NFS Manager Hilfe

macOS als NFS-Server

Daten per NFS freigeben

macOS kann Ordner seines eigenen Dateisystems zur gemeinsamen Nutzung im Netzwerk über das NFS-Protokoll freigeben. Beachten Sie, dass es aufgrund der Architektur von NFS als verteiltes Dateisystem üblich ist

ganze Volumes oder einen bestimmten „oberen“ Ordner innerhalb dieses Volumes und
private Benutzerordner

jeweils als Freigaben anzulegen. Die Berechtigungen einzelner Benutzer und Gruppen werden über die Zugriffsrechte der einzelnen Dateien und Ordner geregelt, nicht über die Freigabe selbst. Über die Freigabe selbst können nur Berechtigungen für zugreifende Computer definiert werden.

Dieser Punkt wird genutzt, um die Objekte zu definieren, die der NFS-Server freigeben soll.

Anlegen und Ändern von NFS-Freigaben

Um mit NFS-Freigaben zu arbeiten, wählen Sie in der linken Übersicht des Steuerungsfensters den Punkt NFS-Server > Freigabedefinitionen aus oder wählen Sie den Menüpunkt Konfiguration > Freigabedefinitionen einblenden. Die Liste der Freigaben wird dann in der rechten Hälfte des Fensters in einer Tabelle angezeigt. Wird eine Zeile der Tabelle ausgewählt, erscheinen Detailinformationen über diese Freigabe unterhalb der Tabelle. Die einzelnen Daten können verändert werden.

Um eine Freigabe zu löschen, wählen Sie die entsprechende Zeile in der Liste aus und betätigen Sie den Knopf [—] unterhalb der Tabelle.
Um eine Freigabe neu anzulegen, drücken Sie den Knopf [+] unterhalb der Tabelle. Es wird eine neue Freigabe mit Standardwerten angelegt, die Sie anschließend überschreiben müssen.

Gehen Sie wie folgt vor, um die Daten einer Freigabe an Ihre Bedürfnisse anzupassen:

Betätigen Sie den Knopf Auswählen … neben der Zeile Freigabeordner, um den lokalen Ordner auszuwählen, der freigegeben werden soll. Beachten Sie bitte die untenstehenden Hinweise im Abschnitt „Beschränkungen für Freigaben“.
Stellen Sie die Vorgaben für diese Freigabe mit den anderen Bedienelementen ein.

Sollen alle Schreibzugriffe auf die Freigabe abgeblockt werden, selbst wenn der entsprechende Benutzer Schreibberechtigung hätte, lassen Sie das Feld Nur zum Lesen freigeben angekreuzt. Ansonsten müssen Sie das Häkchen entfernen.

Haben Sie einen bestimmten Ordner freigegeben, wird der absolute Pfad dieses Ordners zum Freigabenamen, mit dem sich andere Computer verbinden. Die anderen Computer sehen dann die gesamte Dateihierarchie in, bzw. „unterhalb“ dieses Ordners. Möchten Sie erlauben, dass andere Computer wahlweise auch lediglich einen Unterordner innerhalb dieser Freigabe aktivieren dürfen, kreuzen Sie die Option Auch Aktivierung innerhalb der Freigabe erlauben an. Beispiel: Statt /freigabe dürfen dann andere Computer auch /freigabe/unterordner aktivieren, falls sie dies möchten.

Zuordnung von Benutzer- und Gruppen-Accounts zwischen Klient und Server

Das Klappmenü Benutzerabbildung legt fest, wie Benutzer und Gruppen von zugreifenden Rechnern auf Benutzer und Gruppen des freigebenden Rechners abgebildet werden sollen. Das Sicherheitsmodell von NFS lässt hier bestimmte Einschränkungen zu:

„root“ auf unbefugten Benutzer („nobody“) abbilden: Der oberste Systemadministrator (root) eines anderen Computers soll vom NFS-Server als unbefugter Nutzer angesehen werden und wird auf den Account nobody abgebildet, der üblicherweise so gut wie keine Rechte besitzt. Dies ist die empfohlene Einstellung, um Sicherheitslücken zu vermeiden.
Alle Benutzer auf unbefugten Benutzer („nobody“): In dieser Einstellungen werden sämtliche Benutzer und Gruppen eines zugreifenden Computers auf den Account nobody abgebildet. Dies ist eine sehr sichere Einstellung.
Benutzer nicht abbilden: In dieser Einstellung werden die Benutzer und Gruppen jedes zugreifenden Rechners eins zu eins auf die Benutzer und Gruppen des NFS-Servers abgebildet. Die UIDs und GIDs werden also unbesehen übernommen. Insbesondere wird auch der oberste Systemadministrator (root) jedes zugreifenden Rechners als oberster Systemadministrator (root) des NFS-Servers angesehen. Dies kann eine große Sicherheitslücke sein.
Besondere Abbildung definieren (s. weitere Optionen): Mit dieser Einstellung können Sie weitergehende Abbildungen von Hand definieren. Hierzu muss der Knopf Weitere Optionen einblenden betätigt werden (siehe unten).

Sicherheitseinstellungen bei Nutzung von Kerberos

Ist in Ihrem Netz eine Kerberos-Zone definiert und ein entsprechender Kerberos-Schlüsselverteilungsserver vorhanden, können Sie die NFS-Freigabe mit zusätzlichen Maßnahmen absichern und die Datenübertragung verschlüsseln. Das Klappmenü Minimalsicherheit legt fest, welche Sicherungsmaßnahmen ein zugreifender Computer (und Kerberos-Benutzer) mindestens unterstützen können muss, um sich mit dieser Freigabe verbinden zu dürfen.

Nur Systemstandard: Diese Einstellung legt fest, dass der Einsatz von Kerberos nicht erforderlich ist. Aktivierung und Datenzugriff erfolgen auf „klassische UNIX-Art“, nur mit UID- und GID-Identifikationen.
Jeder vorhandene Sicherheitsmechanismus: Es steht dem Klienten völlig frei, entweder den klassischen Zugriff oder einen per Kerberos gesicherten Zugriff zu verwenden.
Kerberos 5-Anmeldung: Nur Klienten, die Kerberos verwenden, dürfen zugreifen. Hierbei muss der Benutzer und/oder Computer, der die Aktivierung vornimmt, zumindest per Kerberos als zulässig angemeldet werden.
Kerberos 5-Anmeldung mit Integritätsprüfung: Kerberos ist zwingend erforderlich. Neben der Identifizierung von Benutzer und Computer per Kerberos muss der Klient auch jedes übertragene Datenpaket per Kerberos gegen Manipulationen absichern.
Kerberos 5 mit Prüfung und Verschlüsselung: Nur Klienten, die Kerberos verwenden, Benutzer und Computer identifizieren, die Datenpakete auf Integrität prüfen und jedes Datenpaket zusätzlich verschlüsseln, dürfen zugreifen. Dies ist die sicherste Möglichkeit, NFS zu betreiben. Aufgrund des hohen Aufwands, der bei jeder Datenübertragung getrieben werden muss, wird jedoch die Rechenlast auf beiden Seiten der Verbindung erhöht und die effektive Geschwindigkeit kann stark absinken.
Angepasste Einstellung (s. weitere Optionen): Dies erlaubt es, die gerade erwähnten Kerberos-Sicherheitsfunktionen in jeder von Ihnen gewünschten Weise zu kombinieren. Betätigen Sie den Knopf Weitere Optionen einblenden, um diese einzeln ein- oder auszuschalten.

Zugriff auf bestimmte Computer beschränken

Da NFS als verteiltes Dateisystem konzipiert ist und deshalb keine Anmeldung benötigt, sollte der Zugriff auf bestimmte, „vertrauensvolle“ Klienten beschränkt werden. Die Grundeinstellungen werden mit dem Klappmenü Zugriffsrecht vorgenommen:

Zugriff von jedem Netz und Computer erlauben: Der Zugriff wird nicht eingeschränkt. Jeder Computer, der den NFS-Server über das Netz erreichen kann, darf die Freigabe nutzen. Dies ist ein potenzielles Sicherheitsrisiko. Ist das Netz, in dem sich der Computer befindet, nicht durch eine Firewall gegenüber anderen Netzen geschützt, kann im Prinzip jedes andere verbundene Netz, d.h. möglicherweise das gesamte Internet auf die freigegebenen Daten zugreifen.
Zugriff auf bestimmtes IPv4-Netz beschränken: Sie müssen eine Teilnetzadresse mit zugehöriger Netzmaske eingeben. In diesem Fall können nur Computer, die IP-Adressen dieses Teilnetzes verwenden, auf die Freigabe zugreifen.
Nur bestimmte Clients zulassen (s. weitere Optionen): Sie können eine Liste von IP-Adressen oder DNS-Namen angeben. Nur die aufgelisteten Computer dürfen zugreifen. Die Liste muss in einem Dialogfenster eingegeben werden, das nach Betätigen von Weitere Optionen einblenden angezeigt wird.

Weitere Optionen

Fortgeschrittene Wahlmöglichkeiten zur NFS-Freigabe können über ein Dialogfenster angegeben werden, das nach Betätigen der Schaltfläche Weitere Optionen einblenden erscheint. Diese Optionen werden auf einer getrennten Seite im Detail beschrieben.

Besondere Überlegungen bezüglich Einschränkungen beim Freigeben von Dateien für Video- oder Audio-Mediaplayern

Sie möchten möglicherweise den NFS-Server dazu verwenden, Mediendateien in Ihrem Netz freizugeben, z.B. Filme oder Musik. Diese Medien können dann von Abspielgeräten („Mediaplayern“) genutzt werden, die mit Ihrem Fernseher oder einer Audio-Anlage verbunden sind, unter der Voraussetzung, dass der jeweilige Player den NFS-Protokollstandard beherrscht. Diese Player unterliegen häufig bestimmten Einschränkungen, da sie kein vollwertiges Betriebssystem enthalten. Weitere Informationen über typische Probleme, die in der Praxis mit Mediaplayern auftreten, finden Sie auf einer speziellen Lösungsseite.

Reparieren einer beschädigten Freigabekonfiguration

Falls Sie versucht haben, den NFS-Server manuell, ohne die Hilfe von NFS Manager einzurichten, oder falls Sie ein Drittanbieterprogramm verwendet haben, das nicht perfekt auf Ihre aktuelle Version von macOS zugeschnitten ist, könnte die Liste der Freigaben so weit beschädigt sein, dass sich der NFS-Server komplett abschaltet. NFS Manager ist in der Lage, dieses Problem zu erkennen und gibt Ihnen die Chance, die kaputte Konfigurationsdatei zu entfernen, um mit einer neuen, leeren zu beginnen. In diesem Fall sind alle Bedienungselemente des Punktes Freigabedefinitionen gesperrt und die Meldung Die aktuelle Freigabekonfiguration ist ungültig. erscheint in rot unterhalb der Freigabetabelle. Drücken Sie auf den Knopf Mehr Info … um einen speziellen Reparaturdialog aufzurufen und weitere Einzelheiten über das Problem anzuzeigen. Sie können entweder

die fehlerhafte Konfiguration von Hand entfernen und NFS Manager über diese Änderung informieren, oder
NFS Manager die aktuelle Konfiguration löschen lassen, so dass Sie mit einer bereinigten, leeren Tabelle von Freigaben neu anfangen können.

Für den Fall, dass die Problemdetails darauf hinweisen, dass ein freigegebener Ordner gelöscht oder umbenannt wurde, können Sie das Problem natürlich auch auf andere Weise beheben (z.B. indem Sie den fehlenden Ordner mit dem Finder wieder anlegen), und dann NFS Manager die Konfiguration neu einlesen lassen.

Beim Löschen der aktuellen Konfiguration werden die ungültigen Definitionseinträge in eine Sicherungsdatei gespeichert. Sie finden diese in /etc/exports-INVALID.backup. Erfahrene Systemverwalter können diese Datei nutzen, um einige der früheren Freigabeeinträge wiederherzustellen.

Beschränkungen für Freigaben

Beim Anlegen von NFS-Freigaben gibt es vier Grundregeln, die immer beachtet werden müssen:

Grundsätzlich darf jedes physische Dateisystem (in Macintosh-Sprache also jedes Volume einer Platte) oder ein Unterordner davon freigegeben werden.
Die Freigabe eines Unterordners eines bereits freigegebenen Ordners ist nur dann erlaubt, wenn sich dieser Unterordner auf einem anderen physischen Dateisystem befindet. (Dies ist dann der Fall, wenn der freigegebene Ordner einen Aktivierungsort eines anderen Volumes enthält.)
Die Freigabe eines übergeordneten Ordners eines bereits freigegebenen Ordners ist nur dann erlaubt, wenn sich der Überordner auf einem anderen physischen Dateisystem befindet.
Es dürfen nur lokale Dateisysteme freigegeben werden. (Es ist nicht erlaubt, ein Dateisystem freizugeben, das dieser Computer per Netzwerkverbindung von einem anderen Computer aktiviert hat.)

Diese vier Grundregeln sind in der Architektur von NFS begründet. Sie gelten immer, egal mit welchem Betriebssystem Sie arbeiten. Darüberhinaus gibt es die folgenden Regeln, die bei der Verwendung von macOS zusätzlich beachtet werden müssen:

macOS kann nur Dateisysteme freigeben, die Berechtigungen unterstützen. Es ist zum Beispiel nicht möglich, MS-DOS®-formatierte Dateisysteme (FAT) zur gemeinsamen Nutzung per NFS im Netz anzubieten.
Eine Freigabe darf mehrmals definiert werden, wenn für jede Einzeldefinition unterschiedliche Computer als berechtigt ausgewiesen sind. Hierbei darf es jedoch keine Überschneidungen oder Widersprüche geben. Sie können beispielsweise nicht einen Ordner zur Nutzung durch die Computer A, B, C und nochmals mit andere Optionen zur Nutzung durch die Computer A, D und E freigeben. In diesem Fall wäre die Rolle des Computers A widersprüchlich.
Manche Versionen von macOS erlauben es eventuell aus Sicherheitsgründen nicht, mehrere Freigaben pro Dateisystem anzulegen. Das heißt, jedes Volume kann maximal eine NFS-Freigabe besitzen. NFS Manager macht Sie darauf aufmerksam, falls diese Einschränkung zutreffen könnte.

WICHTIG: Wird gegen irgendeine dieser Regeln verstoßen, lehnt macOS die betroffene oder sogar alle Freigaben ab. Der NFS-Server arbeitet dann nicht wie erwartet. NFS Manager versucht, ein Verletzen der Regeln falls möglich im Vorhinein zu erkennen und gibt beim Versuch, widersprüchliche Freigaben zu speichern, entsprechende Fehlermeldungen aus.