EDV:OpenAFS: Difference between revisions

From KIP Wiki
⧌kip-jumptonavigation⧜⧌kip-jumptosearch⧜
 
(24 intermediate revisions by the same user not shown)
Line 3: Line 3:
== Allgemeines ==
== Allgemeines ==


Hier im [[KIP]] wird [[EDV:OpenAFS|OpenAFS]] als zentrales Dateisystem verwendet.
Hier im [[KIP]] wird [http://www.openafs.org OpenAFS] als zentrales Netzwerk-Dateisystem verwendet.


AFS (Andrew File System) ist ein Dateisystem, das die plattformĂŒbergreifende gleichzeitige Nutzung von Dateien zwischen mehreren Rechnern ermöglicht.
* [[w:de:FAQ]] fĂŒr das [[KIP-AFS]]: [[EDV:OpenAFS/FAQ]]
Es beinhaltet Funktionen zur Zugriffskontrolle (ACLs), Authentifizierung (Kerberos), verschlĂŒsselte DatenĂŒbertragung (fcrypt) und einiges [[w:de:Andrew File System | mehr...]]
* [[EDV_Privat:OpenAFS|EDV-interne Seite]] (AFS-Server-Administration)
* Wikipedia Artikel: [[w:de:Andrew File System]]
* Homepage von [[EDV:OpenAFS|OpenAFS]]: http://www.openafs.org
* Das Rechenzentrum hat auch ein [[EDV:OpenAFS|AFS]]: http://www.urz.uni-heidelberg.de/datenhaltung/afs/
* Hier ist eine schöne FAQ: http://www.angelfire.com/hi/plutonic/afs-faq.html


UrsprĂŒnglich wurde es an der Carnegie Mellon UniversitĂ€t entwickelt, und danach von der Transarc Corporation, die 1994 von IBM ĂŒbernommen wurde, vermarktet.<br />
Seit 2000 existiert eine parallele [[w:de:Open Source | Open Source]] Weiterentwicklung.


=== Was ist (Open)AFS? ===
== Client Installation ==


Um sich mit dem AFS-Dateiserver zu verbinden, benötigt man (wer hĂ€tte das gedacht) eine entsprechende Client-Software. Diese ist fĂŒr
AFS ist ein sicheres, verteiltes Dateisystem, welches an der Carnegie Mellon UniversitÀt entwickelt wurde.
fast alle Betriebssysteme kostenlos verfĂŒgbar.
Danach wurde es von der Transarc Corporation, die 1994 von IBM ĂŒbernommen wurde, vermarktet.


* ''' [[EDV:OpenAFS/Windows | Installation Windows ]]'''
IBM ermöglichte dann 2000 eine parallele Weiterentwicklung als [[w:de:Open Source]] (http://www.openafs.org).


* ''' [[EDV:NewSystem/Debian_6#OpenAFS-Client | Installation Linux]] '''
=== [[EDV:OpenAFS/Vorteile|Vorteile von AFS und Vergleich mit NFS/Unix-FS]] ===


* ''' [[EDV:OpenAFS/Install_mac_osx | Installation Mac OS X]] '''
Eine Auflistung der Vorteile von AFS,
ein Vergleich von AFS und NFS und auch zum Unix-Filessystem
gibt es hier: [[EDV:OpenAFS/Vorteile]]


== [[EDV:OpenAFS/Verwendung|Verwendung]] ==


Weitere Informationen zum Thema:
Siehe: [[EDV:OpenAFS/Verwendung]]
* [[w:de:FAQ | FAQ]] fĂŒr das AFS im KIP: [[EDV:OpenAFS/FAQ | OpenAFS/FAQ ]]
* Das Orginal [http://docs.openafs.org/UserGuide/index.html OpenAFS User Guide]
* Das Rechenzentrum hat auch ein [[EDV:OpenAFS|AFS]]: http://www.urz.uni-heidelberg.de/datenhaltung/afs/


=== [[EDV:OpenAFS/Verwendung/Authentisieren|Authentisieren]] ===
== Verwendung ==


Um mit dem AFS-Server arbeiten zu können, muss man sich zuerst [[EDV:OpenAFS/Verwendung/Authentisieren|authentifizieren]] (siehe auch [[w:de:Authentifizierung | Authentifizierung ]]), da man sonst nur die Reche der Gruppe ''system:anyuser'' (also Anonymous / Gast) erhÀlt. Mit diesen ist nur der Zugriff auf allgemeine (öffentliche) Dateien möglich. OpenAFS arbeitet dabei mittlerweile mit Kerberos Verion 5 ([http://www.kerberos.org/software/tutorial.html Kerberos]).
Um mit [[EDV:AFS|AFS]] arbeiten zu können, muss man sich erst authentisieren ([[w:de:Authentisierung]]),
Man kann dazu auch die [[EDV:OpenAFS/FAQ| FAQ]] durchlesen, insbesondere: [[EDV:OpenAFS/FAQ#Was ist ein Ticket und/oder Token | "Was ist ein Ticket und/oder Token"]].
da man sonst nur die Reche der Gruppe '''system:anyuser''' (also Anonymous) hat.


Wegen der [[EDV:OpenAFS/Verwendung/ACLs|Rechte im AFS (Access Control Lists)]] werden von den Unix/Linux-Protection-Bits
[[EDV:AFS|AFS]] arbeitet dabei mit Kerberos4-Token ([[w:de:Kerberos (Informatik)]]).
fĂŒr User, Group und Others werden nur die von User verwendet - dies erfolgt, nachdem die ACL ausgewertet wurde.
Weitere Informationen zur [[EDV:OpenAFS/Verwendung|Benutzung von AFS]].


{{Achtung|{{IconAchtung}} Wichtig fĂŒr AFS sind '''synchrone Zeiten''' der Systemuhren! Deshalb sollte auf jedem Client die Uhrzeit auch stimmen (siehe [[EDV:NTP|NTP]]), sonst kann es passieren, dass die Authentifikation fehlschlĂ€gt.}}
=== [[EDV:OpenAFS/Verwendung/ACLs|Rechte im AFS (Access Control Lists)]] ===


== Wichtige Konfigurationsdateien ==
Achtung: Von den Unix/Linux-Protection-Bits fĂŒr User, Group und Others werden nur die von User verwendet.
Dies erfolgt, nachdem die ACL ausgewertet wurde.


Falls es mal zu Problemen mit dem OpenAFS-Client kommt, ist es gut zu wissen, wo welche Einstellung steht ;)
=== [[EDV:OpenAFS/FAQ|FAQ]] ===


Nachfolgend die wichtigsten KIP-AFS spezifischen Konfigurationsdateien.
Zur [[EDV:OpenAFS/Verwendung|Verwendung]] von [[AFS]] bitte auch
die [[EDV:OpenAFS/FAQ|FAQ]] beachten, besonders [[EDV:OpenAFS/FAQ#Was ist ein Ticket und/oder Token]].


=== CellServDB ===
== Client-Installation (Zugang zum AFS) ==


In der ''CellServDB'' sollte fĂŒr die KIP-Zelle folgender Eintrag stehen:
=== General ===


<pre>
{{Achtung|{{IconAchtung}} Wichtig fĂŒr AFS sind '''synchrone Zeiten''' der Systemuhren, deshalb sollte auf jedem Client die Uhrzeit auch stimmen (siehe [[EDV:NTP|NTP]]).}}
>kip.uni-heidelberg.de
129.206.176.40 # ldap.kip.uni-heidelberg.de
129.206.176.149 # ldap2.kip.uni-heidelberg.de
</pre>


{{Achtung|Achtung der 2. Teil ist nicht nur ein Kommentar, dort '''muss''' der vollstĂ€ndige Name des Servers stehen (fĂŒr aklog)!}}
==== Allgemeine OpenAFS Dokumentation ====


Diese Datei befindet sich auch
Die Dokumentation von Openafs ist hier zu finden:
file:///afs/kip/afsdoc/html/QuickStartUnix/auqbg007.htm#HDRWQ133
http://www.openafs.org/pages/doc/QuickStartUnix/auqbg007.htm#HDRWQ133


* im AFS unter: '''/afs/kip/common/etc/CellServDB'''
==== CellServDB und ThisCell ====


Unsere Zelle (Cell) im [[KIP]] ist natĂŒrlich '''kip.uni-heidelberg.de''', daher sieht die '''ThisCell'''-Datei so aus:
* im Web unter: '''http://kip1.kip.uni-heidelberg.de/afs/common/etc/CellServDB'''
kip.uni-heidelberg.de


und kann fĂŒr die Einstellungen genutzt, bzw. einfach ins Konfigurationsverzeichnis kopiert werden.
In der '''CellServDB''' sollte fĂŒr die KIP-Zelle folgender Eintrag stehen:
>kip.uni-heidelberg.de
129.206.176.40 # ldap.kip.uni-heidelberg.de
129.206.176.149 # ldap2.kip.uni-heidelberg.de


* unter Linux meist in: '''/etc/openafs/CellServDB '''
{{Achtung|Achtung der 2. Teil ist nicht nur ein Kommentar, dort '''muss''' der vollstĂ€ndige Name des Servers stehen (fĂŒr aklog)!}}


* unter Windows vermutlich in: '''C:\Programme\OpenAFS\Client\CellServDB'''
Diese Dateien ist auch unter '''/afs/kip/common/etc/''' zu finden.


=== ThisCell ===
http://kip1.kip.uni-heidelberg.de/CellServDB


Unsere Zelle (Cell) im [[KIP]] ist natĂŒrlich '''kip.uni-heidelberg.de''',somit enthĂ€lt die '''ThisCell'''-Datei entsprechend nur den Eintrag:
==== CellAlias (nur fĂŒr -dynroot) ====
kip.uni-heidelberg.de

=== CellAlias (nur fĂŒr -dynroot) ===


Wenn '''/afs dynamisch''' generiert wird, sollte die '''CellAlias'''-Datei folgendes beinhalten:
Wenn '''/afs dynamisch''' generiert wird, sollte die '''CellAlias'''-Datei folgendes beinhalten:
Line 83: Line 82:


Diese Datei muss gegebenenfalls im Konfigurationsverzeichnis des Clients erzeugt werden
Diese Datei muss gegebenenfalls im Konfigurationsverzeichnis des Clients erzeugt werden
('/etc/openafs/CellAlias' oder '/usr/vice/etc').


* unter Unix / Linux ist das meist: '''/etc/openafs/CellAlias''' oder '''/usr/vice/etc'''
NatĂŒrlich ist dieses Beispiel auch im AFS:

* unter Windows: '''C:\Programme\OpenAFS\Client\CellServDB'''

Dieses Beispiel auch im AFS und kann von dort aus kopiert werden:
cp /afs/kip.uni-heidelberg.de/common/etc/CellAlias /etc/openafs
cp /afs/kip.uni-heidelberg.de/common/etc/CellAlias /etc/openafs


Damit diese Datei neu eingelesen wird muss der AFS-Client neugestartet werden.
Damit diese Datei neu eingelesen wird, muss der AFS-Client neugestartet werden.
Wenn das nicht geht können diese Aliase auch TemporÀr manuell erzeugt werden:
Wenn das nicht geht, können diese Aliase auch temporÀr manuell erzeugt werden:
fs newalias kip kip.uni-heidelberg.de
fs newalias kip kip.uni-heidelberg.de
fs newalias alihlt alihlt.cern.ch
fs newalias alihlt alihlt.cern.ch
Line 95: Line 97:
fs listalias
fs listalias


=== krb5.conf ===
=== [[EDV:OpenAFS/Install_i386_linux26|Linux-Client]] ===


Die Datei krb5.conf (oder auch krb5.ini) beinhaltet Informationen ĂŒber den Kerberos-Realm, in dem sich der Client befindet.
[[EDV:OpenAFS/Install_i386_linux24]]
Kerberos wird ĂŒber diese Text-Datei konfiguriert.


* im AFS unter: '''/afs/kip/common/etc/krb5.conf'''
[[EDV:OpenAFS/Install_i386_linux26]]
* im Web unter: '''http://kip1.kip.uni-heidelberg.de/afs/common/etc/krb5.conf'''


Auf dem lokalen Client-System befindet sie sich:
=== [[EDV:OpenAFS/Install_sun4x_510|Solaris]] ===


* unter Linux in: '''/etc/krb5.conf '''
[[EDV:OpenAFS/Install_sun4x_59]]


* unter Windows in: '''C:\ProgramData\Kerberos\krb5.conf'''
[[EDV:OpenAFS/Install_sun4x_510]]


* oder auch in: '''C:\Windows\krb5.ini'''
=== [[EDV:OpenAFS/Install_hp_ux110|HP-UX]] ===


und ihr Inhalt sieht in etwa so aus:
[[EDV:OpenAFS/Install_hp_ux110]]
<pre>
### KIP krb5.conf - date: 21.11.2012 ###
[libdefaults]
allow_weak_crypto = true
default_realm = KIP.UNI-HEIDELBERG.DE
ticket_lifetime = 2d
renew_lifetime = 8d


# The following krb5.conf variables are only for MIT Kerberos.
=== [[EDV:OpenAFS/Install_winxp|Windows]] ===
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
renewable = true


# The following libdefaults parameters are only for Heimdal Kerberos.
Installation des Clients im KIP: [[EDV:OpenAFS/Install_winxp]]
v4_instance_resolve = false
[realms]
KIP.UNI-HEIDELBERG.DE = {
kdc = ldap2.kip.uni-heidelberg.de
kdc = afsback.kip.uni-heidelberg.de
kdc = ldap.kip.uni-heidelberg.de
admin_server = ldap.kip.uni-heidelberg.de
}
[domain_realm]
.kip.uni-heidelberg.de = KIP.UNI-HEIDELBERG.DE
kip.uni-heidelberg.de = KIP.UNI-HEIDELBERG.DE
[login]
krb4_convert = false
krb4_get_tickets = false
</pre>


Dokumentation von OpenAFS.org: http://www.openafs.org/pages/doc/QuickStartWindows/awqbg002.htm#ToC


Ein etwas Àlteres Beispiel:
=== [[EDV:OpenAFS/Install_mac_osx|Mac OS X]] ===
Installation des Clients im KIP: [[EDV:OpenAFS/Install_winxp]]

Installation des Clients im KIP: [[EDV:OpenAFS/Install_mac_osx]]

== [[EDV:OpenAFS/FAQ|FAQ]] ==

Hier gibts die [[EDV:OpenAFS/FAQ|OpenAFS-FAQ]].





Latest revision as of 13:51, 7 March 2013

OpenAFS-Logo

Allgemeines

Hier im KIP wird OpenAFS als zentrales Netzwerk-Dateisystem verwendet.

AFS (Andrew File System) ist ein Dateisystem, das die plattformĂŒbergreifende gleichzeitige Nutzung von Dateien zwischen mehreren Rechnern ermöglicht. Es beinhaltet Funktionen zur Zugriffskontrolle (ACLs), Authentifizierung (Kerberos), verschlĂŒsselte DatenĂŒbertragung (fcrypt) und einiges mehr...

UrsprĂŒnglich wurde es an der Carnegie Mellon UniversitĂ€t entwickelt, und danach von der Transarc Corporation, die 1994 von IBM ĂŒbernommen wurde, vermarktet.
Seit 2000 existiert eine parallele Open Source Weiterentwicklung.

Client Installation

Um sich mit dem AFS-Dateiserver zu verbinden, benötigt man (wer hĂ€tte das gedacht) eine entsprechende Client-Software. Diese ist fĂŒr fast alle Betriebssysteme kostenlos verfĂŒgbar.


Weitere Informationen zum Thema:

Verwendung

Um mit dem AFS-Server arbeiten zu können, muss man sich zuerst authentifizieren (siehe auch Authentifizierung ), da man sonst nur die Reche der Gruppe system:anyuser (also Anonymous / Gast) erhÀlt. Mit diesen ist nur der Zugriff auf allgemeine (öffentliche) Dateien möglich. OpenAFS arbeitet dabei mittlerweile mit Kerberos Verion 5 (Kerberos). Man kann dazu auch die FAQ durchlesen, insbesondere: "Was ist ein Ticket und/oder Token".

Wegen der Rechte im AFS (Access Control Lists) werden von den Unix/Linux-Protection-Bits fĂŒr User, Group und Others werden nur die von User verwendet - dies erfolgt, nachdem die ACL ausgewertet wurde. Weitere Informationen zur Benutzung von AFS.

Achtung.svg Wichtig fĂŒr AFS sind synchrone Zeiten der Systemuhren! Deshalb sollte auf jedem Client die Uhrzeit auch stimmen (siehe NTP), sonst kann es passieren, dass die Authentifikation fehlschlĂ€gt.

Wichtige Konfigurationsdateien

Falls es mal zu Problemen mit dem OpenAFS-Client kommt, ist es gut zu wissen, wo welche Einstellung steht ;)

Nachfolgend die wichtigsten KIP-AFS spezifischen Konfigurationsdateien.

CellServDB

In der CellServDB sollte fĂŒr die KIP-Zelle folgender Eintrag stehen:

 >kip.uni-heidelberg.de
 129.206.176.40          # ldap.kip.uni-heidelberg.de
 129.206.176.149         # ldap2.kip.uni-heidelberg.de
Achtung der 2. Teil ist nicht nur ein Kommentar, dort muss der vollstĂ€ndige Name des Servers stehen (fĂŒr aklog)!

Diese Datei befindet sich auch

  • im AFS unter: /afs/kip/common/etc/CellServDB

und kann fĂŒr die Einstellungen genutzt, bzw. einfach ins Konfigurationsverzeichnis kopiert werden.

  • unter Linux meist in: /etc/openafs/CellServDB
  • unter Windows vermutlich in: C:\Programme\OpenAFS\Client\CellServDB

ThisCell

Unsere Zelle (Cell) im KIP ist natĂŒrlich kip.uni-heidelberg.de,somit enthĂ€lt die ThisCell-Datei entsprechend nur den Eintrag:

kip.uni-heidelberg.de

CellAlias (nur fĂŒr -dynroot)

Wenn /afs dynamisch generiert wird, sollte die CellAlias-Datei folgendes beinhalten:

kip.uni-heidelberg.de   kip
alihlt.cern.ch          alihlt
urz.uni-heidelberg.de   urz

Diese Datei muss gegebenenfalls im Konfigurationsverzeichnis des Clients erzeugt werden

  • unter Unix / Linux ist das meist: /etc/openafs/CellAlias oder /usr/vice/etc
  • unter Windows: C:\Programme\OpenAFS\Client\CellServDB

Dieses Beispiel auch im AFS und kann von dort aus kopiert werden:

cp /afs/kip.uni-heidelberg.de/common/etc/CellAlias /etc/openafs

Damit diese Datei neu eingelesen wird, muss der AFS-Client neugestartet werden. Wenn das nicht geht, können diese Aliase auch temporÀr manuell erzeugt werden:

fs newalias kip kip.uni-heidelberg.de
fs newalias alihlt alihlt.cern.ch
fs newalias urz urz.uni-heidelberg.de
fs listalias

krb5.conf

Die Datei krb5.conf (oder auch krb5.ini) beinhaltet Informationen ĂŒber den Kerberos-Realm, in dem sich der Client befindet. Kerberos wird ĂŒber diese Text-Datei konfiguriert.

Auf dem lokalen Client-System befindet sie sich:

  • unter Linux in: /etc/krb5.conf
  • unter Windows in: C:\ProgramData\Kerberos\krb5.conf
  • oder auch in: C:\Windows\krb5.ini

und ihr Inhalt sieht in etwa so aus:

### KIP krb5.conf - date: 21.11.2012 ###
 
[libdefaults]
allow_weak_crypto = true
default_realm = KIP.UNI-HEIDELBERG.DE
ticket_lifetime = 2d
renew_lifetime = 8d

# The following krb5.conf variables are only for MIT Kerberos.
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
renewable = true

# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
	
[realms]
KIP.UNI-HEIDELBERG.DE = {
kdc = ldap2.kip.uni-heidelberg.de
kdc = afsback.kip.uni-heidelberg.de
kdc = ldap.kip.uni-heidelberg.de
admin_server = ldap.kip.uni-heidelberg.de
}
	
[domain_realm]
.kip.uni-heidelberg.de = KIP.UNI-HEIDELBERG.DE
kip.uni-heidelberg.de = KIP.UNI-HEIDELBERG.DE
	
[login]
krb4_convert = false
krb4_get_tickets = false


Ein etwas Àlteres Beispiel: Installation des Clients im KIP: EDV:OpenAFS/Install_winxp