Content-type: text/html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML><HEAD><TITLE>Man page of EXPORTS</TITLE>
</HEAD><BODY>
<H1>EXPORTS</H1>
Section: Manuel des formats de fichiers Linux (5)<BR>Updated: 4 mars 2005<BR><A HREF="#index">Index</A>
<A HREF="/cgi-bin/man/man2html">Return to Main Contents</A><HR>

<A NAME="lbAB">&nbsp;</A>
<H2>NOM</H2>

exports - Systèmes de fichiers à partager (pour NFS en mode noyau)
<A NAME="lbAC">&nbsp;</A>
<H2>SYNOPSIS</H2>

<B>/etc/exports</B>
<A NAME="lbAD">&nbsp;</A>
<H2>DESCRIPTION</H2>

Le fichier <I>/etc/exports</I> sert de liste de contrôle d'accès pour les 
systèmes de fichiers à partager avec les clients NFS. Il est utilisé par 
<B><A HREF="/cgi-bin/man/man2html?8+exportfs">exportfs</A></B>(8) pour informer <B><A HREF="/cgi-bin/man/man2html?8+mountd">mountd</A></B>(8) et le démon serveur NFS en mode 
noyau <B><A HREF="/cgi-bin/man/man2html?8+nfsd">nfsd</A></B>(8).
<P>

Le format de ce fichier est similaire à celui du fichier <I>exports</I> de 
SunOS. Chaque ligne correspond à un point de montage à partager, suivi 
d'une liste (aux éléments séparés par des espaces) de clients autorisés 
à monter le système de fichiers situé en ce point. Chaque client de la 
liste peut être immédiatement suivi par une liste d'options de partage 
pour ce client (entre parenthèses, les éléments étant séparés par des 
virgules). Aucun espace n'est toléré entre un nom de client et sa liste 
d'options.
<P>

Les lignes blanches sont ignorées. Un «&nbsp;#&nbsp;» indique un commentaire 
s'étendant jusqu'à la fin de la ligne. Les entrées peuvent s'étendre sur 
plusieurs lignes en utilisant la barre oblique inverse (antislash). Si un 
nom de partage contient des espaces, il doit être protégé par des 
apostrophes doubles «&nbsp;&quot;&nbsp;». Vous pouvez aussi utiliser la barre oblique 
inverse (antislash) suivi du code octal à trois chiffres pour protéger 
tout espace ou autre caractère inhabituel dans un nom de partage.
<P>

Pour la prise en compte de vos modifications sur ce fichier, vous devez 
exécuter «&nbsp;exportfs -ra&nbsp;» ou «&nbsp;/etc/init.d/nfs-kernel-server reload&nbsp;» (ce dernier étant spécifique à certaines distributions).
<P>

<A NAME="lbAE">&nbsp;</A>
<H3>Formats des noms de machine</H3>

Les clients NFS peuvent être indiqués de plusieurs façons&nbsp;:
<DL COMPACT>
<DT>Une machine seule<DD>
C'est le format le plus courant. Vous pouvez indiquer un hôte par son nom 
abrégé reconnu par votre résolveur de nom, par son nom de domaine 
complet, ou par son adresse IP.
<DT>Groupes de machines<DD>
Les groupes de machines NIS peuvent être utilisés (tels que 
<I>@group</I>). Seul le nom court de machine de chacun des membres du groupe est 
utilisé pour la vérification. Les noms de machines vides, ou ceux 
contenant un simple tiret (-) sont ignorés.
<DT>Caractères jokers<DD>
Les noms de machine peuvent contenir les caractères jokers <I>*</I> et 
<I>?</I>. Cela sert à rendre le fichier <I>exports</I> plus compact. Par exemple, 
<I>*.cs.toto.edu</I> indique toutes les machines du domaine 
<I>cs.toto.edu</I>. Puisque les jokers peuvent aussi remplacer les points dans 
un nom de domaine, ce motif correspondra aussi à toute machine de n'importe 
quel sous-domaine de <I>cs.toto.edu</I>.
<DT>Réseaux IP<DD>
Il est aussi possible de partager des répertoires avec toutes les machines 
d'un (sous) réseau IP. Il suffit d'indiquer une paire adresse IP / masque 
de réseau (<I>adresse/masque</I>), en utilisant le format décimal pointé, ou 
la longueur du masque CIDR (on peut donc ajouter soit «&nbsp;/255.255.252.0&nbsp;» 
soit «&nbsp;/22&nbsp;» à l'adresse du réseau pour obtenir un sous réseau avec 
10 bits pour la partie machine). En général, les caractères jokers ne 
fonctionnent pas avec les adresses IP, bien que cela arrive accidentellement 
quand les recherches inverses de DNS (reverse DNS lookups) échouent.
</DL>
<P>

<A NAME="lbAF">&nbsp;</A>
<H3>Sécurité RPCSEC_GSS</H3>

Pour contrôler les accès à un partage grâce à la sécurité rpcsec_gss, 
utilisez la chaîne spécifique «&nbsp;gss/krb5&nbsp;» comme nom de client. Il 
n'est pas possible d'utiliser à la fois rpcsec_gss et des restrictions sur 
l'adresse IP d'un client.
<P>

<A NAME="lbAG">&nbsp;</A>
<H3>Options générales</H3>

<I>exportfs</I> accepte les options de partage suivantes&nbsp;:
<DL COMPACT>
<DT><I>secure</I><DD>
Cette option impose l'utilisation d'un port réservé (inférieur à 1024) 
comme origine de la requête. Cette option est activée par défaut. Pour la 
désactiver, utilisez <I>insecure</I>.
<DT><I>rw</I><DD>
Permettre les requêtes en lecture et en écriture sur le volume NFS. Le 
comportement par défaut est d'interdire toute requête qui modifierait le 
système de fichiers. On peut spécifier explicitement ce comportement par 
défaut en utilisant l'option <I>ro</I>.
<DT><I>async</I><DD>
Permettre au serveur NFS de transgresser le protocole NFS en répondant aux 
requêtes avant que tous les changements impliqués par la requête en cours 
n'aient été effectués sur le support réel (par exemple, le disque dur).
<P>
L'utilisation de cette option améliore généralement les performances, 
mais au risque de perdre ou de corrompre des données en cas de redémarrage 
brutal d'un serveur, suite à un plantage par exemple.
<P>
<DT><I>sync</I><DD>
Ne répondre aux requêtes qu'après l'exécution de tous les changements 
sur le support réel (voir <I>async</I> plus haut).
<P>
In releases of nfs-utils upto and including 1.0.0, this option was the 
default.  In all subsequence releases, <I>sync</I> is the default, and <I>async</I> 
must be explicit requested if needed.  To help make system adminstrators 
aware of this change, 'exportfs' will issue a warning if neither <I>sync</I> nor 
<I>async</I> is specified.
<DT><I>no_wdelay</I><DD>
Cette option est sans effet si <I>async</I> est déjà active. Le serveur NFS va 
normalement retarder une requête d'écriture sur disque s'il suspecte 
qu'une autre requête en écriture liée à celle-ci soit en cours ou puisse 
survenir rapidement. Cela permet l'exécution de plusieurs requêtes 
d'écriture en une seule passe sur le disque, ce qui peut améliorer les 
performances. En revanche, si un serveur NFS reçoit principalement des 
petites requêtes indépendantes, ce comportement peut réellement diminuer 
les performances. <I>no_wdelay</I> permet de désactiver cette option. On peut 
explicitement spécifier ce comportement par défaut en utilisant l'option 
<I>wdelay</I>.
<DT><I>nohide</I><DD>
Cette option est basée sur l'option de même nom fournie dans le NFS 
d'IRIX. Normalement, si un serveur partage deux systèmes de fichiers dont 
un est monté sur l'autre, le client devra explicitement monter les deux 
systèmes de fichiers pour obtenir l'accès complet. S'il ne monte que le 
parent, il verra un répertoire vide à l'endroit où l'autre système de 
fichiers est monté. Ce système de fichiers est «&nbsp;caché&nbsp;».
<P>
Définir l'option <I>nohide</I> sur un système de fichiers empêchera de le 
cacher, et tout client convenablement autorisé pourra alors se déplacer du 
système de fichiers parent à celui-ci sans s'en apercevoir.
<P>
Cependant, quelques clients NFS ne sont pas adaptés à cette situation. Il 
est alors possible, par exemple, que deux fichiers de ce système de 
fichiers apparemment unique aient le même numéro d'inode.
<P>
L'option <I>nohide</I> ne concerne actuellement que les partages vers les 
<I>hôtes seuls</I>. Elle ne s'applique pas aux partages vers les groupes de 
machines, sous-réseaux et ceux utilisant les caractères jokers.
<P>
Cette option peut être très pratique dans certains cas, mais elle doit 
être utilisée avec parcimonie, et seulement après vérification du bon 
comportement du système client à gérer cette situation.
<P>
Cette option peut être désactivée explicitement avec <I>hide</I>.
<DT><I>crossmnt</I><DD>
Cette option est semblable à <I>nohide</I> mais elle permet aux clients de se 
déplacer du système de fichiers marqué crossmnt aux systèmes de fichiers 
partagés montés dessus. Ainsi, si un système de fichiers fils «&nbsp;B&nbsp;» 
est monté sur un système de fichiers père «&nbsp;A&nbsp;», définir l'option 
crossmnt sur «&nbsp;A&nbsp;» aura le même effet que d'indiquer «&nbsp;nohide&nbsp;» sur 
«&nbsp;B&nbsp;».
<DT><I>no_subtree_check</I><DD>
Cette option neutralise la vérification de sous-répertoires, ce qui a des 
subtiles implications au niveau de la sécurité, mais peut améliorer la 
fiabilité dans certains cas.
<P>
Si un sous-répertoire dans un système de fichiers est partagé, mais que 
le système de fichiers ne l'est pas, alors chaque fois qu'une requête NFS 
arrive, le serveur doit non seulement vérifier que le fichier accédé est 
dans le système de fichiers approprié (ce qui est facile), mais aussi 
qu'il est dans l'arborescence partagée (ce qui est plus compliqué). Cette 
vérification s'appelle <I>subtree_check</I>.
<P>
Pour ce faire, le serveur doit ajouter quelques informations sur 
l'emplacement du fichier dans le «&nbsp;filehandle&nbsp;» (descripteur de fichier) 
qui est donné au client. Cela peut poser problème lors d'accès à des 
fichiers renommés alors qu'un client est en train de les utiliser (bien que 
dans la plupart des cas simples, cela continuera à fonctionner).
<P>
La vérification de sous-répertoires est également utilisée pour 
s'assurer que des fichiers situés dans des répertoires auxquels seul 
l'administrateur a accès ne sont consultables que si le système de 
fichiers est exporté avec l'option <I>no_root_squash</I>(voir ci-dessous), et 
ce, même si les fichiers eux-mêmes offrent un accès plus généreux.
<P>
D'une façon générale, un système de fichiers des répertoires personnels 
(«&nbsp;home directories&nbsp;»), qui est normalement partagé à sa racine et qui 
va subir de multiples opérations de renommage de fichiers, devrait être 
partagé sans contrôle de sous-répertoires. Un système de fichiers 
principalement en lecture seule, et qui donc ne verra que peu de 
modifications de noms de fichiers (/usr ou /var par exemple) et pour lequel 
des sous-répertoires pourront être partagés, le sera probablement avec la 
vérification des sous-répertoires.
<P>
On peut explicitement spécifier ce comportement par défaut de 
vérification des sous-répertoires en indiquant l'option <I>subtree_check</I>.
<P>
From release 1.1.0 of nfs-utils onwards, the default will be 
<I>no_subtree_check</I> as subtree_checking tends to cause more problems than it 
is worth.  If you genuinely require subtree checking, you should explicitly 
put that option in the <B>exports</B> file.  If you put neither option, 
<I>exportfs</I> will warn you that the change is pending.
<P>
<DT><I>insecure_locks</I><DD>
<DT><I>no_auth_nlm</I><DD>
Cette option (les deux noms sont synonymes) indique au serveur NFS de ne pas 
exiger l'authentification des requêtes de verrouillage (c.-à-d. les 
requêtes qui utilisent le protocole NLM). Normalement le serveur de NFS 
doit exiger d'une requête de verrouillage qu'elle fournisse une 
accréditation pour un utilisateur qui a accès en lecture au fichier. Avec 
cette option, aucun contrôle d'accès ne sera effectué.
<P>
Les premières implémentations de clients NFS n'envoyaient pas 
d'accréditations lors de requêtes de verrouillage, et nombre de clients 
NFS encore utilisés sont basés sur ces anciennes 
implémentations. Utilisez cette option si vous constatez que vous ne pouvez 
verrouiller que les fichiers en lecture pour tous («&nbsp;world readable&nbsp;»).
<P>
On peut explicitement spécifier ce comportement par défaut de demande 
d'accréditation pour les requêtes NLM en indiquant les options synonymes 
<I>auth_nlm</I> ou <I>secure_locks</I>.
<DT><I>no_acl</I><DD>
Sur certains noyaux spécialement modifiés, et lors de partages de 
systèmes de fichiers implémentant les ACL, cette option indique à nfsd ne 
pas dévoiler les ACL aux clients, ainsi ils verront seulement un 
sous-ensemble de permissions réelles sur le système de fichiers 
donné. Cette option est efficace pour des partages utilisés par les 
clients NFSv2 et les anciens clients NFSv3 qui effectuent des vérifications 
d'accès localement. Les clients NFSv3 actuels utilisent l'appel de 
procédure distante ACCESS («&nbsp;ACCESS RPC&nbsp;») afin d'effectuer toutes les 
vérifications d'accès sur le serveur. Notez que l'option <I>no_acl</I> n'a 
d'effet que sur des noyaux spécifiquement modifiés pour le supporter, et 
seulement lors du partage de systèmes de fichiers implémentant les 
ACL. Par défaut, le partage implémente les ACL (c.-à-d. par défaut, 
<I>no_acl</I> est désactivée).
<P>
<P>
<DT><I>mountpoint=</I>chemin<DD>
<DT><I>mp</I><DD>
Cette option permet de ne partager un répertoire que si son montage a 
réussi. Si aucun chemin n'est précisé (par exemple <I>mountpoint</I> ou 
<I>mp</I>) alors le partage doit également être un point de montage. Si ce 
n'est pas le cas, alors le partage n'est pas fait. Ceci vous permet d'être 
sûr que le répertoire d'un point de montage ne sera jamais partagé par 
accident si, par exemple, le montage du système de fichiers échouait suite 
à une erreur de disque dur.
<P>
Si un chemin est précisé (c.-à-d. <I>mountpoint=</I>/chemin ou 
<I>mp=</I>/chemin), le chemin indiqué doit être un point de montage pour le 
partage qui est fait.
<P>
<DT><I>fsid=</I>num<DD>
Cette option force la partie d'identification du système de fichiers dans 
le descripteur de fichier («&nbsp;filehandle&nbsp;») et des attributs du fichier 
employés sur le réseau à être <I>num</I> au lieu d'un nombre calculé à 
partir du nombre majeur et mineur du périphérique bloc sur lequel le 
système de fichiers est monté. N'importe quel nombre de 32 bits peut être 
employé, pourvu qu'il soit unique parmi tous les systèmes de fichiers 
partagés.
<P>
Ceci peut être utile pour la reprise après un plantage de NFS, pour 
s'assurer que les deux serveurs de la redondance utilisent les mêmes 
descripteurs de fichier («&nbsp;filehandle&nbsp;») pour le système de fichiers 
partagé NFS, évitant de ce fait les descripteurs incohérents après la 
reprise.
<P>
Certains systèmes de fichiers de Linux ne sont pas montés sur un 
périphérique de type bloc. Par conséquent, le partage de ces derniers par 
l'intermédiaire du NFS exige l'utilisation de l'option de <I>fsid</I> (bien que 
cela puisse ne pas suffire).
<P>
Utilisé avec NFSv4, la valeur 0 a une signification particulière. NFSv4 a 
un concept d'une racine globale de système de fichiers partagés. Le point 
de partage exporté avec fsid=0 sera utilisé en tant que cette racine.
<P>
</DL>
<A NAME="lbAH">&nbsp;</A>
<H3>Correspondance d'ID utilisateur («&nbsp;User ID Mapping&nbsp;»)</H3>

<P>

<I>nfsd</I> base son contrôle d'accès aux fichiers de la machine serveur sur 
l'UID et le GID fournis dans chaque requête RPC de NFS. Le comportement 
attendu par un utilisateur est de pouvoir accéder à ses fichiers sur le 
serveur de la même façon qu'il y accède sur un système de fichiers 
normal. Ceci exige que les mêmes UID et GID soient utilisés sur le client 
et la machine serveur. Ce n'est pas toujours vrai, ni toujours souhaitable.
<P>

Bien souvent, il n'est pas souhaitable que l'administrateur d'une machine 
cliente soit également traité comme le superutilisateur lors de l'accès 
à des fichiers du serveur NFS. À cet effet, l'UID 0 est normalement 
transformé («&nbsp;mapped&nbsp;») en utilisateur différent&nbsp;: le prétendu 
utilisateur anonyme ou UID <I>nobody</I>. C'est le mode de fonctionnement par 
défaut (appelé «&nbsp;root squashing&nbsp;»), qui peut être désactivé grâce 
à <I>no_root_squash</I>.
<P>

Par défaut, <I>exportfs</I> choisit un UID et un GID de 65534 pour l'accès «&nbsp;squash&nbsp;». Ces valeurs peuvent également être définies par les options 
<I>anonuid</I> et <I>anongid</I>. Pour finir, vous pouvez faire correspondre toutes 
les requêtes des utilisateurs à l'UID anonyme en indiquant l'option 
<I>all_squash</I>.
<P>

Voici la liste complète des options de correspondance («&nbsp;mapping&nbsp;»)&nbsp;:
<DL COMPACT>
<DT><I>root_squash</I><DD>
Transformer les requêtes d'UID/GID 0 en l'UID/GID anonyme. Notez que ceci 
ne s'applique à aucun autre UID ou GID qui pourrait également être 
sensible, tel que l'utilisateur <I>bin</I> ou le groupe <I>staff</I> par exemple.
<DT><I>no_root_squash</I><DD>
Désactiver la transformation du superutilisateur. Cette option est 
principalement utile pour les clients sans disque dur.
<DT><I>all_squash</I><DD>
Transformer tous les UID/GID en l'utilisateur anonyme. Utile pour les 
répertoires FTP publics partagés en NFS, les répertoires de spool de 
news, etc. L'option inverse est <I>no_all_squash</I>, qui est celle par défaut.
<DT><I>anonuid</I> et <I>anongid</I><DD>
Ces options définissent explicitement l'UID et le GID du compte 
anonyme. Cette option est principalement utile pour des clients PC/NFS, dans 
le cas où vous souhaiteriez que toutes les requêtes semblent provenir d'un 
seul et même utilisateur. Consultez par exemple la ligne définissant le 
partage pour <B>/home/joe</B> dans la section EXEMPLES ci-dessous, qui attribue 
toutes les requêtes à l'utilisateur 150 (qui est censé être celui de 
l'utilisateur Joe).
<DT><DD>
</DL>
<A NAME="lbAI">&nbsp;</A>
<H2>EXEMPLES</H2>

<P>

<PRE>

# fichier exemple /etc/exports
/               master(rw) trusty(rw,no_root_squash)
/projects       proj*.local.domain(rw)
/usr            *.local.domain(ro) @trusted(rw)
/home/joe       pc001(rw,all_squash,anonuid=150,anongid=100)
/pub            (ro,insecure,all_squash)
</PRE>

<P>

La première ligne exporte l'ensemble du système de fichiers vers les 
machines «&nbsp;master&nbsp;» et «&nbsp;trusty&nbsp;». En plus des droits d'écriture, 
toute transformation d'UID est désactivée pour l'hôte «&nbsp;trusty&nbsp;». Les 
deuxième et troisième lignes montrent des exemples de noms de machines 
avec caractères jokers, et de groupes de machines («&nbsp;@trusted&nbsp;»). La 
quatrième ligne montre une entrée pour le client PC/NFS, présenté plus 
haut. La dernière ligne partage un répertoire public de FTP, à toutes les 
machines dans le monde, en effectuant les requêtes sous le compte 
anonyme. L'option <I>insecure</I> permet l'accès aux clients dont 
l'implémentation NFS n'utilise pas un port réservé. 
<A NAME="lbAJ">&nbsp;</A>
<H2>FICHIERS</H2>

/etc/exports
<A NAME="lbAK">&nbsp;</A>
<H2>VOIR AUSSI</H2>

<B><A HREF="/cgi-bin/man/man2html?8+exportfs">exportfs</A></B>(8), <B><A HREF="/cgi-bin/man/man2html?5+netgroup">netgroup</A></B>(5), <B><A HREF="/cgi-bin/man/man2html?8+mountd">mountd</A></B>(8), <B><A HREF="/cgi-bin/man/man2html?8+nfsd">nfsd</A></B>(8), <B><A HREF="/cgi-bin/man/man2html?8+showmount">showmount</A></B>(8).
<P>
<A NAME="lbAL">&nbsp;</A>
<H2>TRADUCTION</H2>

Cette page de manuel a été traduite et est maintenue par Sylvain Cherrier
&lt;sylvain DOT cherrier AT free DOT fr&gt; et les membres de la liste
&lt;debian-l10n-french AT lists DOT debian DOT org&gt; depuis 2006.
Veuillez signaler toute erreur de traduction par un rapport de bogue sur
le paquet manpages-fr-extra.
<P>

<HR>
<A NAME="index">&nbsp;</A><H2>Index</H2>
<DL>
<DT><A HREF="#lbAB">NOM</A><DD>
<DT><A HREF="#lbAC">SYNOPSIS</A><DD>
<DT><A HREF="#lbAD">DESCRIPTION</A><DD>
<DL>
<DT><A HREF="#lbAE">Formats des noms de machine</A><DD>
<DT><A HREF="#lbAF">Sécurité RPCSEC_GSS</A><DD>
<DT><A HREF="#lbAG">Options générales</A><DD>
<DT><A HREF="#lbAH">Correspondance d'ID utilisateur («&nbsp;User ID Mapping&nbsp;»)</A><DD>
</DL>
<DT><A HREF="#lbAI">EXEMPLES</A><DD>
<DT><A HREF="#lbAJ">FICHIERS</A><DD>
<DT><A HREF="#lbAK">VOIR AUSSI</A><DD>
<DT><A HREF="#lbAL">TRADUCTION</A><DD>
</DL>
<HR>
This document was created by
<A HREF="/cgi-bin/man/man2html">man2html</A>,
using the manual pages.<BR>
Time: 13:22:24 GMT, November 11, 2006
</BODY>
</HTML>