så rättigheterna mappas alltså mot de lokala användarna i opensolaris så man får skapa användare som motsvarar de "fjärranvändare" som ska ansluta sig (helst med samma användarnamn och lösen som i klientdatorerna så blir det lättare för användarna).

Mitt mål var att ha en gemensam lagring som alla användare kom åt. Detta har jag löst genom att låta alla opensolarisanvändare som ska komma åt denna share tillhöra gruppen users som jag skapat för ändamålet (har satt den som default grupp för dessa användarre). Sedan så har jag satt gruppen users (samt mig själv) som ägare till den utdelade mappen. Med hjälp av /usr/bin/chmod så kan man sedan modifiera rättigheterna inklusive ACL så att det blir som man vill.

ACL har många fler grejer man kan ställa in än bara läs, skriv, execute som man normalt gör med chmod. Man kan t.ex. ange om man har rätt att ta bort filer, rättighet att ändra ACL, rättighet att ge bort filer till andra ägare o.s.v. Förutom owner, group och everyone så kan man ge andra användare eller grupper rättigheter också. Man kan även ställa in hur rättigheter ska ärvas till nyskapade undermappar och filer.

Själv har jag utnyttjat detta och skapat en användare smbadmin som har full åtkomst till allas filer och mappar. Ägare till filerna och mapparna har jag gett full åtkomst till egna filer (förutom exekveringsrättigheter på filer som nekas alla samt möjlighet att ändra ACL som jag också nekar alla). Andras filer tillhörande samma grupp har jag gett skriv och läsmöjligheter, men man får inte radera andras filer och mappar (vill undvika att någon annan tar bort något man själv lagt upp av misstag). Med hjälp av everyone@ har jag gett övriga som inte anges på annat sätt endast läsrättigheter och även möjlighet att bläddra runt i mappar.
Tack vare ACL kunde jag ställa in detta som jag ville ha det. Det hade inte gått med bara vanliga unix-rättigheter tror jag.

Som det är nu är det bara en sak som krånglar för mig. Det är när man från en windowsdator flyttar upp en fil från en undermapp till roten på den share man delat ut så ställs rättigheterna till user:ägarnamn och group:gruppnamn, alltså det blir user:ronny istället för owner@ och gruop:users istället för group@ och detta resulterar till att jag får 444 rättigheter istället för 664 rättigheter på denna fil (blir väl så eftersom det blir begränsat till en viss ägare och en viss grupp istället för vilken ägare som helst och vilken grupp som helst som råkar äga filen/mappen för tillfället). Om jag däremot kopierar filen (istället för att flytta) upp till roten på denna share så behålls rättigheterna från originalfilen och sedan kan jag ta bort originalfilen och rättigheterna behålls ändå på kopian. Dessutom om jag går ner djupare i filträdet, alltså flyttar upp en fil till en mapp ovanför aktuell mapp men inte ända upp till rotmappen då blir rättigheterna på owner@ och group@ som jag vill ha det. Jag kan inte se någon skillnad på ACL hos undermapparna och rotmappen så jag tror att detta beteende är en bugg faktiskt. Förresten ska man rapportera denna bugg och i så fall hur och var gör man detta?

Buggen får till följd att om jag är en annan användare än den som äger rotmappen i aktuell share (men ändå tillhör gruppen som äger rotmappen) flyttar upp en fil till roten på denna share så förlorar användaren rättigheten att ta bort filen eftersom ägaren byts till den användare som äger rotmappen (jag hade ju ställt in att man inte har rättighet att ta bort andras filer). Man förlorar alltså ägarskapet på den fil som man själv ägde innan man flyttade upp den till rotmappen (såvida man inte själv också är ägare till rotmappen). Är man själv ägare till både rotmappen och den ursprungliga filen märker man inget flörutom att rättigheterna ser ut att vara 444 istället för 664. Detta kan kanske ge problem i andra sammanhang såsom NFSv3 t.ex om man gör något som inte stödjer ACL i ZFS.

Därför har jag lagt till användaren smbadmin som alltså har rätt att ta bort även andras filer så att man med hjälp av denna kan städa upp efter andra användare via smb så man slipper logga in som root. Detta gick ju bra att göra genom att ge dessa rättigheterna till user:smbadmin med ACL.

Här är några länkar:
http://gibbs.acu.edu/2008/07/20/my-cifs-on-zfs-acl/

http://vmsysadmin.wordpress.com/2009/01/18/using-zfs-acls-to-...

http://www.aspdeveloper.net/tiki-index.php?page=SolarisCIFSPe...

http://opensolaris.org/jive/thread.jspa?messageID=266839

Jag vet inte om detta är något du måste göra saddam. Beror väl på om du behöver den extra kontrollen på filrättigheter som man får med hjälp av ACL. Är du ensam användare av dina filer så behövs det kanske inte (du kan ju ge fullständiga rättigheter och strunta i detaljerna) men annars kan det vara intressant att lära sig tycker jag. Själv upplevde jag det som ett problem då jag tappade kontrollen över vad som händer när man kör som filserver med CIFS, men problemet är ju då mest att windows härjar runt med rättigheterna om man inte gör något åt det.

Jag ser ändå positivt på detta trots att det till en början orsakade mycket huvudbry. Tack vare krånglet har jag lärt mig en del om hur ACL funkar och hur man kan använda det. Jag ska senare när jag får åtkomst till min dator posta kommandoraden jag använde för att ställa rättigheterna. Den kan kanske se lite avskräckande ut...

Nu blev det inte kort skrivet, men det är inte lätt att förklara det kort tycker jag.

EDIT: Jag kom just på en eventuell möjlig "workaround" på mitt kvarvarande problem. Jag kan kanske ställa in rättigheterna med hjälp av ACL så att det blir förbjudet för användarna att skapa filer i rotmappen på min share? Då bör det inte gå att flytta filer dit heller. Alltså bara tillåta skapande av mappar i roten och sedan inuti dessa mappar får man skapa filer och undermappar som man vill. Det skulle passa bra också för jag gillar inte när det ligger filer och skräpar i rotmappen, jag vill ha allting kategoriserat. Jag ska undersöka saken...

Tråden hos "Lagring" om RAID och ZFS dog och alla drog över hit - samma här.

Satte upp en femma med 6*WDC WD10EADS-00L5B1 på ICH9R med IntelMatrix och Vista 64. Jag har några års erfarenhet av ICHxR.

Skriver i 55-70 MB/s, CPU (Dual D Intel) : 30-50%, RAM: 2 GB

Läsning:
-- HD Tach lång
Min: 300
Max: 550
Avg: 427
Burst: 1120
Access: 11.6
CPU: 34%

Det tog 15 timmar att initiera (det slipper ni med ZFS).

Livet är kort och mot bakgrund av mina problem med OS/ZFS/CIFS och att jag fokuserar på säkerhet/kunskap ställt mot den kunskap jag har blev det M$ för just det här projektet. Mobba mig inte nu bara...

Sitter med en drös lösa smådiskar (200-300GB) vars innehåll nu får en ny boning, vilket för stunden var viktigare än att traggla med OS/ZFS.

Har satt ihop de 6 diskarna med spikband och har arrayen på golvet utanför chassit utan fläkt. WD GP diskarna känns svala (28C) efter 15 timmars drift. Finns de som menar att diskar mår bäst vid 40C+ vilket jag hoppas inte gäller WD GP.

Tänkte göra likadant med de andra arrayerna, så kan jag sälja ett antal fina chassin+mobon+RAM+CPUer+grafikkort för att finansiera diskköpet.

Mitt behov är inte att ha allt on-line i 24/7, det duger med påfyllning nån timme i veckan.

Om ni bara anade hur djä...vvla enkelt det funkar med Win/RDP/RAID5. "Warum soll man es so einfach machen wenn mas es so schön kompleziert machen kann", som Fritz sa'.

Vad har ni ZFS-fans i skrivhastighet på 6-diskars femmor?

jookeer: Jag har testat kopiera filer mellan två olika filsystem placerade på min 5 diskars raidz-array, alltså samtidig läsning och skrivning till arrayen, lokalt på servern via nautilus i gnome och då var överföringshastigheten ungefär 90 MB/s. Jag kan skicka över filer till min raidz över nätverket till servern med hastigheten 90 MB/s (även om filerna är större än serverns RAM-minne, har testat med 20 GB stora filer). Slutsatsen jag drar är att skrivhastigheten är minst 90 MB/s (och detta även om man samtidigt läser från arrayen). Läshastigheten vet jag inte, men den bör ju vara minst 90 MB/s också...

saddam: Tack för tipset om umask. Känner igen det från ubuntu när man mountar NTFS-disk i fstab. Ska kolla det.

Jag har konstaterat att man inte samtidigt kan förhindra skapande av filer och tillåta skapande av mappar, eller jag kom inte på hur man skulle göra detta med ACL i alla fall. Jag får väl leva med att manuellt försöka undvika fytta filer upp till roten på en CIFS-share.

Däremot upptäckte jag att man bör sätta nbmand=on på en CIFS-share, särskilt om man tänkt köra NFS också, men har inte än testat vad det gör för skillnad.
http://docs.sun.com/app/docs/doc/820-2429/configurecrossproto...

Citat: "When the nbmand mount option is not set, the Solaris CIFS service will enforce mandatory share reservations and byte-range locking internally for all CIFS clients. However, without nbmand set, there is only limited coordination with NFS and local processes."

Sista ordet om M$ vs Linux/OS lär nog aldrig bli sagt, varesig det gäller pris/prestanda, skalning/utbyggbarhet, tillförlitlighet/säkerhet, användarvänlighet, service/support mm etc osv. Båda lägren vill naturligtvis av självhävdelse kasta skit på varandra för att komma i bättre dager, ingen har rätt/fel, bra för oss användare/konsumenter att det finns val att göra.

En sak är leksakerna man har hemma på hobbybasis, en annan det man har att ta ansvar för på jobbet.

Mitt val av M$ i mitt föregående inlägg var inte baserat på vad som för mig var tekniskt bäst utan snarare baserat på vad jag för stunden kunde hantera på kort sikt för detta projekt, därmed inte sagt att alla andra bör/skall göra samma val.

Jag sätter den mänskliga faktorn och den egna kompetensen högt upp, bättre ett mediokert men fungerande system man kan än ett nytt bättre man inte fullt ut är 100% på att hantera.

För egen del har jag ingalunda gett upp OS för all framtid, snarare tvärtom, jag är nyfiken och öppen att prova igen när det finns mera tid.

Just nu har en array (femma med 6 diskar), mitt i en kopiering, ramlat ur varvid en autorebuild drog igång, denna tar 21 timmar, och kopieringen gick upp från 1.5 timmar till 12 timmar. Inte kul alls. Diskstackarna står och skakar som skållade troll så det blir riktigt varmt och gott i stugan. I framtiden har vi inga mekaniska lagringsenheter som snurrar och surrar, skakar och vibrerar och drar en massa strömming. Hoppas bara de kommer innan 2012-12-21 11:11.

Bra med svensk blog om OS/ZFS, jag har ju lämnat en del synpunkter på internationella bloggar och brister jag sett där. Om nu någon från denna tråd tänker sätta upp en önskar jag att man inte upprepar propagandeköret från de utländska bloggarna utan att ta upp handgrepp och tips på hur man gör när saker inte funkar som A.B.C. De flesta nördar på de här nivåerna läser engelska så den behöver nödvändigtvis inte vara på svenska, man når några hundra millar fler nördar på engelska än på svenska. Undvik att upprepa de redan existerande bloggarna, försök hitta ett nytt förhållningssätt för att tillföra nåt nytt. Bolla gärna med oss i tråden innan publicering i bloggen. Kanske SUN är med och sponsrar?

Avseende den lilla smutta Atomen så klarar den ALLA operativ, inkl Mac Leopard och OS. Klarar också att sättas upp så den LANbootar en image nånstans i cyberrymden, kan alltså köras disklös. Intel har proggisar för detta och för 100% remote mgmt. Det är ju ingalunde nån server med 2 SATA och en IDE/PATA utan snarare en portabel klientburk för vardagsbruk (surf, email, office, chat, bittorrent, Skype, mp3, video (ej HDMI 1080p)). Den drar <50W så det är inget man värmer upp 10-rumsvillan i Kiruna med.

Jag lovade innan att posta kommandot jag använder för att sätta ACL på mina utdelade filsystem. Här kommer det:

# Först skapar jag filsystemet (utdelat via CIFS med synliga snapshots)
zfs create -o casesensitivity=mixed -o nbmand=on \
-o sharesmb=name=dokument -o snapdir=visible tank/dokument

#Sedan ställer jag ägarskapet
chown ronny:users /tank/dokument/

#Ställer in rättigheterna med ACL
/usr/bin/chmod A=\
everyone@:rxaRcs:d:allow,\
everyone@:raRcs:fi:allow,\
everyone@:C:d:deny,\
everyone@:xC:fi:deny,\
group@:rwxpaRcs:d:allow,\
group@:rwpaRcs:fi:allow,\
owner@:rwxpdDaARWcos:d:allow,\
owner@:rwpdDaARWcos:fi:allow,\
user:smbadmin:rwxpdDaARWcos:d:allow,\
user:smbadmin:rwpdDaARWcos:fi:allow \
/tank/dokument

#Kollar resultatet
/usr/bin/ls -V

drwxrwxr-x+ 4 ronny users 3 mar 6 22:25 dokument
everyone@:r-x---a-R-c--s:-d-----:allow
everyone@:r-----a-R-c--s:f-i----:allow
everyone@:-----------C--:-d-----:deny
everyone@:--x--------C--:f-i----:deny
group@:rwxp--a-R-c--s:-d-----:allow
group@:rw-p--a-R-c--s:f-i----:allow
owner@:rwxpdDaARWc-os:-d-----:allow
owner@:rw-pdDaARWc-os:f-i----:allow
user:smbadmin:rwxpdDaARWc-os:-d-----:allow
user:smbadmin:rw-pdDaARWc-os:f-i----:allow

Kollar man rättigheterna på en fil och en mapp skapad från Windows:
ronny@filserver:/tank/dokument# ls -V
total 4
-rw-rw-r--+ 1 ronny users 6 mar 7 00:35 Fil.txt
everyone@:r-----a-R-c--s:------I:allow
everyone@:--x--------C--:------I:deny
group@:rw-p--a-R-c--s:------I:allow
owner@:rw-pdDaARWc-os:------I:allow
user:smbadmin:rw-pdDaARWc-os:------I:allow
drwxrwxr-x+ 2 ronny users 2 mar 7 00:36 Mapp
everyone@:r-x---a-R-c--s:-d----I:allow
everyone@:r-----a-R-c--s:f-i---I:allow
everyone@:-----------C--:-d----I:deny
everyone@:--x--------C--:f-i---I:deny
group@:rwxp--a-R-c--s:-d----I:allow
group@:rw-p--a-R-c--s:f-i---I:allow
owner@:rwxpdDaARWc-os:-d----I:allow
owner@:rw-pdDaARWc-os:f-i---I:allow
user:smbadmin:rwxpdDaARWc-os:-d----I:allow
user:smbadmin:rw-pdDaARWc-os:f-i---I:allow
ronny@filserver:/tank/dokument#

Japp, det funkar. 664 på filer och 775 på mappar, precis som jag ville ha det. smbadmin och ägaren har samma rättigheter. Gruppen users (som äger den utdelade mappen) har skrivrättigheter men med andra begränsningar såsom at inte få ta bort filer. everyone, d.v.s. alla har läsrättigheter.

Mapparna inkluderar rättigheter som ärvs vidare till underliggande filer ej inkluderat mappen självt (fi) och mappar inklusive mappen självt (d).

EDIT: Tack vare att jag satt option snapdir=visible så är det möjligt att utforska snapshots via smb. Tyvärr får man "åtkomst nekas" med Windows Vista men kör man Total Commander så funkar det i Vista. Från Windows XP samt från Linux kommer man åt snapshots utan problem. Man går bara in i mappen .zfs/snapshots via smb klienten (men utan skrivrättigheter förstås). Funkade även via NFS med sharenfs=on och till och med min mediaspelare TviX 4000 kunde kolla in snapshots via NFS.

Så nu är jag nöjd med hur CIFS och NFS funkar!

Jag har jobbat med VMS i 15 år, bla varit med att ta fram OMX första derivatsystem i början av 80-talet.

VMS är (sedan 80-talet) det högst säkerhetsklassade OS'et av bla amerikanska myndigheter och används i miljöer där det bara inte får krascha, tex flygtrafikövervakning.

Chefsdesignern för VMS, Dave Cutler, blev personligen raggad av Bill Gates att gå över till M$ för att ta fram ett 32-bitars multitasking/multiuser OS, sedemera NT 3.51.

Gissa varifrån M$ DOS kommer ifrån? Jo, det är en sämre kopia av CP/M.

"If you can't beat them, buy them" är Bills motto.

Vi får se om jag sätter upp någon blogg. Jag brukar ha svårt att hålla sådana grejer uppdaterade. Däremot gillar jag att posta i forum när andan faller på. Hade varit trevligt om det fanns någon svensk opensolarissida, ungefär som ubuntu har sin svenska sida med eget forum och egna bloggar, tips och tricks och så vidare så slipper var och en ha en egen bloggsida utspridda över nätet.

När det gäller buggen med att ägaren av mappen tar över rättigheterna till en fil som man flyttar upp till roten i en CIFS-utdelning (när man flyttar filen med windows-dator) har jag inte hittat lösningen på det. Ser det inte som ett stort problem, det är mer en irriterande detalj. Jag kringgår det genom att sätta mig själv som ägare till de utdelade mapparna samt att ha en "super-cifs-användare" som kan ansluta och rensa från skräpande filer.

NFS har jag än så länge bara kört till min mediaspelare för att spela upp videofiler och det fungerar. Därmot så har jag upplevt hängningar med CIFS innan jag ersatte det inbyggda realtek-nätverkskortet på mitt moderkort med ett intel PRO/1000PT nätverkskort. Men även då hängde det sig ibland men endast vid mycket hög belastning, så jag gjorde samma sak på min klientdator, alltså ersatte moderkortets realtekbaserade nätverkskort med ett likadant nätverkskort som i servern. Efter detta så funkar det helt stabilt (med CIFS åtminstone). Jag har i helgen skickat upp ca 1 TB filer till servern utan några som helst problem med överföringarna.

Här är en länk som beskriver problemet med realtek korten:
http://sigtar.com/2009/02/12/opensolaris-rtl81118168b-issues/

Jag testade köra en scrub på min 5-diskars raidz i natt.
1,73 TB data scrubbades på 2 timmar och 42 minuter.
När man kör scrub i zfs så scannas den data man har lagrat så det var knappt halva lagringsutrymmet på 4 TB som behövdes gås igenom.
1,73 TB på 2 timmar och 42 minuter ger en hastighet på i genomsnitt 188 MB/s.

Låter för bra - en modern disk toppar på väl på 65-75 MB/s i kontinuerlig läsning enligt HD Tune, antar att din höga siffra beror på ZFS' förmåga att läsa parallellt ansynkront över alla diskar i RAIDz?

Synd vi inte har samma testverktyg i OS/ZFS som i Win/NTFS.

Tycker att Win/NTFS chipset ICHxR-femman presterar hyfsat, skillnaden i skrivning mot femman och single disk är ca 30%.

Läsning däremot är ruggigt snabb, enligt HD Tune (se ovan). Där undrar jag om ZFS har nån chans, handsken är kastad....

På det sätt jag använder femman så uppskattar jag att det är ca 5-10 ggr vanligare att jag läser än att jag skriver, dvs läshastigheten är viktigare ur prestandasynpunkt än skrivhastigheten.

Scrub läser igenom filsystemen i poolen och checkar av mot checksummorna som lagras på hårddiskarna. Så visst läser den från flera diskar samtidigt, det är ju så raidz funkar. Skrubbade alltså på en 5-diskars raidz array. Jag körde inte scrub för att testa prestandan i första hand utan för att kolla att filerna mådde bra nu när jag fyllt upp halva utrymmet. Men kom på att läsprestandan bör ju gå att mäta med scrub så jag noterade vilken tid det tog att köra samt hur mycket data som skrubbades och räknade ut hur många MB/sekund det blir.

Jag ska testa med bonnie++ när jag väl kommit på hur man installerar det (finns inte med i som standard i opensolaris 2008.11 pakethanterare).
Hmm, jag kan förstås byta till dev repository (vilket då automatiskt skapar en ny boot environment) och installera paketet SUNWbonnieplus och ändå ha möjligheten att backa tillbaka till ursprungsmiljön tack vare boot environments om något skulle krångla. Eller finns något enklare sätt att installera ett enskilt paket utan att behöva uppdatera hela paketkatalogen? Skapa ny bootmiljö kan jag göra manuellt i så fall.