EDV:OpenAFS/FAQ: Difference between revisions

From KIP Wiki
⧼kip-jumptonavigation⧽⧼kip-jumptosearch⧽
No edit summary
 
(13 intermediate revisions by 3 users not shown)
Line 29: Line 29:
ls -l ~/
ls -l ~/
ls -l ~/.backup
ls -l ~/.backup

== Kann man die Lebensdauer der AFS-Tokens erhöhen? ==
Damit Simulationen oder ... auch ohne Klimmzüge über das Wochenende laufen können,
ist es möglich die Lebensdauer seines AFS-Tokens erhöhen zu lassen.

Dies ist eine Einstellungsmöglichkeit für Nutzer, die von der [[EDV-Abteilung]] gesetzt werden muss.
Wir wollen das nur nicht für ''alle'' Nutzer standardmäßig einstellen, da dies mit gewissen Sicherheitsrisiken verbunden ist.
Teilen Sie uns also mit, wenn das für Ihren [[KIP-Account]] so eingestellt werden soll.


== Wenn man mehr als 24h eingeloggt ist, kann man keine neuen Fenster mehr öffnen. ==
== Wenn man mehr als 24h eingeloggt ist, kann man keine neuen Fenster mehr öffnen. ==
Line 34: Line 42:


Das Token muss wieder erneuert werden. Auf den Linux-Maschinen
Das Token muss wieder erneuert werden. Auf den Linux-Maschinen
kann man zum Beispiel mit 'kinit' das Kerberos-Ticket erneuern.
kann man zum Beispiel mit '''kinit''' das Kerberos-Ticket erneuern.
dabei wird auch das AFS-Token verlängert.
dabei wird auch das AFS-Token verlängert.
Oder man kann mit 'klog' nur das AFS-Token erneuern (Auf den
Oder man kann mit '''klog''' nur das AFS-Token erneuern (Auf den
Solaris-Maschinen bleibt nur das).
Solaris-Maschinen bleibt nur das).


Also: wenn noch ein Terminal offen ist: 'klog' eingeben.
Also: wenn noch ein Terminal offen ist: '''kinit ''' oder '''klog''' eingeben.


Am einfachsten ist es aber, wenn man den Screensaver so
Am einfachsten ist es aber, wenn man den Screensaver so
Line 46: Line 54:
wird nämlich auch das AFS-Token erneuert.
wird nämlich auch das AFS-Token erneuert.


Für IceWM kann man den Screensaver (und auch anderes) automatisch
Für '''IceWM''' kann man den Screensaver (und auch anderes) automatisch
beim Login so starten lassen:
beim Login so starten lassen:


Line 55: Line 63:
Anschliessend macht man die Datei ausführbar:
Anschliessend macht man die Datei ausführbar:
chmod 755 ~/.icewm/startup
chmod 755 ~/.icewm/startup

== Was ist ein Ticket und/oder Token ==

* Mit '''Ticket''' wird das Kerberos5-''Ticket'' bezeichnet. ([[w:de:Kerberos (Informatik)]])
* Mit '''Token''' wird das AFS-''Token'' bezeichnet. ([[w:de:Andrew File System]])

(Ein AFS-''Token'' ist technisch ein besonderes Kerberos4-''Ticket''.)
Für die Arbeit mit [[EDV:OpenAFS|AFS]] wird normalerweise nur das ''Token'' benötigt,
allerdings ist es meistens einfacher vorher ein ''Ticket'' zu haben.

{| {{Prettytable}}
! Befehl
! Funktion
|-
| tokens || Auflisten des AFS-Tokens
|-
| klist || Auflisten des Kerberos-Tickets
|-
| klist -T || Auflisten des Kerberos-Tickets und des AFS-Tokens
|-
| klog || Holen eines AFS-Tokens
|-
| kinit || Holen eines Kerberos-Tickets und AFS-Tokens
|-
| kinit -R || Verlängern eines vorhandenen Kerberos-Tickets (renew)
|-
| aklog || Holen eines AFS-Tokens aus einem vorhandenen Kerberos-Ticket
|-
| unlog || Zerstören des AFS-Tokens
|-
| kdestroy || Zerstören des Kerberos-Tickets und des AFS-Tokens
|-
| pagsh || Schaffen einer neuen Umgebung für ein AFS-Token.
|-
| kpagsh || Schaffen einer neuen Umgebung für ein Kerberos-Ticket und AFS-Token.
|}


== Wo finde ich Was (Struktur im AFS) ==
== Wo finde ich Was (Struktur im AFS) ==
Line 118: Line 162:
|}
|}


== Beschränkungen/Limits ==

* Die maximale Anzahl an Dateien in einem '''Verzeichnis''' ist abhängig von der Länge der Dateinamen. Für je 16 Zeichen wird ein Eintrag erzeugt, und es sind maximal 64000 Einträge pro Verzeichnis möglich. Folglich können maximal 64000 Dateien (deren Dateinamen kleiner-gleich 16 Zeichen ist) in einem Verzeichnis sein. (Siehe: https://lists.openafs.org/pipermail/openafs-info/2002-September/005812.html)

== Rekursives Ändern von Rechten ==
Der AFS-Befehlt '''fs''' kann nicht rekursiv angewendet werden, aber '''find''' hilft.

Um zum Beispiel allen Authentisierten Nutzern im [[KIP]] in allen Unterverzeichnisen von 'pub' Leserechte zu geben:
sesselm@kip1:~$ find '''pub''' -type d -noleaf -exec '''fs setacl -dir {} -acl system:authuser read \;'''


Bei AFS ist es ratsam immer die '''-noleaf''' Option zu verwenden, ansonsten '''man find''' und '''man fs_setacl'''.





Latest revision as of 16:21, 13 January 2014

Dies ist eine w:de:FAQ für das KIP-AFS. Die Installationsanleitungen und allgemeine Informationen befinden sich auf der OpenAFS-Seite!

Wo kann ich auf AFS zugreifen ohne selbst einen Client zu installieren?

Auf den LoginServern (kip1/kip2/kipfire/kipwin.kip.uni-heidelberg.de) ist OpenAFS installiert (auf den Linux-Maschienen auch Heimdal-Kerberos). Demnach kann von dort auf das AFS zugegriffen werden.

Für Anonymen Zugriff (z.B. für Software, ...) kann man über kip1 auch das Samba-Share verwenden:

\\kip1.kip.uni-heidelberg.de\kip-afs
file://kip1.kip.uni-heidelberg.de/kip-afs
smb://kip1.kip.uni-heidelberg.de/kip-afs

kinit lehnt mein Passwort ab!

Es kann sein das noch kein Kerberos-Eintrag erzeugt wurde. Dies ist der Fall, wenn kinit sagt unknown statt Password incorrect

userX@kip1:~$ kinit userX
userX3@KIP.UNI-HEIDELBERG.DE's Password:
kinit: krb5_get_init_creds: Client (userX@KIP.UNI-HEIDELBERG.DE) unknown

Um dann seinen Eintrag zu erzeugen, muss man sich einmal auf Portal anmelden:

https://portal.kip.uni-heidelberg.de/account/
Nun wird versucht, das Kerberos-Passwort zu setzten.

Falls eine Fehlermeldung erscheint, müssen Sie sich and die EDV-Abteilung wenden.

Wie komme ich an ein Backup meines Homeverzeichnisses?

Jeden Tag um 0:00Uhr wird der Stand aller volumes eingefroren und in ~/.backup verfügbar gemacht. Somit kann jeder auf diesen Stand seines Homeverzeichnisses zugreifen.

ls -l ~/
ls -l ~/.backup

Kann man die Lebensdauer der AFS-Tokens erhöhen?

Damit Simulationen oder ... auch ohne Klimmzüge über das Wochenende laufen können, ist es möglich die Lebensdauer seines AFS-Tokens erhöhen zu lassen.

Dies ist eine Einstellungsmöglichkeit für Nutzer, die von der EDV-Abteilung gesetzt werden muss. Wir wollen das nur nicht für alle Nutzer standardmäßig einstellen, da dies mit gewissen Sicherheitsrisiken verbunden ist. Teilen Sie uns also mit, wenn das für Ihren KIP-Account so eingestellt werden soll.

Wenn man mehr als 24h eingeloggt ist, kann man keine neuen Fenster mehr öffnen.

Nach dieser Zeit ist das AFS-Token abgelaufen (siehe OpenAFS ).

Das Token muss wieder erneuert werden. Auf den Linux-Maschinen kann man zum Beispiel mit kinit das Kerberos-Ticket erneuern. dabei wird auch das AFS-Token verlängert. Oder man kann mit klog nur das AFS-Token erneuern (Auf den Solaris-Maschinen bleibt nur das).

Also: wenn noch ein Terminal offen ist: kinit oder klog eingeben.

Am einfachsten ist es aber, wenn man den Screensaver so konfiguriert, dass er nach einer gewissen Zeit der Untätigkeit den Bildschirm sperrt. Bei der anschliessenden Authentifikation wird nämlich auch das AFS-Token erneuert.

Für IceWM kann man den Screensaver (und auch anderes) automatisch beim Login so starten lassen:

Man legt eine Datei ~/.icewm/startup an, mit dem Inhalt:

#!/bin/bash
xterm &
xscreensaver &

Anschliessend macht man die Datei ausführbar:

chmod 755 ~/.icewm/startup

Was ist ein Ticket und/oder Token

(Ein AFS-Token ist technisch ein besonderes Kerberos4-Ticket.) Für die Arbeit mit AFS wird normalerweise nur das Token benötigt, allerdings ist es meistens einfacher vorher ein Ticket zu haben.

Befehl Funktion
tokens Auflisten des AFS-Tokens
klist Auflisten des Kerberos-Tickets
klist -T Auflisten des Kerberos-Tickets und des AFS-Tokens
klog Holen eines AFS-Tokens
kinit Holen eines Kerberos-Tickets und AFS-Tokens
kinit -R Verlängern eines vorhandenen Kerberos-Tickets (renew)
aklog Holen eines AFS-Tokens aus einem vorhandenen Kerberos-Ticket
unlog Zerstören des AFS-Tokens
kdestroy Zerstören des Kerberos-Tickets und des AFS-Tokens
pagsh Schaffen einer neuen Umgebung für ein AFS-Token.
kpagsh Schaffen einer neuen Umgebung für ein Kerberos-Ticket und AFS-Token.

Wo finde ich Was (Struktur im AFS)

Die Hauptverzeichnisse im AFS beherbergen bestimmte Sachen:

Pfad Beschreibung
/afs/kip.uni-heidelberg.de/ Hauptpfad (lesend wenn möglich)
/afs/.kip.uni-heidelberg.de/ Hauptpfad immer auf Schreibenden Volumes
/afs/kip/user Verzeichnis zu den Homeverzeichnissen der Nutzer im AFS
/afs/kip/doc Dokumentationen (HowTow's, Manuals, Handbücher, ...)
/afs/kip/doc/afs AFS Dokumentation
/afs/kip/openafs Lokale Binaries/Quellen von OpenAFS
/afs/kip/common Allgemeine Konfigurationsdateien (z.B. die CellServDB und die ThisCell)
/afs/kip/@sys Binaries für die jeweilige Systemarchitektur (z.B. i386_linux26, sun4x_510)
/afs/kip/software Verschiedene Software
/afs/kip/software/Linux Software für Linux und verschiedene (CD/DVD-Images) von Linux (z.B. SuSe, Debian, Knoppix, Ubuntu)
/afs/kip/software/Windows Software für Windows
/afs/kip/projects Hier sind die Projektverzeichnisse angegliedert (computing, pictures, s7technik, ti, ...)
/afs/kip/backup Lagerplatz für Backups (User/Hosts)
/afs/kip/temp Allgemeines Temporäres Verzeichnis im AFS (viel Platz, aber kein Backup!)
/afs/kip/computing Daten der EDV-Abteilung
/afs/kip/cad
/afs/kip/web Hier liegen die Daten der von uns gehostetet WWW-Domains (*.uni-heidelberg.de).
/afs/kip/webprojects Hier sind die Daten einzelner Webprojekte unterhalb der KIP-Domain (ehemals /webuser).

Beschränkungen/Limits

  • Die maximale Anzahl an Dateien in einem Verzeichnis ist abhängig von der Länge der Dateinamen. Für je 16 Zeichen wird ein Eintrag erzeugt, und es sind maximal 64000 Einträge pro Verzeichnis möglich. Folglich können maximal 64000 Dateien (deren Dateinamen kleiner-gleich 16 Zeichen ist) in einem Verzeichnis sein. (Siehe: https://lists.openafs.org/pipermail/openafs-info/2002-September/005812.html)

Rekursives Ändern von Rechten

Der AFS-Befehlt fs kann nicht rekursiv angewendet werden, aber find hilft.

Um zum Beispiel allen Authentisierten Nutzern im KIP in allen Unterverzeichnisen von 'pub' Leserechte zu geben:

sesselm@kip1:~$ find pub -type d -noleaf -exec fs setacl -dir {} -acl system:authuser read \;

Bei AFS ist es ratsam immer die -noleaf Option zu verwenden, ansonsten man find und man fs_setacl.